web-dev-qa-db-ja.com

ソーシャルエンジニアリングについて他の人をどのように教育しますか?

私の友人の1人は、彼のパスワードの長さを自慢していました。ある日、私はいたずらをすることを決め、それをソーシャルエンジニアリングで彼から出しました。手順全体がどれほど楽であるか、そして他の人がどれほど気づかないかについて、私はかなり驚きました。

私の知人の多くは、ソーシャルエンジニアリングの危険性を理解しておらず、暗号化セキュリティに重点を置いています。

ソーシャルエンジニアリングについて他の人にどのように教えるか:それが何であるか、およびだまされないようにする方法の両方について?

34
Manishearth

セキュリティ意識についてのプレゼンテーションをセットアップするように求められたとき、私は常にユーザーベースに馴染みのあるものを使用して、悪用される可能性のある弱点を示してきました。

簡単な組織、Acmeを取り上げます。 Acmeには約200人の従業員、堅牢なITインフラストラクチャ、最先端のファイアウォール、安全なアプリケーション、スマートCISOなどがあります。ワイヤレスは、RADIUS Authを使用するWPA2であり、ユーザーのADを使用しますまた、Outlook Webアプリケーション(OWA)もよく使用します。

これが攻撃のデモを行っていた組織である場合、最初にOWAのインストールと同じように見えるフィッシングサイトをセットアップします。 wgetのようにアクセスしやすいものを使用するのは途方もなく単純ですが、Trusted Secの Social Engineering Toolkit を使用して設定することもできます。これを行ったら、入力したユーザー名とパスワードが独自のデータベース/ファイルストアに移動するようにログインフォームを変更します。または、SETの資格情報ハーベスターをもう一度使用できます。 オプション:acme-corpwebmail.comなどのドメインを購入します。

次に行うことは、サンプルのメールを自分に送信することです。これは、ITのアップグレードがあり、人々が自分のアカウントを検証する必要があるという線に沿ったものになる可能性があります。信頼できるメールで、信頼できるものでさえ、信頼できるものに焦点を当てます。資格情報を使用してログインし、それらが取得されることを示します。

同じ資格情報を使用して企業ネットワークにログインします(結局それはAD資格情報であるため)。これで、攻撃者はACMEの従業員がアクセスできるすべてのものにアクセスできるようになり、アプリケーションを壊したり建物に侵入したりすることもありません。彼はずっと駐車場の外に座っていることができます。

追加の効果が必要ですか?この全体を本当にクールなビデオにしてください。少し時間がかかっても、難しくありません。

攻撃者が侵入する方法を示したら、従業員が身を守るために何をする必要があるかに焦点を合わせます。つまり、電子メールが送信者であると主張する人からのものであることを確認します。よくわからない場合は、相手にメールを送信したかどうか尋ねます。安全であることを意味するのであれば、相手の時間を無駄にしてもかまいません。リンクが組織の外部にある場合は、クリックする前に、その人またはセキュリティチームに問い合わせてください。それが外部のものであり、資格情報を要求する場合は、特に指示がない限り、悪意のあるものと想定してください。

個人的な経験から、これは非常に効果的であると言えます。それが一部の人にパラノイアを引き起こしたとしても、それは人々に印象を与えます-ある程度のパラノイアは常に良いです。 :)

それを次のレベルに引き上げたい場合は、SETが提供する機能を確認することをお勧めします。 Dave Kennedy とそれに取り組んだ他のすべての人は、このツールに対して非常に素晴らしい仕事をしてきました。ソーシャルエンジニアリングについて人々に教えるのに必要なすべてのツールを提供します。

25

ソーシャルエンジニアリング攻撃について他の人を教育する最善の方法は、デモンストレーションすることです。理論で概念を説明することはすべてうまくいきますが、ほとんどの人は実際に彼らが彼らに与えることができる影響を経験するまで実際にレッスンを吸収しません。

映画にはこの面白いシーンがあります Now You See Me 何人かのマジシャンが上司をだまして銀行口座の秘密の質問に対する答えを通常の会話のように見せ、彼から1億4000万ドルを盗みました。

おそらく1億4,000万ドル以上の純資産を持つ友人はいないでしょう(これが真実でない場合は、幸運です!)が、最も無害な会話があなたよりも多くのあなたの情報を明らかにしていることを示すのに役立ちます快適だろう。

だから、あなたの友人にいくつかのソーシャルエンジニアリングのトリックを試してみてください。それらに座り、彼らの前の彼らのアカウントにログインして、あなたがそれをどのようにしたかを説明してください。あなたは本当に事前に許可を求めることはできません(またはそれはもはや有効ではありません)ので、それらが本当に良い友達であることを確認してください。 :P

13
user10211

ソーシャルエンジニアリングは心理学を中心に展開します。それは目標を達成するために人間の行動に影響を与えようとしますが、残念ながらそれはしばしば非常にうまく機能します。私の意見では、人々を教育する最良の方法は例です。興味深いビデオは、Defconによる Social Engineering LIVE のデモです。

ほとんどの場合、ソーシャルエンジニアは、電子メールの送信、電話の発信、またはFAXの送信(イニシアチブ7 DNSハイジャックで最初に推定されたもの)のいずれかによって、率先して行動する必要があります。ここに、あなたが自問すべきいくつかの質問があります:

  • ここで私に連絡しているのは誰ですか? (連絡先の詳細のほとんどはインターネット上にあります!)
  • なぜ彼は私に連絡しているのですか?
  • この会社では、彼からの連絡方法は普通ですか?
  • 彼が要求している情報は機密ですか?
  • これが本当にこの人であることを確認する方法はありますか?

良い方法は、事前に確立された2つの別個の通信チャネルを使用することです。たとえば、アクションの実行を要求している特定の人から電話がかかってきた場合は、電話を止めて、信頼できるソースからの資格情報を使用してその人にかけ直します。たとえば、誰かがヘルプデスクから電話をかけている場合、内線番号と名前を確認します。次に、会社の内部電話帳で調べて、同じかどうかを確認します。あなたは彼らに電話をかけ直して、それがまだ同じ人物であるかどうかを確認したいと思うかもしれません。本人が提供する電話番号は絶対に使用しないでください(この例では、とにかく)。

この例は、攻撃者がマイクロソフトの技術者を装った最近のマイクロソフトサポート詐欺です。被害者はcmdを開いてコマンドを実行するように指示され、攻撃者は「ねえ、私はこれができるのでマイクロソフトです」と述べました。その後、被害者にウイルス対策やその他のセキュリティメカニズムをシャットダウンするよう要求しました。被害者が疑わしくなった場合、攻撃者は他の方法で圧力をかけます。

企業の場合、特に認証と検証の手順がある場合は、プロトコルをバイパスできるループホールがないことを確認する必要があります。最近、クレジットカードの上限を引き上げようとしている人の話を聞きました(クレジットカードを盗んだ後、詐欺師が消費能力を高めるためによく使用します)。認証されなかったため、この人は増加しませんでした。どっちがいい!しかし、それから彼はカスタマーサポートに電話し、本当に怒り、銀行を変えると脅しました。カスタマーサポートは、彼を認証することさえせずに、彼の信用限度を引き上げることによって対応しました。これは、悪意のある目的で人々に圧力をかける一例にすぎません。

ITに関心のない人はこれにだまされて、ソーシャルエンジニアリング攻撃の例をいくつか紹介することで教育することができます。 David Schwartzberg による良いアドバイス:

電話で認証されていない人が見知らぬWebサイトにサーフィンを勧めるときはいつでも、最善の方法は何もしないことです。電話で未確認の人が個人を特定できる情報または財務情報を要求する場合は常に、電話を切るのが最善の方法です。さよならも言わないでください。

詳細については、こちらをご覧ください social-engineering.org

S-CERT には、ソーシャルエンジニアリングに対するガイドラインもあります。

  • 従業員またはその他の内部情報について尋ねる個人からの迷惑電話、訪問、または電子メールメッセージに疑いを持ちます。不明な個人が正当な組織からのものであると主張する場合は、その人物の身元を会社に直接確認してみてください。
  • 個人情報または組織の構造やネットワークを含む組織に関する情報を提供しないでください。
  • 電子メールで個人情報や財務情報を開示したり、この情報を求める電子メールの請求に返信したりしないでください。これには、メールで送信される以下のリンクが含まれます。
  • Webサイトのセキュリティを確認する前に、機密情報をインターネット経由で送信しないでください(詳細については、プライバシーの保護を参照してください)。
  • WebサイトのURLに注意してください。悪意のあるWebサイトは正規のサイトと同一に見えるかもしれませんが、URLはスペルのバリエーションや異なるドメイン(.comと.netなど)を使用している場合があります。
  • メールリクエストが正当であるかどうか不明な場合は、会社に直接連絡して確認してください。リクエストに関連するウェブサイトで提供される連絡先情報は使用しないでください。代わりに、以前のステートメントで連絡先情報を確認してください。既知のフィッシング攻撃に関する情報は、フィッシング対策ワーキンググループ( http://www.antiphishing.org )などのグループからもオンラインで入手できます。
  • ウイルス対策ソフトウェア、ファイアウォール、および電子メールフィルターをインストールして維持し、このトラフィックの一部を削減します(詳細については、ファイアウォールについて、ウイルス対策ソフトウェアについて、およびスパムの削減を参照してください)。
  • 電子メールクライアントとWebブラウザーが提供するフィッシング対策機能を利用します。

被害者の場合はどうしますか?

  • 組織に関する機密情報を公開したと思われる場合は、ネットワーク管理者を含め、組織内の適切な担当者に報告してください。疑わしいアクティビティや異常なアクティビティを警戒することができます。

  • 金融口座が侵害されていると思われる場合は、すぐに金融機関に連絡し、侵害された可能性のある口座をすべて閉鎖してください。アカウントに原因不明の請求がないか確認します。

  • 明らかにした可能性のあるパスワードをすぐに変更します。複数のリソースに同じパスワードを使用した場合は、必ずアカウントごとに変更し、今後そのパスワードを使用しないでください。

  • 個人情報の盗難の他の兆候に注意してください(詳細については、個人情報の盗難の防止と対応を参照してください)。

  • 警察への攻撃の報告を検討し、連邦取引委員会に報告を提出してください( http://www.ftc.gov/ )。

13
Lucas Kauffman

成長する動きの中で、オーディエンスを互いにソーシャルエンジニアリングするようにしてください。彼らに情報を相互に抽出する方法を考案し、彼らが持っているアイデアと機能したものを共有してもらいます。プロセスをできるだけ自宅に近づけるほど、日常生活のモデルとして積極的に使用することが容易になります。

1940年代にアメリカで行われた調査では、高品質の肉が手に入らなかったときに、主婦がメニューでより多くの臓器肉を使用する方法を調べました。教育のイニシアチブは、1人の研究者が講義を完全に停止するというアイデアを得るまで、1対1でさえ、惨めに失敗しました。まったく教育を行う代わりに、彼は主婦を集めて、他の主婦にもっと多くの内臓肉を使わせるための教育的イニシアチブを考案する方法を「ブレインストーミング」しました。 「ブレーンストーミング」セッションに参加した人は、セッション後に臓器肉を一貫して使用する率が著しく高かった。もちろん、ポイントは人々が思いついたことではなく、人々に自分の理由を考え出させることでした。 「表が変わった」と、行動の変化は自然になり、長期的には統合されました。

6
schroeder

他の人が言ったように、デモ。あなたが気付かないかもしれないのは、デモの状況でどれほど簡単ソーシャルエンジニアリングを行うことができるかです。

私は過去に、実際に準備することなく「デモ」をセットアップし、端末の周りにグループを集め、人々が自分の電子メールへのアクセスを取得する方法を示すつもりであると伝えました。次に、ターミナルに座って、ログイン画面に移動して、

はい、ボランティアが必要です。君は。誰もあなたのパスワードを知っていますか?驚くばかり。だから、私たちの間で、ここにそれを書いてください。

そしてそうです。真剣に。それがデモだと思って、他の人からそのパスワードを保護する方法を示すつもりです、彼らは私を信頼してパスワードを教えてくれます。それは失敗しただけです1回、そしてその人はボールに乗っていたために火星バーを得ました。

4
Owen

映画はそのような教育に適しています。電子メールフィッシングのコンテキストで この回答 を参照してください(大部分はこれは同じ状況です)。そのうちのいくつかをお勧めします。 Friendsはおそらくいくつかの映画を観ることに同意するでしょう、そしてそれは苦痛のない学習です。

ビジネスのコンテキストでは、同様の方法を使用できます。スピーカーは、上記の映画の1つの抜粋を示し、「情報セキュリティ」の観点から見た場合の意味を説明します。例えば。数か月前に見た this one を見て、面白くて指導的であることがわかりました。教育学の鍵は、学生が実際にはいくつかの仕事をしていないことを学生に納得させることです(そうでない場合、彼らは正しく聞くことをやめます)。

3
Thomas Pornin

残念ながらそうではありません。誰もこれに言及していないようで、それは一種の重要なことです。ケビン・ミトニックがポスターにすぎないこの時代に、彼の方法のいくつかはまだ機能しています。たとえば、数百万ドルの価値があるActivion Blizzardがまだその日を過ごすことができる時代に。確かに、誰かのゲームアカウントを奪うことは無害であると主張できますが、それでもそれは脆弱性です。

核となる問題は、エクスプロイトが人間の本質の中にあるため、普遍的な「パッチ」が存在しないことです。このような攻撃にどのように対抗するかについて地球全体を教育するための本を書くことはできません。ただし、できることは、特定の会社に焦点を当てることです。一度に1つだけ。上記と同じACMEを取り上げます。あなたがしたいことは:

  • 攻撃ポイントを定義する
  • それらを守る

文字通り、それは簡単です。メソッドではなく、目標。あなたは可能なソーシャルエンジニアが何をするのかを理解し、それを保護する方法を見つけたいと思っています。従業員のアクセスを制限するか、単純な「これを明らかにしない」ルールを適用します。ただし、非常に狭くする必要があります。従業員が心に留めておかなければならないことが30ある場合、従業員が何かを部分的に、またはまったくではなく、決して誰かに明らかにすることを想定している場合、従業員は覚えるのが難しい場合があるためです。できるだけ具体的に行ってください。それに加えて、一般的な反社会的エンジニアリングトレーニングのいくつかの基本的なバージョンを提供する必要があります。たとえば、「ねえ、誰かと話すと、彼は見知らぬ人でもこの温かい気持ちを与えてくれます。そして、あなたは外出せざるを得ません。ラインのと彼らを助けますか?そのようなもの。 2段階認証の設定も優れている場合がありますが、機密情報にアクセスするために2人の人が必要になる場合とは異なります。そうすれば、エンジニアの一人が転がしても、他の人が引っかかるかもしれません。

残念ながら、それはそれについてです。私はこれについて多くのことを書きました、そして私はガイドの中で人々に「それに陥らない方法」を設計しました、そして彼らはまだそれに陥りました悪魔を表示することはデモンストレーションに適した方法ですが、常に望ましい効果が得られるとは限りません。あなたは「くそー、私はこのようなものに注意を払う必要がある」の代わりに「かっこいい」を得るでしょう!したがって、本当に地球をハックしたい場合は、コンサルティングビジネスを開始し、ジョブごとにアプローチして、アプローチとテクニックを変更してください。平和!

1