私は最近本を書き終えました欺瞞の芸術:セキュリティの人間的要素の制御ケビン・ミトニック
この本は2002年12月4日にリリースされました。この本で説明されているテクニックだけでなく、ソーシャルエンジニアが使用している方法は現在も脅威になっていますか?
この本とそこに記載されている問題から少なくとも10年は経過しているため、提示された情報を迅速に検証でき、暗号化、高速モバイルネットワーク接続、特権管理システム、生体認証など...
私は誤った安全感覚で住んでいますか、それとも私から話すのが怖いですか?
そして今、あなたは、そのような質問をしてあなたの貴重な知識をすべて得ることがソーシャルエンジニアリングであったかどうかを考えることができます。 :-)
あなたは間違いなく誤った安心感の中で生きています!ソーシャルエンジニアリングは今日でも非常に普及しており、それが数十年で変わるとは思えません。
ソーシャルエンジニアリングが機能する理由について簡単に説明します。ソーシャルエンジニアリングは非常に幅広い分野であるため、すべてを網羅するのは困難です。
ソーシャルエンジニアリングが機能するいくつかの理由(下部に引用されている本から):
役立つこと
通常、人間は互いに助け合うことを望んでいます。私たちはいいことをするのが好きです!
私は大きな企業のオフィスでレセプションに出向き、書類をコーヒーに浸しました。私は受付係と話し、5分後に就職の面接会議があることを説明しましたが、すべての書類にコーヒーをこぼしてしまいました。次に、受付係がとても優しいのかどうか尋ねて、このUSBメモリスティックを使って、もう一度印刷してもらいます。
これにより、受付のPCが実際に感染する可能性があり、ネットワーク内での足がかりになる可能性があります。
恐怖を使う
失敗したり、注文どおりに実行しないことの恐怖:
同社のディレクター(ジョンスミス)のFacebookページ(またはその他の情報源)を見ると、彼はクルーズに3週間滞在したばかりであることがわかります。私は秘書に電話し、その声で「こんにちは、クリスが電話しています。ジョンスミスと電話を切ったところです。彼は妻のカーラと子供たちとのクルーズでとても楽しい時間を過ごしています。しかし、非常に重要なビジネスシステムを統合している最中、彼は私に助けを与えるために電話をかけるように私に言った。彼らはサファリに行っているので彼は彼自身を呼ぶことができなかったが、これは本当に緊急である。あなたがする必要があるのはメールで彼に宛てられたUSBスティックを差し込み、コンピュータを起動すれば、すべて完了です。プロジェクトは成功しました。
どうもありがとうございました!あなたは大きな助けになりました!ジョン・スミスはあなたがこの有用な行為についてあなたを認めると確信しています。 」
テールゲート。私はあなたのために入口のドアを持っており、私はすぐにあなたの後ろを歩きます。セキュリティが有効になっている次のドアを開くと、私は同じ方向に向かいます。ほとんどの人は、ドアをもう一度持って、役に立つ行動をとって返済します。これにより、本来あるべきではない場所にあなたが入ることができます。捕まることを心配していますか?いや、ごめんなさいと間違った方向に進んだと言うだけです。
ターゲットはほとんどあなたのためにドアを握る義務を負うと感じるでしょう!
好奇心を引き出す
組織内のさまざまな場所に10本のUSBスティックをドロップしてみてください。あなたはあまりにも明白な場所にそれらを配置する必要はありません。 USBにはオートランフォンホームプログラムが必要です。これにより、誰かがUSBスティックをいつ接続し、理論的には悪用されるかを確認できます。
この別のバージョンは、USBスティックを1つのPDFと呼ばれる「John Smith-Norway.pdf」などのドキュメントでドロップすることです。PDfドキュメントにはAdobe Acrobat Readerエクスプロイトが含まれています(大量のそして、ユーザーが所有するドキュメントをクリックすると、もちろん、エクスプロイトがターゲット組織の特定のバージョンのAdobeに合わせて調整されていることを確認しました。ほとんどの人がドキュメントを開いて、 USBスティックを所有者に返してみてください。
これはほんの数例です。もちろんもっとたくさんあります!
また、歴史的なソーシャルエンジニアリングイベントも確認できます。
HBGary
全文を読むことができます ここ (ページ3にはソーシャルエンジニアリングの部分が含まれています)
昨年HBGaryがハッキングされました。この攻撃には多くの異なるステップが含まれていましたが、ソーシャルエンジニアリングの側面も含まれていました。簡単に言えば、ハッカーはVIPの会社のメールアカウントを侵害し、ターゲットシステムの管理者に次のようなメールを送信しました。「こんにちは、私は現在ヨーロッパにいます。空港間を行き来しています。IPから来る番号の大きいポートでSSHを開くことはできますか?いくつかの作業を完了する必要があります。」管理者がこのメールを受け取ったとき、これに準拠するのは当然だと感じました。メールが信頼できるソースから送信されていることを確認します。
しかし、それだけではありません!攻撃者はアカウントのパスワードを持っていますが、ログインが機能していませんでした!したがって、彼は管理者にメールを送り返します。「ねえ、それは機能していないようです。パスワードはまだ正しいですか?ユーザー名は何でしたか?」現在、彼はシステムの実際のパスワードも提供しており(攻撃者は、同じハッキングで別のシステムが以前に侵害されたことでそれを入手しました)、攻撃者に管理者からのより多くの信頼を与えています。もちろん、管理者はそれに応じて攻撃者にユーザー名を伝えます。
一番上のリストは「 社会工学:人間のハッキングの芸術 」という本からのものであり、非常に強くお勧めします!
はい、すべてのシステムは最も弱いメンバーと同じくらい弱い、そしてつまり人間であり、常にそうです。
あなたは今これらの最も明白なテクニックのいくつかのために '免疫'かもしれませんが、それは 'IT部門'次の週末まで待てない上司のコンピューター上の重要な情報をすばやく検索します。重要でない質問をしたら、彼女はAccept
をクリックするだけです。もちろん彼女はそれをします...誰もが間違った状況でそれをします...
ソーシャルエンジニアリング(SE)は、攻撃者が持っている情報を悪用することだけでなく、(人間の)行動のパターンを悪用することについてもです。
これを説明するために、少し練習しましょう。Wordではなく、色を大声で言います。
ここで「エクスプロイト」を見ることができますか?この「エクスプロイト」の実際の状況での使用は非常に疑わしいですが、有効な情報があっても脳がどのように操作されるかを非常にはっきりと示しています(私たちは赤ちゃんのときに色を学びました)。
実際の例は次のようになります。秘書がUSBをマシンに挿入するとします。特にこれを禁止するポリシーがある場合は、彼女のところに行き、彼女にそうするよう丁寧に頼むことは拒否されるかもしれません。しかし、あなたはスーツを着て、シャツ/ズボンと紙にコーヒーをこぼしてから彼女に近づき、それらの紙を持って言った-「私は会議に遅刻しているので、ここに車で行っている間、猫は走り出した。私の車の前で、私はとても激しく壊れ始めました。猫は生き残ったが、私の書類は生き延びませんでした。これは奇妙な要求ですが、私のために印刷していただけませんか?私は本当に遅れています。本当に怒ってる!」
これは口実と呼ばれ、基本的にSErが演じる役割です。この口実で私たちは何をしていますか?私たちは感情を利用しています。これが上手くプレイされ、あなたの microexpressions が本物である場合、おそらく彼女はあなたが望むことをするでしょう。どうして?私たち人間はこういうふうになっているからです。はい、彼女は自分のPCに未知のデバイスを置くことは有害であるかもしれないことを知っているかもしれません。はい、彼女はそれについて教育を受けているかもしれませんが、真剣に考えてください、あなたは猫に当たらないようにしようとしました、あなたはあなたのコーヒーを飲まなかった、あなたはあなたのスーツを台無しにしました、あなたは会議に遅れました、あなたの上司はあなたに怒っています、そして今いくつかのポリシーは彼女にあなたに失礼であることを求めます。さあ...しかし、ここで重要なのは、彼女を正しい気分にさせることです-あなたを気の毒に思います。そのためには、あなたのマイクロエクスプレッションが彼女によって真(本物)であると解釈される必要があります。カードを正しくプレイした場合、色と同じ効果が得られます。彼女はそれをしてはいけないこと(言葉の色)であることを知っていますが、感情がそうでない(言葉の意味)と伝えています。
SErがターゲットを引っ張ることができるもう1つのトリックは、いわゆる パブロフの犬の実験 です。では、よだれを垂らしている犬はITSecとどのような関係があるのでしょうか。職場の物理的なセキュリティについて知りたいとしましょう。あなたはその情報を私と共有すべきではないことを知っています。また、仕事の後はいつも地元のパブでドリンクを飲みに来ることも知っています。ある日自己紹介をして、雑談を始めます。最初はそれはあなたのクールな車についてだけでした。それから私たちは女性の弁護士について、次に私たちの幹部について、去年の休暇についてなどについて話し始めました...総じて、話すことは珍しいことではありませんが、それは私生活からのものです。私たちが会ったとき、あなたが私が質問をするたびに私はタバコでテーブルを打つことに気づきました。最初はそれは迷惑な習慣であるかもしれませんが、それからあなたはそれを無視しました。数日/数週間あなたが私の周りに居心地がよくなり始めた後、私はあなたの仕事と仕事の環境について尋ね始めました。そして少しずつ、あなたはあなたの会社の物理的なセキュリティについて私が知りたいことを教えてくれました。
だから私はここで何をしましたか?私はあなたと気軽に話をすることで、タバコを吸うたびに答えが出るようにあなたの脳を訓練しました。これは洗脳ではありませんが、そうするだけであなたの最も暗い秘密を教えてくれませんが、これを想像してみてください-タマネギの1つの層をはがしてください。第2層は、あなたと過ごす時間を過ごすことで私が得た信頼でした。などなど...私はあなたを操作しましたが、この簡単なトリックは私があなたにデリケートな質問をしたときに赤信号を立てないようにするのに役立ちました。繰り返しますが、それはあなたが持っている情報(見知らぬ人にそれを言わないでください)ではなく、あなたの行動と外の世界への反応に関するものでした。
ここで私が言おうとしていることは、あなたが何を知っていても、正しい状況に置かれていれば、あなたから求められていることをするでしょう。どうして?それは私たちの遺伝学にあるからです。
1つまたは2つの「IT部門外」の例を示すだけで、巧妙なSErに攻撃された場合、ターゲットが持つ情報/知識はどのように無意味になる可能性があります。法廷では、証拠は純粋に冷酷な事実ですが、優れた弁護士は、クライアントがどんなに悪い立場であっても、SEを使用してそれらの事実を有利に変えることができます。
あなたが車を買う前に、あなたは行って、あなたにとってどれがあなたにとって最良であるかをあなた自身に知らせるでしょう。店に到着して購入すると、販売者はSEを使用して、より高価な車を購入する必要があることを確信させることができます。
また、 このビデオをチェック 。彼はそれをどのように行いましたか?普通に行動するだけで。これ以上何もない。
これは、目標が内部情報である場合に最もよく使用される標的型攻撃の1つです。長年ソーシャルエンジニアリング攻撃チームと協力して、サーバールームと安全な領域にアクセスし、機密書類を受け取り、機密システムにアカウントを与えてきました。 。
人々は、一般的に、親切で無知です。これは厳しいように聞こえますが、全体として、人々は苦痛を感じている人を助けようとします。また、システムや手順について詳しく知っている人に直面すると、多くの人が求められていることを実行します。
your組織のセキュリティを改善するための比較的安価な方法-毎年の意識向上トレーニング。費用対効果という点では、ITセキュリティに費やすよりも効果的です。
ソーシャルエンジニアリングは依然として非常に弱いリンクです。人々は一般的に信頼しており、時にはパスワードのリセットなどの低レベルのテクニカルサポートの問題を解決する人々は、特にセキュリティを意識していない安価で十分に訓練されていない労働者です。
さらに、情報セキュリティは、システム/ポリシーが設計されているときの顧客満足度と同じくらい優先度が高いとは限らず、ソーシャルエンジニアリングの弱点に役立っています。
ソーシャルエンジニア=信頼Trixter。詐欺師は、Xがデータ、武器、特許、企業秘密、パスワードなどと同等である場合に、あらゆる安全な(X)保護方法に違反することに完全に成功しています。
人を統治するのは時間と同じくらい古く、人の心が新しいテクノロジーを学び、他の人がテクノロジーとやり取りするのが苦手なのと同じくらい柔軟です。
これは冗談(Managing CVE-0)、 ですが、攻撃を標的にする最良の方法は、会社を知り、技術にあまり精通していない会社の副社長を見つけて、会社の扉を開くことです。
そこにあるすべてのyour-account-has-been-suspendedフィッシングスパムを見てください。それがうまくいかない場合、彼らはそれを送っていないでしょう。それはソーシャルエンジニアリング攻撃です。
元の返信を書いてから、別のケースに遭遇しました。上司から部下への偽造メールで、購入した絵の支払いとして6桁の金額を特定の銀行口座に支払うように指示しました。このスピアフィッシュを試した人は彼のターゲットを十分に理解していませんでした。