Социальная инженерия (безопасность) - Social engineering (security)
В контексте информационная безопасность, социальная инженерия это психологическая манипуляция людей в совершение действий или разглашение конфиденциальная информация. Это отличается от социальной инженерии в социальных науках, которая не касается разглашения конфиденциальной информации. Тип трюк с уверенностью в целях сбора информации, мошенничества или доступа к системе он отличается от традиционного «мошенничества» тем, что часто является одним из многих шагов в более сложной схеме мошенничества.[1]
Это также было определено как «любое действие, которое побуждает человека совершить действие, которое может или не может быть в их интересах».[2]
Культура информационной безопасности
Поведение сотрудников может иметь большое влияние на информационную безопасность в организациях. Культурные концепции могут помочь различным сегментам организации работать эффективно или работать против эффективности в отношении информационной безопасности внутри организации. «Изучение взаимосвязи между организационной культурой и культурой информационной безопасности» дает следующее определение культуры информационной безопасности: «ISC - это совокупность моделей поведения в организации, которые способствуют защите информации всех видов».[3]
Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью «усилий» организации по обеспечению информационной безопасности и часто предпринимают действия, которые игнорируют интересы организации в области информационной безопасности.[4] Исследования показывают, что культуру информационной безопасности необходимо постоянно улучшать. В статье «Культура информационной безопасности от анализа к изменениям» авторы отметили, что «это бесконечный процесс, цикл оценки и изменения или обслуживания». Они предполагают, что для управления культурой информационной безопасности необходимо предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, реализация и последующая оценка.[5]
- Предварительная оценка: определить осведомленность сотрудников об информационной безопасности и проанализировать текущую политику безопасности.
- Стратегическое планирование: чтобы разработать лучшую программу осведомленности, нам необходимо установить четкие цели. Кластеризация людей помогает достичь этого.
- Оперативное планирование: установите хорошую культуру безопасности, основанную на внутреннем общении, заинтересованности руководства, осведомленности о безопасности и программе обучения.[5]
- Реализация: необходимо использовать четыре этапа для внедрения культуры информационной безопасности. Это приверженность руководства, общение с членами организации, курсы для всех членов организации и приверженность сотрудников.[5]
Методы и сроки
Все методы социальной инженерии основаны на определенных качествах человека. принимать решение известный как когнитивные предубеждения.[6] Эти предубеждения, иногда называемые «ошибками в аппаратном обеспечении человека», используются в различных комбинациях для создания методов атаки, некоторые из которых перечислены ниже. Атаки, используемые в социальной инженерии, могут использоваться для кражи конфиденциальной информации сотрудников. Самый распространенный вид социальной инженерии - по телефону. Другими примерами атак социальной инженерии являются преступники, выдающие себя за истребителей, начальников пожарной части и технических специалистов, чтобы остаться незамеченными во время кражи секретов компании.
Одним из примеров социальной инженерии является человек, который входит в здание и размещает официальное объявление в бюллетене компании, в котором говорится, что номер службы поддержки изменился. Таким образом, когда сотрудники обращаются за помощью, человек спрашивает их пароли и идентификаторы, тем самым получая возможность доступа к частной информации компании. Другим примером социальной инженерии может быть то, что хакер связывается с целью через сайт социальной сети и начинает разговор с целью. Постепенно хакер завоевывает доверие цели и затем использует это доверие для получения доступа к конфиденциальной информации, такой как пароль или данные банковского счета.[7]
Социальная инженерия во многом опирается на шесть принципов влияния, установленных Роберт Чалдини. Теория влияния Чалдини основана на шести ключевых принципах: взаимность, приверженность и последовательность, социальное доказательство, авторитет, симпатия, дефицит.
Шесть ключевых принципов
- Взаимность - Люди склонны отвечать за одолжение, поэтому бесплатные образцы в маркетинге. В своих конференциях он часто использует пример Эфиопия предоставление гуманитарной помощи на тысячи долларов Мексика сразу после землетрясения 1985 года, несмотря на то, что Эфиопия в то время страдала от ужасающего голода и гражданской войны. Эфиопия ответила взаимностью на дипломатическую поддержку, оказанную Мексикой, когда Италия вторглась в Эфиопию в 1935 году. хороший полицейский / плохой полицейский стратегия также основана на этом принципе.
- Обязательство и последовательность - Если люди привержены, устно или письменно, идее или цели, они с большей вероятностью выполнят это обязательство, потому что они заявили, что эта идея или цель соответствует их самооценка. Даже если первоначальный стимул или мотивация будут удалены после того, как они уже согласились, они будут продолжать соблюдать соглашение. Чалдини отмечает китайский промывание мозгов американских военнопленные чтобы переписать свою самооценку и добиться автоматического выполнения без принуждения. Другой пример - маркетологи, которые заставляют пользователя закрывать всплывающие окна, говоря: «Я зарегистрируюсь позже» или «Нет, спасибо, я предпочитаю не зарабатывать деньги».
- Социальное доказательство - Люди будут делать то, что, по их мнению, делают другие. Например, в одном эксперименте один или несколько соратников смотрели в небо; Затем прохожие смотрели в небо, чтобы увидеть, чего им не хватало. В какой-то момент этот эксперимент был прерван, так как столько людей искали, что остановили движение. Видеть соответствие, а Эксперименты соответствия Asch.
- Орган власти - Люди будут подчиняться авторитетным фигурам, даже если их просят совершить нежелательные действия. Чалдини цитирует такие инциденты, как Милгрэм эксперименты в начале 1960-х и Моя резня лаи.
- Нравится - Людей легко переубедить те, кто им нравится. Чалдини ссылается на маркетинг Tupperware в том, что теперь можно назвать вирусный маркетинг. Люди с большей вероятностью купят, если им понравится продавец. Обсуждаются некоторые из многих предубеждений в пользу более привлекательных людей. Видеть стереотип физической привлекательности.
- Дефицит - Воспринимаемая нехватка генерирует требовать. Например, если предложение «доступно только ограниченное время», это стимулирует продажи.
Четыре вектора социальной инженерии
Вишинг
Вишинг, иначе известный как "голосовой фишинг ", это преступная практика использования социальной инженерии над телефонная система получить доступ к частной личной и финансовой информации от общественности с целью финансового вознаграждения. Он также используется злоумышленниками для разведка цели собрать более подробную интеллект на целевую организацию.
Фишинг
Фишинг - это способ получения конфиденциальной информации обманным путем. Как правило, фишер отправляет электронное письмо, которое, похоже, исходит от законного предприятия - банка или компания кредитной карты - запрос «проверки» информации и предупреждение некоторых ужасные последствия если он не предусмотрен. Электронное письмо обычно содержит ссылку на мошенническую веб-страницу, которая кажется законной - с логотипами и содержанием компании - и имеет форму, запрашивающую все, от домашнего адреса до Карта банкомата с ШТЫРЬ или Номер кредитной карты. Например, в 2003 году произошла фишинговая афера, при которой пользователи получали электронные письма якобы от eBay утверждая, что учетная запись пользователя была приостановлена, если не была нажата указанная ссылка для обновления кредитная карта (информация, которую уже имел настоящий eBay). Имитируя HTML-код и логотипы законной организации, относительно просто сделать поддельный веб-сайт аутентичным. Мошенничество заставило некоторых людей подумать, что eBay требует от них обновить информацию о своей учетной записи, нажав на предоставленную ссылку. Без разбора рассылка спама Очень большие группы людей, «фишер» рассчитывал получить конфиденциальную финансовую информацию от небольшого процента (но большого числа) получателей, которые уже имеют учетные записи eBay и также стали жертвами мошенничества.
Улыбка
Акт использования SMS текстовые сообщения, чтобы заманить жертв к определенному образу действий. Нравиться фишинг это может быть нажатие на вредоносную ссылку или разглашение информации.
Выдача себя за другое лицо
Притворяться или притворяться другим человеком с целью получить физический доступ к системе или зданию. Выдача себя за другое лицо используется в "Мошенничество со сменой SIM-карты " мошенничество.
Другие концепции
Претекст
Претекст (прил. предлог) представляет собой акт создания и использования придуманного сценария ( предлог ) для вовлечения целевой жертвы в манеру, которая увеличивает вероятность того, что жертва разгласит информацию или выполнит действия, которые были бы маловероятны в обычных обстоятельствах.[8] Сложный ложь, чаще всего это связано с предварительным исследованием или настройкой и использованием этой информации для выдачи себя за другое лицо (например, Дата рождения, ИНН, последняя сумма счета), чтобы установить легитимность в сознании адресата.[9] В качестве предыстории, претекст можно интерпретировать как первую эволюцию социальной инженерии, и он продолжал развиваться по мере того, как социальная инженерия включала современные технологии. Текущие и прошлые примеры использования предлогов демонстрируют это развитие.
Этот метод можно использовать, чтобы обманом заставить бизнес раскрыть информацию о клиентах, а также частные детективы для получения телефонных и коммунальных записей, банковских отчетов и другой информации непосредственно от представителей сервисных служб компании.[10] Затем эту информацию можно использовать для установления еще большей легитимности при более жестком опросе менеджера. например, чтобы внести изменения в аккаунт, получить определенный баланс и т. д.
Претекс также может использоваться для выдачи себя за коллегу, полицию, банк, налоговые органы, духовенство, страховых следователей или любое другое лицо, которое могло воспринимать авторитет или право знать в сознании целевой жертвы. Обманщик должен просто подготовить ответы на вопросы, которые может задать потерпевший. В некоторых случаях все, что требуется, - это авторитетный голос, серьезный тон и способность думать на ногах, чтобы создать предлоговый сценарий.
Вишинг
Телефонный фишинг (или "вишинг ") использует мошенник интерактивный голосовой отклик (IVR) для воссоздания звучащей на законном основании копии системы IVR банка или другого учреждения. Жертву предлагается (обычно через фишинговое письмо) позвонить в «банк» по номеру (в идеале - бесплатному), предоставленному для «проверки» информации. Типичная система «вишинга» будет постоянно отклонять вход в систему, гарантируя, что жертва вводит PIN-коды или пароли несколько раз, часто раскрывая несколько разных паролей. Более продвинутые системы передают жертву злоумышленнику / мошеннику, который выдает себя за агента по обслуживанию клиентов или безопасность эксперт для дальнейшего допроса потерпевшего.
Целевой фишинг
Несмотря на то, что целевой фишинг похож на «фишинг», он представляет собой метод, при котором обманным путем получают личную информацию путем отправки настраиваемых электронных писем немногим конечным пользователям. Это основное различие между фишинговыми атаками, поскольку фишинговые кампании сосредоточены на рассылке больших объемов обобщенных электронных писем с ожиданием, что на них ответят лишь несколько человек. С другой стороны, электронные письма с целевым фишингом требуют, чтобы злоумышленник провел дополнительное исследование своих целей, чтобы «обманом» конечных пользователей выполнить запрошенные действия. Вероятность успеха целевых фишинговых атак значительно выше, чем у фишинговых атак: люди открывают примерно 3% фишинговых писем по сравнению с примерно 70% потенциальных попыток. Когда пользователи действительно открывают электронные письма, у фишинговых писем есть относительно скромные 5% успеха при нажатии ссылки или вложения по сравнению с 50% успешностью целевой фишинговой атаки.[11]
Успех целевого фишинга во многом зависит от количества и качества OSINT (данные из открытых источников), которые может получить злоумышленник. Социальные медиа активность аккаунта - один из примеров источника OSINT.
Просачивание воды
Водопад - это целевая стратегия социальной инженерии, основанная на доверии пользователей к веб-сайтам, которые они регулярно посещают. Жертва чувствует себя в безопасности, делая то, что она не стала бы делать в другой ситуации. Настороженный человек может, например, целенаправленно избегать нажатия на ссылку в незапрашиваемом электронном письме, но тот же человек без колебаний перейдет по ссылке на веб-сайте, который они часто посещают. Итак, злоумышленник готовит ловушку для неосторожной добычи у удобного водопоя. Эта стратегия успешно использовалась для получения доступа к некоторым (предположительно) очень безопасным системам.[12]
Злоумышленник может установить цель, указав целевую группу или отдельных лиц. Подготовка включает сбор информации о веб-сайтах, которые жертвы часто посещают, из защищенной системы. Сбор информации подтверждает, что цели посещают веб-сайты и что система разрешает такие посещения. Затем злоумышленник проверяет эти веб-сайты на наличие уязвимостей для внедрения кода, который может заразить систему посетителя с помощью вредоносное ПО. Ловушка внедренного кода и вредоносное ПО могут быть адаптированы к конкретной целевой группе и конкретным системам, которые они используют. Со временем один или несколько членов целевой группы заразятся, и злоумышленник сможет получить доступ к защищенной системе.
Приманка
Приманка похожа на реальный мир троянский конь который использует физические носители и полагается на любопытство или жадность жертвы.[13] В этом атака, злоумышленники уходят вредоносное ПО -зараженный дискеты, CD-ROM, или же USB-накопители в местах, где люди их находят (ванные комнаты, лифты, тротуары, парковки и т. д.), дают им законные и вызывающие любопытство ярлыки и ждут жертв.
Например, злоумышленник может создать диск с корпоративным логотипом, доступный на веб-сайте цели, и назвать его «Сводка по зарплате руководителя за 2 квартал 2012 года». Затем злоумышленник оставляет диск на полу лифта или где-нибудь в холле целевой компании. Ничего не подозревающий сотрудник может найти его и вставить диск в компьютер, чтобы удовлетворить свое любопытство, или добрый самаритянин может найти его и вернуть компании. В любом случае, простая установка диска в компьютер устанавливает вредоносное ПО, предоставляя злоумышленникам доступ к компьютеру жертвы и, возможно, к внутренним ресурсам целевой компании. компьютерная сеть.
Если компьютер не контролирует блокировку инфекций, вставка компрометирует "автозапускаемые" носители ПК. Также могут быть использованы враждебные устройства.[14] Например, «счастливый победитель» получает бесплатный цифровой аудиоплеер компрометация любого компьютера, к которому он подключен. А "дорожное яблоко"(разговорный термин, обозначающий лошадь навоз, что указывает на нежелательный характер устройства) любой съемные медиа с вредоносным программным обеспечением, оставленным на случайных или заметных местах. Это может быть CD, DVD или флешка, среди других средств массовой информации. Любопытные люди берут его и подключают к компьютеру, заражая хост и все подключенные сети. Опять же, хакеры могут дать им заманчивые ярлыки, такие как «Заработная плата сотрудников» или «Конфиденциально».[15]
В одном исследовании, проведенном в 2016 году, исследователи бросили 297 USB-накопителей на территорию кампуса Университета Иллинойса. На дисках были файлы со ссылками на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких дисках были открыты файлы, но не сколько было вставлено в компьютер без открытия файла. Из 297 сброшенных дисков 290 (98%) были подняты, а 135 (45%) из них были «вызваны домой».[16]
Услуга за услугу
Quid pro quo означает что-то для чего-то:
- Злоумышленник звонит в компанию на случайные номера, утверждая, что перезвонил из службы технической поддержки. В конце концов, этот человек столкнется с серьезной проблемой и будет благодарен за то, что кто-то перезвонил и помог ему. Злоумышленник «поможет» решить проблему и в процессе получит команды пользовательского типа, которые дают злоумышленнику доступ или запуск вредоносное ПО.
- В 2003 году информационная безопасность опрос, 91% офисных работников дали исследователям то, что, по их мнению, пароль в ответ на вопрос опроса в обмен на дешевую ручка.[17] Подобные опросы в более поздние годы дали аналогичные результаты с использованием шоколадных конфет и других дешевых приманок, хотя они не пытались проверить пароли.[18]
Хвост
Злоумышленник пытается проникнуть в запретную зону, охраняемую необслуживаемыми электронными контроль доступа, например к RFID card, просто входит за человеком, имеющим законный доступ. Следуя общей вежливости, законное лицо обычно будет держать дверь открытой для злоумышленника, или сами злоумышленники могут попросить сотрудника держать ее открытой для них. Законное лицо может не запросить идентификацию по любой из нескольких причин или может принять утверждение о том, что злоумышленник забыл или потерял соответствующий токен идентификации. Злоумышленник также может имитировать действие по представлению токена идентификации.
Другие типы
Общий мошенники или мошенников также можно считать «социальными инженерами» в более широком смысле, поскольку они сознательно обманывают людей и манипулируют ими, используя человеческие слабости для получения личной выгоды. Они могут, например, использовать методы социальной инженерии как часть мошенничества в сфере ИТ.
Совсем недавно[когда? ] Тип техники социальной инженерии включает подмену или взлом идентификаторов людей, имеющих популярные идентификаторы электронной почты, такие как Yahoo!, Gmail, Hotmail и т. д. Среди множества мотивов обмана можно выделить:
- Фишинг номера счетов кредитных карт и их пароли.
- Взлом частных писем и историй чатов, а также манипулирование ими с помощью обычных методов редактирования перед их использованием для вымогательства денег и создания недоверия среди людей.
- Взлом веб-сайтов компаний или организаций и подрыв их репутации.
- Компьютер вирусные мистификации
- Убеждение пользователей запускать вредоносный код в веб-браузере через само-XSS атака, чтобы разрешить доступ к их веб-аккаунту
Контрмеры
Организации снижают риски безопасности за счет:
Обучение сотрудниковОбучение сотрудников протоколам безопасности, соответствующим их должности. (например, в таких ситуациях, как уход за хвостом, если личность человека не может быть подтверждена, сотрудники должны быть обучены вежливому отказу.)
Стандартная структураУстановление рамок доверия на уровне сотрудников / персонала (т. Е. Указать и обучить персонал, когда / где / почему / как следует обращаться с конфиденциальной информацией)
Изучение информацииОпределение того, какая информация является конфиденциальной, и оценка ее подверженности социальной инженерии и сбоям в системах безопасности (здание, компьютерная система и т. Д.)
Протоколы безопасностиУстановление протоколов, политик и процедур безопасности для обработки конфиденциальной информации.
Тест событияПроведение периодических тестов системы безопасности без предварительного уведомления.
ПрививкаПредотвращение социальной инженерии и других мошеннических уловок или ловушек путем формирования сопротивления попыткам убеждения путем воздействия на аналогичные или связанные попытки.[19]
РассмотрениеРегулярно проверяйте вышеуказанные шаги: нет идеальных решений для обеспечения целостности информации.[20]
Управление отходамиИспользование службы по утилизации отходов, в которой есть мусорные контейнеры с замками, а ключи от них могут получить только компания по утилизации отходов и персонал по уборке. Размещение мусорного контейнера либо на виду у сотрудников, чтобы попытка доступа к нему сопряжена с риском быть замеченным или пойманным, либо за запертыми воротами или забором, где человек должен вторгнуться, прежде чем он сможет попытаться получить доступ к мусорному контейнеру.[21]
Жизненный цикл социальной инженерии
- Сбор информации-Сбор информации - это первый и самый важный шаг, который требует большого терпения и внимательного наблюдения за привычками жертвы. На этом этапе собираются данные об интересах жертвы, персональная информация. Он определяет вероятность успеха всей атаки.
- Взаимодействие с жертвой-После сбора необходимого количества информации злоумышленник плавно начинает разговор с жертвой, и жертва не находит ничего неуместного.
- Атакующий-Этот шаг обычно происходит после длительного периода взаимодействия с целью, и во время этого информация от цели извлекается с помощью социальной инженерии. По фазе атакующий получает результаты от цели.
- Заключительное взаимодействие-Это последний шаг, который включает в себя медленное прекращение связи злоумышленником, не вызывая подозрений у жертвы. Таким образом, мотив исполняется, а жертва редко узнает, что нападение вообще произошло.[22]
Известные социальные инженеры
Фрэнк Абигнейл младший
Фрэнк Абигнейл младший - американский консультант по безопасности, известный своим прошлым как бывший мошенник, подделыватель чеков и самозванец, когда ему было от 15 до 21 года. Он стал одним из самых известных мошенников,[23] утверждали, что выделили не менее восьми личностей, включая пилота авиакомпании, врача, агента Бюро тюрем США и адвоката. Абигнейл дважды сбегал из-под стражи полиции (один раз из выруливающего авиалайнера и один раз из федеральной тюрьмы США), прежде чем ему исполнилось 22 года.[24]
Кевин Митник
Кевин Митник американец компьютерная безопасность консультант, автор и хакер, наиболее известный своим громким арестом в 1995 году и последующим пятилетним осуждением за различные преступления, связанные с компьютером и связью.[25]
Сьюзан Хедли
Сьюзан Хедли была американским хакером, работавшим в конце 1970-х - начале 1980-х годов, широко уважаемым за свой опыт в социальной инженерии, предлог, и психологическая подрывная деятельность.[26] Она была известна своей специализацией во взломе военных компьютерных систем, что часто предполагало то, что она ложилась спать с военнослужащими и просматривала их одежду в поисках логинов и паролей, пока они спали.[27] Она активно участвовала в фрикинг с Кевин Митник и Льюис де Пейн в Лос-Анджелес, но позже обвинил их в стирании системных файлов в US Leasing после ссоры, что привело к первому осуждению Митника. Она ушла в профессиональный покер.[28]
Бадир Братья
Братья Рами, Мужер и Шадде Бадир - все они были слепыми от рождения - сумели развернуть обширную схему мошенничества с телефонным и компьютерным мошенничеством. Израиль в 1990-х с помощью социальной инженерии, олицетворения голоса и Компьютеры с дисплеем Брайля.[29]
Кристофер Дж. Хэднаги
Кристофер Дж. Хэднаги американский социальный инженер и консультант по безопасности информационных технологий. Он наиболее известен как автор 4 книг по социальной инженерии и кибербезопасности.[30][31][32][33] и основатель Innocent Lives Foundation, организации, которая помогает отслеживать и выявлять торговлю детьми, используя различные методы безопасности, такие как обращение за помощью к специалистам по информационной безопасности, использование данных из открытых источников (OSINT) и сотрудничество с правоохранительными органами.[34][35]
Закон
В общее право, предлог - это вторжение в частную жизнь, нарушение права присвоения.[36]
Предтекстирование телефонных разговоров
В декабре 2006 г. Конгресс США одобрил законопроект, спонсируемый Сенатом, в соответствии с которым использование телефонных записей федеральным тяжкое преступление со штрафами до 250 000 долларов и десятью годами лишения свободы для физических лиц (или штрафами до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года.[37]
Федеральное законодательство
1999 год "GLBA" это Федеральный закон, который специально рассматривает предлоговое использование банковских записей как незаконное действие, наказуемое в соответствии с федеральными законами. Когда коммерческая организация, такая как частный детектив, страховой следователь SIU или аджастер, совершает любой вид обмана, она попадает в компетенцию Федеральная торговая комиссия (FTC). Это федеральное агентство обязано и уполномочено обеспечивать, чтобы потребители не подвергались какой-либо нечестной или вводящей в заблуждение деловой практике. Закон о Федеральной торговой комиссии США, раздел 5 FTCA в частности, говорится: «Всякий раз, когда у Комиссии будут основания полагать, что какое-либо такое лицо, товарищество или корпорация использовало или использует какой-либо недобросовестный метод конкуренции или несправедливое или обманчивое действие или практику в торговле или влияющих на нее, и если это появится Комиссии о том, что ее рассмотрение будет в интересах общественности, она должна подать и направить такому лицу, товариществу или корпорации жалобу с изложением своих обвинений в этом отношении ".
Статут гласит, что когда кто-либо получает какую-либо личную, непубличную информацию от финансового учреждения или потребителя, их действия регулируются законом. Это относится к отношениям потребителя с финансовым учреждением. Например, мошенник, использующий ложные предлогы, чтобы получить адрес потребителя из банка потребителя или заставить потребителя раскрыть название своего банка, будет охвачен. Определяющий принцип заключается в том, что предлог происходит только тогда, когда информация получена с помощью ложных предлогов.
В то время как продажа записей сотовых телефонов привлекла значительное внимание средств массовой информации, а записи о телекоммуникациях находятся в центре внимания двух законопроектов, находящихся в настоящее время перед Сенат США, многие другие типы частных записей покупаются и продаются на открытом рынке. Наряду со многими рекламными объявлениями для записей сотовых телефонов рекламируются записи проводной связи и записи, связанные с телефонными карточками. Когда люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут выставлены на продажу. В настоящее время продажа телефонных записей является законной, но незаконным является их получение.[38]
Специалисты по 1-му источнику информации
Респ. Фред Аптон (Р-Каламазу, Мичиган), председатель Подкомитета по энергетике и торговле по телекоммуникациям и Интернету, выразил обеспокоенность по поводу легкости доступа к записям личных мобильных телефонов в Интернете во время слушаний Комитета по энергетике и торговле Палаты представителей по теме "Телефонные записи на продажу: Почему телефонные записи не защищены от предтекста?" Иллинойс стал первым штатом, который подал в суд на брокера онлайн-записей, когда генеральный прокурор Лиза Мэдиган подала в суд на 1st Source Information Specialists, Inc., - заявила пресс-секретарь офиса Мэдигана. Согласно копии иска, компания из Флориды управляет несколькими веб-сайтами, на которых продаются записи с мобильных телефонов. Генеральные прокуроры Флориды и Миссури быстро последовал примеру Мэдигана, подав иски соответственно против 1-го источника информации Specialists и, в случае Миссури, еще одного брокера записей - First Data Solutions, Inc.
Несколько провайдеров беспроводной связи, в том числе T-Mobile, Verizon и Cingular, ранее подали иски против брокеров записей, при этом Cingular выиграла судебный запрет против First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (Нью-Йорк) в феврале 2006 г. представил закон, направленный на ограничение этой практики. Закон о защите телефонных записей потребителей от 2006 г. тяжкое преступление уголовное штрафы за кражу и продажу записей мобильного телефона, стационарный, и Голос по интернет-протоколу (VoIP) абоненты.
HP
Патрисия Данн, бывший председатель Hewlett Packard, сообщила, что совет директоров HP нанял частную детективную компанию, чтобы выяснить, кто несет ответственность за утечки информации внутри совета. Данн признал, что компания использовала практику предлога для получения телефонных записей членов совета директоров и журналистов. Позже председатель Данн извинился за этот поступок и предложил уйти из правления, если этого пожелают члены правления.[39] В отличие от федерального закона, закон Калифорнии прямо запрещает такие предлоги. Четыре обвинения в совершении уголовного преступления, предъявленные Данну, были отклонены.[40]
Предупредительные меры
Принятие некоторых мер предосторожности снижает риск стать жертвой мошенничества с использованием социальной инженерии. Могут быть приняты следующие меры предосторожности:
- Обратите внимание на предложения, которые кажутся «слишком хорошими, чтобы быть правдой».
- Не нажимайте на вложения из неизвестных источников.
- Не передавать личную информацию кому-либо по электронной почте, телефону или текстовым сообщениям.
- Использование спам-фильтр программного обеспечения например, ящик для спама.
- Избегайте дружить с людьми, которых вы не знаете в реальной жизни.
- Научите детей обращаться к взрослым, которым доверяют, в случае, если над ними издеваются в Интернете (киберзапугивание ) или чувствую под угрозой чем угодно в Интернете.[41]
В популярной культуре
Эта статья кажется, содержит тривиальный, незначительный или несвязанный ссылки на популярная культура.Январь 2018) ( |
В то время как социальная инженерия не имеет определенного рецепта успеха и может быть трудно изобразить в письменной форме, концепции и практика социальной инженерии были адаптированы к сценам на телевидении и в фильмах. Эти примеры показывают, как может быть проведена такая атака.
- В кино одиннадцать друзей Оушена (1960/2001), команда использует социальную инженерию, чтобы ограбить казино.
- Фильм Марсу нужны женщины (1967) содержит примеры социальной инженерии, выполненной инопланетянами, которые, как показано, участвуют и используют эти методы для достижения своей цели: поимки пяти земных женщин в репродуктивных целях, чтобы восстановить соотношение женщин и мужчин на их планете.
- в Джеймс Бонд фильм Бриллианты вечны (1971), Бонд получает доступ в лабораторию Уайта с современной на тот момент системой блокировки доступа с помощью карт "опоздание ". Он просто ждет, пока сотрудник подойдет, чтобы открыть дверь, а затем представит себя новичком в лаборатории, фальсифицируя вставку несуществующей карты, в то время как дверь для него открыта сотрудником.
- В телешоу Rockford Files (1974), персонаж Джим Рокфорд часто использует предлоги в своих частное расследование работай.
- В кино Кроссовки (1992), один из персонажей изображает из себя низкоуровневого охранник начальника, чтобы убедить его, что нарушение безопасности - это просто ложная тревога.
- В фильме Хакеры (1995), главный герой использует предлог, когда спрашивает у охранника номер телефона модема телеканала, изображая из себя важного руководителя компании.
- В кино Дело Томаса Крауна (1999), один из персонажей по телефону изображает из себя начальника музейного охранника, чтобы отвести охранника от своего поста.
- В кино Поймай меня, если сможешь (2002), главный герой использует самые разные тактики социальной инженерии, основанные на реальных событиях.
- В книге Джеффри Дивера Голубое Нигде (2002), социальная инженерия для получения конфиденциальной информации является одним из методов, используемых убийцей Фейтом, чтобы сблизиться со своими жертвами.
- В телешоу Психология (2006), главный герой Шон Спенсер часто использует предлог, чтобы получить доступ к местам, куда его иначе не пустили бы без полномочий полиции.
- В кино Живи бесплатно или крепко орешек (2007), Джастин Лонг рассматривается как предлог, что его отец умирает от сердечного приступа, чтобы иметь On-Star Assist представитель начать то, что станет украденный автомобиль.
- В телешоу Сожгите заметку (2007) многие персонажи видны с помощью социальной инженерии; Майкл Вестен В психическом профиле указано, что он очень опытен в социальной инженерии.
- В телешоу Менталист (2008), главный герой Патрик Джейн часто использует предлог, чтобы заставить преступников признаться в совершенных ими преступлениях.
- В телешоу Кредитное плечо (сериал) (2008) многие персонажи видны с помощью социальной инженерии.
- В телешоу Белый воротничок (2009) Мэтт Бомер сыграл очень умного и разностороннего афериста, работающего в качестве криминального осведомителя ФБР.
- Во французских романах Максима Франтини [Хакерский журнал, L'ombre et la lumière, La Cavale, La détermination du fennec] (2012), герой-хакер Илиан Эстевес в основном использует в своих атаках социальную инженерию.[42]
- В кино Вор личности (2013) Мелисса Маккарти сыграла мошенника, который использует предлог, чтобы получить имя, номер кредитной карты и ИНН руководителя (Джейсон Бейтман), что позволило ей украсть его личность и совершить мошенничество с кредитными картами.
- В видеоигре Сторожевые собаки (2014), главный герой Эйден Пирс заявляет, что изучал социальную инженерию, когда рос в криминальной жизни, и использует тактику социальной инженерии, чтобы манипулировать другими персонажами на протяжении всей игры, чтобы получить нужную информацию.
- В кино Кто я (2014), главные герои изображены с использованием различных приемов социальной инженерии.
- В телешоу Мистер Робот (2015), Дарлин скаттерс USB-накопители (содержащий вредоносное ПО) у входа в тюрьму, заставляя любопытного охранника взломать внутреннюю сеть тюрьмы, когда он подключает один из дисков к своей компьютерной рабочей станции.
- В кино Фокус (2015), персонаж Ники Сперджен и его команда используют различные методы социальной инженерии для проведения схем доверия с целью кражи денег.
- В кино Девушка в паутине (2018) персонаж Лисбет Саландер использует социальную инженерию в нескольких ситуациях.[43]
Смотрите также
- Сертифицированный специалист по профилактике социальной инженерии (CSEPS)
- Код Шикара
- Уловка уверенности - Попытка обмануть человека или группу после того, как они впервые обрели доверие
- Противодействие (компьютер)
- Cyber-HUMINT
- Киберхейст
- Теория прививки - Объяснение того, как отношение или убеждение можно защитить от влияния так же, как тело можно защитить от болезней
- Тренинг по информационной безопасности
- IT риск
- Медиа-розыгрыши, которые часто используют аналогичную тактику (хотя обычно не в преступных целях)
- Тест на проникновение - Метод оценки компьютерной и сетевой безопасности путем моделирования кибератаки
- Фишинг - Попытка получить конфиденциальную информацию, выдавая себя за надежную организацию
- Физическая информационная безопасность
- Копирование (безопасность)
- SMS-фишинг
- Угроза (компьютер)
- Голосовой фишинг - Форма преступного телефонного мошенничества с использованием социальной инженерии через телефонную систему для получения доступа к частной личной и финансовой информации с целью финансового вознаграждения
- Уязвимость (вычисления) - уязвимость в компьютерной системе, которую можно использовать
Рекомендации
- ^ Андерсон, Росс Дж. (2008). Инженерия безопасности: руководство по созданию надежных распределенных систем (2-е изд.). Индианаполис, ИН: Wiley. п. 1040. ISBN 978-0-470-06852-6. Глава 2, страница 17
- ^ «Определение социальной инженерии». Безопасность через образование. Получено 3 октября 2018.
- ^ Лим, Джу С. и др. "Изучение взаимосвязи между организационной культурой и культурой информационной безопасности. »Австралийская конференция по управлению информационной безопасностью.
- ^ Андерсон, Д., Реймерс, К. и Барретто, К. (март 2014 г.). Сетевая безопасность послесреднего образования: результаты решения проблемы конечных пользователей.publication date 11 марта 2014 описание публикации INTED2014 (Международная конференция по технологиям, образованию и развитию)
- ^ а б c Шлингер, Томас; Teufel, Стефани (2003). «Культура информационной безопасности - от анализа к изменению». Южноафриканский компьютерный журнал. 31: 46–52.
- ^ Жако, К.: «Учебное пособие по курсу CSEPS» (2004 г.), блок 3, Jaco Security Publishing.
- ^ Хэтфилд, Джозеф М. (июнь 2019 г.). «Добродетельный человеческий взлом: этика социальной инженерии в тестировании на проникновение». Компьютеры и безопасность. 83: 354–366. Дои:10.1016/j.cose.2019.02.012.
- ^ The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). "HP Pretexting Scandal by Faraz Davani". Получено 15 августа 2011 - через Scribd.
- ^ "Pretexting: Your Personal Information Revealed ", Федеральная торговая комиссия
- ^ Fagone, Jason (24 November 2015). "The Serial Swatter". Нью-Йорк Таймс. Получено 25 ноября 2015.
- ^ "The Real Dangers of Spear-Phishing Attacks". FireEye. 2016 г.. Получено 9 октября 2016.
- ^ "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack". invincea.com. 10 февраля 2015 г.. Получено 23 февраля 2017.
- ^ "Social Engineering, the USB Way". Light Reading Inc. 7 June 2006. Archived from оригинал 13 июля 2006 г.. Получено 23 апреля 2014.
- ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) 11 октября 2007 г.. Получено 2 марта 2012.CS1 maint: заархивированная копия как заголовок (связь)
- ^ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principles of Computer Security, Fourth Edition (Official Comptia Guide). Нью-Йорк: Образование Макгроу-Хилла. С. 193–194. ISBN 978-0071835978.
- ^ Raywood, Dan (4 August 2016). "#BHUSA Dropped USB Experiment Detailed". info security. Получено 28 июля 2017.
- ^ Leyden, John (18 April 2003). "Office workers give away passwords". Реестр. Получено 11 апреля 2012.
- ^ "Passwords revealed by sweet deal". Новости BBC. 20 апреля 2004 г.. Получено 11 апреля 2012.
- ^ Треглиа, Дж. И Делия, М. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.
- ^ Mitnick, K., & Simon, W. (2005). "The Art of Intrusion". Indianapolis, IN: Wiley Publishing.
- ^ Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240–241.
- ^ "social engineering – GW Information Security Blog". blogs.gwu.edu. Получено 18 февраля 2020.
- ^ Salinger, Lawrence M. (2005). Энциклопедия белых воротничков и корпоративных преступлений. МУДРЕЦ. ISBN 978-0-7619-3004-4.
- ^ "How Frank Abagnale Would Swindle You". Новости США. 17 декабря 2019. В архиве из оригинала 28 апреля 2013 г.. Получено 17 декабря 2019.
- ^ "Kevin Mitnick sentenced to nearly four years in prison; computer hacker ordered to pay restitution to victim companies whose systems were compromised" (Пресс-релиз). Прокуратура США, Центральный округ Калифорнии. 9 августа 1999 г. Архивировано с оригинал 13 июня 2013 г.
- ^ "DEF CON III Archives – Susan Thunder Keynote". DEF CON. Получено 12 августа 2017.
- ^ «Архивная копия». Архивировано из оригинал 17 апреля 2001 г.. Получено 6 января 2007.CS1 maint: заархивированная копия как заголовок (связь)
- ^ Хафнер, Кэти (август 1995). "Kevin Mitnick, unplugged". Esquire. 124 (2): 80(9).
- ^ "Wired 12.02: Three Blind Phreaks". Проводной. 14 июня 1999 г.. Получено 11 апреля 2012.
- ^ "43 Best Social Engineering Books of All Time". BookAuthority. Получено 22 января 2020.
- ^ (31 August 2018). "Bens Book of the Month Review of Social Engineering The Science of Human Hacking". Конференция RSA. Получено 22 января 2020.CS1 maint: числовые имена: список авторов (связь)
- ^ "Book Review: Social Engineering: The Science of Human Hacking". The Ethical Hacker Network. 26 июля 2018 г.. Получено 22 января 2020.
- ^ Хаднаги, Кристофер; Fincher, Michele (22 January 2020). "Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails". ISACA. Получено 22 января 2020.
- ^ "WTVR:"Protect Your Kids from Online Threats"
- ^ Larson, Selena (14 August 2017). "Hacker creates organization to unmask child predators". CNN. Получено 14 ноября 2019.
- ^ Restatement 2d of Torts § 652C.
- ^ "Congress outlaws pretexting". 109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006. 2007.
- ^ Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; Соединенные Штаты Америки. ISBN 0-471-23712-4
- ^ HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 8 September 2006 1:08 PM PDT CNET News.com
- ^ "Calif. court drops charges against Dunn". CNET. 14 марта 2007 г.. Получено 11 апреля 2012.
- ^ "What is Social Engineering | Attack Techniques & Prevention Methods | Imperva". Обучающий центр. Получено 18 февраля 2020.
- ^ "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle". Получено 30 ноября 2016.
- ^ "Analyzing the Hacks: The Girl in the Spider's Web Explained". WonderHowTo. Получено 13 декабря 2019.
дальнейшее чтение
- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
- Харли, Дэвид. 1998 г. Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
- Laribee, Lena. Июнь 2006 г. Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
- Лейден, Джон. 18 апреля 2003 г. Office workers give away passwords for a cheap pen. Реестр. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 или же ISBN 978-0-566-08773-8
- Митник, Кевин, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Митник, Кевин, Simon, William L., Возняк, Стив,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 или же ISBN 0-7645-4280-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9
внешняя ссылка
- Social Engineering Fundamentals – Securityfocus.com. Проверено 3 августа 2009 года.
- "Social Engineering, the USB Way". Light Reading Inc. 7 June 2006. Archived from оригинал 13 июля 2006 г.. Получено 23 апреля 2014.
- Should Social Engineering be a part of Penetration Testing? – Darknet.org.uk. Проверено 3 августа 2009 года.
- "Protecting Consumers' Phone Records", Электронный информационный центр конфиденциальности US Committee on Commerce, Science, and Transportation . Проверено 8 февраля 2006 г.
- Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal. Retrieved 9 September 2006.