Как научиться социальной инженерии


Краткое введение в социальную инженерию / Хабр

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!

К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие
человека с компьютером таит в себе наибольшую угрозу из всех существующих.
Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.
В отношении безопасности математический аппарат безупречен,
компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.
Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»


Intro

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия.
Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
Диверсия: Создание обратимой неполадки на компьютере жертвы.
Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.

Вот некоторые правила, которые будут полезны:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

атак социальной инженерии: Учебное пособие по расширенному этическому взлому

Spear Phishing

Сейчас мы собираемся взглянуть на другой вид спир-рыбалки. И для этого я снова воспользуюсь инструментарием социальной инженерии только потому, что проводить такого рода тестирование очень легко. Есть и другие способы сделать это. Я мог бы, например, загрузить кучу исходного кода и внести изменения в страницы, но на самом деле это так же легко использовать в качестве отправной точки.

Так что я могу сделать вектор атаки на веб-сайт здесь. И давайте воспользуемся методом Java-апплета. И мы могли бы сделать клонатор сайтов. И в этом случае я скажу, что не использую NAT или переадресацию портов, я просто скажу, что это мой адрес здесь. Итак, это сайт, который я собираюсь клонировать. И в этом случае я просто скажу, что это сайт. Я собираюсь использовать свой собственный сайт.

Итак, мы собираемся клонировать сайт и переходим к инъекции. Так что на самом деле я собираюсь сделать здесь оболочку привязки.Я собираюсь использовать оболочку связывания Windows, и она будет запускать полезную нагрузку, она откроет порт в удаленной системе, а затем мы сможем пересылать оттуда. Итак, я собираюсь сделать 15 здесь в качестве кодировки. И порт слушателя, скажем, 443. И он будет работать. И мы генерируем код. И кодирование полезной нагрузки.

И я действительно хочу позволить Apache остановиться на этом, чтобы мы могли организовать нашу собственную атаку. Итак, в этом случае я собираюсь пойти сюда и открыть сайт.

Итак, вы действительно можете видеть, что страница завершила работу и пытается запустить плагин, которого у меня на самом деле нет. И это должна быть Java, потому что мы провели атаку на основе Java. Таким образом, он проверяет наличие подключаемого модуля Java, чтобы он действительно мог выполнять Java, встроенную в страницу. Так что я мог бы на самом деле отменить это и просто посмотреть, что у нас здесь происходит.

Давайте взглянем на исходный код страницы и увидим, что где-то у нас есть кое-что, что мы пытаемся включить.И вот оно. Есть надежный Java-апплет. И вот тут архив Java.

Итак, вы можете видеть, что у него есть архив Java, и он на самом деле пытается выполнить этот апплет. Итак, вот как вы можете провести нападение на копье с помощью набора инструментов социальной инженерии. Фактически вы можете клонировать веб-сайт, он фактически внедрит для вас код, который запустит эксплойт и подключится обратно или откроет оболочку, к которой вы можете подключиться.

Таким образом, это довольно быстрый и простой способ провести целевую фишинговую атаку с использованием инструментария социальной инженерии.

Подделка межсайтовых запросов

На этом этапе я хотел посмотреть на то, что называется подделкой межсайтовых запросов. Подделка межсайтовых запросов на самом деле заключается в том, что вы заставляете кого-то выполнить действие, которое он не ожидает выполнить, потому что вы переводите его на страницу, которая будет ссылаться на что-то, где у них есть некоторые учетные данные.

Итак, вот пример. У меня есть страница, которую я создаю, и я собираюсь добавить к ней тег изображения. И вместо изображения я собираюсь сделать что-нибудь еще.Итак, я назову сценарий. И я собираюсь сделать это здесь действительно очевидным, чтобы было очень ясно, что происходит, но именно так будет работать подделка межсайтового запроса.

Итак, у меня есть тег изображения. И что делает тег изображения, так это он сообщает браузеру, что вот изображение, которое нужно получить. Итак, что происходит, браузер переходит по этому URL-адресу. Не осознавая, конечно, что это не файл изображения. Это просто сценарий, потому что все, что он будет делать, это отправить запрос на получение этого URL.В данном случае это банк, и я говорю: переводите с этого номера счета на этот номер.

Это довольно очевидно, но это пример того, что вы можете сделать с подделкой межсайтовых запросов. Так что если. У кого-то открыт браузер, и они, например, недавно вошли в свой банк, поэтому у них открыт сеанс с ними.

Теперь, если мы отправим им эту страницу и скажем, вот и посмотрите на эту страницу, они откроют страницу, и браузер автоматически выполнит эту функцию, потому что, конечно, учетные данные сеанса уже на месте, потому что это человек уже вошел в свой банк, и все файлы cookie есть, и учетные данные сеанса есть, и это просто автоматически произойдет в фоновом режиме, и пользователь даже не узнает, что там.

Фактически, единственное, что они увидят, это битый тег изображения, возможно, на странице. Вот как работает подделка межсайтовых запросов: у меня есть пользователь, переходящий на один сайт, в данном случае на тот, который я создаю здесь, и на самом деле это относится к чему-то, что вообще происходит на другом сайте. Вот как вы на самом деле получаете функции, выполняемые с использованием учетных данных другого пользователя. И вы можете сделать такие вещи, как этот банковский перевод, например, или купить что-нибудь на Amazon в качестве другого примера.

Итак, есть много разных вещей, которые вы можете сделать с подделкой межсайтовых запросов, и на самом базовом уровне это работает именно так. Вы создаете веб-страницу, вставляете здесь тег изображения и указываете на сценарий, который должен запустить пользователь. Наихудший сценарий состоит в том, что он вызовет этот скрипт и, возможно, действительно заставит пользователя войти в систему.

Часто люди не обращают внимания, они не осознают, что происходит вход в систему, которого они на самом деле не ожидали.Они так привыкли видеть такие вещи. Они могут просто войти в систему, даже не понимая, куда они входят или почему они входят в систему. И он может действительно аутентифицировать их, выполнять эту функцию, а затем просто двигаться дальше. Таким образом, подделка межсайтовых запросов имеет большой потенциал, если предположить, что рассматриваемый здесь веб-сервер не делает ничего вроде проверки того, что это сообщение, а не запрос на получение. Это один из способов решить эту конкретную проблему.

Подключаемые серверы

Когда вы начнете проводить атаки с помощью социальной инженерии, вам может потребоваться настроить мошеннические серверы.Допустим, я хотел напасть на кого-нибудь из WasHere Consulting. Итак, у меня есть доменное имя и веб-адрес. Теперь, что я могу сделать, чтобы провести атаку социальной инженерии, я могу действительно захотеть зарегистрировать другой домен, который вроде бы выглядит так. Таким образом, одним из способов сделать это может быть что-то вроде попытки зарегистрировать это конкретное доменное имя, и в этом случае оно фактически недоступно. Так что мне, возможно, нужно проявить немного больше творчества.

Значит, я могу сделать что-то вроде этого, например.Так что кажется, что он доступен. Итак, я мог бы зарегистрировать wwashere.com, а затем настроить DNS-запись для ww.wwashere.com. Теперь я не собираюсь так сильно беспокоиться о людях, набирающих это и понимающих, что это не совсем правильно, потому что я собираюсь отправьте им ссылки. И он будет выглядеть достаточно хорошо, он может не зарегистрировать их, потому что люди обычно не уделяют много внимания, что является одной из причин, почему атаки социальной инженерии действительно работают. Так что я мог бы зарегистрировать этот домен здесь с дополнительным «w» и просто переместить точку, чтобы он по-прежнему выглядел как www.washer.com или www.washere.com, и точка просто неуместна.

Для большинства людей это может вообще не регистрироваться. Итак, я действительно мог настроить сервер, на который указывает запись DNS для этого конкретного имени хоста. А потом я мог бы использовать это и воспроизвести то, как выглядит сайт. И я мог делать такие вещи, как на самом деле могу сохранить всю эту страницу. И я мог бы сохранить его здесь как index.html.

И это очень упрощает задачу, потому что, как только я войду сюда, все ссылки останутся доступными, и я мог бы сделать их здесь еще более конкретными.Итак, я хочу взглянуть на индексную страницу здесь.

Итак, у меня есть весь HTML, и вы можете видеть здесь, что у меня есть файлы изображений. Это действительно легко исправить.

И тогда мне даже не нужно сохранять изображения. Я просто буду ссылаться на них прямо на сайте. Так что если я сделаю то же самое с этим изображением здесь. Так что это исправляет изображения, и если бы была каскадная таблица стилей, я бы тоже мог это исправить. Итак, в любом месте, где есть ссылка на что-то на сайте, все, что мне нужно сделать, это вставить ссылку на реальный сайт и просто вытащить изображения, каскадную таблицу стилей и любые другие ресурсы, которые фактически хранятся на реальном сайте.Я могу их вытащить, и все, что мне нужно сделать, это сохранить HTML на моем мошенническом сервере, и тогда действительно будет похоже, что они переходят на ваш сайт.

И тогда все, что вам нужно сделать, это создать сценарий, который будет получать от них данные. Так что, если вам нужен номер их кредитной карты или номер социального страхования или что-то в этом роде.

У вас может быть контактная форма или что-то в этом роде. И вы можете очень легко воспроизвести это, сохранив исходный код страницы, а затем просто внося некоторые незначительные изменения.Чтобы получить все изображения и все в точности так, как на реальном сайте. Вот как вы можете использовать мошеннический сервер, чтобы извлекать информацию от людей с помощью атаки социальной инженерии.

Поддельные сертификаты

Одна вещь, которую вы можете захотеть сделать, это создать сертификат, который вы можете использовать с веб-сервером, и сделать так, чтобы он выглядел так, как будто это сертификат для веб-сервера, который вы пытаетесь подделать. Итак, что вам нужно сделать, это создать самоподписанный сертификат.

И люди настолько привыкли видеть ошибки сертификатов по той или иной причине, что, если они видят этот мошеннический сертификат, им может и не прийти в голову, что то, что они получают, является поддельным сертификатом, а не настоящим сертификатом. Они просто нажмут на ошибку сертификата и продолжат свой веселый путь.

Теперь я немного обманываю, я использую здесь веб-страницу, чтобы освежить мою память о том, как сгенерировать самоподписанный сертификат. Это не то, чем я занимаюсь каждый день, и поэтому я не держу список команд в голове.Итак, есть множество страниц, которые на самом деле расскажут, как это сделать.

И я объясню, что мы делаем по ходу дела. Итак, что я хочу здесь сделать, так это использовать Open SSL, и я делаю это под Linux, хотя Open SSL работает в различных операционных системах.

Но я просто делаю это под Linux, потому что сейчас я нахожусь именно там. Итак, я собираюсь сгенерировать ключ RSA, а RSA - это три буквы для трех парней, которые были ответственны за разработку алгоритма.И я собираюсь сделать здесь ключ и назову его server.key. И я собираюсь сделать ключ длиной 1024 бита. Итак, он запрашивает у меня кодовую фразу, и я просто дам ему кодовую фразу. Теперь мне нужно создать запрос на подпись.

Итак, я собираюсь снова использовать Open SSL, и я собираюсь выполнить запрос, который является новым запросом. Итак, я собираюсь сказать, что ключ - это server.key, который мы только что сгенерировали. На выходе будет сервер, и это должен быть запрос на подпись сертификата.собираюсь снова сжать это обратно. А теперь я собираюсь ввести кодовую фразу, которую использовал. А теперь просит дать информацию о сертификате. Я собираюсь дать ему некоторую информацию здесь.

Итак, вот где я собираюсь дать ему полное доменное имя сервера. Итак, прямо здесь я собираюсь использовать доменное имя, которое я на самом деле хочу выдать в данном случае, и теперь я могу просто сказать, что это адрес электронной почты. На самом деле он ничего не отправляет по электронной почте, это просто информация, хранящаяся в сертификате.Итак, теперь у меня есть запрос на подпись, и теперь нам нужно создать сертификат.

Итак, я вернусь сюда и снова сделаю Open SSL. Мы просим сертификат x509. Это запрос сертификата, количество дней, в течение которых вы можете установить все, что захотите, я собираюсь сделать это через десять лет, просто для удовольствия. И вход будет запрос на подпись сертификата. И он должен спросить меня, он должен искать какой-то вывод на этом этапе, а также ключ подписи.

Таким образом, ключ -sign будет server.key. И на выходе будет сертификат сервера. И он запрашивает у меня кодовую фразу для ключа, который мы вставили ранее. А теперь у меня должен быть server.crt. Итак, я могу посмотреть на этот сертификат сервера. Необходимо сказать x509, и я хочу, чтобы он выводился в текстовом формате, а вы скажете server.crt. Итак, теперь я действительно получил информацию здесь, в сертификате. У меня есть вся информация, которую я подключил, и теперь я действительно могу использовать сертификат с веб-сервером.

И похоже, что сертификат использовался с сервером, который мы здесь указали, то есть www.washere.com. Итак, я мог бы создать мошеннический веб-сервер, который выглядел бы так, как если бы это был тот веб-сайт, и он представил бы этот сертификат, говоря: эй, это для этого веб-сайта. Хотя на самом деле я не отправлял вас на этот веб-сайт, я могу отправить вас на что-то похожее на этот веб-сайт. Итак, я мог бы зарегистрировать доменное имя, например, здесь, а затем отправить вас на www.wwashere.com.

Возможно, это один из способов решения такой ситуации с мошенническим сервером. И здесь мне понадобится этот поддельный сертификат, чтобы притвориться им и на самом деле дать вам возможности шифрования и, возможно, немного большей аутентичности. Эй, угадайте что, он зашифрован, есть сертификат и все такое. Вот как вы могли бы сделать некоторые поддельные сертификаты или это один из способов сделать поддельные сертификаты.

,

Что такое социальная инженерия? Определение и предотвращение распространенных угроз социальной инженерии

Поскольку атаки социальной инженерии становятся все более изощренными и частыми, компаниям следует рассматривать обучение сотрудников как первую линию защиты. Узнайте, как распознать и избежать атак социальной инженерии, из этой серии статей о защите данных 101.

Определение социальной инженерии

Социальная инженерия - это нетехническая стратегия, которую используют кибер-злоумышленники, которая в значительной степени полагается на человеческое взаимодействие и часто вовлекает людей обманом, заставляя их нарушать стандартные методы обеспечения безопасности.Успех методов социальной инженерии зависит от способности злоумышленников манипулировать жертвами, заставляя их выполнять определенные действия или предоставлять конфиденциальную информацию. Сегодня социальная инженерия признана одной из самых серьезных угроз безопасности, с которыми сталкиваются организации. Социальная инженерия отличается от традиционного взлома в том смысле, что атаки социальной инженерии могут быть нетехническими и не обязательно связаны с компрометацией или эксплуатацией программного обеспечения или систем. В случае успеха многие атаки социальной инженерии позволяют злоумышленникам получить законный санкционированный доступ к конфиденциальной информации.

Почему и как используется социальная инженерия

Социальные инженеры - это современная форма мошенников или мошенников. Они могут попытаться получить доступ к компьютерным сетям или хранилищам данных, завоевав доверие авторизованных пользователей или украдив учетные данные этих пользователей, чтобы выдать себя за доверенных лиц. Социальные инженеры обычно полагаются на естественную готовность людей помочь людям или пытаются использовать свои кажущиеся слабости личности. Например, они могут позвонить и сообщить о срочной проблеме, требующей немедленного доступа к сети.Социальные инженеры, как известно, апеллируют к тщеславию, авторитету, жадности или другой информации, полученной в результате подслушивания или онлайн-расследования, часто через социальные сети.

Киберпреступники используют тактику социальной инженерии, чтобы убедить людей открыть вложения электронной почты, зараженные вредоносным ПО, убедить ничего не подозревающих людей раскрыть конфиденциальную информацию или даже запугать людей, заставив их установить и запустить вредоносное ПО.

Go Deeper

Защита от инсайдерских угроз

Типы атак социальной инженерии

Ваша организация должна предпринять шаги для обучения сотрудников распространенным типам атак социальной инженерии, включая травлю, фишинг, pretexting, quid pro кво, целевой фишинг и взлом.Хотя существуют технологические решения, которые помогают смягчить последствия социальной инженерии (например, фильтры электронной почты, брандмауэры и инструменты мониторинга сети или данных), наличие базы сотрудников, способных распознавать и избегать распространенных тактик социальной инженерии, в конечном итоге является лучшей защитой от этих схем. Вот разбивка общих техник социальной инженерии:

  • Приманка - Злоумышленники проводят атаки-приманки, когда они оставляют зараженное вредоносным ПО устройство, такое как USB-флеш-накопитель или компакт-диск, в месте, где кто-то, вероятно, его найдет.Успех атаки с использованием наживки зависит от представления о том, что человек, обнаруживший устройство, загрузит его на свой компьютер и, не зная, установит вредоносное ПО. После установки вредоносная программа позволяет злоумышленнику проникнуть в систему жертвы.
  • Фишинг - Фишинг происходит, когда злоумышленник осуществляет мошеннические сообщения с жертвой, которые замаскированы под законные, часто утверждая или кажущиеся исходящими из надежного источника. При фишинговой атаке получателя заставляют установить вредоносное ПО на свое устройство или поделиться личной, финансовой или деловой информацией.Электронная почта - самый популярный способ связи для фишинговых атак, но для фишинга также могут использоваться приложения чата, социальные сети, телефонные звонки или поддельные веб-сайты, которые выглядят законными. Некоторые из самых ужасных фишинговых атак связаны с просьбами о благотворительности после стихийных бедствий или трагедий, эксплуатируя добрую волю людей и призывая их делать пожертвования, вводя личную или платежную информацию.
  • Pretexting - Pretexting происходит, когда злоумышленник фабрикует ложные обстоятельства, чтобы заставить жертву предоставить доступ к конфиденциальным данным или защищенным системам.Примеры атак с предлогом включают мошенничество, которое притворяется, что ему нужны финансовые данные для подтверждения личности получателя, или маскируется под доверенное лицо, такое как член ИТ-отдела компании, чтобы обманом заставить жертву раскрыть учетные данные для входа или предоставить доступ к компьютеру. ,
  • Quid pro quo - Атака quid pro quo происходит, когда злоумышленники запрашивают у кого-то личную информацию в обмен на что-то желаемое или какую-то компенсацию.Например, злоумышленник запрашивает учетные данные для входа в систему в обмен на бесплатный подарок. Помните: если это звучит слишком хорошо, чтобы быть правдой, вероятно, так оно и есть.
  • Целевой фишинг - Целевой фишинг - это узконаправленная фишинговая атака, нацеленная на конкретного человека или организацию. В адресных фишинговых атаках используется личная информация, относящаяся к получателю, чтобы завоевать доверие и выглядеть более законными. Часто эта информация берется из учетных записей жертв в социальных сетях или из других источников в Интернете.Персонализируя свою тактику фишинга, целевые фишеры имеют более высокие показатели успеха, обманывая жертв, чтобы они предоставили доступ или разгласили конфиденциальную информацию, такую ​​как финансовые данные или коммерческие секреты.
  • Tailgating - Tailgating - это метод физической социальной инженерии, который происходит, когда неуполномоченные лица следуют за уполномоченными лицами в безопасное место. Цель расследования - получить ценную собственность или конфиденциальную информацию. Захват может произойти, когда кто-то просит вас держать дверь открытой, потому что он забыл свою карту доступа, или просит одолжить ваш телефон или ноутбук для выполнения простой задачи, а вместо этого устанавливает вредоносное ПО или крадет данные.

Социальная инженерия представляет собой серьезную и постоянную угрозу для многих организаций и индивидуальных потребителей, которые становятся жертвами этих минусов. Обучение - это первый шаг к тому, чтобы ваша организация не стала жертвой сообразительных злоумышленников, использующих все более изощренные методы социальной инженерии для получения доступа к конфиденциальным данным.

Теги: Защита данных 101, Социальная инженерия

.

Обучение социальной инженерии | Осведомленность о социальной инженерии

Важная информация о курсе социальной инженерии

  • Описание курса

    В этом курсе вы приобретете навыки защиты от атак социальной инженерии, угрожающих безопасности организации. Вы узнаете технические и психологические методы манипуляции, имитации и убеждения, используемые социальными инженерами.Кроме того, этот курс включает в себя практические занятия, предназначенные для понимания мотивов и методов, используемых социальными инженерами, для лучшей защиты вашей организации и предотвращения утечки данных.

Содержание курса социальной инженерии

  • Введение в социальную инженерию

    Оценка организационных рисков

    • Оценка угроз социальной инженерии
    • Анализ классических примеров из практики

    Мыслить как социальный инженер

    • С учетом атак
    • Разбор способов манипуляции
    • Изучение юридических и социальных вопросов
  • Сбор информации и разведки

    Определение источников информации

    • Активный и пассивный сбор информации
    • Использование социальных сетей
    • Использование взлома Google

    Сбор информации о цели

    • Копирование информации с сайтов с помощью Harvester
    • Погружение в мусорный контейнер для секретов и разведки
    • Профилирование слабых сторон пользователей

    Минимизация утечек информации

    • Защита от утечки информации
    • Внедрение политик безопасной утилизации
    • Зонды для точечной разведки
  • Определение моделей связи

    Профилирование информационной архитектуры

    • Реализация коммуникационной модели Berlo
    • Источник
    • Сообщение
    • Канал
    • Ресивер
    • Определение слабых мест в коммуникации

    Устранение недостатков связи

    • Проверка источника
    • Защита информационного канала
  • Оценка методов выявления

    Информация для вытяжки

    • Запрос информации
    • Техника интервью
    • Определение тактики и целей выявления

    Устранение утечки информации

    • Поддержание ситуационной осведомленности
    • Реализация ответов по сценарию
  • Получение физического доступа

    В обход физической безопасности

    • Выявление слабых типов замков
    • Обход электронного контроля доступа

    Защита окружающей среды

    • Установка замков повышенной безопасности
    • Предотвращение удара замка
  • Выдача себя за уполномоченного персонала

    Получение доступа с маскировкой

    • Определение методов спуфинга
    • Обнаружение обмана слепоты к изменениям
    • Оценка методов выдачи себя за другое лицо в Интернете

    Защита от выдачи себя за другое лицо и подделки

    • Внедрение методов проверки личности
    • Защита от скиммеров и скрытых технологических угроз
  • Использование психологии для убеждения

    Исследование человеческих слабостей

    • Использование факторов мотивации Чалдини
    • Выявление опасностей бездумия
    • Исследование уязвимости приверженности и согласованности

    Принуждение

    • Использование социальной защиты
    • Использование подразумеваемых полномочий
    • Требуемые действия с оплатой за услугу

    Поддерживает сопротивление убеждению

    • Соблюдение политики и правил
    • Распознавание рискованных ситуаций
    • Обучение интерпретации, а затем распознавание
  • Внедрение управленческих контрмер

    Оценка уязвимостей социальной инженерии

    • Проведение теста на проникновение
    • Создание объема работ
    • Устранение юридических проблем и затруднений

    Создание комплексных политик

    • Установление политики проверки
    • Регулирование использования социальных сетей
    • Проведение эффективных тренингов по вопросам безопасности

Часто задаваемые вопросы по обучению социальной инженерии

  • Что такое социальная инженерия?

    Социальная инженерия - это то, что называется, когда хакеры манипулируют людьми, чтобы передать конфиденциальную информацию.Есть много форм социальной инженерии.

  • Что такое атака социальной инженерии?

    Это атака, которая в значительной степени зависит от взаимодействия человека и использует манипуляции, чтобы заставить людей нарушить обычные процедуры и методы обеспечения безопасности.

  • Могу ли я принести этот курс по социальной инженерии в свое учреждение для обучения моей команды?

    Да! Мы знаем, что ваш плотный рабочий график может помешать вам попасть в один из наших классов, поэтому мы предлагаем удобное онлайн-обучение, чтобы удовлетворить ваши потребности, где бы вы ни были.Этот курс доступен как обучение в частной команде.

,

Что такое социальная инженерия? Атаки, методы и предотвращение

  • Главная страница
  • Тестирование

      • Назад
      • Гибкое тестирование
      • BugZilla
      • Cucumber
      • Тестирование базы данных
      • Jmeter Testing
      • JUnit
      • LoadRunner
      • Ручное тестирование
      • Мобильное тестирование
      • Mantis
      • Postman
      • QTP
      • Назад
      • Центр качества (ALM)
      • RPA
      • SAP Testing
      • RPA
      • SAP Testing
      • TestLink
  • SAP

      • Назад
      • ABAP
      • APO
      • Начинающий
      • Basis
      • BODS
      • BI
      • BPC
      • CO
      • Назад
      • CRM
      • Crystal Reports
      • MMO
      • HANA
      • Назад
      • PI / PO
      • PP
      • SD
      • SAPUI5
      • Безопасность
      • Менеджер решений
      • Successfactors
      • Учебники SAP
    000
  • AngularJS
  • ASP.Net
  • C
  • C #
  • C ++
  • CodeIgniter
  • СУБД
  • JavaScript
  • Назад
  • Java
  • JSP
  • Kotlin
  • Linux
  • Linux
  • Linux js
  • Perl
  • Назад
  • PHP
  • PL / SQL
  • PostgreSQL
  • Python
  • ReactJS
  • Ruby & Rails
  • Scala
  • SQL
  • 000
  • SQL
  • 000
  • SQL
  • 000 0003 SQL 000
  • UML
  • VB.Net
  • VBScript
  • Веб-службы
  • WPF
  • Обязательно учите!