Page 1

TheUltimate
GHID Social
Inginerie
De la CSO Magazine i CSOonline.com
Coninut
I. Definiie
Ce este ingineria social?
Ce inginerii sociale anunt
Cum inginerii sociale de lucru
II. Tactici de baz
De ce oamenii se ncadreaz pentru sociale
inginerie i alte escrocherii
III. Profilaxie
IV. Inginerii sociale
n aciune
"Linii Pickup" utilizate n mod obinuit
O mulime de poveti i exemple reale
BU s I ness
RI s K
AD e R s HIP L e
Page 2
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
2
I. Definiie
Ce este ingineria social?
Ingineria social este arta de a avea acces la cldiri,
sistemelor sau a datelor prin exploatarea psihologiei umane, mai degrab
dect prin rupere sau folosind tehnici de hacking tehnice.
De exemplu, n loc de a ncerca s gseasc o vulnerabil- software
tate, un inginer social ar putea numi un angajat i prezint ca un
Suport IT persoan, ncercnd s pcleasc angajat n divulgING parola. Scopul este de a ctiga ncrederea de o
sau mai multe dintre angajaii dumneavoastr.
Hacker celebru Kevin Mitnick a ajutat la popularizarea
Termenul "inginerie social", n anii '90, dar ideea simpl
n sine (pacalind pe cineva n a face ceva sau divulgarea
informaiile sensibile) a fost n jurul pentru vrstele.
Ce Ingineri sociale Vrei
Scopul in mai multe inginerii sociale este de a obine personal
informaii care i pot duce fie direct la tele de
financiar sau furt de identitate sau s le pregteasc pentru o mai orientate
atac. Acestea arata, de asemenea, moduri de a instala malware care ofer
le un acces mai bun la datele cu caracter personal, sisteme informatice sau
conturi, ei nii. n alte cazuri, inginerii sociale sunt

cutarea de informaii care s conduc la un avantaj competitiv.

US care escrocii gsesc valoros includ urmtoarele:
N
Parolele
N
Numere de conturi
N
Chei
N
Orice informaii personale
N
Carduri de acces i ecusoane de identitate
N
Listele de telefon
N
Detalii despre sistemul de computer
N
Numele de cineva cu privilegii de acces
N
Informaii despre servere, retele, URL-uri non-publice,
intranet
Cum inginerii sociale de lucru
Exist un numr infinit de exploit de inginerie social.
Un escroc v poate pcli s lsnd-o usa deschisa pentru el,
vizitarea unei pagini Web false sau descrcarea unui document cu
cod malitios, sau s-ar putea introduce un USB din computer
care i d acces la reeaua companiei dumneavoastr. Tipic
ploys includ urmtoarele:
fura parolele: n aceast manevr comun,
hacker folosete informaii de la un profil de social networking
pentru a ghici parola memento ntrebarea unui victimei. Acest tehnonique a fost utilizat pentru a hack Twitterand pauz n Sarah Palin lui
e-mail.
Friending: n acest scenariu, un hacker ctig ncrederea unui
individual sau de grup i apoi la toate persoanele s facei clic pe link-uri sau
echipamente care conin malware care introduce o ameninare,
cum ar fi capacitatea de a exploata o slbiciune ntr-un sis- corporativ
TEM. De exemplu, spune Netragard CTO Adriel Desautels, el
s-ar putea lovi o conversaie on-line cu privire la pescuit i
apoi trimite o fotografie de o barca se gndete de cumprare.
Falsa identitate / ghemuit reea social: n acest caz,
hacker tu tweets, prietenii v sau alt contacte
te online folosind numele cuiva. Apoi, el a
v solicit s-i fac o favoare, cum ar fi trimiterea lui o foaie de calcul
sau oferindu-i date de la "biroul". "Orice vei vedea pe
un sistem informatic poate fi falsificata sau manipulate sau aug-

n aplicare de un hacker ", spune Desautels.

Dndu-se drept un insider: n multe cazuri, escrocul ridic
ca un serviciu de asisten lucrtor IT sau a contractorului pentru a extrage informaii
TION cum ar fi un parolele de la un angajat ignorant.
"Aproximativ 90% din persoanele care le-am exploatat cu succes
n timpul [evalurilor de vulnerabilitate pentru clienti] avut incredere in noi
pentru c au crezut c am lucrat pentru aceeai companie
ca ei ", Desautels says.In un caz, un lucrtor Netragard
a pozat ca un antreprenor, sa imprietenit un grup de client anilor
lucrtorilor i a nfiinat un sistem de phishing de succes prin
pe care el spicuite scrisorile de acreditare ale angajailor, n cele din urm ctig
intrare pentru ntreaga infrastructur corporativ.
de stat a statului
Atacurile de inginerie social sunt larg rspndite, frecvente i
Organizaiile costa mii de dolari anual, in functie
de cercetare de la firma de securitate Check Point Software Tehnotehnologii. Sondaj de 850 de profesioniti IT i de securitate
Situat n SUA, Canada, Marea Britanie, Germania, Australia i
Noua Zeeland a gsit aproape jumtate (48%) au fost victime ale
inginerie social i au experimentat 25 sau mai multe atacuri
n ultimii doi ani. Atacurile de inginerie social victimelor low cost
o medie de 25.000 dolari - 100.000 dolari per incident de securitate,
un raport state.
"Atacurile social inginerie-int n mod tradiional de oameni
cu o cunoatere implicit sau accesul la informaii sensibile
TION ", potrivit unei declaraii de la Check Point, pe de
sondaj. "Hackerii astzi leverage-o varietate de tehnici i
aplicaii de reele sociale pentru a colecta personal i proinformaii profesional despre un individ n scopul de a gsi
veriga cea mai slab n organizaie. "
Dintre cei intervievati, 86% recunosc inginerie social
ING ca o preocupare tot mai mare, cu majoritatea respondenilor
(51%), citnd un ctig financiar ca motivaia principal a
atacuri, urmate de avantaj competitiv i de rzbunare.
Cel mai frecvent atac Vectorii de inginerie social
Atacurile s-au phishing e-mailuri, care au reprezentat 47% din
incidente, urmate de site-uri de social networking, la 39%.
Noii angajai sunt cele mai sensibile la ingineria social
de maini, potrivit raportului, urmat de contractori
(44%), asisteni executive (38%), resurse umane (33%),
liderii de afaceri (32%) i personal IT (23%).
Cu toate acestea, aproape o treime din organizaii au spus
nu au o prevenire inginerie social i de contientizare
Programul n loc. Dintre cei chestionai, 34% nu au nici o
politici de formare sau de securitate angajat n vigoare, pentru a preveni
tehnici de inginerie social, dei 19% au planuri de a

punerea n aplicare una, n conformitate cu Check Point.

Page 3
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
3
II. Tactici de baz
Exist patru tactici psihologice de baz care ingineria social
ingineri de a utiliza pentru a ctiga ncrederea i a obine ceea ce doresc, potrivit
la Brian Brushwood, gazd a seriei Web video, "neltorie
coal. "
Cunoscnd aceste principii care stau la baza de inginerie social
ING va permite angajailor s recunoasc mai uor cnd
acestea sunt vizate de un escroc.
1. inginerii sociale transmite ncredere i control.
Potrivit Brushwood, unul dintre primii pai pentru a trage
off ceva neltor este de a aciona ncreztor. De exemplu,
cineva ncercarea de a obine ntr-o cldire sigur s-ar putea crea o
insigna sau pretinde a fi de la o companie de servicii. Cheia pentru
asistent n fr a fi contestat este de a aciona pur i simplu ca tine
aparin acolo i c nu ai nimic de ascuns. Transport
probleme cu postura corpului pune altele la usurinta.
"Oamenii care ruleaz securitate concert de multe ori nu sunt chiar lookingforbadges, "saysBrushwood." Ei arelookingforposturii. Ei pot spune ntotdeauna cine este un fan ncearc s se strecoare napoi
i prinde o bucatica de stele i care lucreaz la eveniment
pentru c ele par ca i cum ei aparin acolo. "
Un alt mod de a ctiga mna de sus este de a prea responsabil
prin conversaie, spune Brushwood. "Persoana care
pune ntrebrile controleaz conversaia ", spune el.
"Cnd cineva i pune o ntrebare, ea pune imediat
te pe aprare. Te simi o presiune social pentru a se obine o corect
sau rspuns adecvat. "
Takeaway: angajaii sftuim s nu devin prea comfortable cu care s permit afar n cldire. Vizitatori
(i furnizorii de servicii) ar trebui s aib acreditri verificate
bine-chiar dac acestea sunt chipuri familiare.
2. inginerii sociale ofere cadouri sau favoruri. Reciprocitii
cation este un alt impuls uman utilizat de ctre inginerii sociale,
n conformitate cu Brushwood. "Cnd oamenii sunt date pe ceva
lucru, cum ar fi o favoare sau un cadou, chiar dac nu le plac n mod activ
persoana care a fcut-o, ei simt nevoia sa faca acelasi lucru ", spune
Vreascuri. Exemplele includ o plac de cookie-uri oferite
un recepioner sau o oferta de a ine ua pentru un angajat.
Timpul de ntrziere ntre oferindu-cadou i cere o
favoare este important. "Dac oferi un cadou i apoi imediat
cere o favoare, ansele sunt c cineva s-ar putea percepe

o ca mit. n cazul n care ei percep ca mit, ei reacioneaz necompensate

lemele confortabil. "n schimb, un artist con de specialitate ar putea da ceva
pentru un angajat de prevenire a instituionalizrii devreme n a doua zi i apoi vin
napoi mai trziu, susinnd un mix-up, cum ar fi un element lsat n urm
dup o ntlnire.
"Sanse sunt, ei v va lsa de drept reciprocitate pentru
modul n care le-a tratat mai devreme ", spune Brushwood.
Takeaway: Recomand angajaii s fie sceptici cu privire la oricine
care ncearc s le dea ceva. n funcie de ct de mare
mizele sunt, un criminal cu experien pot cheltui chiar
saptamani de stabilire a terenul pentru a forma o relaie de reciprocitate
shipwithstaff thatcan rezultat orsecure inaccesstosensitive
zone.
3. inginerii sociale a utiliza umor. n general, oamenii se bucur
compania a celor cu un bun sim al umorului. Sociale
inginer tie asta foarte bine si foloseste-l pentru a obine maiilor
informaii, se desprind de un portar sau chiar pur i simplu iei din necaz.
Vreascuri a folosit umorul pentru a iei din bilete de excesul de vitez
de multe ori. Truc su este de a arta o imagine amuzant licen i
apoi chiar gsete o modalitate de a preda ordonatorului de un monopol "Get
din Jail Free "carte, ca parte a shtick lui side-of-the-road.
"Poliia a face toat ziua cu povetile boo-Hoo", spune el.
"Dar abordarea mea este de a fi optimist, pentru a le da impresia
Sion c eu nu sunt ngrijorat i ar atrna destul de afar i
face s rd. "
Takeaway: ntr-o nclcare sau scenariu criminal, social
inginer ar putea s ncerce i chat cu un angajat pentru a obine maiilor
informaii de la el. Un bun exemplu este apelul IT fals,
n cazul n care apelantul solicit parola unui angajat. Este mult
mult mai probabil ca informaiile sensibile vor fi voluntar n cazul n care
conversaia este distractiv, i pune angajatul la usurinta.
4. inginerii sociale poate afirma ntotdeauna un motiv. Perii de
lemn a fost inspirat recent de rezultatele unui recent
Studiu de la Harvard au descoperit c oamenii sunt susceptibile s cedeze la
o solicitare n cazul n care cuvntul ", deoarece" este utilizat atunci cnd cere.
studiu a analizat grupuri de oameni care ateapt s utilizeze o copie
main ntr-o bibliotec i modul n care acestea au rspuns atunci cnd uneleun apropiat i a cerut s taie n linie.
n primul grup, persoana ar spune, "Scuz-m,
au cinci pagini. Pot folosi aparatul Xerox pentru c eu sunt
ntr-o grab? "n aceast grup, 94% permis persoanei de a sri peste
nainte n linie. ntr-un alt grup, line-tiere a ntrebat:
"Excuseme, Ihavefivepages.MayIusetheXeroxmachine?"
Doar 60% au spus da la aceast persoan. ntr-un al treilea grup, ntrebarea
TION a fost, "Scuz-m, am cinci pagini. Pot folosi Xerox
main pentru c am nevoie pentru a face copii? ", chiar dac

Motivul a fost aparent ridicol, 93% mai spus da la

line-cutter.
"Se pare c, cuvntul magic este c,", spune Brushwood.
"La fel ca n cazul n care te vezi pe cineva mar n jurul ca le detin
locul, este sigur s se presupun c aparin acolo. De asemenea, dac
cineva spune "pentru c," oameni presupun ca au ceva
motiv legitim. "
Vreascuri subliniaz faptul c obinerea cooperare oamenilor
necesit doar percepia de un motiv, chiar dac motivul
este un nonsens.
Takeaway: Este important s ncetineasc i uite i
asculta la ceea ce se ntmpl i ceea ce se spune ntr-un
mediu de lucru. n timpul o zi agitata, poate prea uurinIER a val cineva sau s renune la informaii atunci cnd este
solicitat. Dar gradul de contientizare i prezen de spirit sunt paramontare a preveni un criminal s profite de
voi.
III. Profilaxie
Nici o organizaie nu este imun la ameninarea reprezentat de inginerie social
ing. Luai n considerare un concurs organizat la securitatea Defcon conferina
ence, n care concurenii au fost provocate cu obinerea
informaii despre companii-int care ar putea fi utilizate pentru
Page 4
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
4
un atac ipotetic. De 140 de apeluri telefonice efectuate la locuri de
EES la companiile vizate, aproape toate tui sus informaiilor;
doar cinci angajai nu. i 90% din angajaii vizai
a deschis o adres URL trimis la ei de ctre concureni, chiar dacei chiar nu tiu persoana care le-a trimis.
Numerele dezvluie amploarea problemei inginerie social
pentru toate organizaiile.
Cu asta n minte, aici sunt cteva modaliti de a minimiza dvs.
risc organizaiei.
Creterea gradului de contientizare a personalului
Este unanim acceptat faptul c cel mai eficient mod unic pentru a lupta
socialengineers este staffawareness. Cultur Asecurity-contient
este posibil n orice organizaie atta timp ct acesta este standardul
prin care toat lumea i desfoar activitatea, precum i concepte sunt n mod constant
armat. Iat cteva modaliti de a construi o cultur de securitate.
Audry Agle, CISSP, CBCP, MBA i un con- independent
consultant n zona San Diego, ofer apte idei pentru a v ajuta
sensibilizarea personalului cu privire la pericolele de inginerie social.
Recurs la viaa personal: Ia persoane interesate in tate
se- prin narmarea lor cu tehnici pentru a asigura propria lor

informaii cu caracter personal. Oferta de prnz-N-Learn sesiuni

n cazul n care personalul poate obine sfaturi pentru ceea ce trebuie s fie tocat sau
nchis la domiciliu, cum s gestioneze parole personale,
cum de a securiza reelele wireless la domiciliu, etc.
Asigurai mesajul vizibil: Pune postere de pn la fax
maini, containere rupei i camere de cafea. F-i a ochilor
catchingbut simplesothatanyonewalkingbycanreadand
interpreta-le fr s se rup de mers. Schimbai mes- ta
nelepi cel puin o dat pe lun astfel nct nu este ntotdeauna ceva
nou. Dac nu avei un artist grafic cu personalul, angaja un colegiu
elev de a face opera de arta, sau de a folosi una din garania de contientizare
Ness furnizori pentru cele de-a gata.
Furniza trateaz: Ai fi surprins ct de departe merge o gogoasa
pentru a atrage atentia. Au o celebrare ocazional n cazul n care Securitii
se- mulumesc personalul pentru a face partea lor.
Utilizai biroul lor: Dac avei o politic de birou curat, efectuai
birou aleator verific dup ore. Recompensa pe cei care au
nici un material sensibil de ctre lsnd un tratament mic ca o bucat
de bomboane sau pachet de gum i un "Multumesc pentru aceasta piesa ta"
Atentie, sau introducei-le ntr-un desen lunar pentru un premiu.
Adu-l la ecranul computerului lor: Dac avei o companie
buletinul, includ un articol de securitate n fiecare ediie i
furnizeaz informaii cu privire la cele mai recente incidente, n special n
industria ta. Supliment newsletter-ul cu un lunar
e-mail pentru ntreg personalul, cu un scurt mesaj despre un timp util i
relevante de siguran subiect-PDA, pregtirea pentru situaii de urgen sau o
memento de care s cear incidente suspecte. A oferi o
Pagina de securitate de pe intranet angajat care listeaz mobiliare
Politicile se-, informaii importante de contact, link-uri, etc.
Necesit pregtire: programe de formare va fi mult mai eficient
tive dac includ exerciii interactive, concursuri, jocuri sau
da-aways. ncercai s-l pstrai scurt, de testare i nelegere.
Mers pe jos de mers pe jos: O tehnica de mare impact este de senior
Membrii de conducere pentru a afia propria lor nclinaie pentru
securitate. Publicitate pe plan intern, atunci cnd cineva face pe ceva
lucru care contracareaz un potenial atac, sau vine cu o
control care perpetueaza securitatea organizaiei dumneavoastr ntr-un
cost-eficiente manier.
Amintii-v c angajaii dumneavoastr pot face sau de a sparge ta
programul de securitate, Agle spune, asa ca le angajate n
proces prin solicitarea de feedback i sugestii.
opri, cred, Connect
O coaliie de guvernare, industrie i non-profit organiorganizaiile in- au dezvoltat o campanie care i propune s fac
oamenii cred c nainte de a se angaja n activiti potenial riscante
on-line. Message "Stop. Gndii-v. Conecteaz-te "-. Este destinat

s fie uor de neles i pus n aplicare, un alt pop la

sloganuri de siguran ular, cum ar fi, "sau bilete Facei clic pe" i "Stop,
Uit-te i ascult. "Campania este rezultatul unui mandat
de la Cyberspace Politica de opinie preedintelui Barack Obama,
care a solicitat crearea unei contiine publice naionale
Campania sa concentrat pe securitatea cibernetic.
"Este un mesaj simplu, de atac care se aplic la fiecare persoan
unul ca ne-am conecta la Internet de la o serie de dispozitive,
inclusiv laptop-uri, computere personale, smartphone-uri i
console de jocuri ", spune NCSA Director Executiv Michael
Kaiser.
nva i preda lecii de baz
n cartea sa Inginerie social: The Art of Hacking uman,
Chris Hadnagy spune trei poveti memorabile ale vulnerabilteste de evaluare tate c el efectuate pentru companii, la
a evalua nivelul lor de expunere. Fiecare puncte de poveste la ceea ce zaii
organizaiile in- pot nva de la aceste rezultate.
Cazul CEO-ul prea ncreztor
Lecii nvate 1: Nu exist informaii, indiferent de per- sale
personal sau de natur emoional, este n afara limitelor pentru un inginer social
care caut s fac ru.
Lecii nvate 2: Acesta este adesea persoana care crede
este cel mai sigur, care reprezint cea mai mare vulnerabilitate. Unele
Experii cred c directorii sunt cel mai uor inginerie social
ING obiective.
Hadnagy a fost odat angajat n calitate de auditor SE pentru a ncerca s
accesa serverele de o tipografie, acesta a proceselor
i vnztorii au fost de proprietate i de interes pentru concursuri
tori. CEO-ul a spus Hadnagy, care l-ar fi hacking
aproape imposibil, deoarece el "pzit secretele sale cu balonul
via. "
"El a fost cel care nu a fost niciodat de gnd s scad pentru acest lucru",
spune Hadnagy. "Se gndea cineva ar prosuna abil i s cear parola, iar el a fost gata pentru o
se apropie de genul asta. "
Dup unele colectarea de informaii, Hadnagy gsit
locaii de servere, adrese IP, adrese de email, telefon
numere, adrese fizice, servere de mail, angajat
nume i titluri i mult mai mult. Prin intermediul Facebook, el
a fost, de asemenea, posibilitatea de a obine alte detalii personale despre CEO,
cum ar fi restaurantul su favorit i sport team.But real
premiu a venit atunci cnd Hadnagy a aflat a fost implicat CEO
Page 5
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
5

in cancerul de strngere de fonduri, ca urmare a unui membru al familiei de succes

lupta cu cancerul.
narmat cu informaiile, el a fost gata s loveasc. El
numit CEO i a pozat ca o strangere de fonduri de la un cancer
caritate CEO-ul a fost tratat n trecut. El a informat
l-au ofereau un premiu de desen n schimbul
donaii-i premiile inclus bilete la un meci jucat
prin echipa sa favorit de sport, precum i certificatele de cadou pentru de mai multe
restaurante ERALE, inclusiv locul lui preferat.
Bitul CEO, i a fost de acord s lase Hadnagy-l trimit n format PDF
cu mai multe informaii pe unitatea de fond. El chiar a reusit
pentru a ajunge CEO-ul s-i spun ce versiune de Adobe Reader el
a fost difuzate. La scurt timp dup el a trimis PDF, CEO-ul deschis
aceasta, instalarea unui shell care a permis Hadnagy pentru a accesa su
main.
Atunci cnd Hadnagy i partenerul su au fost raportate napoi la
Firma cu privire la succesul lor cu nclcarea CEO-ului
calculator, CEO-ul a fost de neles suprat, spune
Hadnagy.
"El a simit c a fost nedrept am folosit ceva de genul asta, dar
iat cum funcioneaz lumea ", spune el. "Un hacker ru intenionat
nu s-ar gndi de dou ori despre utilizarea acestor informaii mpotriva
l. "
Tema Park scandal
Lecii nvate 3: Politica de securitate este la fel de bun ca ei
executare.
Lecii nvate 4: Infractorii vor juca de multe ori la un
dorina angajat de a fi de ajutor.
inta n acest studiu de caz urmtoare a fost un parc tematic matice
ent c a fost preocupat de potenial compromis
a sistemului su de ticketing, aa cum calculatoarele utilizate pentru a verifica n
patronii coninea, de asemenea, link-uri ctre servere, informaii client
i nregistrrile financiare.
Hadnagy a nceput testul su de apel parc, dndu-se drept un
agent de vanzari software. El a fost oferind un nou tip de PDFlectur software-ul care a vrut parc pentru a ncerca printr-o
Oferta proces. El a ntrebat ce versiune au fost utilizai n prezent,
a obinut informaii cu uurin i a fost gata pentru etapa a doua.
Urmtoarea etap necesar pe site-ul de inginerie social, i
Hadnagy folosit familia sa pentru a asigura succesul. Rubric pn la
una dintre ferestrele de bilete cu soia i copilul n tractarea, el
a ntrebat unul dintre angajai n cazul n care s-ar putea utiliza calculatorul lor
pentru a deschide un dosar de e-mail lui care coninea un ataament PDF
ment pentru un cupon care le-ar da admitere discount.
"Totul ar fi mers spre sud, dac ea a spus nu,"
explic Hadnagy. "Dar sa arate ca un tata, cu un copil anx-

strzi pentru a intra n parc, trage sforile la inima. "

Angajatul a fost de acord, iar sistemul informatic al parcului
a fost compromis rapid de ru PDF Hadnagy lui. n
minute, partener Hadnagy a fost texting el s-l lase
tiu c a fost "n" i colectarea de informaii pentru raportul lor.
Hadnagy subliniaz faptul c n timp ce politica de angajat al parcului
Statele ele nu ar trebui s deschid ataamentele din necunoscut
surse (chiar i un client au nevoie de ajutor), nu au existat norme
n loc s-l pun n aplicare efectiv. "Oamenii sunt dispui s mearg la
lungimi de mare pentru a ajuta pe alii afar ", spune Hadnagy.
Hackerul ESTE tocat
Lecii nvate 5: inginerie social poate fi parte a unei
strategiei de aprare organizaiei.
Lecii nvate 6: Infractorii vor merge de multe ori pentru joas
agat de fructe. Oricine poate fi un obiectiv de securitate, dac este sczut.
Un al treilea exemplu arat modul n care este utilizat de inginerie social
pentru scopuri defensive. Profile Hadnagy "John", o penetration tester angajat s realizeze o reea standard de pensionare
ncercare etration pentru un client. El a fugit o scanare folosind Metasploit,
care a relevat o VNC deschis (virtual de calcul de reea)
Server, un server care permite controlul de alte masini de pe
de reea.
El a fost documentarea descoperirea cu sesiunea de VNC
deschis atunci cnd, dintr-o dat n fundal, un oarece a nceput s
deplasa pe ecran. Ioan tia c a fost un steag rou pentru c
la momentul din zi acest lucru a fost ntmpl, nici un utilizator ar fi conconectat la reea pentru un motiv legitim. El a suspectat
un intrus era n reea.
Avnd o ans, John a deschis Notepad i a nceput chatTing cu intrusul, dndu-se drept un hacker nou i necalificai.
"El a crezut," Cum pot obine mai multe informaii de la tipul sta
i s fie mai valoros pentru clientul meu? '", spune Hadnagy. "John
a jucat la ego-ul tipului de ncercarea de a pretinde el a fost un newbie
care a vrut s afle mai multe de la un hacker maestru. "
Ioan a cerut hacker-ilor mai multe ntrebri, pretinznd c
s fie dornici s nvee cteva trucuri ale comerului hacking. Prin
timp chat-ul a fost de peste, el a avut de e-mail intrusului, contact informaii i chiar o poz cu el. El a raportat
informaiile napoi la clientul su, iar problema de uor
accesul la sistem a fost de asemenea determinat.
Hadnagy, de asemenea, subliniaz faptul c Ioan a nvat prin intermediul lui
conversaie cu hacker c hacker nu a avut ntr-adevr
a fost orientarea companiei; el a fost doar n cutarea
n jurul valorii de ceva uor de compromis i a gsit
sistem deschis destul de uor.
asigura veriga cea mai slab: Utilizatorul final

n timp ce tehnologia sa schimbat, factorul cel mai influent

n securitate nu are: Angajatul. Ca Winn Schwartau,
fondator al Securitii de sensibilizare Compania spune: "
cea mai slab verig n toate aceste lucruri este persoana de la tastatur. "
Ca rezultat, managerii de securitate sunt mpotriva unei combinaii
de ignoran, apatie i arogan atunci cnd vine vorba incare
contientizare individual.
Aici sunt dou momente docil care Schwartau are
ntlnite n decenii sale de efectuarea securitate de contientizare
Ness de formare. Inginerie social, spune el, are juctori noi
i forme, dar tehnicile de baz rmn, de obicei,
la fel.
furniza niciodat personal informational
Pentru oricine
moment docil: partea de pregtire de contientizare trebuie s
include instruciuni specifice s nu dea afar maiile cu caracter personal
Page 6
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
6
informaii ctre orice persoan sau departament. "Las-i s tie: nostru
Departamentul nu v va solicita pentru aceste tipuri de detalii, "
spune Schwartau. "Procedura propriu-zis la lansarea unei
nou sistem este de a emite noi prerogativelor. Niciodat nu cere
prerogativelor existent. "
Am fost angajat de o mare firma de servicii financiare din
New York pentru a face securitii pregtire de contientizare. Am vrut s facem
o evaluare a nivelului de contientizare, asa ca am creat o social
ncercare de inginerie.
Nu a fost traditionalul "suna pe cineva la telefon i
ncercai s inginer social ei. "Am luat antet i
a scris o scrisoare i a trimis-o prin pot la aproximativ 30% din
salariailor, pentru aproximativ 1.200 de oameni. Scrisoarea a spus
n esen: "Bun, suntem de la securitatea informaiilor corporative.
motiv pentru care primesc aceast scrisoare este pentru c tim sociale
Tehnica are loc la locul de munc, i vom face upgrade noastre
sisteme. "Am mers apoi n unele rumoare tehnic detaliat
despre cum am fost de gnd s migreze aceast baz de date la aceasta si la un
mulime de lucruri persoana medie este pur i simplu nu o s neleag.
Ea a continuat s spun, "tim c eti preocupat de securitate,
i c este motivul pentru care aceast scrisoare. Noi nu v dorii
comunica orice informaie din aceast peste nimic, dar e-mail,
pentru c aceasta este singura modalitate sigur de a face acest lucru. Avem nevoie de
dumneavoastr
Detalii personale cu privire la urmtoarele lucruri astfel nct s putem transfera
n sistem i s le verifice acurateea pentru c am fost

probleme cu baze de date n aceast tranziie. "

Ne-a spus destinatari: "V rugm s nu email sau fax acest informaii
TION. Utilizai numai auto-adresat, plic timbrat ", care
ne-am adresat la o adres care nu a fost adresa companiei.
Le-am spus am fcut asta pentru c noi nu am vrut nimeni
la locul de munc interceptarea acest lucru n birou. De asemenea, le-a spus am avut
nfiinat un special, securizat PO Box c numai securitatea departamentului
ment au avut acces la.
Dup ce a fost trimis, am primit cam un rspuns de 28%. Ea
a fost un foarte simplu test de inginerie social, i mai mult dect o
sfert dintre persoanele vizate au czut pentru ea.
Am fcut acest lucru n alte locuri cu e-mailuri de tip phishing. ntr-un
loc, am trimis un e-mail incredibil de ispititoare, oferind chestii gratuite.
Am fcut-o dup antrenament extensiv i certificare a
ntreaga organizaie, care a fost de peste 95% trec
evaluri de sensibilizare. Dar rspunsul la e-mail de tip phishing,
chiar i dup formare, a fost de 40%.
Nu conteaz ct de multe teste, evaluri i alte msuri
ai pus n loc, ea nu va lucra mpotriva naturii umane.
Noi putem ajuta cu formarea, i se msoar un incremental
creterea gradului de contientizare n, dar niciodat nu va atinge 100% de succes.
Dac ei cer acreditri, acestea sunt
nu de ncredere
moment docil: La fel ca departamentul de securitate la
locul de munc, o instituie financiar legitim nu va va cere
acreditrile prin e-mail. Ei vor avea suni
Numrul de pe spatele cardului dvs., sau vizitai pagina de pornire pe care
du-te mereu la. Niciodat, niciodat ncredere n cineva care vine la tine
cere acreditri, spune Schwartau. C nu este modul n care este
fcut.
Am primit acest e-mail recent de ceea ce arata ca Bank of
America. Am banc cu Bank of America, i eu fac aproximativ 98%
de banking on-line mea. Email-ul a fost de la SiteKey, site-ul lor
sistem de verificare, care este de fapt un sistem destul de bun. Ea
a spus: "Hei, aceasta este de la SiteKey, iar acest lucru este foarte urgent, deoarece
doar tu transferat nite bani, i avem nevoie pentru a verifica acest lucru. "
Acum, am tiut c a fost o neltorie pentru c eu sunt un para-profesional
Noid. Dar eu caut prin e-mail, adresele, i ei
sunt toate corecte! Logo-urile, informaiile de baz pentru site-ul; toate corecte.
Tot ce am putut gndi a fost: "Cum naiba ei sunt ei trgnd acest off?"
Deci, atunci m uit n link-urile; Fac un mouse-over s se uite
sub i a vedea ce se ntmpl. E nc toate corecte. Am apasat un
cteva link-uri pentru a vedea ct de departe am putut merge i a luat unele ecran
fotografii n scopuri de formare. Eu nc nu-i putea da seama.
n cele din urm, dup o vreme, l-am dat seama: Motivul pentru care am putut
Nu-mi dau seama este c am fost pe laptop-ul meu cu un 13-inch

Ecranul cu rezoluie mic. Sub link-urile, adresele,

ea a spus "Bank of Americil.com." tiam c mai bine de du-te.
Dar ct de muli oameni vor s scad pentru ceva de genul asta?
momente docil
John Sileo, un expert furtul de identitate, care antreneaza pe respingerea
inginerie social, tie din experien de prim mn ce
e ca si cum a fi o victim. Sileo a avut stolen- de identitate
de dou ori. i ambele cazuri a dus la ratorii catastrofale
consecine. Prima crim a avut loc atunci cnd informaiile Sileo lui
a fost obinut de la cineva care a obinut acces la l
din coul de gunoi (da, tomberon de scufundri nc mai funcioneaz). Ea a cumparat
o cas folosind informaiile sale financiare i n cele din urm
faliment declarat.
"Asta a fost uoar", a spus Sileo, care apoi a fost lovit din nou, atunci cnd
partenerul su de afaceri utilizat informaii de a deturna
bani de la clienti. Sileo a petrecut mai muli ani, i a fost
n stare de faliment, lupta acuzaii penale.
Acum, c a ieit din aceste probleme, el
i petrece timpul organizaiilor pentru instruirea angajailor asistarea
pe ce de inginerie social i de identitate tehnici de furt
arata. "Am ncercat s inspire angajaii s aib grij de primar
Vacy ", a spus el. "Dac ei nu le pas de asta la un nivel uman,
ei nu vor s aib grij de viaa privat a companiei poluarea
securitate ghea sau IT. Trebuie s-l la un personal primar
nivel. "Aici sunt doua dintre inginerie social de neuitat Sileo lui
scenarii el a auzit n timpul anilor si ca un lector de securitate.
Doctor Who?
Nu la mult timp dup ce Dr. Yamitori comun numele de utilizator ei pe o mn
la o conferin medical, ea a primit o invitaie de a
deveni prieteni cu Dr. Xavier pe un site de social networking
construit pentru comunitatea medicala. Dr. Yamitori au n comun
impresiile sale de la conferina pe site-ul, i Dr. Xavier
au fost luati nota. Pe parcursul lunii urmtoare,
doi nu a comunicat direct prin intermediul reelei; mai degrab,
au primit actualizri regulate i comentariile postate de
ali medici din reea.
Vineri dupa-amiaza la 2:00, Dr. Xavier (Dr. X)
a postat un comentariu direct la Dr. Yamitori (Dr. Y). Dr. X
Page 7
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
7
a explicat c el a fost n procesul de cercetare soft
Articole pachete pentru biroul su i, tiind de la conferina
ence c Dr. Y primeste o funcionare eficient, a vrut s afle
ce software-ul a folosit pentru a administra fiiere de ei pacient.

Dr. Y sa ntmplat s fie la calculatorul ei i a rspuns

imediat la interogare. Pentru c ambele au fost parte dintr-un docreea tor, iar concluzionnd c ntrebrile au fost
inofensiv, Dr. Y mprtit c ea a folosit Relaia pacient
10,0 i a fost foarte fericit cu ea. Dr. X-o mulumit, a cerut
Nu mai am ntrebri, i a ncheiat firul oarecum
brusc.
La 14:06, asistent dr Y trimis o clip intern
mesaj pentru ei, spunnd c Dr. Xavier era n ateptare i a avut
un follow-up ntrebare rapid la chat-ul lor online. Cnd Dr.
Y luat, Dr. X a cerut scuze pentru orice necaz era lucru face ca
ING, dar a spus c a avut o ultim ntrebare i au considerat c a fost un
scuz bun pentru a satisface n persoan. Dr. X, apoi a ntrebat Dr. D dac ea
ar deranja schimbul de numele tehnicianului software
Software-ul de la Relaia pacient care a instalat pachetelor
de vrst pentru ei, astfel nct el ar putea pune cteva ntrebri tehnice. Dr.
Y ia spus cu bucurie c de contact ei de la compania de software
a fost Kenneth, i ia dat numrul de telefon Kenneth lui.
Luni diminea, nainte de majoritatea medicilor sunt n lor
birouri, complice Dr. X a sunat la biroul dr Y i a ajuns la
receptionera, Priscilla. El ia spus c numele lui era
Terry, c el a fost de la pacient Software legtur, i c
el a fost completarea pentru Kenneth, care era afar bolnav. Dup forfetare
nesc ei ("Dr. Y spune c eti creierul reale ale operaiunilor
TION "), Terry a explicat c are nevoie pentru a face o critic
actualizare de securitate (versiunea 10.1) la sistemul de software-ul Dr. Y lui. Dac
nu sa ntmplat imediat, a adugat el, sistemul ei ar putea fi
cel care a permis hackerilor acces n dosarele pacienilor. Imediat, Priscilla simea responsabil personal.
Pentru c Kenneth era plecat bolnav, Terry a explicat, el
nu a avut numele de utilizator i parola pentru a apela n a Dr. Y lui
serverul i s fac modificrile. El a declarat Priscilla c, de ndat
cum s-au fcut modificrile, el o va suna din nou, apoi permiteio cunosc, astfel nct ea ar putea schimba parola ei. A fost
critice, a spus el, s-l schimbe de ndat ce el a numit n ordine
pentru a menine securitatea. De fapt, a adugat el, el va trimite doar
-i un mesaj pe site-ul de social networking, n cazul n care ea ia spus
nume de utilizator ei. Ea a mprtit c la fel de bine, oferindu-i astfel
accesul la toi prietenii ei care a completat un rol similar la alt
cabinete medicale.
tiind c Relaia pacient a fost, de fapt, software-ul
pachet biroul ei utilizate pentru a urmri nregistrrile pacienilor, pe care le
au fost utilizai n prezent versiunea 10.0, c Kenneth a fost
nameoftheirregulartechnician, andthatshedidn'twantto
este responsabil de o nclcare a securitii datelor, nu Priscilla suspectat
ea a fost proiectat de vedere social s dezvluie extrem de

informaii sensibile. Ea a dat Terry parola ei i,

astfel, acces deplin la mai mult de 17.500 de nregistrri private de pacient,
inclusiv numere de securitate social, datele de asigurare,
istorii medicale, i chiar tipuri de snge.
Takeaway: "Este folosit pentru a fi despre care avem ncredere. Acum e
cu privire la modul n care avem ncredere ", a spus Sileo, care ofera clientilor sai o
proces n trei etape s insufle n salariailor, n scopul de a respinge o
atac de inginerie social.
Prostii reflex: Instruirea include cu angajaii
dezvolta un slogan sau o expresie care se va stinge in capul lor
atunci cnd cineva solicit informaii. "Tu imediat
au un eveniment declanator ", a spus el" Un cuvnt care apare n ta
cap c v reamintete c ai putea fi n pericol. "
Pui ntrebrile potrivite: nvai de angajai pentru a cere "Pot suna
te napoi la XYZ Software-ul pentru a verifica esti cine spui
Dac suntei? "Dac ei a lua o scuz, ei ar trebui s tie imeparnd este un steag rou pentru a face mai mult de cercetare fr a renuna la
informaii ".
Opri. i cred c prin optiuni: n loc de a fi stric treaba
zate printr-un eveniment i care acioneaz pe un reflex de panic, ialent i ia n considerare ceea ce trebuie s facei pentru a menine
intimitate.
The Hurt Locker
Exist o mulime de furt din dulapurile femeilor la locul de munc-out
faciliti. Ce se ntmpl este o femeie merge s lucreze afar, pune
telefonul ei mobil i portofelul ntr-un dulap i pune pe un comblocare combinaie. Cineva care a nregistrat-o cu un miniaparat de fotografiat n picioare n spatele ei tie combinaia. Ei
intra n ea, deschide telefonul mobil, facei clic pe cteva taste, nchidei-l
n sus i a pus telefonul mobil napoi n dulap. Prinde portofelul
sau n geant, nchidei dulap, blocai-l i pleac.
Femeia se ntoarce de la munc afar, au inceput ei
haine, apuc telefonul mobil, merge n portofel: E domnioar
ing. De obicei, ei cred c n primul rnd le-am lsat n main sau n afara
fa. Deoarece acestea sunt de mers pe jos, persoana care a furat
portofel este acolo. Ei sun telefonul lor. Ei spun "Aceasta este
Oricare ar fi Bank i avem motive s credem cineva este
ncercnd s-cash out contul tu. A fost furat geanta
recent? "
Persoana este imediat n panic i dispus s fac
tot ce este nevoie pentru a face n condiii de siguran se. Persoana banc pe
cellalt capt, care nu este de fapt o persoan banc, spune, "Hei,
noi suntem aici pentru a v proteja. Asta e ceea ce facem. Dar, n scopul
pentru a nchide accesul la cont, am nevoie pentru a verifica dvs.
Numrul de securitate social. "
Poate suna stupid pe exterior caut n pentru unele-

o s renune la numrul lor de securitate social, dar atunci cnd

sunt ntr-o panic, 90% sau astfel de oameni vor da aceste informaii
degajeze. i atunci persoana va spune, de asemenea, "OK, putem nchide
jos cardul, de asemenea. Ce este PIN-ul? "Pentru c sunt
graba prin ea, pentru c ele sunt n fric, ei nu dau
un gnd al doilea.
Takeaway: Se merge napoi la punctul trei de Sileo de trei
pai. Preia controlul acestei interaciuni, spune el. "Oprii-v i
ntrebai-v: "Ar trebui s sun la banca eu? Ar trebui s m conle tact pentru a le face cunoscut ce se ntmpl? "Dac doar
ncetini i s preia controlul, c scap de majoritatea
inginerie social. "
Page 8
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
8
IV. inginerii sociale n aciune
Linii Pickup
Site-uri de social networking, birouri corporative si oriunde
de pe Web sunt toate locurile comune pentru escrocii la ply
comerul lor, cu intenia de a fura identitati, deturnarea
conturi, infiltrarea sisteme corporative i de a face bani.
Aici sunt unele dintre inginerie social cea mai raspandita tacticuri, care vizeaz utilizatorii de reele sociale, lucrtorii de birou i Web
utilizatorii.
Pe reelele sociale
"Eu cltoresc n Londra i mi-am pierdut portofelul. Poi
srm nite bani? "
Cum funcioneaz: escrocul prezint ca un "prieten" de pe fatacarte sau un alt site de social networking, trimite un mesaj
claimingtobestuckinaforeigncitywithnomoney (duetoa
jaf, a pierdut portofelul problem orother) i solicit therecipient
pentru a firului de bani. Utilizatorii trebuie s fie precaut ca, din cauza Penal
semnalele pot hack conturi i prezint ca un "prieten", ei nu pot
fi ntotdeauna 100% sigur cu privire la identitatea persoanelor cu
care interactioneaza.
"Cineva are o pasiune secret pe tine! Descarc aceast cerere
TION pentru a gsi cine! "
Cum funcioneaz: Facebook are mii de aplicaii
utilizatorii pot descrca, dar nu toate sunt sigure. Unele pot instala
adware care lanseaz reclame pop-up, n timp ce altele expune perInformaii personal pentru teri. Utilizatorii trebuie s fie judipreios despre care aplicaiile pe care le folosesc.
"Check out acest link!"
Cum funcioneaz: Un e-mail sau alte mesaje, uneori
prnd s provin de la un prieten, incurajeaza utilizatorii sa

click pe un link care le aterizeaza pe un site fals i solicit

le de informaii cu caracter personal, cum ar fi parola sau
numrul de cont. Site-ul poate arata autentic, dar este n realiat conceput pentru a capta aceste informaii pentru escrocii "
ctiga. Un exemplu este o campanie de spam Twitter c a cerut
destinatari, "Ai vzut acest film cu voi?" Link-ul a dus la
un fals site web Twitter c a cerut parola utilizatorului.
n biroul
"Acest lucru este Chris de servicii de tehnologie. Am fost notificat de un
infecie pe calculatorul dumneavoastr. "
Cum funcioneaz: Dndu-se drept oameni de suport tehnic, scamMers apel utilizatorii de afaceri, spune-le PC-urile lor sunt infectate
lui andthenoffertohelpthemgetridofit.Playingontheuser
vulnerabilitate i team, escrocul chei intenionat
pn dificultatea tehnic a "fixa", iar in calitate de utilizator crete
mai nervos, care le ofer pentru a remedia problema singuri, care a
Desigur, cere utilizatorului de a lui sau parola ei dezvluie.
strategie exploateaza disconfort oamenilor cu tehnologia.
"Bun, eu sunt rep de la Acme, iar eu sunt aici pentru a vedea Nancy."
Cum funcioneaz: Escrocii pune ca un vizitator legitim (un matice
ORL, reprezentant de vnzri, tehnician, etc.) i de a folosi cunotinele lor
margine a companiei, chiar un tricou purtnd un autentic
logo-a ctiga ncrederea recepioner. Criminali
poate dura sptmni sau chiar luni pentru a ajunge s cunoasc o organirefe- chiar nainte de venirea n u. tiind care s
cere, cum s acioneze i cum s se mbrace este adesea tot ce trebuie pentru
acces neautorizat o facilitate. Un exemplu este un diametral 2007
Mond jaf la ABN Amro Bank din Anvers, Belgia,
n cazul n care un om n vrst, pretinde a fi un juridi- de succes
om de, oferit de sex feminin ciocolata de personal i n cele din urm
a ctigat ncrederea lor cu vizite regulate. n cele din urm, banca
pierdut 120.000 de carate de diamante pentru c omul a fost n cele din
ximativ, ntre posibilitatea de a avea acces n afara orelor de program la bolta bncii.
"Poi s inei ua pentru mine? Nu am cheia / acces meu
carte de pe mine. "
Cum funcioneaz: Evazionitii ateptai n afara unul din Facilitatea pentru
intrari-tate de ua din fa sau din zona de fumat, pentru
exemplu-i pune ca o pereche de birou coleg. Lucrtorii deine
ua deschis, care s le permit s obin acces, nu gndire
pentru a cere o insign a dovedi c au permisiunea de a intra.
Chiar i atunci cnd sunt necesare acreditrile, infractorii devin
mai bine la folosirea fotografie high-end pentru a imprima authenticcautati insigne.
Phishing nluci
"Nu ai pltit pentru elementul pe care a ctigat recent pe eBay.
Apasati click aici pentru a plti. "

Cum funcioneaz: Utilizatorii primesc e-mailuri pretinde comcompaniile, cum ar fi eBay, sustinand ca nu au nc pltit pentru un win
ofert ning. Atunci cnd facei clic pe link-ul furnizat, aceasta duce la
un site de phishing. Truc joac la preocuprile oamenilor cu privire la un
impact negativ asupra scorul lor eBay. Mai degrab dect s facei clic pe
acest tip de e-mail, expertii recomanda ca utilizatorii merge direct
la site-ul Web de afaceri implicat tastnd adresa URL
n bara browserului.
"Ai fost eliberai. Click aici pentru a nregistra pentru pli compensatorii. "
Cum funcioneaz: Infractorii profita de economic
incertitudine i a crescut digitalizare prin trimiterea unui e-mail
pentru angajaii cu un link malitios care pare s releu
tirile care necesit un rspuns rapid, cum ar fi, "Noi suntem provin acetia
ING din formularele W-2 electronic in acest an. "
Atacuri
Tactici de inginerie social devin din ce n ce mai
specific, cu criminali care vizeaz persoane individuale i
dedicandu mai mult timp pentru a obine informaii cu caracter personal,
cu sperana de a un ctig mai mare. Aici sunt cinci dintre acestea mai mult
mai multe tipuri-lucrative de escrocherii implicate, i.
"Acesta este sprijin Microsoft -Am vrea s ajute."
Cum funcioneaz: Escrocii pune ca o tehnologie Microsoft sprijin
persoan i cerere de port pentru a fi de asteptare toate pentru Windows liceniat
Utilizatorii ale cror PC-uri sunt generatoare de un numr anormal de
erorile datorate unei erori de software. Victimele sunt instruii pentru a merge la
jurnalul de evenimente, care pot fi deosebit de alarmant a inexpeUtilizatorii experimentate pentru c, de fapt, cele mai multe jurnalele de evenimente
pentru Windows face
nregistra multe erori mici. Multe persoane de la acest punct vor fi
gata s fac orice presupusa persoana de sprijin instruiete,
care n acest caz este de a merge la un serviciu de acces la distan, Teamviewer.com, care ofer control escroc a mainii.
Page 9
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
9
De acolo, criminalul instaleaz malware, care va acorda
el sau ea acces continuu la PC.
"Doneaza pentru eforturile de recuperare uragan!"
Cum funcioneaz: La scurt timp dup ce un cutremur major, tsuNami sau un alt dezastru, site-uri web false pop-up, de direcionare
persoanele n cauz cu privire la cei dragi din regiunea afectat
i pretind a avea resurse specializate, cum ar fi guvernul
ment baze de date i informaii efort de salvare, pentru a ajuta la gsirea
victime. Site-urile colecteaz nume i informaii de contact
i-l utilizai pentru a solicita donaii de caritate. Apelantul ia

profit de aceast victimei emoiile sporite de a obine lui

sau numrul de card hercredit. Cu allthisinformation-nume,
adresa, numele unei rude i un card de credit, acestea sunt armate
pentru a comite furtul de identitate. n unele cazuri, criminali lansa
Atacurile secundare, cum ar fi dndu-se drept un reprezentant banc,
cere numrul victimei de securitate social pentru a verifica
legitimitatea donaie de caritate a lui.
"Despre aplicarea de locuri de munc ..."
Cum funcioneaz: ingineri sociale sunt de orientare cap
vntori i ntreprinderile prin ncorporarea malware n e-mail
rspunsurile la locurile de munca. Potrivit unui avertisment din partea
FBI, mai mult de 150.000 dolari a fost furat de la o afacere din SUA, prin intermediul
transfer bancar neautorizat. Atacatorul a rspuns la un loc de munc
deschiderii, postat pe un site Web ocuparea forei de munc, precum i prin
malware, a obinut acreditrile online banking a
persoan autorizat s efectueze tranzacii financiare n
thecompany.Bychangingtheaccountsettings, thecriminal
redirecionat trimiterea de transferuri propriile conturi.
Multe organizaii necesit acum solicitanilor de locuri de munc pentru a completa o
formular online, mai degrab dect accepta CV-uri si scrisori de intentie
n ataament.
"Twitterguy, Ce prere ai despre ce a spus Obama pe
#cybersecurity? http://shar.es/HNGAt "
Cum funcioneaz: ingineri sociale sunt observarea Twittendinele TER pentru a lansa atacuri. Un exemplu este hijackING a hashtags legitime cu scopul de includere
Link-uri malware n tag-ul. Odat Twitter, malware
redirecioneaz utilizatorii ctre o pagin web de phishing cu abject
intenie, fie c fur Twitter informaii de cont sau
lansarea chiar mai mult malware. Escrocii sunt, de asemenea, de direcionare
persoanelor fizice cu nvarea despre interesele lor i apoi provin acetia
ING un tweet legitim sun care i invit s facei clic
prin ceea ce se dovedete a fi un site de phishing.
"Ia mai multe adepi Twitter!"
Cum funcioneaz: Un alt truc Twitter orientate spre este de a trimite
un tweet care promite s poat crete urmaii dumneavoastr dac
click pe un link. Link-ul ia utilizatorului la un serviciu Web care
solicit acreditrile lor Twitter. Desigur, nu legitim
ter parte ar solicita aceste informaii, care ar trebui s
fi primul indiciu utilizatori c sunt scammed.
poveti adevrate
Ascunzndu-se n vedere Cmpia
n februarie 2009, Chris Nickerson, fondator al ColoradoConsultanta de securitate bazat Lares, a efectuat o pe site-ul
vulnerabilitytestforaretailcompanywithalargecallcenter.
Cu ceva de lucru pregatire, Nickerson spune ca echipa a reusit sa

obine acces la reeaua companiei i de baze de date destul de

uurin. Aici este un cont de modul n care a fcut asta.
"Am nceput prin a obine informaii cu privire la int. Acolo
a fost o curs de cai de mare ntmpl n zon, iar n ora
unde se afla societatea, a fost mare lucru pentru a merge
la aceast curs de cai. Toat lumea n ora i n jurul ei a prsit
birou pentru a merge la ea. A fost un moment perfect pentru mine s vin n
i spune c am o ntlnire.
I-am spus c a trebuit s se ntlneasc cu cineva, vom suna Nancy. Eu
tia Nancy nu a fost de gnd s fie n birou, deoarece pe ea
Profil MySpace a spus ea a fost gata s mearg la
curs. Atunci profilul ei Twitter a spus c a fost obtinerea mbrcat
pentru a merge la eveniment. Aa c am tiut c nu era la birou.
nainte de a-am dus la birou, m-am dus la un magazin de cumptare i
a primit un tricou Cisco pentru 4 dolari. Apoi m-am dus i a spus "Bun. Eu sunt
nou rep de la Cisco. Sunt aici pentru a vedea Nancy. "Recepia
participant n aceast situaie a spus, "Nu este la birou." I
a spus "Da. tiu. Am fost mesaje text nainte i napoi cu
ei. Mi-a spus c este ntr-o edin i reuniunea se ntmpl
peste. "
Acest lucru a fost chiar dupa ora prnzului, i i-am spus: "Din moment ce eu sunt
ateptare, nu-i aa oriunde pe aici unde pot merge minim
ceva de mncare? "tiam foarte bine c, dup topografie buna,
cel mai apropiat lucru a fost de aproximativ cinci km la distan pentru c
au fost un fel de n bee.
Receptionera a spus "patru sau Fives mile n jos pe drum
exist o McDonalds. Dar avem o cafenea frumos aici. Dac
vrei, poi mnca pur i simplu acolo. "Fiind permis s mearg la
cantina mi-a dat acces deplin la facilitatea deoarece
Singurul lucru care a fost pzit era ua. Cantina a condus
chiar n restul cldirii.
Aa c m-am dus n sala de mese i a mncat. n timp ce eram acolo,
Am fcut picturi cheie USB. Am pus fiiere de pe ele cu nume ca
"Salarizare" sau "Strategia 2009" The problematica USB au avut rootkit-uri pe
ele. Muli coninea un rootkit autorun. Alii au avut
Ferstru, whichisalittlepieceoftechthatyoucanusewith
o unitate U3. Ai conectai ntr-o main i, n cazul n care maina
a auto-run de pe CD-ROM-ul care ruleaz, ea va ncepe doar
dumping toate parolele, numele de utilizator, tot ceea ce. Acesta va, de asemenea,
pune un crlig n main pentru a ncepe email c informaiile
TION la un cont de e-mail care v dau de contact. Astfel,
chiar dup ce am plecat, am putea fi nc de filtrare informaii. Ea doar
dureaz aproximativ 30 de secunde pentru a se permite.
Cnd m-am face acest tip de exerciiu, am pus problematica USB n zonele
c oamenii sunt n cazul n care acestea s-ar putea uita ceva:
baie, de exemplu, pe chiuveta. Un alt domeniu bun este

n apropiere de -areas masina de cafea unde oamenii pun natural

lucrurile se deruleaz n cazul n care s-ar putea s nu uitai s-l ridic din nou
n sus. N-am fcut picturi cheie USB, fr succes.
ntre timp, am avut un alt unul dintre bieii mei merge n prin
ua fumatul n spate. El a atrnat afar, a ateptat, a avut
unii igri cu oameni care au venit la fumeze pe
pauz, iar atunci cnd acestea s-au fcut, ua se deschise i el
justcruisedin.Yet anotherexercise a nu proveitreally
Pagina 10
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
10
ia mult pentru a obine n interiorul.
n cele din urm, o dat el a fost n, am avut-l s vin i s m
n cantin. Asta a fost aa a aprut pe securitatea
Benzi ca i cum cineva vine s m scoat din
cantina s m escorta la orice ntlnire, am fost de gnd s
participe. Am trecut prin i a gsit n interiorul acestei gigant
100.000 de metri patrati cub agricole cteva locuri care au fost larg
Deschide i doar se aez.
Nu era nimeni n jurul nostru. Deci, am nceput trgnd chei.
Am folosit lucruri ca Ophcrack pentru a ncepe cracare pentru Windows
parolele i s le arunce n Linux. Am nceput punerea
mainile noastre pe reelele aa putem ncepe s faci stilou
testarea i hacking serverele active n mediul nconjurtor. Noi
pune lucrurile ca routere WRT 54g: mic conex albastru
Uniti fr fir sys. Am luat cele, le blocat sub un cub,
pune Unix pe ele i a deschis WRT. Asta a fcut-o, aa c am avut o
punct de acces fr fir am putut lovi nu numai de parcare
lot, dar, de asemenea balize i solicit acas, aa c am avut o cutie Unix
care st n interiorul reelei lor.
Un scurt timp mai trziu, o echip plin de oameni au venit n. O mulime de
munca pe care a fost ncheiat la aceast facilitate a fost munca n schimburi, i ea
Era timpul schimbare schimbare. Pentru ca am facut dreptul nostru temele,
am fost la dou din trei cuburi care au fost vacant astfel nct nu exist
au existat conflicte sau ntrebri.
Toat lumea se aez n jurul nostru. M-am anunat ca
inginerul Cisco care lucra la sis- telefon
TEM. Muli dintre ei au rspuns cu glume i a spus lucruri
cum ar fi, "Drag, te rog nu-l repara. Nu vreau s iau apeluri
astzi. "
Un lucru am nvat este c cookie-urile sunt cheile
la inima tuturor. Cnd fac tipul de exerciiu
n cazul n care am dndu-se drept un tech, sau un VAR, mi place s aduc cookie-uri.
Am facut-o pentru acest exerciiu, i am nceput lesina cookie-uri pentru
toat lumea n zon. Toate Am fost rs, avand o mare

timp. ntre timp, am fost n mijlocul lor hacking

ntreaga reea.
n cele din urm, ceea ce ne-am expus pentru client a fost, putand
nerability de acces lor fizic, i le-am artat
unele dintre tehnicile amestecate am folosit pentru a obine n. Am fost
n msur s demonstreze modul n care, cu inginerie social, am fost
posibilitatea de a hack SQL Server i arunce ntreaga baz de date
de informaii de cont tuturor. Acest tip de nclcare
le-ar putea fi costat mai multe miliarde de dolari. i noi
a avut acces la toate astea din cauza acestor vulnerabilitati. Noi
purtau cams buton i plrie came pentru a putea urmri cum
a fost fcut.
Companiile au nevoie pentru a rula o inginerie social general
campanie de contientizare. Trebuie s-i spunei angajailor ce a
caute i cum s-l caute. Companiile au nevoie de a preda
angajaii c nu e c societatea nu are ncredere n
oameni n cadrul organizaiei; e c exist oameni
acolo ncercarea de a face acest lucru n fiecare zi. Este doar o contientizare bun
Tehnica s o fac.
Dac cineva vine pentru a lucra la mediul dumneavoastr, v
Probabil ar trebui s tie cine sunt. Dac credei c dvs.
companie ca acas, faci lucrurile diferit. Suntei
nu voi lsa pe cineva mers n casa ta. C
este un fel de companii de filosofie nevoie s-l injecteze
culturii organizationale. "
n mintea lui un scammer
CSO ajuns pentru a experimenta o evaluare a vulnerabilitii de prim mn
cnd Chris Nickerson, fondator al securitate Colorado pe baz de
consultan Lares, a fost de acord s aruncm o privire la unul din buildrilor din zona noastr. El a subliniat punctele slabe care o
penal ar putea arata atunci cnd dimensionarea sus potenial o instalaie de
pentru o nclcare.
Unul dintre primele lucruri pe care Nickerson fcut a fost subliniez faptul c
Generator de cldirea a fost att uncaged i deblocat.
El chiar a mers pn la generator i a deschis uile.
Aproximativ 10 minute mai trziu, am fost abordat de un om care
sa prezentat ca manager faciliti.
"Bun, ce faci?", A spus Nickerson ntmplare, n timp ce
mers pn la omul se apropie.
"Am neles c s-au uitat la generatorul i
deschiderea uilor pe ea. Am primit un telefon de securitate, "instalaiile
manager de spus, clar cauz.
"De fapt, facem o evaluare de securitate i punctual
ING lucruri n jurul cldirii ", a spus Nickerson
"OK, i cine lucrezi?", A ntrebat brbatul.
Nickerson a spus c a lucrat pentru OSC, i managerul

prea mulumit cu acest rspuns.

"Bine, foarte bine", a spus el, aa cum ne-a lsat s continue noastre
de evaluare.
"Nu am absolut nici prerogativelor pe mine ca a verifica dac,"
remarcat Nickerson. "Deci, am fost doar permis s deplin acces
cldirea, scormoni la chestii, iar acum avem un punct de verificat
ficare, care este de ncredere. Acum putem merge n i s fie chiar mai ru
cu aparatul de fotografiat pentru c avem deja un pre-verificate
punct, i tim de securitate a fost chemat pe noi pentru deschis
ING generatoare. Ele sunt acum de fapt de gnd s ne ajute n
cldirea tiind foarte bine ceea ce facem, chiar
dei ei nu au nici un motiv s ne credem ".
Nickerson a spus n timpul evalurilor echipei sale, ntrebarea
II din partea personalului client veni tot timpul. Aceasta este o common apariie, iar talentul su la arta de BS este evident.
"Oamenii sunt de obicei bune despre ntreba ce este
a face ", a spus el. "Dar, odat ce le da o scuz viabil,
au lsat s pleci. Atta timp ct faci dreapta ta inteligen,
nu vei fi prins. Oamenii nu le place confruntare. "
Am petrecut aproximativ 20 de minute mai mult fotografierea
cldirea i bage nasul. Managerul faciliti
checkedbackonusbeforeweleftandaskedformoredetails
a proiectului nostru.
"Vreau doar s fie clar c oamenii se uit, i eu sunt
obtinerea apeluri ", a declarat managerul faciliti Nickerson.
Cu toate acestea, la acel moment, ne-am adunat deja suficient
informaii despre cldirea de a face orice este penale
ap gur.
Aa cum am fost de a merge, am vzut managerul de la generaiile
torului, trecnd n revist starea sa deblocat.
"Hei, tii ce? Cred c am asigurat deja
Pagina 11
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
11
cldire, "Nickerson rs. "Vezi? Evalurile de securitate
schimba faciliti. "
Personalul de la cldirea am examinat nu obine credit pentru
fiind atent. In timp ce Nickerson spus nici unul dintre interrugciune am abordat n timpul nostru nu ar avea
l descurajat ctui de puin de la obtinerea slujba fcut, ne-am
nu au fost complet neobservat.
Pranking Superbowl
Comediantul Sir John Hargrave este cunoscut pentru su comedie Web
site-ul, Zug, precum i cascadorii lui de benzi desenate. Unul dintre cel mai mare lui
cascadorii-la profilul 2007 Superbowl-implicate unele cheie

principii de inginerie social. Cascadorie implicat Hargrave

si echipa sa distribuie mii de "pachete de partid", conTaining coliere-aprinde, la spectatori n locuri specifice
la Stadionul Dolphin din Miami. Pachetele de partid coninut
instruciuni pentru participanti pentru a porni coliere lor atunci cnd
Jumtate de norm arat Prince a nceput. Atunci cnd este aprins, luminile ar fi
afia un mesaj de publicitate site Hargrave lui.
Pentru a orchestra cascadorie, echipa purtat tricouri pe care recolt
mormnt comandat cu logo-uri brodate i a efectuat fals
insigne laminate de a se trece n calitate de lucrtori de evenimente.
Hargrave a avut o trecere de presa autentic, dar singurul legitim
prerogativelor restul grupului su a avut au fost de bilete de joc.
Desigur, aceasta a fost Super Bowl, astfel securitatea de la
ageniile locale, de stat i federale a fost n alert maxim, utiliznd
elicoptere Blackhawk, cini-sniffing bombe i gamma
scanere cu raze. Cu toate acestea, Hargrave i echipajul au fost capabili s
conduce dou furgonete de livrare prin high-ritate stadionului
ritate poarta livrare, obine fundal pentru Securitate Intern
verificri la faa locului i depozitai cutiile n garaj stadion
peste noapte.
n ziua de joc, Hargrave folosit pas de pres pentru a obine mai devreme
acces la stadion i pentru a muta toate 100 cutii pentru a bine direcionate
seciuni. Cnd echipa sa l-au alturat, au distribuit
Cutii pentru fiecare rnd de scaune, tocmai la timp pentru o jumtate de norm. n timp
ce
nu exist nici o documentaie care coliere succes
difuzat mesajul Hargrave lui, exist puine motive s se ndoiasc
Revendicare Hargrave de nclcarea securitii stadionului folosind
tactici de inginerie social.
Cheia succesului farsa lui, Hargrave spune, a fost n cutarea
oficial; n timp ce echipa lui purtau tricouri lor logoed, Hargrave
se a purtat un costum i un set de cti Bluetooth. "Daca te uiti
parte, oamenii dau tu de credit nu merii ", a declarat el CSO
Magazine ntr-un interviu [http://www.csoonline.com/artialineatul / 221349 / zug.com-prince-a-farse]. "Security instruit
s caute pe cineva "suspect". De asemenea, grupul practicat
ore cu o zi nainte cascadorie pn cnd au considerat c ar putea
scoate o comportare practic.
n al doilea rnd, Hargrave spune, a fost iniierea conversaii
cu staffers stadion, pentru a cere ajutor. "Oamenii vor s
ajutor, i o dat ce fac, ei nu vor s se suspecteze doar
ajutat pe cineva acestea ar fi fost suspect de "el
spune.
escrocherii reele sociale de
Ieri i azi
Lady Gaga i WikiLeaks

Informaiile guvern extrem de cautare, care a fost

expuse pe Wikileaks n 2010 nu ar fi putut fi obinute
fr inginerie sociala de succes, spune Chris Hadnagy,
autor de inginerie social: Arta de Hacking umane
(Wiley, 2010). US Army soldat Bradley Manning, acuzat
de a transmite informaii clasificate Julian Assange, fondatorul
de Wikileaks, a fost servind ca un batalion sprijin n Irak.
Manning obinut materia prin accesul su
Secret Internet Protocol Router de reea folosit de SUA
Departamentul Aprrii i Departamentul de Stat de a transmite
informaii clasificate.
Fostul hacker Adrian Lamo-care au raportat Manning a
Autoritile-a spus oficialilor c Manning a declarat c a aval
ncrcat material din SIPRNet pe CD-RW. El ar fi
a reusit sa pacaleasca colegi n gndire a fost ascultat
muzic, mai degrab dect furtul de informaii clasificate.
"Mi-ar veni cu muzica de pe un CD-RW marcat cu
ceva de genul, "Lady Gaga" ... terge muzica ... apoi scrie
un fiier divizat comprimat ", Manning a scris ntr-un chat online
cu Lamo. "Nimeni nu suspectat un lucru. (I) ascultat i lipsincronizat la telefon Lady Gaga in timp ce "exfiltrating" tatea
Sibly cea mai mare deversarea de date din istoria Americii. "
"A jucat pe ncrederea poporului inspecie el
merge i n afar ", a spus Hadnagy. "i el a trebuit s pstreze
rece. mi imaginez dac suntei descrcarea guvernul clasificate
ment informaii care ar putea sa te o curte marial, tu
Trebuie s aib nervi de oel. "
Dup scurgerea, inginerii sociale a nceput trimiterea
Mesajele cere, "Vrei s citii fiierul Wikileaks?
Aici este ", spune Hadnagy. "Ataamentul sau link-ul a fost un pdf,
un pdf cu adevrat mecher. Javascript au scris vor cuta
computerul, gsii versiunea de Adobe Reader funcionare
pe masina, iar apoi lansa exploit pentru c verSion. "Dei malware a luat ceva timp s se ncarce,
iretlic a lucrat pentru c victimele se ateptau la o considerabil document
ment, spune Hadnagy.
Noiuni de baz pentru You Know prin Google
Google a fcut prima pagin a ziarelor la nceputul anului 2010 de ctre revealING unele dintre serviciile sale a fost nclcat de ctre Hack-chinez
ERS, care, potrivit oficialilor Google, a vrut pentru a accesa
Conturi Gmail de activiti chinezi pentru drepturile omului. De mai multe
ERALE alte societi au fost, de asemenea, vizate, inclusiv Yahoo,
Adobe Systems i Symantec.
Succesul hackerilor depins, n parte, pe realizarea
o recunoatere de lung durat de angajai Google. Prin utilizarea
informaiile pe care le-au gsit n mai multe locuri, inclusiv sociale

retele, ei au putut s pun ceva ce semna cu legitimiamice mesaje angajailor care par a veni
de la o persoan de contact sau un prieten. Angajaii apoi clic pe link-uri
coninute n mesajul de ncredere, i spyware a fost
instalat pe masina.
Pagina 12
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
12
"Aceste atacatorii ntr-adevr s-au tot afar", spune Hadnagy. "Este
trebuie s fi luat o cantitate considerabil de timp pentru a face acest lucru
un fel de culegere de informaii i recunoatere pentru a ajunge la
punctul n care ar putea interaciona cu forei de munc orientate
SEO ntr-un mod care le-ar permite s obine acest tip de
Informaii "
Hadnagy spune incidentul evideniaz securitatea
dilem reprezentat de reelele sociale, care sunt n prezent considederat o parte vital a strategiei de marketing pentru muli organizaii
organi-. "Deci, multe companii folosesc social media pentru a transmite
mesajul lor de marketing pentru lume. Dar n alt sens,
ele contureaz tot structura compania lor. i dac o social
inginer vrea s foloseasc asta, e acolo i uor accebil. Asta este ceea ce aceste hackerii chinezi folosit, i este ceea ce
a fcut acest atac de succes. "
Hei Amazon, unde e comanda mea?
ntreprinderile care folosesc Amazon.com s-i vnd produsele lor au fost
obiectivul de o neltorie trziu-2010. Truc a fost descoperit de ctre
cercettori cu Software GFI, care a avertizat c Amazon
hoi cibernetice au fost generatoare de ncasri false ntr-o ncercare
s raporteze comenzi pierdute, cu scopul de a obine restituiri sau
produse valoroase.
"Programul gratuit disponibil on-line permite escrocii
pentru a crea o "primire" HTML pentru fantom Amazon.com
piee. Prin captarea o captur de ecran a chitanei fals,
aceste infractorii cibernetici sunt n msur a trimite un email vanzatori ncreztori
acordarea ele lipsesc elemente ", spune Christopher Boyd,
cercettor senior ameninare pentru GFI Software, ntr-un post.
"Ia butonul antipatie!" "Ctig un iPad gratuit!"
Exist o nou tactic neltoare n fiecare zi pe Facebook
care ncearc s con utilizatorii n click pe link-uri malitioase,
sau completarea anchete neltorie. "Chiar mai cunoscuti voina utilizator
uneori facei clic pe ", spune Hadnagy. Rezultatele comune includ
instalare malware sau un studiu care fie genereaz combani misiune pentru escrocul sau v cere pentru personal
informaii care sunt stocate ntr-o baz de date i folosi identitate
furt. n timp ce trucuri se pot schimba de la o lun la alta,

capt jocul este probabil ntotdeauna o s rmn, a declarat HadNagy. Asteptati-va pentru a vedea escrocherii n curs de inginerie social pe
Facebook.
Atent cu cine Ai prieten
Instrumentul Facebook NLP este un bun exemplu de unde sociale
inginerie este condus, n special utilizarea escrocii "n cretere
de informaii obinute prin intermediul site-urilor de social networking.
Iat cum funcioneaz: n 2011, un grup de cercetare-securitate
ERS cu sediul n Egipt a creat un instrument, descris ca fiind un "Facebook
dumper profil ", destinat s educe utilizatorii despre ct de uor
trebuie s se scammed pe Facebook. Cross-platform, Javainstrument bazat, care au lansat pentru uz general, automatizeaz
colectarea de ascuns Facebook profil de date, care este caz contrar
nelept accesibil doar prietenilor din reeaua unui utilizator. Dup spusele
ING descrierii lansat de dezvoltatori, instrumentul
sendsfriendrequeststoalistofFacebookprofiles, andonce
o victim accept, aceasta gropile toate informaiile lor, poze i
lista de prieteni ntr-un folder local.
ntr-un scenariu tipic descris de catre cercetatori,
escroc adun informaii de la un profil de utilizator de creatING un cont nou. Apoi, folosind un "plugin friending,"
criminal poate aduga toi prietenii victimei, care asigur
escrocul mprtete niste prieteni comuni cu victima.
Mai departe, un plugin de donare solicit escrocul de a alege una din
prietenii victimei. Plugin-ul cloneaz imaginea de afiare
i numele de afiare a prietenului ales i stabilete la
Contul autentificate.
Dup aceea, o cerere de prietenie este trimis la victimei
cont. De ndat ce victima accept, basculanta ncepe
pentru a salva toate paginile HTML accesibile (info, imagini, tag-uri, etc.)
pentru examinarea deconectat. "Dup cteva minute, victima poate
Unfriend contul fals dup ce el / ea d seama c e un fals,
dar probabil e prea trziu ", cercetatorii explica n lor
pot.
Escrocul are acum acces la o serie de informaii
cu care s execute un numr de ingineria social foarte orientate
neeringattacks. Cele mai multe detalii personale criminalii au la
eliminarea lor, mai convingtoare atacul lor poate fi. Pentru
exemplu, o victim este mult mai probabil pentru a deschide un e-mail ru intenionat
ataament utilizate ntr-o ncercare de-phishing sulita dac arat
legitim.
Cercetatorii au declarat ca principalele obiective pentru eliberarea
instrument este contientizarea utilizator pentru ceea ce se ntmpl deja n
lumea. "Acest instrument ar trebui s fac pe oameni contieni de
implicaiile aciunilor lor on-line ", a declarat Saafan OSC n
un e-mail. "Acceptarea prieten cereri pentru chiar mai mici

perioad de timp fr a se verifica manual care prietenul este

de fapt cine pretinde a fi, este un exemplu de aciuni greite
c am vrut s demonstreze. "
Saafan asemenea, a spus c sper s aduc o atenie la ceea ce el
consider ca fiind proces de verificare de folosire defectuoas Facebook.
"Cred ca Facebook ar trebui s aib o politic mai strict pentru verificat
riti c oamenii sunt cine pretind a fi, i filtra fals
sau pretinde conturi ", a scris Saafan.
Escrocherii mobile. Acum, c dispozitivele mobile au devenit o
parte esenial a vieii noastre, ingineria social este o metod atac
de alegere a avea acces la smartphone sau tablet unei persoane.
Expert n securitate Informaii Lenny Zeltser, facultate senior
membru cu Institutul SANS i un handler incident la
Storm Center Internet mprtete trei exemple de curent
contra chirie fiind utilizate de infractori pentru a obine n interiorul telefonul mobil
dispozitiv.
Aplicaiile ru intenionate care arata ca aplicaii legitime. Scammers profit de aplicaii mobile populare de Dezvoltare
voltarea aplicaii malware care arata la fel ca ei. Un exemplu
este o aplicaie Android care a cauzat virtual "abur" s apar
pe ecranul dispozitivului mobil. "Ai putea muta degetul la
racla aburul virtuale de pe ", explic Zeltser. "Oamenii iubesc
acest tip de lucru. "
Muli oameni s-au nelat n achiziionarea bootay
app preioas n loc de cel autentic, pentru c era difePagina 13
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
13
ficult s se fac distincia ntre cei doi. n unele cazuri,
Zeltser spune, versiunea malware activat un SMS messalvie solicita servicii premium, pentru care victima
a fost acuzat. Atacatorul, ntre timp, a fost capabil de a terge
toate mesajele ntoarcere SMS recunoscnd acuzaiile, aa
victimele au avut nici o idee acestea au fost facturate. "n acest
scenariu, victima nu a avut nici un indiciu c telefonul a fost
trimiterea de mesaje sau primirea orice fel de notificare a
taxele-le-ar primi doar o factura de telefon mare, "Zeltser
spune.
Potrivit Zeltser, Google a ndeprtat peste 50 de malware
aplicaii din Android Market n primvara anului 2011, care au fost
variante ale troianului DroidDream, dar arata ca legitim
aplicaii, cu nume precum Super Guitar Solo.
"Sfatul vom oferi oamenilor din afara mobil
lumea este, nu instalai aplicaii care provin de la neSurse de ncredere ", spune Zeltser. "Se aplic Acelai sfat

acum la mobil. "Utilizatorii nu se pot baza pe ratingurile o aplicaie de

pentru c muli oameni nici mcar nu s-ar putea realiza pe care le folosesc
Aplicaiile ru intenionate.
Aplicaii mobile ru intenionate care provin de la anunuri. Ru
Anunturi cu sunt inglobate in aplicaii mobile legitime. ntr-un
caz, victimele au fost invitai s facei clic pe un link cerndu-le
pentru a instala o aplicaie pentru a optimiza consumul bateriei.
"n lumea desktop, vedem second hand malware ca o
vector infecie incredibil, deoarece acestea permit atacatorului
s prezinte cod malitios potenial n browser-ul de
sute de mii de victime. Acum vedem acest
se ntmpl ntr-un mediu mobil le acolo unde anunurile sunt in curs de
plasate n aplicaii legitime ", spune Zeltser.
Aplicaii care pretind a fi destinat pentru "securitate". Un alt
nou vector de atac mobil este o variant malware ZeuS. Cnd
utilizatorii viziteaz un site bancar de la un calculator infectat, ele sunt
vi se solicit s descrcai o autentificare sau securitate comcomponent pe dispozitivul mobil pentru a finaliza
proces de autentificare, spune Zeltser. "Atacatorii dau seama c utilizatorii
folosesc autentificarea cu doi factori ", explic el. "n multe
cazuri, c al doilea factor este implementat ca o singur dat
parola trimis pe telefonul utilizatorului de ctre furnizorul bancar.
Atacatorii s-au gndit: "Cum putem avea acces la cele
acreditrile? " Rspunsul lor este: "Atac de telefon al utilizatorului. '"
Odat ce PC-ul este infectat, victimele log pe banca lor
contul i se spune pentru a descrca o aplicaie pe lor
telefon pentru a primi mesaje de securitate, cum ar fi autentificare
acreditrile. Dar este de fapt o aplicaie malware de la
aceeai entitate care controleaz PC-ul utilizatorului. Acum ei
au acces la nu numai logare bancar regulat utilizatorului
prerogativelor, dar, de asemenea, al doilea factor de autentificare trimis
victimei prin SMS. n multe cazuri, spune Zeltser, oameni
au spus c pur i simplu au fost instalarea de aplicaii de securitate,
sau, n unele cazuri, un certificat de securitate.
"Cnd oamenii cred ceva se face pentru securitate, ele
uita toate logic i raiune ", spune el. "Ei doar orbete o fac."
Uita fly-pescuit; S mergem spearfishing!
Arta criminal de spearphishing-mail spoofing care are ca scop
pentru a ajunge destinatarul s facei clic pe un link de ru sau ataament-are
beenaroundforyears. Butthatdoesn'tmeanit devin orice
mai puin eficiente. Conform datelor de la calculator SUA
De urgen Readiness Echipa (US-CERT), atacuri de phishing
reprezentat 53% din totalul incidentelor de securitate n 2010.
Ce sa schimbat este faptul c mai multe tentative de phishing
sunt eforturi directe, orientate care vizeaz anumite persoane
n cadrul unei organizaii. De fapt, dup nclcarea unui e-mail

baz de date ntreinut de firma de marketing Epsilon, securitate

Experii au avertizat c clienii bancare ar trebui s v facei griji
despre un val de atacuri spearphishing utilizarea maiile
informaii ctigat de break-in.
Zilele cnd phisheri ar fugi sute de
Mesajele generice n sperana de a cteva hit-uri se termina. Crimisemnalele realiza acum un mesaj cu ingineria de specialitate, social
coninut de maini care se refer la o persoan sau un mic
grup de oameni poate fi mult mai mult succes. La urma urmei,
de obicei, dureaza doar o main s fac un compromis un ntreg
de reea.
"Vedem acum mai mult de scenarii care implic doar dou sau
trei e-mailuri care vizeaz echipei executive, care Parodii
echipa legal i conine o ataare malware care discuiile
despre ateptarea litigii ", spune Jim Hansen a garaniei
Consultanta de contientizare PhishMe.