Documente Academic
Documente Profesional
Documente Cultură
TheUltimate
GHID Social
Inginerie
De la CSO Magazine i CSOonline.com
Coninut
I. Definiie
Ce este ingineria social?
Ce inginerii sociale anunt
Cum inginerii sociale de lucru
II. Tactici de baz
De ce oamenii se ncadreaz pentru sociale
inginerie i alte escrocherii
III. Profilaxie
IV. Inginerii sociale
n aciune
"Linii Pickup" utilizate n mod obinuit
O mulime de poveti i exemple reale
BU s I ness
RI s K
AD e R s HIP L e
Page 2
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
2
I. Definiie
Ce este ingineria social?
Ingineria social este arta de a avea acces la cldiri,
sistemelor sau a datelor prin exploatarea psihologiei umane, mai degrab
dect prin rupere sau folosind tehnici de hacking tehnice.
De exemplu, n loc de a ncerca s gseasc o vulnerabil- software
tate, un inginer social ar putea numi un angajat i prezint ca un
Suport IT persoan, ncercnd s pcleasc angajat n divulgING parola. Scopul este de a ctiga ncrederea de o
sau mai multe dintre angajaii dumneavoastr.
Hacker celebru Kevin Mitnick a ajutat la popularizarea
Termenul "inginerie social", n anii '90, dar ideea simpl
n sine (pacalind pe cineva n a face ceva sau divulgarea
informaiile sensibile) a fost n jurul pentru vrstele.
Ce Ingineri sociale Vrei
Scopul in mai multe inginerii sociale este de a obine personal
informaii care i pot duce fie direct la tele de
financiar sau furt de identitate sau s le pregteasc pentru o mai orientate
atac. Acestea arata, de asemenea, moduri de a instala malware care ofer
le un acces mai bun la datele cu caracter personal, sisteme informatice sau
conturi, ei nii. n alte cazuri, inginerii sociale sunt
Cum funcioneaz: Utilizatorii primesc e-mailuri pretinde comcompaniile, cum ar fi eBay, sustinand ca nu au nc pltit pentru un win
ofert ning. Atunci cnd facei clic pe link-ul furnizat, aceasta duce la
un site de phishing. Truc joac la preocuprile oamenilor cu privire la un
impact negativ asupra scorul lor eBay. Mai degrab dect s facei clic pe
acest tip de e-mail, expertii recomanda ca utilizatorii merge direct
la site-ul Web de afaceri implicat tastnd adresa URL
n bara browserului.
"Ai fost eliberai. Click aici pentru a nregistra pentru pli compensatorii. "
Cum funcioneaz: Infractorii profita de economic
incertitudine i a crescut digitalizare prin trimiterea unui e-mail
pentru angajaii cu un link malitios care pare s releu
tirile care necesit un rspuns rapid, cum ar fi, "Noi suntem provin acetia
ING din formularele W-2 electronic in acest an. "
Atacuri
Tactici de inginerie social devin din ce n ce mai
specific, cu criminali care vizeaz persoane individuale i
dedicandu mai mult timp pentru a obine informaii cu caracter personal,
cu sperana de a un ctig mai mare. Aici sunt cinci dintre acestea mai mult
mai multe tipuri-lucrative de escrocherii implicate, i.
"Acesta este sprijin Microsoft -Am vrea s ajute."
Cum funcioneaz: Escrocii pune ca o tehnologie Microsoft sprijin
persoan i cerere de port pentru a fi de asteptare toate pentru Windows liceniat
Utilizatorii ale cror PC-uri sunt generatoare de un numr anormal de
erorile datorate unei erori de software. Victimele sunt instruii pentru a merge la
jurnalul de evenimente, care pot fi deosebit de alarmant a inexpeUtilizatorii experimentate pentru c, de fapt, cele mai multe jurnalele de evenimente
pentru Windows face
nregistra multe erori mici. Multe persoane de la acest punct vor fi
gata s fac orice presupusa persoana de sprijin instruiete,
care n acest caz este de a merge la un serviciu de acces la distan, Teamviewer.com, care ofer control escroc a mainii.
Page 9
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
9
De acolo, criminalul instaleaz malware, care va acorda
el sau ea acces continuu la PC.
"Doneaza pentru eforturile de recuperare uragan!"
Cum funcioneaz: La scurt timp dup ce un cutremur major, tsuNami sau un alt dezastru, site-uri web false pop-up, de direcionare
persoanele n cauz cu privire la cei dragi din regiunea afectat
i pretind a avea resurse specializate, cum ar fi guvernul
ment baze de date i informaii efort de salvare, pentru a ajuta la gsirea
victime. Site-urile colecteaz nume i informaii de contact
i-l utilizai pentru a solicita donaii de caritate. Apelantul ia
retele, ei au putut s pun ceva ce semna cu legitimiamice mesaje angajailor care par a veni
de la o persoan de contact sau un prieten. Angajaii apoi clic pe link-uri
coninute n mesajul de ncredere, i spyware a fost
instalat pe masina.
Pagina 12
CSO EXECUTIV GUIDE TheUltimateGhiddeingineriesocial
12
"Aceste atacatorii ntr-adevr s-au tot afar", spune Hadnagy. "Este
trebuie s fi luat o cantitate considerabil de timp pentru a face acest lucru
un fel de culegere de informaii i recunoatere pentru a ajunge la
punctul n care ar putea interaciona cu forei de munc orientate
SEO ntr-un mod care le-ar permite s obine acest tip de
Informaii "
Hadnagy spune incidentul evideniaz securitatea
dilem reprezentat de reelele sociale, care sunt n prezent considederat o parte vital a strategiei de marketing pentru muli organizaii
organi-. "Deci, multe companii folosesc social media pentru a transmite
mesajul lor de marketing pentru lume. Dar n alt sens,
ele contureaz tot structura compania lor. i dac o social
inginer vrea s foloseasc asta, e acolo i uor accebil. Asta este ceea ce aceste hackerii chinezi folosit, i este ceea ce
a fcut acest atac de succes. "
Hei Amazon, unde e comanda mea?
ntreprinderile care folosesc Amazon.com s-i vnd produsele lor au fost
obiectivul de o neltorie trziu-2010. Truc a fost descoperit de ctre
cercettori cu Software GFI, care a avertizat c Amazon
hoi cibernetice au fost generatoare de ncasri false ntr-o ncercare
s raporteze comenzi pierdute, cu scopul de a obine restituiri sau
produse valoroase.
"Programul gratuit disponibil on-line permite escrocii
pentru a crea o "primire" HTML pentru fantom Amazon.com
piee. Prin captarea o captur de ecran a chitanei fals,
aceste infractorii cibernetici sunt n msur a trimite un email vanzatori ncreztori
acordarea ele lipsesc elemente ", spune Christopher Boyd,
cercettor senior ameninare pentru GFI Software, ntr-un post.
"Ia butonul antipatie!" "Ctig un iPad gratuit!"
Exist o nou tactic neltoare n fiecare zi pe Facebook
care ncearc s con utilizatorii n click pe link-uri malitioase,
sau completarea anchete neltorie. "Chiar mai cunoscuti voina utilizator
uneori facei clic pe ", spune Hadnagy. Rezultatele comune includ
instalare malware sau un studiu care fie genereaz combani misiune pentru escrocul sau v cere pentru personal
informaii care sunt stocate ntr-o baz de date i folosi identitate
furt. n timp ce trucuri se pot schimba de la o lun la alta,
capt jocul este probabil ntotdeauna o s rmn, a declarat HadNagy. Asteptati-va pentru a vedea escrocherii n curs de inginerie social pe
Facebook.
Atent cu cine Ai prieten
Instrumentul Facebook NLP este un bun exemplu de unde sociale
inginerie este condus, n special utilizarea escrocii "n cretere
de informaii obinute prin intermediul site-urilor de social networking.
Iat cum funcioneaz: n 2011, un grup de cercetare-securitate
ERS cu sediul n Egipt a creat un instrument, descris ca fiind un "Facebook
dumper profil ", destinat s educe utilizatorii despre ct de uor
trebuie s se scammed pe Facebook. Cross-platform, Javainstrument bazat, care au lansat pentru uz general, automatizeaz
colectarea de ascuns Facebook profil de date, care este caz contrar
nelept accesibil doar prietenilor din reeaua unui utilizator. Dup spusele
ING descrierii lansat de dezvoltatori, instrumentul
sendsfriendrequeststoalistofFacebookprofiles, andonce
o victim accept, aceasta gropile toate informaiile lor, poze i
lista de prieteni ntr-un folder local.
ntr-un scenariu tipic descris de catre cercetatori,
escroc adun informaii de la un profil de utilizator de creatING un cont nou. Apoi, folosind un "plugin friending,"
criminal poate aduga toi prietenii victimei, care asigur
escrocul mprtete niste prieteni comuni cu victima.
Mai departe, un plugin de donare solicit escrocul de a alege una din
prietenii victimei. Plugin-ul cloneaz imaginea de afiare
i numele de afiare a prietenului ales i stabilete la
Contul autentificate.
Dup aceea, o cerere de prietenie este trimis la victimei
cont. De ndat ce victima accept, basculanta ncepe
pentru a salva toate paginile HTML accesibile (info, imagini, tag-uri, etc.)
pentru examinarea deconectat. "Dup cteva minute, victima poate
Unfriend contul fals dup ce el / ea d seama c e un fals,
dar probabil e prea trziu ", cercetatorii explica n lor
pot.
Escrocul are acum acces la o serie de informaii
cu care s execute un numr de ingineria social foarte orientate
neeringattacks. Cele mai multe detalii personale criminalii au la
eliminarea lor, mai convingtoare atacul lor poate fi. Pentru
exemplu, o victim este mult mai probabil pentru a deschide un e-mail ru intenionat
ataament utilizate ntr-o ncercare de-phishing sulita dac arat
legitim.
Cercetatorii au declarat ca principalele obiective pentru eliberarea
instrument este contientizarea utilizator pentru ceea ce se ntmpl deja n
lumea. "Acest instrument ar trebui s fac pe oameni contieni de
implicaiile aciunilor lor on-line ", a declarat Saafan OSC n
un e-mail. "Acceptarea prieten cereri pentru chiar mai mici