Социјален инженеринг

Социјален инженеринг — практика на манипулирање со луѓе во вршење активности или откривање на доверливи информации.^[1] Иако е сличен со изневерување на довербата или едноставна измама, терминот обично се однесува на изигрување или измама за целите на собирање на информации, измама, или пристап до компјутерски систем; во повеќето случаи напаѓачот никогаш не доаѓа лице-в-лице со жртвите. "Социјалното инженерство", како чин на психолошка манипулација, беше популаризиран од страна на хакерскиот консултант Кевин Митник . Терминот претходно бил поврзуван со општествените науки, но неговата употреба се раширила меѓу компјутерските професионалци.^[2]

Техники на социјално инженерство и термини

Сите техники на социјално инженерство, се засноваат на специфични атрибути на човековото донесување одлуки, познати како когнитивни предрасуди .^[3] Овие предрасуди, понекогаш нарекувани и "Бубачки во човечкиот хардвер", се експлоатираат во различни комбинации, за да се создадат техники за напад, од кои некои се наведени тука:

Техника на изговор

Техника на изговор е чин на создавање и користење на измисленo сценарио (на изговор ) за да се нападне обележана жртва, на начин на кој се зголемува шансата дека жртвата ќе открие информации или ќе спроведе активности, кои во обични околности најверојатно не би ги направила.^[4] Елаборираната лага , најчесто вклучува некои претходни истражувања или подготвување и користење на овие информации за имитирање (на пример, датум на раѓање, бројот на социјално осигурување , износот на последната сметка) за да воспостави легитимност во умот на жртвата.^[5]

Оваа техника може да се користи за да се натераат компаниите да откријат информации за корисниците, а ја користат и приватните детективи за да добијат телефонски записи, корисни записи, банкарски записи и други информации директно од службата на претставници на компанијата. Информациите потоа може да се користат за да се воспостави уште поголема легитимност под построги сослушувања со менаџер, на пример, да се направат промени на сметка, специфични состојби на сметка, итн.

Техниката на изговор, исто така, може да се користи, кога некоја личност сака лажно да се претставува како: свој колега, полиција, банка, даночна власт, свештенство, осигурителни истражители - или било која друга личност која би можела да изгледа авторитетно во умот на целните жртви или со право да легитимира . Напаѓачот едноставно мора да подготви одговори на прашањата кои може да бидат поставени од страна на жртвата. Во некои случаи се што е потребно е глас што звучи авторитетно, сериозен тон, и способност брзо да се реагира.

Кражба преку правење диверзија

Кражбата преку правење диверзија, исто така позната како "игра во катче" ^[6] или " игра зад аголот " потекнува од источниот крај на Лондон.

Накратко, кражба преку правење диверзија е "измама" применета од страна на професионални крадци, вообичаено против транспортна или курирска компанија. Целта е да се убедат лицата одговорни за легитимна испорака дека пратката се бара на друго место - односно "зад аголот". Со товарот / пратката пренасочени, крадците го убедуваат возачот да ја остави пратката во близина на, или далеку од адресата на примачот, во изговор дека таа "директно ќе пристигне" или "итно се бара некаде на друго место".

" Измамата " има многу различни аспекти, кои вклучуваат техники за социјално инженерство со кои се убедуваат легитимните административци или персоналот за сообраќај на транспортни или курирски компании, да издадат инструкции на возачот да ги пренасочи пратките или товарот.

Друга варијација на ваквата кражба е стационирање на безбедносно комбе пред банка во петок навечер. Елегантно облечен полицаец ја користи фразата "Ноќе е побезбедно, господине". Со овој метод дуќанџиите и сл. лековерно го депонираат нивниот профит во комбето. Тие добиваат потврда за примениот профит, но подоцна оваа потврда излегува дека е безвредна. Слична техника беше користена пред многу години да се украде концертно пијано од производителот Steinway , од радио студио во Лондон. Изговорот бил: "Дојдовме да го сервисираме пијаното".

Мрежно рибарење

Главна статија: Мрежно рибарење

Мрежно рибарење (или фишинг)е техника на добивање приватни информации преку измама. Типично, напаѓачот праќа e-пошта кој се чини дека доаѓа од легитимна компанија-банка или кредитна компанија, со барање за "верификација" на информации и предупредување за некои сериозни последици доколку информациите не се верифицираат. Е-поштата обично содржи линк до лажни мрежни места, кои се чинат легитимни-со логоа на компанијата и содржина, како и форма, која бара сè, од домашна адреса, до ПИН на кредитна картичка.

На пример, во 2003 е забележано зголемувањето на бројот на вакви измами, во кои корисниците добиваат е-пошта наводно од eBay тврдејќи дека сметката на корисникот ќе биде откажана, ако не се кликне на линкот што е даден за да се ажурира кредитната картичка ( информации кои вистинскиот eBay веќе ги има ). Поради тоа што е релативно едноставно да се направи мрежно место кое личи на страница на легитимна организација, со имитација на HTML кодот, измамата ги наведува луѓето да мислат дека се контактирани од страна на eBay, а потоа, да мислат дека одат до мрежно место на eBay да ги обноват своите информации за сметката. Со спамирање големи групи на луѓе, "рибарот" смета дека меилот ќе го прочитаат процент на луѓе кои веќе давале броеви на кредитни картички на eBay легитимно, па би можеле да одговорат.

ИГО или рибарење преку телефон

Оваа техника користи систем за Интерактивен гласовен одговор - ИГО (говорен автомат) (анг.Interactive voice response - IVR), за да ресоздава легитимна звучна копија на IVR системот од банка или друга институција. Од жртвата е побарано (обично преку фишинг е-пошта) да се јави во "банката" преку ( идеално бесплатен ) број со цел да се "проверат" информации. Еден типичен систем ќе ја отфрлува најавата постојано, обезбедувајќи на тој начин жртвата да го внесе ПИН-от или лозинките повеќепати, често откривајќи неколку различни лозинки. Повеќе напредни системи ја носат жртвата кај напаѓачот, кој се претставува како корисничка служба, за понатамошно испитување.

Една од тие системи дури може да снима типични команди ("Притиснете еден да ја смените лозинката, притиснете два за да зборувате со корисничката служба" ...) и да ги пушта рачно во реално време, давајќи изглед на говорен автомат без трошоци. Рибарење (фишинг) преку телефон се вика вишинг.

Наведување

Наведувањето е како Тројанскиот коњ во реалниот свет, кој користи физички медиуми и се потпира на љубопитноста или алчноста на жртвата.^[7] Во овој напад , напаѓачот остава инфицирани флопи дискети , CD-ROM или USB флеш дискови со малициозен софтвер, на локација каде може лесно да се најдат (бања, лифт, тротоар, паркинг), давајќи им љубопитен изглед, и едноставно чека жртвата да го користи уредот.

На пример, напаѓачот може да создава диск со корпоративно лого, лесно достапен од мрежната страница на жртвата, и да напише "Резиме за плата на извршителите Q2 2012" на предната страна. Напаѓачот потоа ќе го остави дискот во лифт или некаде во фоајето на целната компанија. Некој вработен може да го најде и потоа да го вметне дискот во компјутерот за да ја задоволи својата љубопитност, или некој добронамерен да го најде дискот и да го предаде во компанијата.

Во било кој случај, како последица, само со вметнување на дискот во компјутерот за да ја видите содржината, корисникот ќе инсталира штетен софтвер, најверојатно давајќи му на напаѓачот непречен пристап до компјутерот на жртвата и можеби, пристап до внатрешната компјутерска мрежа на целната компанијата.

Освен ако компјутерот не ја блокира инфекцијата, компјутерите на кои е поставено "автоматско отворање " на додадените медиуми, може да бидат компромитирани веднаш штом непријателскиот диск е вметнат.

Quid pro quo

Quid pro quo значи услуга за услуга :

• Напаѓачот се јавува на случајни броеви во компанија тврдејќи дека се јавува како техничка поддршка. На крајот ќе најде некој со легитимен проблем, благодарен што некој одговорил и да му помогне. Напаѓачот ќе "помогне" да се реши проблемот и во процесот, ќе побара од корисникот да типка команди кои му овозможуваат на напаѓачот пристап или стартување на малициозен софтвер.
• Во анкета за безбедноста на информациите, од 2003 година , 90% од канцелариските работници им ја дале на истражувачите, она што тврдат дека била нивната лозинка, како одговор на анкетно прашање, во замена за евтино пенкало.^[8] Слични истражувања во подоцнежните години добиле слични резултати, користејќи чоколади и други евтини мамки , иако тие не направиле никаков обид да ги валидираат лозинките.^[9]

Техника на искористувње

Напаѓачот, кој бара влез на забрането подрачје каде што пристапот е без човечки надзор, со електронска контрола на пристап, на пример, со РФИД (Радио-честотна идентификација) картички, едноставно оди зад лице кое има легитимен пристап. Поради учтивост, легитимното лице обично ќе ја одржи вратата отворена за напаѓачот. Легитимните лице може да не успеат да прашаат за идентификација поради повеќе причини, или може да го прифатат тврдењето дека напаѓачот го заборавил или изгубил соодветен белег за докажување идентитет. Напаѓачот исто така може да ја лажира акцијата на презентирање соодветен белег за докажување идентитет.

Други видови

Обичните изневерувачи на доверба или измамници, исто така, може да се сметаат за "социјални инженери" во поширока смисла, во тоа што тие намерно мамат и манипулираат со луѓето, искористувајќи ги човечките слабости за да се здобијат со лична корист. Тие можат, на пример, да ги користат техниките на социјално инженерство, како дел од ИТ измама.

Многу нов тип на техника на социјално инженерство се измама ( spoofing ) или пробивање на ИД на луѓе кои имаат популарни е-пошта идентификации, како што се Yahoo! , GMail , Hotmail итн. Меѓу многуте мотивации за измама се:

• Мрежно рибарење на броеви на сметки на кредитни картички и нивни лозинки.
• Пробивање на приватен е-пошта и истории на разговорите и манипулирање со нив, користејќи вообичаени техники за уредување пред да бидат искористени за изнуда на пари и создавање на недоверба меѓу поединците.
• Пробивање на мрежни места на компании или организации и уништување на нивниот углед.
• Компјутерски вирус измами.

Контрамерки

• Организациите мора, на ниво на вработен / персонал, да воспостават рамки на доверба. (Односно, кога / каде / зошто / како чувствителните информации треба да се третираат?)
• Организациите мора да утврдат кои информации се чувствителни и да се запрашаат за нивниот интегритет во сите форми. (односно Социјално инженерство, Градењето на безбедноста, Компјутерска безбедност, итн)
• Организациите мора да воспостават безбедносни протоколи за лица кои работат со чувствителни информации.
• Вработените мора да бидат обучени за безбедносни протоколи релевантни за нивната позиција. (На пример, вработените мора да ги идентификуваат луѓето кои тежнеат кон чувствителни информации.) (Исто така: во ситуации како што tailgating, ако идентитетот на едно лице не може да биде потврден, вработените мора да бидат обучени учтиво да одбиваат.)
• Работната рамка на организацијата мора да се испробува периодично, и овие тестови треба да се ненајавени.
• Внесете го вашето критичко око во кој било од горенаведените чекори:. Не постои совршено решение за интегритет на информациите.^[10]

Значајни социјални инженери

Калифорниските полициски оддели истражуваат прекршувања на црвено светло

Повеќе од 30 Калифорниски полициски оддели испраќаат лажни "казни" за поминување на црвено светло, наречени "дошепнувачки казни", во обид да ги прелажат регистрираните сопственици да го откријат идентитетот на лицето кое го управувало возилото за време на наводниот прекршок. Поради тоа што овие "билети" не се препратени до судот, тие не носат никаква правна тежина и (во САД) регистрираниот сопственик има право да молчи и нема никаква обврска да одговори на било кој начин. Во Калифорнија, вистински билет ќе го носи името и адресата на локалниот огранок на Врховниот суд и ќе го насочи примателот да го контактира тој суд, додека лажните "казни" генерирани од страна на полицијата нема.^{[11][12][13][14]}

Кевин Митник

Реформираниот компјутерски криминалец, а подоцна и консултант за безбедност Кевин Митник го популаризиран терминот "социјален инжинеринг", посочувајќи дека е многу полесно да се прелаже некој да ја даде лозинката за системот, отколку да се троши напор да се пробие системот.^[15]

Браќата Бадир

Браќата Реми, Музер и Шаде Бадир-од кои сите се слепи од раѓање успеале да постават голема телефонска и компјутерска измамничка шема во Израел во 1990-тите користејќи социјално инженерство, гласовно имитирање, и компјутери со Брајов дисплеј.^[16]

Кристофер Хаднагу

Консултант за безбедност, автор, и основач на првата Официјална Рамка на Социјален Инженерство. Вклучен во формализирање на концепти на Социјално инженерство за подобро да се дефинираат разните закани што произлегуваат од него.^[17][18]

Архангел

Хакерот со бела капа , консултант за компјутерска безбедност, автор и писател за списанието "Phrack", Архангел (наречен "Најголемиот социјален инженер на сите времиња") покажал техники за социјално инженерство со кои може да се добие сè, од лозинки, до пица, до автомобили, до авио билети.^{[19][20][21][22][23]}

Стив Стасиуконис

Консултант за безбедност за "Secure Network Technologies". Пронаоѓач на тест за USB диск за палецот, каде USB стапчиња испробуваат дали вработените ќе ги извршуваат во рамките на нивните работни средини. Овој напад е сега еден од најпопуларните техники за социјално инженерство во постоење и се користи за испробување на човечкиот елемент на безбедност во целиот свет.

Мајк Ридпат

Консултант за безбедност за IOActive, автор, и говорник. Нагласува техники и тактики за социјално инженерство. Станал значаен по своите говори каде што пуштал снимени разговори и го објаснувал она што тој го правел за да се здобие со лозинки преку телефон.^[24][25][26]

Други

Други социјални инженери се: Френк Абегнејл, Дејвид Банон, Питер Фостер и Стивен Џеј Расел.

Закон

Во обичајното право, техниката на изговор е нарушување на приватноста, деликт на присвојување.^[27]

Изговори за добивање на телефонски записи

Во декември 2006 година, Конгресот на САД, го одобри законот спонзориран од Сенатот, со кој изговорите за добивање на телефонски записи се федерално кривично дело со парична казна до 250.000 долари и десет години затвор за поединци (или парични казни до 500.000 $ за компании). Законот беше потпишан од страна на претседателот Џорџ Буш на 12 јануари 2007 година.^[28]

Федерални закони

Од 1999 година Актот на Грам-Лич-Блајли ( GLBA ) е федерален закон на САД кој посебно се однесува на наоѓањето изговори за добивање на банкарски записи, како незаконски акт, казнив според федералните закони. Кога деловниот субјект како што е приватен детектив, SIU осигурителен детектив и сл. врши било како вид на измама, тогаш тој потпаѓа под авторитетот на Федералната комисија за трговија (ФТЦ). Оваа федерална агенција има обврска и авторитет да се осигура дека потрошувачите не се предмет на каква било нефер или измамничка деловна практика. Во член 5 од Законот за Федерална комисија за трговија на САД, меѓудругото се вели: "Секогаш кога Комисијата има причина да верува дека било кое лице, партнерство или корпорација користела или користи каков било нефер начин на конкуренција или нефер/измамнички акт или практика во трговијата или акт кој влијае врз трговијата, и ако по оценка на Комисијата дека продолжувањето на постапката во врска со него ќе биде од интерес на јавноста, таа ќе покрене спор и ќе и служи на тоа лице, партнерство или корпорација, ќе покрене тужба во која се наведуваат сите обвиненија во тој поглед."

Со статутот се вели дека, кога некој се стекнува со лични нејавни информации од финансиска институција или од потрошувачот, неговата акција подлежи на статутот. Тоа се однесува на односот на потрошувачот со финансиска институција. На пример, случаите кога, некој користи лажни изговори или за да се стекне со адреса на потрошувачите од банката на потрошувачот, или да го натера потрошувачот да го открие името на својата банка, ќе бидат покриени. Детерминстичкиот принцип е дека се казнува само тогаш кога информациите се добиени преку лажни изговори. Иако продажбата на мобилни телефони бележи значително медиумско внимание, и телекомуникациските досиеја се во фокусот на двата закони кои во моментов се пред Сенатот на САД , многу други видови на приватни записи се купуваат и продаваат во јавниот пазар. Моментално е важно дека, легално е да се продаваат телефонски записи, но нелегално е ако се стекнеш со нив.^[29]

Хјулит Пакард

Патриша Дан , поранешен претседател на Хјулит Пакард, изјавила дека одборот на ХП ангажирал приватна истражителна компанија да истражува кој е одговорен за истекување на информации во рамките на одборот. Дан призна дека компанијата користи практиката на изговор да ги раздели телефонските записи на членовите на одборот и новинарите. Претседателката Дан подоцна се извини за овој чин и понуди да се повлече од одборот ако така одлучат членовите на одборот.^[30] За разлика од федералниот закон, Калифорнискиот законот конкретно го забранува, ваквиот начин на изговори. Четирите обвиненија кои биле покренати против Дан биле отфрлени.^[31]

Во популарната култура

• Во филмот ''Хакери'' , главниот лик се користи со изговор, кога го прашува безбедносниот чувар да му го даде телефонскиот број на модемот на ТВ станица, претставувајќи се како важен извршител.
• Во книгата на Џефри Девер, Сината сегашност, една од методите која се користи од страна на убиецот Фејт, за да се доближи до своите жртви е токму социјално инженерство за добивање доверливи информации.
• Во филмот ''Живеј слободно или умри машки'', Џастин Лонг користи изговор дека татко му умира од срцев удар, за да помошник на On-Star, го стартува автомобилот кој сакаат да го украдат.
• Во филмот ''Патики'' , еден од ликовите се претставува како надреден на чуварот, со цел да го убеди дека нарушувањето на безбедноста е само лажна тревога.
• Во филмот ''Аферата Томас Краун'', еден од ликовите преку телефон се претставува како надреден на чуварот во музејот, со цел да го одведе чуварот подалеку од неговото место.
• Во филмот за Џејмс Бонд, Дијамантите се вечни , се гледа како Бонд добива влез во Вајт лабораториите со тогашните најнови картички за пристап до системот, користејќи техника на искористување. Тој само чека еден вработен да дојде да ја отвори вратата, потоа самиот претставувајќи се како новајлија во лабораторијата, лажира дека вметнува непостоечка картичка, додека вратата е отклучена за него од страна на вработениот.
• Во телевизиско шоу Досиеја Рокфорд , ликот Џим Рокфорд често користи изговори во неговата истражувачка работа.
• Во популарна ТВ емисија Менталистот, главниот лик Патрик Јане, често го користи изговорот да ги наведе криминалците да ги признаат злосторствата што ги сториле.

Разгледај

• Мрежно рибарење
• ИТ ризици

Наводи

1. Goodchild, Joan (11 January 2010). „Social Engineering: The Basics“. csoonline. Архивирано од изворникот на 2010-05-07. Посетено на 14 January 2010.
2. Security engineering:a guide to building dependable distributed systems, second edition, Ross Anderson, Wiley, 2008 – 1040 pages ISBN 978-0-470.06852-6, Chapter 2, page 17
3. Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
4. The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). „HP Pretexting Scandal by Faraz Davani“. Scribd. Посетено на 15 August 2011.
5. "Pretexting: Your Personal Information Revealed,"Federal Trade Commission
6. „архивски примерок“. Архивирано од изворникот на 2011-08-31. Посетено на 2012-02-02.
7. „архивски примерок“. Архивирано од изворникот на 2006-07-13. Посетено на 2012-02-02.
8. Office workers give away passwords
9. Passwords revealed by sweet deal
10. Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
11. http://www.highwayrobbery.net "Police Going Too Far..."
12. David Goldstein, CBS Television, Los Angeles "Are police tricking people into paying Snitch Tickets?"
13. „The Right To Remain Silent“. www.almanacnews.com. 8 November 2011. Архивирано од изворникот на 2011-11-13. Посетено на 18 November 2011.
14. „Something Every Consumer Should Know“. www.HandelontheLaw.com. 27 March 2009. Посетено на 18 November 2011.
15. Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing.
16. http://www.wired.com/wired/archive/12.02/phreaks_pr.html
17. http://www.social-engineer.org
18. http://www.amazon.com/Social-Engineering-Art-Human-Hacking/dp/0470639539
19. Usenet sample citing moniker use-several examples. 1990s to present.
20. Editorial. "Pro-Phile on groups" Phrack Magazine, 6 October 1986, sc. 12.
21. Editorial. "Line-noise" Phrack Magazine, 13 August 2003, sc. 2.
22. "Are Hackers Everywhere?" Money Magazine, July 1997, Malcolm Fitch
23. http://www.the.feds.arewatching.us/main.htm
24. http://www.youtube.com/watch?v=uAb0si2u8eI
25. „архивски примерок“. Архивирано од изворникот на 2012-08-04. Посетено на 2012-02-03.
26. „архивски примерок“. Архивирано од изворникот на 2012-04-11. Посетено на 2012-02-03.
27. Restatement 2d of Torts § 652C.
28. Congress outlaws pretexting, Eric Bangeman, 12/11/2006 11:01:01, Ars Technica
29. Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. ISBN 0-471-23712-4
30. HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 2006-09-08 1:08 PM PDT CNET News.com
31. Calif. court drops charges against Dunn

Корисна литература

• Ƥιяαтɛ. (1990). Baa Baa Hackforums Published by Ƥιяαтɛ ISBN 0-553-26350-1
• Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
• Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
• Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
• Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
• Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
• Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
• Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
• Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9

Надворешни врски

• Socialware.ru – The biggest RUnet community devoted to social engineering.
• http://the.feds.arewatching.us – The Archangel Website
• Social Engineering Fundamentals Архивирано на 15 мај 2008 г. – Securityfocus.com. Посетено на 3 August 2009.
• Social Engineering, the USB Way Архивирано на 13 јули 2006 г. – DarkReading.com. Посетено на 7 July 2006.
• Should Social Engineering be a part of Penetration Testing? – Darknet.org.uk. Посетено на 3 August 2009.
• "Protecting Consumers' Phone Records", Electronic Privacy Information Center US Committee on Commerce, Science, and Transportation . Посетено на 8 February 2006.
• Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal Архивирано на 12 октомври 2006 г.. Посетено на 9 September 2006.
• Striptease for passwords Архивирано на 26 октомври 2012 г. – MSNBC.MSN.com. Посетено на 1 November 2007.
• Social-Engineer.org – social-engineer.org. Посетено на 16 September 2009.
• [1] Архивирано на 13 септември 2011 г. – Social Engineering: Manipulating Caller-Id
• Overview of Social Engineering Threats Архивирано на 12 септември 2012 г. -Presented for Parents & Teachers