stringtranslate.com

Социальная инженерия (безопасность)

Определение социальной инженерии с точки зрения неспециалиста
Оповещение OPSEC

В контексте информационной безопасности социальная инженерия — это психологическое манипулирование людьми с целью совершения действий или разглашения конфиденциальной информации . Тип обмана, направленный на получение доверия с целью сбора информации, мошенничества или доступа к системе, отличается от традиционного «мошенничества» тем, что часто является одним из многих шагов в более сложной схеме мошенничества. [1] Также его определяют как «любое действие, которое влияет на человека, заставляя его совершать действия, которые могут или не могут быть в его интересах». [2]

Исследования, проведенные в 2020 году, показали, что социальная инженерия станет одной из самых важных проблем предстоящего десятилетия. Наличие навыков социальной инженерии будет все более важным для организаций и стран, в связи с влиянием на геополитику . Социальная инженерия поднимает вопрос о том, будут ли наши решения точно обоснованными, если наша первичная информация сконструирована и предвзята. [3]

Интенсивность и количество атак с использованием социальной инженерии растут, что подтверждает необходимость в новых методах обнаружения и образовательных программах по кибербезопасности. [4]

Методы и термины

Все методы социальной инженерии основаны на свойствах человеческого принятия решений, известных как когнитивные предубеждения . [5] [6]

Одним из примеров социальной инженерии является человек, который заходит в здание и размещает официальное объявление в корпоративном бюллетене, в котором говорится, что номер службы поддержки изменился. Таким образом, когда сотрудники обращаются за помощью, человек просит их назвать пароли и идентификаторы, тем самым получая возможность доступа к личной информации компании. Другим примером социальной инженерии может быть то, что хакер связывается с целью на сайте социальной сети и начинает разговор с целью. Постепенно хакер завоевывает доверие цели, а затем использует это доверие, чтобы получить доступ к конфиденциальной информации, такой как пароль или данные банковского счета. [7]

Предлог

Претекстинг (прил. pretextual ), также известный в Великобритании как blagging , [8] представляет собой акт создания и использования вымышленного сценария ( предлога ) для вовлечения целевой жертвы таким образом, чтобы увеличить вероятность того, что жертва разгласит информацию или совершит действия, которые были бы маловероятны в обычных обстоятельствах. [9] Сложная ложь , чаще всего она включает в себя некоторое предварительное исследование или подготовку и использование этой информации для выдачи себя за другое лицо ( например , дата рождения, номер социального страхования , сумма последнего счета) для установления легитимности в сознании цели. [10]

Водные ямы

Water Holing — это целенаправленная стратегия социальной инженерии, которая извлекает выгоду из доверия пользователей к веб-сайтам, которые они регулярно посещают. Жертва чувствует себя в безопасности, делая то, что она бы не сделала в другой ситуации. Осторожный человек может, например, намеренно избегать нажатия на ссылку в нежелательном письме, но тот же человек не колеблясь перейдет по ссылке на веб-сайте, который он часто посещает. Таким образом, злоумышленник готовит ловушку для неосторожной добычи в излюбленном месте для питья. Эта стратегия была успешно использована для получения доступа к некоторым (предположительно) очень защищенным системам. [11]

Приманка

Приманка похожа на реального троянского коня , который использует физические носители и полагается на любопытство или жадность жертвы. [12] В этой атаке злоумышленники оставляют зараженные вредоносным ПО дискеты , CD-ROM или USB-флеш-накопители в местах, где их найдут люди (ванные комнаты, лифты, тротуары, парковки и т. д.), дают им законные и вызывающие любопытство этикетки и ждут жертв.

Если компьютерные средства управления не блокируют заражение, вставка ставит под угрозу «автоматически запускаемые» носители ПК. Также могут использоваться враждебные устройства. [13] Например, «счастливчику» отправляется бесплатный цифровой аудиоплеер, который ставит под угрозу любой компьютер, к которому он подключен. « Дорожное яблоко » (разговорный термин для обозначения конского навоза , указывающий на нежелательную природу устройства) — это любой съемный носитель с вредоносным программным обеспечением, оставленный в оппортунистических или заметных местах. Это может быть CD, DVD или USB-флеш-накопитель , среди прочих носителей. Любопытные люди берут его и подключают к компьютеру, заражая хост и любые подключенные сети. Опять же, хакеры могут давать им заманчивые метки, такие как «Зарплаты сотрудников» или «Конфиденциально». [14]

В одном исследовании, опубликованном в 2016 году, исследователи уронили 297 USB-накопителей по всему кампусу Иллинойсского университета. Накопители содержали файлы, ссылающиеся на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких из них были открыты файлы, но не смогли определить, сколько из них были вставлены в компьютер без открытия файла. Из 297 брошенных накопителей 290 (98%) были подняты, и 135 (45%) из них «названы домашними». [15]

Закон

В общем праве предлог является вторжением в частную жизнь , связанным с присвоением. [16]

Подделка записей телефонных разговоров

В декабре 2006 года Конгресс США одобрил спонсируемый Сенатом законопроект, делающий подделку телефонных записей федеральным уголовным преступлением со штрафом до 250 000 долларов и десятью годами тюремного заключения для физических лиц (или штрафом до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем- младшим 12 января 2007 года. [17]

Федеральное законодательство

Закон Грэмма-Лича-Блайли 1999 года (GLBA) — это федеральный закон США , который конкретно рассматривает подделку банковских записей как незаконное действие, наказуемое в соответствии с федеральными законами. Когда коммерческая организация, такая как частный детектив, страховой следователь SIU или оценщик, совершает любой тип обмана, она попадает под юрисдикцию Федеральной торговой комиссии (FTC). Это федеральное агентство имеет обязательство и полномочия гарантировать, что потребители не подвергаются какой-либо недобросовестной или обманной деловой практике. Закон США о Федеральной торговой комиссии, раздел 5 FTCA , в частности, гласит: «Всякий раз, когда у Комиссии есть основания полагать, что любое такое лицо, партнерство или корпорация использовали или используют какой-либо недобросовестный метод конкуренции или недобросовестное или обманное действие или практику в торговле или влияющие на нее, и если Комиссии покажется, что ее разбирательство в отношении этого будет в интересах общественности, она должна подать и вручить такому лицу, партнерству или корпорации жалобу с изложением своих обвинений в этом отношении».

В законе говорится, что когда кто-либо получает любую личную, непубличную информацию от финансового учреждения или потребителя, его действия подчиняются закону. Это касается отношений потребителя с финансовым учреждением. Например, предлог, использующий ложные предлоги либо для получения адреса потребителя из банка потребителя, либо для того, чтобы заставить потребителя раскрыть название своего банка, будет охвачен. Определяющий принцип заключается в том, что предлог имеет место только тогда, когда информация получена ложными предлогами.

В то время как продажа записей сотовых телефонов привлекла значительное внимание средств массовой информации, а записи телекоммуникаций находятся в центре внимания двух законопроектов, которые в настоящее время находятся на рассмотрении Сената США , многие другие типы частных записей покупаются и продаются на публичном рынке. Наряду со многими объявлениями о записях сотовых телефонов, рекламируются записи проводных линий и записи, связанные с телефонными картами. Поскольку люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут предлагаться для продажи. В настоящее время законно продавать записи телефонных разговоров, но незаконно их получать. [18]

Специалисты по информации первого источника

Член палаты представителей США Фред Аптон (республиканец, Каламазу , Мичиган), председатель подкомитета по телекоммуникациям и Интернету по энергетике и торговле, выразил обеспокоенность по поводу легкого доступа к записям личных мобильных телефонов в Интернете во время слушаний в Комитете по энергетике и торговле Палаты представителей по теме « Продажа записей телефонных разговоров: почему записи телефонных разговоров не защищены от предлогов? » Иллинойс стал первым штатом, который подал в суд на онлайн-брокера записей, когда генеральный прокурор Лиза Мэдиган подала в суд на 1st Source Information Specialists, Inc. Представительница офиса Мэдиган заявила. Компания из Флориды управляет несколькими веб-сайтами, которые продают записи мобильных телефонов, согласно копии иска. Генеральные прокуроры Флориды и Миссури быстро последовали примеру Мэдиган, подав иски соответственно против 1st Source Information Specialists и, в случае Миссури, еще одного брокера записей – First Data Solutions, Inc.

Несколько поставщиков беспроводной связи, включая T-Mobile, Verizon и Cingular, ранее подали иски против брокеров записей, и Cingular выиграла судебный запрет против First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (демократ, Нью-Йорк) в феврале 2006 года представил законопроект, направленный на ограничение этой практики. Закон о защите записей телефонных разговоров потребителей 2006 года вводит тяжкие уголовные наказания за кражу и продажу записей абонентов мобильных телефонов, стационарных телефонов и голосовой связи по интернет-протоколу (VoIP).

Хьюлетт Паккард

Патриция Данн , бывший председатель Hewlett Packard , сообщила, что совет директоров HP нанял частную детективную компанию, чтобы выяснить, кто несет ответственность за утечки в совете директоров. Данн признала, что компания использовала практику предлогов для получения записей телефонных разговоров членов совета директоров и журналистов. Председатель Данн позже извинилась за этот поступок и предложила уйти из совета директоров, если этого пожелают члены совета директоров. [19] В отличие от федерального закона, закон Калифорнии прямо запрещает такие предлоги. Четыре обвинения в совершении тяжких преступлений, выдвинутые против Данн, были отклонены. [20]

Известные инциденты социальной инженерии

Сайты помощи по взлому Equifax

После утечки данных Equifax в 2017 году , в результате которой было раскрыто более 150 миллионов личных записей (включая номера социального страхования , номера водительских прав , даты рождения и т. д.), были разосланы предупреждения об опасностях надвигающихся рисков безопасности. [21] На следующий день после создания законного веб-сайта помощи (equifaxsecurity2017.com), предназначенного для людей, потенциально пострадавших от утечки, было зарезервировано 194 вредоносных домена с небольшими изменениями URL-адреса, что позволило извлечь выгоду из вероятности опечаток. [22] [23]

Утечки информации о выборах в США в 2016 году

Во время выборов в США в 2016 году хакеры, связанные с российской военной разведкой (ГРУ), отправляли фишинговые письма членам предвыборной кампании Хиллари Клинтон , замаскированные под оповещение Google. [24] Многие члены, включая председателя предвыборной кампании Джона Подесту , ввели свои пароли, думая, что они будут сброшены, что привело к утечке их личной информации и тысяч частных писем и документов. [25] Используя эту информацию, они взломали другие компьютеры в Комитете по предвыборной кампании Демократической партии , внедрив в них вредоносное ПО, что привело к отслеживанию и утечке их компьютерной активности. [25]

Фишинговые письма Google и Facebook

Два технологических гиганта — Google и Facebook — были выманены литовским мошенником на сумму 100 миллионов долларов. Он выдавал себя за поставщика оборудования, чтобы выставлять ложные счета обеим компаниям в течение двух лет. [26] Несмотря на свою технологическую сложность, компании потеряли деньги. [27]

Известные социальные инженеры

Сьюзан Хедли

Сьюзан Хедли занялась фрикингом с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе , но позже обвинила их в стирании системных файлов в US Leasing после ссоры, что привело к первому осуждению Митника. Она ушла в профессиональный покер. [28]

Майк Ридпат

Майк Ридпат — консультант по безопасности, опубликованный автор, докладчик и бывший член w00w00 . Он хорошо известен разработкой методов и тактик социальной инженерии с помощью холодных звонков . Он стал известен живыми демонстрациями, а также воспроизведением записанных звонков после выступлений, где он объяснял свой мыслительный процесс о том, что он делал, чтобы получить пароли по телефону. [29] [30] [31] [32] [33] В детстве Ридпат был связан с Badir Brothers и был широко известен в сообществе фрикеров и хакеров своими статьями в популярных подпольных электронных журналах , таких как Phrack, B4B0 и 9x, о модификации Oki 900, blueboxing, взломе спутников и RCMAC. [34] [35]

Братья Бадир

Братья Рами, Мужер и Шадде Бадир, все из которых были слепыми от рождения, сумели организовать масштабную схему телефонного и компьютерного мошенничества в Израиле в 1990-х годах, используя социальную инженерию, имитацию голоса и компьютеры с дисплеями Брайля . [36] [37]

Кристофер Дж. Хэднаги

Кристофер Дж. Хэднаги — американский социальный инженер и консультант по безопасности информационных технологий. Он наиболее известен как автор 4 книг по социальной инженерии и кибербезопасности [38] [39] [40] [41] и основатель Innocent Lives Foundation, организации, которая помогает отслеживать и выявлять случаи торговли детьми, обращаясь за помощью к специалистам по информационной безопасности, используя данные разведки с открытым исходным кодом (OSINT) и сотрудничая с правоохранительными органами. [42] [43]

Ссылки

  1. ^ Андерсон, Росс Дж. (2008). Инженерия безопасности: руководство по созданию надежных распределенных систем (2-е изд.). Индианаполис, Индиана: Wiley. стр. 1040. ISBN 978-0-470-06852-6.Глава 2, страница 17
  2. ^ "Social Engineering Defined". Безопасность через образование . Получено 3 октября 2021 г.
  3. ^ Гиттон, Матье Дж. (1 июня 2020 г.). «Кибербезопасность, социальная инженерия, искусственный интеллект, технологические зависимости: социальные вызовы грядущего десятилетия». Компьютеры в поведении человека . 107 : 106307. doi : 10.1016/j.chb.2020.106307. ISSN  0747-5632. S2CID  214111644.
  4. ^ Салахдин, Фатима (2019). «Атаки социальной инженерии: обзор». Факультет электротехники и компьютерных наук, Университет Северной Дакоты . 11 (4): 89.
  5. ^ Jaco, K: «Учебное пособие по курсу CSEPS» (2004), блок 3, Jaco Security Publishing.
  6. ^ Кирдемир, Барис (2019). «ВРАЖДЕБНОЕ ВЛИЯНИЕ И ВОЗНИКАЮЩИЕ КОГНИТИВНЫЕ УГРОЗЫ В КИБЕРПРОСТРАНСТВЕ». Центр экономических и внешнеполитических исследований .
  7. ^ Хэтфилд, Джозеф М. (июнь 2019 г.). «Добродетельный человеческий взлом: этика социальной инженерии в тестировании на проникновение». Компьютеры и безопасность . 83 : 354–366. doi : 10.1016/j.cose.2019.02.012. S2CID  86565713.
  8. ^ "Основы кибербезопасности". BBC Bitesize . 19 марта 2019 г. Архивировано из оригинала 7 июля 2024 г. Получено 7 июля 2024 г.
  9. История скандала с предлогом HP с обсуждением доступна в Davani, Faraz (14 августа 2011 г.). "HP Pretexting Scandal by Faraz Davani" . Получено 15 августа 2011 г. – через Scribd.
  10. ^ «Предлог: раскрыта ваша личная информация», Федеральная торговая комиссия
  11. ^ «Китайская шпионская кампания скомпрометировала Forbes.com, чтобы нацелиться на оборону США и компании финансовых услуг в стиле Watering Hole». invincea.com. 10 февраля 2015 г. Получено 23 февраля 2017 г.
  12. ^ "Социальная инженерия, USB Way". Light Reading Inc. 7 июня 2006 г. Архивировано из оригинала 13 июля 2006 г. Получено 23 апреля 2014 г.
  13. ^ "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 11 октября 2007 года . Получено 2 марта 2012 года .{{cite web}}: CS1 maint: archived copy as title (link)
  14. ^ Конклин, У. Артур; Уайт, Грег; Котрен, Чак; Дэвис, Роджер; Уильямс, Дуэйн (2015). Принципы компьютерной безопасности, четвертое издание (Официальное руководство Comptia) . Нью-Йорк: McGraw-Hill Education. стр. 193–194. ISBN 978-0071835978.
  15. ^ Рэйвуд, Дэн (4 августа 2016 г.). "#BHUSA Dropped USB Experiment Detailed". info security . Получено 28 июля 2017 г.
  16. ^ Переформулировка 2d деликта § 652C.
  17. ^ «Конгресс запрещает отговорки». 109-й Конгресс (2005–2006) HR4709 – Закон о телефонных записях и защите конфиденциальности 2006 года . 2007.
  18. ^ Митник, К. (2002): «Искусство обмана», с. 103 Wiley Publishing Ltd: Индианаполис, Индиана; Соединенные Штаты Америки. ISBN 0-471-23712-4 
  19. ^ Председатель HP: Использование предлогов «смущает» Стивен Шенкленд, 8 сентября 2006 г. 1:08 PM PDT CNET News.com
  20. ^ "Калифорнийский суд снимает обвинения с Данна". CNET. 14 марта 2007 г. Получено 11 апреля 2012 г.
  21. ^ «Кредитная компания Equifax утверждает, что утечка данных может потенциально затронуть 143 миллиона потребителей в США». CNBC. 7 сентября 2018 г. Получено 3 мая 2024 г.
  22. ^ "Откровенный разговор: остерегайтесь мошенничества, связанного с утечкой данных Equifax". Архивировано из оригинала 6 декабря 2020 г.
  23. ^ "Фишинг". Безопасность через образование . Социальный инженер.
  24. ^ "2016 Presidential Campaign Hacking Fast Facts". CNN . 27 декабря 2016 г. Получено 7 августа 2024 г.
  25. ^ ab "Управление по связям с общественностью | Большое жюри предъявило обвинения 12 сотрудникам российской разведки за хакерские преступления, связанные с выборами 2016 года | Министерство юстиции США". www.justice.gov . 13 июля 2018 г. Получено 7 августа 2024 г.
  26. ^ Jr, Tom Huddleston (27 марта 2019 г.). «Как этот мошенник использовал фишинговые письма, чтобы украсть более 100 миллионов долларов у Google и Facebook». CNBC . Получено 20 октября 2024 г.
  27. ^ «Знаменитые случаи фишинга из истории | Хемпстед-Таун, штат Нью-Йорк». www.hempsteadny.gov . Получено 14 октября 2024 г. .
  28. Хафнер, Кэти (август 1995 г.). «Кевин Митник, отключенный». Esquire . 124 (2): 80(9).
  29. ^ Социальная инженерия: Манипулирование человеком. Scorpio Net Security Services. 16 мая 2013 г. ISBN 9789351261827. Получено 11 апреля 2012 г.
  30. ^ Никерк, Бретт ван. «Мобильные устройства и военные: полезный инструмент или существенная угроза». Труды 4-го семинара по использованию ИКТ в военных действиях и обеспечении мира 2012 (Iwsp 2012) и Журнал информационной войны . academia.edu . Получено 11 мая 2013 г.
  31. ^ "Социальная инженерия: Манипулирование человеком". YouTube. 7 октября 2011 г. Получено 11 апреля 2012 г.
  32. ^ "BsidesPDX Трек 1 10/07/11 02:52PM, BsidesPDX Трек 1 10/07/11 02:52PM BsidesPDX на USTREAM. Конференция". Ustream.tv. 7 октября 2011 г. Архивировано из оригинала 4 августа 2012 г. Получено 11 апреля 2012 г.
  33. ^ "Автоматизированная социальная инженерия". BrightTALK. 29 сентября 2011 г. Получено 11 апреля 2012 г.
  34. ^ "Социальная инженерия: общий подход" (PDF) . Журнал Informatica Economica . Получено 11 января 2015 г. .
  35. ^ "Киберпреступность". Hays. 7 ноября 2018 г. ISBN 9781839473036. Получено 11 января 2020 г. .
  36. ^ "Wired 12.02: Three Blind Phreaks". Wired . 14 июня 1999 г. Получено 11 апреля 2012 г.
  37. ^ "Социальная инженерия. Рассказ молодого хакера" (PDF) . DATAQUEST . 15 февраля 2013 г. Получено 13 января 2020 г.
  38. ^ "43 лучших книги по социальной инженерии всех времен". BookAuthority . Получено 22 января 2020 г. .
  39. ^ "Bens Book of the Month Review of Social Engineering The Science of Human Hacking". Конференция RSA . 31 августа 2018 г. Получено 22 января 2020 г.
  40. ^ "Обзор книги: Социальная инженерия: Наука человеческого хакинга". The Ethical Hacker Network . 26 июля 2018 г. Получено 22 января 2020 г.
  41. ^ Хаднаги, Кристофер; Финчер, Мишель (22 января 2020 г.). «Темные воды фишинга: наступательные и оборонительные стороны вредоносных электронных писем». ISACA . Получено 22 января 2020 г.
  42. ^ "WTVR:"Защитите своих детей от угроз в Интернете"
  43. ^ Ларсон, Селена (14 августа 2017 г.). «Хакер создает организацию для разоблачения хищников детей». CNN . Получено 14 ноября 2019 г.

Дальнейшее чтение

Внешние ссылки

На Викискладе есть медиафайлы по теме Социальная инженерия (безопасность) .