stringtranslate.com

Социальная инженерия (безопасность)

Определение социальной инженерии с точки зрения непрофессионала
Оповещение ОПСЕК

В контексте информационной безопасности социальная инженерия – это психологическое манипулирование людьми, заставляющее их выполнять действия или разглашать конфиденциальную информацию . Тип мошенничества с целью сбора информации, мошенничества или доступа к системе. Он отличается от традиционного «аферизма» тем, что часто является одним из многих шагов в более сложной схеме мошенничества. [1] Его также определяют как «любое действие, которое заставляет человека предпринять действия, которые могут или не могут быть в его интересах». [2]

Исследования, проведенные в 2020 году, показали, что социальная инженерия станет одной из самых важных задач предстоящего десятилетия. Навыки социальной инженерии будут приобретать все большее значение для организаций и стран из-за их влияния на геополитику . Социальная инженерия поднимает вопрос о том, будут ли наши решения обоснованными, если наша первичная информация сконструирована и предвзята. [3]

Интенсивность и количество атак социальной инженерии возрастают, что усиливает потребность в новых методах обнаружения и образовательных программах по кибербезопасности. [4]

Техники и сроки

Все методы социальной инженерии основаны на атрибутах человеческого принятия решений, известных как когнитивные искажения . [5] [6]

Одним из примеров социальной инженерии является человек, который заходит в здание и публикует в бюллетене компании официальное объявление о том, что номер службы поддержки изменился. Таким образом, когда сотрудники обращаются за помощью, человек спрашивает у них пароли и идентификаторы, тем самым получая возможность доступа к частной информации компании. Другим примером социальной инженерии может быть то, что хакер связывается с целью на сайте социальной сети и начинает с ней разговор. Постепенно хакер завоевывает доверие цели, а затем использует это доверие для получения доступа к конфиденциальной информации, такой как пароль или данные банковского счета. [7]

В 2018 году Equifax стал жертвой заметной атаки социальной инженерии, в результате которой произошла утечка данных, в результате которой были раскрыты личные данные, включая номера социального страхования, данные водительских прав и номера мобильных телефонов. Это нарушение затронуло 145,5 миллионов американцев. Как фирма, предоставляющая кредитную отчетность, компания стала мишенью для хакеров, которые ловко выдавали себя за представителей финансовых учреждений, таких как Bank of America, для незаконного доступа к личным данным частных лиц. [8]

Другие концепции

предлог

Претекст (прил. pretextual ) — это процесс создания и использования придуманного сценария ( предлога ) для вовлечения целевой жертвы таким образом, чтобы увеличить вероятность того, что жертва разгласит информацию или выполнит действия, которые были бы маловероятны в обычных обстоятельствах. [9] Тщательно продуманная ложь , чаще всего включает в себя некоторые предварительные исследования или подготовку и использование этой информации для выдачи себя за другое лицо ( например , дату рождения, номер социального страхования , сумму последнего счета) для установления легитимности в сознании объекта. [10]

Скачивание воды

«Удаление воды» — это целенаправленная стратегия социальной инженерии, которая извлекает выгоду из доверия пользователей к веб-сайтам, которые они регулярно посещают. Жертва чувствует себя в безопасности, делая то, что не стала бы делать в другой ситуации. Осторожный человек может, например, намеренно избегать перехода по ссылке в нежелательном электронном письме, но тот же человек без колебаний перейдет по ссылке на веб-сайт, который он часто посещает. Итак, злоумышленник готовит ловушку для неосторожной добычи на излюбленном водопое. Эта стратегия успешно использовалась для получения доступа к некоторым (предположительно) очень безопасным системам. [11]

Травля

Травля похожа на реального троянского коня , который использует физические носители и полагается на любопытство или жадность жертвы. [12] В ходе этой атаки злоумышленники оставляют зараженные вредоносным ПО дискеты , компакт-диски или USB-накопители в местах, где люди могут их найти (ванные комнаты, лифты, тротуары, парковки и т. д.), выдают их законным и вызывающим любопытство. ярлыки и ждать жертв.

Если компьютерные средства управления не блокируют заражение, вставка ставит под угрозу «автозапуск» носителей ПК. Также могут быть использованы враждебные устройства. [13] Например, «счастливому победителю» отправляется бесплатный цифровой аудиоплеер , ставящий под угрозу любой компьютер, к которому он подключен. « Дорожное яблоко » (разговорный термин, обозначающий конский навоз , указывающий на нежелательный характер устройства) — это любой съемный носитель с вредоносным ПО, оставленный в неподходящих или заметных местах. Это может быть компакт-диск, DVD-диск или USB-накопитель , а также другие носители. Любопытные люди берут его и подключают к компьютеру, заражая хост и все подключенные сети. Опять же, хакеры могут дать им заманчивые ярлыки, такие как «Заработная плата сотрудников» или «Конфиденциально». [14]

В одном исследовании, опубликованном в 2016 году, исследователи разбросали 297 USB-накопителей по кампусу Университета Иллинойса. На дисках находились файлы, которые ссылались на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких дисках были открыты файлы, но не сколько дисков было вставлено в компьютер без открытия файла. Из 297 упавших дисков 290 (98%) были подобраны и 135 (45%) «дозвонились домой». [15]

Примеры социальных инженеров

Сьюзан Хедли

Сьюзан Хедли участвовала во мошенничестве с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе , но позже обвинила их в удалении системных файлов в US Leasing после ссоры, что привело к первому осуждению Митника. Она ушла в профессиональный покер. [16]

Майк Ридпат

Майк Ридпат Консультант по безопасности, автор публикаций и докладчик. Предыдущий участник w00w00 . Особое внимание уделяется методам и тактике холодных звонков в области социальной инженерии . Стал известен после своих выступлений, в которых он воспроизводил записанные звонки и объяснял свой мыслительный процесс о том, что он делал, чтобы получить пароли по телефону, и своих живых демонстраций. [17] [18] [19] [20] [21] В детстве Ридпат был связан с Badir Brothers и был широко известен в сообществе фрикеров и хакеров своими статьями в популярных подпольных электронных журналах , таких как Phrack, B4B0 и 9x. по модификации Оки 900, синему боксу, взлому спутников и RCMAC. [22] [23]

Братья Бадир

Братья Рами, Мужер и Шадде Бадир, слепые от рождения, сумели в 1990-х годах организовать в Израиле обширную схему телефонного и компьютерного мошенничества , используя социальную инженерию, подражание голосу и компьютеры с дисплеями Брайля . [24] [25]

Кристофер Дж. Хаднаги

Кристофер Дж. Хаднаги — американский социальный инженер и консультант по безопасности информационных технологий. Он наиболее известен как автор 4 книг по социальной инженерии и кибербезопасности [26] [27] [28] [29] и основатель Innocent Lives Foundation, организации, которая помогает отслеживать и выявлять торговлю детьми, обращаясь за помощью к информационной специалисты по безопасности, использующие данные разведки из открытых источников (OSINT) и сотрудничающие с правоохранительными органами. [30] [31]

Закон

В общем праве предлог представляет собой вторжение в частную жизнь и правонарушение присвоения. [32]

Претекстирование телефонных записей

В декабре 2006 года Конгресс США одобрил законопроект, предложенный Сенатом, согласно которому подделка телефонных записей является федеральным уголовным преступлением со штрафом до 250 000 долларов и десятью годами тюремного заключения для физических лиц (или штрафом до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года. [33]

Федеральное законодательство

Закон Грэмма-Лича-Блайли 1999 года (GLBA) — это федеральный закон США , который конкретно рассматривает подделку банковских записей как незаконное действие, наказуемое в соответствии с федеральными законами. Когда юридическое лицо, такое как частный детектив, страховой следователь SIU или аджастер, осуществляет какой-либо обман, оно подпадает под юрисдикцию Федеральной торговой комиссии (FTC). Это федеральное агентство обязано и уполномочено обеспечивать, чтобы потребители не подвергались какой-либо несправедливой или вводящей в заблуждение деловой практике. Закон о Федеральной торговой комиссии США, раздел 5 FTCA , в частности, гласит: «Всякий раз, когда у Комиссии есть основания полагать, что любое такое лицо, товарищество или корпорация использовало или использует какой-либо недобросовестный метод конкуренции или несправедливое или вводящее в заблуждение действие или коммерческую практику или затрагивающую ее, и если Комиссии окажется, что разбирательство, проводимое ею в отношении нее, будет отвечать общественным интересам, она должна направить и вручить такому лицу, товариществу или корпорации жалобу с изложением ее обвинений в это уважение».

В законе говорится, что когда кто-то получает какую-либо личную, закрытую информацию от финансового учреждения или потребителя, его действия подпадают под действие закона. Это относится к отношениям потребителя с финансовым учреждением. Например, будет застрахован тот, кто использует ложные предлоги либо для того, чтобы получить адрес потребителя от банка потребителя, либо для того, чтобы заставить потребителя раскрыть название своего банка. Определяющий принцип заключается в том, что претекстинг имеет место только тогда, когда информация получена под ложным предлогом.

Хотя продажа записей сотовых телефонов привлекла значительное внимание средств массовой информации, а записи телекоммуникаций находятся в центре внимания двух законопроектов, находящихся на рассмотрении Сената США , многие другие типы частных записей покупаются и продаются на публичном рынке. Наряду со многими рекламами записей сотовых телефонов рекламируются записи проводной связи и записи, связанные с телефонными картами. Поскольку люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут выставлены на продажу. В настоящее время продажа телефонных записей разрешена, но их получение незаконно. [34]

Специалисты по 1-й исходной информации

Член палаты представителей США Фред Аптон (республиканец от Каламазу , штат Мичиган), председатель Подкомитета по энергетике и торговле по телекоммуникациям и Интернету, выразил обеспокоенность по поводу легкого доступа к записям личных мобильных телефонов в Интернете во время слушаний в Комитете по энергетике и торговле Палаты представителей по вопросу « Продаются телефонные записи: почему телефонные записи не защищены от предлогов? » Иллинойс стал первым штатом, который подал в суд на брокера онлайн-записей, когда генеральный прокурор Лиза Мэдиган подала в суд на компанию 1st Source Information Specialists, Inc. Об этом сообщила пресс-секретарь офиса Мэдигана. Согласно копии иска, компания из Флориды управляет несколькими веб-сайтами, на которых продаются записи мобильных телефонов. Генеральные прокуроры Флориды и Миссури быстро последовали примеру Мэдигана, подав иски соответственно против 1st Source Information Specialists и, в случае Миссури, еще одного брокера записей – First Data Solutions, Inc.

Несколько провайдеров беспроводной связи, в том числе T-Mobile, Verizon и Cingular, ранее подали иски против брокеров записей, при этом Cingular выиграла судебный запрет против компаний First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (демократ от штата Нью-Йорк) в феврале 2006 года представил закон, направленный на пресечение этой практики. Закон о защите записей телефонных разговоров потребителей 2006 года предусматривает уголовное наказание за кражу и продажу записей абонентов мобильных телефонов, стационарных телефонов и абонентов голосовой связи по интернет-протоколу (VoIP).

Hewlett Packard

Патрисия Данн , бывший председатель Hewlett Packard , сообщила, что совет директоров HP нанял частную следственную компанию, чтобы выяснить, кто несет ответственность за утечки информации внутри совета директоров. Данн признал, что компания использовала практику предлогов, чтобы запросить записи телефонных разговоров членов совета директоров и журналистов. Позже председатель Данн извинился за этот поступок и предложил выйти из совета директоров, если этого пожелают члены совета. [35] В отличие от федерального закона, закон штата Калифорния прямо запрещает подобные предлоги. Четыре обвинения в совершении уголовного преступления, предъявленные Данну, были сняты. [36]

Рекомендации

  1. ^ Андерсон, Росс Дж. (2008). Инженерия безопасности: руководство по построению надежных распределенных систем (2-е изд.). Индианаполис, Индиана: Уайли. п. 1040. ИСБН 978-0-470-06852-6.Глава 2, стр. 17
  2. ^ «Определение социальной инженерии». Безопасность через образование . Проверено 3 октября 2021 г.
  3. Гиттон, Матье Дж. (1 июня 2020 г.). «Кибербезопасность, социальная инженерия, искусственный интеллект, технологические зависимости: социальные проблемы на ближайшее десятилетие». Компьютеры в поведении человека . 107 :106307. doi :10.1016/j.chb.2020.106307. ISSN  0747-5632. S2CID  214111644.
  4. ^ Салахдин, Фатима (2019). «Атаки социальной инженерии: обзор». Школа электротехники и информатики Университета Северной Дакоты . 11 (4): 89.
  5. ^ Жако, К.: «Курсовая тетрадь CSEPS» (2004), раздел 3, Jaco Security Publishing.
  6. ^ Кирдемир, Барис (2019). «ВРАЖДЕБНОЕ ВЛИЯНИЕ И ВОЗНИКАЮЩИЕ КОГНИТИВНЫЕ УГРОЗЫ В КИБЕРПРОСТРАНСТВЕ». Центр экономики и внешнеполитических исследований .
  7. Хэтфилд, Джозеф М. (июнь 2019 г.). «Добродетельный человеческий взлом: этика социальной инженерии в тестировании на проникновение». Компьютеры и безопасность . 83 : 354–366. дои : 10.1016/j.cose.2019.02.012. S2CID  86565713.
  8. Хаггаг, Мохамед Х. (1 января 2017 г.). «Методы обнаружения атак социальной инженерии: опрос». Международный журнал инженерии и информатики . doi : 10.18535/ijecs/v6i1.09. ISSN  2319-7242.
  9. ^ История скандала, предлогаемого HP для обсуждения, доступна в Давани, Фараз (14 августа 2011 г.). «Скандал с предлогами в HP Фараза Давани» . Проверено 15 августа 2011 г. - через Scribd.
  10. ^ «Предтекст: раскрыта ваша личная информация», Федеральная торговая комиссия.
  11. ^ «Китайская шпионская кампания ставит под угрозу Forbes.com, чтобы нацелиться на оборону США и компании финансовых услуг в атаке в стиле водопоя» . invincea.com. 10 февраля 2015 года . Проверено 23 февраля 2017 г.
  12. ^ «Социальная инженерия, путь USB». Light Reading Inc., 7 июня 2006 г. Архивировано из оригинала 13 июля 2006 г. . Проверено 23 апреля 2014 г.
  13. ^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 11 октября 2007 года . Проверено 2 марта 2012 г.{{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  14. ^ Конклин, Wm. Артур; Уайт, Грег; Котрен, Чак; Дэвис, Роджер; Уильямс, Дуэйн (2015). Принципы компьютерной безопасности, четвертое издание (Официальное руководство Comptia) . Нью-Йорк: Образование Макгроу-Хилл. стр. 193–194. ISBN 978-0071835978.
  15. Рэйвуд, Дэн (4 августа 2016 г.). «#BHUSA Подробное описание эксперимента по отказу от USB» . информационная безопасность . Проверено 28 июля 2017 г.
  16. ^ Хафнер, Кэти (август 1995 г.). «Кевин Митник, отключен от сети». Эсквайр . 124 (2): 80 (9).
  17. ^ Социальная инженерия: Манипулирование человеком. Служба безопасности Скорпион Нет. 16 мая 2013 г. ISBN 9789351261827. Проверено 11 апреля 2012 г.
  18. ^ Никерк, Бретт ван. «Мобильные устройства и вооруженные силы: полезный инструмент или значительная угроза». Материалы 4-го семинара по использованию ИКТ в войне и защите мира, 2012 г. (Iwsp 2012) и Журнал информационной войны . academia.edu . Проверено 11 мая 2013 г.
  19. ^ «Социальная инженерия: манипулирование человеком». YouTube . Проверено 11 апреля 2012 г.
  20. ^ «BsidesPDX Track 1, 07.10.11, 14:52, BsidesPDX Track 1, 07.10.11, 14:52 BsidesPDX на USTREAM. Конференция» . Ustream.tv. 7 октября 2011 года. Архивировано из оригинала 4 августа 2012 года . Проверено 11 апреля 2012 г.
  21. ^ «Автоматизированная социальная инженерия». Яркий РАЗГОВОР. 29 сентября 2011 года . Проверено 11 апреля 2012 г.
  22. ^ «Социальная инженерия: общий подход» (PDF) . Журнал «Информатика Экономика» . Проверено 11 января 2015 г.
  23. ^ «Киберпреступность». Хейс. 7 ноября 2018 г. ISBN 9781839473036. Проверено 11 января 2020 г.
  24. ^ "Wired 12.02: Три слепых уродца" . Проводной . 14 июня 1999 года . Проверено 11 апреля 2012 г.
  25. ^ «Социальная инженерия: рассказ молодого хакера» (PDF) . 15 февраля 2013 года . Проверено 13 января 2020 г. . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
  26. ^ «43 лучшие книги по социальной инженерии всех времен» . КнигаАвторитет . Проверено 22 января 2020 г.
  27. ^ "Обзор книги месяца Бенса по социальной инженерии. Наука человеческого взлома" . Конференция РСА . 31 августа 2018 года . Проверено 22 января 2020 г.
  28. ^ «Рецензия на книгу: Социальная инженерия: наука человеческого взлома» . Сеть этических хакеров . 26 июля 2018 года . Проверено 22 января 2020 г.
  29. ^ Хаднаги, Кристофер; Финчер, Мишель (22 января 2020 г.). «Темные воды фишинга: наступательная и защитная стороны вредоносных электронных писем». ИСАКА . Проверено 22 января 2020 г.
  30. ^ «WTVR: «Защитите своих детей от онлайн-угроз»
  31. Ларсон, Селена (14 августа 2017 г.). «Хакер создает организацию, чтобы разоблачить детей-хищников». CNN . Проверено 14 ноября 2019 г.
  32. ^ Повторное заявление 2d о правонарушениях § 652C.
  33. ^ «Конгресс объявляет предлоги вне закона» . 109-й Конгресс (2005–2006 гг.) HR4709 – Закон о телефонных записях и защите конфиденциальности 2006 г. 2007.
  34. ^ Митник, К. (2002): «Искусство обмана», с. 103 Wiley Publishing Ltd: Индианаполис, Индиана; Соединенные Штаты Америки. ISBN 0-471-23712-4 
  35. Председатель HP: Использование предлогов «позорит» Стивена Шенкленда, 8 сентября 2006 г., 13:08 по тихоокеанскому времени CNET News.com
  36. ^ «Калифорнийский суд снимает обвинения с Данна» . CNET. 14 марта 2007 года . Проверено 11 апреля 2012 г.

дальнейшее чтение

Внешние ссылки

Викискладе есть медиафайлы, связанные с социальной инженерией (безопасностью) .