it-swarm-id.com

Apakah rekayasa sosial merupakan ancaman nyata

Saya baru saja menyelesaikan buku Seni Penipuan: Mengontrol Elemen Keamanan Manusia oleh Kevin Mitnick

Buku ini dirilis pada 4 Desember 2002. Tidak hanya berbicara tentang teknik yang dijelaskan dalam buku ini, tetapi apakah cara yang digunakan oleh para insinyur sosial masih menjadi ancaman saat ini?

Saya pikir sekarang, ketika kami pindah setidaknya 10 tahun dari buku dan masalah yang dijelaskan di dalamnya, kami harus kebal terhadap serangan seperti itu, karena kami dapat dengan cepat memverifikasi setiap informasi yang disajikan kepada kami dan dengan kemungkinan untuk menggunakan ponsel berkecepatan tinggi berkode, berkecepatan tinggi. koneksi jaringan, sistem kontrol hak istimewa, identifikasi biometrik, dll ...

Apakah saya hidup dalam rasa aman yang salah, atau takut berbicara dari saya?


Dan sekarang Anda dapat memikirkan, apakah itu merupakan rekayasa sosial untuk mengajukan pertanyaan seperti itu dan mendapatkan semua pengetahuan Anda yang berharga, atau tidak. :-)

105
Marek Sebera

Anda pasti hidup dalam rasa aman palsu! Rekayasa sosial masih sangat lazim sampai hari ini, dan saya ragu itu akan berubah dalam beberapa dekade jika pernah.

Berikut adalah beberapa penjelasan singkat tentang mengapa rekayasa sosial bekerja. Sulit untuk mencakup semuanya karena rekayasa sosial adalah bidang yang sangat luas.

Beberapa alasan mengapa rekayasa sosial bekerja (Dari buku yang dikutip di bawah):

  • Kebanyakan orang memiliki keinginan untuk bersikap sopan, terutama kepada orang asing
  • Para profesional ingin tampil dengan informasi dan cerdas
  • Jika Anda dipuji, Anda akan sering berbicara lebih banyak dan membocorkan lebih banyak
  • Kebanyakan orang tidak akan berbohong demi berbohong
  • Kebanyakan orang merespons dengan ramah kepada orang-orang yang tampak khawatir tentang mereka

Membantu

Biasanya manusia ingin saling membantu. Kami suka melakukan hal-hal baik!

  • Saya bertemu dengan resepsionis di sebuah kantor perusahaan besar dengan surat-surat saya yang basah oleh kopi. Saya berbicara dengan resepsionis dan menjelaskan bahwa saya memiliki pertemuan wawancara kerja dalam 5 menit, tetapi saya hanya menumpahkan kopi di atas semua kertas saya. Saya kemudian bertanya apakah resepsionisnya bisa sangat manis dan mencetaknya lagi untuk saya dengan memory stick USB yang saya miliki.

    Hal ini dapat menyebabkan infeksi PC resepsionis yang sebenarnya dan mungkin membuat saya berpijak dalam jaringan.

Menggunakan rasa takut

Ketakutan gagal atau tidak melakukan seperti yang diperintahkan:

  • Halaman facebook direktur perusahaan (John Smith) (atau sumber informasi lainnya) mengungkapkan bahwa dia baru saja pergi berlayar selama 3 minggu. Saya menelepon sekretaris dan dengan suara memerintah saya berkata, "Hai, ini panggilan Chris. Saya baru saja menutup telepon dengan John Smith, dia bersenang-senang dalam pelayarannya dengan istrinya Carla dan anak-anak. Namun, kita berada di di tengah-tengah mengintegrasikan sistem bisnis yang sangat penting dan dia mengatakan kepada saya untuk menelepon Anda sehingga Anda dapat membantu kami.Ia tidak bisa menyebut dirinya karena mereka sedang melakukan safari, tapi ini sangat mendesak.Yang perlu Anda lakukan adalah mengambil stik USB yang dialamatkan kepadanya melalui pos dan colokkan, nyalakan komputer dan kita semua selesai. Proyek ini bertahan!

    Terima kasih banyak! Anda telah sangat membantu! Saya yakin John Smith akan mengenali Anda karena tindakan membantu ini. "

Bermain dengan balasan

  • Bak truk. Saya memegang pintu masuk untuk Anda, dan saya dengan cepat berjalan di belakang Anda. Ketika Anda membuka pintu berikutnya, yang mengaktifkan keamanan, saya menuju ke arah yang sama dan kebanyakan orang akan mencoba dan membalas tindakan membantu dengan memegang pintu untuk Anda lagi, sehingga memungkinkan Anda ke tempat di mana Anda seharusnya tidak berada. Khawatir tertangkap? Nah .. Anda hanya mengatakan Anda menyesal dan bahwa Anda salah jalan.

    Targetnya hampir merasa berkewajiban memegang pintu untuk Anda!

Memanfaatkan rasa ingin tahu

  • Coba jatuhkan 10 stik USB di berbagai lokasi di organisasi Anda. Anda tidak harus menempatkannya di tempat yang terlalu jelas. USB harus memiliki program telepon rumah yang dijalankan secara otomatis sehingga Anda dapat melihat ketika seseorang menghubungkan stik USB dan secara teoritis harus dieksploitasi.

    Versi lain dari ini adalah untuk menjatuhkan USB stick dengan satu dokumen PDF yang disebut misalnya "John Smith - Norway.pdf". Dokumen PDf berisi eksploitasi Adobe Acrobat Reader (ada banyak mereka) dan begitu pengguna mengklik dokumen yang akan ia miliki. Tentu saja, Anda telah memastikan bahwa exploit tersebut disesuaikan dengan versi spesifik organisasi target Adobe. Akan terasa wajar bagi kebanyakan orang untuk membuka dokumen sehingga mereka dapat coba kembalikan stik USB ke pemiliknya.

    • Contoh lain dari rasa ingin tahu (mungkin istilah lain menjelaskan ini lebih baik) adalah semua surat SPAM ini atau iklan Internet yang buruk bahwa Anda telah memenangkan sesuatu atau pangeran Nigeria menawarkan Anda banyak uang jika Anda dapat membantunya. Saya yakin Anda sudah terbiasa dengan ini, tetapi ini juga serangan rekayasa sosial, dan alasan mereka tidak berhenti adalah bahwa mereka masih bekerja!

Itu hanya beberapa contoh. Tentu ada banyak lagi!

Kami juga dapat melihat acara-acara rekayasa sosial bersejarah:

HBGary

Kisah lengkap dapat dibaca di sini (Halaman 3 berisi bagian rekayasa sosial)

  • Tahun lalu HBGary diretas. Serangan ini melibatkan banyak langkah berbeda tetapi juga aspek rekayasa sosial juga. Singkat cerita, peretas itu berkompromi dengan akun email VIP di perusahaan dan mengirim email ke administrator sistem target yang mengatakan sesuatu seperti ini: "Hai John, saya saat ini di Eropa dan saya memantul di antara bandara. Bisakah Anda membuka SSH pada port bernomor tinggi bagi saya yang berasal dari IP apa pun? Saya perlu menyelesaikan beberapa pekerjaan ". Ketika administrator mendapatkan email ini, ia merasa wajar untuk mematuhinya, melihat karena email tersebut berasal dari sumber tepercaya.

    Tapi bukan itu! Penyerang memiliki kata sandi untuk akun tersebut, tetapi proses masuknya tidak berfungsi! Jadi dia mengirim email kembali ke administrator "Hei lagi, sepertinya tidak berfungsi. Kata sandinya masih benar? Apa nama pengguna itu lagi?". Sekarang dia juga telah memberikan kata sandi yang sebenarnya untuk sistem (penyerang mendapatkannya dari kompromi sebelumnya dari sistem lain dalam retasan yang sama), memberikan penyerang lebih banyak kepercayaan dari administrator. Jadi tentu saja administrator mematuhi dan memberi tahu penyerang nama pengguna.

Daftar di atas berasal dari buku " Rekayasa Sosial: Seni Hacking Manusia " dan saya sangat merekomendasikannya!

166
Chris Dale

Ya, sistem apa pun sama lemahnya dengan anggota terlemah, dan yaitu manusia, dan akan selalu begitu.

Anda mungkin 'kebal' untuk beberapa teknik yang paling jelas ini sekarang, tetapi apakah itu juga berlaku untuk sekretaris yang stres yang mendapat panggilan telepon dari 'Departemen TI' untuk dengan cepat mencari beberapa informasi penting pada komputer bosnya yang tidak dapat menunggu sampai setelah akhir pekan yang akan datang, oh dan jendela aneh yang mungkin muncul dan ajukan beberapa pertanyaan yang tidak penting, dia cukup mengklik Accept. Tentu saja dia akan melakukannya ... semua orang akan melakukannya dalam situasi yang salah ...

29
ordag

Rekayasa sosial (SE) tidak hanya tentang mengeksploitasi informasi yang dimiliki penyerang, tetapi juga tentang mengeksploitasi pola perilaku (manusia).

Untuk menjelaskan ini, mari kita lakukan sedikit latihan - ucapkan dengan lantang warnanya, bukan Firman.

enter image description here

Bisakah Anda melihat "exploit" di sini? Penggunaan dalam situasi kehidupan nyata "eksploitasi" ini sangat dipertanyakan, tetapi sangat jelas menunjukkan kepada kita bagaimana otak kita dapat dimanipulasi bahkan jika kita memiliki informasi yang valid (kita semua belajar warna ketika kita masih bayi).

Contoh kehidupan nyata bisa seperti ini - katakanlah Anda ingin sekretaris memasukkan USB Anda ke mesinnya. Pergi kepadanya dan dengan sopan memintanya untuk melakukannya mungkin ditolak, terutama jika ada kebijakan yang melarang ini. Tetapi Anda bisa mengenakan, menumpahkan kopi di baju/celana Anda dan di atas kertas Anda dan kemudian mendatanginya, memegang kertas-kertas itu dan berkata - "Saya sangat terlambat ke pertemuan dan ketika saya sedang mengemudi ke sini, kucing berlari keluar di depan mobil saya dan saya mulai melanggar sangat keras. Kucing itu bertahan hidup, tetapi surat-surat saya tidak. Saya tahu ini permintaan aneh, tapi tolong, bisakah Anda mencetaknya untuk saya? Saya benar-benar terlambat dan bos Anda mungkin benar-benar marah padaku! "

Ini disebut dalih dan pada dasarnya, ini dimainkan oleh SEr. Apa yang kita lakukan dengan dalih ini? Kami mengeksploitasi emosi. Jika ini dimainkan dengan baik, dan ekspresi mikro Anda adalah asli, kemungkinan besar dia akan melakukan apa yang Anda inginkan. Mengapa? Karena kita, manusia, diberi kode seperti ini. Ya, dia mungkin tahu bahwa menempatkan perangkat yang tidak dikenal di PC-nya mungkin berbahaya; ya, dia mungkin dididik tentang hal itu, tetapi mari kita serius, Anda mencoba untuk tidak memukul kucing, Anda tidak minum kopi, Anda merusak jas Anda, Anda terlambat bertemu, bos akan marah pada Anda, dan sekarang beberapa kebijakan memintanya untuk bersikap kasar kepada Anda. Ayo ... Namun, bagian penting di sini adalah mengaturnya dalam suasana hati yang tepat - untuk merasa kasihan pada Anda. Untuk melakukannya, ekspresi mikro Anda harus ditafsirkan sebagai benar (asli) olehnya. Jika Anda memainkan kartu dengan benar, Anda memiliki efek yang sama dengan warna. Dia tahu itu sesuatu yang tidak seharusnya dia lakukan (warna kata-kata), tetapi emosi mengatakan sebaliknya (makna kata-kata).

Trik lain yang dapat menarik target tepat sasaran adalah, Eksperimen anjing Pavlov . Jadi, apa hubungan anjing air liur dengan ITSec? Katakanlah saya ingin tahu tentang keamanan fisik di tempat kerja Anda. Anda tahu Anda tidak boleh berbagi informasi itu dengan saya. Saya juga tahu bahwa setelah bekerja, Anda selalu datang ke pub lokal untuk minum. Suatu hari saya memperkenalkan diri dan kami memulai obrolan ringan. Pada awalnya itu hanya tentang mobil keren Anda. Lalu kami mulai berbicara tentang wanita di bar, kemudian tentang ongkos kami, tentang liburan tahun lalu dan seterusnya ... Semua dalam semua, sesuatu yang tidak biasa untuk dibicarakan, tapi itu dari kehidupan pribadi. Ketika kami bertemu, Anda memperhatikan bahwa setiap kali saya bertanya saya memukul meja dengan rokok. Pada awalnya itu mungkin kebiasaan yang menjengkelkan, tetapi kemudian Anda mengabaikannya. Setelah beberapa hari/minggu ketika Anda mulai merasa nyaman di sekitar saya, saya mulai bertanya tentang pekerjaan dan lingkungan kerja Anda. Dan sedikit demi sedikit, Anda memberi tahu saya apa yang ingin saya ketahui tentang keamanan fisik di perusahaan Anda.

Jadi apa yang saya lakukan di sini? Dengan santai berbicara dengan Anda, saya melatih otak Anda untuk memberi saya jawaban setiap kali saya memukul meja dengan rokok. Meskipun ini bukan pencucian otak, dan hanya dengan melakukan itu Anda tidak akan memberi tahu saya rahasia Anda yang paling gelap, bayangkan ini sebagai - mengupas satu lapis bawang. Lapisan kedua adalah kepercayaan yang saya peroleh dengan menghabiskan waktu bersama Anda di bar. Dan seterusnya dan seterusnya ... Saya memang memanipulasi Anda dan trik sederhana ini membantu saya untuk tidak menaikkan bendera merah ketika saya mengajukan pertanyaan sensitif kepada Anda. Sekali lagi, ini bukan tentang informasi yang Anda miliki (jangan katakan itu kepada orang asing), tetapi tentang perilaku dan reaksi Anda terhadap dunia luar.

Apa yang saya coba katakan di sini adalah - tidak peduli apa yang Anda tahu, jika Anda berada dalam situasi yang tepat, Anda akan melakukan apa yang diminta dari Anda. Mengapa? Karena itu ada dalam genetika kita.


Hanya untuk memberikan satu atau dua contoh "out-of-IT-sector" bagaimana informasi/pengetahuan yang dimiliki target dapat menjadi tidak berarti jika dia diserang oleh SEr yang terampil. Di pengadilan, bukti adalah fakta dingin yang murni, namun, pengacara yang baik dapat, tidak peduli seberapa buruk posisi kliennya, mengubah fakta itu sesuai keinginannya menggunakan SE.

Sebelum Anda membeli mobil, Anda akan pergi dan memberi tahu diri Anda sendiri mana yang terbaik untuk Anda. Ketika Anda tiba di toko untuk membeli satu, penjual dapat meyakinkan Anda bahwa Anda harus membeli mobil yang lebih mahal, lagi, menggunakan SE.

Juga, periksa video ini . Bagaimana dia melakukannya? Dengan hanya bertingkah normal. Tidak ada lagi.

17
StupidOne

Ini adalah salah satu bentuk serangan bertarget yang paling sering digunakan ketika tujuannya adalah informasi internal - dalam bekerja dengan tim penyerang rekayasa sosial selama bertahun-tahun kami telah memiliki akses ke ruang server dan area aman, menerima dokumen rahasia, diberikan akun pada sistem sensitif dll. .

Orang-orang, pada umumnya, suka membantu dan tidak peduli. Ini kedengarannya keras, tetapi secara keseluruhan, orang akan mencoba dan membantu seseorang dalam kesulitan, terutama jika orang itu terlihat atau terdengar tidak mengancam. Dan ketika berhadapan dengan seseorang yang tahu lebih banyak tentang suatu sistem atau prosedur, banyak yang akan melakukan apa yang diminta.

Cara yang relatif murah untuk meningkatkan keamanan di Anda organisasi - pelatihan kesadaran setiap tahun. Dalam hal bang for buck, ini bisa lebih efektif daripada menghabiskan untuk keamanan TI.

10
Rory Alsop

Rekayasa sosial masih sangat sering merupakan tautan terlemah. Orang-orang pada umumnya mempercayai dan kadang-kadang orang yang menyelesaikan masalah dukungan teknis tingkat rendah seperti pengaturan ulang kata sandi, adalah pekerja murah yang tidak terlatih dengan baik yang tidak terlalu memperhatikan keamanan.

Selain itu, keamanan informasi tidak harus sebagai prioritas tinggi seperti yang dikatakan kepuasan pelanggan ketika sistem/kebijakan sedang dirancang, meminjamkan kepada kelemahan rekayasa sosial.

6
dr jimbob

Insinyur Sosial = Trixter Keyakinan. Penipu telah sepenuhnya berhasil melanggar setiap dan setiap metode pengamanan (X) di luar sana di mana X sama dengan data, senjata, paten, rahasia dagang, kata sandi, dll.

Membohongi orang adalah setua waktu dan fleksibel karena pikiran orang sedang belajar teknologi baru dan titik lemah lainnya dalam berinteraksi dengannya.

Ini seharusnya menjadi lelucon (Managing CVE-0), tetapi cara terbaik untuk menargetkan serangan Anda adalah mengetahui perusahaan Anda dan menemukan wakil presiden perusahaan yang kurang paham teknologi yang membuka pintu ke perhiasan perusahaan.

5
Fiasco Labs

Lihat semua spam phishing akun Anda yang telah ditangguhkan yang ada di luar sana. Mereka tidak akan mengirimnya jika kadang tidak berhasil. Itu serangan rekayasa sosial.

Dan sejak saya menulis balasan asli saya, saya menemukan kasus lain: Email palsu dari bos kepada bawahan mengarahkan mereka untuk membayar jumlah 6 digit ke rekening bank tertentu sebagai pembayaran untuk lukisan yang mereka beli. Siapa pun yang mencoba spearphish ini tidak mengetahui targetnya dengan cukup baik, pembelian seperti itu akan jauh dari karakternya.

1
Loren Pechtel