Inginerie sociala

Kevin Mitnick , autorul cărților Arta înșelăciunii și Arta intruziunii

Ingineria socială (din engleza social engineering ), în domeniul securității informațiilor , este studiul comportamentului individual al unei persoane pentru a fura informații utile.

Descriere generala

Această tehnică este, de asemenea, o metodă (necorespunzătoare) de criptanaliză atunci când este utilizată pe o persoană care cunoaște cheia criptografică a unui sistem și este, de asemenea, utilizată de poliție . În mod similar cu așa-numita metodă a tubului de cauciuc (care este totuși o formă de tortură ), poate fi, potrivit experților, o modalitate surprinzător de eficientă de a obține cheia, mai ales în comparație cu metodele criptanalitice .

Un inginer social ( inginer social) care trebuie definit ca atare trebuie să fie capabil să fie convingător cu cuvinte pentru a-și finaliza munca.
Un inginer social se pricepe foarte bine să-și ascundă identitatea pretinzând că este o altă persoană: în acest fel este capabil să obțină informații pe care nu le-ar putea obține niciodată cu identitatea sa reală. Dacă este hacker , poate obține informații referitoare la un sistem informatic.
Prin urmare, ingineria socială este o tehnică de obținere a informațiilor utilizate pe scară largă de hackeri și spioni experimentați și, din moment ce implică (mai ales în ultima fază a atacului) o relație mai directă cu victima, această tehnică este una dintre cele mai importante pentru furtul de informații . În multe cazuri, așa-numitul inginer va putea obține tot ce are nevoie de la o victimă complet nebănuită.

Fazele atacului

Inginerul social începe prin colectarea de informații despre victimă și apoi ajunge la atacul propriu-zis.

În prima fază (care poate dura câteva săptămâni de analiză), inginerul va încerca să obțină toate informațiile de care are nevoie despre ținta sa: e-mail , numere de telefon etc.

După această fază, numită footprinting , inginerul va trece la faza următoare,

A doua fază, inginerul verifică dacă informațiile pe care le-a obținut sunt mai mult sau mai puțin fiabile, de asemenea, telefonând la compania țintei și cerând politicos să vorbească cu victima.
A treia fază, cea mai importantă, cea care va determina succesul atacului, este studiul stilului vocal al persoanei pentru care dorește să se prefacă (de exemplu, încercând să evite în orice mod utilizarea expresiilor dialectale și încercând să fie cât mai natural posibil, folosind întotdeauna un ton neutru și amabil). În această fază, atacatorul va avea întotdeauna notele aproape de el, cu toate informațiile colectate în faza de amprentă , dovedindu-se astfel în siguranță în cazul în care i se pun întrebări.

Cercetarea este împărțită în două părți: 1. context , veți găsi toate informațiile care sunt publice și, prin urmare, ușor accesibile, pentru a înțelege ce întrebări să le adresați și mai ales cui. 2. cumulativ toate aceste date sunt colectate și utilizate pentru a face solicitări mai complexe victimei, inclusiv numele personalului, abilitățile și tot ceea ce este necesar pentru a câștiga cât mai multă încredere posibil. ^[1]

Tehnici psihologice

Tehnicile psihologice utilizate în ingineria socială sunt multe, dar cele mai frecvente implică exploatarea unor instrumente precum autoritatea , vinovăția , panica , ignoranța , dorința , lăcomia și compasiunea . Toate acestea, dacă sunt recunoscute, pot, la rândul lor, ajuta victima să evite să fie atacată și, prin urmare, este important în lumea securității cibernetice să le luăm în considerare pentru a spori gradul de conștientizare al utilizatorilor rețelei. ^[2]

Autoritate

Dacă o informație sau o comandă este comunicată printr-un mesaj cu caracteristici tipice unei anumite autorități (de exemplu: companie , organism guvernamental , bancă ), aceasta poate fi interpretată și luată în considerare cu o anumită importanță în funcție de organismul în cauză. Cu cât un atacator simulează un mesaj de acest tip, punând și imagini sau particularități tipice, cu atât utilizatorul va fi mai vulnerabil în acceptarea și urmărirea acțiunilor ilustrate în mesaj. Poate fi aplicat în domenii precum e-mailuri sau site-uri web ( phishing ), unde atacul se concentrează pe crearea unui mediu de vizionare cât mai similar cu cel al autorității implicate (logo-uri, sloganuri, acțiuni care trebuie efectuate).

Simțul vinovăției

Făcând un anumit utilizator să se simtă vinovat, îl va împinge în continuare să rezolve situația incomodă prin orice mijloace de care dispune. Cunoscând mai presus de toate punctele slabe ale persoanei, inginerul social este capabil să creeze o condiție pentru care utilizatorul se simte vinovat și, prin urmare, constrâns să facă o alegere, atât de mult încât să ia acțiuni particulare și neobișnuite. De exemplu, persoanei i se poate face să creadă că este la curent cu descărcările sale ilegale de pe Internet și să o oblige să plătească o amendă online pentru a găsi nu numai banii, ci și datele asociate plății.

Panică

Un alt instrument utilizat în ingineria socială este panica. Prin crearea unei astfel de situații, este mai ușor să convingi o persoană să ia o acțiune care pare să rezolve o problemă care a supărat contextul liniștit și normal (personalizat) al victimei. Căderi în panică încercăm în toate modurile să rezolvăm problema chiar și cu acte nesăbuite care ni se par cele mai rapide și mai eficiente. De exemplu, printr-un e-mail suntem avertizați despre un virus nou și periculos care poate dezactiva orice sistem și că există un atașament în mesaj care ne permite să ne apărăm de acest atac. Acest fișier ar putea conține cu ușurință programe malware sau altele, capabile să se infiltreze în rețeaua locală.

Ignoranţă

În lumea internetului este dificil să fii conștient de toate instrumentele software și hardware utilizate. În acest fel, utilizatorii se pot confunda dacă un mesaj conține o terminologie sofisticată și foarte tehnică, creând condițiile pentru a determina victima să întreprindă acțiunile recomandate în text fără să se preocupe de adevăratul sens al mesajului. Prin urmare, devine important să citiți înainte de a întreprinde acțiuni nesăbuite în fața mesajelor complexe și să cereți sfaturi utilizatorilor mai experimentați și mai pregătiți. Trebuie subliniat faptul că nu se pierde timpul necesar efectuării verificărilor necesare, într-adevăr este cea mai bună investiție care poate fi făcută pentru a nu cădea sistematic în capcanele hoților de rețea și identitate.

Dori

Dorința duce foarte des la navigarea în părți ale Internetului care sunt atrăgătoare pentru utilizator. În special pentru utilizatorii de sex masculin, este foarte ușor să vă implicați în conținutul pornografic. ^[3] Un exemplu foarte faimos a avut loc în foarte popularul rețea socială Facebook , unde de la începutul anului 2015 au apărut pe peretele virtual al unor utilizatori linkuri către videoclipuri pornografice false, pe care au fost menționați și unii prieteni ai nefericiților. Link-ul a condus la malware care a infiltrat dispozitivele și a furat date confidențiale ale persoanelor atacate. ^[4] Toate acestea au fost, de asemenea, dezvăluite de Poliția de Stat italiană într-un comunicat de presă datat 16.02.2015, din care este raportat un scurt extras: „Acesta este un program„ rău intenționat ”care are capacitatea de a fura date sensibile. virusul poate fi transmis de la contact la contact, de exemplu, se poate insinua în chat, deci dacă discutați cu un prieten „infectat” ați putea fi și voi infectat. ” ^[5]

Lăcomie

Utilizatorul poate găsi oferte care par de neratat pentru a achiziționa un anumit obiect. Dacă ceva pare a fi ușor accesibil, în multe cazuri, acest lucru poate fi doar o modalitate de a mușca pe un nefericit, care se simte implicat într-o achiziție ușoară și excepțională. Tot în acest caz a avut loc un atac, care a apărut pentru prima dată în 2012, în cadrul rețelei sociale Facebook . S-a răspândit un eveniment despre o zi întâmplătoare în care compania Ray-Ban ar vinde ochelari cu preț redus, evidențiind astfel o oportunitate incredibilă pentru cumpărători de a economisi cu ușurință. Evenimentul s-a dovedit a fi un fals în care celebrul producător de ochelari nu a fost implicat în mod evident și a conținut un link care a dus la descărcarea de programe malware capabile să acceseze date personale. Atacul a fost, de asemenea, efectuat în diferite moduri, menținând întotdeauna sistemul de etichetare în scopul răspândirii malware-ului. ^[6]

Compasiune, recunoștință și sentimente bune

Pentru a câștiga încredere și recunoștință, inginerul social se poate preface că oferă un serviciu sau ajută oricărei persoane din companie (de exemplu prin simularea unui „ birou de asistență ”). Victima, simțindu-se în siguranță, va face orice i se spune, punând la dispoziția atacatorului informații importante. În schimb, dacă inginerul social se preface coleg și are probleme, victima poate da dovadă de compasiune și poate furniza informațiile necesare pentru a-l ajuta. ^[1]

Folosirea sentimentelor bune poate determina unii oameni să facă donații sau să descarce anumite aplicații. În timp ce sexul masculin se bazează pe tehnica dorinței, în acest caz este mult mai ușor să încalci celălalt sex prin intermediul unor organizații caritabile false sau site-uri și aplicații privind dragostea și viața de cuplu. Un exemplu celebru al acestui tip de atac este virusul ILOVEYOU care s-a răspândit în 2000, care folosea un atașament în interiorul unui e-mail care părea a fi un simplu fișier text cu titlul „LOVE-LETTER-FOR-YOU.TXT”, dar a fost de fapt un fișier executabil comun.

Instrumente și metode de atac

Instrumentele fizice utilizate în ingineria socială sunt variate, dar principalul rămâne telefonul, prin care este posibil să se utilizeze limbajul dorit și abordarea exactă pentru a ocoli victima. E-mailurile și site-urile web sunt, de asemenea, utilizate în atac, creând un context în care imaginile și mesajele pot conduce atacatorul să obțină date confidențiale prin utilizarea formularelor web sau a aplicațiilor reale. Odată cu răspândirea rețelelor sociale în ultimii ani, ingineria socială a revenit să se dezvolte, profitând și de sistemele semantice sau de crawlerele informaționale. ^[7] Instrumentele nu mai puțin importante sunt în mod trivial vocea și vocabularul inginerului social, care prin studiul sistemului de atacat reușește să se adapteze la situația în care trebuie să lucreze pentru a nu trezi suspiciuni. ^[1]

Metodologiile de atac exploatează în principal aceste tehnologii, profitând de tehnici psihologice. ^[8]

Pretextare

Pretextarea („crearea unui pretext”) constă în crearea unei setări false cu scopul de a induce un utilizator să divulge informații sau să comită acțiuni care nu ar fi obișnuite în contextul în care operează. Atacatorul se identifică cu o anumită entitate, exploatând unele date dobândite anterior (data nașterii, cartea de identitate, ...), pentru a pătrunde mai mult în mintea victimei. În unele cazuri, atacatorul poate simula comportamentul unei anumite autorități importante, cum ar fi poliția sau banca, determinând victima să răspundă la toate întrebările puse fără ezitare. Când se face la telefon, utilizarea unui ton autoritar creează un scenariu și mai realist pentru victimă. ^[9]

Phishing și vishing

Phishingul este o tehnică de obținere a informațiilor în mod fraudulos. De obicei, un e-mail este trimis victimei, făcându-l să pară cât mai similar cu un mesaj trimis de o anumită companie. Persoana este împinsă să descarce un atașament care prezintă un malware sau să facă clic pe un link intern din e-mail care duce la o pagină web foarte similară cu cea originală a furnizorului de servicii, prezentând un formular pentru a completa acolo unde există de obicei câmpuri cum ar fi banca codului PIN sau parola. În domeniul ingineriei sociale, se folosește frecvent phishingul telefonic, numit și vishing , în care se simulează un anumit context, cum ar fi un call center , prin care este posibil să se primească o încredere mai mare de la persoana implicată în atac.

Kevin Mitnick a fost un mare exponent al tehnicii descrise în timpul incursiunilor sale pe computer, atât de mult încât a scris o carte despre acest subiect, Arta înșelăciunii .

Momeli și junk computer

Un alt mijloc comun este momeala care constă, așa cum sugerează și numele, în utilizarea unei momeli pentru o persoană capabilă să acceseze un sistem specific (un fel de cal troian ). În practică, un mediu de stocare precum o cheie USB sau un hard disk este lăsat nesupravegheat într-un loc comun (intrarea în companie, baie publică) pentru a stimula curiozitatea victimei care cu o anumită probabilitate va prelua obiectul ( valorificând deci dorința și lăcomia). Ulterior, instrumentul poate fi utilizat în sistemul în care lucrează actorul implicat, accesând astfel datele personale sau ale companiei mult mai ușor, deoarece se află deja în rețeaua locală ( LAN ).

O altă metodă utilă de a obține informații despre oameni este prin gunoi. De foarte multe ori hardware-ul este aruncat fără să-i pese că datele pot fi încă prezente în dispozitiv și, prin urmare, pot fi obținute de la alții. De exemplu, pentru a șterge datele de pe un hard disk nu este suficient să faceți un format complet, dar este necesar să aplicați acțiuni fizice pe dispozitiv, cum ar fi crearea unor găuri reale pe discuri. Este necesar să recurgeți la aceste măsuri drastice, deoarece există programe de reconstrucție a datelor deosebit de avansate, capabile să poată obține datele șterse chiar și după formatare multiplă. ^[10]

Alte metode

Folosind metoda quid pro quo , inginerul social face câteva apeluri aleatorii către diferite companii care pretind că garantează asistență tehnică. În cazul în care victima este conștientă de o problemă care ar putea fi cauzată în contextul în care lucrează, va fi mai posibil să-l faceți să urmeze toți pașii care duc la achiziționarea de date utile. Se poate observa că sentimentul de vinovăție în acest caz împinge persoana implicată să facă orice i-a spus atacatorul. Un experiment în acest sens a fost realizat în 2003 de Securitatea informațiilor și s-a constatat că 90% dintre persoanele implicate (cu lucrări de birou) erau dispuse să comunice parola computerului lor în schimbul unui pix ieftin. ^[11] Un caz interesant a apărut și în 2007 la sucursala ABN Amro din Anvers , când un escroc a reușit să obțină diamante și pietre prețioase de 120.000 de carate, nu prin instrumente tehnologice, ci prin cumpărarea de ciocolată pentru personal și prezentându-se ca un persoană amabilă și de ajutor. În acest fel a obținut încrederea angajaților și cheile locului unde erau păstrate bijuteriile. ^[12]

În cazul în care un atacator dorește să acceseze fizic un loc sigur, poate fi necesar să aveți o anumită cheie sau un fel de recunoaștere, cum ar fi un card RFID . În acest scop, este posibil să se aplice tehnica de urmărire , care constă în urmărirea persoanei care accesează această locație pentru a încerca să pătrundă în acel loc pretinzând că a pierdut cheia sau pur și simplu cere o curtoazie. În unele cazuri, atacatorul poate avea și un ID fals. ^[13]

Furtul de materiale sau informații poate apărea și prin furt de deviere . Metoda se mai numește „ Joc de colț ” ^[14] și provine din estul Londrei. Pur și simplu constă în modificarea destinației curierului fără ca acesta să observe, obținând astfel materialul de interes. În același mod, totul este aplicabil și pe Internet, prin modificarea destinatarului unui anumit mesaj.

Posibile contramăsuri

Pentru a contracara încercările de inginerie socială, nu ne putem baza pe tehnologiile fizice adoptate pentru securitatea computerului, precum firewall-uri sau antivirus . De fapt, întrucât în acest caz veriga slabă este ființa umană, conștientizarea și neîncrederea devin arme importante în apărarea împotriva ingineriei sociale.

Pentru a limita atacurile de acest tip, în mediul de afaceri, pot fi urmate unele precauții, cum ar fi:

Creați o infrastructură de încredere pentru angajați și alt personal (specificați unde, cum, când și de către cine ar trebui prelucrate datele).
Înțelegerea informațiilor sensibile și evaluarea nivelului lor de expunere la lumea exterioară.
Stabiliți protocoale de securitate, politici și proceduri pentru date sensibile .
Instruiți personalul de interes în procedurile de siguranță de interes.
Testarea aleatorie, fără raportare, a acestei infrastructuri.
Manipulați și examinați toți pașii. ^[15]
Utilizați un serviciu de gestionare a deșeurilor cu dulapuri încuiate cu lacate care pot fi deschise numai de personalul de curățenie autorizat ( deșeurile IT pot fi utile pentru potențialii atacatori).

La nivel personal, astfel de contramăsuri sunt de asemenea recomandate: ^[16]

Aveți grijă la e-mailurile sau apelurile telefonice nesolicitate , mai ales dacă provin de la persoane care solicită informații despre angajați sau despre companie (inclusiv cele financiare). Aflați mai întâi cine solicită astfel de date (autorități).
Nu difuzați informații sensibile în rețea fără a verifica nivelul de securitate și fiabilitate al site-ului.
Verificați întotdeauna adresa URL a site- ului web, deoarece poate conține unele ușoare diferențe față de original.
Aflați mai multe despre expeditorul mesajului, fără a vă referi doar la informațiile de contact, ci căutând posibile atacuri în listele de phishing care pot fi găsite prin intermediul motorului de căutare.
Evitați deschiderea atașamentelor sau fișierelor executabile de origine dubioasă.

Dacă știți că ați fost victima unui atac de inginerie socială:

Într-un mediu de afaceri, este important să comunicați totul administratorilor de rețea și managerilor de securitate interni.
În cazul în care au fost implicate conturi bancare, este necesar să contactați banca de interese și să puneți soldul și mișcările sub control.
Dacă parolele au fost comunicate, acestea trebuie schimbate și pe celelalte site-uri unde au fost utilizate.
De asemenea, luați în considerare comunicarea cu o autoritate competentă (de exemplu: poliția poștală ).

Notă

^ ^A ^b ^c (EN) TC Samuel Thompson, Helping the Hacker? Informații despre bibliotecă, securitate și inginerie socială , în Tehnologia informației și biblioteci , vol. 25, nr. 4, 13 ianuarie 2013, pp. 222-225. Adus pe 19 aprilie 2016 .
^ Paolo Attivissimo, inginerie socială , pe www.attivissimo.net . Adus pe 24 martie 2016 .
^ Pornografie și Internet. 12% dintre site-uri sunt pornografice. Toate statisticile de pe www.piacenzanight.com . Adus la 16 aprilie 2016 (Arhivat din original la 27 aprilie 2016) .
^ Protecția contului: nou val de videoclipuri porno etichetate pe Facebook , www.protezioneaccount.com . Adus pe 2 aprilie 2016 .
^ Date cu risc pe Facebook cu noul virus , pe www.poliziadistato.it . Adus la 13 aprilie 2016 .
^ Mark Turner, Spammerii vizează albumele foto Facebook , la markturner.net . Adus la 16 aprilie 2016 .
^ PA-urile sunt victimele ideale ale atacurilor de inginerie socială: din cauza lacunelor din cultura IT , pe forumpa.it . Adus pe 19 aprilie 2016 .
^ Apără-te împotriva tehnicilor de inginerie socială pentru a fura date personale și a înșela , pe Navigaweb.net . Adus la 31 martie 2016 .
^ Cum să vă păstrați informațiile personale în siguranță | Informații pentru consumatori , la www.consumer.ftc.gov . Adus la 13 aprilie 2016 .
^ Cum se șterge definitiv datele de pe un hard disk , pe wikiHow . Adus la 31 martie 2016 .
^ Hacking, lucrătorii de la birou dau parole pentru un pix ieftin , pe theregister.co.uk . Adus la 13 aprilie 2016 .
^ Luigi Cristiani, ABC of safety: Social Engineering , pe techeconomy.it . Adus la 16 aprilie 2016 .
^ No Tailgating , cu privire la sfaturile de securitate a informațiilor de la Westfield Insurance . Adus la 13 aprilie 2016 (Arhivat din original la 10 iunie 2016) .
^ Train For Life , pe trainforlife.co.uk , 5 ianuarie 2010. Accesat la 13 aprilie 2016 (arhivat din original la 5 ianuarie 2010) .
^ Mitnick, K. și Simon, W. (2005). „Arta intruziunii”. Indianapolis, IN: Editura Wiley.
^ Amenințări: cum se evită atacurile de phishing și inginerie socială - CERT Nazionale Italia , pe CERT Nazionale Italia . Adus pe 21 aprilie 2016 .

Bibliografie

Kevin Mitnick , Arta înșelăciunii
Kevin Mitnick , The Art of Intrusion

Publicații

Ivan Scalise , Scurtă introducere în ingineria socială

Elemente conexe

Alte proiecte

Wikicitată conține citate despre ingineria socială
Wikimedia Commons conține imagini sau alte fișiere despre ingineria socială

linkuri externe

( RO ) Listă de articole despre inginerie socială , pe sans.org .
( RO ) Studiu de caz al spionajului industrial prin inginerie socială ( PDF ), la csrc.nist.gov .

Portal de securitate IT

Portalul de sociologie

[:1-1] A ^b ^c (EN) TC Samuel Thompson, Helping the Hacker? Informații despre bibliotecă, securitate și inginerie socială , în Tehnologia informației și biblioteci , vol. 25, nr. 4, 13 ianuarie 2013, pp. 222-225. Adus pe 19 aprilie 2016 .

[2] Paolo Attivissimo, inginerie socială , pe www.attivissimo.net . Adus pe 24 martie 2016 .

[3] Pornografie și Internet. 12% dintre site-uri sunt pornografice. Toate statisticile de pe www.piacenzanight.com . Adus la 16 aprilie 2016 (Arhivat din original la 27 aprilie 2016) .

[4] Protecția contului: nou val de videoclipuri porno etichetate pe Facebook , www.protezioneaccount.com . Adus pe 2 aprilie 2016 .

[5] Date cu risc pe Facebook cu noul virus , pe www.poliziadistato.it . Adus la 13 aprilie 2016 .

[6] Mark Turner, Spammerii vizează albumele foto Facebook , la markturner.net . Adus la 16 aprilie 2016 .

[7] PA-urile sunt victimele ideale ale atacurilor de inginerie socială: din cauza lacunelor din cultura IT , pe forumpa.it . Adus pe 19 aprilie 2016 .

[8] Apără-te împotriva tehnicilor de inginerie socială pentru a fura date personale și a înșela , pe Navigaweb.net . Adus la 31 martie 2016 .

[9] Cum să vă păstrați informațiile personale în siguranță | Informații pentru consumatori , la www.consumer.ftc.gov . Adus la 13 aprilie 2016 .

[10] Cum se șterge definitiv datele de pe un hard disk , pe wikiHow . Adus la 31 martie 2016 .

[11] Hacking, lucrătorii de la birou dau parole pentru un pix ieftin , pe theregister.co.uk . Adus la 13 aprilie 2016 .

[12] Luigi Cristiani, ABC of safety: Social Engineering , pe techeconomy.it . Adus la 16 aprilie 2016 .

[13] No Tailgating , cu privire la sfaturile de securitate a informațiilor de la Westfield Insurance . Adus la 13 aprilie 2016 (Arhivat din original la 10 iunie 2016) .

[14] Train For Life , pe trainforlife.co.uk , 5 ianuarie 2010. Accesat la 13 aprilie 2016 (arhivat din original la 5 ianuarie 2010) .

[15] Mitnick, K. și Simon, W. (2005). „Arta intruziunii”. Indianapolis, IN: Editura Wiley.

[16] Amenințări: cum se evită atacurile de phishing și inginerie socială - CERT Nazionale Italia , pe CERT Nazionale Italia . Adus pe 21 aprilie 2016 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]