it-swarm-vi.com

Là kỹ thuật xã hội là một mối đe dọa thực sự

Gần đây tôi đã hoàn thành cuốn sách Nghệ thuật lừa dối: Kiểm soát yếu tố bảo mật của con người bởi Kevin Mitnick

Cuốn sách được phát hành vào ngày 4 tháng 12 năm 2002. Không chỉ nói về các kỹ thuật được mô tả trong cuốn sách này, nhưng những cách mà các kỹ sư xã hội sử dụng có còn là mối đe dọa ngày nay không?

Tôi nghĩ rằng bây giờ, khi chúng tôi di chuyển ít nhất 10 năm từ cuốn sách và các vấn đề được mô tả trong đó, chúng tôi nên tránh khỏi các cuộc tấn công như vậy, vì chúng tôi có thể nhanh chóng xác minh bất kỳ thông tin nào được trình bày cho chúng tôi và với khả năng sử dụng điện thoại di động tốc độ cao kết nối mạng, hệ thống kiểm soát đặc quyền, nhận dạng sinh trắc học, v.v ...

Tôi sống trong cảm giác an toàn sai lầm, hay là sợ nói từ tôi?


Và bây giờ bạn có thể suy nghĩ, liệu đó có phải là kỹ thuật xã hội để đặt câu hỏi như vậy và nhận được tất cả kiến ​​thức có giá trị của bạn hay không. :-)

105
Marek Sebera

Bạn chắc chắn sống trong một cảm giác an toàn sai lầm! Kỹ thuật xã hội vẫn còn rất thịnh hành ngày nay và tôi nghi ngờ điều đó sẽ thay đổi trong nhiều thập kỷ nếu có.

Dưới đây là một số giải thích ngắn gọn về lý do tại sao kỹ thuật xã hội hoạt động. Thật khó khăn để bao quát mọi thứ bởi vì kỹ thuật xã hội là một lĩnh vực thực sự rộng lớn.

Một số lý do tại sao kỹ thuật xã hội hoạt động (Từ cuốn sách được trích dẫn ở phía dưới):

  • Hầu hết mọi người đều có mong muốn được lịch sự, đặc biệt là với người lạ
  • Chuyên gia muốn xuất hiện đầy đủ thông tin và thông minh
  • Nếu bạn được khen ngợi, bạn sẽ thường nói nhiều hơn và tiết lộ nhiều hơn
  • Hầu hết mọi người sẽ không nói dối chỉ vì nói dối
  • Hầu hết mọi người trả lời tử tế với những người tỏ ra quan tâm đến họ

Hữu ích

Thông thường con người muốn có ích cho nhau. Chúng tôi thích làm những điều tốt đẹp!

  • Tôi chạy vào quầy lễ tân tại một văn phòng công ty lớn với giấy tờ của tôi ngâm trong cà phê. Tôi nói chuyện với nhân viên tiếp tân và giải thích rằng tôi có một cuộc họp phỏng vấn xin việc trong 5 phút, nhưng tôi chỉ đổ cà phê lên tất cả các giấy tờ của mình. Sau đó tôi hỏi liệu nhân viên tiếp tân có thể rất ngọt ngào và in chúng ra một lần nữa cho tôi bằng thẻ nhớ USB mà tôi có.

    Điều này có thể dẫn đến sự lây nhiễm thực sự của PC của nhân viên tiếp tân và có thể giúp tôi có chỗ đứng trong mạng.

Sử dụng nỗi sợ hãi

Nỗi sợ thất bại hoặc không làm theo lệnh:

  • Trang facebook của giám đốc công ty (John Smith) (hoặc bất kỳ nguồn thông tin nào khác) tiết lộ rằng anh ta vừa rời khỏi hành trình trong 3 tuần. Tôi gọi cho thư ký và với một giọng chỉ huy tôi nói "Xin chào, đó là Chris đang gọi. Tôi vừa tắt điện thoại với John Smith, anh ấy có một khoảng thời gian rất vui vẻ trên hành trình của anh ấy với vợ Carla và những đứa trẻ. Tuy nhiên, chúng tôi đang ở trong Giữa việc tích hợp một hệ thống kinh doanh rất quan trọng và anh ấy bảo tôi gọi cho bạn để bạn có thể giúp chúng tôi. Anh ấy không thể tự gọi mình vì họ đang đi safari, nhưng điều này thực sự cấp bách. thanh USB được gửi đến anh ấy trong thư và cắm nó vào, khởi động máy tính và tất cả chúng ta đã hoàn thành. Dự án vẫn tồn tại!

    Cảm ơn rât nhiều! Bạn đã giúp đỡ rất nhiều! Tôi chắc chắn John Smith sẽ nhận ra bạn vì hành động hữu ích này. "

Chơi trên sự đáp lại

  • Cổng sau. Tôi giữ cửa ra vào cho bạn, và tôi nhanh chóng đi phía sau bạn. Khi bạn mở cánh cửa tiếp theo, được kích hoạt bảo mật, tôi sẽ đi theo hướng tương tự và hầu hết mọi người sẽ cố gắng trả lại hành động hữu ích bằng cách giữ cánh cửa lại cho bạn, do đó cho phép bạn vào một nơi mà bạn không nên đến. Lo lắng về việc bị bắt? Không .. Bạn chỉ nói rằng bạn xin lỗi và bạn đã đi sai đường.

    Mục tiêu gần như sẽ cảm thấy bắt buộc phải giữ cửa cho bạn!

Khai thác sự tò mò

  • Hãy thử thả 10 thanh USB ở nhiều vị trí khác nhau trong tổ chức của bạn. Bạn không cần phải đặt chúng ở những nơi quá rõ ràng. USB nên có một chương trình gia đình điện thoại tự động để bạn có thể thấy khi ai đó kết nối thanh USB và theo lý thuyết nên được khai thác.

    Một phiên bản khác của việc này là bỏ các thanh USB với một tài liệu PDF được gọi là "John Smith - Na Uy.pdf". Tài liệu PDf chứa khai thác Adobe Acrobat Reader (có hàng tấn chúng) và một khi người dùng nhấp vào tài liệu mà anh ta sẽ sở hữu. Tất nhiên, bạn đã chắc chắn rằng việc khai thác được điều chỉnh theo phiên bản Adobe cụ thể của tổ chức mục tiêu. Hầu hết mọi người sẽ mở tài liệu để họ có thể hãy thử trả lại thẻ USB cho chủ sở hữu của nó.

    • Một ví dụ khác về sự tò mò (có thể là một thuật ngữ khác giải thích điều này tốt hơn) là tất cả những thư SPAM hoặc quảng cáo Internet xấu mà bạn đã giành được thứ gì đó hoặc một hoàng tử Nigeria đang cung cấp cho bạn rất nhiều tiền nếu bạn có thể giúp anh ta. Tôi chắc chắn bạn đã quen với những điều này rồi, nhưng đây cũng là những cuộc tấn công kỹ thuật xã hội và lý do họ chưa dừng lại là họ vẫn làm việc!

Đó chỉ là một vài ví dụ. Tất nhiên là có nhiều tấn!

Chúng ta cũng có thể xem các sự kiện kỹ thuật xã hội lịch sử:

HBGary

Có thể đọc toàn bộ câu chuyện tại đây (Trang 3 chứa phần kỹ thuật xã hội)

  • Năm ngoái HBGary đã bị hack. Cuộc tấn công này bao gồm nhiều bước khác nhau nhưng cũng là một khía cạnh kỹ thuật xã hội. Tóm lại, tin tặc đã xâm phạm tài khoản email của a VIP trong công ty và gửi email cho quản trị viên của hệ thống đích nói điều gì đó như sau: "Xin chào John, tôi hiện đang ở Châu Âu và tôi đang nảy giữa các sân bay. Bạn có thể mở SSH trên một cổng được đánh số cao cho tôi đến từ bất kỳ IP nào không? Tôi cần hoàn thành một số công việc ". Khi quản trị viên nhận được email này, anh ta cảm thấy tự nhiên tuân thủ điều này, xem như email đến từ một nguồn đáng tin cậy.

    Nhưng đó không phải là nó! Kẻ tấn công đã có mật khẩu cho tài khoản, nhưng đăng nhập không hoạt động! Vì vậy, anh ta gửi email lại cho quản trị viên "Này một lần nữa, nó dường như không hoạt động. Mật khẩu vẫn đúng? Tên người dùng lại là gì?". Bây giờ anh ta cũng đã cung cấp mật khẩu thực tế cho hệ thống (kẻ tấn công đã lấy nó từ sự thỏa hiệp trước đó của một hệ thống khác trong cùng một vụ hack), khiến kẻ tấn công tin tưởng hơn rất nhiều từ quản trị viên. Vì vậy, tất nhiên quản trị viên tuân thủ và nói với kẻ tấn công tên người dùng của mình.

Danh sách ở trên cùng xuất phát từ cuốn sách " Kỹ thuật xã hội: Nghệ thuật hack người " và tôi rất có thể giới thiệu nó!

166
Chris Dale

Phải, bất kỳ hệ thống nào cũng yếu như thành viên yếu nhấtđó là con người, và nó sẽ luôn như vậy.

Bạn có thể 'miễn dịch' đối với một số kỹ thuật rõ ràng nhất hiện nay, nhưng điều đó cũng áp dụng tương tự cho thư ký bị căng thẳng nhận được một cuộc gọi từ 'Bộ phận CNTT' để nhanh chóng tra cứu một số thông tin quan trọng trên máy tính của ông chủ không thể đợi đến sau cuối tuần sắp tới, ồ và cửa sổ lạ có thể bật lên và hỏi một số câu hỏi không quan trọng, cô ấy sẽ chỉ cần nhấp vào Accept. Tất nhiên cô ấy sẽ làm điều đó ... mọi người sẽ làm điều đó trong tình huống sai lầm ...

29
ordag

Kỹ thuật xã hội (SE) không chỉ là khai thác thông tin mà kẻ tấn công có, mà còn về việc khai thác các mô hình hành vi (con người).

Để giải thích điều này, chúng ta hãy làm một bài tập nhỏ - nói to màu sắc, không phải là Lời.

enter image description here

Bạn có thể thấy "khai thác" ở đây không? Việc sử dụng trong tình huống thực tế của "khai thác" này là rất đáng nghi ngờ, nhưng nó cho chúng ta thấy rõ bộ não của chúng ta có thể bị thao túng như thế nào ngay cả khi chúng ta có thông tin hợp lệ (tất cả chúng ta đều học màu sắc khi còn bé).

Ví dụ thực tế có thể giống như thế này - giả sử bạn muốn thư ký đưa USB của bạn vào máy của cô ấy. Đi đến cô ấy và lịch sự yêu cầu cô ấy làm như vậy có thể bị từ chối, đặc biệt là nếu có chính sách cấm điều này. Nhưng bạn có thể mặc quần áo lên, đổ cà phê lên áo/quần và trên giấy tờ của bạn và sau đó đến gặp cô ấy, cầm những tờ giấy đó và nói - "Tôi đến cuộc họp rất muộn và trong khi tôi đang lái xe tới đây, con mèo chạy ra phía trước xe của tôi và tôi bắt đầu phá vỡ rất khó khăn. Con mèo đã sống sót, nhưng giấy tờ của tôi thì không. Tôi biết đây là yêu cầu lạ, nhưng làm ơn, bạn có thể in nó cho tôi không? Tôi thực sự rất muộn và ông chủ của bạn có thể thực sự giận tôi

Đây được gọi là cái cớ và về cơ bản, đó là vai trò của SEr. Chúng ta đang làm gì trong cái cớ này? Chúng tôi đang khai thác cảm xúc. Nếu điều này được chơi tốt và microexpressions của bạn là chính hãng, rất có thể cô ấy sẽ làm những gì bạn muốn. Tại sao? Bởi vì chúng ta, con người, được mã hóa như thế này. Có, cô ấy có thể biết rằng việc đặt thiết bị không xác định vào PC có thể gây hại; vâng, cô ấy có thể được giáo dục về điều đó, nhưng hãy nghiêm túc, bạn đã cố gắng không đánh con mèo, bạn đã không uống cà phê của bạn, bạn làm hỏng bộ đồ của bạn, bạn đến trễ, ông chủ sẽ giận bạn và bây giờ một số chính sách yêu cầu cô ấy thô lỗ với bạn. Thôi nào ... Tuy nhiên, phần quan trọng ở đây là khiến cô ấy có tâm trạng phù hợp - cảm thấy tiếc cho bạn. Để làm như vậy, microexpression của bạn phải được cô ấy hiểu là đúng (chính hãng). Nếu bạn chơi đúng thẻ của mình, bạn có các hiệu ứng tương tự như với màu sắc. Cô ấy biết đó là điều cô ấy không nên làm (màu sắc của từ), nhưng cảm xúc đang nói với cô ấy (ý nghĩa của từ).

Một mẹo khác mà SEr có thể kéo vào mục tiêu là, được gọi là, thí nghiệm về chó của Pavlov . Vậy, con chó chảy nước dãi có liên quan gì đến ITSec? Hãy nói rằng tôi muốn biết về an ninh vật lý tại nơi làm việc của bạn. Bạn biết bạn không nên chia sẻ thông tin đó với tôi. Tôi cũng biết rằng sau khi làm việc, bạn luôn đến quán rượu địa phương để uống. Một ngày nọ tôi giới thiệu bản thân và chúng tôi bắt đầu nói chuyện nhỏ. Lúc đầu, nó chỉ là về chiếc xe mát mẻ của bạn. Sau đó, chúng tôi bắt đầu nói về phụ nữ trong quán bar, sau đó về người yêu cũ của chúng tôi, về kỳ nghỉ năm ngoái và v.v ... Tất cả, có gì đó không bình thường để nói, nhưng đó là từ cuộc sống riêng tư. Khi chúng tôi gặp nhau, bạn nhận thấy rằng mỗi lần tôi đặt câu hỏi tôi đều đập bàn với điếu thuốc. Lúc đầu, nó có thể là thói quen thậm chí khó chịu, nhưng sau đó bạn chỉ cần bỏ qua nó. Sau vài ngày/tuần khi bạn bắt đầu cảm thấy thoải mái khi ở gần tôi, tôi bắt đầu hỏi về công việc và môi trường làm việc của bạn. Và từng chút một, bạn nói với tôi những gì tôi muốn biết về bảo mật vật lý trong công ty của bạn.

Vậy tôi đã làm gì ở đây? Bằng cách nói chuyện ngẫu nhiên với bạn, tôi đã huấn luyện bộ não của bạn để cho tôi câu trả lời mỗi khi tôi đập bàn bằng thuốc lá. Mặc dù điều này không phải là rửa não, và chỉ cần làm như vậy bạn sẽ không cho tôi biết những bí mật đen tối nhất của bạn, hãy tưởng tượng điều này như - bóc một lớp hành tây. Lớp thứ hai là niềm tin tôi có được với thời gian dành cho bạn trong quán bar. Và cứ thế tiếp tục ... Tôi đã thao túng bạn và thủ thuật đơn giản này đã giúp tôi không giơ cờ đỏ nào khi tôi hỏi bạn những câu hỏi nhạy cảm. Một lần nữa, đó không phải là thông tin bạn có (đừng nói điều đó với người lạ), mà là về hành vi và phản ứng của bạn với thế giới bên ngoài.

Điều tôi đang cố gắng nói ở đây là - bất kể bạn biết gì, nếu bạn được đặt đúng tình huống, bạn sẽ làm những gì được yêu cầu từ bạn. Tại sao? Bởi vì đó là trong di truyền học của chúng tôi.


Chỉ cần đưa ra một hoặc hai ví dụ "ngoài ngành CNTT" làm thế nào thông tin/kiến ​​thức mà mục tiêu có thể trở nên vô nghĩa nếu anh ta/cô ta bị tấn công bởi SEr khéo léo. Tại tòa, bằng chứng là những sự thật lạnh lùng thuần túy, tuy nhiên, luật sư giỏi có thể, bất kể vị trí của khách hàng của anh ta tệ đến mức nào, hãy biến những sự thật đó có lợi cho anh ta bằng cách sử dụng SE.

Trước khi bạn mua xe, bạn sẽ đi và thông báo cho mình cái nào là tốt nhất cho bạn. Khi bạn đến cửa hàng để mua một chiếc, người bán có thể thuyết phục bạn rằng bạn nên mua xe đắt tiền hơn, sử dụng SE.

Ngoài ra, kiểm tra video này . Làm thế nào anh ấy làm điều đó? Bởi chỉ cần hành động bình thường. Chỉ có bấy nhiêu thôi.

17
StupidOne

Đây là một trong những hình thức tấn công được nhắm mục tiêu sử dụng nhiều nhất khi mục tiêu là thông tin nội bộ - khi làm việc với các nhóm tấn công kỹ thuật xã hội trong nhiều năm, chúng tôi đã truy cập vào phòng máy chủ và khu vực an toàn, nhận được giấy tờ bí mật, được cung cấp tài khoản trên các hệ thống nhạy cảm, v.v. .

Mọi người, như một tổng quát, là hữu ích và không biết gì. Điều này nghe có vẻ khắc nghiệt, nhưng về tổng thể, mọi người sẽ cố gắng giúp đỡ ai đó gặp nạn, đặc biệt là nếu người đó có vẻ hoặc âm thanh không được điều trị. Và khi phải đối mặt với một người biết nhiều hơn về một hệ thống hoặc một thủ tục, nhiều người sẽ làm những gì họ được yêu cầu làm.

Một cách tương đối rẻ để cải thiện bảo mật trong của bạn tổ chức - đào tạo nâng cao nhận thức hàng năm. Xét về tiếng nổ, điều này có thể hiệu quả hơn so với chi cho bảo mật CNTT.

10
Rory Alsop

Kỹ thuật xã hội vẫn rất thường là liên kết yếu nhất. Mọi người thường tin tưởng và đôi khi những người giải quyết các vấn đề hỗ trợ kỹ thuật cấp thấp như đặt lại mật khẩu, là lao động được đào tạo kém giá rẻ mà không đặc biệt có ý thức bảo mật.

Ngoài ra, bảo mật thông tin không nhất thiết phải là ưu tiên cao như sự hài lòng của khách hàng khi các hệ thống/chính sách đang được thiết kế, cho vay các điểm yếu về kỹ thuật xã hội.

6
dr jimbob

Kỹ sư xã hội = Trixter niềm tin. Con người đã hoàn toàn thành công khi vi phạm bất kỳ và mọi phương thức bảo mật (X) ngoài kia, nơi X bằng dữ liệu, vũ khí, bằng sáng chế, bí mật thương mại, mật khẩu, v.v.

Conning con người cũng lâu đời và linh hoạt như suy nghĩ của mọi người khi học công nghệ mới và những điểm yếu khác khi tương tác với nó.

Đây nên là một trò đùa (Quản lý CVE-0), nhưng cách tốt nhất để nhắm mục tiêu vào cuộc tấn công của bạn là tìm hiểu công ty của bạn và tìm một phó chủ tịch công ty ít hiểu biết về công nghệ, người mở ra cánh cửa cho trang sức của công ty.

5
Fiasco Labs

Nhìn vào tất cả các thư rác lừa đảo tài khoản của bạn đã bị treo ở đó. Họ sẽ không gửi nó nếu đôi khi nó không hoạt động. Đó là một cuộc tấn công kỹ thuật xã hội.

Và kể từ khi tôi viết câu trả lời ban đầu, tôi đã gặp một trường hợp khác: Một e-mail giả mạo từ ông chủ đến một người dưới quyền chỉ đạo họ trả một khoản tiền 6 con số cho một tài khoản ngân hàng nhất định để thanh toán cho bức tranh họ mua. Bất cứ ai đã thử spearphish này đều không biết rõ mục tiêu của mình, việc mua hàng như vậy sẽ không còn phù hợp với anh ta nữa.

1
Loren Pechtel