はじめに
彼の著書「TheArtof Deception」で、人気のハッカーであるケビンミトニックがソーシャルエンジニアリング技術の力について説明しました。 。今日、ソーシャルエンジニアリングをハッキングと組み合わせて、陰湿な攻撃を強化できることを認識しています。
たとえば、ソーシャルメディアやモバイルプラットフォームについて考えてみましょう。これらは、さまざまなカテゴリの脅威アクターにとって強力な攻撃ベクトルです。
両方のパラダイムを悪用する攻撃のほとんどは、ソーシャルネットワークが構築されている「信頼」の概念を利用しているため効果的です。
ユーザーを標的にするために使用される最も一般的なソーシャルエンジニアリング攻撃を詳しく見てみましょう。
フィッシング
フィッシング攻撃は、ソーシャルエンジニアリング手法を利用する最も一般的なタイプの攻撃です。攻撃者は、電子メール、ソーシャルメディア、インスタントメッセージング、SMSを使用して、被害者をだまして機密情報を提供したり、悪意のあるURLにアクセスさせて、システムを侵害しようとします。
フィッシング攻撃には、次の一般的な特徴があります。 ul>
水飲み場型
水飲み場型攻撃は次の要素で構成されます。ターゲットがアクセスしていたサイトの公開Webページに悪意のあるコードを挿入します。インジェクションの方法は新しいものではなく、サイバー犯罪者やハッカーによって一般的に使用されています。攻撃者は、攻撃に関心のある特定の個人が通常アクセスする特定のセクター内のWebサイトを侵害します。
被害者が侵害されたWebサイトのページにアクセスすると、バックドア型トロイの木馬がコンピューターにインストールされます。水飲み場型攻撃は、サイバースパイ活動や国が後援する攻撃では非常に一般的です。
このタイプの攻撃は、国が後援する攻撃に関連しているというのが一般的な信念です。侵害するWebサイトの選択、被害者の習慣の調査、および効率的なエクスプロイトコードの採用は、攻撃の準備段階で多大な労力を必要とするステップです。
水飲み場型攻撃の効率が向上します。被害者のソフトウェアに影響を与えるゼロデイエクスプロイトを使用します。この場合、被害者はマルウェアの拡散からシステムを保護する方法がありません。
捕鯨攻撃
捕鯨は、高度なソーシャルエンジニアリング技術を使用して機密情報を盗むフィッシング攻撃のもう1つの進化形です。 、個人データ、制限されたサービス/リソースへのアクセス資格情報、具体的には、経済的および商業的観点から関連する価値のある情報。
このカテゴリのフィッシングを他のカテゴリと区別するのは、ターゲットの選択です。民間企業および政府機関。捕鯨という言葉は、標的が捕獲する大きな標的であることを示しています。
捕鯨は、スピアフィッシング攻撃と同じ方法を採用しています。詐欺メールは、正当な機関、通常は重要な組織の関連する幹部から送信される重要なビジネスメールになりすますように設計されています。通常、送信されるメッセージのコンテンツは上級管理職向けに設計されており、ある種の偽の全社的な懸念や機密性の高い情報を報告します。
プレテキスト
プレテキストという用語は、個人情報を取得するために他人として自分自身を提示する。通常、攻撃者は偽のIDを作成し、それを使用して情報の受信を操作します。
この特定のソーシャルエンジニアリング手法を利用する攻撃者は、作成したいくつかのIDを採用します。この悪い習慣は、セキュリティの専門家や法執行機関が実施する調査に彼らの業務をさらす可能性があります。
口実攻撃の成功は、能力の攻撃者が信頼を築くふりをします。
最も高度なある種の口実攻撃は、被害者を操作して、攻撃者が組織内の障害点を発見して悪用できるようにするアクションを実行しようとします。
攻撃者は、外部のITサービスオペレーターになりすまして、内部のスタッフに組織内のシステムへのアクセスを可能にする可能性のある情報。
ベイティングおよびクイッドプロクオ攻撃
もう1つのソーシャルエンジニアリング手法は、人間の好奇心を悪用するベイティングです。餌は他のソーシャルエンジニアリング攻撃と混同されることがあります。その主な特徴は、ハッカーが被害者を欺くために使用する商品の約束です。
典型的な例は、攻撃者がソフトウェアアップデートまたは汎用ソフトウェアを装った悪意のあるファイルを使用する攻撃シナリオです。攻撃者は、物理的な世界で餌攻撃を仕掛けることもできます。たとえば、感染したUSBトークンを標的組織の駐車場に拡散し、内部の担当者が企業のPCに挿入するのを待ちます。
マルウェアがインストールされているUSBトークンはPCを危険にさらし、攻撃に必要な完全な制御を取得します。
quid pro quo攻撃(別名「何かのための何か」攻撃)は、ベイトの変形です。ターゲットをベイトする代わりに、善の約束、quid pro quo攻撃は、特定のアクションの実行に基づいてサービスまたは利益を約束します。
quid pro quo攻撃シナリオでは、ハッカーはサービスまたは利益を提供します。
最も一般的なquidpro quo攻撃は、ハッカーが大規模な組織のITスタッフになりすますときに発生します。そのハッカーは、ターゲット組織の従業員に電話で連絡を試み、何らかの方法で提供します。アップグレードまたはソフトウェアインストールの。
彼らは要求するかもしれません悪意のあるアプリケーションをインストールするためにAVソフトウェアを一時的に無効にすることで、操作を容易にするための被害者。適切な認証が不足している制限されたエリア。
攻撃者は、そのエリアへのアクセスを許可された人物の後ろに侵入するだけです。典型的な攻撃シナリオでは、人は荷物を積んだ配達ドライバーになりすまし、従業員がドアを開けるまで待ちます。攻撃者は、セキュリティ対策(電子アクセス制御など)を回避して、従業員にドアを握るように求めます。
ソーシャルエンジニアリング攻撃の詳細
10の最も一般的なフィッシング攻撃
従業員のプライバシーに対する5つのソーシャルエンジニアリングの脅威
スピアフィッシングと捕鯨
出典
5ソーシャルエンジニアリング注意すべき攻撃、セキュリティの状態
Qingxiong Ma、「フィッシング攻撃のプロセスと特徴:小さな国際的な商社のケーススタディ」、Journal of Technology Research
ソーシャルエンジニアリングフレームワーク、教育によるセキュリティ
ソーシャルエンジニアリング:Quid Pro Quo攻撃、LinkedIn
ソーシャルエンジニアリング:テールゲートとは何ですか?、Mailfence