Wprowadzenie
W swojej książce „The Art of Deception” popularny haker Kevin Mitnick wyjaśnił siłę technik socjotechnicznych . Obecnie zdajemy sobie sprawę, że socjotechnika może być połączona z hakowaniem, aby wzmocnić podstępne ataki.
Rozważmy na przykład media społecznościowe i platformy mobilne; są one potężnymi wektorami ataku dla różnych kategorii aktorów zagrożeń, ponieważ pozwalają na natychmiastowe trafienie do dużej liczby odbiorców.
Większość ataków wykorzystujących oba paradygmaty jest skuteczna, ponieważ wykorzystują koncepcję „zaufania”, na którym budowane są sieci społecznościowe.
Przyjrzyjmy się bliżej najczęstszym atakom wykorzystującym socjotechnikę, których celem są użytkownicy.
Phishing
Ataki phishingowe to najczęstszy rodzaj ataków wykorzystujących techniki socjotechniczne. Atakujący wykorzystują e-maile, media społecznościowe, komunikatory i SMS-y, aby nakłonić ofiary do podania poufnych informacji lub odwiedzenia złośliwych adresów URL w celu złamania zabezpieczeń ich systemów.
Ataki typu phishing mają następujące wspólne cechy:
- Wiadomości są tworzone w celu przyciągnięcia uwagi użytkownika, w wielu przypadkach w celu pobudzenia jego ciekawości, dostarczając kilka informacji na określony temat i sugerując, aby ofiary odwiedzili określoną witrynę aby dowiedzieć się więcej.
- Wiadomości phishingowe mające na celu zebranie informacji o użytkowniku są pilne. Jest to próba nakłonienia ofiary do ujawnienia poufnych danych w celu rozwiązania sytuacji, która mogłaby się pogorszyć bez interakcji ofiary.
- Atakujący wykorzystują skrócony adres URL lub osadzone linki do przekierowania ofiar do złośliwej domeny, która może zawierać kody wykorzystujące exploity lub która może być klonem legalnych witryn, których adresy URL wyglądają na prawidłowe. W wielu przypadkach rzeczywisty link i link wizualny w wiadomości e-mail są różne; na przykład hiperłącze w e-mailu nie wskazuje tej samej lokalizacji, co pozorne hiperłącze wyświetlane użytkownikom.
- Wiadomości e-mail wyłudzające informacje mają zwodniczy wiersz tematu, aby zachęcić odbiorca uważa, że wiadomość e-mail pochodzi z zaufanego źródła. Atakujący wykorzystują sfałszowany adres nadawcy lub fałszywą tożsamość organizacji. Zwykle kopiują treści, takie jak teksty, logo, obrazy i style używane w legalnej witrynie, aby wyglądała autentycznie.
Watering hole
Atak na wodopój składa się z wstrzyknięcie złośliwego kodu do publicznych stron internetowych witryny, którą odwiedzały cele. Metoda wstrzykiwania nie jest nowa i jest powszechnie stosowana przez cyberprzestępców i hakerów. Atakujący włamują się na strony internetowe w określonym sektorze, które są zwykle odwiedzane przez określone osoby zainteresowane atakami.
Gdy ofiara odwiedza stronę w zaatakowanej witrynie, na jej komputerze instalowany jest trojan z tylnym wejściem. Atak metodą wodopoju jest bardzo powszechny w przypadku operacji szpiegowskich lub ataków sponsorowanych przez państwo.
Powszechnie uważa się, że ten rodzaj ataku jest powiązany z ofensywami sponsorowanymi przez państwo. Wybór strony internetowej jako kompromitacji, badanie nawyków ofiar i przyjęcie wydajnego kodu exploita to kroki, które wymagają znacznego wysiłku w fazie przygotowania ataku.
Skuteczność ataków wodopoju wzrasta z wykorzystaniem exploitów typu zero-day, które wpływają na oprogramowanie ofiary. W tym przypadku ofiary nie mają możliwości ochrony swoich systemów przed rozprzestrzenianiem się złośliwego oprogramowania.
Atak wielorybów
Wielorybnictwo to kolejna ewolucja ataków phishingowych, które wykorzystują zaawansowane techniki socjotechniczne do kradzieży poufnych informacji. dane osobowe, dane uwierzytelniające dostęp do usług / zasobów objętych ograniczeniami, a zwłaszcza informacje o istotnej wartości z ekonomicznego i komercyjnego punktu widzenia.
To, co odróżnia tę kategorię phishingu od innych, to wybór celów: odpowiednich kierowników prywatne agencje biznesowe i rządowe. Użyto słowa wielorybnictwo, co wskazuje, że cel jest dużym celem do schwytania.
Wielorybnictwo stosuje te same metody ataków spearphishingowych. Oszustwa e-mail mają na celu podszywanie się pod krytyczną biznesową wiadomość e-mail wysłaną przez uprawniony organ, zazwyczaj od odpowiednich kierowników ważnych organizacji. Zwykle treść wysłanej wiadomości jest przeznaczona dla wyższej kadry kierowniczej i zgłasza pewne fałszywe obawy dotyczące całej firmy lub wysoce poufne informacje.
Pretekstowanie
Termin pretekst wskazuje na praktykę przedstawianie siebie jako kogoś innego w celu uzyskania prywatnych informacji. Zazwyczaj atakujący tworzą fałszywą tożsamość i używają jej do manipulowania otrzymywaniem informacji.
Atakujący wykorzystujący tę konkretną technikę inżynierii społecznej przyjmują kilka utworzonych przez siebie tożsamości.Ten zły nawyk może narazić ich działania na dochodzenie prowadzone przez ekspertów ds. Bezpieczeństwa i organy ścigania.
Sukces ataku z pretekstem w dużym stopniu udaje, że osoba atakująca może zbudować zaufanie.
Najbardziej zaawansowane formy ataków pretekstowych próbują zmanipulować ofiary do wykonania akcji, która umożliwia atakującemu wykrycie i wykorzystanie miejsca awarii w organizacji.
Atakujący może podszyć się pod zewnętrznego operatora usług IT, aby poprosić personel wewnętrzny o informacje, które mogłyby umożliwić dostęp do systemów w organizacji.
Ataki przynęty i quid pro quo
Inną techniką inżynierii społecznej jest przynęta, która wykorzystuje ciekawość człowieka. Przynęta jest czasami mylona z innymi atakami socjotechnicznymi. Jego główną cechą jest obietnica towarów, których hakerzy używają do oszukiwania ofiar.
Klasycznym przykładem jest scenariusz ataku, w którym napastnicy wykorzystują złośliwy plik zamaskowany jako aktualizacja oprogramowania lub zwykłe oprogramowanie. Atakujący może również przeprowadzić atak z przynętą w świecie fizycznym, na przykład rozprowadzając zainfekowane tokeny USB na parkingu docelowej organizacji i czekając, aż personel wewnętrzny umieści je w firmowych komputerach.
Szkodliwe oprogramowanie zainstalowane na tokeny USB zagrozą komputerom, zdobywając pełną kontrolę potrzebną do ataków.
Atak quid pro quo (inaczej atak typu „coś za coś”) jest wariantem przynęty. Zamiast zwabić cel za pomocą obietnica dobrego, quid pro quo ataku obiecuje usługę lub korzyść opartą na wykonaniu określonej czynności.
W scenariuszu ataku quid pro quo haker oferuje usługę lub korzyść w zamian w celu uzyskania informacji lub dostępu.
Najczęstszy atak quid pro quo ma miejsce, gdy haker podszywa się pod pracownika IT dużej organizacji. Haker ten próbuje skontaktować się telefonicznie z pracownikami organizacji docelowej, a następnie oferuje im jakiś rodzaj aktualizacji lub instalacji oprogramowania.
Mogą wymagać st ofiary w celu ułatwienia operacji poprzez tymczasowe wyłączenie oprogramowania antywirusowego w celu zainstalowania złośliwej aplikacji.
Tailgating
Atak tailgating, znany również jako „piggybacking”, polega na tym, że atakujący szuka dostępu do obszar zastrzeżony, który nie ma odpowiedniego uwierzytelnienia.
Atakujący może po prostu wejść za osobę upoważnioną do dostępu do tego obszaru. W typowym scenariuszu ataku osoba podszywa się pod kierowcę dostawy załadowanego paczkami i czeka, aż pracownik otworzy drzwi. Atakujący prosi pracownika, aby przytrzymał drzwi, omijając stosowane środki bezpieczeństwa (np. Elektroniczną kontrolę dostępu).
Przeczytaj więcej o atakach socjotechnicznych
10 najczęstszych ataków phishingowych
5 Zagrożenia socjotechniki dla prywatności pracowników
Spear-phishing i wielorybnictwo
Źródła
5 Socjotechnika Ataki, na które należy uważać, stan bezpieczeństwa
Qingxiong Ma, „Proces i charakterystyka ataków phishingowych: studium przypadku małej międzynarodowej firmy handlowej”, Journal of Technology Research
Struktura inżynierii społecznej, bezpieczeństwo poprzez edukację
Inżynieria społeczna: ataki Quid Pro Quo, LinkedIn
Socjotechnika: Co to jest Tailgating ?, Mailfence