当谈到网络防火墙和建筑物的安全性有一个国家的最先进的接入系统,你已经得到了所有的花里胡哨。你投资的技术。但有关工作人员呢?
社会工程师,或谁利用人类行为的骗局拉的罪犯,并不担心徽章系统。他们只会走正确的和自信的问别人,帮助他们进去。而那防火墙?如果你欺骗用户点击,他们认为从Facebook好友传来的恶意链接上不会有太大的意思。
在本指南中,我们列出了常见的战术社会工程师经常使用,并且给你如何确保你的员工是防范提示。
什么是社会工程?
社交工程本质上是通过利用人的心理,而不是被打破或使用技术黑客技术获得进入建筑物,系统或数据的艺术。例如,而不是试图寻找软件的漏洞,一个社会工程师可能要求雇员和冒充的IT支持人员,试图给员工诱骗泄露自己的密码。
著名黑客凯文·米特尼克捧红术语“社会工程”在上世纪90年代,尽管这个想法,许多的技术已经只要有过任何形式的网络骗子的存在了。
如何是我公司在风险?
社会工程已经被证明是一个罪犯“进去”你的组织非常成功的方式。在上面的例子中,一旦一个社会工程师拥有一个值得信赖的雇员的密码,他可以简单地登录并窥探敏感数据。另一种尝试可能是骗局,有人在门禁卡或代码,以一个设施内实际得到的,是否要访问数据,窃取的资产,甚至伤害人。
克里斯·尼克森,拉雷斯,一个科罗拉多州的安全咨询公司的创始人,从事利用社会工程技术的客户“红队测试”,看看其中一家公司是脆弱的。尼克森详细的CSO是多么容易得到毫无疑问的建筑物内。
在一个渗透测试,尼克森当前使用的事件,社交网站上提供的公共信息,而他购买的旧货店为他非法入境准备$ 4思科衬衫。衬衫帮他说服建筑物的接收和其他员工,他是一个技术支持可以访问思科的员工。一进去,他能够给他的团队的其他成员非法入境,以及。他还设法降几个恶意软件的个USB侵入公司的网络,所有的视线之内的其他员工。读一个黑客的剖析通过这次演习遵循尼克森。
如何做社会工程师拉过他们的伎俩?
犯罪分子往往会需要几个星期和几个月结识即使在进门,或拨打电话之前的地方。他们准备可能包括找到公司电话列表或组织结构图,并在社交网站如LinkedIn或Facebook员工研究。
但是,一旦他们准备好了,知道该说些正确的事,知道向谁索要,并有信心,往往都需要一个未经授权的人到工厂或敏感数据获得访问权限,根据尼克森。
我们的目标是始终获得一个或多个员工的信赖。在智力游戏:如何社会工程师赢得您的信任布莱恩Bushwood,互联网视频系列诈骗的所在学校,介绍一些招数骗子使用以赢得信任,这可能取决于通信介质上:
- 通话中:
一个社会工程师可以打电话,假装自己是老乡雇员或受信任的权威机构外(如执法部门或审计师)。据萨尔Lifrieri,20年的纽约市警察局的老将谁现在教育社会工程策略公司通过所谓的保护行动的组织,罪犯试图使人感到舒服的熟悉程度。所以在另一端的人认为他们是知情人,他们可能会学到企业的行话。另一个成功的技术包括呼叫者留下等待在手机上录制时的“持有”的音乐公司用途。看到更多这样的招数社会工程:8点常见的策略。
- 在办公室:
“你能不能把门给我吗?我没有我的钥匙/门禁卡在我身上。”有多少次你听到你的建筑?虽然问的人似乎并不怀疑,这是社会工程师用了一个很常用的战术。
在尼克森用他的旧货店恤进入一个建筑物同样的运动,他曾在那里的员工经常去的断吸烟区附近的一个团队成员在外面等候。假设此人只是一个老乡办公室吸烟的伴侣,真正的员工让他在后门与不成问题。“A香烟是一个社会工程师的最好的朋友,”尼克森说。他还指出,其他地方的社会工程师可以得到容易在5个安全漏洞。
这种事情会发生在所有的时间,根据尼克森。该策略也被称为贴。很多人只是不问别人证明他们有权在那里。但是,即使在徽章或其他证明,不能漫游大厅的地方,造假很容易,他说。
“我通常使用一些高端摄影最多打印徽章真正的样子,我应该是在那个环境中,但他们往往不甚至可以检查。我甚至已经穿一个徽章,上面说的对就可以了“踢我出去”,我还是不问“。
- 在线:
社交网站都开辟了社会工程诈骗了一个全新的大门,据克鲁利,高级技术顾问与基于英国安全公司Sophos。其中一个最新的涉及刑事冒充Facebook的“朋友”。但是,谁也不能肯定他们正在谈论到Facebook上的人居然是真实的人,他指出。犯罪分子盗取密码,黑客账户和冒充朋友为了经济利益。
一种流行的战术使用最近参与诈骗者侵入Facebook账户,在Facebook上发送消息自称是停留在一个外国城市,他们说他们需要钱。
“的要求往往是他们抢在旅途中与人问的Facebook好友到电线的钱,所以一切都可以是固定的,” Cluley说。
“如果一个人选择了错误的密码,或者已经通过它的恶意软件窃取,很容易让一个反面穿可信任的那个披风,”他说。“一旦你有机会获得一个人的账户,你可以看到谁是他们的配偶,他们去度假的最后一次。这是很容易假装是你是不是。”
看到9个搞鬼:社会工程师最喜爱的接送线路更多的例子。
为什么人们会爱上社交工程技巧?
人们通过这些利弊每天上当,因为他们没有得到充分的警告社会工程师。作为CSO博客汤姆Olzak指出,人类行为总是在任何安全程序中最薄弱的环节。谁又能责怪他们呢?如果没有适当的教育,因为他们往往是非常复杂的,大多数人不会承认一个社会工程师的技巧。
社会工程师使用了许多在不知情的受害者的心理战术。作为Bushwood在智力游戏概述,成功的社会工程师有信心,并在通话的控制。他们只是像他们在设施属于,即使他们不应该的,放心他们的信心和身体姿态放人。
“跑演唱会的安全往往人们甚至没有在寻找徽章,”草丛说。“他们正在寻找的姿势,他们就总能知道谁是球迷试图潜回,赶上明星的风采,谁是工作的事件,因为看起来他们属于那里。”
社会工程师还将利用幽默和赞美在交谈。他们甚至可能给一些小礼物,一个把关的员工,就像一个接待员,为了讨好未来。这些往往是获得一个人的信任成功的方法,说Bushwood,因为“喜欢”和“感觉需要往复运动”都是固定的行动模式,在正常情况下人类自然雇用。
在网上,许多社会工程学的诈骗正在利用人类的恐惧和好奇的优势。那问“链接你有没有看到你这部影片吗?”是无法抗拒的,如果你不知道它只是一个社会工程师寻找陷阱你去点击一个坏链接。
成功的网络钓鱼攻击经常警告说,“您的银行帐户已被破坏!点击此处登录并验证您的帐户。”或者“你还没有为你付出了最近在eBay上赢得该项目。请点击此处买单”。这个策略发挥到一个人的关于eBay的得分造成负面影响的担忧。
“由于人们花费数年建造易趣信用评价分数或‘声誉’,人们迅速作出反应这种类型的电子邮件。但是,当然,它导致了一个钓鱼网站,”希拉鲁比诺夫,绿色装甲解决方案,安全软件公司的创始人说:哈肯萨克,新泽西州。“很多人在使用eBay和用户经常出价前几天购买就完成了。所以,一个人认为他或她已经忘记了他们一个星期前,有一个出价,这不是没有道理的。”
最近的网络钓鱼诱饵甚至采取经济不景气的优势,鲁比诺夫说。它一直没有常见的假电子邮件,打开了那个自称是从人力资源,其说:“你是由于放手裁员。如果你想遣散注册请在这里注册“,并包括一个恶意链接。
没有人想是导致在这个经济问题的人,所以任何电子邮件似乎是来自雇主可能会引起响应,指出鲁比诺夫。拉雷斯尼克森也看到缺点是使用假冒雇主电子邮件。
“它可能会说,‘在努力削减成本,我们以电子今年发送W-2表’,”尼克森说。
我该如何教育我的员工,以防止社会工程?
意识是头号防御措施。员工应该意识到,社会工程存在,也知道最常用的战术。
对于一个有效的安全意识计划的内容,请参阅七个切合实际的想法对安全意识和现在听到这个!。
幸运的是,社会工程意识适合于讲故事。和故事比技术缺陷的解释更容易理解和更有趣。克里斯·尼克森的成功冒充技术员是一种有趣的方式获得整个消息的故事的一个例子。测验和引人注目的或幽默的海报也即将不假设每个人都始终是谁,他们说他们是有效提醒。
“在我的教育讲座,我告诉你总是需要稍微偏执和肛门的人,因为你永远不会真正知道一个人想出来的,你是什么,” Lifrieri说。员工“打头的接待员,在门口守卫谁在看一个停车场。这就是为什么培训有才能到工作人员。”靶向
社会工程技巧总是在不断变化,且意识培训必须保持新鲜和最新。例如,社交网站成长和发展,所以做的骗局社会工程师尝试使用那里;看到5 Facebook,微博诈骗,以避免和5更Facebook,微博诈骗,以避免。
这个故事,“社会工程:基础知识”最初发表CSO 。