Sie leben definitiv in einem Gefühl falscher Sicherheit! Social Engineering ist bis heute weit verbreitet, und ich bezweifle, dass sich dies in Jahrzehnten, wenn überhaupt, ändern wird.

Hier einige kurze Erklärungen, warum Social Engineering funktioniert. Es ist schwierig, alles abzudecken, da Social Engineering ein wirklich weites Feld ist.

Einige Gründe, warum Social Engineering funktioniert (aus dem unten zitierten Buch):

• Die meisten Menschen haben der Wunsch höflich zu sein, besonders gegenüber Fremden
• Fachleute möchten gut informiert und intelligent erscheinen
• Wenn Sie gelobt werden, werden Sie oft mehr reden und mehr preisgeben
• Die meisten Menschen würden nicht lügen, um zu lügen.
• Die meisten Menschen reagieren freundlich auf Menschen, die besorgt über sie zu sein scheinen.

Hilfsbereit sein

Normalerweise möchten Menschen einander helfen. Wir machen gerne nette Dinge!

• Ich renne mit meinen in Kaffee getränkten Papieren in die Rezeption einer großen Unternehmenszentrale. Ich spreche mit der Rezeptionistin und erkläre, dass ich in 5 Minuten ein Vorstellungsgespräch habe, aber ich habe nur Kaffee über alle meine Papiere verschüttet. Ich frage dann, ob die Rezeptionistin so süß sein könnte und drucke sie mit diesem USB-Speicherstick, den ich habe, erneut für mich aus.

  Dies kann zu einer tatsächlichen Infektion des PCs der Empfangsdame führen und mir helfen, im Netzwerk Fuß zu fassen.

Verwenden von Angst stark>

Die Angst, zu scheitern oder nicht wie befohlen zu handeln:

• Die Facebook-Seite des Direktors des Unternehmens (John Smith) (oder eine andere Informationsquelle) zeigt, dass er gerade drei Wochen lang auf einer Kreuzfahrt war. Ich rufe die Sekretärin an und sage mit befehlender Stimme: "Hallo, es ist Chris, der anruft. Ich habe gerade mit John Smith telefoniert, er hat eine sehr gute Zeit auf seiner Kreuzfahrt mit seiner Frau Carla und seinen Kindern. Wir sind jedoch in der Während er ein sehr wichtiges Geschäftssystem integriert hat, sagte er mir, ich solle Sie anrufen, damit Sie uns helfen können. Er konnte sich nicht selbst anrufen, weil sie eine Safari machen, aber das ist wirklich dringend. Alles, was Sie tun müssen, ist zu nehmen den USB-Stick, der in der Mail an ihn adressiert ist, stecken Sie ihn ein, starten Sie den Computer und wir sind alle fertig. Das Projekt überlebt!

  Vielen Dank! Sie waren eine große Hilfe! Ich bin es John Smith wird Sie sicher für diesen Akt der Hilfsbereitschaft erkennen. "

Auf Gegenbewegung spielen

• Die Heckklappe. Ich halte die Eingangstür für dich und gehe schnell hinter dich. Wenn Sie die nächste Tür öffnen, die sicherheitsaktiviert ist, gehe ich in die gleiche Richtung, und die meisten Leute werden versuchen, die hilfreiche Aktion zurückzuzahlen, indem sie die Tür erneut für Sie halten, sodass Sie an einen Ort gelangen, an dem Sie nicht sein sollten. Sie haben Angst, erwischt zu werden? Nein. Sie sagen nur, dass es Ihnen leid tut und dass Sie den falschen Weg eingeschlagen haben.

  Das Ziel würde sich fast verpflichtet fühlen, die Tür für Sie zu halten!

Die Neugier ausnutzen

• Versuchen Sie, 10 USB-Sticks an verschiedenen Stellen in Ihrem Unternehmen abzulegen. Sie müssen sie nicht an zu offensichtlichen Stellen platzieren. Der USB sollte über ein automatisch laufendes Telefon-Home-Programm verfügen, damit Sie sehen können, wann jemand den USB-Stick anschließt, und sollte theoretisch ausgenutzt werden.

  Eine andere Version davon besteht darin, USB-Sticks mit einem einzelnen PDF-Dokument abzulegen, das z. "John Smith - Norway.pdf". Das PDf-Dokument enthält einen Adobe Acrobat Reader-Exploit (es gibt Unmengen davon). Sobald der Benutzer auf das Dokument klickt, gehört er ihm. Natürlich haben Sie sichergestellt, dass der Exploit auf die spezifische Version von Adobe der Zielorganisation zugeschnitten ist. Für die meisten Menschen ist es selbstverständlich, das Dokument zu öffnen, damit sie versuchen können, den USB-Stick an seinen Besitzer zurückzugeben.

• Ein weiteres Beispiel für Neugier (vielleicht erklärt ein anderer Begriff dies besser) sind all diese SPAM-Mails oder schlechten Internet-Anzeigen, bei denen Sie etwas gewonnen haben oder ein nigerianischer Prinz Ihnen eine ganze Menge Geld anbietet, wenn Sie kann ihm helfen. Ich bin mir sicher, dass Sie mit diesen bereits vertraut sind, aber es handelt sich auch um Social-Engineering-Angriffe, und der Grund, warum sie nicht aufgehört haben, ist, dass sie immer noch funktionieren!

Das sind nur einige Beispiele. Natürlich gibt es noch jede Menge mehr!

Wir können uns auch historische Social-Engineering-Ereignisse ansehen:

HBGary

Ganze Geschichte kann hier gelesen werden (Seite 3 enthält den Social-Engineering-Teil)

• Letztes Jahr wurde HBGary gehackt. Dieser Angriff umfasste viele verschiedene Schritte, aber auch einen Social-Engineering-Aspekt. Kurz gesagt, der Hacker hat das E-Mail-Konto eines VIP im Unternehmen kompromittiert und eine E-Mail an einen Administrator des Zielsystems gesendet, in der er etwa Folgendes sagte: "Hallo John, ich bin derzeit in Europa und hüpfe zwischen Flughäfen. Can Sie öffnen SSH an einem hoch nummerierten Port für mich, der von einer beliebigen IP-Adresse kommt? Ich muss einige Arbeiten erledigen. " Wenn der Administrator diese E-Mail erhält, ist es für ihn selbstverständlich, diese einzuhalten, da die E-Mail von einer vertrauenswürdigen Quelle stammt.

  Aber das ist es nicht! Der Angreifer hatte das Passwort für das Konto, aber die Anmeldung funktionierte nicht! Also schickt er eine E-Mail an den Administrator zurück. "Hey, es scheint nicht zu funktionieren. Das Passwort ist immer noch richtig? Wie war der Benutzername nochmal?". Jetzt hat er auch das eigentliche Passwort für das System angegeben (der Angreifer hatte es aus dem früheren Kompromiss eines anderen Systems im selben Hack), was dem Angreifer viel mehr Vertrauen vom Administrator gibt. Natürlich stimmt der Administrator zu und teilt dem Angreifer seinen Benutzernamen mit.

Die Liste oben stammt aus dem Buch " Social Engineering: Die Kunst des menschlichen Hackens" und ich kann es sehr empfehlen!

Ja, jedes System ist genauso schwach wie das schwächste Mitglied , und das ist der Mensch , und das wird es immer sein.

Sie sind möglicherweise 'immun' für einige dieser offensichtlichsten Techniken, aber gilt dies auch für die gestresste Sekretärin, die einen Anruf von der 'IT erhält Abteilung ' um schnell einige wichtige Informationen auf dem Computer ihres Chefs nachzuschlagen, die nicht bis nach dem kommenden Wochenende warten können, oh und dieses seltsame Fenster, das möglicherweise auftaucht und eine unwichtige Frage stellt, klickt sie einfach auf Akzeptieren . Natürlich wird sie es tun ... jeder wird es in der falschen Situation tun ...

Beim Social Engineering (SE) geht es nicht nur darum, Informationen des Angreifers auszunutzen, sondern auch darum, (menschliches) Verhaltensmuster auszunutzen.

Um dies zu erklären, machen wir eine kleine Übung - sagen Sie das laut aus Farbe, nicht das Wort.

Können Sie hier den "Exploit" sehen? Die Verwendung dieses "Exploits" in der realen Lebenssituation ist sehr fragwürdig, aber es zeigt uns sehr deutlich, wie unser Gehirn manipuliert werden kann, selbst wenn wir die gültigen Informationen haben (wir alle haben Farben gelernt, als wir Babys waren).

Das Beispiel aus dem wirklichen Leben könnte ungefähr so ​​aussehen - nehmen wir an, Sie möchten, dass die Sekretärin Ihren USB-Stick in ihre Maschine steckt. Zu ihr zu gehen und sie höflich zu bitten, könnte abgelehnt werden, insbesondere wenn es Richtlinien gibt, die dies verbieten. Aber du könntest dich anziehen, Kaffee auf dein Hemd / deine Hose und auf deine Papiere verschütten und dann zu ihr kommen, diese Papiere halten und sagen: "Ich bin so spät zum Treffen und während ich hierher fuhr, rannte die Katze hinein Vor meinem Auto und ich fingen an, richtig hart zu brechen. Die Katze hat überlebt, aber meine Papiere nicht. Ich weiß, dass dies eine seltsame Bitte ist, aber bitte, könnten Sie sie für mich ausdrucken? Ich bin wirklich spät dran und Ihr Chef könnte es sein wirklich wütend auf mich! "

Dies nennt man Vorwand und im Grunde ist es eine Rolle, die SEr spielt. Was machen wir unter diesem Vorwand? Wir nutzen Emotionen aus. Wenn dies gut gespielt wird und Ihre Mikroausdrücke echt sind, wird sie höchstwahrscheinlich tun, was Sie wollen. Warum? Weil wir Menschen so codiert sind. Ja, sie weiß möglicherweise, dass das Einstecken eines unbekannten Geräts in ihren PC schädlich sein kann. Ja, sie könnte darüber aufgeklärt sein, aber seien wir mal ernst, Sie haben versucht, die Katze nicht zu schlagen, Sie haben Ihren Kaffee nicht getrunken, Sie haben Ihren Anzug ruiniert, Sie treffen sich zu spät, der Chef wird wütend auf Sie sein, und Jetzt fordert eine Politik sie auf, unhöflich zu Ihnen zu sein. Komm schon... Das Wichtigste dabei ist jedoch, sie in die richtige Stimmung zu bringen - um Mitleid mit Ihnen zu haben. Dazu müssen Ihre Mikroausdrücke von ihr als wahr (echt) interpretiert werden. Wenn Sie Ihre Karten richtig gespielt haben, haben Sie die gleichen Effekte wie bei Farben. Sie weiß, dass sie es nicht tun sollte (Farbe der Wörter), aber Emotionen sagen ihr etwas anderes (Bedeutung der Wörter).

Ein weiterer Trick, den SEr auf das Ziel anwenden kann, ist Pawlows Hundeexperiment. Was hat der sabbernde Hund mit ITSec zu tun? Angenommen, ich möchte etwas über die physische Sicherheit an Ihrem Arbeitsplatz wissen. Sie wissen, dass Sie diese Informationen nicht mit mir teilen sollten. Ich weiß auch, dass man nach der Arbeit immer in die lokale Kneipe kommt, um etwas zu trinken. Eines Tages stelle ich mich vor und wir beginnen mit Smalltalk. Zuerst ging es nur um dein cooles Auto. Dann haben wir angefangen, über Frauen in der Bar zu sprechen, dann über unsere Exen, über die Ferien im letzten Jahr und so weiter ... Alles in allem etwas, worüber man nicht ungewöhnlich spricht, aber es ist aus dem Privatleben. Als wir uns trafen, haben Sie bemerkt, dass ich jedes Mal, wenn ich eine Frage stelle, mit der Zigarette auf den Tisch gehe. Zuerst mag es sogar eine nervige Angewohnheit sein, aber dann hast du es einfach ignoriert. Nach einigen Tagen / Wochen, in denen Sie sich in meiner Umgebung wohl fühlten, begann ich nach Ihrer Arbeit und Ihrem Arbeitsumfeld zu fragen. Und Stück für Stück haben Sie mir gesagt, was ich über physische Sicherheit in Ihrem Unternehmen wissen wollte.

Also, was habe ich hier gemacht? Indem ich beiläufig mit Ihnen sprach, trainierte ich Ihr Gehirn, mir jedes Mal Antworten zu geben, wenn ich mit einer Zigarette auf den Tisch schlug. Dies ist zwar keine Gehirnwäsche, und wenn Sie dies nur tun, würden Sie mir nicht Ihre dunkelsten Geheimnisse verraten, stellen Sie sich dies als - Schälen einer Schicht Zwiebel vor. Die zweite Schicht war das Vertrauen, das ich mit der Zeit gewonnen habe, die ich mit Ihnen in der Bar verbracht habe. Und so weiter und so fort ... Ich habe dich manipuliert und dieser einfache Trick hat mir geholfen, keine roten Fahnen zu hissen, als ich dir sensible Fragen stellte. Auch hier ging es nicht um Informationen, die Sie haben (sagen Sie das nicht Fremden), sondern um Ihr Verhalten und Ihre Reaktion auf die Außenwelt.

Ich versuche hier zu sagen: Egal was Sie wissen, wenn Sie sich in der richtigen Situation befinden, werden Sie das tun, was von Ihnen verlangt wird. Warum? Weil es in unserer Genetik liegt.

Um nur ein oder zwei Beispiele außerhalb des IT-Sektors zu nennen, wie Informationen / Wissen, über die das Ziel verfügt, bedeutungslos sein können, wenn es von Geschickten angegriffen wird SEr. Vor Gericht sind Beweise reine kalte Tatsachen, doch ein guter Anwalt kann diese Tatsachen, egal in welcher schlechten Position sein Mandant ist, mit SE zu seinen Gunsten wenden.

Bevor Sie ein Auto kaufen, werden Sie es tun Informieren Sie sich, welches das Beste für Sie ist. Wenn Sie im Geschäft ankommen, um eines zu kaufen, kann der Verkäufer Sie davon überzeugen, dass Sie mit SE erneut ein teureres Auto kaufen sollten.

Überprüfen Sie auch dieses Video. Wie hat er das gemacht? Indem ich mich einfach normal verhalte. Nichts mehr.

Es ist eine der am häufigsten verwendeten Formen gezielter Angriffe, wenn das Ziel interne Informationen sind. In langjähriger Zusammenarbeit mit Social-Engineering-Angriffsteams hatten wir Zugriff auf Serverräume und Sicherheitsbereiche, erhielten vertrauliche Unterlagen und erhielten Konten sensible Systeme usw.

Menschen sind im Allgemeinen hilfreich und unwissend. Das klingt hart, aber im Großen und Ganzen werden die Leute versuchen, jemandem in Not zu helfen, besonders wenn diese Person nicht bedrohlich aussieht oder klingt. Und wenn Sie mit jemandem konfrontiert werden, der mehr über ein System oder eine Prozedur weiß, werden viele das tun, worum sie gebeten werden.

Ein relativ billiger Weg, um die Sicherheit in Ihrer Organisation zu verbessern - Sensibilisierungstraining jedes Jahr. In Bezug auf das Preis-Leistungs-Verhältnis kann dies effektiver sein als Ausgaben für IT-Sicherheit.

Social Engineering ist immer noch sehr oft das schwächste Glied. Die Menschen vertrauen im Allgemeinen und manchmal sind die Menschen, die Probleme mit dem technischen Support auf niedriger Ebene wie das Zurücksetzen von Passwörtern lösen, billige, schlecht ausgebildete Arbeitskräfte, die nicht besonders sicherheitsbewusst sind.

Darüber hinaus hat Informationssicherheit nicht unbedingt eine so hohe Priorität wie beispielsweise die Kundenzufriedenheit bei der Entwicklung der Systeme / Richtlinien, was zu Schwachstellen im Bereich Social Engineering führt.

Social Engineer = Vertrauens-Trixter. Betrüger haben es voll und ganz geschafft, gegen jede Methode zur Sicherung von (X) zu verstoßen, bei der X Daten, Waffen, Patenten, Geschäftsgeheimnissen, Passwörtern usw. entspricht.

Menschen zu betrügen ist so alt wie Zeit und Zeit ist flexibel, da die Köpfe der Menschen neue Technologien erlernen und andere Schwachstellen bei der Interaktion damit.

Dies sollte ein Witz sein (CVE-0 verwalten), aber das Beste Um Ihren Angriff ins Visier zu nehmen, müssen Sie Ihr Unternehmen kennen und einen weniger technisch versierten Vizepräsidenten des Unternehmens finden, der die Tür zu den Juwelen des Unternehmens öffnet.

Sehen Sie sich all den Phishing-Spam an, den Ihr Konto ausgesetzt hat. Sie würden es nicht senden, wenn es manchmal nicht funktionieren würde. Das ist ein Social-Engineering-Angriff.

Und seit ich meine ursprüngliche Antwort geschrieben habe, bin ich auf einen anderen Fall gestoßen: Eine gefälschte E-Mail des Chefs an einen Untergebenen, in der er angewiesen wird, eine 6-stellige Summe an a zu zahlen ein bestimmtes Bankkonto als Bezahlung für ein Gemälde, das sie gekauft haben. Wer auch immer diesen Speerfisch probierte, kannte sein Ziel nicht gut genug, ein solcher Kauf wäre für ihn völlig untypisch gewesen.