Wenn ich gebeten wurde, einige Präsentationen zum Thema Sicherheitsbewusstsein einzurichten, habe ich immer etwas verwendet, das der Benutzerbasis vertraut ist, um Schwachstellen aufzuzeigen, die ausgenutzt werden können.

Nehmen wir eine einfache Organisation , Acme. Acme hat etwa 200 Mitarbeiter, eine robuste IT-Infrastruktur, erstklassige Firewalls, sichere Anwendungen, ein intelligentes CISO usw. Die drahtlose Verbindung besteht aus WPA2 mit RADIUS Auth, das die AD-Anmeldeinformationen des Benutzers verwendet. Sie verwenden auch häufig Outlook-Webanwendungen (OWA).

Wenn dies eine Organisation wäre, für die ich einen Angriff demonstrierte, würde ich zuerst eine Phishing-Site einrichten, die genau wie die OWA-Installation aussieht. Es ist lächerlich einfach, mit etwas zu tun, das so zugänglich ist wie wget, oder Sie können das Social Engineering Toolkit von Trusted Sec verwenden, um es einzurichten. Ändern Sie anschließend das Anmeldeformular so, dass der eingegebene Benutzername und das eingegebene Kennwort in Ihre eigene Datenbank / Ihren eigenen Dateispeicher gelangen. Sie können auch erneut den Harvester für Anmeldeinformationen von SET verwenden. Optional : Kaufen Sie eine Domain wie acme-corpwebmail.com oder ähnliches.

Senden Sie als Nächstes eine Beispiel-E-Mail an sich selbst. Es kann etwas in der Art sein, wie es ein IT-Upgrade gibt und die Leute ihre Konten validieren müssen - konzentrieren Sie sich darauf, dass die E-Mails glaubwürdig sind, mit gutem Englisch, etwas, dem man sogar vertrauen kann. Melden Sie sich mit den Anmeldeinformationen an und zeigen Sie, dass sie erfasst werden.

Verwenden Sie dieselben Anmeldeinformationen, um sich beim Unternehmensnetzwerk anzumelden (da es sich schließlich um AD-Anmeldeinformationen handelt). Jetzt hat ein Angreifer Zugriff auf alles, worauf ein ACME-Mitarbeiter Zugriff hat, und er hat noch nicht einmal eine Anwendung beschädigt oder das Gebäude betreten. Er kann die ganze Zeit vor dem Parkplatz sitzen.

Möchten Sie den zusätzlichen Effekt? Mach das Ganze zu einem wirklich coolen Video. Es ist nicht schwer zu tun, auch wenn es etwas länger dauert.

Wenn Sie zeigen, wie ein Angreifer eindringen kann, konzentrieren Sie sich darauf, was die Mitarbeiter tun müssen, um sich selbst zu schützen. Stellen Sie also sicher, dass die E-Mail von dem stammt, von dem sie behauptet, sie zu sein. Fragen Sie im Zweifelsfall die Person, ob sie eine E-Mail gesendet hat. Es ist in Ordnung, die Zeit der Person zu verschwenden, wenn dies bedeutet, sicher zu sein. Wenn der Link außerhalb der Organisation liegt, fragen Sie die Person / das Sicherheitsteam, bevor Sie darauf klicken. Wenn es extern ist und nach Anmeldeinformationen fragt, nehmen Sie an, dass es böswillig ist, sofern nicht anders angegeben.

Aus persönlicher Erfahrung kann ich Ihnen sagen, dass dies sehr effektiv war - es beeindruckt die Menschen, auch wenn es Paranoia erzeugt in einigen - und ein gewisses Maß an Paranoia ist immer gut. :)

Wenn Sie es auf die nächste Stufe bringen möchten, empfehle ich wirklich, sich über das Angebot von SET zu informieren. Dave Kennedy und alle anderen, die daran gearbeitet haben, haben einen absolut erstaunlichen Job mit dem Tool gemacht und es bietet alle Tools, die erforderlich sind, um Menschen über Social Engineering zu unterrichten.

Ich würde sagen, der beste Weg, andere über Social-Engineering-Angriffe aufzuklären, besteht darin, es ihnen zu demonstrieren. Das theoretische Erklären der Konzepte ist gut und schön, aber die meisten Leute werden die Lektion erst dann wirklich aufnehmen, wenn sie tatsächlich die Auswirkungen erfahren, die sie auf sie haben könnten.

Es gibt diese lustige Szene im Film Jetzt siehst du mich, wo mehrere Zauberer ihren Chef dazu gebracht haben, die Antworten auf die geheimen Fragen seines Bankkontos durch ein normales Gespräch zu enthüllen, und ihm 140 Millionen Dollar gestohlen haben.

Während Sie höchstwahrscheinlich nicht Sie haben keine Freunde mit einem Nettowert von 140 Millionen US-Dollar oder mehr (wenn dies nicht stimmt, haben Sie Glück!), zeigt dies, wie die harmlosesten Gespräche mehr Informationen über Sie enthüllen können, als Sie gerne hätten.

Probieren Sie also einige Social-Engineering-Tricks für Ihre Freunde aus. Setzen Sie sich und melden Sie sich in ihren Konten vor ihnen an und erklären Sie, wie Sie es getan haben. Sie können nicht vorher wirklich um Erlaubnis bitten (oder es wird nicht mehr wirksam sein), stellen Sie also sicher, dass sie wirklich gute Freunde sind. : P

Social Engineering dreht sich um Psychologie. Es versucht, das menschliche Verhalten zu beeinflussen, um ein Ziel zu erreichen, und leider funktioniert es oft recht gut. Meiner Meinung nach ist der beste Weg, Menschen zu erziehen, das Beispiel. Ein interessantes Video ist die Social Engineering LIVE -Demonstration von Defcon.

Meistens muss ein Social Engineer die Initiative ergreifen, indem er entweder eine E-Mail sendet oder ein Telefon erstellt Anruf oder sogar Senden eines Faxes (wie zuerst im Rapid 7 DNS-Hijack angenommen). Hier sind einige Fragen, die Sie sich stellen sollten:

• Wer kontaktiert mich hier? (Denken Sie daran, dass die meisten Kontaktdaten im Internet zu finden sind!)
• Warum kontaktiert er mich?
• Ist die Art und Weise, wie er mich kontaktiert, für dieses Unternehmen normal?
• Sind die Informationen, die er anfordert, sensibel?
• Gibt es eine Möglichkeit zu überprüfen, ob es sich tatsächlich um diese Person handelt?

Ein guter Ansatz besteht darin, zwei separate Kommunikationskanäle zu verwenden, die im Voraus eingerichtet wurden. Wenn Sie beispielsweise einen Anruf von einer bestimmten Person erhalten, die Sie auffordert, eine Aktion auszuführen, legen Sie den Hörer auf und rufen Sie diese Person mit Anmeldeinformationen von einer vertrauenswürdigen Quelle zurück. Wenn beispielsweise jemand vom Helpdesk anruft, überprüfen Sie die Nebenstellennummer und den Namen. Schauen Sie dann im internen Telefonbuch Ihres Unternehmens nach, ob es dasselbe ist. Vielleicht möchten Sie sie selbst zurückrufen und prüfen, ob es sich immer noch um dieselbe Person handelt. Verwenden Sie NIEMALS Telefonnummern, die von der Person selbst bereitgestellt wurden (für dieses Beispiel jedenfalls).

Ein Beispiel hierfür ist der jüngste Microsoft-Support-Betrug, bei dem Angreifer vorgaben, Microsoft-Techniker zu sein. Die Opfer wurden angewiesen, cmd zu öffnen und einen Befehl auszuführen, und dann sagten die Angreifer: "Hey, ich bin Microsoft, weil ich das kann." Anschließend forderten sie die Opfer auf, ihr Antivirenprogramm und andere Sicherheitsmechanismen abzuschalten. In Fällen, in denen die Opfer misstrauisch wurden, übten die Angreifer auf andere Weise Druck aus.

Im Fall eines Unternehmens muss insbesondere dann, wenn Verfahren zur Authentifizierung und Verifizierung vorhanden sind, sichergestellt werden, dass es keine Lücken gibt, in denen das Protokoll umgangen werden kann. Ich habe kürzlich die Geschichte einer Person gehört, die versucht, ihr Kreditkartenlimit zu erhöhen (häufig von Betrügern verwendet, um ihre Ausgabefähigkeit nach dem Diebstahl einer Kreditkarte zu erhöhen). Die Person erhielt seine Erhöhung nicht, weil sie nicht authentifiziert werden konnte. Was gut ist! Aber dann rief er den Kundensupport an, wurde richtig wütend und drohte, die Bank zu wechseln. Der Kundensupport reagierte mit einer Erhöhung seines Kreditlimits, ohne zu versuchen, ihn zu authentifizieren. Dies ist nur ein Beispiel dafür, wie Menschen für schändliche Zwecke unter Druck gesetzt werden.

Nicht-IT-orientierte Personen könnten dadurch ausgetrickst werden. Um sie zu schulen, geben sie ihnen einige Beispiele für Social-Engineering-Angriffe. Ein guter Ratschlag von David Schwartzberg:

Immer wenn eine nicht authentifizierte Person am Telefon vorschlägt, auf eine unbekannte Website zu surfen, ist es am besten, nichts zu tun. Wenn eine nicht verifizierte Person am Telefon nach persönlich identifizierbaren Informationen oder Finanzinformationen fragt, legen Sie am besten auf. Verabschieden Sie sich nicht einmal.

Wenn Sie mehr wissen möchten, besuchen Sie social-engineering.org

US-CERT enthält auch einige Richtlinien gegen Social Engineering:

• Seien Sie misstrauisch gegenüber unerwünschten Telefonanrufen, Besuchen oder E-Mail-Nachrichten von Personen, die nach Mitarbeitern oder anderen internen Informationen fragen. Wenn eine unbekannte Person behauptet, von einer legitimen Organisation zu stammen, versuchen Sie, ihre Identität direkt mit dem Unternehmen zu überprüfen.
• Geben Sie keine persönlichen Informationen oder Informationen über Ihre Organisation, einschließlich ihrer Struktur oder Netzwerke, an, es sei denn, Sie sind sich einer sicher Befugnis der Person, über die Informationen zu verfügen.
• Geben Sie keine persönlichen oder finanziellen Informationen in E-Mails an und auch nicht Antworten Sie auf E-Mail-Anfragen für diese Informationen. Dies schließt folgende Links ein, die per E-Mail gesendet wurden.
• Senden Sie keine vertraulichen Informationen über das Internet, bevor Sie die Sicherheit einer Website überprüft haben (weitere Informationen finden Sie unter Schutz Ihrer Privatsphäre).
• Achten Sie auf die URL von a Webseite. Schädliche Websites können für eine legitime Website identisch sein, die URL verwendet jedoch möglicherweise eine Variation Inspelling oder eine andere Domain (z. B. .com vs. .net).
• Wenn Sie sich nicht sicher sind, ob eine E-Mail-Anfrage legitim ist, Versuchen Sie es zu überprüfen, indem Sie sich direkt an das Unternehmen wenden. Verwenden Sie keine Kontaktinformationen auf einer Website, die mit der Anfrage verbunden ist. Überprüfen Sie stattdessen die vorherigen Anweisungen auf Kontaktinformationen. Informationen zu bekannten Phishing-Angriffen sind auch online in Gruppen wie der Anti-Phishing-Arbeitsgruppe ( http://www.antiphishing.org) verfügbar.
• Installieren und warten Sie Antivirensoftware , Firewalls und E-Mail-Filter, um einen Teil dieses Datenverkehrs zu reduzieren (weitere Informationen finden Sie unter Grundlegendes zu Firewalls, Grundlegendes zu Antivirensoftware und Reduzieren von Spam).
• Nutzen Sie alle Anti-Phishing-Funktionen Ihres E-Mail-Clients und des Webs Browser.

Was sollten Sie tun, wenn Sie ein Opfer sind?

• Wenn Sie der Meinung sind, dass Sie vertrauliche Informationen über Ihre Organisation preisgegeben haben, melden Sie diese an die entsprechenden Personen innerhalb der Organisation, einschließlich der Netzwerkadministratoren. Sie können auf verdächtige oder ungewöhnliche Aktivitäten aufmerksam sein.

• Wenn Sie glauben, dass Ihre Finanzkonten kompromittiert sind, wenden Sie sich sofort an Ihr Finanzinstitut und schließen Sie alle Konten, die möglicherweise kompromittiert wurden. Achten Sie auf unerklärliche Gebühren für Ihr Konto.

• Ändern Sie sofort alle Passwörter, die Sie möglicherweise preisgegeben haben. Wenn Sie dasselbe Kennwort für mehrere Ressourcen verwendet haben, müssen Sie es für jedes Konto ändern und dieses Kennwort in Zukunft nicht mehr verwenden.

• Achten Sie auf andere Anzeichen von Identitätsdiebstahl (siehe Verhindern und Reaktion auf Identitätsdiebstahl für weitere Informationen).

• Melden Sie den Angriff der Polizei und reichen Sie einen Bericht bei der Federal Trade Commission ein ( http: //www.ftc .gov /).

Bringen Sie Ihr Publikum in einem wachsenden Schritt dazu, sich gegenseitig zu sozialisieren. Lassen Sie SIE Wege finden, um Informationen voneinander zu extrahieren und zu teilen, welche Ideen sie hatten und was funktionierte. Je früher Sie den Prozess so nah wie möglich an Ihr Zuhause bringen, desto einfacher wird es für sie, ihn aktiv als Modell in ihrem täglichen Leben zu verwenden.

Eine Studie, die in den 1940er Jahren in den USA durchgeführt wurde wie man Hausfrauen dazu bringt, mehr Orgelfleisch in ihren Menüs zu verwenden, wenn qualitativ hochwertiges Fleisch nicht verfügbar war. Bildungsinitiativen scheiterten kläglich, sogar eins zu eins, bis ein Forscher auf die Idee kam, die Vorlesungen ganz abzubrechen. Anstatt überhaupt eine Ausbildung zu machen, versammelte er Hausfrauen, um sich Gedanken darüber zu machen, wie eine Bildungsinitiative entwickelt werden kann, um andere Hausfrauen dazu zu bringen, mehr Orgelfleisch zu verwenden. Diejenigen, die an den Brainstorming-Sitzungen teilnahmen, hatten nach den Sitzungen eine deutlich höhere Rate an konsequenter Verwendung von Organfleisch. Es ging natürlich nicht um die Dinge, die sich die Leute ausgedacht hatten, sondern darum, die Leute dazu zu bringen, ihre eigenen Gründe zu finden. Sobald der Spieß umgedreht war, wurde die Verhaltensänderung natürlich und langfristig inkorporiert.

Wie andere gesagt haben, Demos. Was Sie vielleicht nicht erkennen, ist, wie viel einfacher Social Engineering in einer Demosituation sein kann.

Ich habe in der Vergangenheit 'Demos' ohne wirkliche Vorbereitung eingerichtet und Dann versammelte sich einfach eine Gruppe um ein Terminal und sagte ihnen, wir würden zeigen, wie Leute Zugang zu ihrer E-Mail erhalten können. Ich sitze dann am Terminal, gehe zum Anmeldebildschirm und sage dann

Ok, also brauche ich einen Freiwilligen. Du. Niemand kennt Ihr Passwort, oder? Genial. Schreiben Sie es also einfach hier auf.

Und sie tun es. Ernsthaft. Da es sich um eine Demo handelt und wir zeigen werden, wie Sie dieses Passwort vor den anderen schützen können, vertrauen sie mir und geben mir das Passwort. Es ist einmal fehlgeschlagen, und diese Person hat eine Mars-Leiste erhalten, weil sie am Ball ist.

Filme sind gut für eine solche Ausbildung. Siehe diese Antwort im Zusammenhang mit E-Mail-Phishing (im Großen und Ganzen ist dies die gleiche Situation), in der ich einige davon empfehle. Freunde werden wahrscheinlich zustimmen, ein paar Filme anzusehen, und das ist schmerzloses Lernen.

In einem Geschäftskontext können Sie eine ähnliche Methode verwenden, bei der ein Sprecher Auszüge von einem zeigt der oben genannten Filme und erklärt, was sie unter dem Gesichtspunkt der "Informationssicherheit" bedeuten. Z.B. Schauen Sie sich dieses an, das ich vor einigen Monaten gesehen habe und das sowohl unterhaltsam als auch lehrreich war. Ein Schlüssel zur Pädagogik besteht darin, die Schüler davon zu überzeugen, dass sie tatsächlich keine Arbeit leisten (andernfalls hören sie nicht mehr richtig zu).

Leider nicht. Niemand schien dies zu erwähnen, und es ist irgendwie wichtig. In der heutigen Zeit, in der Kevin Mitnick nur eine Plakatfigur ist, funktionieren einige seiner Methoden immer noch. In der heutigen Zeit, in der beispielsweise Activion Blizzard im Wert von Millionen von Dollar immer noch damit durchkommt. Sicher, man kann argumentieren, dass das Schnappen eines Spielkontos harmlos ist, aber dennoch eine Sicherheitslücke.

Das Kernproblem ist, dass der Exploit in der menschlichen Natur liegt, daher gibt es keinen universellen "Patch" dafür. Sie können kein Buch schreiben, um den gesamten Planeten darüber zu unterrichten, wie man gegen solche Angriffe resistent ist. Sie können sich jedoch auf das jeweilige Unternehmen konzentrieren. Nur einer nach dem anderen. Nehmen wir das gleiche ACME, das oben erwähnt wurde. Was Sie tun möchten, ist:

• Angriffspunkte definieren
• Verteidigen Sie sie

Im wahrsten Sinne des Wortes so einfach. Nicht die Methoden, sondern die Ziele. Sie möchten herausfinden, was der mögliche Social Engineer tun wird, und einen Weg finden, ihn zu schützen. Entweder durch Einschränkung des Mitarbeiterzugriffs oder durch Durchsetzung einer einfachen Regel "Diese niemals offenlegen". Aber Sie müssen sehr, sehr eng sein, da es für Mitarbeiter möglicherweise schwierig ist, sich daran zu erinnern, ob sie einem Kunden teilweise, überhaupt nicht, niemals jemandem usw. etwas preisgeben sollen, wenn sie 30 Dinge beachten müssen. Gehen Sie also so genau wie möglich vor. Außerdem müssen Sie eine grundlegende Version des allgemeinen asozialen Ingenieurtrainings anbieten, z. B. "Hey, wissen Sie, wenn Sie mit jemandem sprechen, und er gibt Ihnen dieses warme Gefühl, obwohl er ein Fremder ist? Und Sie fühlen sich gezwungen, auszugehen." von Linie und ihnen helfen? Auflegen ". Solche Sachen. Das Einrichten der 2-Schritt-Authentifizierung ist in einigen Fällen ebenfalls hilfreich, jedoch auf andere Weise, wenn Sie zwei Personen benötigen, um auf vertrauliche Inhalte zuzugreifen. Auf diese Weise kann die andere Person es fangen, selbst wenn einer von ihnen von einem Ingenieur gerollt wird.

Leider ist das schon alles. Ich habe viel darüber geschrieben und Leute INNERHALB des Leitfadens entwickelt, "wie man nicht darauf hereinfällt", und sie sind immer noch darauf hereingefallen. Das Zeigen eines Dämons ist ein guter Weg, um zu demonstrieren, aber es bringt Ihnen nicht immer den gewünschten Effekt. Du bekommst ein "haha das ist cool" anstatt "verdammt, ich muss auf solche Sachen achten"! Wenn Sie also wirklich den Planeten loswerden möchten, starten Sie ein Beratungsunternehmen und gehen Sie von Job zu Job, wobei Sie Ihren Ansatz und Ihre Techniken ändern. Friede!