ΚΟΙΝΩΝΙΚΗ ΜΗΧΑΝΙΚΗ (Social Engineering), Ένα θέμα υψίστης Ασφαλείας Νικόλας Κολαΐτης BSc, DSecM, DStratSecM, MA, CCO
LOOSE LIPS SINK SHIPS
Κατανοώντας το Social Engineering
Κοινωνική Μηχανική Social Engineering «Social engineering is using manipulation, influence and deception to get a person, a trusted insider within an organization, to comply with a request, and the request is usually to release information or to perform some sort of action item that benefits that attacker»
Η τεχνική του Social Engineering πιθανόν να κατάγεται από τον καιρό που άρχισε να χρησιμοποιείται ο Λόγος ως ο βασικός τρόπος επικοινωνίας.
From: EarthLink <billing@earthlink.net> To: <thecustomer@earthlink.net> Date: 7/6/2003 11:50:02 AM Subject: Billing Department Dear EarthLink User, We regret to inform you, but due to a recent system flush, the billing/personal information for your account is temporally unavailable, and we need to verify your identity. In order to continue using your EarthLink account and keeping it active, you must provide us with your full information within 24 hours of receiving this message. To re-enter your account information and keep your account active visit: www.billingdepartment-el.net Sincerely, Sean Wright EarthLink Billing Department
Εντοπισμός Στα συγκεκριμένα email παρουσιάζεται η περίσταση σαν επείγουσα. Ισχυρίζεται χαμένα στοιχεία. Άγνωστο URL. Ζητά προσωπικά στοιχεία (τραπεζική κάρτα), κάποιες φορές άσχετα με το θέμα της αίτησης. Δεν υπάρχει διαδικασία για Log in. Οι περισσότερες εταιρείες δεν θα ακολουθήσουν μια τέτοια διαδικασία.
Τύποι «Κοινωνικής Μηχανικής» Μαζική Απάτη που έχει σκοπό μεγάλες ομάδες ανθρώπων Στοχευόμενη Απάτη σε άτομα και επιχειρήσεις
Στόχος Βασικός στόχος του Social Engineering είναι η Πληροφορία. Μέσω της Πληροφορίας ένας επίδοξος δράστης προσπαθεί να αποκτήσει πρόσβαση σε διάφορα συστήματα ή γενικότερες πληροφορίες με τις οποίες θα διαπράξει απάτη, επιχειρηματική κατασκοπεία και κλοπή, κλοπή προσωπικών πληροφοριών (identity theft) αλλά και σημαντικών επιχειρηματικών εγγράφων, παρακώληση ή καταστροφή του δικτύου και πολλά άλλα. Αδεξιότητα Την δίοδο στην εύκολη πληροφόρηση Εφησυχασμός Άγνοια Απροθυμία για πρόληψη του Social Engineering Ανεπάρκεια Ενδιαφέροντος Τάση για Βοήθεια Φόβο για την εξουσία Ο Ανθρώπινος Παράγοντας
Μέθοδος
Γιατί το Social Engineering Δουλεύει;
Ο Ανθρώπινος Παράγοντας All warfare is based on deception Sun Tzu Αρχή της Αμοιβαιότητας Αρχή της Εξουσίας Αρχή της Αξίας Αρχή της Συνέπειας και της Δέσμευσης
Τύποι Απάτης μέσω «Κοινωνικής Μηχανικής» Απάτη μέσω τηλεφωνικής Επικοινωνίας Απάτη μέσω Ηλεκτρονικού Ταχυδρομείου Pretexting και Phishing Απάτη Διοίκησης Hacking Ηλεκτρονικού Υπολογιστή (Χρειάζεται η φυσική του παρουσία) Απάτη «Κέρδους»
Τεχνικές Το θύμα στις πλείστες των περιπτώσεων βρίσκεται σε ένα Comfort Zone, στον εργασιακό του χώρο, στο σπίτι του ή σ ένα εστιατόριο. Το περιβάλλον είναι οικείο οπότε είναι και πιο εφησυχασμένο ότι δεν θα υπάρξει κάποιο πρόβλημα. Στις διάφορες Τεχνικές ο Social Engineer χειραγωγεί και ξεγελά το θύμα κάνοντας τηλεφωνικώς ή αυτοπροσώπως άτομο από: Tech Support Συνάδελφο Εργοδότη Μάνατζερ CEO Πελάτη της συγκεκριμένης επιχείρησης Maintenance Staff
Dumpster Diving/ Trashing Περιλαμβάνει μεγάλη ποσότητα Πληροφοριών στα σκουπίδια. Τα περισσότερα δεν φαίνεται να είναι απειλή. Στα έγγραφα αυτά πολλές φορές βρίσκονται τα στοιχεία του πελατολογίου ενός οργανισμού, λογιστικά, και γενικότερα το Ποίος, Τι και Που μια επιχείρησης. Πληροφορίες για τα εσωτερικά συστήματα μιας επιχείρησης Κάθε λογής πληροφορία που σε μας φαντάζει άχρηστη.
Pretexting
Pretexting Το Pretexting χρησιμοποιείται ώστε αναπαραστήσει συναδέλφους, αστυνομία, τράπεζα, δημόσιες υπηρεσίες ξεγελώντας το θύμα μέσω της εξουσίας των προαναφερθέντων αρχών. Πλέον με την βοήθεια της τεχνολογίας έχει καθιερωθεί το τηλέφωνο να πραγματοποιείται μέσω προγράμματα IP και όχι τηλέφωνο για να είναι πιο δύσκολο να εντοπιστεί. Σωστός τόνος + Κατάλληλο φύλο + Προετοιμασία = Pretexting
Phishing Στην συγκεκριμένη τεχνική χρησιμοποιείται το email παρά το τηλέφωνο. Ο δράστης παρουσιάζεται να είναι μέσω μιας νόμιμης εταιρείας με την οποία συνεργάζεται το θύμα. Παρουσιάζεται σαν επείγον. Παραπέμπεται το θύμα σε εικονικό link το οποίο έχει δημιουργηθεί από τον phisher ώστε να φαίνεται ότι είναι το νόμιμο site (με λογότυπα, τρόπους επικοινωνίας κλπ.).
Trojan Horse Χρησιμοποιεί την περιέργεια ή απληστία του θύματος. Παρουσιάζεται σαν ένα πρόγραμμα δωρεάν το οποίο είναι με direct link σε μια ιστοσελίδα ή είναι επισυναπτόμενος φάκελος. Όπως: Email Screen Saver Anti-virus Εταιρικό gossip Εταιρικές Πληροφορίες Με το άνοιγμα του επισυναπτόμενο φακέλου ο ιός εξαπλώνεται απορροφώντας όλα τα στοιχεία, ή μολύνοντας το σύστημα του οργανισμού.
Shoulder Surfing
Quid Pro Quo Ο Social Engineer τηλεφωνεί σε τυχαία νούμερα εταιρειών επικαλούμενος ότι είναι ο υπεύθυνος του τμήματος IT για τεχνική υποστήριξη και ότι καλεί πίσω. Μετά από επανειλημμένες προσπάθειες θα βρει κάποιο άτομο που θα αντιμετωπίζει κάποιο πρόβλημα. Όντας το θύμα ευγνώμων που κάποιος θα τον «βοηθήσει» ο δράστης τον καθοδηγεί με τέτοιο τρόπο ώστε να του δώσει πλήρη πρόσβαση στο υπολογιστή του και κατόπιν σε ολόκληρο το σύστημα του οργανισμού.
Στατιστική Μελέτη από ISACA και RSA (2015)
Πρόληψη: Η Υπέρτατη Άμυνα ΕΚΠΑΙΔΕΥΣΗ ΕΝΗΜΕΡΩΣΗ ΠΡΑΚΤΙΚΗ PENETRATION TESTS ΠΟΛΙΤΙΚΕΣ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ
Πρόληψη: Η Υπέρτατη Άμυνα Δεν μοιραζόμαστε ποτέ Κωδικούς Πρόσβασης. Χρησιμοποιούμε διαφορετικούς κωδικούς για προσωπικά και επαγγελματικά θέματα. Δεν συζητούμε εμπιστευτικά θέματα σε δημόσιους χώρους και δεν αφήνουμε εμπιστευτικές πληροφορίες που αφορούν τον οργανισμό στον οποίο δουλεύουμε να διαρρεύσουν. Σε περίπτωση που βρούμε παρατημένα CD, Usb κλπ. δεν τα χρησιμοποιούμε. Είμαστε σε ετοιμότητα να αναγνωρίζουμε κάποιον που παρακολουθεί (shoulder surfer). Είμαστε σε ετοιμότητα να αναγνωρίσουμε κάποιο email που μπορεί να μας βλάψει (phishing, Trojan Horse). Αναγνωρίζουμε «συμπεριφορές». Οργάνωση σωστής φυσικής Ασφάλειας στον οργανισμό.
Social engineering has become about 75% of an average hacker's toolkit, and for the most successful hackers, it reaches 90% or more (John McAfee)
Ευχαριστώ για την προσοχή σας Νικόλας Κολαΐτης BSc, DSecM, MA, DStraSecM, CCO