Как да се предпазите от социалното инженерство

Социалният инженеринг е това, което захранва фишинг имейли и злонамерени уебсайтове, които са облечени да изглеждат като безопасни, популярни уебсайтове. По време на дискусия с Крис Хаднаги, главен човешки хакер в Social-Engineer Inc., го попитах как да забележи тези измами. Съветите му озвучават онова, което често сме казвали на читателите: винаги бъдете подозрителни.

Повече от кон

От моята дискусия с Хаднаги става ясно, че някои от това, което наричаме социален инженеринг, са същите трикове, с които хората използват влияние върху решенията от години. Индустрията за бързо хранене, например, отлично проучи кои цветове ще насърчат хората да се хранят по-бързо. Фалшиви спиритуалисти от 19-ти век (който включва членове на моето семейство) и днес използват тактика, наречена „студено четене“, за да подмамят жертвите да разкрият информация за себе си.

Но има повече за социалното инженерство, отколкото за евтините трикове, както демонстрира конкурсът за социално инженерство „Заснемете знамето“, проведено в Def Con. Тук състезателите печелят точки за информация, която получават от проучващи компании и директно да се свързват с тези компании. Хаднаги каза, че най-добрите състезатели са направили най-много проучвания, което показва колко полезно е да знаете целите си.

За съжаление, сега е чудесно време да бъдете социален инженер, който прави изследвания или да събира информация с отворен код. Хаднаги обясни, че компаниите и физическите лица публикуват много информация в социалните медии, голяма част от която може да се използва при атаки на социален инженеринг. Преди това разгледахме как измамниците се опитват да използват информация, извлечена от Facebook, за да направят измамите им по-привлекателни - понякога със забавни резултати.

Насочване към емоцията

Една от най-добрите тактики на социалния инженеринг е да ви попречи да мислите критично, обикновено като се насочите към емоцията. Хаднаги каза, че една атака, която почти го е заблудила, твърди, че е имейл за доставка на Amazon. "Това беше нещо лично, нещо, което се отрази на живота ми и нещо, което беше важно за мен", каза той.

В тази конкретна атака Хаднаги получи имейл, в който казва, че една от важните му поръчки на Amazon е забавена поради отказан номер на кредитна карта. В дните, водещи до голяма конференция, Хаднаги каза, че е преуморен и натисна линка в имейла, вместо да посещава Amazon директно. Страницата, на която беше зает, беше добре изработена, но за щастие забеляза домейна „.ru“, преди да въведе каквато и да е лична информация.

Въпреки че беше проста, тази тактика беше много ефективна. "Аз съм човекът, който поради това, което правя, фишира над 190 000 души през последните няколко месеца", каза Хаднаги, като се позова на консултантската си работа. "Почти паднах за тази атака."

Друго предимство на привличането на емоцията е, че не изисква вида на изследването най-добрите социални инженери, наети. „Това, което ще видим, е да избираме неща, които са важни за масите“. Хаднаги обясни, че това включва UPS доставка, Amazon поръчки и PayPal преводи.

Масовото обжалване също работи добре за масово излъчване, друга често срещана тактика. "Те изпращат това на милиони хора наведнъж, така че не им пука дали ще получат 100 процента", каза Хаднаги. "10 процента са все още хиляди компрометирани акаунти."

Да останеш в безопасност

Много от тактиките, използвани за откриване на фишинг имейли, са валидни и за социалния инженеринг. Всичко, което звучи твърде добре, за да е истина - или твърде лошо, за да е истина - вероятно не е вярно. Тактики като задържане на курсора над връзки, за да видите пълния URL адрес, ръчно въвеждане на уеб адреси и избягване на връзки, които пристигат непрозрачно, са звукови тактики.

Но частта на състезанието „Заснемете знамето“ на живо подчертава друг аспект на социалното инженерство: институционалното доверие. Тази година много от участниците се представиха като колеги или продавачи, което даде на служителите в целевите компании незабавна причина да им се доверят. Понякога си струва да задавате въпроси, когато някой, който твърди, че е изпълнителен директор на вашата компания, ви се обажда лично.

Хаднаги си направи кариера, обяснявайки социалното инженерство, но не се притеснява дали нападателите намират неговите трикове. "Лошите момчета не търсят данните как да направят това", каза той пред SecurityWatch. "Те вече знаят как. Проблемът е, че добрите момчета не го правят." Чрез работата си Хаднаги вярва, че може да научи корпоративната Америка и обикновените хора как да мислят критично за ежедневните си взаимодействия и как да реагират в най-лошите сценарии. Хаднаги го обясни по този начин: "Вместо да въоръжава лошите, въоръжава добрите."

Изображение чрез Flickr потребител Travis V.