ハッキングの成功の世界的な実践が示しているように(もちろん攻撃者にとっては成功している)、問題のほとんどは人々の問題に関連しています。 より正確に言うと、ポイントは情報を提供し、完全に愚かな行動をとる能力です。
ITの例はすでによく知られていると思うので、「影響の心理学」という本の例を思い出してください。心理学者は病院の看護師に電話をかけ、医師として自己紹介し、患者に致死量の物質を与えるように命じました。 妹は自分が何をしているのか知っていましたが、95%のケースで指揮を執りました(彼女は心理助手によって病棟の入り口で止められました)。 同時に、医師は少なくとも何らかの形で認可されていませんでした。 なぜ私の妹はこれをしたのですか? 彼女が権威に従うことに慣れているからです。
繰り返しましょう。この例では、有能なソーシャルエンジニアリングを通じて、病院の95%が非常に脆弱でした。
メソッドは期限切れになりません
システムは常に変化しています。 ソフトウェアとハードウェアは複雑になっています。 防衛と攻撃の両方である程度自信を持ってトピックを所有するには、すべての新製品を絶えず監視し、最初に新しいものを見て、問題のIT背景全体を非常によく理解する必要があります。 これは、ロマンスのハローに覆われた古典的なハッカーの道です。 むしろ現代の世界では、ハッカーは標的の特定の技術を訓練されたグループに数名の狭い専門家を抱えていますが、主な仕事は常に防御の境界を突破することです。
つまり、遅かれ早かれ、ソーシャルエンジニアリングが必要になる可能性が高くなります。 通常、早い段階です。なぜなら、最初は情報と準備のコレクションがあり、すでにトップにあるのはテクノロジーとITシステムに関する深い知識です。
会社にセキュリティ部門がある場合、従業員がどれだけ貴重なデータを保持できるかを理解している妄想的な人と、人を絶対に信じない皮肉屋がいる可能性があります。 このチームは権利の範囲を定め、指示を書き、実際の危機的な状況を満たします。 一般的に、これによりある程度の免疫力を植え付けることができますが、それでもまともなレベルの保護は提供されません。 ソーシャルエンジニアリングで最も不愉快なことは、「パッチ」を適用して忘れることはできません。攻撃者が学習したメカニズムが常に機能するようになるのは、人々全体の行動があまり変わらないためです。
ソーシャルエンジニアリングの基本モデル
各従業員は、セキュリティ問題における独自のレベルの能力とアクセスの独自のレベルを持っていると想定されています。 ラインの従業員(たとえば、レセプションの女の子)は重要な情報にアクセスできません。つまり、アカウントを取得し、会社に重大な損害を与えないことがわかっているすべてのデータを受信してもです。 ただし、それらのデータを使用して、保護ゾーン内に既にある次のステップに移動できます。 たとえば、従業員の名前を取得し、より高いレベルを呼び出して、自分自身をその1人として紹介することができます。 この場合、権限を再生することができます(上記の医師の例のように)か、いくつかの無邪気な質問をして、モザイクを取得することができます。 または、チームが互いに助け合うことを決めたという事実を使用して、次のより知識のある従業員に移ります。多くの重要なデータに関する質問には偏執狂を含めません。 厳密な指示があっても、感情が常に勝つ可能性があります。
信じられない? 攻撃者が1週間、週に数回、コールセンターから同じ女の子に電話をかける状況を想像してください。 彼は従業員として自分自身を紹介し、前向きな海をもたらし、活発に話し、いくつかの開かれたささいなことを明らかにし、時にはささいな助けを求めます。 明確な承認は、人が頻繁に電話をかけるという事実に置き換えられます。 必要に応じて10、20、30回。 それが人生の現象の一つになるまで。 彼は会社のさまざまな詳細を認識しており、絶えず電話をかけているため、彼は彼自身です。 31回目、攻撃者は再び小さなリクエストを行いますが、今回は重要なデータに関するものです。 そして、必要に応じて、彼はこれがなぜ必要であり、どのような問題があるのかについて、論理的かつもっともらしい正当性を示します。 もちろん、普通の人が彼を助けます。
無能なユーザーだけがそのような攻撃の影響を受けやすいと思う場合は、「The Art of Deception」という本を開いてください。導入でも、Mitnikがプロジェクトの主任開発者として自分を紹介し、システム管理者にシステムへの特権アクセスを与えた方法について話しています。 彼が何をしていたかを完全に理解した人に注目してください。
リバースソーシャルエンジニアリング
一般的な攻撃モデルはまったく同じです。ユーザーが共有するデータを取得します。 しかし、古典的な「はしご」方法とは異なり、ここではユーザー自身が必要なものを言います。 これは効果的な3つの方法です。ユーザーのトラブルを調整し、自分と連絡を取り、攻撃を行います。 例-クリーナーとして保護された境界に来て、壁の印刷のテクニカルサポート番号を自分のものに置き換えてから、小さな問題を手配します。 一日のうちに、動揺したユーザーがあなたに電話し、有能な専門家と彼の知識をすべて共有する準備ができています。 あなたの承認は問題を引き起こしません-その人自身が、誰が、そしてなぜ彼が電話をしているのかを知っているからです。
美しいバリエーションは、銀行のIVRフィッシングです。攻撃の被害者は、フィッシング番号が記載された「クライアントセンター」の手紙を受け取り、留守番電話が承認のために重要なカードの詳細を入力するよう求めます。
より特殊なケース
ターゲットが使用するリソースでフィッシングを使用できます。 または、たとえば、これらの外部リソースに、会社のマシンに感染するマルウェアを配置します(ところで、近年の主な攻撃ベクトルの1つ)。 何かを含むディスクを興味深い従業員に転送できます(彼がソフトウェアを実行するか、そこから情報を使用することを期待して)、ソーシャルネットワークを使用してデータを収集し(会社の構造を特定)、その従業員と通信できます。 海のオプション。
まとめ
そのため、ソーシャルエンジニアリングは、ターゲットに関するデータの収集(「こんにちは!私は4番目の部門の電話がありましたが、忘れました」)と個人情報の取得(「うん、ありがとう。これは別のことです。疑わしいクライアント。彼が最後に支払ったカードの番号を教えてください?))、システムへの直接アクセス: "それで、あなたは今正確に何を入力していますか? スペルしてください。 7%のesは、1パーセントの大きさのようなものです... ")。 そして、他の方法では得られないものを手に入れることさえ。 たとえば、コンピューターがネットワークから物理的に切断されている場合、「処理された」人は接続できます。
ハッキングトーナメントの準備に関するトピックでは、30秒間誤って立ち去った、休息中の少女に関するタスクがありました。 この間に何をすることができますか? 彼女の車に何かを置く? いいえ、十分な時間またはユーザー権限がありません。 テーブルから文書を盗むか、すべての手紙を自分に送信しますか? 良い考えではありません、あなたは気づかれることでしょう。 オフィスに隠されたカメラが搭載されている可能性があるため、彼女のコンピューターに座っているだけでもすでに危険です。 最良の答えは、社会的相互作用の面にあります。技術サポート番号をステッカーに貼り付け、日付に招待するなどです。 日付は判断されませんが、会社の階層や従業員の個人ファイルに関する多くのデータを提供します。
だから、教育プログラムに戻ります。 「詐欺の芸術」(間違いなくそこからの特定の対話が好きです)、「スーパーハッカーの秘密」というタイトルのパソスを持つデニス・フェリアの本のソーシャルエンジニアリングの章、深刻な「影響の心理学」、そして主要な技術の説明を含むWikiの記事を読んでください 。 強力なセキュリティ部門がない場合は、読んでからリーダーに警告し、簡単なペンテストを実施してください。 ほとんどの場合、人間のだまされやすさについて多くを学びます。
Cyber Readiness Challengeトーナメントとソーシャルエンジニアリング
社会的な脅威を防ぐための技術的な方法(社内でメッセージを交換するための共通プラットフォームの導入、新しい連絡先の強制認証など)に加えて、そのような攻撃中に正確に何が起こるかをユーザーに説明する必要があります。 確かに、これは理論と実践を組み合わせない場合、つまり、時々自分自身を攻撃者として振る舞い、自分のシステムに侵入しようとする場合には役に立ちません。 いくつかの「トレーニングアラーム」とデブリーフィングの後、従業員は少なくとも自分がコールをチェックされているかどうかを考えます。
もちろん、脅威に対抗するには、あなたが攻撃している攻撃者の「頭に入り」、彼のように考えることを学ぶ必要があります。 もともとセキュリティの専門家を訓練するためのシミュレーターとして作成されたオフラインのCyber Readiness Challengeの一環として、この種の脅威を乗り越えることはできませんでした。
サーバーとシステムの管理、ネットワークインフラストラクチャ、その他の技術的なことを理解しているが、そのような素晴らしい人的要因を考慮しない場合、このトーナメントはいくつかの興味深いアイデアを提供します。