Кража удерживаемой музыки в вашей компании, подделка идентификатора вызывающего абонента, накачивание копейки - социальные инженеры смешивают старые и новые методы, чтобы получить пароли или прибыль. Осведомленность об их тактике - первая линия защиты.
Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, но сама простая идея (заставить кого-то что-то сделать или разгласить конфиденциальную информацию) существует уже давно. И эксперты говорят, что тактика хакеров сегодня по-прежнему направлена на кражу пароля, установку вредоносного ПО или получение прибыли, используя сочетание старых и новых тактик.
Вот курс повышения квалификации по некоторым из наиболее распространенных тактик социальной инженерии, используемых по телефону, электронной почте и в Интернете.
Тактика 1: десять степеней разделения
Задача номер один социального инженера, который использует телефон в качестве своего метода работы, состоит в том, чтобы убедить свою цель, что он либо 1) коллега, либо 2) доверенный внешний авторитет (например, правоохранительные органы или аудитор). Но если его конечная цель - получить информацию от сотрудника X или о нем, его первые звонки или электронные письма могут быть адресованы другому человеку.
«На своих образовательных занятиях я говорю людям, что вам всегда нужно быть немного параноиком и анальным, потому что вы никогда не знаете, чего от вас хочет человек», - сказал Лифриери. Атака на сотрудников "начинается с администратора, охранника у ворот, который наблюдает за парковкой. Вот почему обучение должно доходить до сотрудников. Секретарь или администратор-преступники могут начинать с расстояния в десяти шагах от человека, которого они хотят добраться до."
Лифриери говорит, что преступники используют простые идеи, чтобы подружиться с более доступными людьми в организации, чтобы получить информацию о людях, находящихся на более высоком уровне иерархии.
«Обычная техника [для преступников] - быть дружелюбной», - сказал Лифриери. «Действовать так: «Я хочу узнать тебя. Я хочу знать вещи, которые происходят в твоей жизни». Довольно скоро они получают информацию, на которую вы бы не пошли добровольцем несколькими неделями ранее".
Тактика 2: Изучите свой корпоративный язык
По словам Лифриери, у каждой отрасли есть свои позиции. Преступник, занимающийся социальной инженерией, изучит этот язык и сумеет наговорить его с лучшими из них.
«Все дело в окружающих сигналах», - сказал он. «Если я говорю на знакомом вам языке, вы мне доверяете. Вы с большей охотой даете мне ту информацию, которую я хочу получить от вас, если я могу использовать сокращения и термины, которые вы привыкли слышать».
Тактика 3: Заимствуйте свою музыку для удержания
«Успешным мошенникам нужно время, настойчивость и терпение», - сказал Лифриери. Атаки часто проводятся медленно и методично. Наращивание не только включает в себя сбор личных лакомых кусочков о людях, но также сбор других «социальных сигналов», чтобы завоевать доверие и даже обмануть других, заставив их думать, что они являются сотрудниками, хотя на самом деле это не так.
Еще один успешный метод заключается в записи «удерживаемой» музыки, которую компания использует, когда звонящие остаются в ожидании у телефона.
«Преступника переводят в режим ожидания, он записывает музыку, а затем использует ее в своих интересах. Когда он или она звонит предполагаемой жертве, они разговаривают в течение минуты, а затем говорят: «О, моя другая линия звонит, подождите» отложите их». Человек, которого обманывают, слышит эту знакомую музыку компании и думает: «О, он должен работать здесь, в компании. Это наша музыка». Это просто еще один психологический сигнал.
Тактика 4: подмена телефонного номера
Преступники часто используют подделку телефонного номера, чтобы в идентификаторе вызывающего абонента отображался другой номер.
«Преступник может сидеть в квартире и звонить вам, но номер, указанный в идентификаторе звонящего, кажется, исходит из компании», - сказал Лифриери.
Конечно, ничего не подозревающие жертвы с большей вероятностью сообщат по телефону личную информацию, например пароли, если идентификатор вызывающего абонента подтверждает это. И, конечно же, после этого преступление часто невозможно обнаружить, потому что, если вы набираете номер обратно, он переходит на внутренний номер компании.
Тактика 5: Использование новостей против вас
«Что бы ни происходило в заголовках, злоумышленники используют эту информацию в качестве приманки социальной инженерии для спама, фишинга и других видов мошенничества», - сказал Дэйв Маркус, директор по исследованиям в области безопасности и коммуникациям McAfee Avert Labs.
Маркус сказал, что в последнее время в Avert наблюдается рост количества спам-писем, связанных с президентской кампанией и экономических кризисов.
«Было совершено множество фишинговых атак, связанных с покупкой банков другими лицами, - сказал Маркус. "В электронном письме будет сказано:" Ваш банк покупается этим банком. Нажмите здесь, чтобы обновить информацию до закрытия продажи". Это попытка заставить вас раскрыть вашу информацию, чтобы они могли войти в вашу учетную запись, чтобы украсть ваши деньги или продать вашу информацию кому-то другому".
Тактика 6: злоупотребление доверием к сайтам социальных сетей
Facebook, Myspace и Linked In - очень популярные социальные сети. По словам Маркуса, люди очень в них верят. Недавний инцидент целевого фишинга был нацелен на пользователей Linked In, и эта атака многих удивила. Маркус сказал, что приверженцев социальных сетей все чаще вводят в заблуждение электронные письма, которые якобы отправлены с таких сайтов, как Facebook, но на самом деле отправлены мошенниками.
«Они получат электронное письмо с сообщением:«Сайт находится на техническом обслуживании, нажмите здесь, чтобы обновить свою информацию ». Конечно, когда вы переходите по ссылке, вы попадаете на сайт плохих парней». Маркус рекомендует посоветовать сотрудникам вводить веб-адреса вручную, чтобы избежать вредоносных ссылок. А также имейте в виду, что сайт очень редко отправляет запрос на смену пароля или обновление учетной записи.
Тактика 7: Приседание с опечаткой
По словам Маркуса, в сети плохие парни делают ставку на типичные ошибки, которые люди делают при вводе текста. Когда вы вводите URL-адрес, состоящий всего из одной буквы, внезапно вы можете столкнуться с непредвиденными последствиями.
«Плохие парни готовятся к опечаткам, и сайт, который они готовят, будет очень похож на сайт, на который, как вы думали, собирались, например, Google».
Вместо того, чтобы идти туда, куда они хотели, ничего не подозревающие пользователи, которые допустили опечатки, попадают на поддельный сайт, который намеревается что-то продать, что-то украсть или распространить вредоносное ПО.
Тактика 8: Использование FUD для воздействия на фондовый рынок
Согласно новому исследованию Avert, безопасность и уязвимость продуктов и даже целых компаний могут повлиять на рынок акций. Исследователи изучили влияние таких событий, как вторник патчей Microsoft, на акции компании и обнаружили заметное колебание каждый месяц после публикации информации об уязвимостях.
«Публично обнародованная информация влияет на цены акций», - сказал Маркус. «Другой недавний пример - это фальшивая информация, которая была распространена несколько недель назад о здоровье Стива Джобса. Акции Apple резко упали на это. Это наглядный пример того, как кто-то вводит FUD и, как результат, влияет на акции». Предположительно, у преступников была «короткая» позиция, которая позволила им получить прибыль от этой уловки.
Обратный подход заключается в использовании электронной почты для выполнения древней тактики «накачки и сброса». Мошенник может купить большой объем акций за пенни, рассылая электронные письма под видом консультанта по инвестициям, рекламирующего большой потенциал этих акций (это «насос»). Если достаточное количество получателей этого спама поспешат купить акции, цена резко возрастет. Затем мошенник быстро «сбрасывает» свои акции с большой прибылью.
Известный хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, но сама простая идея (заставить кого-то что-то сделать или разгласить конфиденциальную информацию) существует уже давно. И эксперты говорят, что тактика хакеров сегодня по-прежнему направлена на кражу пароля, установку вредоносного ПО или получение прибыли, используя сочетание старых и новых тактик.
Вот курс повышения квалификации по некоторым из наиболее распространенных тактик социальной инженерии, используемых по телефону, электронной почте и в Интернете.
Тактика 1: десять степеней разделения
Задача номер один социального инженера, который использует телефон в качестве своего метода работы, состоит в том, чтобы убедить свою цель, что он либо 1) коллега, либо 2) доверенный внешний авторитет (например, правоохранительные органы или аудитор). Но если его конечная цель - получить информацию от сотрудника X или о нем, его первые звонки или электронные письма могут быть адресованы другому человеку.
«На своих образовательных занятиях я говорю людям, что вам всегда нужно быть немного параноиком и анальным, потому что вы никогда не знаете, чего от вас хочет человек», - сказал Лифриери. Атака на сотрудников "начинается с администратора, охранника у ворот, который наблюдает за парковкой. Вот почему обучение должно доходить до сотрудников. Секретарь или администратор-преступники могут начинать с расстояния в десяти шагах от человека, которого они хотят добраться до."
Лифриери говорит, что преступники используют простые идеи, чтобы подружиться с более доступными людьми в организации, чтобы получить информацию о людях, находящихся на более высоком уровне иерархии.
«Обычная техника [для преступников] - быть дружелюбной», - сказал Лифриери. «Действовать так: «Я хочу узнать тебя. Я хочу знать вещи, которые происходят в твоей жизни». Довольно скоро они получают информацию, на которую вы бы не пошли добровольцем несколькими неделями ранее".
Тактика 2: Изучите свой корпоративный язык
По словам Лифриери, у каждой отрасли есть свои позиции. Преступник, занимающийся социальной инженерией, изучит этот язык и сумеет наговорить его с лучшими из них.
«Все дело в окружающих сигналах», - сказал он. «Если я говорю на знакомом вам языке, вы мне доверяете. Вы с большей охотой даете мне ту информацию, которую я хочу получить от вас, если я могу использовать сокращения и термины, которые вы привыкли слышать».
Тактика 3: Заимствуйте свою музыку для удержания
«Успешным мошенникам нужно время, настойчивость и терпение», - сказал Лифриери. Атаки часто проводятся медленно и методично. Наращивание не только включает в себя сбор личных лакомых кусочков о людях, но также сбор других «социальных сигналов», чтобы завоевать доверие и даже обмануть других, заставив их думать, что они являются сотрудниками, хотя на самом деле это не так.
Еще один успешный метод заключается в записи «удерживаемой» музыки, которую компания использует, когда звонящие остаются в ожидании у телефона.
«Преступника переводят в режим ожидания, он записывает музыку, а затем использует ее в своих интересах. Когда он или она звонит предполагаемой жертве, они разговаривают в течение минуты, а затем говорят: «О, моя другая линия звонит, подождите» отложите их». Человек, которого обманывают, слышит эту знакомую музыку компании и думает: «О, он должен работать здесь, в компании. Это наша музыка». Это просто еще один психологический сигнал.
Тактика 4: подмена телефонного номера
Преступники часто используют подделку телефонного номера, чтобы в идентификаторе вызывающего абонента отображался другой номер.
«Преступник может сидеть в квартире и звонить вам, но номер, указанный в идентификаторе звонящего, кажется, исходит из компании», - сказал Лифриери.
Конечно, ничего не подозревающие жертвы с большей вероятностью сообщат по телефону личную информацию, например пароли, если идентификатор вызывающего абонента подтверждает это. И, конечно же, после этого преступление часто невозможно обнаружить, потому что, если вы набираете номер обратно, он переходит на внутренний номер компании.
Тактика 5: Использование новостей против вас
«Что бы ни происходило в заголовках, злоумышленники используют эту информацию в качестве приманки социальной инженерии для спама, фишинга и других видов мошенничества», - сказал Дэйв Маркус, директор по исследованиям в области безопасности и коммуникациям McAfee Avert Labs.
Маркус сказал, что в последнее время в Avert наблюдается рост количества спам-писем, связанных с президентской кампанией и экономических кризисов.
«Было совершено множество фишинговых атак, связанных с покупкой банков другими лицами, - сказал Маркус. "В электронном письме будет сказано:" Ваш банк покупается этим банком. Нажмите здесь, чтобы обновить информацию до закрытия продажи". Это попытка заставить вас раскрыть вашу информацию, чтобы они могли войти в вашу учетную запись, чтобы украсть ваши деньги или продать вашу информацию кому-то другому".
Тактика 6: злоупотребление доверием к сайтам социальных сетей
Facebook, Myspace и Linked In - очень популярные социальные сети. По словам Маркуса, люди очень в них верят. Недавний инцидент целевого фишинга был нацелен на пользователей Linked In, и эта атака многих удивила. Маркус сказал, что приверженцев социальных сетей все чаще вводят в заблуждение электронные письма, которые якобы отправлены с таких сайтов, как Facebook, но на самом деле отправлены мошенниками.
«Они получат электронное письмо с сообщением:«Сайт находится на техническом обслуживании, нажмите здесь, чтобы обновить свою информацию ». Конечно, когда вы переходите по ссылке, вы попадаете на сайт плохих парней». Маркус рекомендует посоветовать сотрудникам вводить веб-адреса вручную, чтобы избежать вредоносных ссылок. А также имейте в виду, что сайт очень редко отправляет запрос на смену пароля или обновление учетной записи.
Тактика 7: Приседание с опечаткой
По словам Маркуса, в сети плохие парни делают ставку на типичные ошибки, которые люди делают при вводе текста. Когда вы вводите URL-адрес, состоящий всего из одной буквы, внезапно вы можете столкнуться с непредвиденными последствиями.
«Плохие парни готовятся к опечаткам, и сайт, который они готовят, будет очень похож на сайт, на который, как вы думали, собирались, например, Google».
Вместо того, чтобы идти туда, куда они хотели, ничего не подозревающие пользователи, которые допустили опечатки, попадают на поддельный сайт, который намеревается что-то продать, что-то украсть или распространить вредоносное ПО.
Тактика 8: Использование FUD для воздействия на фондовый рынок
Согласно новому исследованию Avert, безопасность и уязвимость продуктов и даже целых компаний могут повлиять на рынок акций. Исследователи изучили влияние таких событий, как вторник патчей Microsoft, на акции компании и обнаружили заметное колебание каждый месяц после публикации информации об уязвимостях.
«Публично обнародованная информация влияет на цены акций», - сказал Маркус. «Другой недавний пример - это фальшивая информация, которая была распространена несколько недель назад о здоровье Стива Джобса. Акции Apple резко упали на это. Это наглядный пример того, как кто-то вводит FUD и, как результат, влияет на акции». Предположительно, у преступников была «короткая» позиция, которая позволила им получить прибыль от этой уловки.
Обратный подход заключается в использовании электронной почты для выполнения древней тактики «накачки и сброса». Мошенник может купить большой объем акций за пенни, рассылая электронные письма под видом консультанта по инвестициям, рекламирующего большой потенциал этих акций (это «насос»). Если достаточное количество получателей этого спама поспешат купить акции, цена резко возрастет. Затем мошенник быстро «сбрасывает» свои акции с большой прибылью.
