Video: Social Engineering | Cyber Security Crash Course (November 2024)
Social engineering is de motor van phishing-e-mails en kwaadaardige websites die zijn verkleed als veilige, populaire websites. Tijdens een discussie met Chris Hadnagy, Chief Human Hacker bij Social-Engineer Inc., vroeg ik hem hoe hij deze zwendel kon herkennen. Zijn advies is een echo van wat we de lezer vaak hebben verteld: wees altijd achterdochtig.
More Than A Con
Uit mijn discussie met Hadnagy is het duidelijk dat sommige van wat we social engineering noemen dezelfde trucs zijn die mensen al jaren gebruiken om invloedsbeslissingen te nemen. De fast-food industrie, bijvoorbeeld, heeft beroemd onderzocht welke kleuren mensen zouden aanmoedigen om sneller te eten. Valse spiritualisten uit de 19e eeuw (waaronder leden van mijn familie) en gebruiken tegenwoordig een tactiek die 'koud lezen' wordt genoemd om slachtoffers te misleiden om informatie over zichzelf te onthullen.
Maar social engineering omvat meer dan goedkope trucs, zoals blijkt uit de Social Engineering Capture the Flag-wedstrijd op Def Con. Hier verdienen deelnemers punten voor informatie die ze verzamelen van onderzoekende bedrijven en door rechtstreeks contact op te nemen met die bedrijven. Hadnagy zei dat de best scorende deelnemers ook het meeste onderzoek deden, waaruit blijkt hoe nuttig het is om je doelen te kennen.
Helaas is het nu een goed moment om een sociaal ingenieur te zijn die onderzoek doet of open source informatie verzamelt. Hadnagy legde uit dat bedrijven en particulieren veel informatie op sociale media plaatsen, waarvan een groot deel kan worden gebruikt voor social engineering-aanvallen. Eerder hebben we gekeken hoe oplichters informatie van Facebook probeerden te gebruiken om hun oplichting aantrekkelijker te maken - soms met hilarische resultaten.
Gerichte emotie
Een van de beste social engineering-tactieken is om te voorkomen dat je kritisch denkt, meestal door je op emoties te richten. Hadnagy zei dat een aanval die hem bijna voor de gek hield, beweerde een Amazon-e-mail te zijn voor verzending. "Het was iets persoonlijks, iets dat mijn leven beïnvloedde, en iets dat belangrijk voor me was", zei hij.
In deze specifieke aanval ontving Hadnagy een e-mail waarin stond dat een van zijn belangrijke Amazon-bestellingen was vertraagd vanwege een geweigerd creditcardnummer. In de dagen voorafgaand aan een grote conferentie zei Hadnagy dat hij overwerkt was en klikte hij op de link in de e-mail - in plaats van Amazon rechtstreeks te bezoeken. De pagina waarnaar hij werd geleid, was goed gemaakt, maar gelukkig merkte hij het ".ru" -domein op voordat hij persoonlijke informatie invoerde.
Hoewel het eenvoudig was, was deze tactiek zeer effectief. "Ik ben de man die de afgelopen maanden meer dan 190.000 mensen phishing", zei Hadnagy, verwijzend naar zijn advieswerk. "Ik viel bijna voor deze aanval."
Een ander voordeel van een beroep doen op emotie is dat het niet het soort onderzoek vereist dat de beste sociale ingenieurs in dienst hebben. "Wat we zullen zien is dat dingen kiezen die belangrijk zijn voor de massa." Hadnagy legde uit dat dit UPS-verzending, Amazon-bestellingen en PayPal-overschrijvingen omvat.
Massa-aantrekkingskracht werkt ook goed voor massale uitzendingen, een andere veel voorkomende tactiek. "Ze sturen deze naar miljoenen mensen tegelijk, dus het kan ze niet schelen als ze 100 procent krijgen", zei Hadnagy. "10 procent is nog steeds duizenden gecompromitteerde accounts."
Veilig blijven
Veel van de tactieken die worden gebruikt om phishing-e-mails te spotten, gelden ook voor social engineering. Alles dat te mooi klinkt om waar te zijn - of te slecht om waar te zijn - is waarschijnlijk niet waar. Tactieken zoals over links zweven om de volledige URL te zien, handmatig webadressen in te voeren en links te vermijden die uit het niets aankomen, zijn allemaal goede tactieken.
Maar het live-roepende gedeelte van de Capture the Flag-competitie benadrukt een ander facet van social engineering: institutioneel vertrouwen. Dit jaar deden veel van de deelnemers zich voor als collega's of verkopers, wat de werknemers bij de doelbedrijven een onmiddellijke reden gaf om hen te vertrouwen. Soms loont het om vragen te stellen wanneer iemand die beweert de CEO van uw bedrijf te zijn u persoonlijk belt.
Hadnagy heeft een carrière gemaakt waarin hij sociale engineering uitlegt, maar hij maakt zich geen zorgen als aanvallers zijn trucs oppakken. "De slechteriken zijn niet op zoek naar de gegevens om dit te doen, " vertelde hij SecurityWatch. "Ze weten al hoe. Het probleem is dat de goeden niet." Door zijn werk gelooft Hadnagy dat hij het Amerikaanse bedrijfsleven en gewone mensen kan leren hoe ze kritisch moeten nadenken over hun dagelijkse interacties en hoe te reageren in het slechtste geval. Hadnagy legde het op deze manier uit: "In plaats van de slechteriken te bewapenen, bewapent het de goeden."
Afbeelding via Flickr-gebruiker Travis V.
