Социальная инженерия у всех на слуху. Давайте разбираться, что это такое
Что такое социальная инженерия?
Короче говоря, социальная инженерия — это искусство манипулирования и введения в заблуждение. Цель социального инженера — делать то, на что он не уполномочен. Это включает в себя все, от кражи конфиденциальной информации до получения доступа к закрытой области. Для этого необходимо убедиться, что цель, или «отметка», не замечает, что делает социальный инженер, или, по крайней мере, не предпринимает никаких действий, чтобы их остановить.
Как работает социальная инженерия
Социальная инженерия — это, по сути, ложь и манипуляции. Если все сделано правильно, социальный инженер может сделать все, что может традиционный хакерский подход, и зачастую с гораздо меньшими затратами. При подготовке и проведении атаки социальной инженерии есть несколько полезных советов и приемов.
Знай свою цель
Одна из самых важных частей социальной инженерии — это знать свою цель. Это включает в себя как можно больше информации о том, какую информацию или доступ вы пытаетесь получить, и о человеке, у которого вы пытаетесь получить ее.
Преобразование всего в единый фрагмент информации может сделать социальную инженерию намного проще и эффективнее. Если вам нужно задать много разных вопросов, тем больше вероятность, что знак станет подозрительным, что может привести к внезапному завершению упражнения по социальной инженерии.
Чтобы упростить то, что вы хотите, вплоть до самого простого объема информации, может потребоваться некоторое моделирование атак. Во многих случаях набор информации может быть получен из одного другого фрагмента данных. Например, доступ к учетной записи электронной почты может предоставить большой объем ценных данных и требует только знания пароля пользователя.
Тонкое получение информации часто требует знания цели. Существует множество различных подходов к социальной инженерии ( некоторые предложения см. В исследовании Чалдини), и знание того, какой из них попробовать, зависит от знаний человека. Предварительное исследование может значительно увеличить вероятность успеха в социальной инженерии.
Держите это незаметно
Упражнение по социальной инженерии будет успешным только в том случае, если отметка не приживется в процессе. Социальные инженеры просят чего-то, чего им нельзя разрешать иметь, и если отметка понимает это, они могут легко отказать в доступе.
В большинстве случаев ключевым аспектом сохранения тонкости социальной инженерии является сокрытие ее в разговоре. Хотя один-единственный странный вопрос может вызвать подозрения, отметка может даже не заметить критический вопрос, если разговор проходит через несколько минут, а социальный инженер и отметка установили некоторую связь.
Один из способов проверить, достаточен ли этот уровень взаимопонимания (и достаточно ли удобен для ответа на необычные вопросы), — это задать что-то личное. В зависимости от того, отвечает ли целевой объект и как, социальный инженер может понять, будет ли вопрос успешным, прежде чем задавать его.
Еще одна важная концепция — это эффект последовательной позиции , который говорит о том, что кто-то, скорее всего, запомнит первый и последний элементы в списке. Задавая серию вопросов, чтобы получить один ответ, закопайте его в середине списка, чтобы минимизировать вероятность обнаружения.
Не просто говорить
Социальная инженерия основана на манипулировании общением, но разговоры — не единственный способ общения людей. Мы общаемся с помощью языка тела, тона голоса и многого другого, и для того, чтобы социальный инженер был успешным, они должны соответствовать сообщению. Фактически, некоторые задания по социальной инженерии можно выполнять, не говоря ни слова.
Для социального инженера несколько хорошо подобранных нарядов могут стать бесценным инструментом. Хороший костюм, быстрый, уверенный шаг и мобильный телефон могут (буквально) открыть двери. Кто-то услужливый сотрудник может принять социального инженера за спешащего из руководства и вежливо придержать дверь. Подобный эффект может быть достигнут с тяжелым грузом и формой почтальона (выберите частную компанию, так как выдача себя за сотрудника USPS является уголовным преступлением) или множеством различных способов.
Во время разговора внешний вид и язык тела человека также должны соответствовать образу, который он использует. Руководитель может безнаказанно отдавать приказы, а стажер в офисе — нет. Подготовка и отработка хорошего образа для социальной инженерии может сделать все проще и эффективнее.
Социальная инженерия и этический взлом
В некоторых случаях социальная инженерия выходит за рамки этического взлома. Многие люди не любят социальную инженерию, потому что она подразумевает ложь и может испортить отношения между сотрудниками компании и ее руководством. Это особенно верно, если взаимодействие выполняется плохо и у сотрудников остается ощущение, что компания пыталась обманом заставить их вести себя плохо.
Однако упражнения по социальной инженерии являются жизненно важным аспектом этического взлома. Более 99% кибератак требуют вмешательства человека, потому что в большинстве случаев обмануть человека намного проще, чем обмануть компьютер. Злоумышленник, пытающийся украсть у компании миллионы долларов, вряд ли будет стесняться обмануть в процессе несколько сотрудников. В результате этические хакеры должны помочь клиентам научиться распознавать попытки социальной инженерии и правильно реагировать на них.
Заключение: стать эффективным социальным инженером
Социальная инженерия — это искусство манипулирования. Успех в области социальной инженерии зависит от понимания того, что заставляет людей делать что-то и как побуждать кого-то делать то, что не в их интересах. Люди все время делают что-то не в своих интересах, и главное — сделать то, что хочет социальный инженер, привлекательным.
Существует ряд различных ресурсов по социальной инженерии, которые определенно стоит прочитать. Однако ничто не может заменить практику. Коммуникация — это улица с двусторонним движением, и социальные инженеры должны думать на лету, чтобы гарантировать, что знак слышит сообщение, которое они хотят отправить. Вы не можете узнать это из книги
Хочешь научиться большему? Записывайся на индивидуальное обучение.
Не забудь подписаться на наш канал!
