วิธีการป้องกันตนเองจากวิศวกรรมทางสังคม

วิศวกรรมสังคมคือสิ่งที่ทำให้อีเมลฟิชชิงและเว็บไซต์ที่เป็นอันตรายซึ่งแต่งตัวให้ดูเหมือนเว็บไซต์ที่ปลอดภัยและเป็นที่นิยม ระหว่างการสนทนากับ Chris Hadnagy หัวหน้า Human Hacker ที่ Social-Engineer Inc. ฉันถามเขาถึงวิธีการตรวจจับการหลอกลวงเหล่านี้ คำแนะนำของเขาสะท้อนสิ่งที่เรามักจะบอกผู้อ่านว่าต้องระแวง

มากกว่า A Con

จากการสนทนาของฉันกับ Hadnagy เป็นที่ชัดเจนว่าบางสิ่งที่เราเรียกว่าวิศวกรรมทางสังคมเป็นเทคนิคเดียวกับที่ผู้คนเคยใช้มีอิทธิพลต่อการตัดสินใจมานานหลายปี ยกตัวอย่างเช่นอุตสาหกรรมอาหารฟาสต์ฟู้ดสำรวจชื่อเสียงว่าสีอะไรกระตุ้นให้คนกินเร็วขึ้น นักเล่นกลลวงตาของปลอมจากศตวรรษที่ 19 (ซึ่งรวมถึงสมาชิกในครอบครัวของฉัน) และในวันนี้ใช้กลวิธีที่เรียกว่า

แต่ยังมีอีกมากมายสำหรับวิศวกรรมทางสังคมมากกว่ากลอุบายราคาถูกดังที่แสดงให้เห็นโดย Social Engineering คว้าการแข่งขันธงที่จัดขึ้นที่ Def Con ที่นี่ผู้เข้าแข่งขันจะได้รับคะแนนสำหรับข้อมูลที่รวบรวมจากการวิจัย บริษัท และจากการติดต่อ บริษัท เหล่านั้นโดยตรง Hadnagy กล่าวว่าผู้เข้าแข่งขันที่ทำคะแนนได้ดีที่สุดได้ทำการวิจัยมากที่สุดซึ่งแสดงให้เห็นว่าการรู้เป้าหมายของคุณนั้นมีประโยชน์เพียงใด

น่าเสียดายที่ตอนนี้เป็นเวลาที่ดีในการเป็นวิศวกรสังคมที่ทำวิจัยหรือรวบรวมข้อมูลโอเพ่นซอร์ส Hadnagy อธิบายว่า บริษัท และบุคคลต่างๆโพสต์ข้อมูลจำนวนมากบนโซเชียลมีเดียซึ่งส่วนใหญ่สามารถนำไปใช้ในการโจมตีวิศวกรรมสังคม ก่อนหน้านี้เราดูว่านักหลอกลวงพยายามใช้ข้อมูลที่รวบรวมจาก Facebook เพื่อทำให้การหลอกลวงของพวกเขาดูน่าสนใจยิ่งขึ้น - บางครั้งก็มีผลลัพธ์ที่เฮฮา

การกำหนดเป้าหมายทางอารมณ์

หนึ่งในกลยุทธ์ด้านวิศวกรรมสังคมที่ดีที่สุดคือการป้องกันไม่ให้คุณคิดเชิงวิพากษ์ Hadnagy กล่าวว่าการโจมตีครั้งหนึ่งที่เกือบหลอกเขาอ้างว่าเป็นอีเมลส่งของ Amazon “ มันเป็นเรื่องส่วนตัวมีบางอย่างที่ส่งผลกระทบต่อชีวิตของฉันและบางสิ่งที่สำคัญสำหรับฉัน” เขากล่าว

ในการโจมตีครั้งนี้ Hadnagy ได้รับอีเมลแจ้งว่าหนึ่งในคำสั่งซื้อของ Amazon ที่สำคัญของเขาล่าช้าเนื่องจากหมายเลขบัตรเครดิตถูกปฏิเสธ ในวันที่นำไปสู่การประชุมใหญ่ Hadnagy กล่าวว่าเขาทำงานหนักเกินไปและคลิกลิงค์ในอีเมลแทนที่จะไปที่ Amazon โดยตรง หน้าเว็บที่เขาถูกนำไปใช้นั้นถูกสร้างขึ้นมาอย่างดี แต่โชคดีที่เขาสังเกตเห็นโดเมน ".ru" ก่อนที่จะป้อนข้อมูลส่วนบุคคลใด ๆ

ในขณะที่มันง่ายกลยุทธ์นี้มีประสิทธิภาพมาก “ ฉันเป็นคนที่เพราะฉันทำอย่างนั้น phishing มีคนมากกว่า 190, 000 คนในช่วงสองสามเดือนที่ผ่านมา” Hadnagy กล่าวกล่าวถึงงานที่ปรึกษาของเขา "ฉันเกือบจะตกหลุมรักการโจมตีครั้งนี้"

ข้อดีอีกประการของการดึงดูดความสนใจต่ออารมณ์ความรู้สึกก็คือมันไม่จำเป็นต้องมีการวิจัยที่ดีที่สุดในการใช้วิศวกรทางสังคม "สิ่งที่เราจะเห็นคือการเลือกสิ่งที่มีความสำคัญต่อมวลชน" Hadnagy อธิบายว่าสิ่งนี้รวมถึงการขนส่งของ UPS คำสั่งซื้อของ Amazon และการโอนเงินผ่าน PayPal

การดึงดูดโดยรวมยังใช้งานได้ดีสำหรับการออกอากาศ en-masse ซึ่งเป็นชั้นเชิงอื่น ๆ “ พวกเขาส่งสิ่งเหล่านี้ไปยังผู้คนหลายล้านคนในแต่ละครั้งดังนั้นพวกเขาจึงไม่สนใจว่าพวกเขาจะได้รับ 100 เปอร์เซ็นต์หรือไม่” Hadnagy กล่าว "10 เปอร์เซ็นต์ยังคงเป็นบัญชีที่ถูกบุกรุกนับพัน"

อยู่อย่างปลอดภัย

กลวิธีมากมายที่ใช้ในการค้นหาอีเมลฟิชชิงนั้นเป็นเรื่องจริงสำหรับวิศวกรรมสังคมเช่นกัน อะไรก็ตามที่ฟังดูดีเกินกว่าที่จะเป็นจริง - หรือเลวร้ายเกินกว่าที่จะเป็นจริง - อาจไม่เป็นความจริง กลยุทธ์เช่นการวางเมาส์เหนือลิงก์เพื่อดู URL แบบเต็มป้อนที่อยู่เว็บด้วยตนเองและหลีกเลี่ยงการเชื่อมโยงที่ออกมาจากสีน้ำเงินล้วนเป็นกลวิธีเสียงทั้งหมด

แต่ส่วนการโทรสดของการแข่งขันแคปต์เดอะแฟล็กเป็นการตอกย้ำอีกแง่มุมหนึ่งของวิศวกรรมสังคม: ความไว้วางใจจากสถาบัน ในปีนี้ผู้เข้าแข่งขันจำนวนมากโพสต์ในฐานะผู้ร่วมงานหรือผู้ขายซึ่งทำให้พนักงานใน บริษัท เป้าหมายมีเหตุผลทันทีที่เชื่อใจพวกเขา บางครั้งก็จ่ายให้ถามคำถามเมื่อมีคนอ้างว่าเป็น CEO ของ บริษัท ของคุณโทรหาคุณเป็นการส่วนตัว

Hadnagy ทำอาชีพอธิบายวิศวกรรมทางสังคม แต่เขาไม่ได้กังวลว่าผู้โจมตีกำลังอุบายของเขา “ คนร้ายไม่ได้มองหาข้อมูลเกี่ยวกับวิธีการทำเช่นนี้” เขาบอก SecurityWatch “ พวกเขารู้วิธีแล้วปัญหาคือคนดีไม่ได้” จากการทำงานของเขา Hadnagy เชื่อว่าเขาสามารถสอน บริษัท อเมริกาและคนทั่วไปให้คิดอย่างมีวิจารณญาณเกี่ยวกับการโต้ตอบในชีวิตประจำวันของพวกเขาและวิธีการตอบสนองในสถานการณ์กรณีที่เลวร้ายที่สุด Hadnagy อธิบายด้วยวิธีนี้: "แทนที่จะเป็นคนเลวมันเป็นอาวุธที่เป็นคนดี"

รูปภาพผ่านผู้ใช้ Flickr Travis V.