-------------
社交工程
-------------
社交工程是什麼
社交工程會帶來什麼後果
ramifications複雜或不歡迎的action的結果。
執行社交工程測試
保護組織對抗社交工程
Social engineering is people hacking;
社交工程是很難使用的犯罪,也很難防禦。
難攻是因為要讓目標相信陌生人,需要虛張聲勢和技巧
難防是因為人人要自己做出安全決定。
1。探討社交工程的後果。
2。安全測試工作的技術
3。防禦社交工程的對策。
四個例子::
支援人員:聲稱是要幫忙更新系統的
供應商:聲稱是要來更新電話或聯絡資訊的
員工:說自己的員工證掉了要換或是重要的key掉了要換
釣魚信件:這不用說了吧
“Hard, crunchy outside; soft, chewy inside.”
多半著重在外部的防禦機制
軟的、好吃的,都在裡面。
一旦越過外部,裡面就毫無阻礙。
建議由外部做測試,如果單位小,大家都很熟,做起來就沒什麼用。
通常找外部資源來做,會更有效果。
通常諮詢台或通報中心的人會更容易被害,因為他們被訓練成習慣幫助別人並提供資訊的人。
帳密
通行證-公司或機房
知識資產:設計規格、原始碼、研究資料等。
機密的財務報表。
員工個資
機敏資料:健康記錄或信用卡資訊
客戶名單或潛在客戶
有效的社會工程可以獲得以下信息
帳密
通行證-公司或機房
知識資產:設計規格、原始碼、研究資料等。
機密的財務報表。
員工個資
機敏資料:健康記錄或信用卡資訊
客戶名單或潛在客戶
Also, because so many methods exist, recovery and protection are difficult after the attack
因為社交工程的方法眾多
恢復和保護會變得困難。
creates a false sense of security,
做了外部保護,導致以為自己安全。使得錯得更多。(錯誤的安全感)
社交工程方法與動機
建立信任
討人喜歡的:
受人信任的:不一定是成為受人信任的,也許是夾帶著該被相信的也許是供應商,或某個公司部門的人
言行詐騙
透過讓人無法思考的巧言令色得到資訊。
這些是漏出破綻的地方:
過度友善或渴望的行為
提到組織內有名的人
吹嘘在組織內的權限。
不被尊重時會威脅人
被question時行為緊張。
過度強調細節
生理變化:瞳孔放大或音調有變化。
倉促
拒絕給予資訊
主動提供資訊且回答沒問的問題。
知道一些外面的人不應該知道的事。
已知是外部的人,但仍使用內部人才知道的語言。
問怪問題。
書信中的拼寫錯誤
逆向社交工程:透過協助變成英雄,反而使社交工程能進行。
冒充同一邊的人:間諜
舉例:所有的碟報片都有的情節。
Users may think that the message looks like a duck and quacks like a duck — but it’s not the right duck!
看起來像鴨子,叫起來也像鴨子。但其實不是真的鴨子。
許多電腦類的社交工程選擇使用暱蹤,透過proxyserver、匿名者、轉寄和smtp server去達成一個公開的轉發,當人們被要求提供訊息,這些攻擊來源,難以被追蹤。
社交工程大概的進行步驟
進行研究
信任感建立
利用言語、行動、或技術利用關係得到訊息。
使用訊息行使惡意的目的。
垃圾筒潛水:意圖取得可能的東西包括
Internal phone lists
Organizational charts
Employee handbooks (which often contain security policies)
Network diagrams
Password lists
Meeting notes
Spreadsheets and reports
Customer records
Printouts of emails that contain confidential information
conversations held in restaurants, coffee shops, and airports.
餐廳、咖啡店、機場。都是容易洩露資訊的地方。
電話系統:
暱蹤方法:
家用電話:多打幾個碼可以遮掉來源號碼
公司電話:假冒分機
自架server:
釣魚信件:
最常用手法。
送出假信給潛在受害者,告訴他們一些混淆、虛假但敏感的消息,
或是附上連結導引他們感染惡意程式。
大概70%的人,都會中獎。
一個寫得好的信,甚至可以得到密碼、機敏資訊甚至使目標電腦中獎。
註冊一個假的信箱在你的網域中
去要求資訊或是放連結去收集資訊,然後發給員工
從後台再看這些信的狀況。
容易被發現的釣魚email特點:
印刷錯誤
包含通用稱呼與email簽名
要求點擊連結
徵求敏感信息
scrape (copy pages from)
社交工程對策
Policies
對信息進行分類。某些用戶無法訪問這些級別。(神盾局)
僱用員工或承包商時,設定用戶id。
建立能接受的電腦給同仁使用並簽屬書面。
當同仁離職、承包商解約、顧問不再提供服務時,把id刪掉。
設置重置強密碼。
快速回應安全事件或已知的惡意軟體感染。
妥善處理專有和機密信息。
在你的建築物周遭護送客人。
User awareness and training
將你的訓練與意識對齊你的安全政策。
外部訓練通常比較讓內部人員認真對待。
不只是資安,很多事都是這樣。小到朋友圈,家庭,工作、甚至社會、國家。世界。
幾個可以讓你的社交工程對抗持久的小技巧
將安全意識與訓練視為商業投資
持續訓練使用者使安全意識深入心中
將隱私、安全、責任等資訊都放置在工作說明中。
為你的聽眾量身訂作。
為你的商業功能與用戶角色建立一個社會工程意識計劃。
讓你的訊息儘量非技術化。
制定預防與報告事件的激勵計劃
以身作則
分享幾個小技巧給你的使用者去預防社交工程
1。不要洩露任何資訊在任何地方,除非你可以確認對方是誰或你可以回撥回去的地方。
2。任何email或line裡的連結,都儘量不點,特別是有提到更新。
不請自來的郵件。手機裡特別容易點。通常會懶得檢查。
3。鼓勵你的使用者去驗證短網址,像是https://www.expandurl.net/expand
4。在fb或linkin分享自己的資料時要小心。
5。護送大樓內的所有客人。
6。陌生人的信不要亂開。更不用說附檔。即便是認識的也不要亂開。
7。絕不要給出密碼或機敏資訊
一些常用的建議:
不讓陌生人連你的有線網路、或內部無線網路。
對自己的資訊資產進行分類,包括實體與電子的。
建立與執行媒體銷毀政策:數據保存與銷毀。
使用橫切碎紙機 。碎得更徹底。
可加強的環節:
可在幾個環節上加強
1。新進員工的教育訓練或是email或是報紙 。
2。社交工程生存小技巧或問答
3。小飾品或小玩意兒,滑鼠墊、便利貼、筆、或辦公室海報。印有安全原則的信息。
留言列表
