Securitatea ar trebui sa fie de o mare importanta in fiecare business, din moment ce o bresa in securitate ar afecta atat valoare companiei cat si imaginea acesteia.
Acestea fiind spuse, companiile se bazeaza orbeste pe tehnologii ce le-ar putea oferi acest tip de securitate, ignorand cea mai slaba veriga din sistem ” omul”.
In cele ce urmeaza va voi prezenta succint ce inseamna “social engineering” si cum se aplica aceasta.
Social engineering = un procedeu prin care un om este pacalit in a livra informatii private/confidentiale despre o firma, sau mai peotic spus ” arta si stiinta de a face oamenii sa se supuna dorintelor tale”(Harl 1997).
Acestea fiind spuse, companiile se bazeaza orbeste pe tehnologii ce le-ar putea oferi acest tip de securitate, ignorand cea mai slaba veriga din sistem ” omul”.
In cele ce urmeaza va voi prezenta succint ce inseamna “social engineering” si cum se aplica aceasta.
Social engineering = un procedeu prin care un om este pacalit in a livra informatii private/confidentiale despre o firma, sau mai peotic spus ” arta si stiinta de a face oamenii sa se supuna dorintelor tale”(Harl 1997).
Atunci cand un atacator nu poate invinge tehnologia, aceasta apeleaza la acest timp de atac, inseland angajatii sa le dea acces.
De ce Social Engineering are o rata de succes mare?
Acest tip de atac exploateaza vulnerabilitatile umane, ca ignorata sau naivitatea si foloseste concepte ca autoritatea, emotiile puternice, reciprocitatea, suprasolicitarea.
Cele mai multe atacuri se pot gasi in “6 weapons of influence” ( reciprocity, commitment and consistency, social proof, linking, authority , scarcity ) –Cialdini 1993.
O alta “vulnerabilitate” a oamenilor este aceea ca omul doreste sa ajute, astfel cautand satisfactie in ajutorarea unor persoane “la nevoie”.
Acest tip de atac exploateaza vulnerabilitatile umane, ca ignorata sau naivitatea si foloseste concepte ca autoritatea, emotiile puternice, reciprocitatea, suprasolicitarea.
Cele mai multe atacuri se pot gasi in “6 weapons of influence” ( reciprocity, commitment and consistency, social proof, linking, authority , scarcity ) –Cialdini 1993.
O alta “vulnerabilitate” a oamenilor este aceea ca omul doreste sa ajute, astfel cautand satisfactie in ajutorarea unor persoane “la nevoie”.
Va voi prezenta cateva din vulnerabilitatile umane :
I.Emotiile puternice:
Acestea sunt folosite pentru a aduce “tinta” la o stare emotionala asa mare, incat aceasta sa nu mai dea atentie argumentelor.
Ex :
1. Anticiparea (primeste bani sau un premiu, astfel facand omul mai putin suspicios)
2. Stres : angajatii sunt facuti sa creada ca vor fi concediati sau ca vor fi consecinte grave in urma deciziilor luate de acestia.
Altele ar mai fi : suprize, frica, suparare, panica, emotionare.
I.Emotiile puternice:
Acestea sunt folosite pentru a aduce “tinta” la o stare emotionala asa mare, incat aceasta sa nu mai dea atentie argumentelor.
Ex :
1. Anticiparea (primeste bani sau un premiu, astfel facand omul mai putin suspicios)
2. Stres : angajatii sunt facuti sa creada ca vor fi concediati sau ca vor fi consecinte grave in urma deciziilor luate de acestia.
Altele ar mai fi : suprize, frica, suparare, panica, emotionare.
II. Supra solicitarea:
Un om poate procesa o informatie intr-un anumit timp limitat.
Modul de a folosi aceasta vulnerabilitate este felul in care niste informatii corecte pot fi puse alaturi de informatii eronate, iar cele din urma fiind mai greu de observat.
Alt mod ar fi abordarea unei probleme din o alta perspectiva, dar “victimei” nu ii este lasata timp sa se gandeasca la aceasta perspectiva astfel lasand victima devenind mult mai maleabila(ar accepta opinini fara sa mai puna intrebari).
Un om poate procesa o informatie intr-un anumit timp limitat.
Modul de a folosi aceasta vulnerabilitate este felul in care niste informatii corecte pot fi puse alaturi de informatii eronate, iar cele din urma fiind mai greu de observat.
Alt mod ar fi abordarea unei probleme din o alta perspectiva, dar “victimei” nu ii este lasata timp sa se gandeasca la aceasta perspectiva astfel lasand victima devenind mult mai maleabila(ar accepta opinini fara sa mai puna intrebari).
III. Reciprocitatea:
Este descrisa ca un sentiment ce te face sa raspunzi automat la o favoare/cadou ce primesti. Omul este multi mai deschis sa raspunda la o cerere, daca a primit un cadou in prealabil.
Tot conceptul se refera la modalitatea de oferta-cerere. Cu cat dai mai mult, cu atat vei primi mai mult in schimb.
Este descrisa ca un sentiment ce te face sa raspunzi automat la o favoare/cadou ce primesti. Omul este multi mai deschis sa raspunda la o cerere, daca a primit un cadou in prealabil.
Tot conceptul se refera la modalitatea de oferta-cerere. Cu cat dai mai mult, cu atat vei primi mai mult in schimb.
IV. Relatii:
Cu cat o relatie este mai lunga, cu atat vei vedea mai mult incredere intre 2 persoane. O modalitatea de a stabili o relatie este modul prin care 2 oameni pot deveni prieteni avand acelasi inamic.
Un exemplu interesant ar fi cel prezentat de Mitnick ” two-year hack” ( Midnick and Simon 2005)
Cu cat o relatie este mai lunga, cu atat vei vedea mai mult incredere intre 2 persoane. O modalitatea de a stabili o relatie este modul prin care 2 oameni pot deveni prieteni avand acelasi inamic.
Un exemplu interesant ar fi cel prezentat de Mitnick ” two-year hack” ( Midnick and Simon 2005)
V.Autoritatea:
Aceasta este una din cele mai folosite modalitati de a sustrage informatii.
O persoana va desfasura o actiune cu o probabilitate mai mare, daca o persoana cu autoritate le-o va cere.
Ex: Experimentul Milgram. Il puteti gasi aici.
Aceasta este una din cele mai folosite modalitati de a sustrage informatii.
O persoana va desfasura o actiune cu o probabilitate mai mare, daca o persoana cu autoritate le-o va cere.
Ex: Experimentul Milgram. Il puteti gasi aici.
VI.Integritate:
Acest idee se refera la inclinatia oamenilor de a rezolva niste task-uri, daca acestea sunt scrise si semnate de catre cineva. Adica vor reactiona la niste task-uri mai repede in scris, decat daca ar fi fost informati prin telefon.
Ex: un angajat este plecat in vacanta, iar atacatorul stie asta. El ar putea trimite mail-uri in numele lui, iar acestea sa fie citite si executate de catre alti oameni in subordinea lui, fara prea multe intrebari.
Acest idee se refera la inclinatia oamenilor de a rezolva niste task-uri, daca acestea sunt scrise si semnate de catre cineva. Adica vor reactiona la niste task-uri mai repede in scris, decat daca ar fi fost informati prin telefon.
Ex: un angajat este plecat in vacanta, iar atacatorul stie asta. El ar putea trimite mail-uri in numele lui, iar acestea sa fie citite si executate de catre alti oameni in subordinea lui, fara prea multe intrebari.
Tehnici de social-engineering:
1.Culegerea de informatii de pe Google.
2.Internet
3.Newsgroups
4.Listari telefonice( Pagini aurii/albe)
5.Google Maps
6. Social/Business Networking Sites ( hi5,facebook,linkdb)
7.Blogs
8.IRC/IM( yahoo,msn)
9.Spionaj
10.Telefon
11. Fata-in-fata
12.Dumpster Diving
13.Phishing
14.Reverse Social Engineering
15.Alte metode( nici eu nu le stiu pe toate
)
1.Culegerea de informatii de pe Google.
2.Internet
3.Newsgroups
4.Listari telefonice( Pagini aurii/albe)
5.Google Maps
6. Social/Business Networking Sites ( hi5,facebook,linkdb)
7.Blogs
8.IRC/IM( yahoo,msn)
9.Spionaj
10.Telefon
11. Fata-in-fata
12.Dumpster Diving
13.Phishing
14.Reverse Social Engineering
15.Alte metode( nici eu nu le stiu pe toate
)Asta a fost una dintr-o serie de 3 articole despre acest subiect.
- Part I – Part II – Part III
P.S.:Aceste informatii trebuie folosite in scop pur educativ.
- Part I – Part II – Part III
P.S.:Aceste informatii trebuie folosite in scop pur educativ.
sursa : http://www.insecure.ro
Subscribe to email feed
