Social Engineering

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Temu rezervirao: Goran Topličanec


Izvor:http://www.prodec.co.uk/media/1822/what-is-social-engineering-banner.jpg


Sadržaj

Povijest

Najstariji primjer social engineeringa dolazi još iz drevne Grčke, tijekom Trojanskog rata. Nakon neuspješne desetogodišnje opsade Troje, grčka vojska se naizgled predaje i odustaje od opsade. Grci odlaze iz Troje i ostavljaju im drveni kip u obliku konja kao dar koji govori da je Troja neosvojiva, da su Grci izgubili. Trojanci uvode konja u grad i počinje danonoćno slavlje i veselje. U drvenom konju sakrivali su se grčki vojnici i čekali su svoju priliku. Kada su trojanci zaspali, nastupa vojna akcija i uništenje cijele Troje.

Poanta ove priče je kako nakon bezprijekorne obrane koja je odbijala grče vonike iz Troje 10 godina, jedna nepromišljena akcija dovodi do potpunog uništenja grada. Pošto se danas jedna klasa malware-a naziva po ovom Trojanskom konju, možemo reći da je ovo bila genijalna manipulacija svog doba. Dopustiti protivniku da pomisli da je pobijedio kako bi spustio svoj gard.

Izvor:http://s1.thingpic.com/images/9r/nvpP8DBLPUBJoq18LSrMQCgf.jpeg


Social Engineering

Social engineering je vještina manipulacije ljudi na način da oni povjere svoje povjerljive podatke napadaču. Vrsta informacija koje počinitelji traže različita je, ovisno o svrsi. Najčešće kada pojedinac postane metom takvih napada, napadači prevarom pokušavaju navest metu da im povjeri lozinke, informacije o bankovnim računima ili pristup osobnom računalu, pa tada zaraze računalo malicioznim kodom koji im daje pristup do lozinki i/ili drugih osjetljivih podataka te potpunom kontrolom nad našim računalom.

Druga definicija govori da je social engineering napad koji je jako usmjeren na ljudsku interakciju te uključuje prevaru ljudi kako bi se probile normalne sigurnosne procedure. Napadači se koriste ovom vještinom jer je obično lakše iskoristiti sklonost povjerenja drugim ljudima nego pronalaska načina kako hakirati računalo. Npr. puno je lakše nekog navesti da vam ta osoba da svoju lozinku nego pokušati hakirati tu istu lozinku (poseban slučaj je kada je lozinka banalna pa se brute forceom može lako probiti). Nadalje napadači se odlučuju za ovu vještinu zbog razloga ljudske sklonosti pomaganju. Npr. napadač, za kojeg smatramo da nam je poslovni kolega, predstavi nam situaciju u kojoj je on u problemu i potrebna mu je naša pomoć. Nije bitno da li ta pomoć uključuje pristup našim lozinkama, bankovnim računima ili nekim podacima vezanih uz posao.


Izvor:https://www.expressvpn.com/internet-privacy/wp-content/uploads/sites/2/2015/12/Social-Engineering-Graphic-final.png


Zaštita protiv ovakvih napada je znati kome i šta vjerovati, također važno je i prepoznati situaciju kada treba nekome, a kada ne treba nekome vjerovati. Ujedno važno je prepoznati da li je u trenutku komunikacije s osobom, upravo to baš ta osoba, za koju smo uvjereni da komuniciramo. Nadalje dobro je prepoznati situacije kada vjerujemo stranicama kojima se krećemo na webu, te na kojim stranicama je sigurno dijeljenje osobnih podataka.


Ako upitamo bilo kojeg sigurnosnog stručnjaka koja je naslabija karika u sigurnosnom lancu, velika večina će odgovoriti da su to ljudi, jer ljudi ponekad druge osobe ili situacije bez razmišljanja uzimaju zdravo za gotovo. Ako uzmemo u obzir situaciju u kojoj vaša vrata imaju nekoliko brava, ako se ispred tih vratiju nalaze psi čuvari i naoružano osoblje, do kojih se dolazi preko žičane ograde koja ima nadzorne kamere i alarmni sustav, sve to nema nikakvu svrhu ako osobu koja se predstavi na našim vratima kao dostavljač pizze i mi ga propustimo kroz svo to silno osiguranje bez provjere da li je to stvarno dostavljač pizze. U tom slučaju u potpunosti ste izloženi bilo kakvoj prijetnji koju ta osoba predstavlja.


Metode Social Engineeringa

• Phishing: je kad napadač šalje prevarljiv e-mail prerušen kao povjerljiv e-mail, koji ima pošiljatelja kao povjerljivi izvor. Sadržaj poruke ima svrhu prevariti metu i uvjeriti je/ih na dijeljenje osobnih, financijskih informacija ili klikanje na link, koji instalira malware.

Phishing prevare danas se pojavljuju kao jedne od najčešćih pokušaja social engineeringa te takve vrste prevara imaju slijedeće karakteristike:

-Koriste linkove koji prosljeđuju korisnika na sumnjive stranice 
-Zahtijevaju osobne podatke kao što su ime, adresa, bakovni računi, itd
-Sadrže prijetnje, strah i osjećaj hitnosti kako bi izmanipulirali korisnika

Nedavno se desio phishing napad u kojem napadači šalju e-mail metama kako bi oni instalirali APK datoteku sa Google Play-a, ali je ta APK datoteka bila ugrožena sa malwareom. Ovakav način prevare pokazuje kako napadači često koriste društvene načine komunikacije i malware u pokušaju manipulacije korisnika. Također poznatiji oblici ovakve manipulacije su poruke koje nas „obavještavaju“ o dobitku milijunskog iznosa, da smo sto tisućiti posjetitelj stranice i slično.


• Baiting: je situacija u kojoj napadač namjerno ostavi maliciozno zaražen fizički disk (USB) na mjestu za koje je siguran da će netko pronaći taj USB. Nadalje ljudska radoznalost u ovoj situaciji dolazi na naplatu, pa svaka ona osoba koja odluči povjeriti sadržaj toj USB-a je napravila veliku pogrešku. Software koji se nalazi na USB-u automatski se instalira na računalo i time je napadač uspješno izvršio svoj napad.

Baiting mnogo čemu nalikuje na phishing, ali ono što baiting razlikuje od ostalih metoda social engineeringa je obećanje predmeta koje napadači koriste kako bi primamili žrtvu. Napadači koji se koriste baitingom često žrtvama nude besplatne linkove za preuzimanje muzike ili filmova za uzvrat za korisničko ime i lozinku.

Primjer jednog ovakvog napada desio se 2006.godine. Steve Stasiukonis, osnivač i dopredsjednik organizacije Secure Network Technologies, kako bi pristupio sigurnosnim podacima financijskih klijenata, zarazio je nekoliko USB-ova Trojancima i nasumično ih pobacao po parkiralištu. Znatiželjnost ljudi koji su pronašli USB-ove na prakiralištima i uključili ih u svoja vlastita računala, dovela je do automatskog instaliranja keyologgera i pomoću njega je Steve dobio pristup osjetljivim podacima svojih financijskih klijenata.


• Pretexting: je situacija kada napadač prije napada stvori realnu priču ili scenario koji onda koristi kako bi pokušao ukrasti osobne ili financijske podatke svojih žrtava. Ova vrsta napada najčešće ima oblik u kojoj napadač koji se pretvara da treba određene informacije o svojoj žrtvi kako bi potvrdio njezin identitet. Napredniji oblik ovakve vrste napada je manipulacija žrtve na otkrivanje strukturnih slabosti organizacije koje onda napadač koristi za napad.

Primjer ovakog napada bio bi da napadač koji je prerušen u IT stručnjaka neke organizacije koristi znanja o tom poduzeću kako bi manipulacijom prošao pokraj zaštitara u zgradu poduzeća. Za razliku od phishinga, kod kojeg se koristi strah i osjećaj hitrosti za manipulaciju, kod pretextinga manipulacija se svodi na kreiranje lažnog osjećaja povjerenja kod mete. To zahtjeva kreiranje vjerodostojnog scenarija kojem žrtva ne bi posumnjala. Pretexting napadi koriste se kako bi napadači prikupili i osjetljive i ne osjetljive informacije.

Idealan primjer ovakvog napada desio se prije nekoliko godina u kojem su se napadači predstavili kao agencija za modeliranje i usluge eskorta, stvorili vjerodostojnu pozadinsku priču i razgovore za posao, kako bi iskoristili žene različitih dobi na slanje osjetljivih fotografija.


• Scareware (quid pro quo): je vrsta napada u kojoj napadač obećaje korist žrtvi u zamjenu za informaciju Uključuje manipulaciju žrtve tako da ona pomisli da je njegovo računalo zaraženo malware-om. Napadač se u toj situaciji nudi kao pomoć i nudi rješenje koje će riješiti problem. Ponekad napadači manipulacijom žrtve navode na isključivanje firewall-a i/ili antivirusnih programa. Te tada žrtvama „serviraju“ rješenje njihovog problema, koje je zapravo napadačev maliciozni kod.


• Tailgating („piggybacking“): je metoda manipulacije osobe koja ima pristup određenom ograničenom području. Idealan primjer ovakvog napada je napadač koji se predstavlja kao dostavljač, poštar, itd., te on čeka ispred zgrade za koju nema odgovarajću autentifikaciju. U trenutku kada zaposlenik, koji ima odgovarajuće autentifikacijsko sredstvo, ulazi u zgradu, napadač manipulira zaposlenika da on zadrži vrata i tako zaposlenik bez imalo sumnje daje pristup ne autentificiranoj osobi u zgradu.

Primjeri

Social engineering kao dio APT

APT (advanced presistent threat) je računalni napad u kojem neautorizirana napadač dobiva pristup mreži i ostaje neprimjetan na duži period vremena. Cilj ovakvog napada utoliko prije je krađa podataka nego uništavanje mreže. Kod ovakvog napada često se koriste phishing metode, samo što su one specifično dizajnirane za određene pojedince i/ili organizacije. Jednom kada napadač ima pristup mreži koristi se raznim vještinama kako bi postigao „elevation of privilege“ i tako pristupio osjetiljivim datotekama.


APT napadi najčešće imaju tri faze. Prva je social engineering. Ova faza razlikuje APT od starog načina hakiranja. Od prvog spomena APT-a bilo je jasno da obrana protiv ovakve vrste napada neće biti jednostavna, zbog toga što se koriste metode social engineeringa sa napadanjem ranjivih mjesta u organizacijskoj strukturi organizacije.


End-point sigurnosni stručnjaci bore se sa zaštitom protiv jednostavnijih napada kao što su maliciozni kod. Ako zaposlenik koji korisni izloženo računalo šalje podatke koji se odnose na organizaciju oni na jednostava način mogu odlaziti na treću stranu, a da to zaposlenik i organizacija ne znaju. To ne znanje je najveći problem koji jedna organizacije može imati.


Social engineering ima isti efekt. Glavrni razlog tome je što su ljudi isto kao i hardware i software dio organizacijske strukture i svi oni mogu biti podležni napadima. Prije 30 godina prikupljanje osjetiljvih informacija odvijalo se na način traženja slabih točaka mrežne ili softwareske infrastrukture. S druge strane, danas se koristi malo sofisticiraniji pristup. Danas se koriste podaci o zaposlenicima koji su dostupni putem društvenih mreža. Te se napadaju zaposlenici nekim od spomenutih social engineering metodama.


Kako bi što jasnije objasnili APT princip analizirat ćemo događaj koji se desio 2011.godine u poduzeću, koje se bavi osiguranjem, RSA. Sam napad počinje slanjem dvaju različitih phishing e-maila u razmaku od nekoliko dana. E-mailovi su bili namijenjeni dvjema skupinama zaposlenika. Za osobe koje su bile dio tih grupa ne navodi se visoki profil ili se ih tretira kao ciljeve viskoe vrijednosti.


Sadržaj e-maila bio je skriven pod nazivom „2011 Recrutment Plan“. Naslov te poruke bio je zanimljiv nekolicini zaposlenih te ih naveo na otvaranje. Sadržaj poruke sadržavao je excel privitak pod nazivom „2011 Recruitment plan.xls“. Nikom od zaposlenika koji su otvorili nije bilo ništa sumljivo i nisu bili svjesni lančane reakcije koju su nehotice započeli. .xls datoteka sadržavala je maliciozni kod koji je nakon automatske instalacije osigurao napadačima potpuni pristup računalima.


Jednom kada su napadači dobili pristup mreži slijedeća faza bila je „elevation of privilege“. Naime, odabrana grupa korisnika služila je samo za infiltraciju. Napadači su trebali korisnika koji ima više privilegija u sustavu. Pa jednom dok su bili ubačeni u sustav, trebali su pronaći korisnika koji ima privilegije administratora. Ovo je jedan od ključnih razloga zašto svjesnost rizika social engineeringa ima veliki utjecaj na obranu od APT napada. Ukoliko u poduzeću nitko ne zamijeniti „opsadu“, ne mogu se poduzeti nikakve mjere prevencije ili zaštite. Pa tako napadači imaju svo vrijeme svijeta da prikupe podataka o korisnicima sa većim ovlastima. U našem slučaju sigurnosni stručnjaci RSA su zamijetili neobične akcije unutar njihove strukture pa su napadači morali ubrzati proces.


U zadnjoj fazi APT-a cilj je prikupiti bilo što čega se napadači mogu dočepati. Nakon što su shvatili da su bili otkriveni preuzeli su podatke sa RSA servera, kompresirali ih i kriptirali i pomoću FTP protokola prenijeli podatke na vanjsko ugroženo računalo. Podaci su sa računala preuzeti i tako nije bilo moguće ući napadačima u trag.

Izvor:http://www.swirlingovercoffee.com/wp-content/uploads/2014/05/Advanced-Persistent-Threat.png

ABN Amro Bank

2007. godine nepoznati počinitelj ukrao je iz Belgijske banke drago kamenje u vrijednosti od 120,000 karata. Za svoj pothvat koristio je vrlo uvježbane metode social engineeringa. Naime tvrdi se da je bio argentinac, za što se ustanovilo da je bila ukradena putovnica, koji je koristio usluge banke dugi niz godina. Posjećivao je banku tijekom normalnih radnih dana i na taj naćin upoznao se sa svim osiguranjem koje banka ima. Zaposlenici su ga smatrali stalnom mušterijom.

Manipulacijom cijelog sigurnosnog sustava dobio je povjerenje osoblja i pristup originalnim ključevima sefova, te je točno znao u gdje i kada će se drago kamnje nalaziti. Šteta je procijenjena na oko 21 milijun €, te jedan detalj koji je jako zanimljiv, a to je izjava glasnogovornika ABN Amro:

„You can have all the safety and security you want, but if someone uses their charm to mislead people it won't help“.



Mjere opreza

Napadači koji koriste koncepte social engineerigna u svojim napadima koriste ljudsku psihologiju i znatiželju kao glavna sredstva u manipulaciji svojih meta. Sa tom činjenicom na umu, pitanje sigurnosti preostaje na odgovornosti korisnika i nadležnih osoba za sigurnost.

Slijedi nekoliko savjeta kako smanjiti ili izbjeći rizik izlaganja social engineeringu:

• Ne otvarati e-mail poruke koje imaju nepouzdan izvor. 
• Ne prihvaćati nikakve sumnjive ponude (ako zvući ne realno, vjerojatno i je). 
• Zaključavati računala kad nisu u upotrebi.
• Koristiti anti virusne programe, te ih redovno ažurirati.
• Upoznati se sa izjavom o privatnosti unutar organizacije.
• Istražiti činjenice. Ukoliko postanemo sumnjičavi oko pošte iz organizacije ili web mjesta koje nam je poznato, istražiti porijeklo i sadržaj poruke.
• Obrisati bilo kakav zahtjev o podjeli privatnih informacija. Ni jedna organizacija putem e-maila ne traži korisničke podatke.
• Kod bilo kakvog preuzimanja biti svjestan od koga i što točno preuzimamo.

Stručnjaci IT sigurnosti predlažu da se na bazi odjela redovito provode penetracijski testovi. To su testovi koji testiraju računalni sustav, mrežu, aplikacije i ljude kako bi pronašli slabosti sustava koje potencijalo predstavljaju prijetnju. Ovakvi testovi daju administratorima uvid u realno stanje sustava. A što je još bitnije pokazuju koja vrsta osoba je najviše izložena napadima pomoću social engineeringa. Na temelju tih podataka, svaka slabost se može popraviti, kako kod hardwarea i softwarea tako i kod livewarea. Ako je osoblje upoznato sa potencijanim rizicima kojima mogu biti izloženi, te ako znaju kako reagirati u tim situacijama, moguće je drastično smanjiti, a možda čak i uknoniti pokušaje napada korištenjem metoda social engineeringa.


Izvor:http://img.wonderhowto.com/img/54/06/63570475675930/0/social-engineering-most-powerful-hack.w1456.jpg


Korisni linkovi

1. https://www.youtube.com/watch?v=F78UdORll-Q&t=18s (14.01.2017)

2. https://www.youtube.com/watch?v=PWVN3Rq4gzw&t=3s (14.01.2017)

3. http://sin.thecthulhu.com/library/security/social_engineering/The_Art_of_Human_Hacking.pdf (14.01.2017)


Literatura

1. http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=8 (14.01.2017)

2. https://www.microsoft.com/en-us/SDL/adopt/eop.aspx (14.01.2017)

3. http://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT (14.01.2017)

4. http://searchsecurity.techtarget.com/definition/social-engineering (14.01.2017)

5. http://searchsecurity.techtarget.com/definition/phishing (14.01.2017)

6. https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/ (14.01.2017)

7. https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering (14.01.2017)

8. http://www.nbcnews.com/id/17581876/ns/world_news-europe/t/man-steals-million-diamonds-bank/#.WHzGg_krK9K (14.01.2017)

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima