Page 1TheUltimate GHID Social Inginerie De la CSO Magazine și CSOonline.com Conținut I. Definiție Ce este ingineria socială? Ce inginerii sociale anunt Cum inginerii sociale de lucru II. Tactici de bază De ce oamenii se încadrează pentru sociale inginerie și alte escrocherii III. Profilaxie IV. Inginerii sociale în acțiune "Linii Pickup" utilizate în mod obișnuit O mulțime de povești și exemple reale BU s I ness RI s K AD e R s HIP L e

Page 2CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 2 I. Definiție Ce este ingineria socială? Ingineria socială este arta de a avea acces la clădiri, sistemelor sau a datelor prin exploatarea psihologiei umane, mai degrabă decât prin rupere sau folosind tehnici de hacking tehnice. De exemplu, în loc de a încerca să găsească o vulnerabil- software tate, un inginer socială ar putea numi un angajat și prezintă ca un Suport IT persoană, încercând să păcălească angajat în divulg- ING parola. Scopul este de a câștiga încrederea de o sau mai multe dintre angajații dumneavoastră. Hacker celebru Kevin Mitnick a ajutat la popularizarea Termenul "inginerie socială", în anii '90, dar ideea simplă în sine (pacalind pe cineva în a face ceva sau divulgarea informațiile sensibile) a fost în jurul pentru vârstele. Ce Ingineri sociale Vrei Scopul in mai multe inginerii sociale este de a obține personal informații care îi pot duce fie direct la tele de financiar sau furt de identitate sau să le pregătească pentru o mai orientate atac. Acestea arata, de asemenea, moduri de a instala malware care oferă le un acces mai bun la datele cu caracter personal, sisteme informatice sau conturi, ei înșiși. În alte cazuri, inginerii sociale sunt

căutarea de informații care să conducă la un avantaj competitiv. US care escrocii găsesc valoros includ următoarele: N Parolele N Numere de conturi N Chei N Orice informații personale N Carduri de acces și ecusoane de identitate N Listele de telefon N Detalii despre sistemul de computer N Numele de cineva cu privilegii de acces N Informații despre servere, retele, URL-uri non-publice, intranet Cum inginerii sociale de lucru Există un număr infinit de exploit de inginerie socială. Un escroc vă poate păcăli să lăsând-o usa deschisa pentru el, vizitarea unei pagini Web false sau descărcarea unui document cu cod malitios, sau s-ar putea introduce un USB din computer care îi dă acces la rețeaua companiei dumneavoastră. Tipic ploys includ următoarele: fura parolele: În această manevră comună, hacker folosește informații de la un profil de social networking pentru a ghici parola memento întrebarea unui victimei. Acest tehno- nique a fost utilizat pentru a hack Twitterand pauză în Sarah Palin lui e-mail. Friending: În acest scenariu, un hacker câștigă încrederea unui individuală sau de grup și apoi la toate persoanele să faceți clic pe link-uri sau echipamente care conțin malware care introduce o amenințare, cum ar fi capacitatea de a exploata o slăbiciune într-un sis- corporativ TEM. De exemplu, spune Netragard CTO Adriel Desautels, el s-ar putea lovi o conversație on-line cu privire la pescuit și apoi trimite o fotografie de o barca se gândește de cumpărare. Falsa identitate / ghemuit rețea socială: În acest caz, hacker tu tweets, prietenii vă sau alt contacte te online folosind numele cuiva. Apoi, el a vă solicită să-i fac o favoare, cum ar fi trimiterea lui o foaie de calcul sau oferindu-i date de la "biroul". "Orice veți vedea pe un sistem informatic poate fi falsificata sau manipulate sau aug-

în aplicare de un hacker ", spune Desautels. Dându-se drept un insider: În multe cazuri, escrocul ridică ca un serviciu de asistență lucrător IT sau a contractorului pentru a extrage informații TION cum ar fi un parolele de la un angajat ignorant. "Aproximativ 90% din persoanele care le-am exploatat cu succes în timpul [evaluărilor de vulnerabilitate pentru clienti] avut incredere in noi pentru că au crezut că am lucrat pentru aceeași companie ca ei ", Desautels says.In un caz, un lucrător Netragard a pozat ca un antreprenor, sa imprietenit un grup de client anilor lucrătorilor și a înființat un sistem de phishing de succes prin pe care el spicuite scrisorile de acreditare ale angajaților, în cele din urmă câștigă intrare pentru întreaga infrastructură corporativ. de stat a statului Atacurile de inginerie socială sunt larg răspândite, frecvente și Organizațiile costa mii de dolari anual, in functie de cercetare de la firma de securitate Check Point Software Tehno- tehnologii. Sondaj de 850 de profesioniști IT și de securitate Situat în SUA, Canada, Marea Britanie, Germania, Australia și Noua Zeelandă a găsit aproape jumătate (48%) au fost victime ale inginerie socială și au experimentat 25 sau mai multe atacuri în ultimii doi ani. Atacurile de inginerie socială victimelor low cost o medie de 25.000 dolari - 100.000 dolari per incident de securitate, un raport state. "Atacurile social inginerie-țintă în mod tradițional de oameni cu o cunoaștere implicită sau accesul la informații sensibile TION ", potrivit unei declarații de la Check Point, pe de sondaj. "Hackerii astăzi leverage-o varietate de tehnici și aplicații de rețele sociale pentru a colecta personal și pro- informații profesională despre un individ în scopul de a găsi veriga cea mai slabă în organizație. " Dintre cei intervievati, 86% recunosc inginerie socială ING ca o preocupare tot mai mare, cu majoritatea respondenților (51%), citând un câștig financiar ca motivația principală a atacuri, urmate de avantaj competitiv și de răzbunare. Cel mai frecvent atac Vectorii de inginerie socială Atacurile s-au phishing e-mailuri, care au reprezentat 47% din incidente, urmate de site-uri de social networking, la 39%. Noii angajați sunt cele mai sensibile la ingineria socială de mașini, potrivit raportului, urmată de contractori (44%), asistenți executive (38%), resurse umane (33%), liderii de afaceri (32%) și personal IT (23%). Cu toate acestea, aproape o treime din organizații au spus nu au o prevenire inginerie socială și de conștientizare Programul în loc. Dintre cei chestionați, 34% nu au nici o politici de formare sau de securitate angajat în vigoare, pentru a preveni tehnici de inginerie socială, deși 19% au planuri de a

punerea în aplicare una, în conformitate cu Check Point.

Page 3CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 3 II. Tactici de bază Există patru tactici psihologice de bază care ingineria socială ingineri de a utiliza pentru a câștiga încrederea și a obține ceea ce doresc, potrivit la Brian Brushwood, gazdă a seriei Web video, "înșelătorie Școală. " Cunoscând aceste principii care stau la baza de inginerie socială ING va permite angajaților să recunoască mai ușor când acestea sunt vizate de un escroc. 1. inginerii sociale transmite încredere și control. Potrivit Brushwood, unul dintre primii pași pentru a trage off ceva înșelător este de a acționa încrezător. De exemplu, cineva încercarea de a obține într-o clădire sigură s-ar putea crea o insigna sau pretinde a fi de la o companie de servicii. Cheia pentru asistent în fără a fi contestat este de a acționa pur și simplu ca tine aparțin acolo și că nu ai nimic de ascuns. Transport probleme cu postura corpului pune altele la usurinta. "Oamenii care rulează securitate concert de multe ori nu sunt chiar look- ingforbadges, "saysBrushwood." Ei arelookingforpos- turii. Ei pot spune întotdeauna cine este un fan încearcă să se strecoare înapoi și prinde o bucatica de stele și care lucrează la eveniment pentru că ele par ca și cum ei aparțin acolo. " Un alt mod de a câștiga mâna de sus este de a părea responsabil prin conversație, spune Brushwood. "Persoana care pune întrebările controlează conversația ", spune el. "Când cineva îți pune o întrebare, ea pune imediat te pe apărare. Te simți o presiune socială pentru a se obține o corectă sau răspuns adecvat. " Takeaway: angajații sfătuim să nu devină prea com- fortable cu care să permită afară în clădire. Vizitatori (Și furnizorii de servicii) ar trebui să aibă acreditări verificate bine-chiar dacă acestea sunt chipuri familiare. 2. inginerii sociale ofere cadouri sau favoruri. Reciprocității cation este un alt impuls uman utilizat de către inginerii sociale, în conformitate cu Brushwood. "Când oamenii sunt date pe ceva lucru, cum ar fi o favoare sau un cadou, chiar dacă nu le plac în mod activ persoana care a făcut-o, ei simt nevoia sa faca acelasi lucru ", spune Vreascuri. Exemplele includ o placă de cookie-uri oferite un recepționer sau o oferta de a ține ușa pentru un angajat. Timpul de întârziere între oferindu-cadou și cere o favoare este important. "Dacă oferi un cadou și apoi imediat cere o favoare, șansele sunt că cineva s-ar putea percepe

o ca mită. În cazul în care ei percep ca mită, ei reacționează necompensate lemele confortabil. "În schimb, un artist con de specialitate ar putea da ceva pentru un angajat de prevenire a instituționalizării devreme în a doua zi și apoi vin înapoi mai târziu, susținând un mix-up, cum ar fi un element lăsat în urmă după o întâlnire. "Sanse sunt, ei vă va lăsa de drept reciprocitate pentru modul în care le-a tratat mai devreme ", spune Brushwood. Takeaway: Recomandă angajații să fie sceptici cu privire la oricine care încearcă să le dea ceva. În funcție de cât de mare mizele sunt, un criminal cu experiență pot cheltui chiar saptamani de stabilire a terenul pentru a forma o relație de reciprocitate shipwithstaff thatcan rezultat orsecure inaccesstosensitive zone. 3. inginerii sociale a utiliza umor. În general, oamenii se bucură compania a celor cu un bun simț al umorului. Sociale inginer știe asta foarte bine si foloseste-l pentru a obține mațiilor informații, se desprindă de un portar sau chiar pur și simplu ieși din necaz. Vreascuri a folosit umorul pentru a ieși din bilete de excesul de viteză de multe ori. Truc său este de a arăta o imagine amuzant licență și apoi chiar găsește o modalitate de a preda ordonatorului de un monopol "Get din Jail Free "carte, ca parte a shtick lui side-of-the-road. "Poliția a face toată ziua cu poveștile boo-Hoo", spune el. "Dar abordarea mea este de a fi optimist, pentru a le da impresia Sion că eu nu sunt îngrijorat și ar atârna destul de afară și face să râdă. " Takeaway: Într-o încălcare sau scenariu criminal, social inginer ar putea să încerce și chat cu un angajat pentru a obține mațiilor informații de la el. Un bun exemplu este apelul IT fals, în cazul în care apelantul solicită parola unui angajat. Este mult mult mai probabil ca informațiile sensibile vor fi voluntar în cazul în care conversația este distractiv, și pune angajatul la usurinta. 4. inginerii sociale poate afirma întotdeauna un motiv. Perii de lemn a fost inspirat recent de rezultatele unui recent Studiu de la Harvard au descoperit că oamenii sunt susceptibile să cedeze la o solicitare în cazul în care cuvântul ", deoarece" este utilizat atunci când cere. studiu a analizat grupuri de oameni care așteaptă să utilizeze o copie mașină într-o bibliotecă și modul în care acestea au răspuns atunci când unele- un apropiat și a cerut să taie în linie. În primul grup, persoana ar spune, "Scuză-mă, au cinci pagini. Pot folosi aparatul Xerox pentru că eu sunt într-o grabă? "În această grupă, 94% permis persoanei de a sări peste înainte în linie. Într-un alt grup, line-tăiere a întrebat: "Excuseme, Ihavefivepages.MayIusetheXeroxmachine?" Doar 60% au spus da la această persoană. Într-un al treilea grup, întrebarea TION a fost, "Scuză-mă, am cinci pagini. Pot folosi Xerox mașină pentru că am nevoie pentru a face copii? ", chiar dacă

Motivul a fost aparent ridicol, 93% mai spus da la line-cutter. "Se pare că, cuvântul magic este că,", spune Brushwood. "La fel ca în cazul în care te vezi pe cineva marș în jurul ca le detin locul, este sigur să se presupună că aparțin acolo. De asemenea, dacă cineva spune "pentru că," oameni presupun ca au ceva motiv legitim. " Vreascuri subliniază faptul că obținerea cooperare oamenilor necesită doar percepția de un motiv, chiar dacă motivul este un nonsens. Takeaway: Este important să încetinească și uite și asculta la ceea ce se întâmplă și ceea ce se spune într-un mediu de lucru. În timpul o zi agitata, poate părea ușurin- IER a val cineva sau să renunțe la informații atunci când este solicitat. Dar gradul de conștientizare și prezență de spirit sunt para- montare a preveni un criminal să profite de voi. III. Profilaxie Nici o organizație nu este imun la amenințarea reprezentată de inginerie socială ing. Luați în considerare un concurs organizat la securitatea Defcon conferința ence, în care concurenții au fost provocate cu obținerea informații despre companii-țintă care ar putea fi utilizate pentru

Page 4CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 4 un atac ipotetic. De 140 de apeluri telefonice efectuate la locuri de EES la companiile vizate, aproape toate tuși sus informațiilor; doar cinci angajați nu. Și 90% din angajații vizați a deschis o adresă URL trimis la ei de către concurenți, chiar dacă- ei chiar nu știu persoana care le-a trimis. Numerele dezvăluie amploarea problemei inginerie socială pentru toate organizațiile. Cu asta în minte, aici sunt câteva modalități de a minimiza dvs. risc organizației. Creșterea gradului de conștientizare a personalului Este unanim acceptat faptul că cel mai eficient mod unic pentru a lupta socialengineers este staffawareness. Cultură Asecurity-conștient este posibilă în orice organizație atâta timp cât acesta este standardul prin care toată lumea își desfășoară activitatea, precum și concepte sunt în mod constant armat. Iată câteva modalități de a construi o cultură de securitate. Audry Agle, CISSP, CBCP, MBA și un con- independent consultant în zona San Diego, oferă șapte idei pentru a vă ajuta sensibilizarea personalului cu privire la pericolele de inginerie socială. Recurs la viața personală: Ia persoane interesate in tate se- prin înarmarea lor cu tehnici pentru a asigura propria lor

informații cu caracter personal. Oferta de prânz-N-Learn sesiuni în cazul în care personalul poate obține sfaturi pentru ceea ce trebuie să fie tocat sau închis la domiciliu, cum să gestioneze parole personale, cum de a securiza rețelele wireless la domiciliu, etc. Asigurați mesajul vizibil: Pune postere de până la fax mașini, containere rupeți și camere de cafea. Fă-i a ochilor catchingbut simplesothatanyonewalkingbycanreadand interpreta-le fără să se rupă de mers. Schimbați mes- ta înțelepți cel puțin o dată pe lună astfel încât nu este întotdeauna ceva nou. Dacă nu aveți un artist grafic cu personalul, angaja un colegiu elev de a face opera de arta, sau de a folosi una din garanția de conștientizare Ness furnizori pentru cele de-a gata. Furniza tratează: Ai fi surprins cât de departe merge o gogoasa pentru a atrage atentia. Au o celebrare ocazional în cazul în care Securității se- mulțumesc personalul pentru a face partea lor. Utilizați biroul lor: Dacă aveți o politică de birou curat, efectuați birou aleator verifică după ore. Recompensa pe cei care au nici un material sensibil de către lăsând un tratament mic ca o bucată de bomboane sau pachet de gumă și un "Multumesc pentru aceasta piesa ta" Atentie, sau introduceți-le într-un desen lunar pentru un premiu. Adu-l la ecranul computerului lor: Dacă aveți o companie buletinul, includ un articol de securitate în fiecare ediție și furnizează informații cu privire la cele mai recente incidente, în special în industria ta. Supliment newsletter-ul cu un lunar e-mail pentru întreg personalul, cu un scurt mesaj despre un timp util și relevante de siguranță subiect-PDA, pregătirea pentru situații de urgență sau o memento de care să ceară incidente suspecte. A oferi o Pagina de securitate de pe intranet angajat care listează mobiliare Politicile se-, informații importante de contact, link-uri, etc. Necesită pregătire: programe de formare va fi mult mai eficient tive dacă includ exerciții interactive, concursuri, jocuri sau da-aways. Încercați să-l păstrați scurt, de testare și înțelegere. Mers pe jos de mers pe jos: O tehnica de mare impact este de senior Membrii de conducere pentru a afișa propria lor înclinație pentru securitate. Publicitate pe plan intern, atunci când cineva face pe ceva lucru care contracarează un potențial atac, sau vine cu o control care perpetueaza securitatea organizației dumneavoastră într-un cost-eficiente manieră. Amintiți-vă că angajații dumneavoastră pot face sau de a sparge ta programul de securitate, Agle spune, asa ca le angajate în proces prin solicitarea de feedback și sugestii. opri, cred, Connect O coaliție de guvernare, industrie și non-profit organi- organizațiile in- au dezvoltat o campanie care își propune să facă oamenii cred că înainte de a se angaja în activități potențial riscante on-line. Message "Stop. Gândiți-vă. Conectează-te "-. Este destinat

să fie ușor de înțeles și pus în aplicare, un alt pop la sloganuri de siguranță ular, cum ar fi, "sau bilete Faceți clic pe" și "Stop, Uită-te și ascultă. "Campania este rezultatul unui mandat de la Cyberspace Politica de opinie președintelui Barack Obama, care a solicitat crearea unei conștiințe publice naționale Campania sa concentrat pe securitatea cibernetică. "Este un mesaj simplu, de atac care se aplică la fiecare persoană unul ca ne-am conecta la Internet de la o serie de dispozitive, inclusiv laptop-uri, computere personale, smartphone-uri și console de jocuri ", spune NCSA Director Executiv Michael Kaiser. Învăța și preda lecții de bază În cartea sa Inginerie socială: The Art of Hacking uman, Chris Hadnagy spune trei povești memorabile ale vulnerabil- teste de evaluare tate că el efectuate pentru companii, la a evalua nivelul lor de expunere. Fiecare puncte de poveste la ceea ce zații organizațiile in- pot învăța de la aceste rezultate. Cazul CEO-ul prea încrezător Lecții învățate 1: Nu există informații, indiferent de per- sale personală sau de natură emoțională, este în afara limitelor pentru un inginer socială care caută să facă rău. Lecții învățate 2: Acesta este adesea persoana care crede este cel mai sigur, care reprezintă cea mai mare vulnerabilitate. Unele Experții cred că directorii sunt cel mai ușor inginerie socială ING obiective. Hadnagy a fost odată angajat în calitate de auditor SE pentru a încerca să accesa serverele de o tipografie, acesta a proceselor și vânzătorii au fost de proprietate și de interes pentru concursuri tori. CEO-ul a spus Hadnagy, care l-ar fi hacking aproape imposibil, deoarece el "păzit secretele sale cu balonul viață. " "El a fost cel care nu a fost niciodată de gând să scadă pentru acest lucru", spune Hadnagy. "Se gândea cineva ar pro- suna abil și să ceară parola, iar el a fost gata pentru o se apropie de genul asta. " După unele colectarea de informații, Hadnagy găsit locații de servere, adrese IP, adrese de email, telefon numere, adrese fizice, servere de mail, angajat nume și titluri și mult mai mult. Prin intermediul Facebook, el a fost, de asemenea, posibilitatea de a obține alte detalii personale despre CEO, cum ar fi restaurantul său favorit și sport team.But real premiu a venit atunci când Hadnagy a aflat a fost implicat CEO

Page 5CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 5

in cancerul de strângere de fonduri, ca urmare a unui membru al familiei de succes lupta cu cancerul. Înarmat cu informațiile, el a fost gata să lovească. El numit CEO și a pozat ca o strangere de fonduri de la un cancer caritate CEO-ul a fost tratat în trecut. El a informat l-au ofereau un premiu de desen în schimbul donații-și premiile inclus bilete la un meci jucat prin echipa sa favorită de sport, precum și certificatele de cadou pentru de mai multe restaurante ERALE, inclusiv locul lui preferat. Bitul CEO, și a fost de acord să lase Hadnagy-l trimită în format PDF cu mai multe informații pe unitatea de fond. El chiar a reusit pentru a ajunge CEO-ul să-i spună ce versiune de Adobe Reader el a fost difuzate. La scurt timp după el a trimis PDF, CEO-ul deschis aceasta, instalarea unui shell care a permis Hadnagy pentru a accesa său mașină. Atunci când Hadnagy și partenerul său au fost raportate înapoi la Firma cu privire la succesul lor cu încălcarea CEO-ului calculator, CEO-ul a fost de înțeles supărat, spune Hadnagy. "El a simțit că a fost nedrept am folosit ceva de genul asta, dar iată cum funcționează lumea ", spune el. "Un hacker rău intenționat nu s-ar gândi de două ori despre utilizarea acestor informații împotriva l. " Tema Park scandal Lecții învățate 3: Politica de securitate este la fel de bun ca ei executare. Lecții învățate 4: Infractorii vor juca de multe ori la un dorința angajat de a fi de ajutor. Ținta în acest studiu de caz următoare a fost un parc tematic matice ent că a fost preocupat de potențial compromis a sistemului său de ticketing, așa cum calculatoarele utilizate pentru a verifica în patronii conținea, de asemenea, link-uri către servere, informații client și înregistrările financiare. Hadnagy a început testul său de apel parc, dându-se drept un agent de vanzari software. El a fost oferind un nou tip de PDF- lectură software-ul care a vrut parc pentru a încerca printr-o Oferta proces. El a întrebat ce versiune au fost utilizați în prezent, a obținut informații cu ușurință și a fost gata pentru etapa a doua. Următoarea etapă necesară pe site-ul de inginerie socială, și Hadnagy folosit familia sa pentru a asigura succesul. Rubrică până la una dintre ferestrele de bilete cu soția și copilul în tractarea, el a întrebat unul dintre angajați în cazul în care s-ar putea utiliza calculatorul lor pentru a deschide un dosar de e-mail lui care conținea un atașament PDF ment pentru un cupon care le-ar da admitere discount. "Totul ar fi mers spre sud, dacă ea a spus nu," explică Hadnagy. "Dar sa arate ca un tata, cu un copil anx-

străzi pentru a intra în parc, trage sforile la inima. " Angajatul a fost de acord, iar sistemul informatic al parcului a fost compromis rapid de rău PDF Hadnagy lui. În minute, partener Hadnagy a fost texting el să-l lase Știu că a fost "în" și colectarea de informații pentru raportul lor. Hadnagy subliniază faptul că în timp ce politica de angajat al parcului Statele ele nu ar trebui să deschidă atașamentele din necunoscut surse (chiar și un client au nevoie de ajutor), nu au existat norme în loc să-l pună în aplicare efectiv. "Oamenii sunt dispuși să meargă la lungimi de mare pentru a ajuta pe alții afară ", spune Hadnagy. Hackerul ESTE tocat Lecții învățate 5: inginerie socială poate fi parte a unei strategiei de apărare organizației. Lecții învățate 6: Infractorii vor merge de multe ori pentru joasă agățat de fructe. Oricine poate fi un obiectiv de securitate, dacă este scăzută. Un al treilea exemplu arată modul în care este utilizată de inginerie socială pentru scopuri defensive. Profile Hadnagy "John", o pen- etration tester angajat să realizeze o rețea standard de pensionare încercare etration pentru un client. El a fugit o scanare folosind Metasploit, care a relevat o VNC deschis (virtuală de calcul de rețea) Server, un server care permite controlul de alte masini de pe de rețea. El a fost documentarea descoperirea cu sesiunea de VNC deschis atunci când, dintr-o dată în fundal, un șoarece a început să deplasa pe ecran. Ioan știa că a fost un steag roșu pentru că la momentul din zi acest lucru a fost întâmplă, nici un utilizator ar fi con- conectat la rețea pentru un motiv legitim. El a suspectat un intrus era în rețea. Având o șansă, John a deschis Notepad și a început chat- Ting cu intrusul, dându-se drept un hacker nou și necalificați. "El a crezut," Cum pot obține mai multe informații de la tipul ăsta și să fie mai valoros pentru clientul meu? '", spune Hadnagy. "John a jucat la ego-ul tipului de încercarea de a pretinde el a fost un newbie care a vrut să afle mai multe de la un hacker maestru. " Ioan a cerut hacker-ilor mai multe întrebări, pretinzând că să fie dornici să învețe câteva trucuri ale comerțului hacking. Prin timp chat-ul a fost de peste, el a avut de e-mail intrusului, con- tact informații și chiar o poză cu el. El a raportat informațiile înapoi la clientul său, iar problema de ușor accesul la sistem a fost de asemenea determinată. Hadnagy, de asemenea, subliniază faptul că Ioan a învățat prin intermediul lui conversație cu hacker că hacker nu a avut într-adevăr a fost orientarea companiei; el a fost doar în căutarea în jurul valorii de ceva ușor de compromis și a găsit sistem deschis destul de ușor. asigura veriga cea mai slabă: Utilizatorul final

În timp ce tehnologia sa schimbat, factorul cel mai influent în securitate nu are: Angajatul. Ca Winn Schwartau, fondator al Securității de sensibilizare Compania spune: " cea mai slabă verigă în toate aceste lucruri este persoana de la tastatură. " Ca rezultat, managerii de securitate sunt împotriva unei combinații de ignoranță, apatie și aroganță atunci când vine vorba incare conștientizare individual. Aici sunt două momente docil care Schwartau are întâlnite în decenii sale de efectuarea securitate de conștientizare Ness de formare. Inginerie socială, spune el, are jucători noi și forme, dar tehnicile de bază rămân, de obicei, la fel. furniza niciodată personal informational Pentru oricine moment docil: partea de pregătire de conștientizare trebuie să include instrucțiuni specifice să nu dea afară mațiile cu caracter personal

Page 6CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 6 informații către orice persoană sau departament. "Lasă-i să știe: nostru Departamentul nu vă va solicita pentru aceste tipuri de detalii, " spune Schwartau. "Procedura propriu-zis la lansarea unei nou sistem este de a emite noi prerogativelor. Niciodată nu cere prerogativelor existent. " Am fost angajat de o mare firma de servicii financiare din New York pentru a face securității pregătire de conștientizare. Am vrut să facem o evaluare a nivelului de conștientizare, asa ca am creat o socială încercare de inginerie. Nu a fost traditionalul "suna pe cineva la telefon și încercați să inginer socială ei. "Am luat antet și a scris o scrisoare și a trimis-o prin poștă la aproximativ 30% din salariaților, pentru aproximativ 1.200 de oameni. Scrisoarea a spus în esență: "Bună, suntem de la securitatea informațiilor corporative. motiv pentru care primesc această scrisoare este pentru că știm sociale Tehnica are loc la locul de muncă, și vom face upgrade noastre sisteme. "Am mers apoi în unele rumoare tehnic detaliat despre cum am fost de gând să migreze această bază de date la aceasta si la un mulțime de lucruri persoana medie este pur și simplu nu o să înțeleagă. Ea a continuat să spună, "Știm că ești preocupat de securitate, și că este motivul pentru care această scrisoare. Noi nu vă doriți comunica orice informație din această peste nimic, dar e-mail, pentru că aceasta este singura modalitate sigură de a face acest lucru. Avem nevoie de dumneavoastră Detalii personale cu privire la următoarele lucruri astfel încât să putem transfera în sistem și să le verifice acuratețea pentru că am fost

probleme cu baze de date în această tranziție. " Ne-a spus destinatari: "Vă rugăm să nu email sau fax acest informații TION. Utilizați numai auto-adresat, plic timbrat ", care ne-am adresat la o adresă care nu a fost adresa companiei. Le-am spus am făcut asta pentru că noi nu am vrut nimeni la locul de muncă interceptarea acest lucru în birou. De asemenea, le-a spus am avut înființat un special, securizat PO Box că numai securitatea departamentului ment au avut acces la. După ce a fost trimis, am primit cam un răspuns de 28%. Ea a fost un foarte simplu test de inginerie socială, și mai mult decât o sfert dintre persoanele vizate au căzut pentru ea. Am făcut acest lucru în alte locuri cu e-mailuri de tip phishing. Într-un loc, am trimis un e-mail incredibil de ispititoare, oferind chestii gratuite. Am făcut-o după antrenament extensiv și certificare a întreaga organizație, care a fost de peste 95% trec evaluări de sensibilizare. Dar răspunsul la e-mail de tip phishing, chiar și după formare, a fost de 40%. Nu contează cât de multe teste, evaluări și alte măsuri ai pus în loc, ea nu va lucra împotriva naturii umane. Noi putem ajuta cu formarea, și se măsoară un incremental creșterea gradului de conștientizare în, dar niciodată nu va atinge 100% de succes. Dacă ei cer acreditări, acestea sunt nu de încredere moment docil: La fel ca departamentul de securitate la locul de muncă, o instituție financiară legitim nu va va cere acreditările prin e-mail. Ei vor avea suni Numărul de pe spatele cardului dvs., sau vizitați pagina de pornire pe care du-te mereu la. Niciodată, niciodată încredere în cineva care vine la tine cere acreditări, spune Schwartau. Că nu este modul în care este făcut. Am primit acest e-mail recent de ceea ce arata ca Bank of America. Am bancă cu Bank of America, și eu fac aproximativ 98% de banking on-line mea. Email-ul a fost de la SiteKey, site-ul lor sistem de verificare, care este de fapt un sistem destul de bun. Ea a spus: "Hei, aceasta este de la SiteKey, iar acest lucru este foarte urgent, deoarece doar tu transferat niște bani, și avem nevoie pentru a verifica acest lucru. " Acum, am știut că a fost o înșelătorie pentru că eu sunt un para-profesional Noid. Dar eu caut prin e-mail, adresele, și ei sunt toate corecte! Logo-urile, informațiile de bază pentru site-ul; toate corecte. Tot ce am putut gândi a fost: "Cum naiba ei sunt ei trăgând acest off?" Deci, atunci mă uit în link-urile; Fac un mouse-over să se uite sub și a vedea ce se întâmplă. E încă toate corecte. Am apasat un câteva link-uri pentru a vedea cât de departe am putut merge și a luat unele ecran fotografii în scopuri de formare. Eu încă nu-și putea da seama. În cele din urmă, după o vreme, l-am dat seama: Motivul pentru care am putut Nu-mi dau seama este că am fost pe laptop-ul meu cu un 13-inch

Ecranul cu rezoluție mică. Sub link-urile, adresele, ea a spus "Bank of Americil.com." Știam că mai bine de du-te. Dar cât de mulți oameni vor să scadă pentru ceva de genul asta? momente docil John Sileo, un expert furtul de identitate, care antreneaza pe respingerea inginerie socială, știe din experiență de primă mână ce e ca si cum a fi o victimă. Sileo a avut stolen- de identitate de două ori. Și ambele cazuri a dus la ratorii catastrofale consecințe. Prima crimă a avut loc atunci când informațiile Sileo lui a fost obținut de la cineva care a obținut acces la l din coșul de gunoi (da, tomberon de scufundări încă mai funcționează). Ea a cumparat o casă folosind informațiile sale financiare și în cele din urmă faliment declarat. "Asta a fost ușoară", a spus Sileo, care apoi a fost lovit din nou, atunci când partenerul său de afaceri utilizat informații de a deturna bani de la clienti. Sileo a petrecut mai mulți ani, și a fost în stare de faliment, lupta acuzații penale. Acum, că a ieșit din aceste probleme, el își petrece timpul organizațiilor pentru instruirea angajaților asistarea pe ce de inginerie socială și de identitate tehnici de furt arata. "Am încercat să inspire angajații să aibă grijă de primar Vacy ", a spus el. "Dacă ei nu le pasă de asta la un nivel uman, ei nu vor să aibă grijă de viața privată a companiei poluarea securitate gheață sau IT. Trebuie să-l la un personal primar nivel. "Aici sunt doua dintre inginerie socială de neuitat Sileo lui scenarii el a auzit în timpul anilor săi ca un lector de securitate. Doctor Who? Nu la mult timp după ce Dr. Yamitori comun numele de utilizator ei pe o mână la o conferință medicală, ea a primit o invitație de a deveni prieteni cu Dr. Xavier pe un site de social networking construit pentru comunitatea medicala. Dr. Yamitori au în comun impresiile sale de la conferința pe site-ul, și Dr. Xavier au fost luati nota. Pe parcursul lunii următoare, doi nu a comunicat direct prin intermediul rețelei; mai degrabă, au primit actualizări regulate și comentariile postate de alți medici din rețea. Vineri dupa-amiaza la 2:00, Dr. Xavier (Dr. X) a postat un comentariu direct la Dr. Yamitori (Dr. Y). Dr. X

Page 7CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 7 a explicat că el a fost în procesul de cercetare soft Articole pachete pentru biroul său și, știind de la conferința ence că Dr. Y primeste o funcționare eficientă, a vrut să afle ce software-ul a folosit pentru a administra fișiere de ei pacient.

Dr. Y sa întâmplat să fie la calculatorul ei și a răspuns imediat la interogare. Pentru că ambele au fost parte dintr-un doc- rețea tor, iar concluzionând că întrebările au fost inofensiv, Dr. Y împărtășit că ea a folosit Relația pacient 10,0 și a fost foarte fericit cu ea. Dr. X-o mulțumit, a cerut Nu mai am întrebări, și a încheiat firul oarecum brusc. La 14:06, asistent dr Y trimisă o clipă intern mesaj pentru ei, spunând că Dr. Xavier era în așteptare și a avut un follow-up întrebare rapid la chat-ul lor online. Când Dr. Y luat, Dr. X a cerut scuze pentru orice necaz era lucru face ca ING, dar a spus că a avut o ultimă întrebare și au considerat că a fost un scuză bună pentru a satisface în persoană. Dr. X, apoi a întrebat Dr. D dacă ea ar deranja schimbul de numele tehnicianului software Software-ul de la Relația pacient care a instalat pachetelor de vârstă pentru ei, astfel încât el ar putea pune câteva întrebări tehnice. Dr. Y ia spus cu bucurie că de contact ei de la compania de software a fost Kenneth, și ia dat numărul de telefon Kenneth lui. Luni dimineață, înainte de majoritatea medicilor sunt în lor birouri, complice Dr. X a sunat la biroul dr Y și a ajuns la receptionera, Priscilla. El ia spus că numele lui era Terry, că el a fost de la pacient Software legătură, și că el a fost completarea pentru Kenneth, care era afară bolnav. După forfetare nesc ei ("Dr. Y spune că ești creierul reale ale operațiunilor TION "), Terry a explicat că are nevoie pentru a face o critică actualizare de securitate (versiunea 10.1) la sistemul de software-ul Dr. Y lui. Dacă nu sa întâmplat imediat, a adăugat el, sistemul ei ar putea fi cel care a permis hackerilor acces în dosarele pacienților. Ime- diat, Priscilla simțea responsabil personal. Pentru că Kenneth era plecat bolnav, Terry a explicat, el nu a avut numele de utilizator și parola pentru a apela în a Dr. Y lui serverul și să facă modificările. El a declarat Priscilla că, de îndată cum s-au făcut modificările, el o va suna din nou, apoi permiteți- o cunosc, astfel încât ea ar putea schimba parola ei. A fost critice, a spus el, să-l schimbe de îndată ce el a numit în ordine pentru a menține securitatea. De fapt, a adăugat el, el va trimite doar -i un mesaj pe site-ul de social networking, în cazul în care ea ia spus nume de utilizator ei. Ea a împărtășit că la fel de bine, oferindu-i astfel accesul la toți prietenii ei care a completat un rol similar la alt cabinete medicale. Știind că Relația pacient a fost, de fapt, software-ul pachet biroul ei utilizate pentru a urmări înregistrările pacienților, pe care le au fost utilizați în prezent versiunea 10.0, că Kenneth a fost nameoftheirregulartechnician, andthatshedidn'twantto este responsabil de o încălcare a securității datelor, nu Priscilla suspectat ea a fost proiectat de vedere social să dezvăluie extrem de

informații sensibile. Ea a dat Terry parola ei și, astfel, acces deplin la mai mult de 17.500 de înregistrări private de pacient, inclusiv numere de securitate socială, datele de asigurare, istorii medicale, și chiar tipuri de sânge. Takeaway: "Este folosit pentru a fi despre care avem încredere. Acum e cu privire la modul în care avem încredere ", a spus Sileo, care ofera clientilor sai o proces în trei etape să insufle în salariaților, în scopul de a respinge o atac de inginerie socială. Prostii reflex: Instruirea include cu angajațiidezvolta un slogan sau o expresie care se va stinge in capul lor atunci când cineva solicită informații. "Tu imediat au un eveniment declanșator ", a spus el" Un cuvânt care apare în ta cap că vă reamintește că ați putea fi în pericol. " Pui întrebările potrivite: Învățați de angajați pentru a cere "Pot sunate înapoi la XYZ Software-ul pentru a verifica esti cine spui Dacă sunteți? "Dacă ei a lua o scuză, ei ar trebui să știe ime- parând este un steag roșu pentru a face mai mult de cercetare fără a renunța la informații ". Opri. Și cred că prin optiuni: În loc de a fi strică treabazate printr-un eveniment și care acționează pe un reflex de panică, ia- lent și ia în considerare ceea ce trebuie să faceți pentru a menține intimitate. The Hurt Locker Există o mulțime de furt din dulapurile femeilor la locul de muncă-out facilități. Ce se întâmplă este o femeie merge să lucreze afară, pune telefonul ei mobil și portofelul într-un dulap și pune pe un com- blocare combinație. Cineva care a înregistrat-o cu un mini- aparat de fotografiat în picioare în spatele ei știe combinația. Ei intra în ea, deschide telefonul mobil, faceți clic pe câteva taste, închideți-l în sus și a pus telefonul mobil înapoi în dulap. Prinde portofelul sau în geantă, închideți dulap, blocați-l și pleacă. Femeia se întoarce de la muncă afară, au inceput ei haine, apucă telefonul mobil, merge în portofel: E domnișoară ing. De obicei, ei cred că în primul rând le-am lăsat în mașină sau în afara față. Deoarece acestea sunt de mers pe jos, persoana care a furat portofel este acolo. Ei sună telefonul lor. Ei spun "Aceasta este Oricare ar fi Bank și avem motive să credem cineva este încercând să-cash out contul tău. A fost furat geanta recent? " Persoana este imediat în panică și dispus să facă tot ce este nevoie pentru a face în condiții de siguranță se. Persoana bancă pe celălalt capăt, care nu este de fapt o persoană bancă, spune, "Hei, noi suntem aici pentru a vă proteja. Asta e ceea ce facem. Dar, în scopul pentru a închide accesul la cont, am nevoie pentru a verifica dvs. Numărul de securitate socială. " Poate suna stupid pe exterior caută în pentru unele-

o să renunțe la numărul lor de securitate socială, dar atunci când sunt într-o panică, 90% sau astfel de oameni vor da aceste informații degajeze. Și atunci persoana va spune, de asemenea, "OK, putem închide jos cardul, de asemenea. Ce este PIN-ul? "Pentru că sunt graba prin ea, pentru că ele sunt în frică, ei nu dau un gând al doilea. Takeaway: Se merge înapoi la punctul trei de Sileo de trei pași. Preia controlul acestei interacțiuni, spune el. "Opriți-vă și întrebați-vă: "Ar trebui să sun la banca eu? Ar trebui să mă con- le tact pentru a le face cunoscut ce se întâmplă? "Dacă doar încetini și să preia controlul, că scapă de majoritatea inginerie socială. "

Page 8CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 8 IV. inginerii sociale în acțiune Linii Pickup Site-uri de social networking, birouri corporative si oriunde de pe Web sunt toate locurile comune pentru escrocii la ply comerțul lor, cu intenția de a fura identitati, deturnarea conturi, infiltrarea sisteme corporative și de a face bani. Aici sunt unele dintre inginerie socială cea mai raspandita tac- ticuri, care vizează utilizatorii de rețele sociale, lucrătorii de birou și Web utilizatorii. Pe rețelele sociale "Eu călătoresc în Londra și mi-am pierdut portofelul. Poți sârmă niște bani? " Cum funcționează: escrocul prezintă ca un "prieten" de pe fata- carte sau un alt site de social networking, trimite un mesaj claimingtobestuckinaforeigncitywithnomoney (duetoa jaf, a pierdut portofelul problemă orother) și solicită therecipient pentru a firului de bani. Utilizatorii trebuie să fie precaut ca, din cauza Penală semnalele pot hack conturi și prezintă ca un "prieten", ei nu pot fi întotdeauna 100% sigur cu privire la identitatea persoanelor cu care interactioneaza. "Cineva are o pasiune secretă pe tine! Descarcă această cerere TION pentru a găsi cine! " Cum funcționează: Facebook are mii de aplicații utilizatorii pot descărca, dar nu toate sunt sigure. Unele pot instala adware care lansează reclame pop-up, în timp ce altele expune per- Informații personală pentru terți. Utilizatorii trebuie să fie judi- prețios despre care aplicațiile pe care le folosesc. "Check out acest link!" Cum funcționează: Un e-mail sau alte mesaje, uneori părând să provină de la un prieten, incurajeaza utilizatorii sa

click pe un link care le aterizeaza pe un site fals și solicită le de informații cu caracter personal, cum ar fi parola sau numărul de cont. Site-ul poate arata autentic, dar este în re- aliat conceput pentru a capta aceste informații pentru escrocii " câștiga. Un exemplu este o campanie de spam Twitter că a cerut destinatari, "Ai văzut acest film cu voi?" Link-ul a dus la un fals site web Twitter că a cerut parola utilizatorului. În biroul "Acest lucru este Chris de servicii de tehnologie. Am fost notificat de un infecție pe calculatorul dumneavoastră. " Cum funcționează: Dându-se drept oameni de suport tehnic, scam- Mers apel utilizatorii de afaceri, spune-le PC-urile lor sunt infectate lui andthenoffertohelpthemgetridofit.Playingontheuser vulnerabilitate și teamă, escrocul chei intenționat până dificultatea tehnică a "fixa", iar in calitate de utilizator crește mai nervos, care le oferă pentru a remedia problema singuri, care a Desigur, cere utilizatorului de a lui sau parola ei dezvăluie. strategie exploateaza disconfort oamenilor cu tehnologia. "Bună, eu sunt rep de la Acme, iar eu sunt aici pentru a vedea Nancy." Cum funcționează: Escrocii pune ca un vizitator legitim (un matice ORL, reprezentant de vânzări, tehnician, etc.) și de a folosi cunoștințele lor margine a companiei, chiar un tricou purtând un autentic logo-a câștiga încrederea recepționer. Criminali poate dura săptămâni sau chiar luni pentru a ajunge să cunoască o organi- refe- chiar înainte de venirea în ușă. Știind care să cere, cum să acționeze și cum să se îmbrace este adesea tot ce trebuie pentru acces neautorizat o facilitate. Un exemplu este un diametral 2007 Mond jaf la ABN Amro Bank din Anvers, Belgia, în cazul în care un om în vârstă, pretinde a fi un juridi- de succes om de, oferit de sex feminin ciocolata de personal și în cele din urmă a câștigat încrederea lor cu vizite regulate. În cele din urmă, banca pierdut 120.000 de carate de diamante pentru că omul a fost în cele din ximativ, între posibilitatea de a avea acces în afara orelor de program la bolta băncii. "Poți să țineți ușa pentru mine? Nu am cheia / acces meu carte de pe mine. " Cum funcționează: Evazioniștii așteptați în afara unul din Facilitatea pentru intrari-tate de ușa din față sau din zona de fumat, pentru exemplu-și pune ca o pereche de birou coleg. Lucrătorii deține ușa deschisă, care să le permită să obțină acces, nu gândire pentru a cere o insignă a dovedi că au permisiunea de a intra. Chiar și atunci când sunt necesare acreditările, infractorii devin mai bine la folosirea fotografie high-end pentru a imprima authentic- cautati insigne. Phishing năluci "Nu ați plătit pentru elementul pe care a câștigat recent pe eBay. Apasati click aici pentru a plăti. "

Cum funcționează: Utilizatorii primesc e-mailuri pretinde com- companiile, cum ar fi eBay, sustinand ca nu au încă plătit pentru un win ofertă ning. Atunci când faceți clic pe link-ul furnizat, aceasta duce la un site de phishing. Truc joacă la preocupările oamenilor cu privire la un impact negativ asupra scorul lor eBay. Mai degrabă decât să faceți clic pe acest tip de e-mail, expertii recomanda ca utilizatorii merge direct la site-ul Web de afaceri implicat tastând adresa URL în bara browserului. "Ai fost eliberați. Click aici pentru a înregistra pentru plăți compensatorii. " Cum funcționează: Infractorii profita de economic incertitudine și a crescut digitalizare prin trimiterea unui e-mail pentru angajații cu un link malitios care pare să releu Știrile care necesită un răspuns rapid, cum ar fi, "Noi suntem provin aceștia ING din formularele W-2 electronic in acest an. " Atacuri Tactici de inginerie socială devin din ce în ce mai specific, cu criminali care vizează persoane individuale și dedicandu mai mult timp pentru a obține informații cu caracter personal, cu speranța de a un câștig mai mare. Aici sunt cinci dintre acestea mai mult mai multe tipuri-lucrative de escrocherii implicate, și. "Acesta este sprijin Microsoft -Am vrea să ajute." Cum funcționează: Escrocii pune ca o tehnologie Microsoft sprijin persoană și cerere de port pentru a fi de asteptare toate pentru Windows licențiat Utilizatorii ale căror PC-uri sunt generatoare de un număr anormal de erorile datorate unei erori de software. Victimele sunt instruiți pentru a merge la jurnalul de evenimente, care pot fi deosebit de alarmantă a inexpe- Utilizatorii experimentate pentru că, de fapt, cele mai multe jurnalele de evenimente pentru Windows face înregistra multe erori mici. Multe persoane de la acest punct vor fi gata să facă orice presupusa persoana de sprijin instruiește, care în acest caz este de a merge la un serviciu de acces la distanță, Team- viewer.com, care oferă control escroc a mașinii.

Page 9CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 9 De acolo, criminalul instalează malware, care va acorda el sau ea acces continuu la PC. "Doneaza pentru eforturile de recuperare uragan!" Cum funcționează: La scurt timp după ce un cutremur major, tsu- Nami sau un alt dezastru, site-uri web false pop-up, de direcționare persoanele în cauză cu privire la cei dragi din regiunea afectată și pretind a avea resurse specializate, cum ar fi guvernul ment baze de date și informații efort de salvare, pentru a ajuta la găsirea victime. Site-urile colectează nume și informații de contact și-l utilizați pentru a solicita donații de caritate. Apelantul ia

profită de această victimei emoțiile sporite de a obține lui sau numărul de card hercredit. Cu allthisinformation-nume, adresa, numele unei rude și un card de credit, acestea sunt armate pentru a comite furtul de identitate. În unele cazuri, criminali lansa Atacurile secundare, cum ar fi dându-se drept un reprezentant bancă, cere numărul victimei de securitate socială pentru a verifica legitimitatea donație de caritate a lui. "Despre aplicarea de locuri de muncă ..." Cum funcționează: ingineri sociale sunt de orientare cap vânători și întreprinderile prin încorporarea malware în e-mail răspunsurile la locurile de munca. Potrivit unui avertisment din partea FBI, mai mult de 150.000 dolari a fost furat de la o afacere din SUA, prin intermediul transfer bancar neautorizat. Atacatorul a răspuns la un loc de muncă deschiderii, postat pe un site Web ocuparea forței de muncă, precum și prin malware, a obținut acreditările online banking a persoană autorizată să efectueze tranzacții financiare în thecompany.Bychangingtheaccountsettings, thecriminal redirecționat trimiterea de transferuri propriile conturi. Multe organizații necesită acum solicitanților de locuri de muncă pentru a completa o formular online, mai degrabă decât accepta CV-uri si scrisori de intentie în atașament. "Twitterguy, Ce părere ai despre ce a spus Obama pe #cybersecurity? http://shar.es/HNGAt " Cum funcționează: ingineri sociale sunt observarea Twit- tendințele TER pentru a lansa atacuri. Un exemplu este hijack- ING a hashtags legitime cu scopul de includere Link-uri malware în tag-ul. Odată Twitter, malware redirecționează utilizatorii către o pagină web de phishing cu abject intenție, fie că fură Twitter informații de cont sau lansarea chiar mai mult malware. Escrocii sunt, de asemenea, de direcționare persoanelor fizice cu învățarea despre interesele lor și apoi provin aceștia ING un tweet legitim sună care îi invită să faceți clic prin ceea ce se dovedește a fi un site de phishing. "Ia mai multe adepți Twitter!" Cum funcționează: Un alt truc Twitter orientate spre este de a trimite un tweet care promite să poată crește urmașii dumneavoastră dacă click pe un link. Link-ul ia utilizatorului la un serviciu Web care solicită acreditările lor Twitter. Desigur, nu legitim terță parte ar solicita aceste informații, care ar trebui să fi primul indiciu utilizatori că sunt scammed. povești adevărate Ascunzându-se în vedere Câmpia În februarie 2009, Chris Nickerson, fondator al Colorado- Consultanta de securitate bazat Lares, a efectuat o pe site-ul vulnerabilitytestforaretailcompanywithalargecallcenter. Cu ceva de lucru pregatire, Nickerson spune ca echipa a reusit sa

obține acces la rețeaua companiei și de baze de date destul de ușurință. Aici este un cont de modul în care a făcut asta. "Am început prin a obține informații cu privire la țintă. Acolo a fost o cursă de cai de mare întâmplă în zonă, iar în oraș unde se afla societatea, a fost mare lucru pentru a merge la această cursă de cai. Toată lumea în oraș și în jurul ei a părăsit birou pentru a merge la ea. A fost un moment perfect pentru mine să vin în și spune că am o întâlnire. I-am spus că a trebuit să se întâlnească cu cineva, vom suna Nancy. Eu știa Nancy nu a fost de gând să fie în birou, deoarece pe ea Profil MySpace a spus ea a fost gata să meargă la cursă. Atunci profilul ei Twitter a spus că a fost obtinerea îmbrăcat pentru a merge la eveniment. Așa că am știut că nu era la birou. Înainte de a-am dus la birou, m-am dus la un magazin de cumpătare și a primit un tricou Cisco pentru 4 dolari. Apoi m-am dus și a spus "Bună. Eu sunt nou rep de la Cisco. Sunt aici pentru a vedea Nancy. "Recepția participant în această situație a spus, "Nu este la birou." I a spus "Da. Știu. Am fost mesaje text înainte și înapoi cu ei. Mi-a spus că este într-o ședință și reuniunea se întâmplă peste. " Acest lucru a fost chiar dupa ora prânzului, și i-am spus: "Din moment ce eu sunt așteptare, nu-i așa oriunde pe aici unde pot merge minim ceva de mâncare? "Știam foarte bine că, după topografie buna, cel mai apropiat lucru a fost de aproximativ cinci km la distanță pentru că au fost un fel de în bețe. Receptionera a spus "patru sau Fives mile în jos pe drum există o McDonalds. Dar avem o cafenea frumos aici. Dacă vrei, poți mânca pur și simplu acolo. "Fiind permis să meargă la cantina mi-a dat acces deplin la facilitatea deoarece Singurul lucru care a fost păzit era ușa. Cantina a condus chiar în restul clădirii. Așa că m-am dus în sala de mese și a mâncat. În timp ce eram acolo, Am făcut picături cheie USB. Am pus fișiere de pe ele cu nume ca "Salarizare" sau "Strategia 2009" The problematica USB au avut rootkit-uri pe ele. Mulți conținea un rootkit autorun. Alții au avut Ferăstrău, whichisalittlepieceoftechthatyoucanusewith o unitate U3. Ai conectați într-o mașină și, în cazul în care mașina a auto-run de pe CD-ROM-ul care rulează, ea va începe doar dumping toate parolele, numele de utilizator, tot ceea ce. Acesta va, de asemenea, pune un cârlig în mașină pentru a începe email că informațiile TION la un cont de e-mail care vă dau de contact. Astfel, chiar după ce am plecat, am putea fi încă de filtrare informații. Ea doar durează aproximativ 30 de secunde pentru a se permite. Când m-am face acest tip de exercițiu, am pus problematica USB în zonele că oamenii sunt în cazul în care acestea s-ar putea uita ceva: baie, de exemplu, pe chiuveta. Un alt domeniu bun este

în apropiere de -areas masina de cafea unde oamenii pun natural lucrurile se derulează în cazul în care s-ar putea să nu uitați să-l ridic din nou în sus. N-am făcut picături cheie USB, fără succes. Între timp, am avut un alt unul dintre băieții mei merge în prin ușa fumatul în spate. El a atârnat afară, a așteptat, a avut unii țigări cu oameni care au venit la fumeze pe pauză, iar atunci când acestea s-au făcut, ușa se deschise și el justcruisedin.Yet anotherexercise a nu proveitreally

Pagina 10CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 10 ia mult pentru a obține în interiorul. În cele din urmă, o dată el a fost în, am avut-l să vină și să mă în cantină. Asta a fost așa a apărut pe securitatea Benzi ca și cum cineva vine să mă scoată din cantina să mă escorta la orice întâlnire, am fost de gând să participe. Am trecut prin și a găsit în interiorul acestei gigant 100.000 de metri patrati cub agricole câteva locuri care au fost larg Deschide și doar se așeză. Nu era nimeni în jurul nostru. Deci, am început trăgând chei. Am folosit lucruri ca Ophcrack pentru a începe cracare pentru Windows parolele și să le arunce în Linux. Am început punerea mașinile noastre pe rețelele așa putem începe să faci stilou testarea și hacking serverele active în mediul înconjurător. Noi pune lucrurile ca routere WRT 54g: mic conexă albastru Unități fără fir sys. Am luat cele, le blocat sub un cub, pune Unix pe ele și a deschis WRT. Asta a făcut-o, așa că am avut o punct de acces fără fir am putut lovi nu numai de parcare lot, dar, de asemenea balize și solicită acasă, așa că am avut o cutie Unix care stă în interiorul rețelei lor. Un scurt timp mai târziu, o echipă plină de oameni au venit în. O mulțime de munca pe care a fost încheiat la această facilitate a fost munca în schimburi, și ea Era timpul schimbare schimbare. Pentru ca am facut dreptul nostru temele, am fost la două din trei cuburi care au fost vacant astfel încât nu există au existat conflicte sau întrebări. Toată lumea se așeză în jurul nostru. M-am anunțat ca inginerul Cisco care lucra la sis- telefon TEM. Mulți dintre ei au răspuns cu glume și a spus lucruri cum ar fi, "Dragă, te rog nu-l repara. Nu vreau să iau apeluri astăzi. " Un lucru am învățat este că cookie-urile sunt cheile la inima tuturor. Când fac tipul de exercițiu în cazul în care am dându-se drept un tech, sau un VAR, îmi place să aduc cookie-uri. Am facut-o pentru acest exercițiu, și am început lesina cookie-uri pentru toată lumea în zonă. Toate Am fost râs, avand o mare

timp. Între timp, am fost în mijlocul lor hacking întreaga rețea. În cele din urmă, ceea ce ne-am expus pentru client a fost, putand nerability de acces lor fizic, și le-am arătat unele dintre tehnicile amestecate am folosit pentru a obține în. Am fost în măsură să demonstreze modul în care, cu inginerie socială, am fost posibilitatea de a hack SQL Server și arunce întreaga bază de date de informații de cont tuturor. Acest tip de încălcare le-ar putea fi costat mai multe miliarde de dolari. Și noi a avut acces la toate astea din cauza acestor vulnerabilitati. Noi purtau cams buton și pălărie came pentru a putea urmări cum a fost făcut. Companiile au nevoie pentru a rula o inginerie socială generală campanie de conștientizare. Trebuie să-i spuneți angajaților ce a caute și cum să-l caute. Companiile au nevoie de a preda angajații că nu e că societatea nu are încredere în oameni în cadrul organizației; e că există oameni acolo încercarea de a face acest lucru în fiecare zi. Este doar o conștientizare bun Tehnica să o facă. Dacă cineva vine pentru a lucra la mediul dumneavoastră, vă Probabil ar trebui să știe cine sunt. Dacă credeți că dvs. companie ca acasă, faci lucrurile diferit. Sunteți nu voi lăsa pe cineva mers în casa ta. Că este un fel de companii de filosofie nevoie să-l injecteze culturii organizationale. " În mintea lui un scammer CSO ajuns pentru a experimenta o evaluare a vulnerabilității de primă mână când Chris Nickerson, fondator al securitate Colorado pe bază de consultanță Lares, a fost de acord să aruncăm o privire la unul din build- rilor din zona noastră. El a subliniat punctele slabe care o penal ar putea arata atunci când dimensionarea sus potențial o instalație de pentru o încălcare. Unul dintre primele lucruri pe care Nickerson făcut a fost subliniez faptul că Generator de clădirea a fost atât uncaged și deblocat. El chiar a mers până la generator și a deschis ușile. Aproximativ 10 minute mai târziu, am fost abordat de un om care sa prezentat ca manager facilități. "Bună, ce faci?", A spus Nickerson întâmplare, în timp ce mers până la omul se apropie. "Am înțeles că s-au uitat la generatorul și deschiderea ușilor pe ea. Am primit un telefon de securitate, "instalațiile manager de spus, clar cauză. "De fapt, facem o evaluare de securitate și punctuală ING lucruri în jurul clădirii ", a spus Nickerson "OK, și cine lucrezi?", A întrebat bărbatul. Nickerson a spus că a lucrat pentru OSC, și managerul

părea mulțumit cu acest răspuns. "Bine, foarte bine", a spus el, așa cum ne-a lăsat să continue noastre de evaluare. "Nu am absolut nici prerogativelor pe mine ca a verifica dacă," remarcat Nickerson. "Deci, am fost doar permis să deplin acces clădirea, scormoni la chestii, iar acum avem un punct de verificată ficare, care este de încredere. Acum putem merge în și să fie chiar mai rău cu aparatul de fotografiat pentru că avem deja un pre-verificate punct, și știm de securitate a fost chemat pe noi pentru deschis ING generatoare. Ele sunt acum de fapt de gând să ne ajute în clădirea știind foarte bine ceea ce facem, chiar deși ei nu au nici un motiv să ne credem ". Nickerson a spus în timpul evaluărilor echipei sale, întrebarea ȚII din partea personalului client veni tot timpul. Aceasta este o com- mon apariție, iar talentul său la arta de BS este evident. "Oamenii sunt de obicei bune despre întreba ce este a face ", a spus el. "Dar, odată ce le da o scuză viabilă, au lăsat să pleci. Atâta timp cât faci dreapta ta inteligență, nu vei fi prins. Oamenii nu le place confruntare. " Am petrecut aproximativ 20 de minute mai mult fotografierea clădirea și bage nasul. Managerul facilități checkedbackonusbeforeweleftandaskedformoredetails a proiectului nostru. "Vreau doar să fie clar că oamenii se uită, și eu sunt obtinerea apeluri ", a declarat managerul facilități Nickerson. Cu toate acestea, la acel moment, ne-am adunat deja suficient informații despre clădirea de a face orice este penale apă gură. Așa cum am fost de a merge, am văzut managerul de la generațiile torului, trecând în revistă starea sa deblocat. "Hei, știi ce? Cred că am asigurat deja

Pagina 11CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 11 clădire, "Nickerson râs. "Vezi? Evaluările de securitate schimba facilități. " Personalul de la clădirea am examinat nu obține credit pentru fiind atent. In timp ce Nickerson spus nici unul dintre inter- rugăciune am abordat în timpul nostru nu ar avea l descurajat câtuși de puțin de la obtinerea slujba făcut, ne-am nu au fost complet neobservat. Pranking Superbowl Comediantul Sir John Hargrave este cunoscut pentru său comedie Web site-ul, Zug, precum și cascadorii lui de benzi desenate. Unul dintre cel mai mare lui cascadorii-la profilul 2007 Superbowl-implicate unele cheie

principii de inginerie socială. Cascadorie implicat Hargrave si echipa sa distribuie mii de "pachete de partid", con- Taining coliere-aprinde, la spectatori în locuri specifice la Stadionul Dolphin din Miami. Pachetele de partid conținut instrucțiuni pentru participanti pentru a porni coliere lor atunci când Jumătate de normă arată Prince a început. Atunci când este aprins, luminile ar fi afișa un mesaj de publicitate site Hargrave lui. Pentru a orchestra cascadorie, echipa purtat tricouri pe care recoltå mormânt comandat cu logo-uri brodate și a efectuat fals insigne laminate de a se trece în calitate de lucrători de evenimente. Hargrave a avut o trecere de presa autentic, dar singurul legitim prerogativelor restul grupului său a avut au fost de bilete de joc. Desigur, aceasta a fost Super Bowl, astfel securitatea de la agențiile locale, de stat și federale a fost în alertă maximă, utilizând elicoptere Blackhawk, câini-sniffing bombe și gamma scanere cu raze. Cu toate acestea, Hargrave și echipajul au fost capabili să conduce două furgonete de livrare prin high-ritate stadionului ritate poarta livrare, obține fundal pentru Securitate Internă verificări la fața locului și depozitați cutiile în garaj stadion peste noapte. În ziua de joc, Hargrave folosit pasă de presă pentru a obține mai devreme acces la stadion și pentru a muta toate 100 cutii pentru a bine direcționate secțiuni. Când echipa sa l-au alăturat, au distribuit Cutii pentru fiecare rând de scaune, tocmai la timp pentru o jumătate de normă. În timp ce nu există nici o documentație care coliere succes difuzat mesajul Hargrave lui, există puține motive să se îndoiască Revendicare Hargrave de încălcarea securității stadionului folosind tactici de inginerie socială. Cheia succesului farsa lui, Hargrave spune, a fost în căutarea oficial; în timp ce echipa lui purtau tricouri lor logoed, Hargrave se a purtat un costum și un set de căști Bluetooth. "Daca te uiti parte, oamenii dau tu de credit nu meriți ", a declarat el CSO Magazine într-un interviu [http://www.csoonline.com/arti- alineatul / 221349 / zug.com-prince-a-farse]. "Security instruit să caute pe cineva "suspect". De asemenea, grupul practicat ore cu o zi înainte cascadorie până când au considerat că ar putea scoate o comportare practic. În al doilea rând, Hargrave spune, a fost inițierea conversații cu staffers stadion, pentru a cere ajutor. "Oamenii vor să ajutor, și o dată ce fac, ei nu vor să se suspecteze doar ajutat pe cineva acestea ar fi fost suspect de "el spune. escrocherii rețele sociale de Ieri și azi Lady Gaga și WikiLeaks

Informațiile guvern extrem de cautare, care a fost expuse pe Wikileaks în 2010 nu ar fi putut fi obținute fără inginerie sociala de succes, spune Chris Hadnagy, autor de inginerie socială: Arta de Hacking umane (Wiley, 2010). US Army soldat Bradley Manning, acuzat de a transmite informații clasificate Julian Assange, fondatorul de Wikileaks, a fost servind ca un batalion sprijin în Irak. Manning obținută materia prin accesul său Secret Internet Protocol Router de rețea folosită de SUA Departamentul Apărării și Departamentul de Stat de a transmite informații clasificate. Fostul hacker Adrian Lamo-care au raportat Manning a Autoritățile-a spus oficialilor că Manning a declarat că a aval încărcat material din SIPRNet pe CD-RW. El ar fi a reusit sa pacaleasca colegi în gândire a fost ascultat muzică, mai degrabă decât furtul de informații clasificate. "Mi-ar veni cu muzica de pe un CD-RW marcat cu ceva de genul, "Lady Gaga" ... șterge muzica ... apoi scrie un fișier divizat comprimat ", Manning a scris într-un chat online cu Lamo. "Nimeni nu suspectat un lucru. (I) ascultat și lip- sincronizat la telefon Lady Gaga in timp ce "exfiltrating" tatea Sibly cea mai mare deversarea de date din istoria Americii. " "A jucat pe încrederea poporului inspecție el merge și în afară ", a spus Hadnagy. "Și el a trebuit să păstreze rece. Îmi imaginez dacă sunteți descărcarea guvernul clasificate ment informații care ar putea sa te o curte marțială, tu Trebuie să aibă nervi de oțel. " După scurgerea, inginerii sociale a început trimiterea Mesajele cere, "Vrei să citiți fișierul Wikileaks? Aici este ", spune Hadnagy. "Atașamentul sau link-ul a fost un pdf, un pdf cu adevărat șmecher. Javascript au scris vor căuta computerul, găsiți versiunea de Adobe Reader funcționare pe masina, iar apoi lansa exploit pentru că ver- Sion. "Deși malware a luat ceva timp să se încarce, șiretlic a lucrat pentru că victimele se așteptau la o considerabilă document ment, spune Hadnagy. Noțiuni de bază pentru You Know prin Google Google a făcut prima pagină a ziarelor la începutul anului 2010 de către reveal- ING unele dintre serviciile sale a fost încălcat de către Hack-chineză ERS, care, potrivit oficialilor Google, a vrut pentru a accesa Conturi Gmail de activiști chinezi pentru drepturile omului. De mai multe ERALE alte societăți au fost, de asemenea, vizate, inclusiv Yahoo, Adobe Systems și Symantec. Succesul hackerilor depins, în parte, pe realizarea o recunoaștere de lungă durată de angajați Google. Prin utilizarea informațiile pe care le-au găsit în mai multe locuri, inclusiv sociale

retele, ei au putut să pună ceva ce semăna cu legitimi- amice mesaje angajaților care par a veni de la o persoană de contact sau un prieten. Angajații apoi clic pe link-uri conținute în mesajul de încredere, și spyware a fost instalat pe masina.

Pagina 12CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 12 "Aceste atacatorii într-adevăr s-au tot afară", spune Hadnagy. "Este trebuie să fi luat o cantitate considerabilă de timp pentru a face acest lucru un fel de culegere de informații și recunoaștere pentru a ajunge la punctul în care ar putea interacționa cu forței de muncă orientate SEO într-un mod care le-ar permite să obține acest tip de Informații " Hadnagy spune incidentul evidențiază securitatea dilemă reprezentată de rețelele sociale, care sunt în prezent conside- derat o parte vitală a strategiei de marketing pentru mulți organizații organi-. "Deci, multe companii folosesc social media pentru a transmite mesajul lor de marketing pentru lume. Dar în alt sens, ele conturează tot structura compania lor. Și dacă o socială inginer vrea să folosească asta, e acolo și ușor acce- bil. Asta este ceea ce aceste hackerii chinezi folosit, și este ceea ce a făcut acest atac de succes. " Hei Amazon, unde e comanda mea? Întreprinderile care folosesc Amazon.com să-și vândă produsele lor au fost obiectivul de o înșelătorie târziu-2010. Truc a fost descoperit de către cercetători cu Software GFI, care a avertizat că Amazon hoți cibernetice au fost generatoare de încasări false într-o încercare să raporteze comenzi pierdute, cu scopul de a obține restituiri sau produse valoroase. "Programul gratuit disponibil on-line permite escrocii pentru a crea o "primire" HTML pentru fantomă Amazon.com piețe. Prin captarea o captură de ecran a chitanței fals, aceste infractorii cibernetici sunt în măsură a trimite un email vanzatori încrezători acordarea ele lipsesc elemente ", spune Christopher Boyd, cercetător senior amenințare pentru GFI Software, într-un post. "Ia butonul antipatie!" "Câștigă un iPad gratuit!" Există o nouă tactică înșelătoare în fiecare zi pe Facebook care încearcă să con utilizatorii în click pe link-uri malitioase, sau completarea anchete înșelătorie. "Chiar mai cunoscuti voința utilizator uneori faceți clic pe ", spune Hadnagy. Rezultatele comune includ instalare malware sau un studiu care fie generează com- bani misiune pentru escrocul sau vă cere pentru personal informații care sunt stocate într-o bază de date și folosi identitate furt. În timp ce trucuri se pot schimba de la o lună la alta,

capăt jocul este probabil întotdeauna o să rămână, a declarat Had- Nagy. Asteptati-va pentru a vedea escrocherii în curs de inginerie socială pe Facebook. Atent cu cine Ai prieten Instrumentul Facebook NLP este un bun exemplu de unde sociale inginerie este condus, în special utilizarea escrocii "în creștere de informații obținute prin intermediul site-urilor de social networking. Iată cum funcționează: În 2011, un grup de cercetare-securitate ERS cu sediul în Egipt a creat un instrument, descris ca fiind un "Facebook dumper profil ", destinat să educe utilizatorii despre cât de ușor trebuie să se scammed pe Facebook. Cross-platform, Java- instrument bazat, care au lansat pentru uz general, automatizează colectarea de ascuns Facebook profil de date, care este caz contrar înțelept accesibil doar prietenilor din rețeaua unui utilizator. După spusele ING descrierii lansat de dezvoltatori, instrumentul sendsfriendrequeststoalistofFacebookprofiles, andonce o victimă acceptă, aceasta gropile toate informațiile lor, poze și lista de prieteni într-un folder local. Într-un scenariu tipic descris de catre cercetatori, escroc adună informații de la un profil de utilizator de creat- ING un cont nou. Apoi, folosind un "plugin friending," criminal poate adăuga toți prietenii victimei, care asigură escrocul împărtășește niste prieteni comuni cu victima. Mai departe, un plugin de donare solicită escrocul de a alege una din prietenii victimei. Plugin-ul clonează imaginea de afișare și numele de afișare a prietenului ales și stabilește la Contul autentificate. După aceea, o cerere de prietenie este trimis la victimei cont. De îndată ce victima acceptă, basculanta începe pentru a salva toate paginile HTML accesibile (info, imagini, tag-uri, etc.) pentru examinarea deconectat. "După câteva minute, victima poate Unfriend contul fals după ce el / ea dă seama că e un fals, dar probabil e prea târziu ", cercetatorii explica în lor poștă. Escrocul are acum acces la o serie de informații cu care să execute un număr de ingineria socială foarte orientate neeringattacks. Cele mai multe detalii personale criminalii au la eliminarea lor, mai convingătoare atacul lor poate fi. Pentru exemplu, o victimă este mult mai probabil pentru a deschide un e-mail rău intenționat atașament utilizate într-o încercare de-phishing sulita dacă arată legitim. Cercetatorii au declarat ca principalele obiective pentru eliberarea instrument este conștientizarea utilizator pentru ceea ce se întâmplă deja în lumea. "Acest instrument ar trebui să facă pe oameni conștienți de implicațiile acțiunilor lor on-line ", a declarat Saafan OSC în un e-mail. "Acceptarea prieten cereri pentru chiar mai mici

perioadă de timp fără a se verifica manual care prietenul este de fapt cine pretinde a fi, este un exemplu de acțiuni greșite că am vrut să demonstreze. " Saafan asemenea, a spus că speră să aducă o atenție la ceea ce el consideră ca fiind proces de verificare de folosire defectuoasă Facebook. "Cred ca Facebook ar trebui să aibă o politică mai strictă pentru verificată rități că oamenii sunt cine pretind a fi, și filtra fals sau pretinde conturi ", a scris Saafan. Escrocherii mobile. Acum, că dispozitivele mobile au devenit o parte esențială a vieții noastre, ingineria socială este o metodă atac de alegere a avea acces la smartphone sau tabletă unei persoane. Expert în securitate Informații Lenny Zeltser, facultate senior membru cu Institutul SANS și un handler incident la Storm Center Internet împărtășește trei exemple de curentă contra chirie fiind utilizate de infractori pentru a obține în interiorul telefonul mobil dispozitiv. Aplicațiile rău intenționate care arata ca aplicații legitime. Scam- mers profită de aplicații mobile populare de Dezvoltare voltarea aplicații malware care arata la fel ca ei. Un exemplu este o aplicație Android care a cauzat virtuală "abur" să apară pe ecranul dispozitivului mobil. "Ai putea muta degetul la racla aburul virtuale de pe ", explică Zeltser. "Oamenii iubesc acest tip de lucru. " Mulți oameni s-au înșelat în achiziționarea bootay app prețioasă în loc de cel autentic, pentru că era dife-

Pagina 13CSO EXECUTIV GUIDE The Ultimate Ghid de inginerie socială 13 ficult să se facă distincția între cei doi. În unele cazuri, Zeltser spune, versiunea malware activat un SMS mes- salvie solicita servicii premium, pentru care victima a fost acuzat. Atacatorul, între timp, a fost capabil de a șterge toate mesajele întoarcere SMS recunoscând acuzațiile, așa victimele au avut nici o idee acestea au fost facturate. "În acest scenariu, victima nu a avut nici un indiciu că telefonul a fost trimiterea de mesaje sau primirea orice fel de notificare a taxele-le-ar primi doar o factura de telefon mare, "Zeltser spune. Potrivit Zeltser, Google a îndepărtat peste 50 de malware aplicații din Android Market în primăvara anului 2011, care au fost variante ale troianului DroidDream, dar arata ca legitim aplicații, cu nume precum Super Guitar Solo. "Sfatul vom oferi oamenilor din afara mobil lumea este, nu instalați aplicații care provin de la ne- Surse de încredere ", spune Zeltser. "Se aplică Același sfat

acum la mobil. "Utilizatorii nu se pot baza pe ratingurile o aplicație de pentru că mulți oameni nici măcar nu s-ar putea realiza pe care le folosesc Aplicațiile rău intenționate. Aplicații mobile rău intenționate care provin de la anunțuri. Rău Anunturi cu sunt inglobate in aplicații mobile legitime. Într-un caz, victimele au fost invitați să faceți clic pe un link cerându-le pentru a instala o aplicație pentru a optimiza consumul bateriei. "În lumea desktop, vedem second hand malware ca o vector infecție incredibil, deoarece acestea permit atacatorului să prezinte cod malitios potențial în browser-ul de sute de mii de victime. Acum vedem acest se întâmplă într-un mediu mobil le acolo unde anunțurile sunt in curs de plasate în aplicații legitime ", spune Zeltser. Aplicații care pretind a fi destinat pentru "securitate". Un alt nou vector de atac mobil este o variantă malware ZeuS. Când utilizatorii vizitează un site bancar de la un calculator infectat, ele sunt vi se solicită să descărcați o autentificare sau securitate com- componentă pe dispozitivul mobil pentru a finaliza proces de autentificare, spune Zeltser. "Atacatorii dau seama că utilizatorii folosesc autentificarea cu doi factori ", explică el. "În multe cazuri, că al doilea factor este implementat ca o singură dată parola trimis pe telefonul utilizatorului de către furnizorul bancar. Atacatorii s-au gândit: "Cum putem avea acces la cele acreditările? " Răspunsul lor este: "Atac de telefon al utilizatorului. '" Odată ce PC-ul este infectat, victimele log pe banca lor contul și se spune pentru a descărca o aplicație pe lor telefon pentru a primi mesaje de securitate, cum ar fi autentificare acreditările. Dar este de fapt o aplicație malware de la aceeași entitate care controlează PC-ul utilizatorului. Acum ei au acces la nu numai logare bancar regulat utilizatorului prerogativelor, dar, de asemenea, al doilea factor de autentificare trimis victimei prin SMS. În multe cazuri, spune Zeltser, oameni au spus că pur și simplu au fost instalarea de aplicații de securitate, sau, în unele cazuri, un certificat de securitate. "Când oamenii cred ceva se face pentru securitate, ele uita toate logică și rațiune ", spune el. "Ei doar orbește o fac." Uita fly-pescuit; Să mergem spearfishing! Arta criminal de spearphishing-mail spoofing care are ca scop pentru a ajunge destinatarul să faceți clic pe un link de rău sau atașament-are beenaroundforyears. Butthatdoesn'tmeanit devin orice mai puțin eficiente. Conform datelor de la calculator SUA De urgență Readiness Echipa (US-CERT), atacuri de phishing reprezentat 53% din totalul incidentelor de securitate în 2010. Ce sa schimbat este faptul că mai multe tentative de phishing sunt eforturi directe, orientate care vizează anumite persoane în cadrul unei organizații. De fapt, după încălcarea unui e-mail

bază de date întreținută de firma de marketing Epsilon, securitate Experții au avertizat că clienții bancare ar trebui să vă faceți griji despre un val de atacuri spearphishing utilizarea mațiile informații câștigat de break-in. Zilele când phisheri ar fugi sute de Mesajele generice în speranța de a câteva hit-uri se termina. Crimi- semnalele realiza acum un mesaj cu ingineria de specialitate, socială conținut de mașini care se referă la o persoană sau un mic grup de oameni poate fi mult mai mult succes. La urma urmei, de obicei, dureaza doar o mașină să facă un compromis un întreg de rețea. "Vedem acum mai mult de scenarii care implică doar două sau trei e-mailuri care vizează echipei executive, care Parodii echipa legal și conține o atașare malware care discuțiile despre așteptarea litigii ", spune Jim Hansen a garanției Consultanta de conștientizare PhishMe.