ビデオ: La Voz De WNY (十一月 2024)
ソーシャルエンジニアリングは、フィッシングメールや、安全で人気のあるWebサイトのように見せかけた悪意のあるWebサイトの原動力です。 Social-Engineer Inc.のチーフヒューマンハッカーであるChris Hadnagyとの議論の中で、私は彼にこれらの詐欺を見つける方法を尋ねました。 彼のアドバイスは、私たちが読者にしばしば言ったことを反映しています:常に疑わしい。
コン以上のもの
ハドナジーとの議論から、ソーシャルエンジニアリングと呼ばれるもののいくつかは、人々が長年影響力のある決定を行ってきたのと同じトリックであることは明らかです。 たとえば、ファーストフード業界は、どの色が人々がより速く食べることを奨励するかを有名に調査しました。 19世紀の偽の精神主義者(私の家族も含む)と今日では、「冷たく読む」と呼ばれる戦術を使用して、被害者をだまして自分に関する情報を明らかにしています。
しかし、ソーシャルエンジニアリングには、Def Conで開催されたソーシャルエンジニアリングCapture the Flagコンペティションで示されているように、安価なトリック以上のものがあります。 ここでは、競技者は、調査会社から収集した情報や、それらの会社に直接連絡することで得た情報に対してポイントを獲得します。 ハドナジーは、最高得点の出場者も最も多くの研究を行ったと言いました。それは、あなたのターゲットを知ることがどれほど有用かを示しています。
残念ながら、今はソーシャルエンジニアとして研究やオープンソースの情報収集を行う絶好の機会です。 Hadnagyは、企業や個人がソーシャルメディアに多くの情報を投稿しており、その多くはソーシャルエンジニアリング攻撃で使用できると説明しました。 以前は、詐欺師がFacebookから収集した情報を使用して、詐欺をより魅力的に見せようとする方法を見てきました。
感情をターゲットにする
最高のソーシャルエンジニアリングの戦術の1つは、通常は感情をターゲットにすることにより、批判的に考えないようにすることです。 Hadnagyは、彼をだまそうとしている攻撃の1つがAmazonの配送メールであると主張していると述べました。 「それは個人的なもの、私の人生に影響を与えるもの、そして私にとって重要なものでした」と彼は言いました。
この特定の攻撃では、Hadnagyが、クレジットカード番号の減少によりAmazonの重要な注文の1つが遅れたというメールを受け取りました。 大規模な会議に至るまでの数日間、Hadnagyは、Amazonに直接アクセスするのではなく、働きすぎてメール内のリンクをクリックしたと述べました。 彼が連れて行かれたページはよくできていましたが、ありがたいことに、個人情報を入力する前に「.ru」ドメインに気付きました。
簡単でしたが、この戦術は非常に効果的でした。 「私は、私がしていることのために、ここ数か月で19万人以上をフィッシングした男です」と、彼のコンサルティング業務について言及したHadnagy氏は語りました。 「私はこの攻撃にほとんど落ちました。」
感情に訴えることのもう1つの利点は、最高のソーシャルエンジニアが採用した種類の研究を必要としないことです。 「私たちが見るのは、大衆にとって重要なものを選ぶことです。」 Hadnagyは、これにはUPS配送、Amazon注文、PayPal送金が含まれると説明しました。
マスアピールは、別のよくある戦術である大衆放送にも適しています。 「彼らは一度に何百万もの人々にこれらを送るので、彼らは100%を得るかどうか気にしません」とHadnagyは言いました。 「10パーセントは依然として何千もの侵害されたアカウントです。」
安全を保つ
フィッシングメールを見つけるために使用される戦術の多くは、ソーシャルエンジニアリングにも当てはまります。 あまりにも良いと思われるもの、またはあまりにも悪いと思われるものは、おそらく真実ではありません。 リンクにカーソルを合わせて完全なURLを表示したり、Webアドレスを手動で入力したり、突然届くリンクを避けたりするなどの戦術は、すべて健全な戦術です。
しかし、Capture the Flagコンペティションのライブコール部分は、ソーシャルエンジニアリングのもう1つの側面である機関の信頼を強調しています。 今年、出場者の多くは同僚またはベンダーを装い、対象企業の従業員に彼らを信頼する直接の理由を与えました。 時々、あなたの会社のCEOであると主張する誰かがあなたに個人的に電話するとき、それは質問をすることを支払います。
Hadnagyはソーシャルエンジニアリングを説明した経歴を持っていますが、攻撃者が彼のトリックを取り上げているかどうかは心配していません。 「悪者はこれを行う方法に関するデータを探していません」と彼はSecurityWatchに語った。 「彼らはすでにその方法を知っています。問題は、善良な人が知らないということです。」 彼の仕事を通して、ハドナジーは、アメリカの企業や一般の人々に、日々のやり取りについて批判的に考える方法と、最悪のシナリオで対応する方法を教えることができると信じています。 ハドナジーは次のように説明しました。「悪者を武装させる代わりに、善人を武装させる」。
FlickrユーザーTravis V経由の画像