10. Социальная инженерия
The act of manipulating a person to accomplish goals
that may or may not be in their best interest.
Акт манипулирования человеком для
достижения целей, которые могут быть или
не быть в его интересах.
www.social-engineer.org
11. Социальная инженерия в быту
• Медицина
• Обучение и воспитание
• Побуждение к действию во время ЧП
• Расследования
• Политическая агитация
• Маркетинг и реклама
• Менеджмент
• Актерское мастерство
12. Злоумышленная СИ
• Мошенничество онлайн
• Мошенничество в реальности
• Фишинг
• Nigerian/419 scam
• Вербовка мулов в кардинге
• Шпионаж
• «Зомбирование»
• Финансовые пирамиды
14. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты
15. Психологические методы
• Отвлечение внимания
• Социальное соответствие
• Принцип толпы
• Нечестность
• Обман
• Нужды и Желания
• Срочность и ограниченность
Understanding scam victims: seven principles for systems security
Frank Stajano, Paul Wilson, University of Cambridge, 2009
23. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты
25. Сбор информации
Интернет
• Google hacking
– Johnny Long – GH For Penetration Testers
• Phishing
– Social Engineering Toolkit by @dave_rel1k
• Maltego
– Paterva’s uber WWW mining weapon
• FOCA
– Fear the Foca for your metadata can speak
• Creepymap
– Seek and pinpoint
27. Сбор информации
не Интернет
• Tail Gating
– Он же Piggybacking
• Shoulder Surfing
– All your passwords are belong to us
• Телефон
– No school other the old school
• Вторжение
– Veni, vidi, vici
• Диверсия
– Отвлечение/привлечение внимания
29. Сбор информации
что искать?
(корпоратив)
• Профиль
– Основные направления
– Прибыль, расходы, критические процессы
– Партнеры, поставщики, аутсорсеры
– Используемые технологии
• Масштабы
– Численность
– Территориальное распределение
• Документы и публичные данные
– Файлы на сайте
– Сотрудники
– Адреса электронной почты, телефоны, прочие контакты
– Отчеты, пресс-релизы
– IP-адреса (!)
30. Сбор информации
что искать?
(индивидуум)
• Круг общения
– Школа, вуз, дополнительное обучение
– Работа, карьера, конференции, выставки
– Семья, друзья, знакомые
• Интересы
– Клубы, тусовки, хобби
– Списки рассылки, тематические форумы
– Онлайн-сообщества, игры, MMORPG
31. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты
32. Обрамление
(Framing)
Framing is information and experiences in life that alter
the way we react to decisions we must make.
Обрамление это информация и жизненный
опыт, которые формируют нашу реакцию на
события, а также решения, которые мы
принимаем.
www.social-engineer.org
33. Обрамление
Frame of Reference
• Тип восприятия
– визуал / аудиал / кинестетик
• Жизненный опыт
• Политические и религиозные убеждения
• Комплексы и фобии
• Принципы
• Профессиональный опыт
…
34. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты
35. Использование предлогов
(Pretexting)
Pretexting is defined as the act of creating an invented
scenario to persuade a targeted victim to release
information or perform some action.
Предлог – это акт создания вымышленного
сценария для убеждения цели в
предоставлении информации либо
выполнении определенного действия.
www.social-engineer.org
36. Классические предлоги
• Help Desk / Tech Support
• Pizza Guy
• Претендент на собеседовании
• Торговый представитель
• Бизнес партнер
• Разъяренный клиент
• Новый сотрудник
37. Методы социальной инженерии
• Психологические методы
• Сбор информации
• Обрамление (Framing)
• Использование предлогов (Pretexting)
• Извлечение (Elicitation)
• Манипулирование (Manipulation)
• Планирование и сценарии
• Инструменты
38. Извлечение
(Elicitation)
Elicitation is the process of extracting information from
something or someone during an apparently normal
and innocent conversation.
Извлечение это процесс получения
информации в, казалось бы, нормальном и
безобидном режиме общения.
40. Уязвимости
• Мы хотим быть вежливыми
• Мы хотим выглядеть профессионально
• Мы хотим быть нужными и полезными
• Мы хотим ощущать свою важность
• Мы хотим быть последовательными
• Мы не хотим врать без веской причины
• Нам нравятся люди, похожие на нас
• Мы относимся к людям так,
как они относятся к нам
41. Формула успеха
План успешной атаки
• Исследование обрамления/фрейма
– Изменение обрамления (reframing)
• Разработка предлога
– Предлог должен вписываться в фрейм цели
– Чем точнее они подходят друг другу, тем больше
шансов на успех
• Разработка сценария
– Не погружаться в детали слишком глубоко
• Выполнение действия
– Извлечение (elicitation)
– Манипулирование (manipulation)
43. Пример 1
• Фрейм
– Охранник последнего этажа
– Руководитель смены
• Предлог
– Постоялец отеля
• Сценарий
– Пляжная одежда и полотенце
– «Забытый» ключ от номера
• Манипулирование
– Пропуск в бассейн
45. Пример 2
RSA SecurID Attack
• Фрейм
– (Любопытный) сотрудник компании
• Предлог
– Инсайдер, располагающий информацией о планах
найма на 2011 г.
• Сценарий
– «Ошибочное» электронное письмо на группу
сотрудников с вложением «2011 recruitment
plan.xls»
• Манипулирование
– Запуск вложенного документа MS Excel
52. Основные аспекты невербалки
• 40-60(-80?)% информации при общении
• Жесты и мимика не врут
• Микро выражения
• Однозначно распознать ложь невозможно
• Мы плохие (ленивые?) наблюдатели
• Внимательность к окружающим
57. Управлять риском
• Учитесь распознавать социального инженера
– Следите за новостями
– Учитесь на ошибках
– Читайте, смотрите, слушайте
• Осведомленность в хорошем смысле слова
– Программы осведомленности СКУЧНЫЕ
– Сотрудники «срезают углы»
– Учите коллег распознавать СИ
– Убедите, что противостояние СИ в личных целях
каждого
58. Управлять риском
• Осознание ценности информации
– Справочники, списки, каталоги
– Устаревшие документы
• Идентификация личности
• Обновления ОС и ПО
– Метаданные: DOC, XLS, PDF, ETC.
– 0-days & public exploits
59. Управлять риском
• Планирование, планирование,
планирование
– Процедуры увольнения
– Выявление и реагирование на инциденты СИ
– Действия при подозрении или успешной атаке
• Выявление нарушителей
• Кто-то подсматривает вводимые пароли
• Получение фишингового письма и так далее…
60. Управлять риском
• Аудиты
– Подготовьте юридическую базу
– «Социальные» пентесты
– Пентест должен включать социальный канал
– Оценивайте и требуйте качество аудита
– Обсуждайте и выполняйте рекомендации
• Знайте, где вы сильны
• А где «возможны улучшения»
63. Что читать
• Chris Hadnagy
– Social Engineering
• Joe Navarro
– What Every Body Is Saying
– Louder Than Words
• Kevin Mitnick
– The Art Of Deception
66. Постоянно практикуйтесь!
• Убедитесь, что это законно
• Практикуйтесь на людях, желающих помочь
– Служащие отелей
– Операторы звонковых центров
– Продавцы
– Кто угодно
• Do no evil!