Video: Watch this hacker break into a company (November 2024)
Social Engineering ist das, was Phishing-E-Mails und böswillige Websites antreibt, die wie sichere, beliebte Websites aussehen. Während eines Gesprächs mit Chris Hadnagy, Chief Human Hacker bei Social-Engineer Inc., fragte ich ihn, wie er diese Betrügereien erkennen könne. Sein Rat entspricht dem, was wir den Lesern oft gesagt haben: Seien Sie immer misstrauisch.
Mehr als ein Betrug
Aus meiner Diskussion mit Hadnagy geht hervor, dass einige der von uns als Social Engineering bezeichneten Tricks dieselben Tricks sind, mit denen Menschen seit Jahren Entscheidungen beeinflussen. Die Fast-Food-Branche hat zum Beispiel bekanntermaßen untersucht, welche Farben die Menschen dazu anregen, schneller zu essen. Falsche Spiritualisten aus dem 19. Jahrhundert (zu denen auch Mitglieder meiner Familie gehören) verwenden heute eine Taktik namens "Kaltlesen", um Opfer dazu zu bringen, Informationen über sich selbst preiszugeben.
Social Engineering bietet jedoch mehr als billige Tricks, wie der Social Engineering Capture Flag-Wettbewerb auf der Def Con zeigt. Hier erhalten Teilnehmer Punkte für Informationen, die sie von recherchierenden Unternehmen erhalten und die sie direkt kontaktieren. Hadnagy sagte, dass die besten Bewerber auch die meisten Nachforschungen anstellten, was zeigt, wie nützlich es ist, Ihre Ziele zu kennen.
Unglücklicherweise ist jetzt eine gute Zeit, um ein Sozialingenieur zu sein, der Nachforschungen anstellt oder Open-Source-Informationen sammelt. Hadnagy erklärte, dass Unternehmen und Einzelpersonen viele Informationen in sozialen Medien veröffentlichen, von denen ein Großteil für Social-Engineering-Angriffe verwendet werden kann. Zuvor haben wir uns angesehen, wie Betrüger versucht haben, Informationen von Facebook zu verwenden, um ihre Betrügereien ansprechender zu machen - manchmal mit lustigen Ergebnissen.
Emotionen anvisieren
Eine der besten Methoden des Social Engineering besteht darin, Sie davon abzuhalten, kritisch zu denken, normalerweise durch gezielte Emotionen. Hadnagy sagte, ein Angriff, der ihn fast zum Narren gehalten hätte, sei eine Versand-E-Mail von Amazon. "Es war etwas Persönliches, etwas, das mein Leben beeinflusste, und etwas, das mir wichtig war", sagte er.
Bei diesem speziellen Angriff erhielt Hadnagy eine E-Mail mit der Mitteilung, dass sich eine seiner wichtigen Amazon-Bestellungen aufgrund einer abgelehnten Kreditkartennummer verzögert habe. In den Tagen vor einer großen Konferenz sagte Hadnagy, er sei überarbeitet und habe auf den Link in der E-Mail geklickt, anstatt Amazon direkt zu besuchen. Die Seite, auf die er geleitet wurde, war gut ausgearbeitet, aber zum Glück bemerkte er die ".ru" -Domain, bevor er irgendwelche persönlichen Informationen eingab.
Obwohl es einfach war, war diese Taktik sehr effektiv. "Ich bin der Typ, der in den letzten Monaten aufgrund meiner Aktivitäten über 190.000 Menschen in die Irre geführt hat", sagte Hadnagy über seine Beratungsarbeit. "Ich wäre fast auf diesen Angriff hereingefallen."
Ein weiterer Vorteil des Appellierens an Emotionen besteht darin, dass nicht die Art von Recherche erforderlich ist, die die besten Sozialingenieure anstellen. "Was wir sehen werden, ist, dass wir Dinge auswählen, die für die Massen wichtig sind." Hadnagy erklärte, dass dies UPS-Versand, Amazon-Bestellungen und PayPal-Überweisungen einschließt.
Die Massenattraktivität eignet sich auch gut für die Massenausstrahlung, eine weitere häufige Taktik. "Sie senden diese zu einer Zeit an Millionen von Menschen, daher ist es ihnen egal, ob sie 100 Prozent erhalten", sagte Hadnagy. "10 Prozent sind immer noch Tausende von Konten gefährdet."
Sicher bleiben
Viele der Taktiken zum Erkennen von Phishing-E-Mails gelten auch für das Social Engineering. Alles, was zu gut klingt, um wahr zu sein, oder zu schlecht, um wahr zu sein, ist wahrscheinlich nicht wahr. Taktiken wie das Bewegen des Mauszeigers über Links, um die vollständige URL anzuzeigen, das manuelle Eingeben von Webadressen und das Vermeiden von unvorhergesehenen Links sind gute Taktiken.
Der Live-Calling-Teil des Capture the Flag-Wettbewerbs unterstreicht jedoch eine weitere Facette des Social Engineering: das institutionelle Vertrauen. In diesem Jahr gaben sich viele der Teilnehmer als Mitarbeiter oder Verkäufer aus, was den Mitarbeitern der Zielunternehmen einen unmittelbaren Grund gab, ihnen zu vertrauen. Manchmal lohnt es sich, Fragen zu stellen, wenn jemand, der behauptet, der CEO Ihres Unternehmens zu sein, Sie persönlich anruft.
Hadnagy hat eine Karriere als Erklärer für Social Engineering gemacht, aber er ist nicht besorgt, wenn Angreifer seine Tricks aufgreifen. "Die bösen Jungs suchen nicht nach Daten, wie das geht", sagte er zu SecurityWatch. "Sie wissen bereits wie. Das Problem ist, dass die Guten es nicht tun." Durch seine Arbeit glaubt Hadnagy, dass er amerikanischen Unternehmen und normalen Leuten beibringen kann, wie sie kritisch über ihre täglichen Interaktionen nachdenken und wie sie im schlimmsten Fall reagieren können. Hadnagy erklärte es so: "Anstatt die Bösen zu bewaffnen, werden die Guten bewaffnet."
Bild über Flickr-User Travis V.
