Sociálne inžinierstvo predstavuje netechnickú formu prelomenia bezpečnostných postupov a opatrení, nakoľko ide o útok založený na schopnosti ovplyvňovania a manipulácie ľudí. Sociálne inžinierstvo ťaží z potenciálneho zlyhania ľudského faktora, ktorý je neoddeliteľnou súčasťou informačnej bezpečnosti a hlavným cieľom útočníka je narušiť vnútorné prostredie organizácie alebo získať citlivé a dôverné informácie s využitím rôznych psychologických hier, manipulácie či dokonca vyhrážok.
Potrebujete sociálne inžinierstvo?
Motivácia sociálneho inžiniera k uskutočneniu útoku sociálnym inžinierstvom môže byť rôzna a predmetom motivácie môže byť napríklad finančný zisk, osobné záujmy či úmyselné poškodenie. Nakoľko sociálny inžinier využíva prirodzenú tendenciu jednotlivca uveriť, byť ústretový a altruistický, môže byť takýto útok realizovaný aj útočníkom, ktorý nedisponuje hlbokými technickými znalosťami.
Z tohto dôvodu je potrebné pri zvyšovaní bezpečnosti organizácie realizovať aj testovanie sociálnym inžinierstvom súbežne s testovaním IT infraštruktúry a webových aplikácií, nakoľko takýto test dokáže odhaliť bezpečnostné slabiny v zabezpečení, ktoré by testovanie IT infraštruktúry a webových aplikácií neodhalilo.
Priebeh testu sociálneho inžinierstva
Minimálna dĺžka testu sociálnym inžinierstvom je 5 dní, pričom čas na realizáciu testu vždy závisí od množstva realizovaných spôsobov a techník útokov.
| Dĺžka testu | 5 dní | 6-7 dní | 8-10 dní |
| Realizované techniky |
|
|
|
| Manažérske zhrnutie | Áno | Áno | Áno |
Počas testovania používame rôzne sociotechnické triky, napríklad spoofing emailových správ, Caller-ID či Sender-ID pri SMS správach a telefónnych hovoroch, zneužitie identity zamestnanca testovanej organizácie, vydávanie sa za nového zamestnanca alebo ďalšie psychologické metódy – ako prosba o pomoc, vyhrážanie sa či nátlak. Testy sociálneho inžinierstva je možné vykonať nasledujúcimi spôsobmi a technikami alebo ich vzájomnou kombináciou a dopĺňať, nakoľko znalosť informácií je pridanou hodnotou a zvyšuje dôveryhodnosť u testovaných zamestnancov pri realizácii útokov sociálnym inžinierstvom.
Výstup a vyhodnotenie
Všetky odhalené bezpečnostné incidenty, zlyhania bezpečného správania sa a získané citlivé informácie sú zaznamenané a vo výslednej správe detailne popísané.
Popis techník využívaných počas testovania
Pasívne sociálne inžinierstvo predstavuje zhromažďovanie a preskúmanie informácií, konkrétne ide o techniky:
- preverenie verejne dostupných informácií o testovanej organizácii
- prehľadávanie a získavanie informácií či údajov z nájdených zraniteľností pri predošlom penetračnom testovaní napríklad IT infraštruktúry – získanie prístupu k emailovým účtom
Cieľ: Získať informácie, ktorých znalosť môže napomôcť pri realizácii sofistikovanejších útokov založené na sociálnom inžinierstve.
Simulácia phishingu, ktorá je zameraná na vybranú alebo náhodnú skupinu zamestnancov a tejto skupine je zaslaná špeciálne skonštruovaná emailová správa.
Cieľ: Prostredníctvom phishingu naviesť zamestnancov na kliknutie na podvrhnutý odkaz pomocou ktorého je možné zaniesť do PC špeciálne vytvorený malware a získať kontrolu nad týmto PC, alebo naviesť zamestnancov na podvrhnutú doménu a získať od zamestnancov citlivé informácie.
Získanie citlivých a dôverných informácií je realizované pomocou týchto techník:
- telefonické kontaktovanie, alebo formou SMS, vybraných alebo náhodných zamestnancov testovanej organizácie, je možné využít podvrhnutú Caller ID identitu
- kontaktovanie prostredníctvom sociálnych sietí, IM alebo VoIP komunikácie vybraných alebo náhodných zamestnancov testovanej organizácie
Cieľ: Získať citlivé informácie, ktoré možno zneužiť (napríklad získať znalosť o zamestnaneckej hierarchii, infraštruktúre a používaných softvérových metódach, zabezpečení technickej podpory alebo získať prístupové heslá do emailových schránok). Ďalej taktiež čo najpresvedčivejšie ovplyvniť rozhodnutie zamestnanca v prospech úspešnosti testu (akékoľvek zlyhanie bezpečného správania sa).
Aktívne sociálne inžinierstvo, v rámci ktorého sa realizuje:
- fyzický prienik do priestorov organizácie pri ktorej prichádza ku kontaktu so zamestnancami testovanej organizácie
- test s prenosnými médiami, kde je zamestnancom podvrhnuté elektronické prenosné médium – USB kľúč alebo optický disk
- prehľadávanie odpadkov (trashdiving / dumpster diving)
Cieľ: Získať prístup a kontrolu nad PC prostredníctvom infikovaného malware, pri pohybe po budove získať citlivé a dôverné informácie, ktoré môžu byť položené/umiestnené v rôznych miestach budovy (na stole, v koši, atď.) alebo získať prístup do intranetu pomocou aktívneho prvku umiestneného v sieti.