Sociálne inžinierstvo - Nethemba

IT bezpečnostné služby

Sociálne inžinierstvo

01

Sociálne inžinierstvo predstavuje netechnickú formu prelomenia bezpečnostných postupov a opatrení, nakoľko ide o útok založený na schopnosti ovplyvňovania a manipulácie ľudí. Sociálne inžinierstvo ťaží z potenciálneho zlyhania ľudského faktora, ktorý je neoddeliteľnou súčasťou informačnej bezpečnosti a hlavným cieľom útočníka je narušiť vnútorné prostredie organizácie alebo získať citlivé a dôverné informácie s využitím rôznych psychologických hier, manipulácie či dokonca vyhrážok.

Potrebujete sociálne inžinierstvo?
Motivácia sociálneho inžiniera k uskutočneniu útoku sociálnym inžinierstvom môže byť rôzna a predmetom motivácie môže byť napríklad finančný zisk, osobné záujmy či úmyselné poškodenie. Nakoľko sociálny inžinier využíva prirodzenú tendenciu jednotlivca uveriť, byť ústretový a altruistický, môže byť takýto útok realizovaný aj útočníkom, ktorý nedisponuje hlbokými technickými znalosťami.

Z tohto dôvodu je potrebné pri zvyšovaní bezpečnosti organizácie realizovať aj testovanie sociálnym inžinierstvom súbežne s testovaním IT infraštruktúry a webových aplikácií, nakoľko takýto test dokáže odhaliť bezpečnostné slabiny v zabezpečení, ktoré by testovanie IT infraštruktúry a webových aplikácií neodhalilo.

Priebeh testu sociálneho inžinierstva
Minimálna dĺžka testu sociálnym inžinierstvom je 5 dní, pričom čas na realizáciu testu vždy závisí od množstva realizovaných spôsobov a techník útokov.

Dĺžka testu 5 dní 6-7 dní 8-10 dní
Realizované techniky
  • Pasívne sociálne inžinierstvo
  • Simulácia phishingu
  • Pasívne sociálne inžinierstvo
  • Simulácia phishingu
  • Získanie citlivých a dôverných informácií
  • Pasívne sociálne inžinierstvo
  • Simulácia phishingu
  • Získanie citlivých a dôverných informácií
  • Aktívne sociálne inžinierstvo
Manažérske zhrnutie Áno Áno Áno

Počas testovania používame rôzne sociotechnické triky, napríklad spoofing emailových správ, Caller-ID či Sender-ID pri SMS správach a telefónnych hovoroch, zneužitie identity zamestnanca testovanej organizácie, vydávanie sa za nového zamestnanca alebo ďalšie psychologické metódy – ako prosba o pomoc, vyhrážanie sa či nátlak. Testy sociálneho inžinierstva je možné vykonať nasledujúcimi spôsobmi a technikami alebo ich vzájomnou kombináciou a dopĺňať, nakoľko znalosť informácií je pridanou hodnotou a zvyšuje dôveryhodnosť u testovaných zamestnancov pri realizácii útokov sociálnym inžinierstvom.

Výstup a vyhodnotenie
Všetky odhalené bezpečnostné incidenty, zlyhania bezpečného správania sa a získané citlivé informácie sú zaznamenané a vo výslednej správe detailne popísané.

Popis techník využívaných počas testovania

Pasívne sociálne inžinierstvo predstavuje zhromažďovanie a preskúmanie informácií, konkrétne ide o techniky:

  • preverenie verejne dostupných informácií o testovanej organizácii
  • prehľadávanie a získavanie informácií či údajov z nájdených zraniteľností pri predošlom penetračnom testovaní napríklad IT infraštruktúry – získanie prístupu k emailovým účtom

Cieľ: Získať informácie, ktorých znalosť môže napomôcť pri realizácii sofistikovanejších útokov založené na sociálnom inžinierstve.

Simulácia phishingu, ktorá je zameraná na vybranú alebo náhodnú skupinu zamestnancov a tejto skupine je zaslaná špeciálne skonštruovaná emailová správa.

Cieľ: Prostredníctvom phishingu naviesť zamestnancov na kliknutie na podvrhnutý odkaz pomocou ktorého je možné zaniesť do PC špeciálne vytvorený malware a získať kontrolu nad týmto PC, alebo naviesť zamestnancov na podvrhnutú doménu a získať od zamestnancov citlivé informácie.

Získanie citlivých a dôverných informácií je realizované pomocou týchto techník:

  • telefonické kontaktovanie, alebo formou SMS, vybraných alebo náhodných zamestnancov testovanej organizácie, je možné využít podvrhnutú Caller ID identitu
  • kontaktovanie prostredníctvom sociálnych sietí, IM alebo VoIP komunikácie vybraných alebo náhodných zamestnancov testovanej organizácie

Cieľ: Získať citlivé informácie, ktoré možno zneužiť (napríklad získať znalosť o zamestnaneckej hierarchii, infraštruktúre a používaných softvérových metódach, zabezpečení technickej podpory alebo získať prístupové heslá do emailových schránok). Ďalej taktiež čo najpresvedčivejšie ovplyvniť rozhodnutie zamestnanca v prospech úspešnosti testu (akékoľvek zlyhanie bezpečného správania sa).

Aktívne sociálne inžinierstvo, v rámci ktorého sa realizuje:

  • fyzický prienik do priestorov organizácie pri ktorej prichádza ku kontaktu so zamestnancami testovanej organizácie
  • test s prenosnými médiami, kde je zamestnancom podvrhnuté elektronické prenosné médium – USB kľúč alebo optický disk
  • prehľadávanie odpadkov (trashdiving / dumpster diving)

Cieľ: Získať prístup a kontrolu nad PC prostredníctvom infikovaného malware, pri pohybe po budove získať citlivé a dôverné informácie, ktoré môžu byť položené/umiestnené v rôznych miestach budovy (na stole, v koši, atď.) alebo získať prístup do intranetu pomocou aktívneho prvku umiestneného v sieti.