Особености на социалния инженеринг
Какво бихте създали, в случай че ви се обадят от обслужващата ви банка и изискат да предоставите своите банкови данни и пароли? Изненадващо огромен брой хора биха ги споделили, игнорирайки въпроса „ Това в действителност ли е позвъняване от банката? “. И колкото и да звучи необичайно, точно по сходен метод са започвали някои от най-сериозните хакерски атаки в наши дни, довели до загуби за милиони долари.
Запознайте се със обществения инженеринг. Social engineering съставлява набор от техники за хакерски офанзиви и достъпване на непозволена информация, които са ориентирани главно към най-уязвимото звено от актуалните осведомителни системи, а точно - хората, които ги употребяват. Или с други думи - елементарна машинация, само че в актуалната цифрова среда. Този тип офанзиви се основават на психически недостатъци на жертвата и употребяват разнообразни техники като подправени имейли, телефонни позвънявания, известия, а в последно време - видеоклипове и даже изкуствен интелект. А следствията от тях могат да бъдат доста съществени - от финансови загуби и кражба на еднаквост до шпионаж и даже война.
История
Социалният инженеринг напълно не е нова идея и в действителност съществува от антични времена. Всички знаем за именития Троянски кон, употребен от гърците, с цел да обхванат в Троя. Неслучайно сходни способи се употребяват още от зората на хакерските и предшестващите ги фрийкърски (Phreaker) офанзиви. Защо да използваш комплицирани способи за разтрошаване на ключова дума, в случай че просто някой може да ти я каже?
Всъщност един от най-популярните хакери на всички времена - именитият Кевин Митник, прочут с пробивите си в системите на NASA, Пентагона и други организации, е употребявал точно обществен инженеринг за доста от своите офанзиви. Според мнозина той е измислил доста от употребяваните и до през днешния ден правила на общественото инженерство, разказани по-късно в неговите книги, някои от които са издадени на български.
Най-често срещаните офанзиви, основаващи се на обществено инженерство, включват:
Обикновено телефонно позвъняване
при което хакерът се показва за друго лице за да получи конфиденциална информация. Много постоянно сходни офанзиви включват голям брой позвънявания, в това число и до разнообразни организации и са съпроводени с информация от обществените мрежи и други способи, създавайки чувството за меродавност. Така да вземем за пример, хакерът може да се показа за търговец на техника, който желае да се осведоми към кого в дадена компания да адресира офертата си. След като получи името на ИТ мениджъра, той би могъл да се обади на секретарката, представяйки се за него и искайки да получи нейната ключова дума за достъп. Така информацията, добита при предходните позвънявания, служи за основаване на доверие на идващ стадий.
Phishing
Това е все по-популярна офанзива, при която злонамерено лице изпраща подправени имейли и известия, изглеждащи като подадени от публични или доверени източници. От потребителя се изисква да кликне върху линк, с което той ще смъкна инфектиран файл или ще показа персонална информация. Друга social engineering офанзива е така наречен
SMSishing
Терминът е комбиниране от „ SMS “ (или „ Short Message Service “) и „ phishing “ (измама посредством електронна поща). При него злонамерени лица изпращат подправени текстови известия, с цел да излъгват хората да споделят персонални или финансови данни, да кликнат на зловредни връзки или да изтеглят нездравословен програмен продукт или приложения.
Baiting
е офанзива, при която хакерите употребяват нещо примамливо или забавно за потребителя, като да вземем за пример безвъзмезден програмен продукт, филм или музика, с цел да го накарат да смъкна инфектиран файл или да даде поверителна информация.
Business email compromise (BEC)
от своя страна, е обвързван с навлизане в имейл акаунта на чиновник или началник в организация и потребление на неговия престиж, с цел да се излъжат други чиновници или сътрудници да извършат финансови транзакции или да споделят поверителна информация.
Whaling
е способ, ориентиран към високопоставени лица в дадена организация. До тях хакерите изпращат персонализирани и подробни известия, изискващи някакво деяние, като да вземем за пример превод на пари или откриване на поверителни данни.
Deepfake
С развиването на новите технологии общественият инженеринг става все по-комплексен и по-труден за разкриване. Вече се постанова и така наречен deepfake технология, употребяваща изкуствен интелект за основаването или модифицирането на видеоклипове, в които някой споделя или прави нещо, което в реалност не се е случило. Тази технология може да бъде употребена както за развлечение, по този начин и злонамерено - за дезинформация или да вземем за пример изнудване. Един от най-известните образци за deepfake е видео с някогашния президент на Съединени американски щати Барак Обама, основано от артиста и режисьор Джордан Пийл като предизвестие за заплахите, които крие тази технология. Пийл имитира гласа и външния тип на Обама, който в манипулираното видео приказва думи, които в никакъв случай не е казвал.
В друго deepfake видео, оповестено в TikTok известният холивудски артист Том Круз играе голф и прави фокуси. Видеото е било толкоз безапелационно, че е става вирусно и провокира полемика за следствията от тази технология.
Скорошен случай на deepfake засегна и българския министър-председател Николай Денков, който беше включен във подправено видео, призоваващо хората да споделят персонални данни за присъединяване в капиталова скица. То беше публикувано в обществените мрежи и имаше за цел да измами потребителите, само че в следствие бе опровергано от държавното управление.
Как да разпознаем офанзивите?
Има знаци, които могат да ни подскажат, че става дума за хакерска офанзива посредством обществен инженеринг. Като онлайн консуматори би трябвало да бъдем изключително бдителни, в случай че получим известие, изискващо незабавно деяние от наша страна (като кликане на линк, събаряне на файл или шерване на персонална информация) или предлагащо неустоима оферта. Сигнал за паника е и съществуването на груби неточности в правописа, граматиката или форматирането. Както и в случай че полученото известие е ненадейно, несъответстващо на подтекста или спорно с предходната ни връзка.
Разкриването на deepfake видео клиповете е по-сложно, защото те стават все по-реалистични и по-трудни за разграничаване от истинските. Бихме могли да ги разпознаем, в случай че обърнем внимание на детайлите в изображението, синхронизацията на звука и придвижването на устните, цвета на кожата, отразяването на светлината, нередности в региона на шията или други неестествени феномени.
Експертите поучават също да ревизираме източника и достоверността на видеото, като търсим други версии или източници на същото видео, ревизираме датата и мястото на снимането, съпоставяме гласа и държанието на индивида в него с други видеоклипове. Можем също да използваме профилирани софтуери, които да проучват видеото и да открият признаци на операция. Вече съществуват, основани на изкуствен интелект приложения, които могат да сравнят лицето във видеото с други лица и да дефинират вероятността за имитация.
Текстът е част от бр. 118 на сп. „ Икономика “. Публикува се в Economic.bg по силата на партньорско съглашение сред двете медии. Темите и мненията са подбрани от екипа на списанието и не съответстват безусловно с публицистичната политика на Economic.bg.
Запознайте се със обществения инженеринг. Social engineering съставлява набор от техники за хакерски офанзиви и достъпване на непозволена информация, които са ориентирани главно към най-уязвимото звено от актуалните осведомителни системи, а точно - хората, които ги употребяват. Или с други думи - елементарна машинация, само че в актуалната цифрова среда. Този тип офанзиви се основават на психически недостатъци на жертвата и употребяват разнообразни техники като подправени имейли, телефонни позвънявания, известия, а в последно време - видеоклипове и даже изкуствен интелект. А следствията от тях могат да бъдат доста съществени - от финансови загуби и кражба на еднаквост до шпионаж и даже война.
История
Социалният инженеринг напълно не е нова идея и в действителност съществува от антични времена. Всички знаем за именития Троянски кон, употребен от гърците, с цел да обхванат в Троя. Неслучайно сходни способи се употребяват още от зората на хакерските и предшестващите ги фрийкърски (Phreaker) офанзиви. Защо да използваш комплицирани способи за разтрошаване на ключова дума, в случай че просто някой може да ти я каже?
Всъщност един от най-популярните хакери на всички времена - именитият Кевин Митник, прочут с пробивите си в системите на NASA, Пентагона и други организации, е употребявал точно обществен инженеринг за доста от своите офанзиви. Според мнозина той е измислил доста от употребяваните и до през днешния ден правила на общественото инженерство, разказани по-късно в неговите книги, някои от които са издадени на български.
Най-често срещаните офанзиви, основаващи се на обществено инженерство, включват:
Обикновено телефонно позвъняване
при което хакерът се показва за друго лице за да получи конфиденциална информация. Много постоянно сходни офанзиви включват голям брой позвънявания, в това число и до разнообразни организации и са съпроводени с информация от обществените мрежи и други способи, създавайки чувството за меродавност. Така да вземем за пример, хакерът може да се показа за търговец на техника, който желае да се осведоми към кого в дадена компания да адресира офертата си. След като получи името на ИТ мениджъра, той би могъл да се обади на секретарката, представяйки се за него и искайки да получи нейната ключова дума за достъп. Така информацията, добита при предходните позвънявания, служи за основаване на доверие на идващ стадий.
Phishing
Това е все по-популярна офанзива, при която злонамерено лице изпраща подправени имейли и известия, изглеждащи като подадени от публични или доверени източници. От потребителя се изисква да кликне върху линк, с което той ще смъкна инфектиран файл или ще показа персонална информация. Друга social engineering офанзива е така наречен
SMSishing
Терминът е комбиниране от „ SMS “ (или „ Short Message Service “) и „ phishing “ (измама посредством електронна поща). При него злонамерени лица изпращат подправени текстови известия, с цел да излъгват хората да споделят персонални или финансови данни, да кликнат на зловредни връзки или да изтеглят нездравословен програмен продукт или приложения.
Baiting
е офанзива, при която хакерите употребяват нещо примамливо или забавно за потребителя, като да вземем за пример безвъзмезден програмен продукт, филм или музика, с цел да го накарат да смъкна инфектиран файл или да даде поверителна информация.
Business email compromise (BEC)
от своя страна, е обвързван с навлизане в имейл акаунта на чиновник или началник в организация и потребление на неговия престиж, с цел да се излъжат други чиновници или сътрудници да извършат финансови транзакции или да споделят поверителна информация.
Whaling
е способ, ориентиран към високопоставени лица в дадена организация. До тях хакерите изпращат персонализирани и подробни известия, изискващи някакво деяние, като да вземем за пример превод на пари или откриване на поверителни данни.
Deepfake
С развиването на новите технологии общественият инженеринг става все по-комплексен и по-труден за разкриване. Вече се постанова и така наречен deepfake технология, употребяваща изкуствен интелект за основаването или модифицирането на видеоклипове, в които някой споделя или прави нещо, което в реалност не се е случило. Тази технология може да бъде употребена както за развлечение, по този начин и злонамерено - за дезинформация или да вземем за пример изнудване. Един от най-известните образци за deepfake е видео с някогашния президент на Съединени американски щати Барак Обама, основано от артиста и режисьор Джордан Пийл като предизвестие за заплахите, които крие тази технология. Пийл имитира гласа и външния тип на Обама, който в манипулираното видео приказва думи, които в никакъв случай не е казвал.
В друго deepfake видео, оповестено в TikTok известният холивудски артист Том Круз играе голф и прави фокуси. Видеото е било толкоз безапелационно, че е става вирусно и провокира полемика за следствията от тази технология.
Скорошен случай на deepfake засегна и българския министър-председател Николай Денков, който беше включен във подправено видео, призоваващо хората да споделят персонални данни за присъединяване в капиталова скица. То беше публикувано в обществените мрежи и имаше за цел да измами потребителите, само че в следствие бе опровергано от държавното управление.
Как да разпознаем офанзивите?
Има знаци, които могат да ни подскажат, че става дума за хакерска офанзива посредством обществен инженеринг. Като онлайн консуматори би трябвало да бъдем изключително бдителни, в случай че получим известие, изискващо незабавно деяние от наша страна (като кликане на линк, събаряне на файл или шерване на персонална информация) или предлагащо неустоима оферта. Сигнал за паника е и съществуването на груби неточности в правописа, граматиката или форматирането. Както и в случай че полученото известие е ненадейно, несъответстващо на подтекста или спорно с предходната ни връзка.
Разкриването на deepfake видео клиповете е по-сложно, защото те стават все по-реалистични и по-трудни за разграничаване от истинските. Бихме могли да ги разпознаем, в случай че обърнем внимание на детайлите в изображението, синхронизацията на звука и придвижването на устните, цвета на кожата, отразяването на светлината, нередности в региона на шията или други неестествени феномени.
Експертите поучават също да ревизираме източника и достоверността на видеото, като търсим други версии или източници на същото видео, ревизираме датата и мястото на снимането, съпоставяме гласа и държанието на индивида в него с други видеоклипове. Можем също да използваме профилирани софтуери, които да проучват видеото и да открият признаци на операция. Вече съществуват, основани на изкуствен интелект приложения, които могат да сравнят лицето във видеото с други лица и да дефинират вероятността за имитация.
Текстът е част от бр. 118 на сп. „ Икономика “. Публикува се в Economic.bg по силата на партньорско съглашение сред двете медии. Темите и мненията са подбрани от екипа на списанието и не съответстват безусловно с публицистичната политика на Economic.bg.
Източник: economic.bg
КОМЕНТАРИ