Reverse SE: tecnologia o base umana?

Naviga le tue risposte
1

In Reverse Social Engineering l'hacker sabota deliberatamente una rete, causando un problema. L'hacker quindi annuncia che è il contatto appropriato per risolvere il problema e quando viene a risolvere il problema della rete, l'hacker richiede alcune informazioni dai dipendenti o dallo staff e acquisisce le informazioni che stava cercando per.

Classizzerei RSE sotto tecnologia , perché non riesco a trovare un esempio che non sia basato sulla tecnologia.

Riesci a trovare uno scenario RSE che non implichi la tecnologia?

  • Cosa potrebbe essere sabotato?
  • Come giustificheresti la tua richiesta di informazioni sulla sicurezza?
posta David 15.06.2014 - 14:48
fonte

2 risposte

1

L'ingegneria sociale e l'ingegneria sociale inversa sono principalmente utilizzate nella sicurezza informatica, tuttavia possono essere applicate anche al di fuori di questo campo.

Sia il social engineering sociale che quello inverso sfruttano la debolezza umana non tecnica nella sicurezza per cui lo sfruttamento effettivo avviene al di fuori del computer.

Un esempio di ingegneria sociale sta creando sfiducia, che di fatto può essere utilizzata anche in ingegneria sociale inversa. Dopo aver creato sfiducia tra due parti interessate (possibilmente falsificando o alterando le informazioni) può quindi presentarsi come un "mediatore" per risolvere il conflitto. Il mediatore è quindi in grado di acquisire informazioni sulla sicurezza da entrambe le parti.

Un altro esempio sta causando un problema di manutenzione in un edificio (black-out) e poi arriva mascherato da manutentore della manutenzione per risolvere il problema e, così facendo, ottenere l'accesso a l'edificio e forse i sistemi sensibili all'interno.

I motivi principali per cui gli attacchi di social engineering hanno esito positivo sono:

  • Scarsa consapevolezza della sicurezza : estremamente grande la percentuale di utenti non comprende l'importanza di una password per l'autenticazione e accesso a un sistema informatico. Non si rendono conto che dal loro account è possibile accedere in qualsiasi parte del mondo, dato il giusto punto di accesso. Gli utenti inoltre non capiscono la lunghezza che le persone andranno a ottenere le informazioni a cui gli utenti hanno accesso ogni giorno. Inoltre non si rendono conto che il lancio qualcosa nella spazzatura non significa che l'informazione è distrutta. Cosa è spazzatura per un utente potrebbe essere estremamente prezioso per un hacker.
  • Debolezze umane : le persone danno informazioni per molte ragioni. Nella maggior parte dei casi, vogliono solo essere utile, perché questo è il loro lavoro e / o la natura. Le persone possono anche essere intimidite per il rilascio informazione, sia facendo credere che un superiore vuole l'informazione o semplicemente cercando di far sparire una persona noiosa.
  • Piani e procedure non testate : procedure organizzative che richiedono un meccanismo di autenticazione con cui portare loro procedure aggiuntive che proteggono il meccanismo. Questo è dove un gran numero di i piani di sicurezza falliscono. Molte organizzazioni testano una parte specifica di un piano o di una procedura di sicurezza, ma questi piani e procedure devono essere testati nel loro complesso.

Sulla base di quanto sopra, la maggior parte degli scenari di social engineering sociale e inverso si basano sulla tecnologia perché il pubblico in generale non è al corrente del significato di sicurezza di determinate informazioni. Ma l'ingegneria sociale è stata usata molto prima della nascita dei computer (le parole "con" e "truffa" si riferiscono a una forma non tecnologica più generale dell'ingegneria sociale). Tuttavia con l'evoluzione della tecnologia ci sono stati modi nuovi e intuitivi per eseguire questa procedura.

    
risposta data 15.06.2014 - 14:59
fonte
0

L'idraulico ... non è un idraulico.

Questo è un punto di trama classico nei film. Ad esempio, l'attaccante (che potrebbe essere il "bravo ragazzo" in una installazione di un film) crea un fuoco più o meno finto, e quando appare il fumo, si presenta vestito come un pompiere. Le guardie di sicurezza, tutte in preda al panico per il fuoco, lo lasciarono passare.

Se vuoi qualcosa di più legato al computer, prendi in considerazione il molto comune attacco "ciao questo è Microsoft" basato sul telefono. Contesto: sei a casa tua, fai il bagno comodamente nell'ozio, e poi squilla il telefono. Qualcuno dall'altra parte (di solito con un accento pesante) afferma che è "di Microsoft" e che c'è un problema di sicurezza con il tuo computer. Se accetti di inghiottirlo, allora ti guiderà attraverso alcune azioni sul tuo computer che culmineranno con l'installazione sul tuo computer che è, in realtà, un malware che garantisce il controllo remoto del tuo computer da parte del cattivo. A quel punto vengono emessi vari errori, tra cui l'acquisizione delle password e così via.

(Ho ricevuto più di 20 volte quella telefonata falsa. Diventa rapidamente vecchio.)

Questo illustra come funzionano tali attacchi: il primo passo è spingere la vittima fuori dalla sua zona di comfort, perché le persone in panico sono inclini a ignorare le procedure di sicurezza. Il fuoco è molto buono per questo: tutti crede fermamente che un fuoco continuo sia un tipo di problema che supera qualsiasi tipo di sicurezza. Come dimostra l'esempio della "telefonata", anche i vaghi "problemi di sicurezza" possono servire a innescare una vulnerabilità indotta dalle preoccupazioni e, soprattutto, il rischio iniziale non deve essere reale . Nell'esempio dell'incendio, non hai bisogno di fiamme vere, solo fumo.

Non vedo il punto di inventare un acronimo di tre lettere per qualcosa che è una truffa molto classica. È più biologia che tecnologia: la vulnerabilità non è nel computer, ma nell'operatore umano.

    
risposta data 15.06.2014 - 15:06
fonte

Leggi altre domande sui tag

In che modo Facebook può utilizzare i dati della cronologia nel browser Crittografia di una chiave simmetrica o di un file di piccole dimensioni utilizzando TPM e Windows (TBS?)