Inżynieria socjalna
Transkrypt
Inżynieria socjalna
Materiały dydaktyczne: Maciej Krzymowski Przygotowano na podstawie CHIP 3/2006 Socjotechnika - 2 „Tylko dwie rzeczy są niedokończone – wszechświat i ludzka głupota. ChociaŜ co do tego pierwszego nie jestem do końca przekonany” – Albert Einstein Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 3 Manipulacja + najsłabsze ogniwo • Atak w kierunku źle wyszkolonego pracownika, – Ujawnianie tajemnicy słuŜbowej, • Wstyd okradzionego = zatajanie ataku, Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 4 InŜynieria socjalna • Działania mające na celu pozyskanie dostępu do informacji czy firmy, • Do ataku wystarczy: telefon, Internet, pomysłowość i znajomość technik manipulacji, Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 5 Zaczyna się od kłamstwa • • • • Podawanie się za kogoś innego, Wmawianie nieistniejących sytuacji, Wywoływanie stresu, poczucia winy, Manipulacja, – Reguły wywierania wpływu na ludzi, Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 6 Ambitny administrator • Częsta zmiana hasła (co dwa tygodnie), • RóŜnorodne hasła dostępu do róŜnych aplikacji, • Silne hasła (min. 6 znaków, przypadkowość kodów), Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 7 Leniwy pracownik • Hasła klawiaturowo łatwe do zapamiętania np.: zxcvbn, – Internetowe listy popularnych zbitek liter i cyfr, • Te same hasła poza firmą, Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 8 Infiltracja – 1 sposób • Ciekawski pracownik: – Kowalski znajduje w toalecie CD-ROM z napisem „Płace zarządu – tajne!” – Instalacja na komputerze, – Po uruchomieniu pliku komunikat „plik uszkodzony”, • Jednoczesna instalacja trojana, – Kowalski z powrotem podrzuca plik do toalety, Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 9 Infiltracja – 2 sposób • PróŜny profesor: – Socjotechnik gromadzi informacje o naukowcu, – „Prestizowa firma” wysyła e-mail z propozycją współpracy z firmą zagraniczną (zysk!), – Spreparowana strona WWW (uwiarygodnienie!), – Profesor oddzwania do socjotechnika, – Socjotechnik przesyła stosowne oprogramowanie, które naleŜy zainstalować do celów badawczych. Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 10 Infiltracja - 3 sposób A • Wyrachowany przyjaciel: – Socjotechnik dzwoni do pracownika firmy, podając się za technika i informuje o „modyfikacji przepustowości magistrali sieciowej” i zaniku dostępu do sieci, • śargon naukowy (reguła autorytetu), ... Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 11 Infiltracja - 3 sposób B – Pracownik wpada w panikę (opóźnienia!), – Oszust oferuje pomoc (podaje prywatny numer telefonu), • „specjalne traktowanie” (poczucie wdzięczności), – Telefon do działu informatyki z prośbą o czasowe wyłączenie dostępu do sieci (diagnoza sieci), – Pracownik oddzwania z prośbą o pomoc, ... Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 12 Infiltracja - 3 sposób C – Socjotechnik dzwoni do administratora z prośbą o udostępnienie połączenia pracownikowi, i do pracownika, z informacją, Ŝe zainstalowanie odpowiedniego oprogramowania pozwoli uniknąć problemów w przyszłości, – Pracownik instaluje program. Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 13 Podstawowe reguły socjotechniczne • Reguła wzajemności, • Reguła zaangaŜowania i konsekwencji, • Reguła społecznego dowodu słuszności, Materiały dydaktyczne: Maciej Krzymowski ? • • • • Reguła sympatii, Reguła autorytetu, Reguła niedostępności, Reguła wartości i zysku. Socjotechnika - 14 Sposoby wyłudzania informacji – 1 list elektroniczny • Ze względów bezpieczeństwa wszyscy pracownicy firmy są zobligowani do natychmiastowego zainstalowania programu dostępnego w załączniku. Materiały dydaktyczne: Maciej Krzymowski 1 Socjotechnika - 15 Sposoby wyłudzania informacji – 2 list elektroniczny • Ze względów bezpieczeństwa prowadzimy w firmie trening z generowania haseł. Przed rozpoczęciem szkolenia chcemy poznać umiejętności naszych pracowników w wymyślaniu haseł. Proszę podać w załączonym formularzu aktualny login, hasło oraz propozycje nowego hasła. System wygeneruje ocenę poprawności hasła. Materiały dydaktyczne: Maciej Krzymowski 2 Socjotechnika - 16 Sposoby wyłudzania informacji – 3 list elektroniczny • Dotarły do nas informacje o naruszeniu zasad bezpieczeństwa w naszej firmie. Wszystkie konta, których dane nie zostaną potwierdzone, będą zablokowane w ciągu 24 godzin. Weryfikacja odbywa się za pomocą strony WWW. Materiały dydaktyczne: Maciej Krzymowski 3 Socjotechnika - 17 Zasady bezpieczeństwa socjotechnicznego: 1. 2. 3. 4. 5. 6. Materiały dydaktyczne: Maciej Krzymowski Socjotechnika - 18 Manipulacja, infiltracja – przykłady wyłudzenia danych: 1. 2. 3. 4. Materiały dydaktyczne: Maciej Krzymowski