Inżynieria socjalna

Materiały dydaktyczne: Maciej Krzymowski
Przygotowano na podstawie CHIP 3/2006
Socjotechnika - 2
„Tylko dwie rzeczy są niedokończone – wszechświat
i ludzka głupota. ChociaŜ co do tego pierwszego
nie jestem do końca przekonany”
– Albert Einstein
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 3
Manipulacja + najsłabsze ogniwo
• Atak w kierunku źle wyszkolonego
pracownika,
– Ujawnianie tajemnicy słuŜbowej,
• Wstyd okradzionego = zatajanie ataku,
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 4
InŜynieria socjalna
• Działania mające na celu pozyskanie
dostępu do informacji czy firmy,
• Do ataku wystarczy: telefon, Internet,
pomysłowość i znajomość technik
manipulacji,
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 5
Zaczyna się od kłamstwa
•
•
•
•
Podawanie się za kogoś innego,
Wmawianie nieistniejących sytuacji,
Wywoływanie stresu, poczucia winy,
Manipulacja,
– Reguły wywierania wpływu na ludzi,
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 6
Ambitny administrator
• Częsta zmiana hasła (co dwa tygodnie),
• RóŜnorodne hasła dostępu do róŜnych
aplikacji,
• Silne hasła (min. 6 znaków, przypadkowość
kodów),
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 7
Leniwy pracownik
• Hasła klawiaturowo łatwe do zapamiętania
np.: zxcvbn,
– Internetowe listy popularnych zbitek liter i cyfr,
• Te same hasła poza firmą,
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 8
Infiltracja – 1 sposób
• Ciekawski pracownik:
– Kowalski znajduje w toalecie CD-ROM
z napisem „Płace zarządu – tajne!”
– Instalacja na komputerze,
– Po uruchomieniu pliku komunikat „plik
uszkodzony”,
• Jednoczesna instalacja trojana,
– Kowalski z powrotem podrzuca plik do toalety,
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 9
Infiltracja – 2 sposób
• PróŜny profesor:
– Socjotechnik gromadzi informacje o naukowcu,
– „Prestizowa firma” wysyła e-mail z propozycją
współpracy z firmą zagraniczną (zysk!),
– Spreparowana strona WWW (uwiarygodnienie!),
– Profesor oddzwania do socjotechnika,
– Socjotechnik przesyła stosowne oprogramowanie, które
naleŜy zainstalować do celów badawczych.
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 10
Infiltracja - 3 sposób A
• Wyrachowany przyjaciel:
– Socjotechnik dzwoni do pracownika firmy, podając
się za technika i informuje o „modyfikacji
przepustowości magistrali sieciowej”
i zaniku dostępu do sieci,
• śargon naukowy (reguła autorytetu),
...
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 11
Infiltracja - 3 sposób B
– Pracownik wpada w panikę (opóźnienia!),
– Oszust oferuje pomoc (podaje prywatny numer
telefonu),
• „specjalne traktowanie” (poczucie wdzięczności),
– Telefon do działu informatyki z prośbą o czasowe
wyłączenie dostępu do sieci (diagnoza sieci),
– Pracownik oddzwania z prośbą o pomoc,
...
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 12
Infiltracja - 3 sposób C
– Socjotechnik dzwoni do administratora z prośbą
o udostępnienie połączenia pracownikowi,
i do pracownika, z informacją, Ŝe zainstalowanie
odpowiedniego oprogramowania pozwoli uniknąć
problemów w przyszłości,
– Pracownik instaluje program.
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 13
Podstawowe reguły
socjotechniczne
• Reguła wzajemności,
• Reguła zaangaŜowania
i konsekwencji,
• Reguła społecznego
dowodu słuszności,
Materiały dydaktyczne: Maciej Krzymowski
?
•
•
•
•
Reguła sympatii,
Reguła autorytetu,
Reguła niedostępności,
Reguła wartości i zysku.
Socjotechnika - 14
Sposoby wyłudzania informacji – 1 list elektroniczny
•
Ze względów bezpieczeństwa wszyscy
pracownicy firmy są zobligowani
do natychmiastowego zainstalowania
programu dostępnego w załączniku.
Materiały dydaktyczne: Maciej Krzymowski
1
Socjotechnika - 15
Sposoby wyłudzania informacji – 2 list elektroniczny
• Ze względów bezpieczeństwa prowadzimy
w firmie trening z generowania haseł. Przed
rozpoczęciem szkolenia chcemy poznać
umiejętności naszych pracowników
w wymyślaniu haseł. Proszę podać
w załączonym formularzu aktualny login,
hasło oraz propozycje nowego hasła.
System wygeneruje ocenę poprawności
hasła.
Materiały dydaktyczne: Maciej Krzymowski
2
Socjotechnika - 16
Sposoby wyłudzania informacji – 3 list elektroniczny
• Dotarły do nas informacje o naruszeniu
zasad bezpieczeństwa w naszej firmie.
Wszystkie konta, których dane nie zostaną
potwierdzone, będą zablokowane w ciągu
24 godzin. Weryfikacja odbywa się za
pomocą strony WWW.
Materiały dydaktyczne: Maciej Krzymowski
3
Socjotechnika - 17
Zasady bezpieczeństwa
socjotechnicznego:
1.
2.
3.
4.
5.
6.
Materiały dydaktyczne: Maciej Krzymowski
Socjotechnika - 18
Manipulacja, infiltracja –
przykłady wyłudzenia danych:
1.
2.
3.
4.
Materiały dydaktyczne: Maciej Krzymowski