L'ingegneria sociale o "SE" è un'attività che sfrutta una persona in un modo per intraprendere azioni che potrebbero o potrebbero non essere nel loro interesse. Tuttavia, porteremo la vostra attenzione sulle forme malevole di SE, utili per hacking e spionaggio in particolare e molte altre categorie governano attraverso di essa. D'altra parte è molto importante conoscerlo psicologicamente, fisiologicamente e ultimo ma non meno importante degli aspetti tecnologici di influenzare qualcuno in generale. Indipendentemente dal fatto che venga utilizzato per risultati positivi, anche in questo caso verrà utilizzato maliziosamente. Tipo malevolo di ingegneria sociale deve essere classificato in tre come Phishing, Vishing e rappresentazione. Discutiamo tutte queste categorie a breve.
Phishing
Può essere fatto da inviare una mail a qualcuno e sembra provenire da una fonte stimabile con l'obiettivo di controllare e ottenere le informazioni private.
Vishing
È la pratica o un attività per ottenere informazioni o per tentare di influenzare l'azione attraverso il telefono cellulare, che include questi tipi di strumenti come lo spoofing del cellulare.
imitazione
È l'atto di mandare messaggi pretext a qualcuno come un'altra persona con l'obiettivo in mente per ottenere informazioni o accesso a una persona, azienda o al dispositivo del computer.
Principali categorie di ingegneria sociale
L'ingegneria sociale può essere ulteriormente classificata per coloro che la utilizzano a causa di alcuni strani motivi. Spie professionali e hacker black hat ed hacker bianco cappello utilizzare per un venditore e gente comune.
Gli hacker
Loro solitamente utilizzare tecniche di ingegneria sociale, Poiché l' fattore di debolezza umano è molto facile da sfruttare piuttosto che sfruttare la debolezza della rete. La maggior parte delle volte hacking o hacker professionali vincere perché non sono vincolati per il tempo e la motivazione. Una persona normale può lavorare per 8 ore al giorno per raggiungere i suoi obiettivi, ma quando si tratta di hacker professionisti trascorrono 24 ore al giorno per raggiungere i loro obiettivi. Trascorrono molto tempo e due diligence per ottenere ogni aspetto del loro obiettivo e poi lanciano tutte le loro abilità ed energie sull'infrastruttura umana che può veramente danneggiare un'azienda in pochi minuti. Si superano informazioni personali del bersaglio, password, account utente remoti e molte altre cose simili. Negli ultimi anni, gli hacker sponsorizzati hanno colpito il mondo e hanno fatto notizia in tutto il mondo. I loro attacchi potrebbero essere molto devastanti per l'obiettivo e vi forniremo alcune informazioni su come gli hacker implementano questi attacchi e qual è la distruzione finale.
The Lazarus Group: Esempio n. 1
È un gruppo basato su uno dei più distruttivi hacking collettivi sul cyberspazio. È presumibilmente responsabile per mostruoso 2014 Sony hack, $ 81 milioni di colpi di banca del Bangladesh ed è anche presumibilmente coinvolto in 2017 Wanacry attacco ransomware. Tuttavia, è stato rilevato negli ultimi anni in più di 18 paesi del mondo
Fancy Bear: Esempio n.2
È anche noto come APT28, Pawn Storm, Sofacy group, Sendit e STRONTIUM ed è anche un comunità cyber-spionaggio. Esiste una serie di metodi di hacking di questo particolare gruppo come zero-days, Spear phishing, OAuth phishing e malware. Il gruppo è presumibilmente responsabile per un certo numero di violare violazioni come gli attacchi 2016 sull'Agenzia mondiale anti-doping (WADA) e inoltre per gli attacchi di phishing che sono stati devastati per il comitato nazionale democratico (DNC).
Spionaggio o spionaggio
Le persone che spia hanno abilità e metodi ingannare le vittime e fargli credere di essere qualcuno o qualcosa che non sono nella realtà.
"Inoltre, essendo in grado di utilizzare l'ingegneria sociale, il numero di volte in cui le persone spia sono state create avendo un po 'o molto per quanto riguarda il business o il governo che stanno cercando di ingegneria sociale". Chris Hadngy, Social Engineering, in The Art of human hacking lo affermò.
Spionaggio o spionaggio sono fondamentalmente abilità che possono essere utilizzate per ottenere informazioni sull'obiettivo sia che si tratti di una persona, di un governo o di un settore concorrente, con l'obiettivo di sostituire il proprio governo o tentare di ottenere vantaggi finanziari o di altro tipo. D'altra parte, lo spionaggio non può essere etichettato come tutta la raccolta di informazioni di intelligence come il codebreaking, l'aereo o la fotografia satellitare. Nel corso dei decenni spionaggio o spionaggio era noto per ottenere politici e servizi segreti militari. Inoltre, con il aumento nell'ascesa della tecnologia il punto focale riguarda inoltre le tecnologie di comunicazione, IT, energia, ricerca scientifica, aviazione e molti altri dipartimenti.
Seguono alcuni esempi di spionaggio militare e industriale su come le abilità sono state utilizzate per attuare attacchi di ingegneria sociale.
Falsi Facebook sponsorizzati dallo stato
Da gennaio 2017, le forze di difesa israeliane hanno pubblicato un post sul loro sito web che dice che l'attacco ha lanciato sui loro personali militari usando tattiche di influenza conosciute come "Mi piace". Gli aggressori hanno creato falsi profili Facebook di giovani donne attraenti che hanno lo scopo di sedurre le forze di difesa israeliane (IDF) fare amicizia con loro. Inoltre, dopo che il falso profilo degli utenti ha ottenuto la fiducia con successo inviando messaggi di testo, condividendo foto e alla fine della giornata, chiedi video chat. Per la chat video, il soldato doveva installa un'app che era fondamentalmente un virus. Una volta che il soldato l'ha installato, il suo telefono è diventato una fonte aperta guarda i contatti, app di localizzazione, foto e file e alla fine della giornata sono andati agli agenti di Hamas.
Tester di penetrazione
Sono quelli che verificano le vulnerabilità o le violazioni non autorizzate di accesso al sistema. Si chiama anche pen-testing ed è la capacità di testare computer, reti, applicazioni web o perimetri interni rilevare le vulnerabilità che gli hacker utilizzano le scappatoie nel sistema di spionaggio.
Pen Testing e ingegneria sociale
Le organizzazioni aziendali con il processo di procedura di verifica, firewall, VPN e software di monitoraggio della rete potrebbero essere sotto il attacchi informatici se il dipendente fornisce involontariamente informazioni riservate. "SE" è il lato umano del controllo delle vulnerabilità della rete aziendale. I tester di penetrazione hanno usato diverse abilità per testare il loro obiettivo per mezzo di phishing, Vishing, una
d imitazione un pen tester simulerà le violazioni che un ingegnere sociale malintenzionato potrebbe utilizzare per mirare a violare il sistema di destinazione. Pertanto, anche gli addetti alla penna della compagnia assumono il "SE" malevolo per prevenire le violazioni.
Ladri di identità
È una specie di arte dannosa collocare l'identità di qualcuno o informazioni personali identificabili (PII) come nome, indirizzo, numero di previdenza sociale e indirizzi email. Le persone lo fanno per il guadagno finanziario e per fare numero di atti criminali. Possono usarlo per carta di pagamento rubata account che effettuano acquisti fraudolenti e ottenere il controllo sull'account esistente dell'obiettivo.
I informazioni private di bambini e ragazzi che include i numeri di previdenza sociale, il nome da nubile della madre e la data di nascita sono stati trovati in vendita sul web oscuro, La CNN ha riferito che.
Il furto di identità non è limitato alle persone, ma al giorno d'oggi anche il furto di identità aziendale è aumentato hack siti web aziendali e numeri di telefono usando tecniche di ingegneria sociale.
Dipendenti scontenti
La maggior parte dei dipendenti che diventano accesso a Internet insoddisfatto e incontrollato sul posto di lavoro, le ragioni sono molto comuni come si sentono irritato, oberati di lavoro, sottopagato e ultimo, ma non meno importante, passato alla promozione. "Cinque fattori che hanno fatto Lavoratori degli Stati Uniti sono le politiche di promozione, i piani bonus, i programmi di formazione professionale e di formazione professionale e le procedure di visualizzazione delle prestazioni, secondo il indagine sulla soddisfazione professionale condotto dal sondaggio sulla Conferenza dei consumatori del Conference Board.
Dipendenti scontenti potrebbero essere il rischio per l'azienda
Il rapporto Insider 2018 pubblicato quello, 90% dell'organizzazione aziendale deve fare i conti con le minacce interne. I dipendenti scontenti sono la causa principale di due elementi, uno degli accessi e il secondo la motivazione. Di solito hanno accesso alle informazioni riservate, alle informazioni finanziarie e privilegi amministrativi di alto livello alle applicazioni aziendali. I primi cinque elementi discussi possono creare un file dipendente produttivo nel dipendente scontento. La minaccia ultima per l'azienda potrebbe diffondersi negatività sulle app di social networking come LinkedIn e su Facebook, rubando le informazioni riservate, divulgando volentieri le informazioni sensibili e persino potenziali cause legali.
Broker di informazioni
Secondo la (FTC) Federal Trade Commission intermediari di dati tali società che raccolgono informazioni come informazioni personali sui consumatori, da fonti famose e poi rivenderli ai loro clienti per vari motivi, come per verificare l'identità di qualsiasi individuo, registri, prodotti di marketing e per prevenire frodi finanziarie. Broker di dati ottenere le informazioni da varie fonti ma nel piattaforme di social media del mondo moderno come Facebook, LinkedIn, WhatsApp e altri sono una delle più grandi piattaforme per la raccolta dei dati del pubblico in generale.
In che modo i Data Broker utilizzano l'ingegneria sociale?
Per lo più usano elicitazione, truffe, corteggiamento e, ultimo ma non meno pretesto, per ottenere il dati personali o informazioni. Secondo il libro "Informazioni e sicurezza" i mediatori di dati e un altro tipo di ingegneri sociali usano il metodo noto come corteggiamento. Sembra casuale o una riunione casuale che costruisce un rapporto e si fida quindi tra l'ingegnere sociale e l'obiettivo. Con il passare del tempo, loro costruire con successo una relazione e quindi sottilmente pressione porta l'informazione del bersaglio.
Artista della truffa
È una persona che intrappola le persone in azioni fraudolente o ingannevoli per frodare gli altri. La truffa di solito è etichettata su un particolare tipo di frode che si basa sulla vasta gamma di approcci iniziali dispersi alle masse che non conoscono il truffatore. Ci sono due tipi di truffe, una è conosciuta come Frode di marketing di massa e il secondo è frode a tariffa avanzata. La maggior parte del i social media scammer usano Facebook e afferma che sono dipendenti di Facebook e stanno per dirti che hai vinto il Lotteria di Facebook e il vincitore deve pagare un po 'di soldi per rilasciare i soldi.
Conclusione:
È abbastanza degno per gli attaccanti e funziona in modo coerente. Le tattiche di ingegneria sociale richiedono molto tempo ma sono efficaci. Perciò, ingegneri sociali malevoli usa le abilità per raggiungere i loro obiettivi. Un esperto hacker black hat sa bene che ci vorranno tempo, giorni, settimane e persino mesi per accedere alla rete e rubare le credenziali. Tuttavia, quando si tratta di tecniche di ingegneria sociale usate dall'hacker come l'uso di un pretesto per un telefono cellulare o e-mail, sarebbe solo questione di minuti ottenere lo stesso obiettivo di ottenere le credenziali.
Link alle risorse:
http://mobile.abc.net.au/news/2018-05-03/facebook-lotto-scam-targeting-social-media-users/9723322?pfm=sm
https://www.ftc.gov/news-events/press-releases/2006/01/choicepoint-settles-data-security-breach-charges-pay-10-million
