Wie Social Engineers suchen Informationen für Hacks
Sobald Sozialingenieure ein Ziel vor Augen haben, beginnen sie in der Regel den Angriff durch die Information der Öffentlichkeit über ihre Opfer zu sammeln (s). Viele Sozialingenieure erwerben Informationen langsam im Laufe der Zeit, so dass sie keinen Verdacht zu erhöhen. Offensichtliche Informationsbeschaffung ist ein Tipp-off, wenn sie gegen Social Engineering zu verteidigen.
Unabhängig von der ersten Forschungsmethode, die alle ein Hacker könnte brauchen eine Organisation einzudringen ist eine Mitarbeiterliste, ein paar wichtige interne Telefonnummern, die neuesten Nachrichten von einer Social-Media-Website oder einem Firmenkalender.
Nutze das Internet
Ein paar Minuten Suche auf Google oder anderen Suchmaschinen, einfache Schlüsselwörter, wie der Name der Firma oder bestimmte Mitarbeiter Namen, die oft eine Vielzahl von Informationen erzeugt. Sie können auch weitere Informationen finden in SEC eingereichten Unterlagen an und an solchen Stellen wie Hoover und Yahoo Finance. Durch die Nutzung dieser Suchmaschinen-Informationen und das Surfen auf der Website des Unternehmens, hat der Angreifer oft genug Informationen ein Social-Engineering-Angriff zu starten.
Die bösen Jungs können nur ein paar Dollar für eine umfassende Online-Überprüfung auf Einzelpersonen zahlen. Diese Recherchen können praktisch jede öffentliche auftauchen - und manchmal privat - Informationen über eine Person in wenigen Minuten.
Dumpster Taucher
Dumpster Tauchen ist ein wenig riskant - und es ist sicherlich chaotisch. Aber, es ist eine sehr effektive Methode, um Informationen zu erhalten. Bei dieser Methode wird durch Mülltonnen für Informationen über ein Unternehmen buchstäblich wühlen.
Dumpster Tauchen können die meisten vertraulichen Informationen auftauchen, weil viele Mitarbeiter davon ausgehen, dass ihre Daten sicher sind, nachdem sie in den Müll geht. Die meisten Menschen denken nicht über den potenziellen Wert des Papiers sie wegwerfen. Diese Dokumente enthalten oft eine Fülle von Informationen, die die soziale Ingenieur mit Informationen Spitze aus kann erforderlich, um die Organisation einzudringen. Der aufmerksame Social Engineer sucht nach den folgenden gedruckten Dokumenten:
Interne Telefonlisten
Organigramme
Mitarbeiterhandbücher, die oft von Sicherheitsrichtlinien enthalten
Netzwerk-Diagramme
Passwort-Listen
Meeting-Notizen
Tabellen und Berichte
Ausdrucke von E-Mails, die vertrauliche Informationen enthalten
Schreddern Dokumente ist nur wirksam, wenn das Papier Quer geschreddert in kleine Stücke von Konfetti. Inexpensive Schredder, die Dokumente nur in langen Streifen zerkleinern sind im Grunde wertlos gegen einen entschlossenen Sozialingenieur. Mit ein wenig Zeit und Band kann ein Social Engineer eine Dokumentenstück wieder zusammen, wenn das ist, was er ist entschlossen, zu tun.
Die bösen Jungs auch einen Blick in den Müll für CD-ROMs und DVDs, alte Computer-Gehäuse (besonders solche mit Festplatten noch intakt) und Backup-Bänder.
Telefonsysteme
Angreifer können mit dem Dial-by-Name-Funktion zu den meisten Voicemail-Systeme eingebaut Informationen zu erhalten. Um diese Funktion zugreifen zu können, in der Regel drücken Sie einfach auf 0, nachdem das Unternehmen die Hauptnummer anrufen oder nachdem Sie jemand Voice-Mailbox ein. Dieser Trick funktioniert am besten nach Stunden niemand antwortet zu gewährleisten.
Angreifer können ihre Identität zu schützen, wenn sie sich verstecken können, woher sie nennen. Hier sind einige Möglichkeiten sie ihre Standorte zu verstecken:
Wohntelefone manchmal kann durch Wählen von * 67 vor der Rufnummer die Zahlen von Anrufer-ID verstecken.
Diese Funktion ist nicht wirksam, wenn Sie anrufen gebührenfreie Telefonnummern (800, 888, 877, 866) oder 911.
Geschäftstelefonein einem Büro einen Telefonschalter sind schwieriger zu fälschen. Doch all der Angreifer muss in der Regel ist die Bedienungsanleitung und das Administratorkennwort für das Telefon-Switch-Software. In vielen Schaltern, kann der Angreifer die Quelle Nummer eingeben - mit einer gefälschten Zahl, wie die private Telefonnummer des Opfers. Voice over Internet Protocol (VoIP) Telefonsysteme machen dies kein Thema, aber.
VoIP-Servern wie die Open-Source Sternchen verwendet werden kann und konfiguriert jede Zahl, die sie wollen, zu senden.
Phish E-Mails
Die neueste kriminelle Hacker-Begeisterung ist Phishing - Kriminelle gefälschte E-Mails an potenzielle Opfer in einem Versuch zu senden, um sie sensible Informationen oder klicken Sie auf bösartige Links zu verbreiten. Phishing hat eigentlich schon seit Jahren, aber es hat vor kurzem eine größere Sichtbarkeit einige hochkarätige Angriffe gegen scheinbar undurchdringlichen Organisationen gegeben gewonnen.
Phishing Wirksamkeit ist erstaunlich, und die Folgen sind oft hässlich. Ein paar gut platzierte E-Mails sind für Kriminelle nimmt Passwörter aufzulesen, vertrauliche Informationen stehlen oder Malware in gezielte Computer injizieren.
Sie können Ihre eigene Phishing-Übung durchführen. Eine rudimentäre Methode ist eine gefälschte E-Mail-Konto Anforderung von Informationen oder Links zu einer bösartigen Website einrichten, E-Mails an Mitarbeiter oder andere Benutzer, die Sie testen möchten, und sehen senden, was passiert. Es ist wirklich so einfach ist das.
Sie wären nur staunen, wie anfällig die Benutzer auf diesen Trick wirklich sind. Die meisten Phishing-Tests haben eine 10-15 Prozent Erfolgsquote. Es kann als 80 Prozent betragen. Diese Sätze sind nicht gut für die Sicherheit oder für das Geschäft!
Ein formaler Mittel für Phishing-Tests Ausführung ist ein Werkzeug, das speziell für den Job zu verwenden. Auch wenn Sie eine gute Erfahrung mit kommerziellen Anbietern zu tun haben, müssen Sie lange und hart zu denken potenziell sensible Informationen Aufgeben, die direkt oder versehentlich Offsite gesendet werden konnte, nie wieder kontrolliert werden.
Wenn Sie diesen Weg gehen, stellen Sie sicher, Sie verstehen, was mit diesen Drittanbietern weitergegeben Sein Phishing-Anbieter genauso wie bei jeder anderen Cloud-Service-Provider. Vertrauen aber überprüfen.
Eine Open-Source-Alternative zu kommerziellen Phishing-Tools ist die Einfache Phishing-Toolkit, auch als spt bekannt. eine SPT-Projektumgebung einrichten ist nicht unbedingt einfach, aber nachdem Sie es an Ort und Stelle haben, kann es erstaunliche Dinge für Ihre Phishing Initiativen tun.
Sie werden E-Mail-Vorlagen vorinstalliert, die Fähigkeit, kratzen (Kopie Seite aus) leben-Websites, so dass Sie Ihre eigene Kampagne anpassen können, und verschiedene Reporting-Funktionen, so können Sie verfolgen, welche E-Mail-Benutzer den Köder nehmen und Ihre Tests scheitern.
Social Engineers können interessante Bits von Informationen zu finden, zu Zeiten, wie zum Beispiel, wenn ihre Opfer aus der Stadt sind, nur durch zu Voicemail-Nachrichten zu hören. Sie können sogar Opfer Stimmen untersuchen, indem auf ihre Voicemail-Nachrichten, Podcasts hören, oder Webcasts, damit sie lernen können, diese Leute zu imitieren.