Video: Phim hoạt hình Doraemon: Nobita và nước nhật thời nguyên thủy full trọn bộ (Tháng mười một 2024)
Kỹ thuật xã hội là thứ cho phép các email lừa đảo và các trang web độc hại được mặc quần áo trông giống như các trang web phổ biến, an toàn. Trong một cuộc thảo luận với Chris Hadnagy, Giám đốc điều hành con người tại Social-Engineering Inc., tôi đã hỏi anh ta cách phát hiện những trò gian lận này. Lời khuyên của ông lặp lại những gì chúng ta thường nói với độc giả: luôn luôn nghi ngờ.
Hơn một con Côn
Từ cuộc thảo luận của tôi với Hadnagy, rõ ràng một số thứ chúng ta gọi là kỹ thuật xã hội là những thủ thuật tương tự mà mọi người đã sử dụng các quyết định ảnh hưởng trong nhiều năm. Ví dụ, ngành công nghiệp thức ăn nhanh đã nổi tiếng khám phá những màu sắc nào sẽ khuyến khích mọi người ăn nhanh hơn. Các nhà tâm linh lừa đảo từ thế kỷ 19 (bao gồm các thành viên trong gia đình tôi) và ngày nay sử dụng một chiến thuật gọi là "đọc lạnh" để lừa nạn nhân tiết lộ thông tin về bản thân họ.
Nhưng có nhiều kỹ thuật xã hội hơn là các mánh khóe rẻ tiền, như đã được chứng minh bởi Cuộc thi Cờ kỹ thuật xã hội được tổ chức tại Def Con. Tại đây, các thí sinh kiếm được điểm cho thông tin họ lượm lặt được từ các công ty nghiên cứu và từ việc liên hệ trực tiếp với các công ty đó. Hadnagy nói rằng các thí sinh đạt điểm cao nhất cũng đã thực hiện nhiều nghiên cứu nhất, điều này cho thấy mức độ hữu ích khi biết mục tiêu của bạn.
Thật không may, bây giờ là thời điểm tuyệt vời để trở thành một kỹ sư xã hội thực hiện nghiên cứu hoặc thu thập thông tin nguồn mở. Hadnagy giải thích rằng các công ty và cá nhân đăng rất nhiều thông tin trên phương tiện truyền thông xã hội, phần lớn có thể được sử dụng trong các cuộc tấn công kỹ thuật xã hội. Trước đây, chúng tôi đã xem xét cách những kẻ lừa đảo cố gắng sử dụng thông tin lượm lặt được từ Facebook để làm cho những trò gian lận của chúng có vẻ hấp dẫn hơn đôi khi với kết quả vui nhộn.
Nhắm mục tiêu cảm xúc
Một trong những chiến thuật kỹ thuật xã hội tốt nhất là giúp bạn không suy nghĩ chín chắn, thường là bằng cách nhắm mục tiêu vào cảm xúc. Hadnagy nói rằng một cuộc tấn công gần như đánh lừa anh ta đã tuyên bố là một email vận chuyển của Amazon. "Đó là một cái gì đó cá nhân, một cái gì đó ảnh hưởng đến cuộc sống của tôi và một cái gì đó quan trọng đối với tôi, " ông nói.
Trong cuộc tấn công đặc biệt này, Hadnagy đã nhận được một email nói rằng một trong những đơn đặt hàng quan trọng của Amazon đã bị trì hoãn do số thẻ tín dụng bị từ chối. Trong những ngày trước một hội nghị lớn, Hadnagy nói rằng anh ta đã làm việc quá sức và nhấp vào liên kết trong email trên thay vì truy cập trực tiếp vào Amazon. Trang anh được đưa đến được chế tạo rất tốt, nhưng may mắn thay, anh nhận thấy tên miền ".ru" trước khi nhập bất kỳ thông tin cá nhân nào.
Trong khi nó đơn giản, chiến thuật này rất hiệu quả. "Tôi là chàng trai, vì những gì tôi làm, đã lừa đảo hơn 190.000 người trong vài tháng qua, " Hadnagy nói, đề cập đến công việc tư vấn của mình. "Tôi gần như rơi vào cuộc tấn công này."
Một lợi thế khác của việc thu hút cảm xúc là nó không yêu cầu loại nghiên cứu mà các kỹ sư xã hội giỏi nhất sử dụng. "Những gì chúng ta sẽ thấy là chọn những thứ quan trọng đối với số đông." Hadnagy giải thích rằng điều này bao gồm vận chuyển UPS, đơn đặt hàng Amazon và chuyển khoản PayPal.
Kháng cáo hàng loạt cũng hoạt động tốt để phát sóng en-masse, một chiến thuật thường xuyên khác. "Họ gửi những thứ này đến hàng triệu người cùng một lúc, vì vậy họ không quan tâm nếu họ nhận được 100%", Hadnagy nói. "10 phần trăm vẫn là hàng ngàn tài khoản bị xâm nhập."
Giữ an toàn
Nhiều chiến thuật được sử dụng để phát hiện email lừa đảo cũng đúng với kỹ thuật xã hội. Bất cứ điều gì nghe có vẻ quá tốt để trở thành sự thật, hoặc quá tệ để trở thành sự thật thì có lẽ không đúng. Các chiến thuật như di chuột qua các liên kết để xem URL đầy đủ, nhập thủ công các địa chỉ web và tránh các liên kết đi ra khỏi màu xanh là tất cả các chiến thuật âm thanh.
Nhưng phần gọi trực tiếp của cuộc thi Capture the Flag làm nổi bật một khía cạnh khác của kỹ thuật xã hội: niềm tin thể chế. Năm nay, nhiều thí sinh đóng giả làm đồng nghiệp hoặc nhà cung cấp, điều này đã cho các nhân viên tại các công ty mục tiêu một lý do ngay lập tức để tin tưởng họ. Đôi khi, nó trả tiền để đặt câu hỏi khi ai đó tự xưng là CEO của công ty bạn gọi cho cá nhân bạn.
Hadnagy đã làm một nghề nghiệp giải thích kỹ thuật xã hội, nhưng anh ta không quan tâm nếu những kẻ tấn công đang chọn thủ đoạn của anh ta. "Những kẻ xấu không tìm kiếm dữ liệu về cách thực hiện việc này", ông nói với SecurityWatch. "Họ đã biết làm thế nào. Vấn đề là những người tốt thì không." Thông qua công việc của mình, Hadnagy tin rằng anh ta có thể dạy cho các công ty Mỹ và những người thường xuyên cách suy nghĩ nghiêm túc về các tương tác hàng ngày của họ và cách ứng phó trong các tình huống xấu nhất. Hadnagy đã giải thích nó theo cách này: "Thay vì vũ trang những kẻ xấu, nó vũ trang cho những kẻ tốt."
Hình ảnh thông qua người dùng Flickr Travis V.