この記事では、ソーシャル・エンジニアリング攻撃について説明します。明らかに最初に出てくる疑問は、「ソーシャル・エンジニアリングとは何か」、そして「これらの攻撃にはどのような種類があるか」です。もちろん、より興味深いのは、この記事では SET 的な方法で攻撃するのではなく、いくつかのテクニックを使用するハッカーを紹介することです。この記事の目的は、潜在的なハッカーがさまざまな攻撃を使っていることを示すことです。
情報セキュリティの文脈では、ソーシャル・エンジニアリングとは、人間の意思決定における認知バイアス(「人間のハードウェアの脆弱性」と呼ばれることもあります)に基づいて、人を操作して機密情報を漏えいさせる技術のことです。犯罪者は、ソーシャル・エンジニアリングの技術を用いて、被害者がネットワーク攻撃に利用されていることに気づかないように騙します。ソーシャル・エンジニアリングは、人々が自分の持っている情報の価値を認識していないため、自分が学んだ情報を保護しようとしないという事実を利用します。
セキュリティは、「誰を」「何を」信用するかを明確にすることにあります。人の言うことを信用するのに適切な時期なのか不適切な時期なのか、通信している相手があなたが思っているような人なのか、閲覧しているウェブサイトが正当なものなのか、電話の向こうの人が与えている情報が信用できるものなのか、自分に関する情報を他人に与えるときに安全かどうかを考えるかどうか。電話の相手が信頼できる情報を伝えているかどうか;自分の情報を他人に伝えるときに、安全かどうかを考えるかどうか;自分の情報を他人に伝えるときに、安全かどうかを考えるかどうか。
ソーシャル・エンジニアリング攻撃は、通常2つのタイプに分類されます:
I. ヒューマン・ベース - ヒューマン・ベースのソーシャル・エンジニアリング攻撃は、窃取する必要のある情報にアクセスするために、人間との対話を必要とします。ここでは、いくつかのよく使われる方法のみを説明します。
1.変装
この種の攻撃では、ハッカーは通常、システムの正当なユーザーや従業員になりすまします。ハッカーは、管理人、従業員、または顧客になりすますことで、この時点で物理的なアクセスを得ることができます。
2.重要なユーザーへのなりすまし
この攻撃方法では、ハッカーはVIPや高級管理職など、コンピュータ・システムを使用したりアクセスしたり、ファイルを見たりする権利を持つ人物に変装します。ほとんどの場合、低レベルの従業員はこのシナリオに対して何の質問もしません。
3.第三者へのなりすまし
ハッカーはまた、権限を持つ他の人になりすますこともあります。この方法は通常、権限を持つ他の人がマシンを使用できない場合に使用されます。
4.助けを求める
これは、ソーシャル・エンジニアリング攻撃の典型的な手口です。ヘルプデスクや技術者に助けを求め、必要な情報を引き出すことは、ソーシャル・エンジニアリング攻撃の格好の標的になります。
5.盗撮
ログインパスワードを入力する際に、その人のパスワードを盗み見ることは可能です。
6.ゴミ箱をあさる
パスワードが記録されたゴミ箱の紙、コンピュータのプリントアウト、宅配便の情報などを探してください。
II.コンピュータ・ベース - コンピュータ・ベースのソーシャル・エンジニアリング攻撃は、必要な情報を得るために関連するソフトウェアを使用することができます。
1.フィッシング
フィッシングとは、偽の電子メール、チャット、またはウェブサイトを使用して、実際のターゲット・システムから機密データを取得することを目的としています。例えば、銀行やその他の金融機関からのメッセージを偽造し、ログイン情報を「確認」するよう要求することで、正規のログインページを装い、「嘲笑」します。
2.誘惑
3.オンライン詐欺
電子メールの添付ファイルに含まれるマルウェアは、一度ダウンロードして使用すると、キーロガー、ウイルス、トロイの木馬、さらにはユーザーのパスワードをキャプチャすることができるワームなど、インストールされる可能性が高いです。また、「特別オファー」ウィンドウがポップアップ表示され、ユーザーを誘惑して不注意に追加のマルウェアをインストールしてしまう可能性もあります。
では、実際の攻撃の例をお見せしましょう。
上の結果からもわかるように、ググれば多くの情報が集まります。ターゲットのFacebookページ、あるいはLinkedlnやTwitterへのリンク、同名のウェブサイトや関連写真も見つけることができます。
ターゲットの正確な情報を見つけたら、ソーシャル・エンジニアリング攻撃に役立つ彼の友人リストに注目しましょう。また、すべての写真と個人情報をダウンロードし、偽の「彼」を作成し、彼の友人にリクエストを送信し、彼らと通信を開始することができます。こうすることで、彼に関するより多くの情報を得ることができ、彼のガールフレンドを見つけることもできます。偽物の中に本物のターゲットが隠れているのは難しいこともあります。フェイスブックの検索バーでターゲットの名前を検索すると、フェイスブックはユーザーの本名が入ったデータベースを取得せず、ユーザー名などを取得することがわかりました:
http://.../im "はターゲットのユーザー名です。
例えば、私はpuja.kothari.796というユーザー名を持っており、フェイスブックのログインページを開いて「パスワードを忘れた場合」をクリックすると、このようなオプションが表示されます:
ここで、既知のユーザー名を入力します。
被害者の名前がわかり、彼が電子メールを使っていることがわかったので、http://-.rg的这种服务来验证邮箱地址可不可能是@.omのように使える6つのアスタリスクが "p "と "h "の間にあることがわかります。
LinkedlnはFacebookとは異なるウェブサイトです。ここでは、ターゲットの職歴や資格を知ることができます。また、過去にどの企業が彼を採用したかを知ることも可能です。
もちろん、Maltego、Harvester、Creepyなどのツールを使って、より多くの情報を得ることもできます。
さて、次のような情報があったとします:
氏名:ミスター・ビクティム
都市: ニューヨーク
職業:ウェブ開発者
Eメールアドレス:test@gmail.com
彼がどのような仕事をしているのか、どの都市にいるのかがわかったので、大企業での仕事をオファーすれば、彼がその機会を断るとは思えません。今、私はウェブ開発者を必要としている会社を装って彼に連絡を取り、良い給料を提示しました。
上のイメージにあるように、私は会社を選択し、その会社の人事部の名前で偽の電子メールサービスを通じて偽の電子メールを送信することができます。例:hr@xyz.com
では、このメールを被害者さんに送って、被害者の目にこのメールがどう映るか見てみましょう。
このような電子メールを受け取った後、多くの人が履歴書を攻撃者に転送します。
また、オンライン求職フォームを送信して履歴書を取得することも可能で、フォームを送信すると、すべての情報がメールに保存されます。ここではオンラインフォームジェネレーターを使用しました。
送信後、被害者には「ありがとうございました」のページが表示されます。
をクリックして、googleドライブに追加されたものを確認してください。
完了しました!ターゲットのIPアドレスを取得しました。
上記のように、ターゲットの基本情報を知っているだけでなく、ターゲットのIPを取得するので、もちろん、ハッカーの好奇心を満たすことはできません、攻撃者はさらに機密情報を取得するためにキーロガーやリモートコントロールソフトウェアを介して行われます。
例えば、私は慎重にワードファイルと悪意のあるexeプログラムを用意しました。
Winrarを使って自己解凍ファイルを作成します:
マルウェアをC:¥ProgramData¥Microsoftに解凍します。
unzipを追加して実行します:
残りのステップ
ワードのアイコンをお忘れなく
SFXのセットアップが完了しました。
これで悪意のある文書を生成することができます:
攻撃者は、電子メールやその他の手段で標的をおびき寄せることができるようになりました。
ソーシャル・エンジニアリングの防御
[]
そうです、ソーシャル・エンジニアリング攻撃に対抗できるのはあなただけなのです!
あなたやあなたの会社に関する一見些細な情報であっても、決して安全でない手段で開示しないでください。機密情報が関係する場合は、必ず相手の身元を確認してください。本物のIT部門や金融サービス・プロバイダーが、パスワードやその他の機密情報を尋ねることは絶対にありません。パスワードはウェブサイトやパスワードサービスごとに使い分け、十分強固で複雑なものにしましょう。
ガバフリップの後:このテキストは非常に限定的であり、記載されている方法は十分に網羅的ではありません。不要と思われる文章をかなり要約しましたので、間違っていたら教えてください。
