Social engineering: Difference between revisions
Line 34: | Line 34: | ||
''Phishing'' 'ule peamised iseloomulikud jooned on isikliku informatsiooni kättesaamine (nimed, aadressid, isikukoodid) ja lühendatud või omakorda teise lingi sisse peidetud lingid, mis viitavad nakatunud lehekülgedele. Et ohver kindlasti klikiks lingile, siis on e-mailis ära mainitud, et antud lingile klikades on võimalik saada rohkemat informatsiooni. Samuti on ''phishing'' 'u juures olulisel kohal ohvrile teadaandmine, et kogu olukorraga on kiire ning ohver kindlasti ei tohiks asja edasi lükata, vaid kohe saadetud lingiga tegelema hakata<ref> https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/</ref> | ''Phishing'' 'ule peamised iseloomulikud jooned on isikliku informatsiooni kättesaamine (nimed, aadressid, isikukoodid) ja lühendatud või omakorda teise lingi sisse peidetud lingid, mis viitavad nakatunud lehekülgedele. Et ohver kindlasti klikiks lingile, siis on e-mailis ära mainitud, et antud lingile klikades on võimalik saada rohkemat informatsiooni. Samuti on ''phishing'' 'u juures olulisel kohal ohvrile teadaandmine, et kogu olukorraga on kiire ning ohver kindlasti ei tohiks asja edasi lükata, vaid kohe saadetud lingiga tegelema hakata<ref> https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/</ref> | ||
====Spear phishing==== | =====Spear phishing===== | ||
''Spear phishing'' erineb tavapärasest ''phishing'''ust selle võrra, et esimene juht on suunatud mingile konkreetsele ettevõttele või organisatsioonile. ''Phishing''-tüüpi meetodi puhul viitavad saadetud lingid tavaliselt hästituntud saitidele ja ettevõtetele (näiteks PayPal või eBay), samas kui ''spear phishing''-meetodiga kasutatakse rünnatava ettevõtte/organisatsiooni enda kodulehekülge ja tihtipeale viidatakse ka ettevõttesisestele juhtivatel kohtadel olevatele inimestele<ref> http://searchsecurity.techtarget.com/definition/spear-phishing</ref>. | ''Spear phishing'' erineb tavapärasest ''phishing'''ust selle võrra, et esimene juht on suunatud mingile konkreetsele ettevõttele või organisatsioonile. ''Phishing''-tüüpi meetodi puhul viitavad saadetud lingid tavaliselt hästituntud saitidele ja ettevõtetele (näiteks PayPal või eBay), samas kui ''spear phishing''-meetodiga kasutatakse rünnatava ettevõtte/organisatsiooni enda kodulehekülge ja tihtipeale viidatakse ka ettevõttesisestele juhtivatel kohtadel olevatele inimestele<ref> http://searchsecurity.techtarget.com/definition/spear-phishing</ref>. | ||
Revision as of 17:58, 20 December 2016
Antud artikkel on kirjutatud aine "Operatsioonisüsteemide administreerimine ja sidumine" raames. Artikkel peaks andma põgusa ülevaate social engineering'ust ning mõndadest olulistemast rünnetest selles vallas.
Üldiselt võib öelda, et social engineering on inimese psüühikaga manipuleerimine selleks, et panna teda tegema seda, mida manipuleerija tahab. Kui igapäevaelus võib see hõlmata ka lihtsalt seda, et üks "veenab" teist koeraga jalutama minema, siis IT-maailmas on see rohkem seotud konfidentsiaalse informatsiooni kättesaamisega, ettevõtete ja teiste ohvrite pilgu läbi turvalisuse rikkumise ja infokaoga [1].
Social engineering on suures osas alternatiiv häkkerile, kes käsitsi süsteemi sisse murrab ja selle konfidentsiaalse info enda valdusesse võtab. Selle asemel, et seda sissemurdmist ise teostada, "veenab" ta pigem kedagi, kes antud infole ligipääsu omab, seda jagama. Selline viis on tunduvalt kiirem, kui ise kõigepealt sisse murda, siis see info kätte saada ja alles siis kättesaadut rakendama hakata[2].
Social engineering on väga vähesel määral seotud arvutis kasutatava tarkvaraga, kuna enamikel juhtudel on "nõrgimaks lüliks" inimene ja mitte tarkvaravead. Nagu Digital Guardian oma artiklis ära märgib, siis umbes ainult 3% pahavarast on seotud tarkvaranõrkuste ärakasutamisega. Tervelt 97% juhtudel aga kasutatakse ära inimese enda "nõrkust" infot kergekäeliselt ära anda [3].
Autor
Gert Sikk A21 2015/2016
Esitamise kuupäev 6.12.2015
Täiendatud: Triinu Tamm A21 2016/2017
Esitamise kuupäev 7.12.2016
Eesmärk
Social engineering on inimeste psüühiline manipuleerimine konfidentsiaalse informatsiooni kättesaamiseks, olgu need siis kasutajanimed, paroolid, pangaandmed jne. Kuigi enamasti on eesmärgiks saada kätte petta saava inimese hallatav(ad) informatsioon(id), siis tihti on prioriteediks ka saada ligi inimese arvutile, et salaja installida sinna pahavara (lisaks isiklikele andmetele saadakse ka kontroll kasutaja arvuti üle)[4]. "Kriminaalid" eelistavad tihtipeale just sellist lähenemist, sest inimeste usalduse võitmine on tunduvalt lihtsam, kui ise hakata sisse murdma süsteemidesse. Social engineering'u erinevad tehnikad ja nende rakendamine on enamasti väike osa suuremast petuskeemist kriminaalile vajaliku infomatsiooni kättesaamiseks.
"Social engineering" töötabki inimese manipuleerimise baasil. Tihti mängitakse inimese emotsioonidega, harv ei ole olukord, kus ründaja, mängides kedagi, kes ta ei ole (nt sõber, töökaaslane), kirjutab emailis, et ta läks reisile, teda rööviti-rünnati, ja tal ei ole enam rahagi, et koju tagasi saada. Sellises olukorras on rünnatava inimese usaldus juba võidetud (sest tegemist on ju siiski "vana hea sõbraga") ning inimene ei hakkagi mõtlema, et tegu võiks olla mõne pahatahtliku inimesega, kelle ainuke eesmärk on hoopis ohvrit rahast lagedaks teha[5].
Tehnikad
Social engineering'us on väga palju erinevaid tehnikaid, mis loodud selle järgi, kuidas inimene otsuseid langetab. Väga tihti on üks osa tehnikast kas e-mail või mõni muu kiirsuhtluseks loodud vahend, mis eeldab kiiret reageerimist ja vastust (näiteks telefon) [6]. Kasutades tehnikat, mis hõlmab endas e-maili kasutamist, on häkkeri poolt tavaliselt kirja sisse pandud mõni link või manus, mis viitab kas nakatunud lehele või lahtipakitavale viirusele. N-ö inimese poolt tehtud "ekslikke otsuselangetusi" kutsutakse ka kui "bugs in the human hardware" ehk inimese tarkvaras esinevaid vigu.
See, millist tehnikat millises olukorras kasutatakse, oleneb suuresti sellest, mis on ründaja eesmärk ja kes on ohver. Seetõttu on ka erinevaid tehnikaid üpris mitu, mõned enimkasutatavamad on siinkohal välja toodud.
Phishing
Phishing (tuleneb sõnadest "password" ja "fishing") on tõenäoliselt kõige populaarsem social engineering'u tehnikatest (umbes 91% kõikidest informatsiooni väljapetmistest on phishing-tüüpi)[7].
Phishing 'ule peamised iseloomulikud jooned on isikliku informatsiooni kättesaamine (nimed, aadressid, isikukoodid) ja lühendatud või omakorda teise lingi sisse peidetud lingid, mis viitavad nakatunud lehekülgedele. Et ohver kindlasti klikiks lingile, siis on e-mailis ära mainitud, et antud lingile klikades on võimalik saada rohkemat informatsiooni. Samuti on phishing 'u juures olulisel kohal ohvrile teadaandmine, et kogu olukorraga on kiire ning ohver kindlasti ei tohiks asja edasi lükata, vaid kohe saadetud lingiga tegelema hakata[8]
Spear phishing
Spear phishing erineb tavapärasest phishing'ust selle võrra, et esimene juht on suunatud mingile konkreetsele ettevõttele või organisatsioonile. Phishing-tüüpi meetodi puhul viitavad saadetud lingid tavaliselt hästituntud saitidele ja ettevõtetele (näiteks PayPal või eBay), samas kui spear phishing-meetodiga kasutatakse rünnatava ettevõtte/organisatsiooni enda kodulehekülge ja tihtipeale viidatakse ka ettevõttesisestele juhtivatel kohtadel olevatele inimestele[9].
Pretexting
Pretexting on pettus läbi välja mõeldud sündmuste, et võita sihtmärgi usaldust, mis tõttu temal oleks suurem võimalus paljastada salastatud infot. Selleks on vaja ettevalmistust ja infot koguda, et jutt oleks võimalikult usutav sihtmärgile. Selleks kasutatakse tavaliselt isiklike andmeid, mida keegi peale peale inimese ise ja selle firma/isiku ei peaks teadma, kellena esinetakse.[10]
Diversion theft
Diversion theft on transpordi ja kuller teenuste vastu suunatud pettus. Inimene, kes on vastutav kohale viimise eest, räägitakse ära, et see saadetis peab jõudma hoopis teise asukohta.[11]
Baiting
Baiting on selline meetod, kus kasutatakse ära heatahtlikust või uudishimu. Selle meetodi puhul jäetakse firmasse nähtavasse kohte USB mälupulk, millel on viirus peal ehk, kui keegi selle arvutisse sisestab, siis see automaatselt nakatab võrgu, mille kaudu on võimalik süsteemidesse sisse saada.[12]
Tailgating
Tailgatingu puhul on tegemist lihtsalt ootamisega, et saada pääs läbi uste kasutades valveta jäetud uksi, minnes inimese järgi, kellel on pääs ja nii edasi. [13]
Vältimine
Näited
RSA SecurID Breach
Ründajad saatsid välja 2 Phishing e-maili, kahel erineval päeval ja kahele erinevale töörühmale. Selle e-maili pealkiri oli "2011 Recruitment Plan" ehk 2011 aasta värbamise plaan. See e-mail oli nii hästi koostatud, et üks töötaja võttis selle oma räpsmailist ja laadis alla .xls faili. Selles olnud viirus lõi firma süsteemi tagaukse läbi Adobe Flashi. Selline väike apsakas läks firmale maksma 66 miljonit dollrait. See on üks suuremaid rünnakuid küberkaitse firmade vastu.[14]
Suur teemanti rööv
Üks mees suutis varastada 21 milljoni dollari väärtuses teemanteid, keset tööaega ning kaduda igaveseks. Tema ainuke relv oli tema sharm. Ta viis telleritele kingitusi ning suutis mingi aja jooksul saada võtme, et teha koopia ning sai infot, kus teemantid asuvad.[15]
Lisa lugemine
Huvi korral saate lugeda tervet artiklit ülal toodud näidete kohta lähemalt ja täpsemalt.
Kokkuvõte
Social engineering on manipuleerimine inimestega, et saada infot või füüsilist ligipääsu kohtadele, kust oleks võimalik saada salastatud informatsiooni firmade kohta. Selleks kasutatakse palju erinevaid meetodeid, millest, üleval pool pikemalt räägiti. Minu arvates on väga kavalad nipid välja mõeldud, et saada infot. See on ka ilmselt parim võimalik viis saada tänapäeval infot, kui väga palju turvaauke on parandatud ja küberturve nii hästi arenenud, et rünnetele vastu saada.
Viited
- ↑ https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering
- ↑ http://sin.thecthulhu.com/library/security/social_engineering/The_Art_of_Human_Hacking.pdf; Peatükk 1 Overview of Social Engineering
- ↑ https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack
- ↑ https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering
- ↑ http://searchsecurity.techtarget.com/definition/social-engineering
- ↑ https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack
- ↑ https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack
- ↑ https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/
- ↑ http://searchsecurity.techtarget.com/definition/spear-phishing
- ↑ http://www.social-engineer.org/framework/influencing-others/pretexting/
- ↑ http://www.symantec.com/connect/blogs/what-social-engineering
- ↑ http://www.symantec.com/connect/blogs/what-social-engineering
- ↑ http://www.symantec.com/connect/blogs/what-social-engineering
- ↑ http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=3
- ↑ http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=5