Social Engineering - människan som riskfaktor Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 5
Mål Att kunna beskriva syftet med Social Enginering definiera olika typer av Social Enginering skapa försvarsåtgärder mot Social Enginering-attacker
Syftet med Social Engineering För angriparen Ekonomisk vinning på kort och lång sikt Skaffa värdefull information som kan säljas vidare Skaffa kontroll över andras datorer och nät till s k botnet som kan säljas
Orsaker Från angrepp på tekniken till angrepp på människor Utnyttjar mänskliga svagheter Tekniken mogen, men många omogna och godtrogna användare Bristfällig eller ogenomtänkt säkerhetsfilosofi
Varifrån kommer attackerna USA, Kina, Brasilien, Ryssland Länder med ökande bredbandskapacitet och mindre risk för åtal Lättanvända crimeware-kit som inte kräver programmerarkunskap... men priset på stulen information minskar också
Olika typer av Social Engineering Kortsiktiga angrepp utan personlig relation Exempel: gatuspel med 3 koner Långsiktiga bedrägerier via en personlig relation; prata, föreställa eller utpressa Exempel: sol&vårare
Olika typer av Social Engineering Dumpster diving leta efter kastade papper, cd, säkerhetskopior i företagsavfall Desktop hacking leta efter data som lösenord, telefon- och mejllistor, semesterscheman Road apple tappa preparerade USB-minnen eller CD med data och trojan utanför arbetsplats
Olika typer av Phishing Nätfiske (Phishing) - ber att få kontouppgifter för hjälp med att flytta pengar, Nigeriabrev - får användare att klicka och ofriviligt installera spionprogram, t ex bakdörrar och keyloggers Riktat nätfiske (Spear phishing) - riktad attack i äkta sammanhang, förfalskat dokument eller pdf med trojan som öppnar bakdörr
Bot-chattar Chat-rum för dating där en Bot utger sig vara en vanlig, trevlig person som söker kontakt Billigt och effektivt sätt att locka av dig kontouppgifter och lösenord Dina personliga data är hämtade från sociala medier som Facebook, Linkedin, etc
Våldsbrott och IT-brott... Användare utsätts varje dag för phishing-mejl och IT-attacker Jämför med samma antal våldsbrott oacceptabel nivå av hot och våld! Organiserade attackerna som drivs av ekonomiska skäl Angriparen är steget före och har tiden på sin sida, och det finns alltid någon som är mera lättlurad än du...
Några enkla motåtgärder Praktisk försvarsträning öva med låtsasattacker Aktiv lösenordspolicy krav på byte av lösenord efter 30/60/90 dagar. Råd om bra lösenord/fraser (längd, tecken, etc.) Kort och kod för access, eller fingeravläsning
Några enkla motåtgärder Använd sunt förnuft som varningsklocka Avslöja aldrig lösenord till dina konton Håll rent på skrivbordet, Clean desk Tugga och bränn känsliga papper Använd krypterade kommunikationskanaler Eskortera alltid besökare
Några enkla motåtgärder Tacka NEJ till erbjudanden som är för bra för att vara sanna inget är helt gratis! Tänk efter en gång extra innan du skickar pengar eller kontouppgifter till någon du inte känner Betala aldrig i förskott på Blocket och liknande sajter
Några enkla motåtgärder Avvärj och avskräck angripare - lagar, föreskrifter, policy,regler, instruktioner Förhindra att de kommer in - brandväggar, IDS, accesskontroll Upptäck dem, om de kommit in - övervakning och logganalys Agera mot angriparen - ha resurser för incidenthantering Återställ ordningen - säkerhetskopior, byte av lösenord, krishantering
Några exempel Statoil byter ut alla ID-kort pga av byte av logotyp Visa giltigt pass/id-kort för att kvittera ut nytt IDkort Resultat? 9 personer med falska ID bland 4 000 anställda! Ditt exempel?
Läs mera i... Securing Information Assets - Understanding, Measuring and Protecting against Social Engineering Attacks, Marcus Nohlberg, doktorsavhandling The Art of Deception, Kevin Mitnick Symantec: Internet Security Threat Report http://www.symantec.com?themeid=threatreport