Siła social engineering - bądź bezpieczniku kreatywny


Nie jestem i nigdy nie byłem zwolennikiem sztucznych definicji więc na początek by nie zanudzać nikogo tłumaczeniem co to jest social engineering polecam obejrzeć poniższy film (link poniżej)
Wiele lat temu był on prezentowany na konferencji SASMA ale jest wciąż aktualny

KOŃ TROJAŃSKI

No dobrze widzieliśmy na czym polega social engineering ale jeśli jednak ktoś upiera się przy definicji to ja osobiście wybieram tą: "jest to manipulacja ludźmi w taki sposób by pozyskać chronione informację"  

Wiemy już co to jest social engineering to teraz spróbujmy wyjaśnić gdzie może być wykorzystany:

  • kradzież danych wrażliwych
  • szpiegostwo przemysłowe
  • przestępstwa finansowe
  • zapewnienie przewagi informacyjnej
  • postępowania wyjaśniające zwłaszcza podczas tzw gier operacyjnych
To tylko parę punktów z wielu możliwych gdzie wykorzystuje się sztukę manipulacji z doświadczenia własnego mogę stwierdzić że social engineering z roku na rok staje się coraz bardziej popularną metodą zdobywania informacji.
Wypada zaznaczyć że w obecnych czasach inżynieria społeczna coraz częściej współdziała z aktywnością IT lub wręcz należy stwierdzić że jest ściśle z nią związana. 

Pomimo że każda operacja zawierająca social engineering w branży bezpieczeństwa jest inna to jednak jesteśmy w stanie zaprezentować uniwersalny schemat działań.
Nie chcę dokładnie opisywać poniższych punktów by nie zdradzać warsztatu ale sądzę że jest to jasne dla czytających:

  1. Ustalenie celu działań manipulacyjnych
  2. Zbieranie informacji/przygotowywanie się do działania
  3. Wybór obiektu naszego "ataku"
  4. Przynęta 
  5. Manipulacja obiektem by osiągnąć cel
  6. Osiągnięcie celu = sukces/ nieosiągnięcie celu =porażka

Poza powyższym schematem jest jeszcze pare "złotych" zasad social engineering które należy pamiętać nim przystąpimy do działania a które się przydają:

  • Większość ludzi jest bardzo uzależniona od poczucia własnej wartości 
  • Ludzie mają zasadę patrzenie na świat pobieżnie bez wgłębiania się w szczegóły
  • Chcemy by wszystko co dobre wydarzyło się szybko i przy minimalnym wysiłku
  • Jesteśmy chciwi 
Czytając powyższe zasady zdajemy sobie sprawę że tak na prawdę inżynieria społeczna dotyczmy i wykorzystuje ludzkie słabości a Ci którzy opanują tą sztukę do perfekcji stają się bardzo skutecznymi w swoim fachu.


Teraz pytanie czy umiejętności pozwalające nam na taką manipulację przydają się w pracy bezpiecznika?
Moim zdaniem jest to jedna z kluczowych cech która determinuje czy ktoś osiągnie sukces czy też nie w tej branży.
Myślenie out of the box pozwala radzić sobie z wieloma wyzwaniami a co za tym idzie być skutecznym a tego właśnie od nas klienci oczekują - skuteczności
Jak się przekonać czy mamy umiejętności w tych działaniach ?
Niestety tylko i wyłącznie możemy sprawdzić to w praktyce ale jednocześnie rekomenduję by nigdy samemu nie rozpoczynać przygody z social engineering a tylko i wyłącznie pod okiem bardziej doświadczonych osób.
Błędy mogą nas dużo kosztować i narazić na szwank naszą opinię na długie lata.

Oczywiście inżynieria społeczna jest dużo bardziej skomplikowana niż to co opisałem powyżej, nie da się jej przyswoić doraźnie i staje się jedną z dziedzin którą uczy się na specjalnych kursach/szkoleniach które to rekomenduję wszystkim zainteresowanym.
Na zakończenie należy dodać jeszcze jedno - bezpiecznicy zawsze powinni wykorzystywać siłę social engineering w dobrym celu, w końcu stoimy po jasnej stronie mocy 😎


Komentarze

Popularne posty z tego bloga

Sztuczna inteligencja a zagrożenia dla uczciwości wyborów w Polsce: potencjalne scenariusze ataków

Coordinated Inauthentic Behavior (CIB) - Jedno z największych wyzwań w wojnie w sieci.

Dezinformacja jako element walki w sieci - prawne aspekty odpowiedzialności karnej w prawie polskim.