最近のニュースの一部は、人間の感情や思考が他の人の利益のためにどのように使用できるか(または使用されるか)を私に気づかせました。ほぼすべての人が、世界中を詮索しているNSAの内部告発者であるエドワードスノーデンを知っています。(Edward Snowden)ロイターは、彼が後で漏洩したデータを回復するために、約20〜25人のNSAの人々にパスワードを渡してもらうと報告しました[1]。最強で最高のセキュリティソフトウェアを使用していても、企業ネットワークがいかに脆弱であるか想像してみてください。(Imagine)
ソーシャルエンジニアリングとは
人間の(Human)弱さ、好奇心、感情、およびその他の特性は、データを違法に抽出する際によく使用されてきました。ただし、IT業界(IT Industry)ではソーシャルエンジニアリングの名前が付けられています。私はソーシャルエンジニアリングを次のように定義します。
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
これが私が引用したい同じニュース記事[1]からの別の行です–「治安機関は次のキュービクルの男が信頼できないかもしれないという考えに苦労しています(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)」。ここのコンテキストに合うようにステートメントを少し変更しました。参考文献(References)セクションのリンクを使用して、ニュース記事全体を読むことができます。
言い換えれば、ソーシャルエンジニアリングは、それに対処するための手法よりもはるかに速く進化しているため、組織のセキュリティを完全に制御することはできません。ソーシャル(Social)エンジニアリングは、あなたがテクニカルサポートであると誰かに電話して、ログイン資格情報を尋ねるようなものです。あなたは宝くじ、ビジネスパートナーを求めている中東(Mid East)とアフリカ(Africa)の金持ち、そしてあなたにあなたの詳細を尋ねる求人についてのフィッシングメールを受け取っていたに違いありません。
フィッシング攻撃とは異なり、ソーシャルエンジニアリングは人と人との直接的なやり取りの多くです。前者(フィッシング)は餌を使用します。つまり、「釣り」をしている人々は、あなたがそれに夢中になることを期待して何かを提供しています。ソーシャル(Social)エンジニアリングとは、社内の従業員の信頼を勝ち取り、必要な会社の詳細を明らかにすることです。
読む:(Read:) ソーシャルエンジニアリングの一般的な方法。
既知のソーシャルエンジニアリング手法
多くの組織があり、それらはすべて、あらゆる組織のデータベースにアクセスするための基本的な人間の傾向を使用しています。最も使用されている(おそらく時代遅れの)ソーシャルエンジニアリング手法は、人々に電話して会い、彼らがあなたのコンピュータをチェックする必要があるテクニカルサポートからのものであると彼らに信じさせることです。また、偽のIDカードを作成して信頼を確立することもできます。場合によっては、犯人は州の役人を装います。
もう1つの有名な手法は、対象組織の従業員としてあなたの人を雇用することです。さて、この詐欺師はあなたの同僚なので、会社の詳細で彼を信頼するかもしれません。外部の従業員が何かを手伝ってくれるかもしれないので、あなたは義務を感じます、そしてそれは彼らが最大を理解することができるときです。
また、電子ギフトを使用している人々に関するいくつかのレポートを読みました。会社の住所にある豪華なUSBスティックや、車の中にあるペンドライブは、災害を証明することができます。あるケースでは、誰かが意図的にいくつかのUSBドライブを餌として駐車場に置いていきました[2]。
あなたの会社のネットワークが各ノードで優れたセキュリティ対策を講じている場合、あなたは祝福されています。それ以外の場合、これらのノードは、マルウェア(ギフトまたは「忘れられた」ペンドライブ)が中央システムに簡単に通過できるようにします。
そのため、ソーシャルエンジニアリング手法の包括的なリストを提供することはできません。それは中心にある科学であり、上部にある芸術と組み合わされています。そして、あなたはそれらのどちらにも境界がないことを知っています。ソーシャルエンジニアリングの担当者は、会社(Social)のWi-Fi(Wi-Fi)にアクセスするためにワイヤレスデバイスを悪用する可能性のあるソフトウェアを開発しながら、創造性を発揮し続けます。
読む:(Read:) ソーシャルエンジニアリングマルウェアとは何ですか。
ソーシャルエンジニアリングを防ぐ
個人的には、管理者がソーシャルエンジニアリングのハッキングを防ぐために使用できる定理はないと思います。ソーシャルエンジニアリングの手法は変化し続けているため、IT管理者が何が起こっているのかを追跡することは困難になっています。
もちろん、適切なセキュリティ対策を講じるのに十分な情報を得られるように、ソーシャルエンジニアリングのニュースを監視する必要があります。たとえば、USBデバイスの場合、管理者は個々のノードで(USB)USBドライブをブロックして、セキュリティシステムが優れているサーバーでのみUSBドライブを許可できます。同様に(Likewise)、Wi-Fiには、ほとんどのローカル(Wi-Fi)ISP(ISPs)が提供するよりも優れた暗号化が必要です。
従業員をトレーニングし、さまざまな従業員グループに対してランダムなテストを実施すると、組織の弱点を特定するのに役立ちます。弱い人を訓練し、警告するのは簡単でしょう。覚醒(Alertness)は最善の防御です。プレッシャーに関係なく、ログイン情報をチームリーダーと共有してはならないことを強調する必要があります。チームリーダーがメンバーのログインにアクセスする必要がある場合、メンバーはマスターパスワードを使用できます。これは、安全を確保し、ソーシャルエンジニアリングのハッキングを回避するための1つの提案にすぎません。
要するに、マルウェアやオンラインハッカーは別として、IT担当者はソーシャルエンジニアリングにも注意を払う必要があります。管理者は、データ侵害の方法(パスワードの書き留めなど)を特定する一方で、スタッフがソーシャルエンジニアリング手法を完全に回避できるほど賢いことを確認する必要があります。ソーシャルエンジニアリングを防ぐための最良の方法は何だと思いますか?何か面白いケースに出くわしたことがあれば、私たちと共有してください。
マイクロソフトがリリースしたソーシャルエンジニアリング攻撃に関するこの電子ブックをダウンロードして、組織内でこのような攻撃を検出および防止する方法を学びます。(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)
参考文献(References)
[1]ロイター(Reuters)、スノーデンは(Snowden)NSAの従業員(NSA Employees Into)にログイン情報(Info)の取得を説得しました
[2] Boing Net、マルウェアの拡散に使用される(Spread Malware)ペン(Pen)ドライブ。
Understand Social Engineering - Protection against Human Hacking
A piece of recent news made me reаlize how human emotions аnd thoughts can be (or, are) used for others’ benefit. Almost every one of you knows Edward Snowden, the whistleblowеr of NSA snоoping the world over. Reuters reported that he got around 20-25 NSA people tо hand over their passwords to him for recoverіng some data he leaked later [1]. Imagine how fragilе your сorporate network can be, even with the strongest and best of security software!
What is Social Engineering
Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:
“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”
Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.
In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.
Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.
Read: Popular methods of Social Engineering.
Known Social Engineering Techniques
There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.
Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.
I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].
If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.
As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.
Read: What is Socially Engineered Malware.
Prevent Social Engineering
Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.
Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.
Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.
The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.
Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.
References
[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info
[2] Boing Net, Pen Drives Used to Spread Malware.
