Podszywanie

Podszywanie się jest definiowane jako udawanie kogoś innego i jest to jedna z najpopularniejszych metod stosowanych przez inżynierów społecznych. Inżynierowie społeczni mogą wykorzystywać ataki z zakresu podszywania się pod inne osoby, aby atakować pracownika na dowolnym poziomie w docelowej organizacji. Mogą udawać prawdziwą, nazwaną osobę lub udawać, że pełnią określoną rolę lub autorytet. Dyrektorzy korporacyjni są wspólnym celem inżynierii społecznej. Pracownicy działu pomocy technicznej i administratorzy systemów są również częstymi celami podszywania się pod inne osoby. Większość organizacji posiada centra pomocy, które pomagają pracownikom w kwestiach związanych z technologiami informatycznymi. Pracownicy zazwyczaj postępują zgodnie z instrukcjami personelu działu pomocy technicznej tylko dlatego, że są postrzegani jako technologicznie dobrze poinformowani i godni zaufania. Inżynierowie społeczni rozumieją to zaufanie i wykorzystają je do kradzieży informacji. Atakujący podszywa się pod personel pomocy technicznej i nadużywa tego ślepego zaufania, aby gromadzić wszelkie informacje, których potrzebuje atakujący. Personel działu pomocy technicznej może być także ofiarą ataków socjotechnicznych, a inżynier społeczny podszywa się pod użytkownika potrzebującego pomocy technicznej. Atak na centrum pomocy AOL jest historycznym przykładem udanego ataku socjotechniki na personel centrum pomocy. Osoba atakująca udająca klienta była w stanie infiltrować środowisko AOL, zwalniając pracownika działu pomocy AOL. Zdarzały się również przypadki, w których inżynierowie społeczni podszywają się pod urzędników lub menedżerów korporacyjnych. W jednym przypadku gigant płac ADP opublikował informacje o personelu i rachunku maklerskim setkom tysięcy klientów. Atakujący podszywał się pod członka zarządu firmy, poprosił o informacje i je otrzymał. Ta sprawa podkreśla potrzebę kontroli i edukacji dla wszystkich poziomów pracowników. Ofiara w tym przypadku mogła obawiać się, że nie zadowoli silnego członka organizacji, i mogła obawiać się kary. Należy pamiętać, że osoby atakujące podszywają się również pod zwykłych pracowników organizacji, ubierając się, rozmawiając i wtapiając się w środowisko organizacji. Robiąc to, atakujący może uzyskać fizyczny dostęp do obiektu przez piggybacking lub tailgating. W jednym przypadku zgłoszonym przez studenta na kursie bezpieczeństwa w 1993 roku inżynier społeczny współpracujący ze skorumpowanym menedżerem był w stanie kierować nieużywanym biurkiem w dużej firmie przez kilka miesięcy, zanim ochroniarz poprosił o identyfikację jego firmy.

Przestępca natychmiast zniknął, ale nie wcześniej, niż sam się wcielając w stosunku do pracowników jako nowy pracownik, a nawet będąc niczego nie podejrzewającym zaproszonym na spotkania towarzyskie. Dla inżyniera społecznego nie ma granic podszywania się; mogą próbować uzyskać informacje poprzez fizyczny dostęp do organizacji przy użyciu dowolnej liczby ru, w tym podszywania się pod:

* Pracownicy tymczasowi (np. Kontrahenci lub audytorzy)

* Pracownicy przedsiębiorstw użyteczności publicznej lub telekomunikacyjnych

* Personel ratunkowy

* Pracownicy dozorcy lub konserwatorzy

* Nowi pracownicy

* Personel dostawy

Fizyczny dostęp może znacznie zwiększyć wskaźnik skuteczności ataku w zależności od tego, czy organizacja ma odpowiednią kontrolę. Silnie zmotywowani inżynierowie społeczni mogą posunąć się nawet do znalezienia zatrudnienia w firmie lub w firmie będącej klientem firmy, aby mieć łatwiejszy dostęp do ofiary.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *