Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
правда про ложь   социальная инженерия для безопасников                                Владимир СтыранPHDays 2012         ...
Коротко о себе
Как это относится к теме?
Что такое социальная инженерия?
Научный метод
Социальная инженерияThe act of manipulating a person to accomplish goalsthat may or may not be in their best interest.Акт ...
Социальная инженерия в быту•   Медицина•   Обучение и воспитание•   Побуждение к действию во время ЧП•   Расследования•   ...
Злоумышленная СИ•   Мошенничество онлайн•   Мошенничество в реальности•   Фишинг•   Nigerian/419 scam•   Вербовка мулов в ...
Выдающиеся социальные инженеры•   Frank Abagnale Jr.•   Kevin Mitnick•   Сергей Мавроди•   Mark Zuckerberg•   Benjamin Fra...
Методы социальной инженерии•   Психологические методы•   Сбор информации•   Обрамление (Framing)•   Использование предлого...
Психологические методы•   Отвлечение внимания•   Социальное соответствие•   Принцип толпы•   Нечестность•   Обман•   Нужды...
Психологические методы   Отвлечение внимания
Психологические методы  Социальное соответствие
Психологические методы     Принцип толпы
Психологические методы      Нечестность
Психологические методы        Обман
Психологические методы    Нужды и желания
Психологические методы Срочность и ограниченность
Методы социальной инженерии•   Психологические методы•   Сбор информации•   Обрамление (Framing)•   Использование предлого...
Сбор информации    Интернет
Сбор информации                     Интернет• Google hacking  – Johnny Long – GH For Penetration Testers• Phishing  – Soci...
Сбор информации   не Интернет
Сбор информации                        не Интернет• Tail Gating   – Он же Piggybacking• Shoulder Surfing   – All your pass...
Сбор информации   что искать? Искать нужно все.
Сбор информации                         что искать?                            (корпоратив)• Профиль   –   Основные направ...
Сбор информации                 что искать?                   (индивидуум)• Круг общения  – Школа, вуз, дополнительное обу...
Методы социальной инженерии•   Психологические методы•   Сбор информации•   Обрамление (Framing)•   Использование предлого...
Обрамление                      (Framing)Framing is information and experiences in life that alterthe way we react to deci...
Обрамление              Frame of Reference• Тип восприятия  – визуал / аудиал / кинестетик• Жизненный опыт• Политические и...
Методы социальной инженерии•   Психологические методы•   Сбор информации•   Обрамление (Framing)•   Использование предлого...
Использование предлогов                    (Pretexting)Pretexting is defined as the act of creating an inventedscenario to...
Классические предлоги•   Help Desk / Tech Support•   Pizza Guy•   Претендент на собеседовании•   Торговый представитель•  ...
Методы социальной инженерии•   Психологические методы•   Сбор информации•   Обрамление (Framing)•   Использование предлого...
Извлечение                   (Elicitation)Elicitation is the process of extracting information fromsomething or someone du...
Манипулирование          (Manipulation)https://irrelevantaxiom.wordpress.com/2011/10/14/the-age-of-manipulation/
Уязвимости•   Мы хотим быть вежливыми•   Мы хотим выглядеть профессионально•   Мы хотим быть нужными и полезными•   Мы хот...
Формула успеха             План успешной атаки• Исследование обрамления/фрейма  – Изменение обрамления (reframing)• Разраб...
Пример 1
Пример 1• Фрейм  – Охранник последнего этажа  – Руководитель смены• Предлог  – Постоялец отеля• Сценарий  – Пляжная одежда...
Пример 2RSA SecurID Attack http://blogs.rsa.com/rivner/anatomy-of-an-attack/
Пример 2             RSA SecurID Attack• Фрейм  – (Любопытный) сотрудник компании• Предлог  – Инсайдер, располагающий инфо...
Сбор информации / FOCA
Сбор информации / FOCA
Сбор информации / Maltego
S.E.T.
Невербальная коммуникация
Яблоко от яблони…
Основные аспекты невербалки•   40-60(-80?)% информации при общении•   Жесты и мимика не врут•   Микро выражения•   Однозна...
Нейролингвистическое программирование
Как защищаться?
Принять риск
Устранить рискИсключить людей из бизнес-модели
Управлять риском• Учитесь распознавать социального инженера  – Следите за новостями  – Учитесь на ошибках  – Читайте, смот...
Управлять риском• Осознание ценности информации  – Справочники, списки, каталоги  – Устаревшие документы• Идентификация ли...
Управлять риском• Планирование, планирование, планирован  ие  – Процедуры увольнения  – Выявление и реагирование на инциде...
Управлять риском• Аудиты  – Подготовьте юридическую базу  – «Социальные» пентесты  – Пентест должен включать социальный ка...
И помните…
…в мире слишком много медведей
Что читать• Chris Hadnagy  – Social Engineering                           • Joe Navarro                           – What E...
Что смотреть
WWW• www.social-engineer.org• Social-Engineer.org Podcast• @humanhacker            • www.jnforensics.com            • @nav...
Постоянно практикуйтесь!• Убедитесь, что это законно• Практикуйтесь на людях, желающих помочь  – Служащие отелей  – Операт...
Спасибо за внимание!    vlad@styran.com        @xaocuc
Правда Про Ложь
Правда Про Ложь
Правда Про Ложь
Правда Про Ложь
Upcoming SlideShare
Loading in …5
×

Правда Про Ложь

1,474 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Правда Про Ложь

  1. 1. правда про ложь социальная инженерия для безопасников Владимир СтыранPHDays 2012 vlad@styran.com
  2. 2. Коротко о себе
  3. 3. Как это относится к теме?
  4. 4. Что такое социальная инженерия?
  5. 5. Научный метод
  6. 6. Социальная инженерияThe act of manipulating a person to accomplish goalsthat may or may not be in their best interest.Акт манипулирования человеком длядостижения целей, которые могут быть илине быть в его интересах. www.social-engineer.org
  7. 7. Социальная инженерия в быту• Медицина• Обучение и воспитание• Побуждение к действию во время ЧП• Расследования• Политическая агитация• Маркетинг и реклама• Менеджмент• Актерское мастерство
  8. 8. Злоумышленная СИ• Мошенничество онлайн• Мошенничество в реальности• Фишинг• Nigerian/419 scam• Вербовка мулов в кардинге• Шпионаж• «Зомбирование»• Финансовые пирамиды
  9. 9. Выдающиеся социальные инженеры• Frank Abagnale Jr.• Kevin Mitnick• Сергей Мавроди• Mark Zuckerberg• Benjamin Franklin
  10. 10. Методы социальной инженерии• Психологические методы• Сбор информации• Обрамление (Framing)• Использование предлогов (Pretexting)• Извлечение (Elicitation)• Манипулирование (Manipulation) • Планирование и сценарии • Инструменты
  11. 11. Психологические методы• Отвлечение внимания• Социальное соответствие• Принцип толпы• Нечестность• Обман• Нужды и Желания• Срочность и ограниченность Understanding scam victims: seven principles for systems security Frank Stajano, Paul Wilson, University of Cambridge, 2009
  12. 12. Психологические методы Отвлечение внимания
  13. 13. Психологические методы Социальное соответствие
  14. 14. Психологические методы Принцип толпы
  15. 15. Психологические методы Нечестность
  16. 16. Психологические методы Обман
  17. 17. Психологические методы Нужды и желания
  18. 18. Психологические методы Срочность и ограниченность
  19. 19. Методы социальной инженерии• Психологические методы• Сбор информации• Обрамление (Framing)• Использование предлогов (Pretexting)• Извлечение (Elicitation)• Манипулирование (Manipulation) • Планирование и сценарии • Инструменты
  20. 20. Сбор информации Интернет
  21. 21. Сбор информации Интернет• Google hacking – Johnny Long – GH For Penetration Testers• Phishing – Social Engineering Toolkit by @dave_rel1k• Maltego – Paterva’s uber WWW mining weapon• FOCA – Fear the Foca for your metadata can speak• Creepymap – Seek and pinpoint
  22. 22. Сбор информации не Интернет
  23. 23. Сбор информации не Интернет• Tail Gating – Он же Piggybacking• Shoulder Surfing – All your passwords are belong to us• Телефон – No school other the old school• Вторжение – Veni, vidi, vici• Диверсия – Отвлечение/привлечение внимания
  24. 24. Сбор информации что искать? Искать нужно все.
  25. 25. Сбор информации что искать? (корпоратив)• Профиль – Основные направления – Прибыль, расходы, критические процессы – Партнеры, поставщики, аутсорсеры – Используемые технологии• Масштабы – Численность – Территориальное распределение• Документы и публичные данные – Файлы на сайте – Сотрудники – Адреса электронной почты, телефоны, прочие контакты – Отчеты, пресс-релизы – IP-адреса (!)
  26. 26. Сбор информации что искать? (индивидуум)• Круг общения – Школа, вуз, дополнительное обучение – Работа, карьера, конференции, выставки – Семья, друзья, знакомые• Интересы – Клубы, тусовки, хобби – Списки рассылки, тематические форумы – Онлайн-сообщества, игры, MMORPG
  27. 27. Методы социальной инженерии• Психологические методы• Сбор информации• Обрамление (Framing)• Использование предлогов (Pretexting)• Извлечение (Elicitation)• Манипулирование (Manipulation) • Планирование и сценарии • Инструменты
  28. 28. Обрамление (Framing)Framing is information and experiences in life that alterthe way we react to decisions we must make.Обрамление это информация и жизненныйопыт, которые формируют нашу реакцию насобытия, а также решения, которые мыпринимаем. www.social-engineer.org
  29. 29. Обрамление Frame of Reference• Тип восприятия – визуал / аудиал / кинестетик• Жизненный опыт• Политические и религиозные убеждения• Комплексы и фобии• Принципы• Профессиональный опыт…
  30. 30. Методы социальной инженерии• Психологические методы• Сбор информации• Обрамление (Framing)• Использование предлогов (Pretexting)• Извлечение (Elicitation)• Манипулирование (Manipulation) • Планирование и сценарии • Инструменты
  31. 31. Использование предлогов (Pretexting)Pretexting is defined as the act of creating an inventedscenario to persuade a targeted victim to releaseinformation or perform some action.Предлог – это акт создания вымышленногосценария для убеждения цели впредоставлении информации либовыполнении определенного действия. www.social-engineer.org
  32. 32. Классические предлоги• Help Desk / Tech Support• Pizza Guy• Претендент на собеседовании• Торговый представитель• Бизнес партнер• Разъяренный клиент• Новый сотрудник
  33. 33. Методы социальной инженерии• Психологические методы• Сбор информации• Обрамление (Framing)• Использование предлогов (Pretexting)• Извлечение (Elicitation)• Манипулирование (Manipulation) • Планирование и сценарии • Инструменты
  34. 34. Извлечение (Elicitation)Elicitation is the process of extracting information fromsomething or someone during an apparently normaland innocent conversation.Извлечение это процесс полученияинформации в, казалось бы, нормальном ибезобидном режиме общения.
  35. 35. Манипулирование (Manipulation)https://irrelevantaxiom.wordpress.com/2011/10/14/the-age-of-manipulation/
  36. 36. Уязвимости• Мы хотим быть вежливыми• Мы хотим выглядеть профессионально• Мы хотим быть нужными и полезными• Мы хотим ощущать свою важность• Мы хотим быть последовательными• Мы не хотим врать без веской причины• Нам нравятся люди, похожие на нас• Мы относимся к людям так, как они относятся к нам
  37. 37. Формула успеха План успешной атаки• Исследование обрамления/фрейма – Изменение обрамления (reframing)• Разработка предлога – Предлог должен вписываться в фрейм цели – Чем точнее они подходят друг другу, тем больше шансов на успех• Разработка сценария – Не погружаться в детали слишком глубоко• Выполнение действия – Извлечение (elicitation) – Манипулирование (manipulation)
  38. 38. Пример 1
  39. 39. Пример 1• Фрейм – Охранник последнего этажа – Руководитель смены• Предлог – Постоялец отеля• Сценарий – Пляжная одежда и полотенце – «Забытый» ключ от номера• Манипулирование – Пропуск в бассейн
  40. 40. Пример 2RSA SecurID Attack http://blogs.rsa.com/rivner/anatomy-of-an-attack/
  41. 41. Пример 2 RSA SecurID Attack• Фрейм – (Любопытный) сотрудник компании• Предлог – Инсайдер, располагающий информацией о планах найма на 2011 г.• Сценарий – «Ошибочное» электронное письмо на группу сотрудников с вложением «2011 recruitment plan.xls»• Манипулирование – Запуск вложенного документа MS Excel
  42. 42. Сбор информации / FOCA
  43. 43. Сбор информации / FOCA
  44. 44. Сбор информации / Maltego
  45. 45. S.E.T.
  46. 46. Невербальная коммуникация
  47. 47. Яблоко от яблони…
  48. 48. Основные аспекты невербалки• 40-60(-80?)% информации при общении• Жесты и мимика не врут• Микро выражения• Однозначно распознать ложь невозможно• Мы плохие (ленивые?) наблюдатели• Внимательность к окружающим
  49. 49. Нейролингвистическое программирование
  50. 50. Как защищаться?
  51. 51. Принять риск
  52. 52. Устранить рискИсключить людей из бизнес-модели
  53. 53. Управлять риском• Учитесь распознавать социального инженера – Следите за новостями – Учитесь на ошибках – Читайте, смотрите, слушайте• Осведомленность в хорошем смысле слова – Программы осведомленности СКУЧНЫЕ – Сотрудники «срезают углы» – Учите коллег распознавать СИ – Убедите, что противостояние СИ в личных целях каждого
  54. 54. Управлять риском• Осознание ценности информации – Справочники, списки, каталоги – Устаревшие документы• Идентификация личности• Обновления ОС и ПО – Метаданные: DOC, XLS, PDF, ETC. – 0-days & public exploits
  55. 55. Управлять риском• Планирование, планирование, планирован ие – Процедуры увольнения – Выявление и реагирование на инциденты СИ – Действия при подозрении или успешной атаке • Выявление нарушителей • Кто-то подсматривает вводимые пароли • Получение фишингового письма и так далее…
  56. 56. Управлять риском• Аудиты – Подготовьте юридическую базу – «Социальные» пентесты – Пентест должен включать социальный канал – Оценивайте и требуйте качество аудита – Обсуждайте и выполняйте рекомендации• Знайте, где вы сильны• А где «возможны улучшения»
  57. 57. И помните…
  58. 58. …в мире слишком много медведей
  59. 59. Что читать• Chris Hadnagy – Social Engineering • Joe Navarro – What Every Body Is Saying – Louder Than Words• Kevin Mitnick – The Art Of Deception
  60. 60. Что смотреть
  61. 61. WWW• www.social-engineer.org• Social-Engineer.org Podcast• @humanhacker • www.jnforensics.com • @navarrotells • www.paulekman.com
  62. 62. Постоянно практикуйтесь!• Убедитесь, что это законно• Практикуйтесь на людях, желающих помочь – Служащие отелей – Операторы звонковых центров – Продавцы – Кто угодно• Do no evil!
  63. 63. Спасибо за внимание! vlad@styran.com @xaocuc

×