Social Engineering Human Security
Transcript
Social Engineering Human Security
Social Engineering Human Security Samuele Baisi Cos’è? ● ● ● ● “Psychological manipulation of people into performing actions or divulging confidential information.” - Wikipedia “Using manipulation, influence and deception to get a person, a trusted insider within an organization, to comply with a request, and the request is usually to release information or to perform some sort of action item that benefits that attacker.” - Kevin Mitnick “It may help to think about human security as the missing link between IT security and physical security.” - Ian Mann - “Hacking the Human” “Any act that influences a person to take an action that may or may not be in their best interest.” - Cristopher Hadnagy – social-engineer.org Cos’è (2) ● ● ● ● Low tech / no tech hacking Attacca l’elemento umano per ottenere informazioni o accesso Può essere di supporto per altre tecniche e tattiche o essere l’elemento centrale dell’attacco Cost effective, spesso sottovalutato Ma funziona davvero? Perché funziona ● ● ● ● ● Il processo decisionale umano è manipolabile. Le persone sono naturalmente portate (e condizionate) a fidarsi e ad aiutare. Le moderne tecnologie di sicurezza hanno ristretto la superficie per un attacco diretto. Anche attacchi tecnicamente avanzati hanno spesso bisogno di un’azione della vittima. L’elemento umano è spesso l’anello debole della sicurezza. Principi base ● Ingegnerizzazione e “weaponization” delle basi di psicologia sociale: ● (Instant) Rapport Building ● Persuasione: Influenza / Manipolazione ● Classiche leve: - Curiosità - Avidità - Necessità di affermazione e approvazione - Desiderio di apparire coerenti a se stessi Rapport Building ● ● ● Punto chiave per ogni “operazione” in prima persona, ma utile anche su mezzi di comunicazione impersonale. Mira a mettere l’obiettivo a suo agio, ben disposto e aperto nei confronti dell’attaccante. “the fundamental outcome of rapport is the perception of credibility, which in turn will lead to mutual trust” Nicholas Boothman – How to make people like you in 90 seconds or less ● Small talk on steroids. Elicitation (Secondo l’NSA) “In the spy trade, elicitation is the term applied to subtle extraction of information during an apparently normal and innocent conversation.” “it is a very low risk activity. It is hard for the target to recognize as an intelligence collection technique and easy to deny any intentional wrongdoing. It is just a pleasant conversation among colleagues or friends.” “it often works. Through elicitation, intelligence collectors may confirm or expand their knowledge of a sensitive program or may gain clearer insight into a person’s potential susceptibility to recruitment.” Elicitation (Secondo l’NSA) http://social-engineer.org/wiki/archives/Elicitation/Definition_of_Elicitation.htm Pretexting ● ● ● ● Creazione di una storia e di un personaggio credibili da utilizzare nell’attacco. Coerenza con livello e tipologia di accesso (o informazioni) richiesto. Più informazioni si sono raccolte in precedenza maggiore è la probabilità di successo. “The pretext is not just a lie, you need to become your pretext” Pretexting (2) ● ● ● ● “Sono il tecnico, il capo ha chiesto un intervento urgente, sembrava piuttosto irritato...” “Sono qui per un colloquio, purtroppo ho strappato il mio CV, me ne stamperebbe una copia da questa chiavetta per favore?” “La mia azienda vorrebbe aggiornare il sistema di sicurezza fisico, voi cosa usate? Come vi trovate?” “Sono un oligarca nigeriano, mi servirebbe aiuto a far uscire una somma importante dal paese...” Fasi attacco Information Gathering Preparazione Pretext Elicitation Impersonazione / Intrusione ( + attacco informatico ) Attacco Attacchi fisici ● ● Infiltrazione (tailgating, impersonazione) Shoulder surfing, sorveglianza (escalate and mantain access) ● Baiting (anche con infiltrazione parziale) ● Dumpster Diving ● Furto, sabotaggio? Attacchi informatici e telefonici ● Phishing (Spear Phishing, Whaling) ● Vishing, Phone Elicitation ● Smishing ● Watering Hole Conseguenze ● Furto identità ● Truffe bancarie ● Zombiefication ● Danni immagine Contromisure ● Informatiche / tecnologiche: → Spam filtering → Caller ID → [H|N]IDS/IPS, antivirus, SIEM → Data mining e NLP? What could possibly go wrong? What could possibly go wrong? (2) What could possibly go wrong?(3) Contromisure (2) ● Umane: → Security Awareness → Policy chiare e semplice ● Testing e Red Teaming ● Compartimentazione, Least Privilege principle ● Controllo informazioni condivise Fonti: - Social-Engineer.org - Framework: http://www.social-engineer.org/framework/general-discussion/ - Newsletter: http://www.social-engineer.org/category/newsletter/ - FBI: Common Fraud Schemes: https://www.fbi.gov/scams-safety/fraud - “Social Engineering: The Art of Human Hacking” - Chris Hadnagy - “Influence: The Psychology of Persuasion” - Robert B. Cialdini PhD - “Unauthorised Access: Physical Penetration Testing For IT Security Teams” - Wil Allsopp - “No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing” - Johnny Long Approfondimenti: - Rapport: - “It's Not All About "Me": The Top Ten Techniques for Building Quick Rapport with Anyone” - Robin Dreeke - “How to Make People Like You in 90 Seconds or Less” - Nicholas Boothman - Nonverbals: - “What Every BODY is Saying: An Ex-FBI Agent’s Guide to Speed-Reading People” - Joe Navarro - Phishing avanzato e difese: - “Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails ” Hadnagy, Fincher, Dreeke Social Engineering in generale: - “The art of Deception” - Kevin Mitnick - “Hacking the Human” - Ian Mann - The SEORG Book List - http://www.social-engineer.org/resources/seorg-book-list/ Video: - Social Engineering Awareness - Valerie Thomas - https://vimeo.com/108102906 - DEF CON 22 - Michele Fincher - https://youtu.be/A0_NL1YBvK4 - Dec0ding Humans Live - Chris Hadnagy - https://youtu.be/DoDWBe9atIo - What Happens When You Dare Expert Hackers To Hack You https://youtu.be/bjYhmX_OUQQ - Social Engineering: The Gentleman Thief – Hadnagy, Apollo Robbins https://youtu.be/1kkOKvPrdZ4 - SE Video Archive - http://www.social-engineer.org/resource-category/se-videos/