300 likes | 501 Views
Aplikovaná bezpečnosť – sociálny hacking a IT. „ Len dve veci sú nekonečné: vesmír a ľudská hlúposť. Aj keď tým prvým som si nie istý.“ Albert Einstein. Ing.Jaroslav Oster , Info consult,s.r.o ., info@infoconsult.sk. Netolerancia r asizmus, xenofóbia, diskriminácia, extrémizmus.
E N D
Aplikovaná bezpečnosť • – sociálny hacking a IT „ Len dve veci sú nekonečné: vesmír a ľudská hlúposť. Aj keď tým prvým som si nie istý.“ Albert Einstein Ing.JaroslavOster, Infoconsult,s.r.o., info@infoconsult.sk
Netolerancia rasizmus, xenofóbia, diskriminácia, extrémizmus Závislosti počítačové hry závislosti od internetu Kyberšikanovanie ohováranie vydieranie vyhrážanie zverejňovanie citlivých informácií bez súhlasu Nevhodný obsah detská pornografia obsah porušujúci autorské práva SOCIÁLNY HACKING Infiltrácie a nevyžiadaný obsah vírusy, mallware, trójske kone rootkity, červy,spyware, spam Zneužívanie osobných údajov podvrh identity zisťovanie údajov o majetkových pomeroch Internetové podvody hoax, phishing falošná inzercia manipulácie v rámci sociálnych sietí Internetové známosti cybergrooming
Sociálny hacking – sociálne inžinierstvo • Sociálne inžinierstvo • využitie manipulatívnych techník na útok voči informačnému systému cestou jeho najslabšieho článku – človeka • spôsob získavania informácií metódami manipulácie • Základný princíp použitia všetkých dostupných techník • kognitívne chyby úsudku „cognosere“ – poznávať, „cognitio“ –poznanie, poznatok, zoznámiť sa
Základný princíp Cieľ: Vyvolať u obete pocit/presvedčenie legitímnosti akcie a dosiahnuť ochotu pomôcť Vymyslený scenár: lož + overená pravda (získaná vopred) Častý scenár: Mystifikácia vydávanie sa za osobu s právomocami voči akcii (nadriadený, kooperujúci, súvisiaci...)
Sociálny hacking – sociálne inžinierstvo – manipulačné techniky • neistota napr.časový stres, netrpezlivosť • neznalosť • nesústredenosť • povrchnosť • manipulovateľnosť • dôvera v technické vymoženosti • anonymita pri komunikácií telefónom • dôverčivosť, láskavosť, ľútosť • ochota (snaha) pomáhať • obava z dôsledkov postoja, chovania alebo zodpovednosti • snaha vyhýbať sa konfliktným situáciám
rola: ............. navodenie situácie Modelové prípady obeť reakcia
Základom bol PRETEXTING Trashing Preosievanie firemného alebo domáceho odpadu Cieľ: dokumenty obsahujúce dôverné alebo podporné informácie Phishing Získavanie dôverných informácií cestou e-technológií Prostriedok: e-mail, instant messaging, WEB Cieľ: získanie citlivých údajov umožňujúcich zneužitie prevažne v bankovom styku Vishing Prostriedok: VoIP Cieľ: Vylákanie osobných a finačných informácií formou telefonickej komunikácie Pharming Princíp: zmena DNS alebo modifikáciou hosts súboru na lokálnom PC Cieľ: získanie dôverných údajov pre sytk s bankou
E-maily naše každodenné HOAX Reťazové e-maily Princíp: Reťazenie e-mailových správ prevažne zábavného charakteru (podávanie šťastia, technické návody, ....) Lotérie SCAM419 „Nigérijské dopisy“ najstaršia a extrémne úspešná forma Princíp: Prisľúbený podiel na zisku z podvodu na štátnych financiách, spravovanom majetku a pod...
Sociálny hacking – sociálne inžinierstvo • e-mailová komunikácia • phishing - lákanie hesiel • žiadosti o návratnú finančnú pomoc • ponuky na manželstvo • ponuky na spoluprácu pri veľkých finančných transakciách • kopírovanie vzhľadu WEB stránok (bánk) • osobná komunikácia
HOAX PIN kód Ak sa ocitnete v situacii a musite pod natlakom vybrat peniaze z bankoveho automatu na poziadanie/prinutenie nasilnika, zadajte svoje PIN opacne:to je od konca - ak mate napr. 1234 tak zadate 4321automat vam peniaze stale vyda, ale tiez privola policiu ktora vam pride na pomoc tato sprava bola pred nedavnom vysielana v TV pretoze malo ludi vyuzivalo tuto skutocnost pretoze o tom nevedelipreposlite co najviac ludom DEMENTOVANÉ Microsoft rozdáva peniaze Milí priateli, nepovazujte toto za hlúpy zart. Bill Gates teraz rozdáva svoj zárobok. Ak teraz na to neudete reagovat, neskorej to môzte olutovat. Windows este stále je najviac pouzívaný program.Microsoft a AOL experimentujú cez tento e-mail poslaný text. /email beta test/ Ak poslete tento mail priatelom, tak Microsoft vás bude stopovat 2 týzdne. Za kazdú osobu, ktorá tento mail posle, Microsoft platí 245 EUR. Za kazdú osobu, Komu ste poslali a kto tento mail poslal dalej, Microsoft platí 243 EUR, za tretiu osobu, ktorá obdrzí, dostane 241 EUR. Po 2 týzdnoch Microsoft Vám pole list, v ktorom bude prosit o potvrdenie Vasej postovej adresy a posle Vám sek. DEMENTOVANÉ
Phishing link na fiktívnu stránku + identifikácia sprístupnenie dát pre prístup poskytnutie údajov „hodnoverná“ požiadavka na poskytnutie údajov
Pharming falošný web server DNS server www.benka.xyz web server banky 5 4 2 3 1 www.banka.xyz
Vishing aplikácia simulujúca VoIP PIN, dátumy, číslo účtu, .... dožiadanie ďalších údajov číslo karty odpovedací systém s požiadavkou autentizácie voči účtu volanie na bezplatné číslo informácia o vzniku problému požiadavka o kontaktovanie za účelom riešenia
JEDNA Z TÉM SOCIÁLNE SIETE A ICH OBETE
2009: Anglicko – falošná identita Vydával sa za 16-ročného, získanie dôvery, vylákanie na stretnutie Zavraždená Ashleigh Hallová (†17) bola podľa mamy slniečkom, ktoré vyžarovalo pozitívnu energiu. (Foto: Daily Mail)
2008: USA,St.Louis – falošná identita • Lori Drew (50) • súdená • 2009 oslobodená pre nedostatok dôkazov falošná identita 16-ročný Josh Vyvrcholenie: „Svet by bol bez Teba lepší“ • Megan Meier (†13) • problémy v škole • výsmech spolužiakov • urážky • falošná dôvera vo „virtuálneho“ priateľa
2009: Anglicko – šikanovanie na FB 6 mesiacov trvajúce ohováranie, šikanovanie, deptanie prostredníctvom FB Holly Grogan (†15) z anglického vidieckeho mestečka Longlevens, Gloucester utrpela devastačné zranenia po tom, ako skočila z 10 metrov vysokého viaduktu v blízkosti svojho domu pod kolesá áut prechádzajúcich po štvorprúdovej diaľnici.
2012: ČR – falošná identita, fiktívna komunikácia, vydieranie • falošný dievčenský profil • získanie fotografií od obete (13 ročný chlapec) • vydieranie • sexuálne zneužívanie 4.4.2012 Okresný súd Ústí nad Labem uvalil väzbu "Vzali jsme do vazby dvě osoby stíhané kvůli pohlavnímu zneužívání a dětské pornografii. U obou to bylo kvůli tomu, aby neovlivňovali svědky a nepokračovali v trestné činnosti. U jednoho ze dvou mladíků podle něj navíc bylo důvodné podezření z toho, že by mohl utéct do zahraničí."
Nové formy podvodov na internete
Falošná inzercia zverejnenie inzerátu na inzertnom portáli objednávka doručenie balíka „na dobierku“ objednávka fiktívna alebo nepravá identita pokus o kontakt a vysvetlenie stavu
Práca z internet - agent prevodu peňazí vklad na účet „zamestnanca“ prevod na určený účet prostredníctvom Western Union výber z účtu prístupové údaje k bank. účtu pracovná ponuka + požiadavky reakcia + životopis inzerát na Agenta prevodu peňazí
Nákupy cez internet: e-shopy • Zákon 108/2000 o ochrane spotrebiteľa §12 ods. 1 • možnosť vrátenia tovaru/ zrušenia objednávky • 7 pracovných dní odo dňa doručenia/prevzatia • objednávku možno zrušiť bez udania dôvodu • 30 dní na vrátenie poplatku od predajcu vrátane poštovného • náklady na doručenie zásielky späť predávajúcemu znáša kupujúci • ... platí vždy, keď si tovar kupujete mimo obchodu – napríklad cez telefón, fax, internet alebo katalóg • CHYBY • používanie tovaru a následný pokus o vrátenie • snaha o vrátenie tovarov • poškodených pri rozbaľovaní, • nesprávnom uvedení do prevádzky • nesprávnej obsluhe, preťažení, ...