ソーシャルエンジニアリングは実際の脅威ですか

はい、すべてのシステムは最も弱いメンバーと同じくらい弱い、そしてつまり人間であり、常にそうです。

あなたは今これらの最も明白なテクニックのいくつかのために '免疫'かもしれませんが、それは 'IT部門'次の週末まで待てない上司のコンピューター上の重要な情報をすばやく検索します。重要でない質問をしたら、彼女はAcceptをクリックするだけです。もちろん彼女はそれをします...誰もが間違った状況でそれをします...

ソーシャルエンジニアリング（SE）は、攻撃者が持っている情報を悪用することだけでなく、（人間の）行動のパターンを悪用することについてもです。

これを説明するために、少し練習しましょう。Wordではなく、色を大声で言います。

ここで「エクスプロイト」を見ることができますか？この「エクスプロイト」の実際の状況での使用は非常に疑わしいですが、有効な情報があっても脳がどのように操作されるかを非常にはっきりと示しています（私たちは赤ちゃんのときに色を学びました）。

実際の例は次のようになります。秘書がUSBをマシンに挿入するとします。特にこれを禁止するポリシーがある場合は、彼女のところに行き、彼女にそうするよう丁寧に頼むことは拒否されるかもしれません。しかし、あなたはスーツを着て、シャツ/ズボンと紙にコーヒーをこぼしてから彼女に近づき、それらの紙を持って言った-「私は会議に遅刻しているので、ここに車で行っている間、猫は走り出した。私の車の前で、私はとても激しく壊れ始めました。猫は生き残ったが、私の書類は生き延びませんでした。これは奇妙な要求ですが、私のために印刷していただけませんか？私は本当に遅れています。本当に怒ってる！」

これは口実と呼ばれ、基本的にSErが演じる役割です。この口実で私たちは何をしていますか？私たちは感情を利用しています。これが上手くプレイされ、あなたの microexpressions が本物である場合、おそらく彼女はあなたが望むことをするでしょう。どうして？私たち人間はこういうふうになっているからです。はい、彼女は自分のPCに未知のデバイスを置くことは有害であるかもしれないことを知っているかもしれません。はい、彼女はそれについて教育を受けているかもしれませんが、真剣に考えてください、あなたは猫に当たらないようにしようとしました、あなたはあなたのコーヒーを飲まなかった、あなたはあなたのスーツを台無しにしました、あなたは会議に遅れました、あなたの上司はあなたに怒っています、そして今いくつかのポリシーは彼女にあなたに失礼であることを求めます。さあ...しかし、ここで重要なのは、彼女を正しい気分にさせることです-あなたを気の毒に思います。そのためには、あなたのマイクロエクスプレッションが彼女によって真（本物）であると解釈される必要があります。カードを正しくプレイした場合、色と同じ効果が得られます。彼女はそれをしてはいけないこと（言葉の色）であることを知っていますが、感情がそうでない（言葉の意味）と伝えています。

SErがターゲットを引っ張ることができるもう1つのトリックは、いわゆる パブロフの犬の実験 です。では、よだれを垂らしている犬はITSecとどのような関係があるのでしょうか。職場の物理的なセキュリティについて知りたいとしましょう。あなたはその情報を私と共有すべきではないことを知っています。また、仕事の後はいつも地元のパブでドリンクを飲みに来ることも知っています。ある日自己紹介をして、雑談を始めます。最初はそれはあなたのクールな車についてだけでした。それから私たちは女性の弁護士について、次に私たちの幹部について、去年の休暇についてなどについて話し始めました...総じて、話すことは珍しいことではありませんが、それは私生活からのものです。私たちが会ったとき、あなたが私が質問をするたびに私はタバコでテーブルを打つことに気づきました。最初はそれは迷惑な習慣であるかもしれませんが、それからあなたはそれを無視しました。数日/数週間あなたが私の周りに居心地がよくなり始めた後、私はあなたの仕事と仕事の環境について尋ね始めました。そして少しずつ、あなたはあなたの会社の物理的なセキュリティについて私が知りたいことを教えてくれました。

だから私はここで何をしましたか？私はあなたと気軽に話をすることで、タバコを吸うたびに答えが出るようにあなたの脳を訓練しました。これは洗脳ではありませんが、そうするだけであなたの最も暗い秘密を教えてくれませんが、これを想像してみてください-タマネギの1つの層をはがしてください。第2層は、あなたと過ごす時間を過ごすことで私が得た信頼でした。などなど...私はあなたを操作しましたが、この簡単なトリックは私があなたにデリケートな質問をしたときに赤信号を立てないようにするのに役立ちました。繰り返しますが、それはあなたが持っている情報（見知らぬ人にそれを言わないでください）ではなく、あなたの行動と外の世界への反応に関するものでした。

ここで私が言おうとしていることは、あなたが何を知っていても、正しい状況に置かれていれば、あなたから求められていることをするでしょう。どうして？それは私たちの遺伝学にあるからです。

1つまたは2つの「IT部門外」の例を示すだけで、巧妙なSErに攻撃された場合、ターゲットが持つ情報/知識はどのように無意味になる可能性があります。法廷では、証拠は純粋に冷酷な事実ですが、優れた弁護士は、クライアントがどんなに悪い立場であっても、SEを使用してそれらの事実を有利に変えることができます。

あなたが車を買う前に、あなたは行って、あなたにとってどれがあなたにとって最良であるかをあなた自身に知らせるでしょう。店に到着して購入すると、販売者はSEを使用して、より高価な車を購入する必要があることを確信させることができます。

また、 このビデオをチェック 。彼はそれをどのように行いましたか？普通に行動するだけで。これ以上何もない。

これは、目標が内部情報である場合に最もよく使用される標的型攻撃の1つです。長年ソーシャルエンジニアリング攻撃チームと協力して、サーバールームと安全な領域にアクセスし、機密書類を受け取り、機密システムにアカウントを与えてきました。 。

人々は、一般的に、親切で無知です。これは厳しいように聞こえますが、全体として、人々は苦痛を感じている人を助けようとします。また、システムや手順について詳しく知っている人に直面すると、多くの人が求められていることを実行します。

your組織のセキュリティを改善するための比較的安価な方法-毎年の意識向上トレーニング。費用対効果という点では、ITセキュリティに費やすよりも効果的です。

ソーシャルエンジニアリングは依然として非常に弱いリンクです。人々は一般的に信頼しており、時にはパスワードのリセットなどの低レベルのテクニカルサポートの問題を解決する人々は、特にセキュリティを意識していない安価で十分に訓練されていない労働者です。

さらに、情報セキュリティは、システム/ポリシーが設計されているときの顧客満足度と同じくらい優先度が高いとは限らず、ソーシャルエンジニアリングの弱点に役立っています。

ソーシャルエンジニア=信頼Trixter。詐欺師は、Xがデータ、武器、特許、企業秘密、パスワードなどと同等である場合に、あらゆる安全な（X）保護方法に違反することに完全に成功しています。

人を統治するのは時間と同じくらい古く、人の心が新しいテクノロジーを学び、他の人がテクノロジーとやり取りするのが苦手なのと同じくらい柔軟です。

これは冗談（Managing CVE-0）、 ですが、攻撃を標的にする最良の方法は、会社を知り、技術にあまり精通していない会社の副社長を見つけて、会社の扉を開くことです。

そこにあるすべてのyour-account-has-been-suspendedフィッシングスパムを見てください。それがうまくいかない場合、彼らはそれを送っていないでしょう。それはソーシャルエンジニアリング攻撃です。

元の返信を書いてから、別のケースに遭遇しました。上司から部下への偽造メールで、購入した絵の支払いとして6桁の金額を特定の銀行口座に支払うように指示しました。このスピアフィッシュを試した人は彼のターゲットを十分に理解していませんでした。