Comment ingénieurs sociale rechercher des informations pour les hacks

Une fois que les ingénieurs sociaux ont un objectif en tête, ils commencent généralement l'attaque par la collecte d'informations du public sur leur victime (s). Beaucoup d'ingénieurs sociaux acquérir des informations lentement dans le temps afin qu'ils ne soulèvent pas de soupçons. Informations évidentes rassemblement est un tip-off lors de la défense contre l'ingénierie sociale.

Indépendamment de la méthode de recherche initiale, le tout à un pirate pourrait avoir besoin de pénétrer une organisation est une liste des employés, quelques numéros de téléphone internes clés, les dernières nouvelles à partir d'un site de médias sociaux, ou un calendrier de l'entreprise.

Utilise Internet

A quelques minutes de recherche sur Google ou d'autres moteurs de recherche, utilisant des mots clés simples, tels que le nom de l'entreprise ou les noms de certains employés, produit souvent un grand nombre d'informations. Vous pouvez trouver plus d'informations dans le même dossier de la SEC à et à des sites tels que Hoover et Yahoo Finance. En utilisant cette information moteur de recherche et la navigation sur le site Web de la société, l'attaquant a souvent suffisamment d'informations pour lancer une attaque d'ingénierie sociale.

Les méchants peuvent payer quelques dollars pour une ligne complète vérification des antécédents sur les individus. Ces recherches peuvent tourner jusqu'à pratiquement tous les publics - et parfois privée - des informations sur une personne en quelques minutes.

Pêcheurs de poubelles

Dumpster diving est un peu plus risqué - et il est certainement en désordre. Mais, il est une méthode très efficace d'obtenir des informations. Cette méthode consiste à fouiller littéralement les poubelles pour obtenir des informations sur une entreprise.

Dumpster diving peut faire monter la informations les plus confidentielles, car de nombreux employés assument que leur information est sûr après il va à la poubelle. La plupart des gens ne pensent pas à la valeur potentielle du papier ils jettent. Ces documents contiennent souvent une mine d'informations qui peuvent alerter l'ingénieur social avec les informations nécessaires pour pénétrer l'organisation. L'ingénieur social astucieux cherche les documents imprimés suivants:

• Listes téléphoniques internes

• Organigrammes

• Guides de l'employé, qui contiennent souvent des politiques de sécurité

• Diagrammes de réseau

• 
  
  
  
  

  Mot de passe listes

• Notes de réunion

• Tableurs et des rapports

• Les impressions de courriels contenant des informations confidentielles

Déchiquetage de documents est efficace seulement si le papier est croix-râpé en petits morceaux de confettis. Déchiqueteuses peu coûteux qui déchiqueter les documents uniquement en longues bandes sont essentiellement sans valeur contre un ingénieur social déterminé. Avec un peu de temps et de bande, un ingénieur social peut reconstituer un document de retour ensemble si cela est ce qu'il est déterminé à le faire.

Les méchants cherchent aussi à la poubelle pour les CD-ROM et DVD, les boîtiers d'ordinateurs anciens (en particulier ceux avec des disques durs encore intactes), et des bandes de sauvegarde.

Systèmes téléphoniques

Les attaquants peuvent obtenir des informations en utilisant la fonction d'appel par le nom intégré à la plupart des systèmes de messagerie vocale. Pour accéder à cette fonctionnalité, vous habituellement juste appuyez sur 0 après avoir appelé le numéro principal de l'entreprise ou après vous entrez dans la boîte vocale de quelqu'un. Cette astuce fonctionne mieux après les heures de veiller à ne répond.

Les attaquants peuvent protéger leurs identités si elles peuvent se cacher où ils appellent à partir. Voici quelques façons ils peuvent se cacher leurs emplacements:

• Téléphones résidentiels peut parfois cacher leurs numéros de identification de l'appelant en composant le * 67 avant le numéro de téléphone.

  Cette fonctionnalité est pas efficace lors de l'appel des numéros sans frais (800, 888, 877, 866) ou 911.

• Les téléphones d'affaires dans un bureau à l'aide d'un commutateur de téléphone sont plus difficiles à falsifier. Cependant, tout l'attaquant a généralement besoin est le guide utilisateur et mot de passe administrateur pour le logiciel de commutateur téléphonique. Dans de nombreux interrupteurs, l'attaquant peut entrer le numéro de la source - y compris un certain nombre falsifiés, tels que le numéro de téléphone du domicile de la victime. Voice over Internet Protocol (VoIP) les systèmes téléphoniques sont toutefois en faire une non-question,.

• Serveurs VoIP comme le Asterisk open source peut être utilisé et configuré pour envoyer un nombre qu'ils veulent.

Phish e-mails

La dernière folie de piratage criminel est phishing - criminels envoi d'e-mails faux aux victimes potentielles dans une tentative de les amener à divulguer des informations sensibles ou cliquent sur des liens malveillants. Phishing a réellement été autour depuis des années, mais il a récemment acquis une plus grande visibilité donnée certains très médiatisés exploits contre les organisations apparemment impénétrables.

L'efficacité de Phishing est incroyable, et les conséquences sont souvent laid. Quelques e-mails bien placés sont tout ce qu'il faut pour les criminels de glaner des mots de passe, voler des informations sensibles, ou injecter des logiciels malveillants dans les ordinateurs ciblés.

Vous pouvez effectuer votre propre exercice de phishing. Une méthode rudimentaire est de mettre en place un compte e-mail bidon demandant des informations ou un lien vers un site malveillant, envoyer des e-mails à des employés ou d'autres utilisateurs que vous souhaitez tester, et de voir ce qui se passe. Il est vraiment aussi simple que cela.

Vous seriez surpris de voir à quel point sensibles vos utilisateurs sont vraiment ce truc. La plupart des tests de phishing ont un taux de réussite de 10-15 pour cent. Il peut être aussi élevée que 80 pour cent. Ces taux ne sont pas bon pour la sécurité ou pour les affaires!

Un moyen plus formels pour exécuter vos tests de phishing est d'utiliser un outil spécialement conçu pour l'emploi. Même si vous avez une bonne expérience avec les fournisseurs commerciaux, vous avez besoin de réfléchir longuement et sérieusement à abandonner des informations potentiellement sensibles qui pourraient être directement ou par inadvertance envoyé hors site, de ne jamais être contrôlée à nouveau.

Si vous allez dans cette voie, assurez-vous de bien comprendre ce qui est divulgué à ces tiers fournisseurs de phishing comme vous le feriez avec n'importe quel fournisseur de services de cloud computing. Confiance, mais vérifier.

Une alternative open source aux outils de phishing commerciales est le simple Phishing Toolkit, également connu sous le SPT. Mise en place d'un environnement de projet SPT est pas forcément simple, mais une fois que vous avez mis en place, il peut faire des choses étonnantes pour vos initiatives de phishing.

Vous avez pré-installé modèles de courrier électronique, la capacité de éraflure (copie de la page) vivent sites de sorte que vous pouvez personnaliser votre propre campagne, et diverses fonctionnalités de reporting de sorte que vous pouvez suivre ce qui e-mail les utilisateurs prennent l'appât et à défaut vos tests.

Les ingénieurs sociaux peuvent trouver des morceaux d'informations intéressantes, parfois, comme lorsque leurs victimes sont hors de la ville, juste en écoutant les messages vocaux. Ils peuvent même étudier les voix des victimes par l'écoute de leurs messages vocaux, des podcasts, webcasts ou afin qu'ils puissent apprendre à usurper l'identité de ces personnes.