Sari la conținut

Inginerie socială

De la Wikipedia, enciclopedia liberă
Alertă operations security⁠(d)

Social engineering (în traducere liberă, inginerie socială) este, în contextul securității informațiilor, manipularea psihologică a oamenilor pentru a efectua unele acțiuni sau a divulga informații confidențiale. Aceasta diferă de ingineria socială din cadrul științelor sociale, care nu cuprinde divulgarea de informații confidențiale. O formă de escrocherie cu scopul de a colecta informații, a frauda sau a accesa unele sisteme, ea diferă de escrocherie tradițională prin faptul că acesta este adesea unul din mulții pași dintr-o schemă de fraudă mai complexă.[1]

A fost definită și ca „orice acțiune care influențează o persoană să facă ceva care ar putea sau nu să fie în interesul lor.”[2]

Cultura securității informației

[modificare | modificare sursă]

Comportamentul angajaților poate avea un impact mare asupra securității informațiilor din cadrul unei organizații. Conceptele culturale pot ajuta diferitele segmente ale organizației să funcționeze în mod eficient sau pot lucra împotriva eficacității în raport cu securitatea informațiilor din cadrul organizației. „Exploring the Relationship between Organizational Culture and Information Security Culture” oferă următoarea definiție a culturii securității informației: „cultura securității informației este ansamblul modelelor de comportament dintr-o organizație care contribuie la protecția informațiilor de toate felurile”.[3]

Social engineering a fost folosită pe scară largă și de către Statul Islamic și alte grupări teroriste pentru recrutarea și radicalizarea⁠(d) tinerilor pentru a se ralia cauzei lor.

Andersson și Reimers (2014) au constatat că adesea angajații nu se consideră o parte a efortului organizației în ce privește securitatea informației, și că în unele acțiuni ale lor ignoră cele mai bune interese ale securității informației din organizație.[4]

  • Pre-evaluare: identificarea gradului de conștientizare a securității informației în rândul angajaților și analiza politicii de securitate actuale.
  • Planificarea strategică: pentru a ajunge la un program mai bun de conștientizare, este nevoie de obiective clare.
  • Planificarea operativă: se poate stabili o bună cultură a securității pe baza comunicării interne, gestionării preluărilor din exterior și programul de instruire și conștientizare a securității. [5]
  • Implementare: pentru implementarea culturii securității informaționale ar trebui folosite patru etape. Ele sunt angajamentul managementului, comunicarea cu membrii organizației, cursurile pentru toți membrii organizației și angajamentul angajaților. [5]

Tehnici și termeni

[modificare | modificare sursă]

Toate tehnicile de social engineering se bazează pe atribute specifice ale procesului de luare a deciziilor umane, cunoscut sub numele de prejudecată cognitivă⁠(d).[6] Aceste prejudecăți, uneori numite „bug-uri în hardware-ul uman”, sunt exploatate în diverse combinații pentru a crea tehnici de atac, dintre care unele sunt enumerate mai jos. Atacurile folosite în social engineering pot fi folosite pentru a fura informațiile confidențiale ale angajaților. Cel mai comun tip de inginerie socială se practică prin telefon. Alte exemple de atacuri de social engineering sunt infractori care se recomandă drept angajați ai firmelor de dezinsecție, pompieri și tehnicieni pentru a trece neobservați în timp ce fură secrete ale companiei.

Un exemplu de inginerie socială este o persoană care intră într-o clădire și face un anunț oficial la avizier, unde spune că s-a schimbat numărul biroului de help desk. Deci, atunci când angajații solicită ajutor, individul le cere parolele și codurile de identitate, obținând astfel posibilitatea de a accesa informațiile private ale companiei. Un alt exemplu de social engineering ar fi contactarea unei ținte pe un site de socializare și inițierea unei conversații. Treptat, hackerul câștigă încrederea țintei și apoi se folosește de ea pentru a avea acces la informații delicate, cum ar fi parola sau detaliile contului bancar.

Șase principii cheie

[modificare | modificare sursă]
  1. Reciprocitatea⁠(d) - Oamenii tind să returneze favorurile, de unde omniprezența eșantioanelor gratuite⁠(d) în marketing. În cadrul conferințelor sale, Robert Cialdini folosește adesea exemplul Etiopiei, care a oferit mii de dolari ajutor umanitar Mexicului imediat după cutremurul din 1985, în ciuda faptului că Etiopia suferea de o foamete îngrozitoare și de război civil la vremea respectivă. Etiopia răspundea astfel sprijinului diplomatic acordat de Mexic atunci când Italia a invadat Etiopia în 1935. Politica polițist bun / politist rău⁠(d) se bazează, de asemenea, pe acest principiu.
  2. Angajament și consecvență⁠(d) - dacă oamenii se angajează, oral sau în scris, la o idee sau un scop, aceștia sunt mult mai probabil să-și onoreze angajamentul, deoarece au declarat că acea idee sau obiectiv se potrivește imaginii lor de sine⁠(d). Chiar dacă motivația inițială este eliminată după ce s-a convenit, persoanele vor continua să onoreze acordul. Cialdini exemplifică cu spălarea creierului prizonierilor de război americani de către chinezi, prin care îi forța să-și rescrie imaginea de sine pentru a obține conformarea acestora automată și voluntară. Un alt exemplu îl reprezintă comercianții care pun pe butoanele de închidere a popupurilor lor de reclamă texte de genul „Mă înscriu mai târziu” sau „Nu mulțumesc, prefer să nu câștig bani”.
  3. Demonstrație socială - Oamenii vor face lucrurile pe care le văd la ceilalți. De exemplu, într-un experiment, una sau mai multe persoane care s-au înțeles între ele au început să se uite pe cer; trecătorii ar privi apoi și ei cerul pentru a vedea ce le scapă. La un moment dat, acest experiment a fost întrerupt, deoarece atât de mulți oameni priveau în sus încât se oprise traficul. Vezi conformitate și experimentele de conformitate Asch⁠(d) .
  4. Autoritate - oamenii vor tinde să se supună autorității, chiar dacă li se cere să facă acțiuni care contravin normelor de comportament sau de bun simț. Cialdini citează incidente precum experimentele Milgram de la începutul anilor 1960 și masacrul „My Lai”.
  5. Afinitate - oamenii sunt ușor de convins de alți oameni care le plac. Cialdini citează marketingul Tupperware⁠(d) în ceea ce se poate numi acum marketing viral. Oamenii aveau mai multe șanse să cumpere dacă le plăcea persoana care le vindea.
  6. Raritatea - percepția deficitului va genera cerere⁠(d). De exemplu, afirmația că oferta este disponibilă pentru un „timp limitat” încurajează vânzările.

Patru vectori de social engineering

[modificare | modificare sursă]

Vishing, denumit și „vishing⁠(d)”, este practica infracțională de folosire a social engineeringului prin telefon pentru a obține acces la informații private și financiare, în scopul obținerii de avantaje financiare. De asemenea, este folosit de atacatori pentru recunoaștere⁠(d) în scopul de a aduna mai detaliate informații privind o organizație-țintă.

Phishingul este o tehnică de obținere frauduloasă a informațiilor private. În mod tipic, phisherul trimite un e-mail care pare să provină de la o sursă legitimă — o bancă sau o companie de carduri de credit care solicită „verificarea” informațiilor avertizând asupra unor consecințe grave⁠(d) dacă nu sunt furnizate. E-mailul conține, de obicei, un link către o pagină web frauduloasă, care pare legitimă — cu logourile companiei și conținut asociat ei — și are un formular care solicită orice de la adresa de domiciliu până la codul PIN al cardului bancar⁠(d) sau numărul cardului de credit⁠(d). De exemplu, în 2003, a existat o înșelătorie de tip phishing în care utilizatorii au primit e-mailuri care pretindeau a fi de la eBay și care susțineau că contul utilizatorului era pe punctul de a fi suspendat dacă nu face click pe un link furnizat pentru a actualiza cardul de credit). Deoarece este relativ simplu să faci un site web asemănător site-ului unei organizații legitime, imitând codul HTML și logourile, înșelătoria conta pe faptul că va putea păcăli victimele că sunt contactate de eBay și că, ulterior, ajung pe site-ul eBay pentru a-și actualiza informațiile despre cont. Prin spamarea unor grupuri mari de persoane, „phisherul” se baza că, deși mulți oameni vor vedea prin această perdea de fum, vor fi exista și creduli care se vor conforma instrucțiunilor.

Smishing este utilizarea mesajelor SMS pentru a atrage victimele într-o astfel de acțiune. Ca și phishingul, acesta poate implica click pe un link malițios sau divulgarea de informații. Îndreptat împotriva utilizatorilor de smartphone-uri, mai limitate în interfața lor decât calculatoarele desktop sau notebook, mizează pe faptul că fraudele descrise mai sus vor trece mai ușor neobservate.

O altă acțiune asociată cu social engineeringul este aceea de a pretinde a fi o altă persoană cu scopul de a obține acces fizic la un sistem sau la o clădire.

Alte concepte

[modificare | modificare sursă]

Unii atacatori folosesc un scenariu inventat (pretextul⁠(d)) pentru a aborda o victimă vizată într-un mod care crește șansa victimei de a divulga informații sau a efectua acțiuni care ar fi improbabile în circumstanțe obișnuite.[7] O minciună complexă implică, cel mai adesea, o cercetare sau o pregătire anterioară și utilizarea acestor informații pentru a falsifica identitatea (de exemplu, data nașterii, codul numeric personal, valoarea ultimei facturi) pentru a stabili legitimitatea în mintea⁠(d) victimei.[8]

Această tehnică poate fi folosită pentru a păcăli o afacere spre a divulga informații despre clienți, precum și de către detectivii particulari pentru a obține liste de apeluri telefonice, liste de accese la utilități, tranzacții bancare și alte informații direct de la reprezentanții serviciului companiei.[9] Informația poate fi apoi utilizată pentru a stabili o legitimitate și mai mare în cadrul chestionării din partea unei persoane mai informate, cum ar fi un manager, pentru a face schimbări de conturi, a obține anumite solduri etc.

Pretextele pot fi folosite de atacatori pentru a pretinde că sunt colegi, poliția, banca, autoritățile fiscale, clerul, anchetatorii societăților de asigurări sau orice altă persoană care ar putea crea în mintea victimei vizate o percepție a autorității sau a dreptului de a ști. Pretextanții trebuie doar să pregătească răspunsuri la întrebările care ar putea fi adresate de victimă. În unele cazuri, tot ce este necesar este o voce care sună autoritar, pe un ton serios, și o abilitate de a gândi continuu pentru a crea un scenariu pretextual.

Phishingul telefonic (sau „vishing”) utilizează un sistem de răspuns vocal interactiv⁠(d) (IVR) pentru a recrea o copie legitimă a sistemului bancar sau a unei alte instituții. Victimei i se solicită (de obicei printr-un e-mail de tip phishing) să apeleze „banca” printr-un număr de telefon (în mod ideal gratuit) furnizat pentru a „verifica” informațiile. Un sistem tipic de „vishing” va respinge permanent autentificările, asigurându-se astfel că victima introduce PIN-uri sau parole de mai multe ori, dezvăluind adesea mai multe parole diferite. Sistemele mai avansate transferă victima atacatorului, care pretinde că este un agent de relații cu clienții sau un expert în probleme de securitate⁠(d) pentru a mai pune întrebări victimei.

Spear phishing

[modificare | modificare sursă]

Deși similar cu „phishingul”, spear phishingul este o tehnică prin care se obțin în mod fraudulos informații private prin trimiterea de e-mailuri foarte personalizate către câțiva utilizatori finali. Este principala diferență față de atacurile de tip phishing, deoarece campaniile de phishing se concentrează pe trimiterea de volume mari de e-mailuri generalizate, în speranța că numai câțiva oameni vor răspunde. Pe de altă parte, e-mailurile de spear phishing solicită atacatorului să efectueze cercetări suplimentare cu privire la obiectivele lor, pentru a „înșela” cu mai mare probabilitate utilizatorii finali pentru a efectua activitățile solicitate. Rata de succes a atacurilor de tip phishing este considerabil mai mare decât atacurile de tip phishing unde circa 3% din e-mailurile de phishing sunt citite; cele de spear phishing sunt citite în proporție de 70%. Mai mult, atunci când utilizatorii deschid e-mailurile de phishing, ele au o rată de succes relativ modestă, de 5%, de a se face click pe legătura sau atașamentul din interior, în comparație cu o rată de succes de 50% a spear phishingului.[10]

Succesul spear phishingului este însă foarte dependent de cantitatea și calitatea de open-source intelligence⁠(d) (Open Source Intelligence) pe care atacatorul o poate obține. Activitatea conturilor de social media este un exemplu de sursă de OSINT.

Water holingul este o strategie dirijată de social engineering care valorifică încrederea pe care utilizatorii o au în site-urile pe care le vizitează în mod regulat. Victima se simte în siguranță în a face lucruri pe care nu le-ar face într-o situație diferită. O persoană ar putea să evite, de exemplu, să facă intenționat click pe un link dintr-un e-mail nesolicitat, dar aceeași persoană nu va ezita să urmeze un link de pe un site pe care îl vizitează adesea. Deci atacatorul pregătește o capcană pentru țintă într-un așa numit „loc preferat de adăpare”. Această strategie a fost utilizată cu succes pentru a obține acces la unele sisteme (presupus) foarte sigure.[11]

Atacatorul poate să pornească cu identificarea unui grup sau a unor persoane care să fie vizate. Pregătirea implică colectarea de informații despre site-urile pe care aceștia le vizitează frecvent din sistemul securizat. Colectarea informațiilor confirmă faptul că obiectivele vizitează site-urile web și că sistemul permite astfel de vizite. Apoi, atacatorul testează aceste site-uri pentru vulnerabilități pentru a injecta coduri care ar putea infecta sistemul unui vizitator cu programe malware. Codul-capcană și malware-ul injectate pot fi adaptate la grupul țintă specific și la sistemele specifice pe care le utilizează. În timp, unul sau mai mulți membri ai grupului-țintă se vor infecta și atacatorul poate avea acces la sistemul securizat.

Baitingul este ca un cal troian în lumea reală care folosește mijloacele fizice și se bazează pe curiozitatea sau lăcomia victimei.[12] În acest atac⁠(d), atacatorii lasă dischete, CD-uri sau flash drive-uri USB în locații în care oamenii le pot găsi (băi, ascensoare, trotuare, locuri de parcare etc.) și le aplică etichete legitime și curioase, așteaptând apoi victimele.

De exemplu, un atacator poate crea un disc cu un logo corporativ disponibil pe site-ul web al firmei țintei, pe care poate să îl eticheteze „sumar salarial executiv Q2 2012”. Atacatorul abandonează apoi discul pe podeaua unui lift sau undeva în holul companiei-țintă. Un angajat necunoscut îl poate găsi și introduce discul într-un computer pentru a-și satisface curiozitatea; sau un bun samaritean îl poate găsi și îl poate returna companiei. În orice caz, doar introducerea discului într-un computer instalează programe malware, oferind atacatorilor accesul la PC-ul victimei și, poate, la rețeaua de computere interne a companiei țintă.

Cu excepția cazului în care sistemul calculatorului blochează infectarea, inserția compromite mediile cu „auto-rulare” ale PC-urilor. Se mai folosesc și dispozitive ostile.[13] De exemplu, unui „câștigător norocos” i se trimite un player audio digital⁠(d) gratuit, care compromite orice calculator la care este conectat. Un „road apple” (termenul colocvial pentru balegă⁠(d) de cal, sugerând natura nedorită a dispozitivului) este orice suport detașabil⁠(d) cu malware lăsat în locuri oportuniste sau vizibile. Poate fi un CD, DVD sau unitate flash USB, printre alte suporturi media. Oamenii curioși îl iau și îl conectează la un computer, infectând gazda și rețelele atașate. Hackerii îi pot da etichete atrăgătoare, cum ar fi „salariile angajaților” sau „confidențial”.[14]

Un studiu realizat în 2016 a implicat lăsarea a 297 de unități USB în jurul campusului Universității statului Illinois. Unitățile conțineau pe ele fișiere cu legături spre paginile web deținute de cercetători. Cercetătorii au reușit să vadă de pe câte au fost deschise fișier, dar nu și câte au fost inserate într-un computer fără a li se deschide vreun fișier. Dintre cele 297 de dispozitive care au fost abandonate, 290 (98%) au fost ridicate, iar 135 (45%) dintre acestea „au sunat acasă”.[15]

Quid pro quo înseamnă ceva pentru ceva:

  • Un atacator apelează numere aleatorii de la o companie, susținând că apelează de la asistența tehnică. În cele din urmă această persoană va da peste cineva cu o problemă legitimă, bucuros că cineva îi apelează înapoi să-l ajute. Atacatorul va „ajuta” la rezolvarea problemei și, în timpul procesului, va avea pune utilizatorul să execute comenzi care oferă atacatorului acces sau care lansează programe malware.
  • Într-un sondaj din 2003 privind securitatea informațiilor, 90% dintre angajații din birouri au dat cercetătorilor ceea ce ei spuneau că este parola⁠(d) lor ca răspuns la o întrebare în schimbul unui pix⁠(d) ieftin.[16] Sondaje similare în anii următori au obținut rezultate similare folosind ciocolată și alte atracții ieftine, deși nu au încercat și să valideze parolele.[17]

Un atacator care dorește să intre într-o zonă restricționată, asigurată de un control electronic al accesului⁠(d), nesupravegheat, de exemplu prin cartelă RFID, intră pur și simplu în spatele unei persoane care are acces legitim. În urma unei curtoazii comune, persoana legitimă va ține de obicei ușa deschisă pentru atacator sau atacatorii înșiși îi pot cere angajatului să-i țină deschis. Persoana legitimă nu poate cere identificarea din mai multe motive sau poate accepta o afirmație potrivit căreia atacatorul a uitat sau a pierdut tokenul de identitate corespunzător. De asemenea, atacatorul se poate preface că prezintă un simbol de identitate.

Escrocii obișnuiți ar putea fi, de asemenea, considerați „social engineers” în sens mai larg, prin faptul că ei înșeală în mod deliberat și manipulează oamenii, exploatând slăbiciunile umane pentru a obține beneficii personale. Ei pot, de exemplu, să utilizeze tehnici de inginerie socială ca parte a unei fraude IT.

Printre numeroasele motive de înșelăciune sunt:

  • Phishing de numere de carduri de credit și parolele acestora.
  • Spargerea e-mailurilor private și a istoriilor de discuții și manipularea acestora utilizând tehnici comune de editare înainte de a le folosi pentru a extrage bani și a crea neîncredere în rândul indivizilor.
  • Spargerea site-urilor web ale companiilor sau organizațiilor și distrugerea reputației acestora.
  • Farse cu viruși⁠(d)
  • Convingerea utilizatorilor de a rula cod malițios în browserul web prin intermediul atacului auto-XSS⁠(d) pentru a permite accesul la contul lor Web

Contramăsuri

[modificare | modificare sursă]

Organizațiile își reduc riscurile de securitate prin:

  • Instruirea angajaților în protocoalele de securitate relevante pentru poziția lor. (de exemplu, în situații precum tailgatingul, dacă identitatea unei persoane nu poate fi verificată, atunci angajații trebuie instruiți să refuze politicos. )
  • Stabilirea sistemelor de încredere la nivelul angajaților/personalului (adică specificarea și instruirea personalului atunci când/unde/ce/cum trebuie manipulate informațiile sensibile)
  • Identificarea informațiilor sensibile și evaluarea expunerii lor la social engineering și defecțiunile din sistemele de securitate (clădire, sistem informatic etc.)
  • Stabilirea de protocoale, politici și proceduri de securitate pentru manipularea informațiilor sensibile.

Efectuarea de teste periodice neanunțate de securitate

  • Efectuarea
  • Eveniment de testare Efectuarea testelor neanunțate, periodice ale cadrului de securitate.

Prevenirea ingineriei sociale și a altor trucuri sau capcane frauduloase prin instilarea unei rezistențe la încercările de persuasiune prin expunerea la încercări similare sau conexe.[18]

Revizuirea regulată a pașilor de mai sus: nu există soluții perfecte pentru integritatea informației. [19]

Folosirea unui serviciu de gestionare a deșeurilor, care are depozite de deșeuri cu lacăt, ale căror chei sunt limitate numai la compania de gestionare a deșeurilor și la personalul de întreținere. Localizarea depozitului de deșeuri fie la vederea angajaților, astfel încât încercarea de accesare să poată fi văzută sau prevenită, fie în spatele unei porți sau a unui gard închis unde persoana trebuie să pătrundă prin efracție înainte de a putea încerca să caute prin gunoi.[20]

Ingineri sociali notabili

[modificare | modificare sursă]

Kevin Mitnick

[modificare | modificare sursă]

Kevin Mitnick⁠(d) este un consultant american în domeniul securității informatice, autor și hacker, cel mai bine cunoscut pentru arestarea sa din 1995 și condamnarea ulterioară de cinci ani de închisoare pentru diverse infracțiuni legate de calculatoare și comunicații.[21] Acum conduce firma de securitate Mitnick Security Consulting, LLC, care ajută la testarea de securitate, a punctelor slabe și a potențialelor lacune ale companiilor. El este și Chief Hacking Officer al companiei de formare și conștientizare în domeniul securității KnowBe4, precum și un membru activ al consiliului consultativ la Zimperium⁠(d),[22] o firmă care dezvoltă un sistem de prevenire a intruziunilor mobile.[23]

Susan Headley

[modificare | modificare sursă]

Susan Headley⁠(d) a fost o hackeriță americană activă la sfârșitul anilor 1970 și începutul anilor 1980, respectată pentru experiența sa în ingineria socială, pretextare⁠(d) și subversiune psihologică⁠(d). [24] Ea era cunoscută pentru specialitatea ei de a sparge sistemele informatice militare, prin metode care adesea implicau relațiile sexuale cu personalul militar și umblatul prin hainele lor după nume de utilizator și parole în timp ce dormeau.[25] Ea a devenit foarte implicată în phreaking împreună cu Kevin Mitnick⁠(d) și Lewis de Payne în Los Angeles, dar mai târziu s-a certat cu ei și le-a înscenat ștergerea fișierelor de sistem de la US Leasing, ceea ce a condus la prima condamnare a lui Mitnick. Ulterior s-a apucat de jucat poker profesionist.[26]

Frații Badir

[modificare | modificare sursă]

Frații Ramy, Muzher și Shadde Badir, orbi din naștere, au reușit să pună la punct în Israel, în anii 1990, un program extins de fraudare prin telefon și calculator, folosind ingineria socială, impersonarea vocală și computerele cu afișaj Braille.[27]

În dreptul comun, pretextarea este o invazie a vieții private și o infracțiune de însușire.[28]

Pretextarea pentru obținerea de liste de apeluri telefonice

[modificare | modificare sursă]

În decembrie 2006, Congresul Statelor Unite a aprobat un proiect de lege depus de Senat, care face ca pretextarea listelor de apeluri telefonice să fie o infracțiune⁠(d) federală, sancționată cu amenzi penale de până la 250.000 de dolari și zece ani de închisoare pentru persoane fizice (sau amenzi penale de până la 500.000 dolari pentru companii). A fost promulgată de președintele George W. Bush la 12 ianuarie 2007.[29]

Legislație federală

[modificare | modificare sursă]

1999 „GLBA”⁠(d) este o lege federală americană care abordează anume pretextarea pentru obținerea de înregistrări bancare ca acțiune ilegal care se pedepsește conform legislației federale. Atunci când o entitate comercială, cum ar fi un detectiv particular sau un anchetator de asigurări efectuează orice tip de înșelăciune, acesta intră sub autoritatea Comisiei Federale de Comerț⁠(d) (FTC). Această agenție federală are obligația și autoritatea de a se asigura că consumatorii nu sunt supuși unor practici comerciale neloiale sau înșelătoare. Legea privind Comisia Comercială de Comerț a SUA, secțiunea 5 a FTCA prevede în parte: „ori de câte ori Comisia are motive să creadă că o astfel de persoană, parteneriat sau societate utilizează sau folosește orice metodă inechitabilă de concurență sau acțiune inechitabilă sau practică comercială înșelătoare, în cadrul comerțului sau afectând comerțul, și dacă va părea Comisiei că o procedură a sa ar fi în interesul publicului, ea va elibera și va depune unei astfel de persoane, parteneriat sau societate o reclamație care să-i enunțe acuzațiile în acest sens”.

Legea prevede că atunci când cineva obține informații personale, nepublice de la o instituție financiară sau de la un consumator, acțiunea aceasta este sub incidența legii. Se referă la relația consumatorului cu instituția financiară. De exemplu, este acoperit cazul când un pretextant care face afirmații false, fie pentru a obține o adresă a consumatorului de la banca lui, fie pentru a determina un consumator să dezvăluie numele băncii lui. Principiul determinant este că pretextarea apare numai atunci când informațiile sunt obținute prin afirmații false.

În timp ce vânzarea de liste de apeluri de telefonie mobilă a câștigat o atenție semnificativă din partea mass-media, iar înregistrările telecomunicațiilor se află în centrul celor două legi care în prezent se află pe ordinea de zi a Senatului Statelor Unite, multe alte tipuri de înregistrări private sunt cumpărate și vândute pe piața publică. Alături de multe reclame pentru înregistrări de telefonie mobilă, sunt publicate și înregistrările asociate cartelelor telefonice. Pe măsură ce indivizii se deplasează către telefoane VoIP, se poate ca și acele liste de apeluri să apară pentru vânzare. În prezent, este legal să se vândă liste de apeluri telefonice, dar ilegal să se cumpere. [30]

Legislația din România

În românia, ingineria socială ce implică o uzurpare de identitate în mediul online sau folosind mijloace de comunicare la distanță poate intra sub incidența infracțiunii de fals informatic, prevăzute la art. 325 Cod penal român. Înalta Curte de Casație și Justiție a statuat prin Decizia nr. 4/25.01.2021, referitoare la pronunțarea unei hotărâri prealabile pentru dezlegarea unei chestiuni de drept, în sensul că fapta de deschide și utiliza un cont pe o rețea de socializare deschisă publicului, folosind ca nume de utilizator numele unei alte persoane și introducând date personale reale care permit identificarea acesteia, întrunește două dintre cerințele esențiale ale infracțiunii de fals informatic prevăzute în art. 325 din Codul penal, respectiv cea ca acțiunea de introducere a datelor informatice să fie realizată fără drept și cea ca acțiunea de introducere a datelor informatice să aibă ca rezultat date necorespunzătoare adevărului. [31] Nu trebuie însă făcută confuzie între crearea unui profil (cont) fals pe o rețea de socializare, ce implică o formă de uzurpare de identitate, și crearea unui profil (cont) fictiv.[32] Având ca premisă Decizia obligatorie a Înaltei Curți de Casație și Justiție, ar putea intra sub incidența infracțiunii de fals informatic inclusiv conduite precum phone spoofing (caller ID spoofing) sau deepfaking.[33]

În cultura populară

[modificare | modificare sursă]
  • În show-ul de televiziune White Collar, Matt Bomer joacă un escroc inteligent și multi-talentat, care lucra ca informator pentru FBI.
  • În filmul Identity Thief, Melissa McCarthy joacă rolul unei escroace care folosește pretextarea pentru a obține numele, numărul cărții de credit și numărul de securitate socială al unui director de firmă (Jason Bateman), ceea ce i-a permis să-i fure identitatea și să comită fraudă cu cărți de credit.
  • În filmul „Hackers, protagonistul a folosit pretextarea atunci când a cerut unui paznic numărul de telefon de la modemul unui post de televiziune, pretinzând că este un important director al companiei.
  • În cartea lui Jeffrey Deaver „The Blue Nowhere”, ingineria socială pentru a obține informații confidențiale este una dintre metodele folosite de criminalul Phate, pentru a se apropia de victimele sale.
  • În filmul Live Free sau Die Hard⁠(d), Justin Long pretextează că tatăl său e pe moarte din cauza unui atac de cord pentru a determina un reprezentant al Asistent Star⁠(d) să înceapă furtul unei mașini⁠(d).
  • În filmul Sneakers⁠(d), unul dintre personaje pretinde că este superiorul unui paznic, pentru a-l convinge că o încălcare a securității este doar o alarmă falsă⁠(d).
  • În filmul The Thomas Crown Affair, unul dintre personaje sună și pretinde că este superiorul unui paznic al muzeului, pentru a-l determina pe paznic să-și părăsească postul.
  • În filmul cu James Bond, Diamonds Are Forever⁠(d) , Bond este obține intrarea în laboratorul Whyte care avea un sistem de acces cu carduri de ultimă generație prin „tailgating”. El doar așteaptă ca un angajat să vină să deschidă ușa, apoi se prezintă ca începător la laborator, se preface că introduce un card inexistent, în timp ce ușa este deblocată pentru el de către angajat.
  • În serialul de televiziune The Rockford Files⁠(d), personajul Jim Rockford a folosit pretextarea frecvent în activitatea sa de detectiv particular.
  • În serialul TV The Mentalist, protagonistul Patrick Jane folosește adesea pretextarea pentru a-i determina pe criminali să-și mărturisească crimele comise.
  • În serialul TV Spion pe cont propriu⁠(d), multe personaje sunt văzute folosind ingineria socială; în profilul psihologic al lui Michael Westen⁠(d) se afirmă că este foarte calificat în social engineering.
  • În emisiunea TV Psych, protagonistul Shawn Spencer⁠(d) folosește de multe ori pretextarea pentru a obține acces la locații în care altfel nu i-ar fi permis să intre fără acreditări de poliție.
  • În jocul Watch Dogs, protagonistul Aiden Pearce afirmă că a studiat ingineria socială atunci când a crescut într-un mediu interlop și folosește tactici de inginerie socială pentru a manipula alte personaje pe tot parcursul jocului pentru a obține informațiile pe care le dorește.
  • În serialul TV, Mr. Robot, Darlene răspândește unități flash USB (care conțin programe malware) în fața unei intrări într-o închisoare, momind un gardian curios să compromită rețeaua internă a închisorii atunci când conectează una dintre unități la stația de lucru a calculatorului.
  • În filmul Who Am I, personajele principale sunt văzute folosind diferite tehnici de inginerie socială.
  • În romanele franceze de Maxime Frantini [Journal d'un hacker, L'ombre et la lumière, La cavale, La détermination du fennec], eroul, hackerul Ylian Estevez, folosește în principal ingineria socială pentru atacurile sale.[34]
  • Filmul Mars Needs Women conține exemple de inginerie socială efectuate de extratereștrii care se implică și folosesc aceste tehnici pentru a-și atinge scopul: capturarea a cinci femei pământene în scopul reproducerii pentru a-și reinfuza raportul dintre femei și bărbați pe planeta lor.
  • În filmul Ocean's Eleven⁠(d), echipa folosește ingineria socială pentru a jefui un cazinou.
  • În filmul A.I. Rising, este folosită ingineria socială pentru a determina preferințele cosmonautului Milutin în legătură cu trăsăturile androidului Nimani care îl va însoți în misiunea sa spațială spre sistemul stelar Alpha Centauri.
  1. ^ Anderson, Ross J. (). Security engineering: a guide to building dependable distributed systems (ed. 2nd). Indianapolis, IN: Wiley. p. 1040. ISBN 978-0-470-06852-6. 
  2. ^ „Social Engineering Defined - Security Through Education”. Security Through Education (în engleză). Accesat în . 
  3. ^ Lim, Joo S., și colab. "Explorarea relației dintre cultura organizațională și cultura securității informațiilor". Conferința australiană privind securitatea informațiilor.
  4. ^ Anderson, D., Reimers, K. și Barretto, C. (martie 2014). Învățământul secundar de educație secundară de securitate: Rezultatele abordării provocării utilizatorului final.publicație data publicării 11 martie 2014 descrierea publicației INTED2014 (Conferința internațională privind tehnologia, educația și dezvoltarea)
  5. ^ a b Schlienger, Thomas; Teufel, Stephanie (). „Information security culture-from analysis to change”. South African Computer Journal. 31: 46–52. 
  6. ^ Jaco, K: "Manual de curs pentru CSEPS" (2004), unitatea 3, Jaco Security Publishing.
  7. ^ The story of HP pretexting scandal with discussion is available at Davani, Faraz (). „HP Pretexting Scandal by Faraz Davani”. Scribd. Accesat în . 
  8. ^ " Pretexting: Informațiile dvs. personale au fost dezvăluite ", Comisia Federală pentru Comerț⁠(d)
  9. ^ Fagone, Jason. „The Serial Swatter”. New York Times. Accesat în . 
  10. ^ „The Real Dangers of Spear-Phishing Attacks”. FireEye. . Accesat în . 
  11. ^ „Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack”. invincea.com. . Accesat în . 
  12. ^ „Social Engineering, the USB Way”. Light Reading Inc. . Arhivat din original la . Accesat în . 
  13. ^ „Archived copy” (PDF). Arhivat din original (PDF) la . Accesat în . 
  14. ^ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (). Principles of Computer Security, Fourth Edition (Official Comptia Guide). New York: McGraw-Hill Education. pp. 193–194. ISBN 978-0071835978. 
  15. ^ Raywood, Dan (). „#BHUSA Dropped USB Experiment Detailed”. info security. Accesat în . 
  16. ^ Leyden, John (). „Office workers give away passwords”. Theregister.co.uk. Accesat în . 
  17. ^ „Passwords revealed by sweet deal”. BBC News. . Accesat în . 
  18. ^ Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Prezentat la NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, New York, 3-4 iunie.
  19. ^ Mitnick, K. și Simon, W. (2005). "Arta intruziunii". Indianapolis, IN: Wiley Publishing.
  20. ^ Allsopp, William. Acces neautorizat: testarea fizică a penetrării pentru echipele de securitate. Hoboken, NJ: Wiley, 2009. 240-241.
  21. ^ (Press release).  Lipsește sau este vid: |title= (ajutor)
  22. ^ Darlene Storm (). „Interview: World's most famous hacker, Kevin Mitnick, on mobile security & Zimperium”. Computerworld. Arhivat din original la . 
  23. ^ Alex Williams. „Zimperium Raises $8M For Mobile Security That Turns The Tables On Attackers”. TechCrunch. AOL. 
  24. ^ „DEF CON III Archives - Susan Thunder Keynote”. DEF CON. Accesat în . 
  25. ^ „Archived copy”. Arhivat din original la . Accesat în . 
  26. ^ Hafner, Katie (august 1995). „Kevin Mitnick, unplugged”. Esquire. 124 (2): 80(9). 
  27. ^ „Wired 12.02: Three Blind Phreaks”. Wired.com. . Accesat în . 
  28. ^ Revederea 2d a delictelor § 652C.
  29. ^ „Congress outlaws pretexting”. 109th Congress (2005-2006) H.R.4709 - Telephone Records and Privacy Protection Act of 2006. 
  30. ^ Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. ISBN: 0-471-23712-4
  31. ^ „Decizia nr. 4/2021”. Înalta Curte de Casație și Justiție. Accesat în . 
  32. ^ George Zlati. „Punct de vedere referitor la problema conturilor „false" pe reţelele de socializare. Dezlegarea unei dezlegări de drept”. Penalmente Relevant. Accesat în . 
  33. ^ Zlati, George (). Tratat de criminalitate informatică, vol. 1. București: Editura Solomon. pp. 550–551. ISBN 978-606-8892-62-7. 
  34. ^ „Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle”. Accesat în .