Самое крутое с мировых ИБ-конференций. Интересные доклады, посвященные социальной инженерии - «Новости»

Содержание статьи

• Лженаука против кибербезопасников
• Грабитель банков и предприятий предлагает стратегии их защиты
• Подробно о компрометации корпоративной электронной почты
• Ихтиология: фишинг как наука

Masha Sedova. Surfing the Motivation Wave to Create Security Behavior Change // Enigma. 2018

На протяжении десятилетий корпоративные тренинги по инфобезопасности, направленные на повышение осведомленности, были призваны решить одну-единственную задачу: развить у персонала компетенции, необходимые для поддержания корпоративной кибербезопасности. Предполагалось, что сотрудники не знают, как правильно вести себя, и что при достаточном количестве тренингов они станут вести себя более безопасно.

Однако, как показала практика, чтобы обеспечить кибербезопасность, нужно в первую очередь решить другую, более насущную задачу: мотивировать сотрудников относиться к кибербезопасности внимательнее! Тому, как это сделать, и посвящен данный доклад.

Лженаука против кибербезопасников

Josiah Dykstra, PhD. She Blinded Me with Science: Understanding Misleading, Manipulative, and Deceptive Cybersecurity // LASER Workshop. 2017

Хорошо, когда повседневные задачи кибербезопасности решаются с опорой на научные изыскания, однако далеко не все из тех претензий на научность, которые мы слышим из новостей или от поставщиков-кибербезопасников, имеют под собой авторитетную основу. Людей, подыскивающих для себя решения и продукты безопасности, ежедневно вводят в заблуждение, манипулируют их мнением, обманывают — реальными и фиктивными исследованиями, громкими заявлениями и маркетинговыми уловками. Едва ли одна треть населения сможет адекватно объяснить, что значит «изучать что-то по-научному». Однако на научность претендуют все.

Докладчик рассматривает опасность заказных исследований, опросов и логических рассуждений, спонсируемых заинтересованными лицами. Рассказывает, как псевдоученые, занимающиеся «научными» исследованиями, налаживают контакт с практикующими кибербезопасниками, ослепляя их правдоподобными графиками и другими, с позволения сказать, научными выкладками. Маркетинговый успех всех этих псевдонаучных ухищрений объясняется тем, что человеческий ум несовершенен, склонен впадать в иллюзию, а наше восприятие может нас обманывать. Именно на этих уязвимостях нашего ума и паразитируют псевдоученые.

Как ограбить банк через телефон: личный опыт и демонстрационное аудио

Joshua Crumbaugh. How to Rob a Bank Over the Phone – Lessons Learned and Real Audio from an Actual Social Enfineering Engagement // Black Hat. 2017

Презентация наполовину состоит из демонстрации аудиозаписи реального акта социальной инженерии. В комментариях докладчик делится своим опытом. На этой аудиозаписи докладчик разговаривает по телефону с вице-президентом банка, и тот за время беседы предоставил полный доступ к своему компьютеру. Практикующие социальные инженеры, а также кибербезопасники, которые хотят узнать, как распознавать атаки социальной инженерии, извлекут из разговора много ценных уроков.