Analysis and classification of chosen social engineering methods in cybersecurity

• Autorzy: Olchowik Monika

Identyfikatory

DOI

10.5604/01.3001.0016.2880

Warianty tytułu

PL

Analiza i klasyfikacja wybranych metod socjotechnicznych stosowanych w cyberbezpieczeństwie

• Języki publikacji: EN

Abstrakty

EN

Cyberthreat landscape is everchanging and dynamically evolving. Tools, techniques and software are getting more and more intricate. In contrast social engineering methods have been used in various attacks long before computers have been created, yet they are as useful as before, even in cyberspace. Social engineering attacks are quite often successfully used by conmen and hackers, and as such are a constant part of cyberthreat landscape. In order to detect and prevent the usage of aforementioned techniques greater understanding and systematisation of the process is need. In this paper a classification of chosen social engineering methods has been proposed. The classification is based on Kevin Mitnick’s Social Engineering Cycle. This classification allows for creation of attack patterns and could be used as a basis for a social engineering attack matrix. Moreover, the paper presents a collection of different methods used in each of the stages of the cycle, describes them and provides examples of their usage.

PL

Cyberbezpieczeństwo jest dziedziną dynamicznie się zmieniającą. Narzędzia, techniki, oprogramowanie są ciągle rozwijane i stają się coraz bardziej złożone. W przeciwieństwie do nich metody socjotechniczne używane były od wielu lat i nadal nie straciły na swojej aktualności, nawet gdy wykorzystywane są w cyberprzestrzeni. Ataki socjotechniczne są często przeprowadzane z suckcesem przez oszustów oraz hackerów. Niezmiennie pozostają one zagrożeniem. W celu wykrycia i przeciwdziałania takim technikom konieczne jest zrozumienie i usystematyzowanie procesu ich wykorzystania. Niniejszy artykuł proponuje klasyfikację wybranych metod socjotechnicznych opartą o Cykl Socjologiczny Kevina Mitnicka. Klasyfikacja pozwala na tworzenie wzorców ataku oraz może zostać użyta w celu stworzenia matrycy ataków socjotechnicznych. Niniejszy artykuł przedstawia również zbiór różnych metod socjotechnicznych używanych w każdym z etapów cyklu, opisuje je oraz przykłady ich zastosowania.

Słowa kluczowe

EN

social engineering; social engineering cycle; social engineering methods; social engineering methods classification

PL

socjotechnika; cykl socjotechniczny; metody socjotechniczne; klasyfikacja metod socjotechnicznych

• Wydawca: Instytut Teleinformatyki i Automatyki, Wydział Cybernetyki, Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego
• Czasopismo: Przegląd Teleinformatyczny
• Rocznik: 2021
• Tom: T. 9, Nr 1-4 (27)
• Strony: 17--29
• Opis fizyczny: Bibliogr. 19 poz., rys.

Twórcy

autor

Olchowik Monika

• Institute of Teleinformatics and Cybersecurity, Faculty of Cybernetics, MUT, ul. gen. Sylwestra Kaliskiego 2, 00-908 Warsaw, Poland

Bibliografia

• [1] Mann I., Hacking the Human: Social Engineering Techniques and Security Countermeasures. Aldershot: Gower, 2008.
• [2] Is cybersecurity about more than protection? EY Global Information Security Survey 2018-19. EYGM Limited, 2018.
• [3] How does security evolve from bolted on to built-in? Bridging the relationship gap to build a business aligned security program. EY Global Information Security Survey 2020. EYGM Limited, 2020.
• [4] Mitnick K. D., Simon W. L., The Art of Deception: Controlling the Human Elements of Security. Wiley Publishing, Indianapolis, 2002.
• [5] Mouton F., Malan M. M., Leenen L., Venter H. S., Social Engineering Attack Framework. In: Information Security for South Africa, Conference Paper, South Africa, Johannesburg, 2014.
• [6] OSINT Framework, 5.2.2020. [Online]. Available: https://osintframework.com/. [Accessed 16.4.2020].
• [7] Alexander M., Methods for Understanding and Reducing Social Engineering Attacks. The Sans Institute, 2016.
• [8] Hadnagy C., Social Engineering. The Science of Human Hacking. Wiley, Indianopolis, 2018.
• [9] Public Records Encyclopedia, ClusterMaps.com, [Online]. Available: https://clustrmaps.com/. [Accessed 16.4.2020].
• [10] Long J., No Tech Hacking. A Guide to Social Engineering., Dumpster Diving and Shoulder Surfing. Elsevier, Burlington, 2008.
• [11] Brower J., Which Disney© Princess are YOU? (Web 2.0) Social Engineering on Social Networks. The SANS Institute, 2010.
• [12] Manjak M., Social Engineering Your Employees to Information Security. SANS Institute, 2006.
• [13] Hadnagy C., Ekman P., Unmasking the Social Engineer: The human element of security. Wiley, Indianapolis, 2014.
• [14] Symantec Enterprise Blog, Symantec, 30 July 2019. [Online]. Available: https://symantec-blogs.broadcom.com/blogs/threat-intelligence/email-extortion-scams. [Accessed 16.04.2020].
• [15] Naked Security, Sophos. 17.12.2019. [Online]. Available: https://nakedsecurity.sophos.com/2019/12/17/dont-fall-for-this-porn-scam-even-if-your-passwords-in-the-subject/. [Accessed 17.4.2020].
• [16] Abrams L., Bleeping Computer, Bleeping Computer, 9.4.2020. [Online]. Available: https://www.bleepingcomputer.com/news/security/large-email-extortion-campaign-underway-dont-panic/. [Accessed 17.4.2020].
• [17] Hadnagy C., Social Engineering: The Art of Human Hacking, Wiley, Indianapolis, 2011.
• [18] Naked Security, Sophos. 19.3.2020. [Online]. Available: https://nakedsecurity.sophos.com/2020/03/19/dirty-little-secret-extortion-email-threatens-to-give-your-family-coronavirus/. [Accessed 17.4.2020].
• [19] Simon W. L., Mitnick K. D., The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers. Wiley, Indianapolis, 2005.

Uwagi

Opracowanie rekordu ze środków MEiN, umowa nr SONP/SP/546092/2022 w ramach programu "Społeczna odpowiedzialność nauki" - moduł: Popularyzacja nauki i promocja sportu (2022-2023).