social engineering
play

Social Engineering and Physical Security Spring 2015 - PowerPoint PPT Presentation

Jan 20, 2023 •290 likes •425 views

CSE 484 / CSE M 584: Computer Security and Privacy Social Engineering and Physical Security Spring 2015 Franziska (Franzi) Roesner

  1. CSE ¡484 ¡/ ¡CSE ¡M ¡584: ¡ ¡Computer ¡Security ¡and ¡Privacy ¡ ¡ Social ¡Engineering ¡ ¡ and ¡Physical ¡Security ¡ Spring ¡2015 ¡ ¡ Franziska ¡(Franzi) ¡Roesner ¡ ¡ franzi@cs.washington.edu ¡ Thanks ¡to ¡Dan ¡Boneh, ¡Dieter ¡Gollmann, ¡Dan ¡Halperin, ¡Yoshi ¡Kohno, ¡John ¡Manferdelli, ¡John ¡ Mitchell, ¡Vitaly ¡Shmatikov, ¡Bennet ¡Yee, ¡and ¡many ¡others ¡for ¡sample ¡slides ¡and ¡materials ¡... ¡

  2. Social ¡Engineering ¡ • Art ¡or ¡science ¡of ¡skillfully ¡maneuvering ¡human ¡ beings ¡to ¡take ¡action ¡in ¡some ¡aspect ¡of ¡their ¡lives ¡ – From ¡“Social ¡Engineering: ¡The ¡Art ¡of ¡Human ¡Hacking” ¡by ¡Christopher ¡ Hadnagy ¡ – (Also ¡see: ¡“The ¡Art ¡of ¡Deception: ¡Controlling ¡the ¡Human ¡Element ¡of ¡ Security” ¡by ¡Kevin ¡Mitnick ¡and ¡William ¡Simon) ¡ • Used ¡by ¡ - Scam ¡artists ¡ – Hackers ¡ - Executive ¡recruiters ¡ – Penetration ¡testers ¡ - Salespeople ¡ – Spies ¡ - Governments ¡ – Identity ¡thieves ¡ - Doctors, ¡psychologists, ¡and ¡lawyers ¡ – Disgruntled ¡employees ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 2 ¡

  3. Information ¡Gathering ¡ • “No ¡information ¡is ¡irrelevant” ¡ • Example: ¡ ¡ ¡ – Know ¡that ¡company ¡executive ¡collects ¡stamps ¡(see ¡ forum ¡post ¡related ¡to ¡stamp ¡collecting) ¡ – Call ¡executive, ¡mention ¡recently ¡inherited ¡a ¡stamp ¡ collection ¡ – Send ¡follow-­‑up ¡email, ¡with ¡a ¡link ¡(behind ¡which ¡is ¡ malware) ¡ – Information ¡used: ¡email ¡address, ¡phone ¡number, ¡ information ¡about ¡interest ¡in ¡stamps ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 3 ¡

  4. Information ¡to ¡Collect ¡ • About ¡a ¡company ¡ – The ¡company ¡itself ¡ – Procedures ¡within ¡the ¡company ¡(e.g., ¡procedures ¡ for ¡breaks) ¡ • About ¡individuals ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 4 ¡

  5. Elicitation ¡ • To ¡bring ¡or ¡draw ¡out, ¡or ¡to ¡arrive ¡at ¡a ¡conclusion ¡by ¡ logic. ¡ ¡Alternately, ¡it ¡is ¡defined ¡as ¡a ¡stimulation ¡that ¡ calls ¡up ¡a ¡particular ¡class ¡of ¡behaviors ¡ – Being ¡able ¡to ¡use ¡elicitation ¡means ¡you ¡can ¡fashion ¡ questions ¡that ¡draw ¡people ¡out ¡and ¡stimulate ¡them ¡to ¡ take ¡a ¡path ¡of ¡behavior ¡you ¡want. ¡ – (From ¡“Social ¡Engineering: ¡The ¡Art ¡of ¡Human ¡Hacking” ¡ by ¡Christopher ¡Hadnagy) ¡ • NSA ¡definition: ¡ ¡“the ¡subtle ¡extraction ¡of ¡ information ¡during ¡an ¡apparently ¡normal ¡and ¡ innocent ¡conversation.” ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 5 ¡

  6. Why ¡Elicitation ¡Works ¡ • Most ¡people ¡have ¡the ¡desire ¡to ¡be ¡polite, ¡especially ¡ to ¡strangers. ¡ • Professionals ¡want ¡to ¡appear ¡well ¡informed ¡and ¡ intelligent. ¡ • If ¡people ¡are ¡praised, ¡they ¡will ¡often ¡talk ¡more ¡and ¡ divulge ¡more. ¡ • Most ¡people ¡would ¡not ¡lie ¡for ¡the ¡sake ¡of ¡lying. ¡ • Most ¡people ¡respond ¡kindly ¡to ¡people ¡who ¡appear ¡ concerned ¡about ¡them. ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 6 ¡

  7. Example ¡ • Them: ¡ ¡I’m ¡the ¡CEO... ¡ • You: ¡ ¡Wow, ¡you’re ¡the ¡person ¡with ¡the ¡big ¡bucks... ¡ ¡What ¡do ¡you ¡do? ¡ • Them: ¡ ¡We ¡make ¡X, ¡Y ¡and ¡.. ¡ • You: ¡ ¡Oh, ¡you’re ¡the ¡company ¡that ¡makes ¡Z. ¡ ¡I ¡*love* ¡Z! ¡ ¡I ¡read ¡ ¡ ¡ ¡ ¡ ¡ ¡ that ¡it ¡reached ¡record ¡sales. ¡ • Them: ¡ ¡Yeah, ¡did ¡you ¡know ¡... ¡ ¡ • You: ¡You ¡know, ¡this ¡is ¡an ¡odd ¡question, ¡but ¡my ¡boss ¡asked ¡me ¡to ¡ look ¡into ¡new ¡RFID ¡security ¡systems ¡for ¡our ¡doors. ¡ ¡I ¡suspect ¡you ¡ might ¡know ¡something ¡about ¡that, ¡given ¡your ¡position… ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 7 ¡

  8. Strategies ¡ • Appeal ¡to ¡Someone’s ¡Ego ¡ • Express ¡a ¡Mutual ¡Interest ¡ • Make ¡a ¡Deliberately ¡False ¡Statement ¡ • Volunteer ¡Information ¡ • Assume ¡Knowledge ¡ • Use ¡the ¡Effect ¡of ¡Alcohol ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 8 ¡

  9. Pretexting ¡ • The ¡background ¡story, ¡dress, ¡grooming, ¡ personality, ¡and ¡attitude ¡that ¡make ¡up ¡the ¡ character ¡you ¡will ¡be. ¡ ¡Everything ¡you ¡would ¡ imagine ¡that ¡person ¡to ¡be. ¡ – Another ¡definition: ¡creating ¡an ¡invented ¡scenario ¡to ¡ persuade ¡a ¡targeted ¡victim ¡to ¡release ¡information ¡or ¡ perform ¡some ¡action. ¡ – (From ¡“Social ¡Engineering: ¡The ¡Art ¡of ¡Human ¡ Hacking” ¡by ¡Christopher ¡Hadnagy) ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 9 ¡

  10. Principles ¡and ¡Planning ¡ • The ¡more ¡research ¡you ¡do, ¡the ¡better ¡chance ¡of ¡success. ¡ • Involving ¡your ¡own ¡personal ¡interests ¡will ¡increase ¡success. ¡ • Practice ¡dialects ¡or ¡expressions. ¡ • Phone ¡can ¡be ¡easier ¡than ¡in ¡person. ¡ • The ¡simpler ¡the ¡pretext, ¡the ¡better ¡the ¡chance ¡of ¡success. ¡ • The ¡pretext ¡should ¡appear ¡spontaneous. ¡ • Provide ¡a ¡logical ¡conclusion ¡or ¡follow-­‑through ¡for ¡the ¡ target. ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 10 ¡

  11. 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 11 ¡

  12. Now: ¡Physical ¡Security ¡ • Relate ¡physical ¡security ¡to ¡computer ¡security ¡ – Locks, ¡safes, ¡etc ¡ • Why? ¡ – More ¡similar ¡than ¡you ¡might ¡think!! ¡ – Lots ¡to ¡learn: ¡ • Computer ¡security ¡issues ¡are ¡often ¡abstract; ¡hard ¡to ¡relate ¡to ¡ • But ¡physical ¡security ¡issues ¡are ¡often ¡easier ¡to ¡understand ¡ – Hypothesis: ¡ • Thinking ¡about ¡the ¡“physical ¡world” ¡in ¡new ¡(security) ¡ways ¡will ¡ help ¡you ¡further ¡develop ¡the ¡“security ¡mindset” ¡ • You ¡can ¡then ¡apply ¡this ¡mindset ¡to ¡computer ¡systems, ¡... ¡ – Plus, ¡communities ¡can ¡learn ¡from ¡each ¡other ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 12 ¡

  13. Lockpicking ¡ • The ¡following ¡slides ¡will ¡not ¡be ¡online. ¡ • But ¡if ¡you’re ¡interested ¡in ¡the ¡subject, ¡we ¡recommend: ¡ – Blaze, ¡“Cryptology ¡and ¡Physical ¡Security: ¡ ¡Rights ¡Amplification ¡in ¡ Master-­‑Keyed ¡Mechanical ¡Locks” ¡ – Blaze, ¡“Safecracking ¡for ¡the ¡Computer ¡Scientist” ¡ – Tool, ¡“Guide ¡to ¡Lock ¡Picking” ¡ – Tobias, ¡“Opening ¡Locks ¡by ¡Bumping ¡in ¡Five ¡Seconds ¡or ¡Less” ¡ • Careful: ¡possessing ¡lock ¡picks ¡is ¡legal ¡in ¡Washington ¡State, ¡ but ¡not ¡everywhere! ¡ 6/3/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 13 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

SOCIAL ENGINEERING Jake Johnson Sixto Bernal AGENDA What is social engineering? Current events

SOCIAL ENGINEERING Jake Johnson Sixto Bernal AGENDA What is social engineering? Current events

SOCIAL ENGINEERING Jake Johnson Sixto Bernal AGENDA What is social engineering? Current events Social engineering risks Mitigation Strategies Q&A WHAT IS SOCIAL ENGINEERING? The Art of Deception, Kevin Mitnick: "Social

449 views • 19 slides
Social Engineering UDLS September 11, 2015 Neil Newman Social engineering is a non-

Social Engineering UDLS September 11, 2015 Neil Newman Social engineering is a non-

Social Engineering UDLS September 11, 2015 Neil Newman Social engineering is a non- technical method of intrusion hackers use that relies heavily on human interaction and often involves tricking people into breaking normal security

340 views • 16 slides
AGENDA Introduction and Bio What is Social Engineering? A T alk about Sales? What the

AGENDA Introduction and Bio What is Social Engineering? A T alk about Sales? What the

AGENDA Introduction and Bio What is Social Engineering? A T alk about Sales? What the Hell, you said Social Engineering?!? Profile? Process? Why not both! Defences against Social Engineering The Mystery Security T est

737 views • 50 slides
StealthWare Social Engineering Malware Running malware for Social Engineering and Covert

StealthWare Social Engineering Malware Running malware for Social Engineering and Covert

StealthWare Social Engineering Malware Running malware for Social Engineering and Covert Operations By: Joey Dreijer StealthWare Social Engineering Malware Social Engineering and Covert Operations Introduction Research Security

403 views • 21 slides
The Devil is in the details Social Engineering by means of Social Media B Y D A A N W A G E N A

The Devil is in the details Social Engineering by means of Social Media B Y D A A N W A G E N A

The Devil is in the details Social Engineering by means of Social Media B Y D A A N W A G E N A A R Y A N N I C K S C H E E L E N Introduction Online Social Networks LinkedIn (service data, disclosed data) Facebook

541 views • 51 slides
ECE590 Computer and Information Security Fall 2018 Human Factors and Social Engineering Tyler

ECE590 Computer and Information Security Fall 2018 Human Factors and Social Engineering Tyler

ECE590 Computer and Information Security Fall 2018 Human Factors and Social Engineering Tyler Bletsch Duke University Definition What is non-social engineering? Manipulating objects to achieve an end What is social engineering?

656 views • 19 slides
Computer and Information Security Fall 2020 Human Factors and Social Engineering Tyler Bletsch

Computer and Information Security Fall 2020 Human Factors and Social Engineering Tyler Bletsch

ECE590 Computer and Information Security Fall 2020 Human Factors and Social Engineering Tyler Bletsch Duke University Definition What is non-social engineering? Manipulating objects to achieve an end What is social engineering?

627 views • 21 slides
Computer and Information Security Fall 2019 Human Factors and Social Engineering Tyler Bletsch

Computer and Information Security Fall 2019 Human Factors and Social Engineering Tyler Bletsch

ECE590 Computer and Information Security Fall 2019 Human Factors and Social Engineering Tyler Bletsch Duke University Definition What is non-social engineering? Manipulating objects to achieve an end What is social engineering?

417 views • 19 slides
Social Engineering Fundamentals Exploiting the Human Bugs Anthony C. Zboralski

Social Engineering Fundamentals Exploiting the Human Bugs Anthony C. Zboralski

Social Engineering Fundamentals Exploiting the Human Bugs Anthony C. Zboralski <z@bellua.com> Social Engineering ... the social engineer is able to take advantage of people to obtain information with or without the use of

653 views • 18 slides
What is Social n Information Engineering? n Access to computer system n Revenge 2/15/12

What is Social n Information Engineering? n Access to computer system n Revenge 2/15/12

Thompson Consulting Group, LLC Disclaimer WWW.TgroupOnline.Com This course provides a basic overview of Social Engineering, and is not legal advice. There is no warranty, expressed or implied, in connection with making this program

340 views • 6 slides
Is a social network users behavior unique? 2 1 8/9/14 Has social data made

Is a social network users behavior unique? 2 1 8/9/14 Has social data made

8/9/14 Social Fingerprinting: Identifying Users of Social Networks by their Data Footprint The University of Tennessee Electrical Engineering and Computer Science Dissertation Defense Denise Koessler Gosnell Is a social network

458 views • 31 slides
Cyber Security: Social Engineering Mid-America Technology Alliance Wednesday June 18th, 2015

Cyber Security: Social Engineering Mid-America Technology Alliance Wednesday June 18th, 2015

Cyber Security: Social Engineering Mid-America Technology Alliance Wednesday June 18th, 2015 What is Social Engineering? Social engineering, in the context of information security, is the art of manipulating people so they give up

320 views • 10 slides
The iCloud Hack CMSC 334 Prof Szajda 1 Social Engineering Many of the slide here deal with

The iCloud Hack CMSC 334 Prof Szajda 1 Social Engineering Many of the slide here deal with

The iCloud Hack CMSC 334 Prof Szajda 1 Social Engineering Many of the slide here deal with Social Engineering. Thanks for those slides go to: The late Dr. Yosef Sherif, unknown colleague at UW-Madison, Mathew Sullivan at Iowa State, Tanya

1.25k views • 86 slides
Social Threats and the New Challenges for Requirements Engineering Fabiano Dalpiaz University

Social Threats and the New Challenges for Requirements Engineering Fabiano Dalpiaz University

Social Threats and the New Challenges for Requirements Engineering Fabiano Dalpiaz University of Trento, Italy RESC workshop August 29th, 2011 Outline Social computing: a viewpoint The new wave of social threats New challenges

348 views • 17 slides
Reverse Social Engineering Attacks in Online Social Networks Danesh Irani, Marco Balduzzi Davide

Reverse Social Engineering Attacks in Online Social Networks Danesh Irani, Marco Balduzzi Davide

Reverse Social Engineering Attacks in Online Social Networks Danesh Irani, Marco Balduzzi Davide Balzarotti, Engin Kirda, Calton Pu Motivations Social Networks have experienced a huge surge in popularity Facebook has more than 500

336 views • 20 slides
Honeybot Your Man in the Middle for Automated Social Engineering Institute Eurecom Tobias

Honeybot Your Man in the Middle for Automated Social Engineering Institute Eurecom Tobias

Honeybot Your Man in the Middle for Automated Social Engineering Institute Eurecom Tobias Lauinger Davide Balzarotti Veikko Pankakoski Engin Kirda Automated Social Engineering iSecLab Institute Eurecom Spambot sending spam

633 views • 12 slides
Prt s trrrs

Prt s trrrs

Prt s trrrs Prt ss rts

582 views • 41 slides
Polar Bear Expedition Digital Collections Elizabeth Yakel Associate Professor School of

Polar Bear Expedition Digital Collections Elizabeth Yakel Associate Professor School of

Polar Bear Expedition Digital Collections Elizabeth Yakel Associate Professor School of Information SCHOOL OF INFORMATION UNIVERSITY OF MICHIGAN SCHOOL OF INFORMATION UNIVERSITY OF MICHIGAN Our Team SI doctoral student Bentley

565 views • 31 slides
tr s tr

tr s tr

trt t ts Prt s sr t Prr r t

1.24k views • 101 slides
Social Media Personality Types A view from Social Interaction Design by Adrian Chan

Social Media Personality Types A view from Social Interaction Design by Adrian Chan

Social Media Personality Types A view from Social Interaction Design by Adrian Chan www.gravity7.com Part I Introduction to the Concepts Overview This presentation belongs to social interaction design, and offers a design approach to

1k views • 40 slides
Cyber Fraud Trends - Authentication Ralph Thomas - iDefense Malcode Intelligence

Cyber Fraud Trends - Authentication Ralph Thomas - iDefense Malcode Intelligence

20 th Annual FIRST Conference Cyber Fraud Trends - Authentication Ralph Thomas - iDefense Malcode Intelligence rthomas@idefense.com, +1.571.723.1978 June, 2008 Cyber Fraud Disruptors Anti-virus Windows Vista Firewall Stopped

321 views • 16 slides
Eradicating Women-Hurting Customs: What Role for Social Engineering? Jean-Philippe Platteau and

Eradicating Women-Hurting Customs: What Role for Social Engineering? Jean-Philippe Platteau and

Eradicating Women-Hurting Customs: What Role for Social Engineering? Jean-Philippe Platteau and Giulia Camilotti Center for Research in Economic Development (CRED) University of Namur, Belgium WIDER Conference 30 Years of Research for

484 views • 11 slides
Creating Space for Sociotechnical Thinking in Engineering Education Facilitators: Kathryn

Creating Space for Sociotechnical Thinking in Engineering Education Facilitators: Kathryn

Creating Space for Sociotechnical Thinking in Engineering Education Facilitators: Kathryn Johnson, Colorado School of Mines Barbara Moskal, Texas Tech University October 21-23, 2019 1 2019 NSF EEC Grantees Conference 1. Introduction October

599 views • 47 slides
MySocials: Client for Social Network Services on Fremantle and Harmattan Platforms Kirill

MySocials: Client for Social Network Services on Fremantle and Harmattan Platforms Kirill

MySocials: Client for Social Network Services on Fremantle and Harmattan Platforms Kirill Kulakov, Konstantin Kirpichenok, Sergey Zaharov, Anna Samoryadova, Pavel Shiryaev Petrozavodsk State University Department of Computer Science 2 nd

515 views • 23 slides

More recommend