Socialinė inžinerija: koncepcija, įkūrėjas, metodai ir pavyzdžiai

Turinys:

Socialinė inžinerija: koncepcija, įkūrėjas, metodai ir pavyzdžiai
Socialinė inžinerija: koncepcija, įkūrėjas, metodai ir pavyzdžiai
Anonim

Šiame straipsnyje atkreipsime dėmesį į „socialinės inžinerijos“sąvoką. Čia bus apsvarstytas bendras termino apibrėžimas. Taip pat sužinosime, kas buvo šios koncepcijos įkūrėjas. Pakalbėkime atskirai apie pagrindinius užpuolikų naudojamus socialinės inžinerijos metodus.

socialinė inžinerija
socialinė inžinerija

Įvadas

Bendrąją socialinės inžinerijos sampratą sudaro metodai, leidžiantys koreguoti žmogaus elgesį ir valdyti jo veiklą nenaudojant techninių priemonių rinkinio. Visi metodai yra pagrįsti teiginiu, kad žmogiškasis faktorius yra labiausiai griaunanti bet kurios sistemos silpnybė. Dažnai ši sąvoka nagrinėjama neteisėtos veiklos lygmeniu, kai nusik altėlis atlieka veiksmą, kuriuo siekiama nesąžiningu būdu gauti informaciją iš subjekto – aukos. Pavyzdžiui, tai gali būti tam tikra manipuliacija. Tačiau socialinę inžineriją žmonės naudoja ir teisėtoje veikloje. Iki šiol jis dažniausiai naudojamas norint pasiekti išteklius su neskelbtina ar neskelbtina informacija.

Įkūrėjas

Socialinės inžinerijos įkūrėjas yra Kevinas Mitnickas. Tačiau pati sąvoka mums atėjo iš sociologijos. Tai reiškia bendrą taikomųjų socialinių metodų rinkinį. mokslai orientuoti į organizacinės struktūros, galinčios nulemti žmogaus elgesį ir ją kontroliuoti, keitimą. Kevinas Mitnickas gali būti laikomas šio mokslo įkūrėju, nes būtent jis išpopuliarino socialinę. inžinerija pirmajame XXI amžiaus dešimtmetyje. Pats Kevinas anksčiau buvo įsilaužėlis, nelegaliai patekęs į įvairias duomenų bazes. Jis teigė, kad žmogiškasis faktorius yra labiausiai pažeidžiamas bet kokio sudėtingumo ir organizuotumo sistemos taškas.

socialinės inžinerijos metodai
socialinės inžinerijos metodai

Jei kalbėtume apie socialinės inžinerijos metodus, kaip apie būdą įgyti teises (dažnai nelegalias) naudoti konfidencialius duomenis, galime teigti, kad jie žinomi labai seniai. Tačiau būtent K. Mitnickas sugebėjo perteikti jų reikšmės svarbą ir taikymo ypatumus.

Sikčiavimas ir neegzistuojančios nuorodos

Bet kokia socialinės inžinerijos technika yra pagrįsta pažinimo iškraipymu. Elgesio klaidos tampa „įrankiu“įgudusio inžinieriaus rankose, kuris ateityje gali sukurti ataką, kurios tikslas – gauti svarbius duomenis. Tarp socialinės inžinerijos metodų išskiriamas sukčiavimas ir neegzistuojančios nuorodos.

Sukčiavimas yra internetinė afera, skirta gauti asmeninę informaciją, pvz., naudotojo vardą ir slaptažodį.

Neegzistuojanti nuoroda – naudojant nuorodą, kuri privilios gavėją tam tikraisprivalumų, kuriuos galite gauti spustelėję jį ir apsilankę konkrečioje svetainėje. Dažniausiai naudojami didelių įmonių pavadinimai, subtiliai pakoreguojant jų pavadinimą. Auka, spustelėjusi nuorodą, „savanoriškai“perduos savo asmens duomenis užpuolikui.

Metodai naudojant prekės ženklus, sugedusias antivirusines programas ir netikrą loteriją

Socialinė inžinerija taip pat naudoja prekių ženklų sukčiavimą, sugedusias antivirusines programas ir netikras loterijas.

„Apgaulė ir prekės ženklai“– apgaulės būdas, kuris taip pat priklauso sukčiavimo skyriui. Tai apima el. laiškus ir svetaines, kuriose yra didelės ir (arba) „populiarios“įmonės pavadinimas. Iš jų puslapių siunčiami pranešimai apie pergalę tam tikrose varžybose. Tada turite įvesti svarbią paskyros informaciją ir ją pavogti. Be to, šios formos sukčiavimas gali būti vykdomas telefonu.

Netikra loterija – būdas, kai aukai siunčiama žinutė su tekstu, kad jis (a) laimėjo (a) loteriją. Dažniausiai perspėjimas užmaskuojamas naudojant didelių korporacijų pavadinimus.

Netikros antivirusinės programos yra programinės įrangos sukčiai. Jis naudoja programas, kurios atrodo kaip antivirusinės. Tačiau iš tikrųjų jie generuoja klaidingus pranešimus apie tam tikrą grėsmę. Jie taip pat bando privilioti vartotojus į operacijų sritį.

Žiūrėjimas, rėkimas ir pretekstas

Kalbėdami apie socialinę inžineriją pradedantiesiems, taip pat turėtume paminėti vizitą, rėkimą ir pretekstą.

teorijasocialinė inžinerija
teorijasocialinė inžinerija

Vishing yra apgaulės forma, kai naudojami telefono tinklai. Jame naudojami iš anksto įrašyti balso pranešimai, kurių tikslas – atkurti banko struktūros ar bet kurios kitos IVR sistemos „oficialų skambutį“. Dažniausiai jų prašoma įvesti vartotojo vardą ir (arba) slaptažodį, kad būtų patvirtinta bet kokia informacija. Kitaip tariant, sistema reikalauja, kad vartotojas autentifikuotųsi naudodamas PIN kodus arba slaptažodžius.

Prašymas yra dar viena telefono sukčiavimo forma. Tai įsilaužimo sistema, naudojanti manipuliavimą garsu ir rinkimą toniniu numeriu.

Pretekstas – tai puolimas naudojant iš anksto apgalvotą planą, kurio esmė – atstovauti kitam subjektui. Itin sunkus būdas sukčiauti, nes reikia kruopštaus pasiruošimo.

Quid Pro Quo ir Road Apple metodas

Socialinės inžinerijos teorija yra daugialypė duomenų bazė, apimanti ir apgaulės, ir manipuliavimo būdus, ir būdus, kaip su jais susidoroti. Pagrindinė įsibrovėlių užduotis, kaip taisyklė, yra išgauti vertingą informaciją.

Kiti sukčiavimo tipai: „quid pro quo“, „road Apple“, naršymas „pečių“, atvirojo kodo ir atvirkštinė socialinė žiniasklaida. inžinerija.

socialinė inžinerija kaip sociologinių žinių lygis
socialinė inžinerija kaip sociologinių žinių lygis

Quid-pro-quo (iš lotynų kalbos - „už tai“) – bandymas išgauti informaciją iš įmonės ar firmos. Tai nutinka susisiekus su ja telefonu arba siunčiant žinutes el. Dažniausiai užpuolikaiapsimesti darbuotojais. parama, kurios praneša apie konkrečią problemą darbuotojo darbo vietoje. Tada jie siūlo būdus, kaip tai ištaisyti, pavyzdžiui, įdiegiant programinę įrangą. Programinė įranga yra sugedusi ir skatina nusik altimą.

The Road Apple yra atakos metodas, pagrįstas Trojos arklio idėja. Jo esmė yra fizinės terpės naudojimas ir informacijos pakeitimas. Pavyzdžiui, jie gali pateikti atminties kortelę su tam tikru „gėriu“, kuris patrauks aukos dėmesį, sukels norą atidaryti ir naudoti failą arba sekti nuorodas, nurodytas „flash drive“dokumentuose. „Kelio obuolio“objektas numetamas socialinėse vietose ir laukiama, kol koks nors subjektas įgyvendins įsibrovėlio planą.

Informacijos rinkimas ir paieška iš atvirų š altinių yra sukčiavimas, kurio metu duomenų rinkimas grindžiamas psichologijos metodais, gebėjimu pastebėti smulkmenas ir turimų duomenų, pavyzdžiui, socialinio tinklo puslapių, analize. Tai gana naujas socialinės inžinerijos būdas.

socialinė inžinerija pradedantiesiems
socialinė inžinerija pradedantiesiems

Naršymas per pečius ir atvirkštinis socialinis tinklas. inžinerija

Sąvoka „Naršymas per pečius“apibrėžiama kaip subjekto tiesioginis stebėjimas tiesiogine prasme. Naudodamas tokio tipo duomenų žvejybą, užpuolikas eina į viešas vietas, pvz., kavinę, oro uostą, geležinkelio stotį ir seka žmones.

Nenuvertinkite šio metodo, nes daugelis apklausų ir tyrimų rodo, kad dėmesingas žmogus gali gauti daug konfidencialumoinformaciją tiesiog būdami pastabūs.

Socialinė inžinerija (kaip sociologinių žinių lygis) yra duomenų „fiksavimo“priemonė. Yra duomenų gauti būdų, kuriais auka pati pasiūlys užpuolikui reikiamą informaciją. Tačiau tai taip pat gali pasitarnauti visuomenės labui.

Atvirkštinis socialinis inžinerija yra dar vienas šio mokslo metodas. Šio termino vartojimas tampa tinkamas tuo atveju, kai minėjome aukščiau: auka pats pasiūlys užpuolikui reikiamą informaciją. Šis teiginys neturėtų būti laikomas absurdišku. Faktas yra tas, kad subjektai, turintys įgaliojimus tam tikrose veiklos srityse, dažnai gauna prieigą prie identifikavimo duomenų subjekto paties sprendimu. Pagrindas čia yra pasitikėjimas.

socialinės inžinerijos įkūrėjas
socialinės inžinerijos įkūrėjas

Svarbu atsiminti! Pvz., Pagalbos darbuotojai niekada neprašys vartotojo slaptažodžio.

Informacija ir apsauga

Socialinės inžinerijos mokymus gali atlikti pats asmuo, remdamasis asmenine iniciatyva arba naudodamasis specialiomis mokymo programomis.

Nusik altėliai gali panaudoti įvairiausias apgaulės rūšis – nuo manipuliavimo iki tinginystės, patiklumo, vartotojo mandagumo ir t. t. Apsisaugoti nuo tokio užpuolimo labai sunku, nes auka neturi suvokimas, kad jis apgavo. Įvairios firmos ir įmonės, siekdamos apsaugoti savo duomenis esant tokiam pavojaus lygiui, dažnai užsiima bendros informacijos vertinimu. Kitas žingsnis yra integruoti būtinus dalykussaugumo politikos apsaugos priemonės.

Pavyzdžiai

Socialinės inžinerijos (jo veiksmo) pavyzdys pasaulinių sukčiavimo laiškų srityje yra įvykis, įvykęs 2003 m. Šios sukčiavimo metu „eBay“vartotojams buvo išsiųsti el. laiškai. Jie tvirtino, kad jiems priklausančios sąskaitos buvo užblokuotos. Norint atšaukti blokavimą, reikėjo iš naujo įvesti sąskaitos duomenis. Tačiau laiškai buvo netikri. Jie išversti į puslapį, identišką oficialiajam, bet netikrą. Ekspertų vertinimu, nuostoliai nebuvo per dideli (mažiau nei milijonas dolerių).

socialinės inžinerijos pavyzdžiai
socialinės inžinerijos pavyzdžiai

Atsakomybės apibrėžimas

Kai kuriais atvejais už socialinės inžinerijos naudojimą gali būti baudžiama. Daugelyje šalių, pavyzdžiui, JAV, pretekstas (apgaulė apsimetant kitu asmeniu) prilyginamas privatumo pažeidimui. Tačiau tai gali būti baudžiama pagal įstatymą, jei preteksto metu gauta informacija subjekto ar organizacijos požiūriu buvo konfidenciali. Telefoninio pokalbio įrašymas (kaip socialinės inžinerijos metodas) taip pat privalomas pagal įstatymą ir reikalauja 250 000 USD baudos arba įkalinimo iki dešimties metų asmenims. asmenų. Juridiniai asmenys privalo sumokėti 500 000 USD; terminas išlieka tas pats.

Rekomenduojamas:

Socialinė psichologija – kas tai yra ir kur ji naudojama? Kuo socialinė psichologija skiriasi nuo ideologijos?

Socialinė psichologija – kas tai yra ir kur ji naudojama? Kuo socialinė psichologija skiriasi nuo ideologijos?

Kuo skiriasi socialinė psichologija ir ideologija? Ar tarp jų apskritai yra kokių nors skirtumų? O gal šių sąvokų esmė absoliučiai identiška, skiriasi tik pavadinimai? Atsakymus galite rasti šiame straipsnyje

Sąvoka „socialinė sistema“. Senovės slavų socialinė sistema Kijevo Rusios

Sąvoka „socialinė sistema“. Senovės slavų socialinė sistema Kijevo Rusios

Pagrindinis aspektas, nulėmęs žmonių teisinį veiksnumą Senovės Rusijoje, buvo jų asmeninės laisvės pozicija

Socialinė pažanga: samprata, formos, pavyzdžiai

Socialinė pažanga: samprata, formos, pavyzdžiai

Žmonija nestovi vietoje, bet nuolat auga visose srityse. Visuomenės gyvenimas gerėja tobulėjant technologijoms, mechaninei inžinerijai ir apdorojant vertingus išteklius. Socialinės pažangos nenuoseklumas slypi filosofiniame žmogaus veiksmų vertinime

Žinių inžinerija. Dirbtinis intelektas. Mašininis mokymasis

Žinių inžinerija. Dirbtinis intelektas. Mašininis mokymasis

Dirbtinis intelektas, neuroniniai tinklai ir mašininis mokymasis: koks skirtumas? Žinių inžinerija ir dirbtinio intelekto kūrimo problemos: ar įmanoma sukurti AI ir ar jis pranoksta žmones? Mašininis mokymasis ir duomenų gavyba

Šeimos socialinė padėtis – kas tai? Šeimos socialinė padėtis: pavyzdžiai

Šeimos socialinė padėtis – kas tai? Šeimos socialinė padėtis: pavyzdžiai

Šeima yra neatsiejama visuomenės dalis, kurios viena svarbiausių funkcijų – vaikų gimimas ir auklėjimas. Sunku socializuotis žmonių pasaulyje, nepriklausant šiai institucijai

Top straipsniai

Populiarios mėnesio

Eksperto patarimas