Šiame straipsnyje atkreipsime dėmesį į „socialinės inžinerijos“sąvoką. Čia bus apsvarstytas bendras termino apibrėžimas. Taip pat sužinosime, kas buvo šios koncepcijos įkūrėjas. Pakalbėkime atskirai apie pagrindinius užpuolikų naudojamus socialinės inžinerijos metodus.
Įvadas
Bendrąją socialinės inžinerijos sampratą sudaro metodai, leidžiantys koreguoti žmogaus elgesį ir valdyti jo veiklą nenaudojant techninių priemonių rinkinio. Visi metodai yra pagrįsti teiginiu, kad žmogiškasis faktorius yra labiausiai griaunanti bet kurios sistemos silpnybė. Dažnai ši sąvoka nagrinėjama neteisėtos veiklos lygmeniu, kai nusik altėlis atlieka veiksmą, kuriuo siekiama nesąžiningu būdu gauti informaciją iš subjekto – aukos. Pavyzdžiui, tai gali būti tam tikra manipuliacija. Tačiau socialinę inžineriją žmonės naudoja ir teisėtoje veikloje. Iki šiol jis dažniausiai naudojamas norint pasiekti išteklius su neskelbtina ar neskelbtina informacija.
Įkūrėjas
Socialinės inžinerijos įkūrėjas yra Kevinas Mitnickas. Tačiau pati sąvoka mums atėjo iš sociologijos. Tai reiškia bendrą taikomųjų socialinių metodų rinkinį. mokslai orientuoti į organizacinės struktūros, galinčios nulemti žmogaus elgesį ir ją kontroliuoti, keitimą. Kevinas Mitnickas gali būti laikomas šio mokslo įkūrėju, nes būtent jis išpopuliarino socialinę. inžinerija pirmajame XXI amžiaus dešimtmetyje. Pats Kevinas anksčiau buvo įsilaužėlis, nelegaliai patekęs į įvairias duomenų bazes. Jis teigė, kad žmogiškasis faktorius yra labiausiai pažeidžiamas bet kokio sudėtingumo ir organizuotumo sistemos taškas.
Jei kalbėtume apie socialinės inžinerijos metodus, kaip apie būdą įgyti teises (dažnai nelegalias) naudoti konfidencialius duomenis, galime teigti, kad jie žinomi labai seniai. Tačiau būtent K. Mitnickas sugebėjo perteikti jų reikšmės svarbą ir taikymo ypatumus.
Sikčiavimas ir neegzistuojančios nuorodos
Bet kokia socialinės inžinerijos technika yra pagrįsta pažinimo iškraipymu. Elgesio klaidos tampa „įrankiu“įgudusio inžinieriaus rankose, kuris ateityje gali sukurti ataką, kurios tikslas – gauti svarbius duomenis. Tarp socialinės inžinerijos metodų išskiriamas sukčiavimas ir neegzistuojančios nuorodos.
Sukčiavimas yra internetinė afera, skirta gauti asmeninę informaciją, pvz., naudotojo vardą ir slaptažodį.
Neegzistuojanti nuoroda – naudojant nuorodą, kuri privilios gavėją tam tikraisprivalumų, kuriuos galite gauti spustelėję jį ir apsilankę konkrečioje svetainėje. Dažniausiai naudojami didelių įmonių pavadinimai, subtiliai pakoreguojant jų pavadinimą. Auka, spustelėjusi nuorodą, „savanoriškai“perduos savo asmens duomenis užpuolikui.
Metodai naudojant prekės ženklus, sugedusias antivirusines programas ir netikrą loteriją
Socialinė inžinerija taip pat naudoja prekių ženklų sukčiavimą, sugedusias antivirusines programas ir netikras loterijas.
„Apgaulė ir prekės ženklai“– apgaulės būdas, kuris taip pat priklauso sukčiavimo skyriui. Tai apima el. laiškus ir svetaines, kuriose yra didelės ir (arba) „populiarios“įmonės pavadinimas. Iš jų puslapių siunčiami pranešimai apie pergalę tam tikrose varžybose. Tada turite įvesti svarbią paskyros informaciją ir ją pavogti. Be to, šios formos sukčiavimas gali būti vykdomas telefonu.
Netikra loterija – būdas, kai aukai siunčiama žinutė su tekstu, kad jis (a) laimėjo (a) loteriją. Dažniausiai perspėjimas užmaskuojamas naudojant didelių korporacijų pavadinimus.
Netikros antivirusinės programos yra programinės įrangos sukčiai. Jis naudoja programas, kurios atrodo kaip antivirusinės. Tačiau iš tikrųjų jie generuoja klaidingus pranešimus apie tam tikrą grėsmę. Jie taip pat bando privilioti vartotojus į operacijų sritį.
Žiūrėjimas, rėkimas ir pretekstas
Kalbėdami apie socialinę inžineriją pradedantiesiems, taip pat turėtume paminėti vizitą, rėkimą ir pretekstą.
Vishing yra apgaulės forma, kai naudojami telefono tinklai. Jame naudojami iš anksto įrašyti balso pranešimai, kurių tikslas – atkurti banko struktūros ar bet kurios kitos IVR sistemos „oficialų skambutį“. Dažniausiai jų prašoma įvesti vartotojo vardą ir (arba) slaptažodį, kad būtų patvirtinta bet kokia informacija. Kitaip tariant, sistema reikalauja, kad vartotojas autentifikuotųsi naudodamas PIN kodus arba slaptažodžius.
Prašymas yra dar viena telefono sukčiavimo forma. Tai įsilaužimo sistema, naudojanti manipuliavimą garsu ir rinkimą toniniu numeriu.
Pretekstas – tai puolimas naudojant iš anksto apgalvotą planą, kurio esmė – atstovauti kitam subjektui. Itin sunkus būdas sukčiauti, nes reikia kruopštaus pasiruošimo.
Quid Pro Quo ir Road Apple metodas
Socialinės inžinerijos teorija yra daugialypė duomenų bazė, apimanti ir apgaulės, ir manipuliavimo būdus, ir būdus, kaip su jais susidoroti. Pagrindinė įsibrovėlių užduotis, kaip taisyklė, yra išgauti vertingą informaciją.
Kiti sukčiavimo tipai: „quid pro quo“, „road Apple“, naršymas „pečių“, atvirojo kodo ir atvirkštinė socialinė žiniasklaida. inžinerija.
Quid-pro-quo (iš lotynų kalbos - „už tai“) – bandymas išgauti informaciją iš įmonės ar firmos. Tai nutinka susisiekus su ja telefonu arba siunčiant žinutes el. Dažniausiai užpuolikaiapsimesti darbuotojais. parama, kurios praneša apie konkrečią problemą darbuotojo darbo vietoje. Tada jie siūlo būdus, kaip tai ištaisyti, pavyzdžiui, įdiegiant programinę įrangą. Programinė įranga yra sugedusi ir skatina nusik altimą.
The Road Apple yra atakos metodas, pagrįstas Trojos arklio idėja. Jo esmė yra fizinės terpės naudojimas ir informacijos pakeitimas. Pavyzdžiui, jie gali pateikti atminties kortelę su tam tikru „gėriu“, kuris patrauks aukos dėmesį, sukels norą atidaryti ir naudoti failą arba sekti nuorodas, nurodytas „flash drive“dokumentuose. „Kelio obuolio“objektas numetamas socialinėse vietose ir laukiama, kol koks nors subjektas įgyvendins įsibrovėlio planą.
Informacijos rinkimas ir paieška iš atvirų š altinių yra sukčiavimas, kurio metu duomenų rinkimas grindžiamas psichologijos metodais, gebėjimu pastebėti smulkmenas ir turimų duomenų, pavyzdžiui, socialinio tinklo puslapių, analize. Tai gana naujas socialinės inžinerijos būdas.
Naršymas per pečius ir atvirkštinis socialinis tinklas. inžinerija
Sąvoka „Naršymas per pečius“apibrėžiama kaip subjekto tiesioginis stebėjimas tiesiogine prasme. Naudodamas tokio tipo duomenų žvejybą, užpuolikas eina į viešas vietas, pvz., kavinę, oro uostą, geležinkelio stotį ir seka žmones.
Nenuvertinkite šio metodo, nes daugelis apklausų ir tyrimų rodo, kad dėmesingas žmogus gali gauti daug konfidencialumoinformaciją tiesiog būdami pastabūs.
Socialinė inžinerija (kaip sociologinių žinių lygis) yra duomenų „fiksavimo“priemonė. Yra duomenų gauti būdų, kuriais auka pati pasiūlys užpuolikui reikiamą informaciją. Tačiau tai taip pat gali pasitarnauti visuomenės labui.
Atvirkštinis socialinis inžinerija yra dar vienas šio mokslo metodas. Šio termino vartojimas tampa tinkamas tuo atveju, kai minėjome aukščiau: auka pats pasiūlys užpuolikui reikiamą informaciją. Šis teiginys neturėtų būti laikomas absurdišku. Faktas yra tas, kad subjektai, turintys įgaliojimus tam tikrose veiklos srityse, dažnai gauna prieigą prie identifikavimo duomenų subjekto paties sprendimu. Pagrindas čia yra pasitikėjimas.
Svarbu atsiminti! Pvz., Pagalbos darbuotojai niekada neprašys vartotojo slaptažodžio.
Informacija ir apsauga
Socialinės inžinerijos mokymus gali atlikti pats asmuo, remdamasis asmenine iniciatyva arba naudodamasis specialiomis mokymo programomis.
Nusik altėliai gali panaudoti įvairiausias apgaulės rūšis – nuo manipuliavimo iki tinginystės, patiklumo, vartotojo mandagumo ir t. t. Apsisaugoti nuo tokio užpuolimo labai sunku, nes auka neturi suvokimas, kad jis apgavo. Įvairios firmos ir įmonės, siekdamos apsaugoti savo duomenis esant tokiam pavojaus lygiui, dažnai užsiima bendros informacijos vertinimu. Kitas žingsnis yra integruoti būtinus dalykussaugumo politikos apsaugos priemonės.
Pavyzdžiai
Socialinės inžinerijos (jo veiksmo) pavyzdys pasaulinių sukčiavimo laiškų srityje yra įvykis, įvykęs 2003 m. Šios sukčiavimo metu „eBay“vartotojams buvo išsiųsti el. laiškai. Jie tvirtino, kad jiems priklausančios sąskaitos buvo užblokuotos. Norint atšaukti blokavimą, reikėjo iš naujo įvesti sąskaitos duomenis. Tačiau laiškai buvo netikri. Jie išversti į puslapį, identišką oficialiajam, bet netikrą. Ekspertų vertinimu, nuostoliai nebuvo per dideli (mažiau nei milijonas dolerių).
Atsakomybės apibrėžimas
Kai kuriais atvejais už socialinės inžinerijos naudojimą gali būti baudžiama. Daugelyje šalių, pavyzdžiui, JAV, pretekstas (apgaulė apsimetant kitu asmeniu) prilyginamas privatumo pažeidimui. Tačiau tai gali būti baudžiama pagal įstatymą, jei preteksto metu gauta informacija subjekto ar organizacijos požiūriu buvo konfidenciali. Telefoninio pokalbio įrašymas (kaip socialinės inžinerijos metodas) taip pat privalomas pagal įstatymą ir reikalauja 250 000 USD baudos arba įkalinimo iki dešimties metų asmenims. asmenų. Juridiniai asmenys privalo sumokėti 500 000 USD; terminas išlieka tas pats.