V tem članku bomo pozorni na koncept "socialnega inženiringa". Tu bo obravnavana splošna definicija izraza. Izvedeli bomo tudi, kdo je bil ustanovitelj tega koncepta. Pogovorimo se ločeno o glavnih metodah socialnega inženiringa, ki jih uporabljajo napadalci.
Uvod
Metode, ki vam omogočajo, da popravite človekovo vedenje in upravljate njegove dejavnosti brez uporabe tehničnega nabora orodij, tvorijo splošni koncept socialnega inženiringa. Vse metode temeljijo na trditvi, da je človeški faktor najbolj uničujoča slabost vsakega sistema. Pogosto se ta koncept obravnava na ravni nezakonite dejavnosti, s katero kriminalec izvaja dejanje, katerega cilj je pridobiti informacije od subjekta-žrtve na nepošten način. Na primer, lahko gre za nekakšno manipulacijo. Vendar pa socialni inženiring ljudje uporabljajo tudi v zakonitih dejavnostih. Do danes se najpogosteje uporablja za dostop do virov z občutljivimi ali občutljivimi informacijami.
ustanovitelj
Ustanovitelj socialnega inženiringa je Kevin Mitnick. Vendar je sam koncept prišel k nam iz sociologije. Označuje splošen nabor pristopov, ki jih uporablja uporabno socialno. znanosti, osredotočene na spreminjanje organizacijske strukture, ki lahko določa človeško vedenje in izvaja nadzor nad njim. Kevina Mitnicka lahko štejemo za ustanovitelja te znanosti, saj je prav on populariziral družbeno. inženirstva v prvem desetletju 21. stoletja. Kevin je bil prej heker, ki je nezakonito vstopil v najrazličnejše baze podatkov. Trdil je, da je človeški faktor najbolj ranljiva točka sistema katere koli stopnje kompleksnosti in organizacije.
Če govorimo o metodah socialnega inženiringa kot o načinu pridobivanja pravic (pogosto nezakonitih) za uporabo zaupnih podatkov, lahko rečemo, da so znane že zelo dolgo. Vendar je bil K. Mitnick tisti, ki je lahko posredoval pomen njihovega pomena in posebnosti uporabe.
Lažno predstavljanje in neobstoječe povezave
Vsaka tehnika socialnega inženiringa temelji na prisotnosti kognitivnih izkrivljanj. Napake v vedenju postanejo "orodje" v rokah izkušenega inženirja, ki lahko v prihodnosti ustvari napad za pridobivanje pomembnih podatkov. Med metodami socialnega inženiringa ločimo lažno predstavljanje in neobstoječe povezave.
Phishing je spletna prevara, zasnovana za pridobivanje osebnih podatkov, kot sta uporabniško ime in geslo.
Neobstoječa povezava - uporaba povezave, ki bo prejemnika privabila z določenimiugodnosti, ki jih lahko pridobite s klikom nanjo in obiskom določenega spletnega mesta. Najpogosteje se uporabljajo imena velikih podjetij, ki subtilno prilagajajo njihovo ime. Žrtev bo s klikom na povezavo "prostovoljno" prenesla svoje osebne podatke napadalcu.
Metode z uporabo blagovnih znamk, okvarjenih protivirusnih programov in lažne loterije
Družbeni inženiring uporablja tudi prevare blagovnih znamk, pokvarjene protivirusne programe in lažne loterije.
"Prevare in blagovne znamke" - metoda prevare, ki prav tako spada v razdelek z lažnim predstavljanjem. To vključuje e-poštna sporočila in spletna mesta, ki vsebujejo ime velikega in/ali »razvikanega« podjetja. Z njihovih strani se pošiljajo sporočila z obvestilom o zmagi na določenem tekmovanju. Nato morate vnesti pomembne podatke o računu in jih ukrasti. To obliko goljufije je mogoče izvesti tudi po telefonu.
Lažna loterija - metoda, pri kateri se žrtvi pošlje sporočilo z besedilom, da je (a) zmagal (a) na loteriji. Najpogosteje je opozorilo prikrito z imeni velikih korporacij.
Lažni protivirusni programi so programske prevare. Uporablja programe, ki so videti kot protivirusni programi. Vendar v resnici vodijo do generiranja lažnih obvestil o določeni grožnji. Uporabnike skušajo zvabiti tudi na področje transakcij.
Vishing, phreaking in pretveze
Ko govorimo o socialnem inženiringu za začetnike, moramo omeniti tudi vishing, phreaking in pretveze.
Vishing je oblika prevare, ki uporablja telefonska omrežja. Uporablja vnaprej posneta glasovna sporočila, katerih namen je poustvariti "uradni klic" bančne strukture ali katerega koli drugega sistema IVR. Najpogosteje se od njih zahteva, da vnesejo uporabniško ime in/ali geslo, da potrdijo kakršne koli informacije. Z drugimi besedami, sistem zahteva avtentikacijo s strani uporabnika z uporabo PIN kod ali gesel.
Phreaking je še ena oblika telefonske prevare. Gre za hekerski sistem, ki uporablja manipulacijo zvoka in tonsko izbiranje.
Preteks je napad z uporabo vnaprej načrtovanega načrta, katerega bistvo je predstavljanje drugega subjekta. Izjemno težak način goljufanja, saj zahteva skrbno pripravo.
Quid Pro Quo in metoda cestnega jabolka
Teorija socialnega inženiringa je večplastna baza podatkov, ki vključuje tako metode prevare in manipulacije kot tudi načine za ravnanje z njimi. Glavna naloga vsiljivcev je praviloma odkriti dragocene informacije.
Druge vrste prevar vključujejo: quid pro quo, road apple, surfanje po ramenih, odprtokodno in obratno socialno omrežje. inženiring.
Quid-pro-quo (iz latinščine - "za to") - poskus pridobivanja informacij iz podjetja ali podjetja. To se zgodi tako, da jo kontaktirate po telefonu ali pošljete sporočila po e-pošti. Najpogosteje napadalcipretvarjati, da so zaposleni. podporo, ki poročajo o prisotnosti določene težave na delovnem mestu zaposlenega. Nato predlagajo načine, kako to popraviti, na primer z namestitvijo programske opreme. Izkazalo se je, da je programska oprema okvarjena in spodbuja zločin.
Cestno jabolko je metoda napada, ki temelji na zamisli o trojanskem konju. Njegovo bistvo je v uporabi fizičnega medija in zamenjavi informacij. Na primer, lahko zagotovijo pomnilniško kartico z določenim "dobrim", ki bo pritegnila pozornost žrtve, povzročila željo po odpiranju in uporabi datoteke ali sledila povezavam, navedenim v dokumentih bliskovnega pogona. Predmet "cestno jabolko" se spusti na družabna mesta in počaka, da nek subjekt izvede vsiljivčev načrt.
Zbiranje in iskanje informacij iz odprtih virov je prevara, pri kateri pridobivanje podatkov temelji na metodah psihologije, sposobnosti opazovanja malenkosti in analizi razpoložljivih podatkov, na primer strani iz družbenega omrežja. To je dokaj nov način socialnega inženiringa.
Deskanje po ramenih in obratno družabno. inženiring
Koncept "deskanja po ramenih" se definira kot gledanje subjekta v živo v dobesednem pomenu. S to vrsto podatkovnega ribolova se napadalec odpravi na javna mesta, kot so kavarna, letališče, železniška postaja in sledi ljudem.
Ne podcenjujte te metode, saj številne raziskave in študije kažejo, da lahko pozorna oseba prejme veliko zaupnihinformacije preprosto tako, da ste pozorni.
Socialni inženiring (kot raven sociološkega znanja) je sredstvo za »zajem« podatkov. Obstajajo načini za pridobitev podatkov, pri katerih bo žrtev sama ponudila napadalcu potrebne informacije. Vendar pa lahko služi tudi v dobro družbe.
Obrnite družabno inženirstvo je še ena metoda te znanosti. Uporaba tega izraza postane primerna v primeru, ki smo ga omenili zgoraj: žrtev bo napadalcu sama ponudila potrebne informacije. Te izjave ne smemo jemati kot absurdno. Dejstvo je, da subjekti, ki imajo pooblastila na določenih področjih dejavnosti, pogosto dobijo dostop do identifikacijskih podatkov po lastni odločitvi subjekta. Osnova tukaj je zaupanje.
Pomembno si zapomniti! Podporno osebje na primer nikoli ne bo zahtevalo od uporabnika gesla.
Informacije in zaščita
Izobraževanje iz družbenega inženiringa lahko izvaja posameznik bodisi na podlagi osebne pobude bodisi na podlagi ugodnosti, ki se uporabljajo v posebnih programih usposabljanja.
Kriminalci lahko uporabljajo najrazličnejše vrste prevare, od manipulacije do lenobe, lahkovernosti, vljudnosti uporabnika itd. zavedanje, da je) goljufal. Različna podjetja in podjetja za zaščito svojih podatkov na tej stopnji nevarnosti se pogosto ukvarjajo z ocenjevanjem splošnih informacij. Naslednji korak je integracija potrebnegazaščitni ukrepi za varnostno politiko.
Primeri
Primer socialnega inženiringa (njenega dejanja) na področju globalnega lažnega predstavljanja je dogodek, ki se je zgodil leta 2003. Med to prevaro so bila e-poštna sporočila poslana uporabnikom eBaya. Trdili so, da so bili njihovi računi blokirani. Za preklic blokade je bilo treba znova vnesti podatke računa. Vendar so bila pisma lažna. Prevedli so na stran, ki je enaka uradni, vendar lažna. Po strokovnih ocenah izguba ni bila prevelika (manj kot milijon dolarjev).
Opredelitev odgovornosti
Uporaba socialnega inženiringa je lahko v nekaterih primerih kazniva. V številnih državah, kot so ZDA, je pretveza (prevara z lažnim predstavljanjem za drugo osebo) enačena z vdorom v zasebnost. Vendar je to lahko zakonsko kaznovano, če so bile informacije, pridobljene med pretvezo, zaupne z vidika subjekta ali organizacije. Snemanje telefonskega pogovora (kot metoda socialnega inženiringa) je prav tako zahtevano po zakonu in zahteva globo v višini 250.000 dolarjev ali zapor do deset let za posameznike. oseb. Pravne osebe morajo plačati 500.000 $; rok ostaja enak.