U ovom članku obratit ćemo pozornost na koncept "društvenog inženjeringa". Ovdje će se razmotriti opća definicija pojma. Također ćemo saznati tko je bio osnivač ovog koncepta. Razgovarajmo zasebno o glavnim metodama društvenog inženjeringa koje koriste napadači.
Uvod
Metode koje vam omogućuju da ispravite ponašanje osobe i upravljate njenim aktivnostima bez upotrebe tehničkog skupa alata čine opći koncept društvenog inženjeringa. Sve metode temelje se na tvrdnji da je ljudski faktor najrazornija slabost svakog sustava. Često se ovaj koncept razmatra na razini nezakonite aktivnosti, kroz koju kriminalac obavlja radnju usmjerenu na dobivanje informacija od subjekta-žrtve na nepošten način. Na primjer, to bi mogla biti neka vrsta manipulacije. Međutim, društveni inženjering ljudi također koriste u legitimnim aktivnostima. Do danas se najčešće koristi za pristup resursima s osjetljivim ili osjetljivim informacijama.
Osnivač
Osnivač društvenog inženjeringa je Kevin Mitnick. Međutim, sam koncept došao nam je iz sociologije. Označava opći skup pristupa koje koriste primijenjene društvene. znanosti usmjerene na promjenu organizacijske strukture koja može odrediti ljudsko ponašanje i vršiti kontrolu nad njim. Kevin Mitnick se može smatrati utemeljiteljem ove znanosti, jer je upravo on popularizirao društveno. inženjerstva u prvom desetljeću 21. stoljeća. Sam Kevin je prije bio haker koji je ilegalno ulazio u razne baze podataka. Tvrdio je da je ljudski faktor najranjivija točka sustava bilo koje razine složenosti i organizacije.
Ako govorimo o metodama društvenog inženjeringa kao načinu dobivanja prava (često nezakonitih) na korištenje povjerljivih podataka, možemo reći da su one poznate već jako dugo. Međutim, K. Mitnick je bio taj koji je mogao prenijeti važnost njihovog značenja i osobitosti primjene.
phishing i nepostojeće veze
Svaka tehnika društvenog inženjeringa temelji se na prisutnosti kognitivnih distorzija. Pogreške u ponašanju postaju "alat" u rukama vještog inženjera, koji u budućnosti može kreirati napad s ciljem dobivanja važnih podataka. Među metodama društvenog inženjeringa razlikuju se phishing i nepostojeće veze.
Phishing je online prijevara osmišljena za dobivanje osobnih podataka kao što su korisničko ime i lozinka.
Nepostojeća veza - korištenje veze koja će primatelja namamiti određenimpogodnosti koje se mogu ostvariti klikom na nju i posjetom određenom web mjestu. Najčešće se koriste imena velikih tvrtki, suptilno prilagođavajući njihovo ime. Žrtva će klikom na link "dobrovoljno" prenijeti svoje osobne podatke napadaču.
Metode koje koriste robne marke, neispravne antivirusne programe i lažnu lutriju
Društveni inženjering također koristi prijevare s markama, neispravne antivirusne programe i lažne lutrije.
"Prijevara i robne marke" - metoda obmane, koja također pripada odjeljku za krađu identiteta. To uključuje e-poštu i web-mjesta koja sadrže naziv velike i/ili "naglašene" tvrtke. Poruke se šalju s njihovih stranica uz obavijest o pobjedi u određenom natjecanju. Zatim morate unijeti važne podatke o računu i ukrasti ih. Također, ovaj oblik prijevare može se provesti telefonom.
Lažna lutrija - metoda u kojoj se žrtvi šalje poruka s tekstom da je (a) dobio (a) na lutriji. Najčešće je upozorenje maskirano imenima velikih korporacija.
Lažni antivirusi su softverske prijevare. Koristi programe koji izgledaju kao antivirusni programi. Međutim, u stvarnosti dovode do generiranja lažnih obavijesti o određenoj prijetnji. Također pokušavaju namamiti korisnike u područje transakcija.
Vishing, phreaking i pretexting
Dok govorimo o društvenom inženjeringu za početnike, trebali bismo spomenuti i vishing, phreaking i izgovore.
Vishing je oblik obmane koja koristi telefonske mreže. Koristi unaprijed snimljene glasovne poruke, čija je svrha rekreirati "službeni poziv" bankarske strukture ili bilo kojeg drugog IVR sustava. Najčešće se od njih traži da unesu korisničko ime i/ili lozinku kako bi potvrdili bilo koju informaciju. Drugim riječima, sustav zahtijeva autentifikaciju od strane korisnika pomoću PIN kodova ili lozinki.
Phreaking je još jedan oblik telefonske prijevare. To je sustav hakiranja koji koristi manipulaciju zvukom i tonsko biranje.
Pretekst je napad koji koristi unaprijed smišljeni plan, čija je bit predstavljanje drugog subjekta. Izuzetno težak način varanja, jer zahtijeva pažljivu pripremu.
Quid Pro Quo i metoda cestovne jabuke
Teorija socijalnog inženjeringa je višestruka baza podataka koja uključuje i metode obmane i manipulacije, kao i načine rješavanja njih. Glavni zadatak uljeza, u pravilu, je izvući vrijedne informacije.
Ostale vrste prijevara uključuju: quid pro quo, road apple, surfanje na ramenima, open source i obrnute društvene mreže. inženjerstvo.
Quid-pro-quo (od latinskog - "za ovo") - pokušaj izvlačenja informacija iz tvrtke ili tvrtke. To se događa tako da je kontaktirate telefonom ili slanjem poruka e-poštom. Najčešće napadačipretvarati se da su zaposlenici. podrške, koji prijavljuju prisutnost određenog problema na radnom mjestu zaposlenika. Zatim predlažu načine kako to popraviti, na primjer instaliranjem softvera. Ispostavilo se da je softver neispravan i promiče zločin.
Cestovna jabuka je metoda napada koja se temelji na ideji trojanskog konja. Njegova je bit u korištenju fizičkog medija i zamjeni informacija. Na primjer, mogu pružiti memorijsku karticu s određenim "dobrom" koja će privući pozornost žrtve, izazvati želju za otvaranjem i korištenjem datoteke ili slijediti veze navedene u dokumentima flash pogona. Objekt "jabuka ceste" ispušta se na društvenim mjestima i čeka dok neki subjekt ne provede plan uljeza.
Prikupljanje i traženje informacija iz otvorenih izvora prijevara je u kojoj se prikupljanje podataka temelji na metodama psihologije, sposobnosti uočavanja sitnica i analizi dostupnih podataka, primjerice stranica s društvene mreže. Ovo je prilično nov način društvenog inženjeringa.
Surfanje preko ramena i obrnuto. inženjering
Koncept "surfanja po ramenu" definira se kao gledanje subjekta uživo u doslovnom smislu. S ovom vrstom ribolova podataka napadač odlazi na javna mjesta, poput kafića, zračne luke, željezničke stanice i prati ljude.
Ne podcjenjujte ovu metodu, jer mnoge ankete i studije pokazuju da pažljiva osoba može dobiti puno povjerljivih podatakainformacije jednostavno pažljivim.
Društveni inženjering (kao razina sociološkog znanja) je sredstvo za "hvatanje" podataka. Postoje načini za dobivanje podataka kojima će žrtva sama ponuditi napadaču potrebne informacije. Međutim, može poslužiti i za dobrobit društva.
Obrnuti društveni inženjerstvo je još jedna metoda ove znanosti. Korištenje ovog izraza postaje prikladno u slučaju koji smo prethodno spomenuli: sama žrtva će napadaču ponuditi potrebne informacije. Ovu izjavu ne treba shvatiti kao apsurdnu. Činjenica je da subjekti s ovlastima u određenim područjima djelovanja često dobivaju pristup identifikacijskim podacima po vlastitoj odluci. Osnova je ovdje povjerenje.
Važno zapamtiti! Osoblje podrške nikada neće tražiti od korisnika lozinku, na primjer.
Informacije i zaštita
Obuku iz društvenog inženjeringa pojedinac može obavljati bilo na temelju osobne inicijative ili na temelju pogodnosti koje se koriste u posebnim programima obuke.
Kriminalci mogu koristiti razne vrste obmana, od manipulacije do lijenosti, lakovjernosti, uljudnosti korisnika itd. Izuzetno je teško zaštititi se od ove vrste napada, jer žrtva nema svijest da je) varao. Razne tvrtke i tvrtke kako bi zaštitile svoje podatke na ovoj razini opasnosti često se angažiraju u evaluaciji općih informacija. Sljedeći korak je integracija potrebnogzaštitne mjere za sigurnosnu politiku.
Primjeri
Primjer društvenog inženjeringa (njegov čin) u području globalnih phishing poruka je događaj koji se dogodio 2003. godine. E-poruke su poslane korisnicima eBaya tijekom ove prijevare. Tvrdili su da su im računi blokirani. Za poništavanje blokade bilo je potrebno ponovno unijeti podatke računa. Međutim, pisma su bila lažna. Preveli su na stranicu identičnu službenoj, ali lažnu. Prema procjenama stručnjaka, gubitak nije bio previše značajan (manji od milijun dolara).
Definicija odgovornosti
U nekim slučajevima korištenje društvenog inženjeringa može biti kažnjivo. U nizu zemalja, poput Sjedinjenih Američkih Država, izgovor (obmana lažnim predstavljanjem druge osobe) izjednačava se s invazijom na privatnost. Međutim, to može biti kažnjivo po zakonu ako su informacije dobivene tijekom lažiranja bile povjerljive sa stajališta subjekta ili organizacije. Snimanje telefonskog razgovora (kao metoda socijalnog inženjeringa) također je propisano zakonom i zahtijeva kaznu od 250.000 dolara ili zatvorsku kaznu do deset godina za pojedince. osobe. Pravne osobe dužne su platiti 500.000 USD; rok ostaje isti.
