Socijalno inženjerstvo: koncept, osnivač, metode i primjeri

U ovom ćemo članku obratiti pažnju na pojam "društvenog inženjerstva". Ovdje će se razmotriti opća definicija pojma. Također smo saznali tko je osnivač ovog koncepta. U međuvremenu, razgovarajmo o osnovnim metodama socijalnog inženjeringa, koje koriste uljezi.

uvod

Metode koje omogućuju ispravljanje ljudskog ponašanja i upravljanje svojim aktivnostima bez primjene tehničkog skupa alata čine opći koncept društvenog inženjeringa. Sve se metode temelje na tvrdnji da je ljudski faktor najdestruktivnija slabost bilo kojeg sustava. Često se taj koncept razmatra na razini nezakonitosti, kroz koju kazneno djelo počinio kazneno djelo s ciljem dobivanja informacija od žrtve pod nepoštenim sredstvima. Na primjer, to može biti određena vrsta manipulacije. Međutim, društveno inženjerstvo koristi čovjek u zakonitoj aktivnosti. Danas se najčešće koristi za pristup resursima s privatnim ili vrijednim informacijama.

Osnivač

Osnivač socijalnog inženjeringa je Kevin Mitnick. Ipak, sam koncept je došao do nas iz sociologije. To označava zajednički skup pristupa koji koriste primijenjena društva. znanost, usredotočena na promjenu organizacijske strukture, sposobna za određivanje ljudskog ponašanja i kontrolu nad njom. Kevin Mitnick se može smatrati precima ove znanosti, budući da je on popularizirao društvo. inženjering u prvom desetljeću XXI stoljeća. Kevin je sam bio haker koji je počinio nezakonit prodor u širokom rasponu baza podataka. Tvrdio je da je ljudski faktor najranjivije mjesto sustava bilo koje razine složenosti i organizacije.

Ako govorimo o metodama društvenog inženjeringa kao način dobivanja prava (češće ilegalnih) za korištenje povjerljivih podataka, onda možemo reći da su poznati već duže vrijeme. Međutim, bio je K. Mitnick koji je mogao prenijeti važnost njihova značaja i primjene.

Krađa identiteta i nedostatak veza

Bilo koja tehnika društvenog inženjerstva temelji se na prisutnosti kognitivnih poremećaja. Ponašajuće pogreške postaju "instrument" u rukama kvalificiranog inženjera koji u budućnosti može stvoriti napad s ciljem dobivanja važnih podataka. Među metodama društvenog inženjeringa postoje i krađe identiteta i nepostojeći linkovi.

Krađa identiteta - internet prijevara, dizajnirana za dobivanje osobnih podataka, na primjer, o prijavi i zaporci.

Nedostatak veze jest korištenje veze koja će privući primatelja s određenim prednostima koje možete dobiti tako što ćete ga kretati i posjetiti određenu web lokaciju. Najčešće se koriste nazivi velikih tvrtki, uvođenjem beznačajnih ispravaka u njihovo ime. Žrtva, nakon što klikne na vezu, "dobrovoljno" prenosi svoje osobne podatke napadaču.

Metode korištenja robnih marki, neispravnih antivirusnih i krivotvorenih lutrija

U socijalnom inženjerstvu također se koriste metode prijevare s upotrebom poznatih marki, neispravnih antivirusnih i lažnih lutrije.

"Prijevara i robne marke" je metoda obmana, koja se također odnosi na dio phishinga. To uključuje e-poštu i web stranice koje sadrže naziv velike i / ili "unaprijeđene" tvrtke. Na njihovim se stranicama šalju poruke s obavijestima o pobjedi u određenom natjecanju. Zatim morate unijeti važne podatke o računu i ukrasti ga. Također ovaj oblik prijevare može se obavljati putem telefona.

Podzemna lutrija je način na koji se žrtvi šalje poruku s tekstom koji je (a) osvojio (a) lutriju. Najčešće, obavijest je maskirana pomoću imena velikih korporacija.

Lažni antivirusni programi su prijevare softverom. Ovdje se koriste programi slični protuvirusnim programima. Međutim, u praksi dovode do stvaranja lažnih obavijesti o određenoj prijetnji. Oni također pokušavaju privući korisnike u područje transakcija.

Viking, phreaking i pre-texting

Govoreći o društvenom inženjeringu za početnike, vrijedno je spomenuti i žrtvovanje, freaking i pre-texting.

Vashing je oblik obmane koji koristi telefonske mreže. Ovdje se koriste unaprijed snimljene glasovne poruke, čiji je cilj ponovno uspostaviti "službeni poziv" bankarske strukture ili bilo kojeg drugog IVR sustava. Najčešće se traži da unesete prijavu i / ili zaporku kako biste potvrdili sve informacije. Drugim riječima, sustav zahtijeva autentifikaciju korisnika pomoću PIN kodova ili lozinki.

Phreaking je još jedan oblik telefonske prijevare. To je sustav sjeckanja uz uporabu zvučnih manipulacija i ton biranja.

Pre-texting je napad pomoću unaprijed zamišljenog plana, čija je suština leži u podnošenju drugog entiteta. Izuzetno složena metoda prijevare, jer zahtijeva pažljivu pripremu.

Quid-pro-quo i metoda "road apple"

Teorija društvenog inženjeringa je višenamjenska baza podataka koja uključuje i metode obmane i manipulacije, kao i načine na koje se mogu nositi s njima. Glavni zadatak uljeza, u pravilu, jest iskopati vrijedne informacije.

Među ostalim vrstama muljaža su: Quid-pro-Quo, metoda "road apple", surfing na ramenu, korištenje otvorenih izvora i preokrenuti društveni položaj. inženjering.

Quid-pro-quo (latinski - "onda za to") pokušaj je izdvajanja informacija od tvrtke ili tvrtke. To se događa adresiranjem telefona ili slanjem poruka e-poštom. Najčešće se čini da su napadači radnici tih osoba. podrška, koja izvještava prisutnost određenog problema na radnom mjestu zaposlenika. Nadalje, oni predlažu načine za uklanjanje, na primjer, instaliranjem softvera. Softver se ispostavlja da je neispravan i promiče zločin.

"Road jabuka" je metoda napada, koja se temelji na ideji trojanskog konja. Njegova je bit u upotrebi fizičkog medija i zamjene informacija. Na primjer, može pružiti memorijsku karticu definiranu „dobar”, koja će privući pozornost žrtve, neće htjeti otvoriti i koristiti datoteke ili ići na linkove navedene u dokumentima stick. Predmet "ceste jabuke" baca se na društvenim mjestima i čeka dok netko ne shvati plan napadača.

Prikupljanje i tražiti informacije iz izvora otvorenog tipa je prijevara gdje se za prijenos podataka na temelju metode psihologije, sposobnost da otkrije kazne i analizu podataka na raspolaganju, na primjer, sa stranice na društvenoj mreži. Ovo je prilično novi način društvenog inženjeringa.

Lopatica surfanje i preokrenuti nakupine. inženjering

Pojam "ramenog surfanja" definira se kao da promatramo da subjekt živi u doslovnom smislu. Kod ove vrste podataka rudarstvo napadač ide na javna mjesta, na primjer, kafić, zračna luka, željeznički kolodvor i prati ljude.

Nemojte podcjenjivati ​​ovu metodu, budući da mnoge ankete i studije pokazuju da pozorna osoba može primiti puno povjerljivih informacija jednostavnim prikazivanjem promatranja.

Socijalno inženjerstvo (kao razina sociološkog znanja) je sredstvo za "hvatanje" podataka. Postoje načini dobivanja podataka, u kojima će sama žrtva ponuditi napadaču potrebne informacije. Međutim, ona također može služiti javnom dobru.

Inverse soc. Inženjerstvo je još jedan način ove znanosti. Upotreba ovog pojma postaje prikladna u slučaju da smo gore spomenuli: sama žrtva će ponuditi napadaču potrebne informacije. Nemojte uzeti ovu izjavu kao apsurdnu. Činjenica je da subjekti koji imaju ovlasti u određenim područjima djelovanja često pristupaju identifikacijskim podacima vlastitom odlukom subjekta. Ovdje je temelj povjerenja.

Važno je zapamtiti! Osoblje za podršku nikada neće zahtijevati korisnika, primjerice lozinku.

Svijest i zaštita

Obuka socijalnog inženjeringa može provoditi pojedinac i na temelju osobne inicijative i na temelju koristi koje se koriste u posebnim obrazovnim programima.

Kriminalci mogu se koristiti razne vrste prijevare, od manipulacije i završna obrada lijenosti, lakovjernosti i Korisnik ljubaznost t. D. Od ove vrste napada je vrlo teško da se brane zbog nedostatka svijesti žrtva da je njegov (njezin) varao. Različite tvrtke i tvrtke često procjenjuju opće podatke kako bi zaštitili svoje podatke na ovoj razini opasnosti. Zatim se potrebne sigurnosne mjere integriraju u sigurnosnu politiku.

primjeri

Primjer društvenog inženjeringa (njegovog čina) u području metode globalnih elektroničkih poruka e-pošte je događaj koji se dogodio 2003. godine. Tijekom ovog muljaža e-mail korisnici su poslani pisma na e-mail adrese. Tvrdili su da su računi koji pripadaju njima blokirani. Da biste otkazali zaključavanje, morali ste ponovno unijeti podatke o računu. Međutim, pisma su bila lažna. Prevodili su na stranicu identičnu onom službenom, ali lažnom. Prema procjenama stručnjaka, gubitak nije bio značajan (manje od milijun dolara).

Definicija odgovornosti

Za primjenu socijalnog inženjerstva može se kazniti u nekim slučajevima. U nekim zemljama, primjerice, SAD-u, pre-texting (varanje oponašajući drugu osobu) jednako je napadanju osobnog života. Međutim, to može biti kažnjeno zakonom ako su informacije dobivene tijekom prethodnog teksta povjerljive s gledišta entiteta ili organizacije. Snimanje telefonskog razgovora (kao metoda socijalnog inženjeringa) također je propisano zakonom i zahtijeva plaćanje novčane kazne od 250.000 USD ili kaznu zatvora do deset godina za osobu. osoba. Pravne osobe moraju platiti 500.000 USD - razdoblje ostaje ista.