En este artículo prestaremos atención al concepto de"Ingeniería social". Aquí, se considerará una definición general del término. También aprendemos sobre quién fue el fundador de este concepto. Hablaremos por separado sobre los principales métodos de ingeniería social que utilizan los atacantes.
Métodos para ajustar el comportamiento.Hombre y administrar sus actividades sin el uso de un conjunto técnico de herramientas, forman el concepto general de ingeniería social. Todos los métodos se basan en la afirmación de que el factor humano es la debilidad más destructiva de cualquier sistema. A menudo, este concepto se considera a nivel de actividad ilegal, a través del cual el delincuente comete un acto destinado a obtener información del sujeto víctima deshonestamente. Por ejemplo, puede ser un cierto tipo de manipulación. Sin embargo, la ingeniería social también es utilizada por personas en actividades legítimas. Hoy en día, se usa con mayor frecuencia para acceder a recursos con información cerrada o valiosa.
El fundador de la ingeniería social esKevin Mitnick. Sin embargo, el concepto en sí nos llegó desde la sociología. Denota un conjunto común de enfoques utilizados por los servicios sociales aplicados. Las ciencias se centraron en cambiar la estructura organizativa capaz de determinar el comportamiento humano y ejercer control sobre él. Kevin Mitnik puede considerarse el fundador de esta ciencia, ya que fue él quien popularizó lo social. Ingeniería en la primera década del siglo XXI. El propio Kevin fue anteriormente un hacker que cometió entrada ilegal en una amplia variedad de bases de datos. Argumentó que el factor humano es la parte más vulnerable de un sistema de cualquier nivel de complejidad y organización.
Si hablamos de métodos de ingeniería social comoSobre el método de obtención de derechos (a menudo ilegales) para usar datos confidenciales, podemos decir que ya se conocían desde hace mucho tiempo. Sin embargo, fue K. Mitnik quien pudo transmitir toda la importancia de su significado y características de la aplicación.
Любая техника социальной инженерии базируется на La presencia de distorsión cognitiva. Los errores de comportamiento se convierten en una "herramienta" en manos de un ingeniero experto, que en el futuro puede crear un ataque destinado a obtener datos importantes. Entre los métodos de ingeniería social, se distinguen phishing y enlaces inexistentes.
El phishing es un fraude en Internet diseñado para obtener información personal, por ejemplo, sobre inicio de sesión y contraseña.
Enlace inexistente: uso del enlace,lo que atraerá al destinatario con ciertas ventajas que se pueden obtener al visitarlo y visitar un sitio en particular. La mayoría de las veces usan los nombres de grandes empresas, haciendo ajustes sutiles a su nombre. La víctima, siguiendo el enlace, "voluntariamente" transferirá sus datos personales al atacante.
La ingeniería social también utiliza métodos de fraude utilizando marcas conocidas, antivirus defectuosos y loterías falsas.
"Fraude y marcas" es un método de engaño queTambién se aplica a la sección de phishing. Esto incluye correos electrónicos y sitios web que contienen el nombre de una empresa grande y / o "promocionada". Desde sus páginas se envían mensajes con una notificación de victoria en una competencia en particular. A continuación, debe ingresar información importante de la cuenta y robarla. Además, esta forma de fraude puede llevarse a cabo por teléfono.
Lotería falsa: una forma en que se envía un mensaje a la víctima con el texto que (a) ganó (a) en la lotería. Muy a menudo, una alerta se enmascara utilizando los nombres de grandes corporaciones.
Los falsos antivirus son fraudesoftware Utiliza programas que parecen antivirus. Sin embargo, en realidad conducen a la generación de alertas falsas sobre una amenaza específica. También intentan atraer a los usuarios al ámbito de las transacciones.
Hablando de ingeniería social para principiantes, también vale la pena mencionar vishing, phreaking y pretexting.
Desear es una forma de hacer trampa usandoredes telefónicas Utiliza mensajes de voz pregrabados, cuyo propósito es recrear la "llamada oficial" de la estructura bancaria o cualquier otro sistema IVR. A menudo se les pide que ingresen un nombre de usuario y / o contraseña para confirmar cualquier información. En otras palabras, el sistema requiere autenticación del usuario mediante códigos PIN o contraseñas.
El phreaking es otra forma de engaño telefónico. Es un sistema de piratería que utiliza manipulaciones de sonido y marcación por tonos.
El pretexto es un ataque que utiliza un plan prediseñado, cuya esencia debe ser presentada por otra entidad. Una forma extremadamente complicada de hacer trampa, ya que requiere una preparación cuidadosa.
Teoría de la ingeniería social: una base multifacéticadatos, que incluyen métodos de engaño y manipulación, y métodos para tratarlos. La tarea principal de los atacantes, como regla, es extraer información valiosa.
Entre otros tipos de estafas están: Quid-pro-quo, el método "road apple", surf de hombro, el uso de fuentes abiertas y social inversa. ingeniería
Quid-pro-quo (de lat.- "entonces para ello") - un intento de extraer información de una empresa o firma. Esto sucede al contactarla por teléfono o al enviarle mensajes por correo electrónico. Muy a menudo, los atacantes están representados por empleados de esos. soporte, que informa la presencia de un problema específico en el lugar de trabajo del empleado. Además, sugieren formas de eliminarlo, por ejemplo, mediante la instalación de software. El software resulta ser defectuoso y ayuda a promover el crimen.
The Road Apple es un método de ataque quebasado en la idea de un caballo de Troya. Su esencia radica en el uso de un medio físico y la sustitución de información. Por ejemplo, pueden proporcionar una tarjeta de memoria con un cierto "beneficio" que atraerá la atención de la víctima, provocará el deseo de abrir y usar el archivo o seguir los enlaces provistos en los documentos de la unidad flash. El objeto de la "manzana de la carretera" se arroja en lugares sociales y espera hasta que cualquier entidad realice el plan de un atacante.
Recopilación y búsqueda de información de fuentes abiertas.type es una estafa en la que los datos se basan en los métodos de la psicología, la capacidad de notar pequeñas cosas y el análisis de los datos disponibles, por ejemplo, una página de una red social. Esta es una forma bastante nueva de ingeniería social.
El concepto de "surf de hombro" se define comoobservando un sujeto en vivo literalmente. En este tipo de pesca de datos, el atacante va a lugares públicos, como un café, aeropuerto, estación de tren y observa a las personas.
Не стоит недооценивать данный метод, так как Muchas encuestas y estudios muestran que una persona atenta puede recibir mucha información confidencial simplemente observando.
Социальная инженерия (как уровень conocimiento sociológico) es un medio para "capturar" datos. Hay formas de obtener datos en los que la propia víctima ofrecerá al atacante la información necesaria. Sin embargo, puede servir para el bien de la sociedad.
Обратная соц.La ingeniería es otro método de esta ciencia. El uso de este término se vuelve apropiado en el caso que mencionamos anteriormente: la propia víctima ofrecerá al atacante la información necesaria. No tome esta declaración como absurda. El hecho es que las entidades dotadas de autoridad en ciertos campos de actividad a menudo obtienen acceso a los datos de identificación por su propia decisión. La base aquí es la confianza.
¡Es importante recordar! El personal de soporte nunca le pedirá al usuario, por ejemplo, una contraseña.
La capacitación en ingeniería social puede ser llevada a cabo por el individuo sobre la base de la iniciativa personal y sobre la base de los beneficios que se utilizan en los programas de capacitación especiales.
Los delincuentes pueden aplicar másvarios tipos de fraude, que van desde la manipulación hasta la pereza, la credulidad, la cortesía del usuario, etc. Es extremadamente difícil protegerse de este tipo de ataque, debido a la falta de conciencia de la víctima de que él (ella) fue engañado. Varias firmas y compañías, para proteger sus datos en este nivel de peligro, a menudo participan en la evaluación de información general. A continuación, las medidas de seguridad necesarias se integran en la política de seguridad.
Un ejemplo de ingeniería social (su acto) en el campo deUna forma de envío de phishing global es un evento que ocurrió en 2003. Durante esta estafa, se enviaron correos electrónicos a los usuarios de eBay. Afirmaron que las cuentas que les pertenecían estaban bloqueadas. Para cancelar el bloqueo, tenía que volver a ingresar la información de su cuenta. Sin embargo, las cartas eran falsas. Tradujeron a una página idéntica a la oficial, pero falsa. Según estimaciones de expertos, la pérdida no fue demasiado significativa (menos de un millón de dólares).
Para la aplicación de la ingeniería social puedecastigo en algunos casos. En varios países, por ejemplo, EE. UU., El pretexto (engaño al hacerse pasar por otra persona) se equipara con una invasión de la vida personal. Sin embargo, esto puede ser castigado por la ley si la información obtenida durante el pretexto fue confidencial desde el punto de vista del sujeto u organización. La grabación de una conversación telefónica (como método de ingeniería social) también está prevista por ley y requiere el pago de una multa de $ 250,000 o prisión por hasta diez años para las personas. personas. Las entidades legales deben pagar $ 500,000; El plazo sigue siendo el mismo.
