U ovom ćemo se članku usredotočiti na koncept"Socijalni inženjering". Ovdje će se raspravljati o općoj definiciji pojma. Također saznajemo o tome tko je bio utemeljitelj ovog koncepta. Razgovarajmo odvojeno o glavnim metodama socijalnog inženjeringa koje koriste cyber kriminalci.
Metode za ispravljanje ponašanjaosoba i upravlja svojim aktivnostima bez upotrebe tehničkog seta alata, čine opći koncept socijalnog inženjeringa. Sve se metode temelje na tvrdnji da je ljudski faktor najrazornija slabost bilo kojeg sustava. Često se ovaj koncept razmatra na razini nezakonite radnje, kojom kriminalac na neiskren način izvršava radnju usmjerenu na dobivanje informacija od žrtve. Na primjer, to može biti određena vrsta manipulacije. Međutim, socijalni inženjering ljudi koriste i u pravnim aktivnostima. Danas se najčešće koristi za pristup resursima s povjerljivim ili vrijednim informacijama.
Utemeljitelj socijalnog inženjeringa jeKevin Mitnick. Međutim, sam koncept došao nam je iz sociologije. Označava uobičajeni skup pristupa koji koriste primijenjeni društveni mediji. znanosti usmjerene na promjenu organizacijske strukture sposobne odrediti ljudsko ponašanje i vršiti kontrolu nad njim. Kevin Mitnick može se smatrati pretkom ove znanosti, jer je upravo on popularizirao društveno. inženjerstvo u prvom desetljeću 21. stoljeća. I sam je Kevin prije bio haker koji je ilegalno ušao u široku paletu baza podataka. Tvrdio je da je ljudski faktor najranjivija točka sustava bilo koje razine složenosti i organizacije.
Ako govorimo o metodama socijalnog inženjeringa kaoo načinu dobivanja prava (češće ilegalnih) na upotrebu povjerljivih podataka, možemo reći da su oni već bili poznati vrlo dugo. Međutim, upravo je K. Mitnik mogao prenijeti važnost njihova značenja i značajki primjene.
Bilo koja tehnika socijalnog inženjeringa temelji se naprisutnost kognitivnih pristranosti. Pogreške u ponašanju postaju "alat" u rukama vještog inženjera koji u budućnosti može stvoriti napad usmjeren na dobivanje važnih podataka. Među metodama socijalnog inženjeringa razlikuju se phishing i nepostojeće veze.
Phishing je mrežna prijevara namijenjena dobivanju osobnih podataka, poput korisničkog imena i lozinke.
Nepostojeća veza - upotreba veze,što će mamiti primatelja određenim pogodnostima koje se mogu dobiti klikom na njega i posjetom određenoj stranici. Najčešće se koriste imena velikih tvrtki, izvršavajući suptilne prilagodbe njihova imena. Žrtva će, slijedeći vezu, "dobrovoljno" prenijeti svoje osobne podatke napadaču.
Socijalni inženjering također koristi lažne tehnike koje uključuju poznate marke, neispravan antivirusni softver i lažnu lutriju.
"Prijevara i žigosanje" način je varanjatakođer pripada odjeljku za krađu identiteta. To uključuje e-poštu i web stranice koje sadrže naziv velike i / ili "promovirane" tvrtke. Poruke se šalju s njihovih stranica s obavijestima o pobjedi u određenom natjecanju. Dalje, morate unijeti važne podatke o računu i ukrasti ih. Također, ovaj oblik prijevare može se izvršiti telefonom.
Lažna lutrija metoda je kojom se žrtvi šalje poruka u kojoj se navodi da je (i) dobio na lutriji. Najčešće je obavijest prikrivena upotrebom imena velikih korporacija.
Lažni antivirusi su prevarasoftver. Koristi programe koji su izvana slični antivirusima. Međutim, u stvarnosti dovode do generiranja lažnih obavijesti o određenoj prijetnji. Oni također pokušavaju namamiti korisnike u područje transakcija.
Govoreći o socijalnom inženjeringu za početnike, vrijedi spomenuti i propuštanje, freaking i pre-texting.
Želja je oblik obmane koji koristitelefonske mreže. Ovdje se koriste unaprijed snimljene glasovne poruke čija je svrha ponovno stvoriti "službeni poziv" bankarske strukture ili bilo kojeg drugog IVR sustava. Najčešće se od njih traži da unesu korisničko ime i / ili lozinku kako bi potvrdili bilo kakve podatke. Drugim riječima, korisnik treba provjeriti autentičnost sustava pomoću PIN kodova ili lozinki.
Freaking je još jedan oblik telefonske prijevare. To je hakerski sustav koji koristi zvučne manipulacije i tonsko biranje.
Pretext je napad koji koristi unaprijed smišljeni plan čija je suština prezentacija drugog subjekta. Izuzetno teška metoda obmane, jer zahtijeva pažljivu pripremu.
Teorija socijalnog inženjeringa - višeznačna osnovapodaci, koji uključuju i metode obmane i manipulacije, kao i metode suočavanja s njima. Glavna je zadaća napadača u pravilu izvući vrijedne informacije.
Ostale vrste prijevara uključuju: Quid-Pro-Quo, metodu "jabuke na cesti", surfanje ramenima, korištenje otvorenih izvora i obrnuto socijalno. inženjering.
Quid-pro-quo (od lat.- "onda za to") - pokušaj izvlačenja podataka iz tvrtke ili tvrtke. To se događa kontaktom s njom telefonom ili slanjem poruka e-poštom. Češće se napadači predstavljaju kao tehničko osoblje. podrška koja izvještava o prisutnosti određenog problema na radničkom mjestu radnika. Zatim predlažu načine kako to popraviti, na primjer instaliranjem softvera. Ispostavilo se da je softver neispravan i promovira zločin.
Jabuka na cesti je metoda napada kojatemelji se na ideji trojanskog konja. Njegova je bit u korištenju fizičkog medija i supstituciji informacija. Na primjer, mogu pružiti memorijsku karticu s određenom "blagodatom" koja će privući pažnju žrtve, natjerati ga da želi otvoriti i koristiti datoteku ili slijediti veze naznačene u dokumentima bljeskalice. Predmet "putne jabuke" baca se na društvena mjesta i čeka se dok neki subjekt ne provede plan napadača.
Prikupljanje i pretraživanje informacija iz otvorenih izvoravrsta je prijevara u kojoj se prikupljanje podataka temelji na psihološkim metodama, sposobnosti uočavanja sitnica i analizi dostupnih podataka, na primjer, stranici s društvene mreže. Ovo je prilično nov način socijalnog inženjeringa.
Surfanje ramenima definira se kaopromatrajući subjekt uživo u doslovnom smislu. U ovoj vrsti izvlačenja podataka napadač odlazi na javna mjesta, na primjer, u kafić, zračnu luku, željezničku stanicu i špijunira ljude.
Ne podcjenjujte ovu metodu kaoMnoga istraživanja i studije pokazuju da pažljiva osoba može primiti puno povjerljivih informacija jednostavno promatrajući.
Socijalni inženjering (kao razinasociološko znanje) je sredstvo za "hvatanje" podataka. Postoje načini za dobivanje podataka, u kojima će žrtva sama ponuditi napadaču potrebne informacije. Međutim, to također može služiti dobrobiti društva.
Obrnuta socijalnainženjerstvo je još jedna metoda ove znanosti. Upotreba ovog izraza postaje prikladna u slučaju koji smo gore spomenuli: žrtva će sama ponuditi napadaču potrebne informacije. Ne uzimajte ovu izjavu kao apsurdnu. Činjenica je da ispitanici obdareni autoritetom u određenim područjima djelovanja često dobivaju pristup identifikacijskim podacima na temelju vlastite odluke. Povjerenje je temelj.
Važno za upamtiti! Pomoćno osoblje nikada neće tražiti od korisnika na primjer lozinku.
Trening za socijalni inženjering može provoditi pojedinac i na temelju osobne inicijative i na temelju pomagala koja se koriste u posebnim obrazovnim programima.
Kriminalci mogu najviše koristitirazne vrste obmana, u rasponu od manipulacije do lijenosti, lakovjernosti, uljudnosti korisnika itd. Izuzetno je teško zaštititi se od ove vrste napada, jer žrtva nema svijest da je prevarena. Razna poduzeća i tvrtke često procjenjuju opće informacije kako bi zaštitile svoje podatke na ovoj razini rizika. Dalje, potrebne mjere zaštite integrirane su u sigurnosnu politiku.
Primjer socijalnog inženjeringa (njegovo djelovanje) na terenuNačin globalne phishing e-pošte događaj je koji se dogodio 2003. godine. Tijekom ove prevare korisnici eBaya slali su e-poštu na svoje adrese e-pošte. Tvrdili su da su im računi blokirani. Da biste otkazali blokiranje, bilo je potrebno ponovno unijeti podatke o računu. Međutim, slova su bila lažna. Preveli su na stranicu identičnu službenoj, ali lažnu. Prema procjenama stručnjaka, gubitak nije bio vrlo značajan (manje od milijun dolara).
Za primjenu socijalnog inženjeringa možepredviđaju kažnjavanje u nekim slučajevima. U nizu zemalja, na primjer, Sjedinjenim Državama, izlika (obmana lažnim predstavljanjem druge osobe) poistovjećuje se s narušavanjem privatnosti. Međutim, ovo može biti kažnjivo zakonom ako su podaci dobiveni tijekom pretvaranja bili povjerljivi sa stajališta subjekta ili organizacije. Snimanje telefonskog razgovora (kao metoda socijalnog inženjeringa) također je predviđeno zakonom i zahtijeva novčanu kaznu u iznosu od 250.000 USD ili zatvor do deset godina za pojedince. osobe. Pravne osobe moraju platiti 500 000 USD; pojam ostaje isti.
