この記事では、コンセプトに焦点を当てます"ソーシャルエンジニアリング"。この用語の一般的な定義については、ここで説明します。また、このコンセプトの創設者が誰であるかについても学びます。サイバー犯罪者が使用するソーシャルエンジニアリングの主な方法について個別に話しましょう。
行動を修正する方法技術的なツールセットを使用せずに人とその活動を管理することは、ソーシャルエンジニアリングの一般的な概念を形成します。すべての方法は、人的要因がシステムの中で最も破壊的な弱点であるという主張に基づいています。多くの場合、この概念は、犯罪者が被害者から不正な方法で情報を取得することを目的としたアクションを実行する違法行為のレベルで考慮されます。たとえば、特定の種類の操作である可能性があります。ただし、ソーシャルエンジニアリングは、法律活動において人間によっても使用されます。今日では、機密情報や貴重な情報を含むリソースにアクセスするために最もよく使用されています。
ソーシャルエンジニアリングの創設者はケビン・ミトニック。しかし、まさにその概念は社会学から私たちにもたらされました。これは、適用されるソーシャルメディアで使用される一般的な一連のアプローチを示しています。科学は、人間の行動を決定し、それを制御することができる組織構造を変えることに焦点を合わせました。ケビン・ミトニックは、社会を普及させたのは彼だったので、この科学の祖先と見なすことができます。 21世紀の最初の10年間のエンジニアリング。ケビン自身は以前、さまざまなデータベースに不法に侵入したハッカーでした。彼は、人的要因は、あらゆるレベルの複雑さと組織のシステムの最も脆弱な点であると主張しました。
ソーシャルエンジニアリングの方法について話すと機密データを使用する権利(多くの場合違法)を取得する方法については、すでに非常に長い間知られていました。しかし、その意味とアプリケーション機能の重要性を伝えることができたのはK.Mitnikでした。
ソーシャルエンジニアリングの手法はすべて、認知バイアスの存在。行動エラーは、将来的に重要なデータを取得することを目的とした攻撃を作成する可能性のある熟練したエンジニアの手に渡る「ツール」になります。ソーシャルエンジニアリングの方法の中で、フィッシングと存在しないリンクが区別されます。
フィッシングは、ユーザー名やパスワードなどの個人情報を取得するために設計されたオンライン詐欺です。
存在しないリンク-リンクの使用、これは、受信者をクリックして特定のサイトにアクセスすることで得られる特定の利点で受信者を誘惑します。ほとんどの場合、大企業の名前が使用され、名前が微妙に調整されます。被害者は、リンクをたどって、「自発的に」自分の個人データを攻撃者に転送します。
ソーシャルエンジニアリングでは、有名なブランド、欠陥のあるウイルス対策ソフトウェア、偽の宝くじなどの不正な手法も採用されています。
「詐欺とブランディング」はそれをだます方法ですフィッシング部門にも属しています。これには、大規模および/または「宣伝された」会社の名前を含む電子メールおよびWebサイトが含まれます。特定のコンテストでの勝利を通知するメッセージがページから送信されます。次に、重要なアカウント情報を入力して盗む必要があります。また、この形式の詐欺は電話で行うことができます。
不正な宝くじは、被害者が宝くじに当選したことを示すメッセージを被害者に送信する方法です。ほとんどの場合、通知は大企業の名前を使用してマスクされます。
偽のアンチウイルスは詐欺ですソフトウェア。ウイルス対策に外見上類似しているプログラムを使用します。ただし、実際には、特定の脅威に関する誤った通知が生成されます。また、ユーザーをトランザクション領域に誘導しようとします。
初心者向けのソーシャルエンジニアリングと言えば、ビッシング、フリーキング、プレテキストについても言及する価値があります。
願いは、使用する欺瞞の一形態です電話網。ここでは、事前に録音された音声メッセージが使用されます。その目的は、銀行構造またはその他のIVRシステムの「公式通話」を再現することです。ほとんどの場合、情報を確認するためにユーザー名やパスワードの入力を求められます。つまり、システムは、PINコードまたはパスワードを使用してユーザーによって認証される必要があります。
フリーキングは、電話詐欺のもう1つの形態です。これは、サウンド操作とトーンダイヤルを使用したハッキングシステムです。
口実は、計画的な計画を使用した攻撃であり、その本質は別の主題による提示です。注意深い準備が必要なため、非常に難しい欺瞞の方法。
ソーシャルエンジニアリング理論-多面的な基盤欺瞞と操作の両方の方法、およびそれらに対処する方法を含むデータ。攻撃者の主なタスクは、原則として、貴重な情報を見つけることです。
他の種類の詐欺には、Quid-Pro-Quo、「ロードアップル」方式、ショルダーサーフィン、オープンソースの使用、リバースソーシャルなどがあります。エンジニアリング。
Quid-pro-quo(緯度から。-「それなら」)-会社や会社から情報を抽出する試み。これは、電話で彼女に連絡するか、電子メールでメッセージを送信することによって発生します。多くの場合、攻撃者は自分自身を技術スタッフとして紹介します。労働者の職場における特定の問題の存在を報告するサポート。次に、ソフトウェアをインストールするなどして、それを修正する方法を提案します。ソフトウェアに欠陥があることが判明し、犯罪を助長します。
ロードアップルは攻撃方法ですトロイの木馬のアイデアに基づいています。その本質は、物理的な媒体の使用と情報の置き換えにあります。たとえば、被害者の注意を引く特定の「恩恵」をメモリカードに提供したり、ファイルを開いて使用したりしたり、フラッシュドライブのドキュメントに示されているリンクをたどったりすることができます。 「ロードアップル」のオブジェクトはソーシャルな場所にドロップされ、攻撃者の計画が何らかのサブジェクトによって実装されるまで待機されます。
オープンソースからの情報の収集と検索タイプは、データの取得が心理学の方法、ささいなことに気付く能力、および利用可能なデータの分析、たとえばソーシャルネットワークからのページに基づいている詐欺です。これは、ソーシャルエンジニアリングのかなり新しい方法です。
ショルダーサーフィンはそれ自体を次のように定義しています主題を観察することは文字通りの意味で生きています。このタイプのデータ抽出では、攻撃者は、カフェ、空港、駅などの公共の場所に行き、人々をスパイします。
この方法を過小評価しないでください多くの調査や研究によると、気配りのある人は、注意を払うだけで多くの機密情報を受け取ることができます。
ソーシャルエンジニアリング(レベルとして社会学的知識)は、データを「キャプチャ」する手段です。データを取得する方法はいくつかあり、被害者自身が攻撃者に必要な情報を提供します。しかし、それは社会の利益にもなります。
逆社会工学はこの科学のもう一つの方法です。この用語の使用は、前述の場合に適切になります。被害者自身が攻撃者に必要な情報を提供します。この声明を不条理と見なさないでください。事実、特定の活動分野で権限を与えられた被験者は、被験者自身の決定で識別データにアクセスできることがよくあります。信頼が基盤です。
覚えておくことが重要です!サポートスタッフがユーザーにパスワードなどを要求することは決してありません。
ソーシャルエンジニアリングトレーニングは、個人のイニシアチブと特殊教育プログラムで使用されるエイズの両方に基づいて、個人が実施できます。
犯罪者は最も使用することができます操作から怠惰、だまされやすさ、ユーザーの礼儀など、さまざまな種類の欺瞞。被害者がだまされたことを認識していないため、この種の攻撃から身を守ることは非常に困難です。さまざまな企業や企業が、このレベルのリスクでデータを保護するために一般的な情報を評価することがよくあります。次に、必要な保護対策がセキュリティポリシーに統合されます。
現場でのソーシャルエンジニアリング(その行為)の例グローバルなフィッシングメールの方法は、2003年に発生したイベントです。この詐欺の過程で、eBayユーザーは自分の電子メールアドレスに電子メールを送信されました。彼らは、自分たちに属するアカウントがブロックされたと主張しました。ブロックを解除するには、アカウントデータを再入力する必要がありました。しかし、その手紙は偽物でした。彼らは公式のページと同じページに翻訳しましたが、偽物です。専門家の見積もりによると、損失はそれほど重要ではありませんでした(100万ドル未満)。
ソーシャルエンジニアリングのアプリケーションについては場合によっては罰を与える。米国などの多くの国では、口実(他人になりすますことによる欺瞞)はプライバシーの侵害と同じです。ただし、事前テキスト送信の過程で取得した情報が主題または組織の観点から機密である場合、これは法律によって罰せられる可能性があります。電話での会話の録音(ソーシャルエンジニアリングの方法として)も法律で規定されており、個人には250,000ドルの罰金または最長10年間の懲役が必要です。人。法人は500,000ドルを支払う必要があります。用語は同じままです。
