I denne artikkelen vil vi ta hensyn til konseptet med"Sosialteknikk." Her vil en generell definisjon av begrepet bli vurdert. Vi lærer også om hvem som var grunnleggeren av dette konseptet. Vi vil separat snakke om de viktigste metodene for samfunnsingeniør som brukes av angripere.
Metoder for å justere atferdmann og styre sine aktiviteter uten bruk av et teknisk sett med verktøy, danner det generelle konseptet for sosial ingeniørfag. Alle metoder er basert på påstanden om at den menneskelige faktoren er den mest destruktive svakheten i ethvert system. Ofte blir dette konseptet betraktet som nivået av ulovlig aktivitet, der lovbryteren begår en handling som tar sikte på å skaffe informasjon fra offerets subjekt uærlig. Det kan for eksempel være en viss type manipulasjon. Imidlertid brukes sosialteknikk også av mennesker i legitime aktiviteter. I dag brukes det oftest til å få tilgang til ressurser med lukket eller verdifull informasjon.
Grunnleggeren av samfunnsingeniør erKevin Mitnick. Imidlertid kom konseptet i seg selv fra sosiologi. Den betegner et vanlig sett av tilnærminger brukt av anvendte sosiale tjenester. vitenskaper fokusert på å endre organisasjonsstrukturen som er i stand til å bestemme menneskelig atferd og utøve kontroll over den. Kevin Mitnik kan betraktes som grunnleggeren av denne vitenskapen, siden det var han som populariserte det sosiale. engineering i det første tiåret av det 21. århundre. Kevin selv var tidligere en hacker som begikk ulovlig adgang til en lang rekke databaser. Han argumenterte for at den menneskelige faktoren er den mest sårbare delen av et system med et hvilket som helst nivå av kompleksitet og organisering.
Hvis vi snakker om metoder for samfunnsingeniør somom metoden for å skaffe rettigheter (ofte ulovlig) til å bruke fortrolige data, kan vi si at de allerede var kjent i veldig lang tid. Imidlertid var det K. Mitnik som var i stand til å formidle den fulle viktigheten av deres betydning og anvendelsesegenskaper.
Enhver samfunnsteknisk teknikk er basert påtilstedeværelsen av kognitiv forvrengning. Atferdsfeil blir et "verktøy" i hendene på en dyktig ingeniør, som i fremtiden kan skape et angrep som tar sikte på å skaffe viktige data. Blant metodene for sosial ingeniørkunst, phishing og ikke-eksisterende koblinger skilles.
Phishing er et internettsvindel designet for å skaffe personlig informasjon, for eksempel om innlogging og passord.
Ikke-eksisterende kobling - bruk av lenken,som vil lokke mottakeren med visse fordeler som kan oppnås ved å gå gjennom den og besøke et bestemt sted. Oftest bruker de navnene på store selskaper, og gjør subtile justeringer av navnet sitt. Offeret, etter koblingen, "frivillig" vil overføre sine personopplysninger til angriperen.
Sosialteknikk bruker også svindelmetoder ved bruk av kjente merkevarer, mangelfulle antivirus og falske lotterier.
“Bedrageri og merkevarer” er en metode for bedrag somgjelder også phishing-delen. Dette inkluderer e-postmeldinger og nettsteder som inneholder navnet til et stort og / eller "hypet" selskap. Fra sidene deres blir meldinger sendt med melding om seier i en bestemt konkurranse. Deretter må du legge inn viktig kontoinformasjon og stjele den. Denne formen for svindel kan også utføres via telefon.
Fake lotteri - en måte en melding sendes til offeret med teksten om at han (a) vant (a) i lotteriet. Oftest maskeres et varsel ved å bruke navnene til store selskaper.
Falske antivirus er svindel overprogramvare. Den bruker programmer som ser ut som antivirus. Imidlertid fører de i virkeligheten til generering av falske varsler om en spesifikk trussel. De prøver også å lokke brukere til transaksjonsområdet.
Når vi snakker om sosialteknikk for nybegynnere, er det også verdt å nevne vishing, phreaking og påskudd.
Å ønske er en form for juks ved å bruketelefonnett. Den bruker forhåndsinnspilte talemeldinger, hvis formål er å gjenskape den "offisielle samtalen" til bankstrukturen eller et hvilket som helst annet IVR-system. Oftest blir de bedt om å oppgi brukernavn og / eller passord for å bekrefte informasjon. Med andre ord krever systemet godkjenning fra brukeren ved å bruke PIN-koder eller passord.
Sprøyting er en annen form for juks på telefonen. Det er et hackingssystem som bruker lydmanipulasjoner og toneoppringing.
Påskudd er et angrep som bruker en forhåndsdesignet plan, hvis essens skal presenteres av en annen enhet. En ekstremt komplisert måte å jukse på, da det krever nøye forberedelser.
Theory of Social Engineering - En mangefasettert basedata, som inkluderer både metoder for bedrag og manipulasjon, og metoder for å håndtere dem. Som hovedregel er angripere å trekke ut verdifull informasjon.
Blant andre typer svindel er: Quid-pro-quo, "road apple" -metoden, skuldersurfing, bruk av åpne kilder og reverse social. engineering.
Quid-pro-quo (fra lat.- “da for det”) - et forsøk på å hente ut informasjon fra et selskap eller firma. Dette skjer ved å kontakte henne på telefon eller ved å sende meldinger via e-post. Oftest er angriperne representert av ansatte hos dem. støtte, som rapporterer tilstedeværelsen av et spesifikt problem på arbeidsstedet til den ansatte. De foreslår videre måter å eliminere det på, for eksempel ved å installere programvare. Programvaren viser seg å være mangelfull og bidrar til å fremme kriminaliteten.
The Road Apple er en angrepsmetode sombasert på ideen om en trojansk hest. Essensen ligger i bruken av et fysisk medium og substitusjon av informasjon. For eksempel kan de gi et minnekort med en viss "fordel" som vil tiltrekke seg oppmerksomheten til offeret, forårsake et ønske om å åpne og bruke filen, eller følge koblingene som følger med i flash-enhetens dokumenter. Objektet med "road apple" blir dumpet på sosiale steder og vent til en angriperes plan blir realisert av enhver enhet.
Innsamling og søk av informasjon fra åpne kildertype er en svindel der dataene er basert på metodene for psykologi, evnen til å legge merke til små ting og analyse av tilgjengelige data, for eksempel en side fra et sosialt nettverk. Dette er en ganske ny måte å utvikle samfunnsingeniør på.
Konseptet “skuldersurfing” definerer seg selv somå observere et emne live bokstavelig. I denne typen datafiske går angriperen til offentlige steder, for eksempel en kafé, flyplass, togstasjon og ser på mennesker.
Ikke undervurder denne metoden, sommange undersøkelser og studier viser at en oppmerksom person kan motta mye konfidensiell informasjon bare ved å være observant.
Samfunnsteknikk (som nivåsosiologisk kunnskap) er et middel for å "fange" data. Det er måter å skaffe data der offeret selv vil tilby angriperen nødvendig informasjon. Imidlertid kan det tjene til samfunnets beste.
Tilbakemelding sosialeIngeniørfag er en annen metode for denne vitenskapen. Bruken av dette begrepet blir passende i tilfelle som vi nevnte ovenfor: offeret selv vil tilby angriperen nødvendig informasjon. Ikke ta denne uttalelsen som absurd. Faktum er at enheter som er utstyrt med autoritet i visse aktivitetsfelt ofte får tilgang til identifikasjonsdata ved egen beslutning. Grunnlaget her er tillit.
Viktig å huske! Supportpersonell vil aldri spørre brukeren, for eksempel et passord.
Sosialteknisk opplæring kan utføres av den enkelte både på grunnlag av personlig initiativ, og på grunnlag av fordeler som brukes i spesialopplæringsprogrammer.
Kriminelle kan søke mestforskjellige typer svindel, alt fra manipulering til latskap, troverdighet, høflighet av brukeren, etc. Det er ekstremt vanskelig å beskytte deg mot denne typen angrep, på grunn av offerets manglende bevissthet om at han (hun) ble lurt. For å beskytte dataene sine på dette farenivået, er forskjellige bedrifter og selskaper ofte involvert i evaluering av generell informasjon. Deretter integreres de nødvendige sikkerhetstiltak i sikkerhetspolitikken.
Et eksempel på sosial ingeniørfag (dets handling) innenEn måte å global phishing-post er en hendelse som skjedde i 2003. Under denne svindelen ble e-post sendt til eBay-brukere. De hevdet at kontoene som tilhørte dem ble sperret. For å avbryte låsen, måtte du oppgi kontoinformasjonen din på nytt. Brevene var imidlertid falske. De oversatte til en side som er identisk med den offisielle, men falske. I følge ekspertanslag var tapet ikke for betydelig (mindre enn en million dollar).
For anvendelse av sosialteknikk kanstraff i noen tilfeller. I en rekke land, for eksempel USA, blir påskudd (bedrag ved å etterligne seg en annen person) likestilt med en invasjon av det personlige livet. Dette kan imidlertid være straffbart ved lov hvis informasjonen som ble innhentet under påskudd var konfidensiell sett fra motivets eller organisasjonens synspunkt. Innspilling av en telefonsamtale (som en metode for samfunnsingeniør) er også fastsatt i lov og krever betaling av en bot på $ 250 000 eller fengsel i inntil ti år for enkeltpersoner. personer. Juridiske personer må betale $ 500 000; fristen forblir den samme.
