Šajā rakstā mēs pievērsīsim uzmanību jēdzienam "sociālā inženierija". Šeit tiks aplūkota vispārīga termina definīcija. Mēs arī uzzināsim par to, kurš bija šīs koncepcijas dibinātājs. Parunāsim atsevišķi par galvenajām sociālās inženierijas metodēm, ko izmanto uzbrucēji.
Ievads
Metodes, kas ļauj koriģēt cilvēka uzvedību un vadīt viņa darbības, neizmantojot tehnisko rīku komplektu, veido vispārējo sociālās inženierijas jēdzienu. Visas metodes ir balstītas uz apgalvojumu, ka cilvēka faktors ir jebkuras sistēmas postošākais vājums. Bieži vien šis jēdziens tiek aplūkots nelikumīgas darbības līmenī, ar kuras palīdzību noziedznieks veic darbību, kuras mērķis ir negodprātīgā veidā iegūt informāciju no subjekta-upura. Piemēram, tā varētu būt sava veida manipulācija. Tomēr sociālo inženieriju cilvēki izmanto arī likumīgās darbībās. Līdz šim to visbiežāk izmanto, lai piekļūtu resursiem ar sensitīvu vai sensitīvu informāciju.
Dibinātājs
Sociālās inženierijas dibinātājs ir Kevins Mitniks. Tomēr pats jēdziens mums nāca no socioloģijas. Tas apzīmē vispārēju pieeju kopumu, ko izmanto lietišķā sociālā. zinātnes koncentrējās uz organizatoriskās struktūras maiņu, kas var noteikt cilvēka uzvedību un kontrolēt to. Kevinu Mitniku var uzskatīt par šīs zinātnes pamatlicēju, jo tieši viņš popularizēja sociālo. inženierzinātnes 21. gadsimta pirmajā desmitgadē. Pats Kevins iepriekš bija hakeris, kurš nelegāli iekļuva visdažādākajās datubāzēs. Viņš apgalvoja, ka cilvēka faktors ir visneaizsargātākais jebkura līmeņa sarežģītības un organizācijas punkts.
Ja runājam par sociālās inženierijas metodēm kā veidu, kā iegūt tiesības (bieži vien nelikumīgas) izmantot konfidenciālus datus, var teikt, ka tās ir zināmas jau ļoti ilgu laiku. Tomēr tieši K. Mitniks spēja izteikt to nozīmes nozīmi un pielietojuma īpatnības.
Pikšķerēšana un neesošas saites
Jebkura sociālās inženierijas tehnika ir balstīta uz kognitīvo traucējumu esamību. Uzvedības kļūdas kļūst par "instrumentu" prasmīga inženiera rokās, kurš nākotnē var izveidot uzbrukumu, kura mērķis ir iegūt svarīgus datus. Starp sociālās inženierijas metodēm izšķir pikšķerēšanu un neesošas saites.
Pikšķerēšana ir tiešsaistes krāpniecība, kas izstrādāta, lai iegūtu personas informāciju, piemēram, lietotājvārdu un paroli.
Neeksistējoša saite - izmantojot saiti, kas piesaistīs adresātu ar noteiktupriekšrocības, ko var iegūt, noklikšķinot uz tā un apmeklējot konkrētu vietni. Visbiežāk tiek izmantoti lielu uzņēmumu nosaukumi, veicot smalkas korekcijas to nosaukumā. Upuris, noklikšķinot uz saites, "brīvprātīgi" nodos savus personas datus uzbrucējam.
Metodes, kurās izmanto zīmolus, bojātus antivīrusus un viltotu loteriju
Sociālā inženierija izmanto arī zīmolu krāpniecību, bojātus pretvīrusus un viltotas loterijas.
"Krāpšana un zīmoli" - maldināšanas metode, kas arī pieder pikšķerēšanas sadaļai. Tas attiecas arī uz e-pasta ziņojumiem un vietnēm, kurās ir liela un/vai “izplatīta” uzņēmuma nosaukums. No viņu lapām tiek sūtītas ziņas ar paziņojumu par uzvaru noteiktā konkursā. Pēc tam jums jāievada svarīga konta informācija un tā jānozog. Arī šāda veida krāpšanu var veikt pa tālruni.
Viltus loterija – metode, kurā cietušajam tiek nosūtīta ziņa ar tekstu, ka viņš (a) vinnējis (a) loterijā. Visbiežāk brīdinājums tiek maskēts, izmantojot lielu korporāciju nosaukumus.
Viltus antivīrusi ir programmatūras krāpniecība. Tas izmanto programmas, kas izskatās kā antivīrusi. Tomēr patiesībā tie izraisa nepatiesu paziņojumu ģenerēšanu par konkrētu apdraudējumu. Viņi arī cenšas ievilināt lietotājus darījumu jomā.
Vīrīšanās, murgošana un aizbildināšanās
Runājot par sociālo inženieriju iesācējiem, jāpiemin arī vizēšana, izrunāšanās un aizbildināšanās.
Vishing ir maldināšanas veids, kurā tiek izmantoti tālruņu tīkli. Tas izmanto iepriekš ierakstītas balss ziņas, kuru mērķis ir atjaunot bankas struktūras vai jebkuras citas IVR sistēmas "oficiālo zvanu". Visbiežāk viņiem tiek lūgts ievadīt lietotājvārdu un/vai paroli, lai apstiprinātu jebkādu informāciju. Citiem vārdiem sakot, sistēma pieprasa lietotāja autentifikāciju, izmantojot PIN kodus vai paroles.
Pārrunas ir vēl viens tālruņa krāpniecības veids. Tā ir uzlaušanas sistēma, kas izmanto skaņas manipulācijas un toņu sastādīšanu.
Ieganstīšanās ir uzbrukums, izmantojot iepriekš pārdomātu plānu, kura būtība ir pārstāvēt citu subjektu. Ļoti sarežģīts krāpšanās veids, jo tam nepieciešama rūpīga sagatavošanās.
Quid Pro Quo un Road Apple metode
Sociālās inženierijas teorija ir daudzpusīga datubāze, kas ietver gan maldināšanas un manipulācijas metodes, gan veidus, kā ar tām cīnīties. Iebrucēju galvenais uzdevums, kā likums, ir izzvejot vērtīgu informāciju.
Cita veida krāpniecības ietver: quid pro quo, road Apple, plecu sērfošanu, atvērtā koda un reverso sociālo mediju. inženierzinātnes.
Quid-pro-quo (no latīņu valodas - "par šo") - mēģinājums iegūt informāciju no uzņēmuma vai firmas. Tas notiek, sazinoties ar viņu pa tālruni vai sūtot ziņas pa e-pastu. Visbiežāk uzbrucējiizlikties par darbiniekiem. atbalsts, kas ziņo par konkrētas problēmas esamību darbinieka darba vietā. Pēc tam viņi iesaka veidus, kā to novērst, piemēram, instalējot programmatūru. Programmatūra izrādās bojāta un veicina noziegumu.
The Road Apple ir uzbrukuma metode, kuras pamatā ir ideja par Trojas zirgu. Tās būtība ir fiziska medija izmantošanā un informācijas aizstāšanā. Piemēram, viņi var nodrošināt atmiņas karti ar noteiktu "labumu", kas piesaistīs cietušā uzmanību, izraisīs vēlmi atvērt un izmantot failu vai sekot saitēm, kas norādītas zibatmiņas diska dokumentos. Objekts "ceļa ābols" tiek nomests sociālajās vietās un gaidīts, kamēr kāds subjekts īstenos iebrucēja plānu.
Informācijas vākšana un meklēšana no atklātajiem avotiem ir krāpniecība, kurā datu iegūšana balstās uz psiholoģijas metodēm, spēju pamanīt sīkumus un pieejamo datu analīzi, piemēram, lapas no sociālā tīkla. Šis ir diezgan jauns sociālās inženierijas veids.
Plecu sērfošana un apgrieztā saziņa. inženierija
Jēdziens "plecu sērfošana" sevi definē kā subjekta skatīšanos tiešraidē tiešā nozīmē. Izmantojot šāda veida datu zveju, uzbrucējs dodas uz sabiedriskām vietām, piemēram, kafejnīcu, lidostu, dzelzceļa staciju un seko cilvēkiem.
Nenovērtējiet šo metodi par zemu, jo daudzas aptaujas un pētījumi liecina, ka uzmanīgs cilvēks var saņemt daudz konfidenciāluinformāciju, vienkārši esiet uzmanīgs.
Sociālā inženierija (kā socioloģisko zināšanu līmenis) ir līdzeklis datu “tveršanai”. Ir veidi, kā iegūt datus, kuros cietušā pati piedāvās uzbrucējam nepieciešamo informāciju. Tomēr tas var kalpot arī sabiedrības labā.
Reverse social inženierija ir vēl viena šīs zinātnes metode. Šī termina lietošana kļūst piemērota gadījumā, ko minējām iepriekš: cietušais pats piedāvās uzbrucējam nepieciešamo informāciju. Šo apgalvojumu nevajadzētu uztvert kā absurdu. Fakts ir tāds, ka subjekti, kuriem ir tiesības noteiktās darbības jomās, bieži vien iegūst piekļuvi identifikācijas datiem pēc subjekta paša lēmuma. Pamats šeit ir uzticēšanās.
Svarīgi atcerēties! Atbalsta personāls nekad neprasīs lietotājam, piemēram, paroli.
Informācija un aizsardzība
Sociālās inženierijas apmācību indivīds var veikt vai nu pēc personīgās iniciatīvas, vai arī pamatojoties uz priekšrocībām, kas tiek izmantotas īpašās apmācības programmās.
Noziedznieki var izmantot dažādus maldināšanas veidus, sākot no manipulācijām līdz slinkumam, lētticībai, lietotāja pieklājībai utt. Ir ārkārtīgi grūti pasargāt sevi no šāda veida uzbrukumiem, jo cietušajam nav apziņa, ka viņš) krāpis. Dažādas firmas un uzņēmumi, lai aizsargātu savus datus šādā bīstamības līmenī, bieži vien nodarbojas ar vispārīgas informācijas novērtēšanu. Nākamais solis ir integrēt nepieciešamodrošības politikas garantijas.
Piemēri
Sociālās inženierijas (tā darbības) piemērs globālo pikšķerēšanas sūtījumu jomā ir notikums, kas notika 2003. gadā. Šīs krāpniecības laikā eBay lietotājiem tika nosūtīti e-pasta ziņojumi. Viņi apgalvoja, ka viņiem piederošie konti ir bloķēti. Lai atceltu bloķēšanu, bija nepieciešams atkārtoti ievadīt konta datus. Tomēr vēstules bija viltotas. Tie tika tulkoti lapā, kas ir identiska oficiālajai, bet viltota. Pēc ekspertu aplēsēm, zaudējumi nebija pārāk nozīmīgi (mazāk par miljonu dolāru).
Atbildības definīcija
Atsevišķos gadījumos sociālās inženierijas izmantošana var būt sodāma. Vairākās valstīs, piemēram, ASV, aizbildināšanās (maldināšana, uzdodoties par citu personu) tiek pielīdzināta privātuma aizskaršanai. Tomēr tas var būt sodāms ar likumu, ja aizbildināšanās laikā iegūtā informācija ir bijusi konfidenciāla no subjekta vai organizācijas viedokļa. Arī telefonsarunas ierakstīšana (kā sociālās inženierijas metode) ir noteikta likumā, un par to personām ir paredzēts naudas sods 250 000 USD vai brīvības atņemšana uz laiku līdz desmit gadiem. personām. Juridiskām personām ir jāmaksā USD 500 000; termiņš paliek nemainīgs.