В тази статия ще обърнем внимание на понятието "социално инженерство". Тук ще бъде разгледана обща дефиниция на термина. Ще научим и кой е основателят на тази концепция. Нека поговорим отделно за основните методи на социално инженерство, използвани от нападателите.
Въведение
Методи, които ви позволяват да коригирате поведението на човек и да управлявате неговите дейности без използването на технически набор от инструменти, формират общата концепция на социалното инженерство. Всички методи се основават на твърдението, че човешкият фактор е най-разрушителната слабост на всяка система. Често това понятие се разглежда на ниво незаконна дейност, чрез която престъпникът извършва действие, насочено към получаване на информация от субекта-жертва по нечестен начин. Например, това може да е някаква манипулация. Социалното инженерство обаче се използва и от хората в законни дейности. Към днешна дата най-често се използва за достъп до ресурси с чувствителна или чувствителна информация.
Основател
Основателят на социалното инженерство е Кевин Митник. Самото понятие обаче дойде при нас от социологията. Той обозначава общ набор от подходи, използвани от приложните социални. науки, фокусирани върху промяната на организационната структура, която може да определя човешкото поведение и да упражнява контрол върху него. Кевин Митник може да се счита за основател на тази наука, тъй като именно той популяризира социалното. инженерство през първото десетилетие на 21 век. Самият Кевин преди това е бил хакер, който е влизал незаконно в голямо разнообразие от бази данни. Той твърди, че човешкият фактор е най-уязвимата точка на система от всякакво ниво на сложност и организация.
Ако говорим за методите на социалното инженерство като начин за получаване на права (често незаконни) за използване на поверителни данни, можем да кажем, че те са известни от много дълго време. Въпреки това, К. Митник успя да предаде значението на тяхното значение и особеностите на приложение.
Фишинг и несъществуващи връзки
Всяка техника на социалното инженерство се основава на наличието на когнитивни изкривявания. Поведенческите грешки се превръщат в "инструмент" в ръцете на квалифициран инженер, който в бъдеще може да създаде атака, насочена към получаване на важни данни. Сред методите за социално инженерство се разграничават фишинг и несъществуващи връзки.
Фишингът е онлайн измама, предназначена за получаване на лична информация като потребителско име и парола.
Несъществуваща връзка - използване на връзка, която ще примами получателя с определенипредимства, които могат да бъдат получени, като кликнете върху него и посетите конкретен сайт. Най-често се използват имената на големи компании, като се правят фини корекции в името им. Жертвата, като щракне върху връзката, ще прехвърли личните си данни "доброволно" на нападателя.
Методи, използващи марки, дефектни антивирусни програми и фалшива лотария
Социалното инженерство също използва измами с марки, дефектни антивирусни програми и фалшиви лотарии.
"Измама и марки" - метод за измама, който също принадлежи към раздела за фишинг. Това включва имейли и уебсайтове, които съдържат името на голяма и/или „разпространена“компания. От страниците им се изпращат съобщения с известие за победа в определено състезание. След това трябва да въведете важна информация за акаунта и да я откраднете. Също така тази форма на измама може да се извърши по телефона.
Фалшива лотария - метод, при който се изпраща съобщение до жертвата с текст, че той (а) спечели (а) от лотарията. Най-често сигналът се маскира с имената на големи корпорации.
Фалшивите антивируси са софтуерни измами. Той използва програми, които изглеждат като антивирусни. В действителност обаче те водят до генериране на фалшиви известия за конкретна заплаха. Те също се опитват да примамят потребителите в сферата на транзакциите.
Вишне, phreaking и претекст
Докато говорим за социалното инженерство за начинаещи, трябва да споменем и вишинг, phreaking и претекст.
Vishing е форма на измама, която използва телефонни мрежи. Той използва предварително записани гласови съобщения, чиято цел е да пресъздаде "официалното обаждане" на банковата структура или всяка друга IVR система. Най-често от тях се иска да въведат потребителско име и/или парола, за да потвърдят каквато и да е информация. С други думи, системата изисква удостоверяване от потребителя с помощта на ПИН кодове или пароли.
Phreaking е друга форма на телефонна измама. Това е хакерска система, използваща манипулиране на звука и тонално набиране.
Претекстът е атака, използваща предварително обмислен план, чиято същност е да представлява друг субект. Изключително труден начин за измама, тъй като изисква внимателна подготовка.
Quid Pro Quo и методът на пътната ябълка
Теорията на социалното инженерство е многостранна база данни, която включва както методи за измама и манипулация, така и начини за справяне с тях. Основната задача на натрапниците, като правило, е да извличат ценна информация.
Други видове измами включват: quid pro quo, road apple, сърфиране на рамото, отворен код и обратни социални медии. инженерство.
Quid-pro-quo (от латински - "за това") - опит за извличане на информация от компания или фирма. Това става като се свържете с нея по телефона или като изпратите съобщения по имейл. Най-често нападателитесе представят за служители. поддръжка, които отчитат наличието на конкретен проблем на работното място на служителя. След това те предлагат начини да го поправят, например чрез инсталиране на софтуер. Софтуерът се оказва дефектен и насърчава престъплението.
Пътната ябълка е метод за атака, който се основава на идеята за троянски кон. Същността му се крие в използването на физически носител и подмяната на информация. Например, те могат да осигурят карта с памет с определено "добро", което ще привлече вниманието на жертвата, ще предизвика желание за отваряне и използване на файла или последване на връзките, посочени в документите на флаш устройството. Обектът "пътна ябълка" се пуска на социални места и се изчаква, докато планът на натрапника бъде изпълнен от някакъв субект.
Събирането и търсенето на информация от отворени източници е измама, при която събирането на данни се основава на методите на психологията, способността да се забелязват малки неща и анализа на наличните данни, например страници от социална мрежа. Това е сравнително нов начин на социално инженерство.
Сърфиране през рамо и обръщане на социалните мрежи. инженеринг
Концепцията за "сърфиране на рамото" се определя като гледане на субект на живо в буквалния смисъл. С този тип риболов на данни нападателят отива на обществени места, като кафене, летище, гара и следва хора.
Не подценявайте този метод, тъй като много проучвания и проучвания показват, че внимателният човек може да получи много поверителниинформация просто като бъдете наблюдателни.
Социалното инженерство (като ниво на социологическо познание) е средство за „улавяне“на данни. Има начини за получаване на данни, при които самата жертва ще предложи на нападателя необходимата информация. Въпреки това, той може да служи и за доброто на обществото.
Обратни социални инженерството е друг метод на тази наука. Използването на този термин става подходящо в случая, който споменахме по-горе: самата жертва ще предложи на нападателя необходимата информация. Това твърдение не трябва да се приема като абсурдно. Факт е, че субектите, надарени с авторитет в определени области на дейност, често получават достъп до идентификационни данни по собствено решение на субекта. Основата тук е доверието.
Важно да запомните! Обслужващият персонал никога няма да поиска от потребителя парола, например.
Информация и защита
Обучението по социално инженерство може да се извърши от индивида или въз основа на лична инициатива, или въз основа на предимства, които се използват в специални програми за обучение.
Престъпниците могат да използват голямо разнообразие от видове измама, вариращи от манипулация до мързел, доверчивост, любезност на потребителя и т.н. Изключително трудно е да се предпазите от този тип атака, поради липсата на жертвата осъзнаване, че той) изневерява. Различни фирми и компании, за да защитят своите данни при това ниво на опасност, често се ангажират с оценката на обща информация. Следващата стъпка е да интегрирате необходимотопредпазни мерки за политиката за сигурност.
Примери
Пример за социално инженерство (нейното действие) в областта на глобалните фишинг имейли е събитие, случило се през 2003 г. По време на тази измама бяха изпратени имейли до потребителите на eBay. Те твърдят, че принадлежащите им сметки са блокирани. За да отмените блокирането, беше необходимо да въведете отново данните за акаунта. Писмата обаче бяха фалшиви. Преведоха се на страница, идентична с официалната, но фалшива. Според експертни оценки загубата не е била твърде значителна (по-малко от милион долара).
Определение на отговорност
Използването на социално инженерство може да бъде наказуемо в някои случаи. В редица страни, като Съединените щати, претекстът (измама чрез представяне за друго лице) се приравнява с нахлуване в личния живот. Това обаче може да бъде наказуемо от закона, ако информацията, получена по време на претекст, е поверителна от гледна точка на субекта или организацията. Записването на телефонен разговор (като метод за социално инженерство) също се изисква от закона и изисква глоба от 250 000 долара или лишаване от свобода до десет години за физически лица. лица. Юридическите лица са длъжни да платят $500 000; крайният срок остава същият.