I denne artikkelen vil vi ta hensyn til konseptet "sosial ingeniørkunst". En generell definisjon av begrepet vil bli vurdert her. Vi vil også lære om hvem som var grunnleggeren av dette konseptet. La oss snakke separat om de viktigste metodene for sosial ingeniørkunst som brukes av angripere.
Introduksjon
Metoder som lar deg korrigere en persons atferd og administrere hans aktiviteter uten bruk av et teknisk sett med verktøy, utgjør det generelle konseptet sosial ingeniørkunst. Alle metoder er basert på påstanden om at den menneskelige faktoren er den mest destruktive svakheten til ethvert system. Ofte vurderes dette konseptet på nivået av ulovlig aktivitet, der kriminelle utfører en handling rettet mot å innhente informasjon fra subjektofferet på en uærlig måte. Det kan for eksempel være en slags manipulasjon. Imidlertid brukes sosial ingeniørkunst også av mennesker i legitime aktiviteter. Til dags dato er det oftest brukt for å få tilgang til ressurser med sensitiv eller sensitiv informasjon.
Gründer
Gründeren av sosial ingeniørkunst er Kevin Mitnick. Selve konseptet kom imidlertid til oss fra sosiologien. Det betegner et generelt sett med tilnærminger brukt av anvendt sosial. vitenskaper fokusert på å endre organisasjonsstrukturen som kan bestemme menneskelig atferd og utøve kontroll over den. Kevin Mitnick kan betraktes som grunnleggeren av denne vitenskapen, siden det var han som populariserte det sosiale. ingeniørfag i det første tiåret av det 21. århundre. Kevin selv var tidligere en hacker som ulovlig gikk inn i en lang rekke databaser. Han hevdet at den menneskelige faktoren er det mest sårbare punktet i et system uansett kompleksitet og organisering.
Hvis vi snakker om sosiale ingeniørmetoder som en måte å få rettigheter (ofte ulovlige) til å bruke konfidensiell data, kan vi si at de har vært kjent i svært lang tid. Imidlertid var det K. Mitnick som var i stand til å formidle viktigheten av deres mening og særegenheter ved bruken.
Phishing og ikke-eksisterende lenker
Enhver teknikk for sosial ingeniørkunst er basert på tilstedeværelsen av kognitive forvrengninger. Atferdsfeil blir et «verktøy» i hendene på en dyktig ingeniør, som i fremtiden kan skape et angrep rettet mot å innhente viktige data. Blant sosiale ingeniørmetoder skilles det mellom phishing og ikke-eksisterende lenker.
Phishing er en nettsvindel utviklet for å få personlig informasjon som brukernavn og passord.
Ikke-eksisterende lenke - ved hjelp av en lenke som vil lokke mottakeren med vissefordeler som kan oppnås ved å klikke på den og besøke et bestemt nettsted. Oftest brukes navnene på store selskaper, noe som gjør subtile justeringer av navnet deres. Offeret, ved å klikke på lenken, vil "frivillig" overføre sine personlige data til angriperen.
Metoder som bruker merkevarer, defekte antivirus og et falskt lotteri
Social engineering bruker også merkenavnsvindel, defekte antivirus og falske lotterier.
"Svindel og merkevarer" - en metode for bedrag, som også tilhører phishing-delen. Dette inkluderer e-poster og nettsteder som inneholder navnet på et stort og/eller "hypet" selskap. Meldinger sendes fra sidene deres med varsel om seier i en bestemt konkurranse. Deretter må du skrive inn viktig kontoinformasjon og stjele den. Denne formen for svindel kan også utføres via telefon.
Falsk lotteri - en metode der en melding sendes til offeret med teksten om at han (a) vant (a) lotteriet. Oftest maskeres varselet ved å bruke navn på store selskaper.
Falske antivirus er programvaresvindel. Den bruker programmer som ser ut som antivirus. Men i virkeligheten fører de til generering av falske varsler om en bestemt trussel. De prøver også å lokke brukere inn i transaksjonsområdet.
Vising, phreaking og påskudd
Mens vi snakker om sosial ingeniørkunst for nybegynnere, bør vi også nevne vishing, phreaking og påskudd.
Vising er en form for bedrag som bruker telefonnettverk. Den bruker forhåndsinnspilte talemeldinger, hvis formål er å gjenskape den "offisielle samtalen" til bankstrukturen eller et hvilket som helst annet IVR-system. Oftest blir de bedt om å skrive inn et brukernavn og/eller passord for å bekrefte eventuell informasjon. Systemet krever med andre ord autentisering av brukeren ved hjelp av PIN-koder eller passord.
Phreaking er en annen form for telefonsvindel. Det er et hackingsystem som bruker lydmanipulering og toneoppringing.
Påskudd er et angrep som bruker en overlagt plan, hvis essens er å representere et annet emne. En ekstremt vanskelig måte å jukse på, siden det krever nøye forberedelser.
Quid Pro Quo and the Road Apple Method
Teorien om sosial ingeniørkunst er en mangefasettert database som inkluderer både metoder for bedrag og manipulasjon, samt måter å håndtere dem på. Inntrengernes hovedoppgave er som regel å fiske opp verdifull informasjon.
Andre typer svindel inkluderer: quid pro quo, road apple, skuldersurfing, åpen kildekode og omvendt sosiale medier. engineering.
Quid-pro-quo (fra latin - "for dette") - et forsøk på å trekke ut informasjon fra et selskap eller firma. Dette skjer ved å kontakte henne på telefon eller ved å sende meldinger på e-post. Oftest angripereutgi seg for å være ansatte. støtte, som rapporterer tilstedeværelsen av et spesifikt problem på arbeidsplassen til den ansatte. De foreslår deretter måter å fikse det på, for eksempel ved å installere programvare. Programvaren viser seg å være defekt og fremmer forbrytelsen.
The Road Apple er en angrepsmetode som er basert på ideen om en trojansk hest. Dens essens ligger i bruken av et fysisk medium og erstatning av informasjon. For eksempel kan de gi et minnekort med en viss "god" som vil tiltrekke oppmerksomheten til offeret, forårsake et ønske om å åpne og bruke filen eller følge koblingene som er angitt i dokumentene til flash-stasjonen. "Road apple"-objektet slippes på sosiale steder og ventes til inntrengerens plan er implementert av et eller annet subjekt.
Å samle og søke etter informasjon fra åpne kilder er en svindel der datainnsamling er basert på psykologiens metoder, evnen til å legge merke til småting og analyse av tilgjengelige data, for eksempel sider fra et sosi alt nettverk. Dette er en ganske ny måte for sosial ingeniørkunst.
Skuldersurfing og omvendt sosial. engineering
Begrepet "skuldersurfing" definerer seg selv som å se et emne live i bokstavelig forstand. Med denne typen datafiske drar angriperen til offentlige steder, som en kafé, flyplass, togstasjon og følger folk.
Ikke undervurder denne metoden, siden mange undersøkelser og studier viser at en oppmerksom person kan motta mye konfidensieltinformasjon ganske enkelt ved å være observant.
Sosial engineering (som et nivå av sosiologisk kunnskap) er et middel til å "fange" data. Det er måter å skaffe data der offeret selv vil tilby angriperen nødvendig informasjon. Det kan imidlertid også tjene samfunnets beste.
Omvendt sosi alt ingeniørfag er en annen metode for denne vitenskapen. Bruken av dette begrepet blir hensiktsmessig i tilfellet som vi nevnte ovenfor: offeret selv vil tilby angriperen den nødvendige informasjonen. Denne uttalelsen bør ikke oppfattes som absurd. Faktum er at forsøkspersoner som har myndighet på visse virksomhetsområder ofte får tilgang til identifikasjonsdata etter forsøkspersonens eget vedtak. Grunnlaget her er tillit.
Viktig å huske! Støttepersonell vil for eksempel aldri be brukeren om passord.
Informasjon og beskyttelse
Sosialingeniørutdanning kan gjennomføres av den enkelte enten på grunnlag av eget initiativ eller på grunnlag av ytelser som brukes i spesielle opplæringsprogrammer.
Kriminelle kan bruke en lang rekke typer bedrag, alt fra manipulasjon til latskap, godtroenhet, høflighet av brukeren osv. Det er ekstremt vanskelig å beskytte seg mot denne typen angrep, på grunn av offerets mangel på bevissthet om at han) jukset. Ulike firmaer og selskaper for å beskytte dataene sine på dette farenivået er ofte engasjert i evalueringen av generell informasjon. Neste steg er å integrere det nødvendigesikkerhetstiltak for sikkerhetspolitikken.
Eksempler
Et eksempel på sosial engineering (dets handling) innen globale phishing-utsendelser er en hendelse som fant sted i 2003. E-poster ble sendt til eBay-brukere under denne svindelen. De hevdet at kontoene som tilhørte dem var sperret. For å avbryte blokkeringen var det nødvendig å legge inn kontodataene på nytt. Bokstavene var imidlertid falske. De oversatte til en side som er identisk med den offisielle, men falsk. Ifølge ekspertestimater var tapet ikke for betydelig (mindre enn en million dollar).
Definisjon av ansvar
Bruk av sosial teknikk kan være straffbart i noen tilfeller. I en rekke land, som for eksempel USA, sidestilles påskudd (bedrag ved å utgi seg for en annen person) med en krenkelse av privatlivet. Dette kan imidlertid være straffbart ved lov dersom informasjonen som ble innhentet under påskudd var konfidensiell fra observandens eller organisasjonens synspunkt. Å ta opp en telefonsamtale (som en sosial ingeniørmetode) er også lovpålagt og krever en bot på $250 000 eller fengsel i opptil ti år for enkeltpersoner. personer. Juridiske enheter er pålagt å betale $500 000; fristen forblir den samme.
