În acest articol vom acorda atenție conceptului de „inginerie socială”. O definiție generală a termenului va fi luată în considerare aici. Vom afla, de asemenea, despre cine a fost fondatorul acestui concept. Să vorbim separat despre principalele metode de inginerie socială folosite de atacatori.
Introducere
Metode care vă permit să corectați comportamentul unei persoane și să gestionați activitățile acesteia fără utilizarea unui set tehnic de instrumente formează conceptul general de inginerie socială. Toate metodele se bazează pe afirmația că factorul uman este cea mai distructivă slăbiciune a oricărui sistem. Adesea acest concept este considerat la nivelul activității ilegale, prin care infractorul efectuează o acțiune care vizează obținerea de informații de la subiectul-victimă în mod necinstit. De exemplu, ar putea fi un fel de manipulare. Cu toate acestea, ingineria socială este folosită și de oameni în activități legitime. Până în prezent, este cel mai adesea folosit pentru a accesa resurse cu informații sensibile sau sensibile.
Fondator
Fondatorul ingineriei sociale este Kevin Mitnick. Totuși, conceptul în sine ne-a venit din sociologie. Ea denotă un set general de abordări utilizate de socialul aplicat. științe concentrate pe schimbarea structurii organizaționale care poate determina comportamentul uman și exercita controlul asupra acestuia. Kevin Mitnick poate fi considerat fondatorul acestei științe, deoarece el a popularizat socialul. inginerie în primul deceniu al secolului XXI. Kevin însuși a fost anterior un hacker care a intrat ilegal într-o mare varietate de baze de date. El a susținut că factorul uman este punctul cel mai vulnerabil al unui sistem de orice nivel de complexitate și organizare.
Dacă vorbim despre metode de inginerie socială ca o modalitate de a obține drepturi (adesea ilegale) de utilizare a datelor confidențiale, putem spune că acestea sunt cunoscute de foarte mult timp. Cu toate acestea, K. Mitnick a fost cel care a fost capabil să transmită importanța semnificației lor și particularitățile de aplicare.
Phishing și linkuri inexistente
Orice tehnică de inginerie socială se bazează pe prezența distorsiunilor cognitive. Erorile de comportament devin un „instrument” în mâinile unui inginer priceput, care în viitor poate crea un atac în scopul obținerii de date importante. Printre metodele de inginerie socială se disting phishing-ul și linkurile inexistente.
Phishingul este o înșelătorie online concepută pentru a obține informații personale, cum ar fi numele de utilizator și parola.
Link inexistent - folosind un link care va atrage destinatarul cu anumitebeneficii care pot fi obținute făcând clic pe el și vizitând un anumit site. Cel mai adesea, sunt folosite numele companiilor mari, făcând ajustări subtile numelui acestora. Victima, făcând clic pe link, își va transfera „voluntar” datele personale către atacator.
Metode care folosesc mărci, antivirusuri defecte și o loterie falsă
Ingineria socială folosește, de asemenea, escrocherii cu nume de marcă, antivirusuri defecte și loterie false.
„Fraude și mărci” - o metodă de înșelăciune, care aparține și secțiunii de phishing. Acestea includ e-mailurile și site-urile web care conțin numele unei companii mari și/sau „folosite”. Mesajele sunt trimise de pe paginile lor cu notificarea victoriei într-o anumită competiție. Apoi, trebuie să introduceți informații importante despre cont și să le furați. De asemenea, această formă de fraudă poate fi efectuată prin telefon.
Loterie falsă - o metodă prin care victimei îi este trimis un mesaj cu textul că aceasta (a) a câștigat (a) la loterie. Cel mai adesea, alerta este mascata folosind numele marilor corporații.
Antivirusurile false sunt escrocherii software. Folosește programe care arată ca antivirusuri. Cu toate acestea, în realitate, acestea duc la generarea de notificări false despre o anumită amenințare. De asemenea, încearcă să atragă utilizatorii în domeniul tranzacțiilor.
Vishing, phreaking și pretexting
În timp ce vorbim despre inginerie socială pentru începători, ar trebui să menționăm și vishing, phreaking și pretexting.
Vishing este o formă de înșelăciune care folosește rețelele de telefonie. Utilizează mesaje vocale preînregistrate, al căror scop este recrearea „apelului oficial” al structurii bancare sau al oricărui alt sistem IVR. Cel mai adesea, li se cere să introducă un nume de utilizator și/sau o parolă pentru a confirma orice informație. Cu alte cuvinte, sistemul necesită autentificare de către utilizator folosind coduri PIN sau parole.
Phreaking este o altă formă de înșelătorie telefonică. Este un sistem de hacking care utilizează manipularea sunetului și apelarea tonurilor.
Pretextarea este un atac care folosește un plan premeditat, a cărui esență este reprezentarea unui alt subiect. O modalitate extrem de dificilă de a înșela, deoarece necesită o pregătire atentă.
Quid Pro Quo și metoda Road Apple
Teoria ingineriei sociale este o bază de date cu mai multe fațete care include atât metode de înșelăciune și manipulare, cât și modalități de a le trata. Sarcina principală a intrușilor este, de regulă, să afle informații valoroase.
Alte tipuri de escrocherii includ: quid pro quo, road apple, shoulder surfing, open source și reverse social media. inginerie.
Quid-pro-quo (din latină - „pentru aceasta”) - o încercare de a extrage informații de la o companie sau firmă. Acest lucru se întâmplă contactând-o prin telefon sau trimițând mesaje prin e-mail. Cel mai adesea, atacatoripretind a fi angajati. suport, care raportează prezența unei probleme specifice la locul de muncă al angajatului. Apoi sugerează modalități de remediere, de exemplu prin instalarea de software. Software-ul se dovedește a fi defect și promovează crima.
The Road Apple este o metodă de atac care se bazează pe ideea unui cal troian. Esența sa constă în utilizarea unui mediu fizic și înlocuirea informațiilor. De exemplu, pot oferi un card de memorie cu un anume „bun” care va atrage atenția victimei, va provoca dorința de a deschide și de a utiliza fișierul sau va urma linkurile indicate în documentele unității flash. Obiectul „mărul de drum” este aruncat în locuri sociale și așteptat până când planul intrusului este implementat de un subiect.
Colectarea și căutarea de informații din surse deschise este o înșelătorie în care achiziția de date se bazează pe metodele psihologiei, capacitatea de a observa lucruri mărunte și analiza datelor disponibile, de exemplu, pagini dintr-o rețea de socializare. Acesta este un mod destul de nou de inginerie socială.
Shoulder surfing și reverse social. inginerie
Conceptul de „surfing pe umăr” se definește ca vizionarea unui subiect în direct în sensul literal. Cu acest tip de pescuit de date, atacatorul merge în locuri publice, cum ar fi o cafenea, aeroport, gară și urmărește oamenii.
Nu subestima această metodă, deoarece multe sondaje și studii arată că o persoană atentă poate primi o mulțime de informații confidențialeinformații pur și simplu fiind observatori.
Ingineria socială (ca nivel de cunoștințe sociologice) este un mijloc de „capturare” a datelor. Există modalități de a obține date prin care victima însăși îi va oferi atacatorului informațiile necesare. Cu toate acestea, poate servi și binelui societății.
Reverse socială ingineria este o altă metodă a acestei științe. Utilizarea acestui termen devine adecvată în cazul pe care l-am menționat mai sus: victima însăși va oferi atacatorului informațiile necesare. Această afirmație nu trebuie considerată absurdă. Cert este că subiecții înzestrați cu autoritate în anumite domenii de activitate au adesea acces la datele de identificare la propria decizie a subiectului. Baza aici este încrederea.
Important de reținut! Personalul de asistență nu va cere niciodată utilizatorului o parolă, de exemplu.
Informații și protecție
Instruirea de inginerie socială poate fi efectuată de către individ fie pe baza inițiativei personale, fie pe baza beneficiilor care sunt utilizate în programele speciale de formare.
Infractorii pot folosi o mare varietate de tipuri de înșelăciune, de la manipulare la lene, credulitate, amabilitatea utilizatorului etc. Este extrem de dificil să te protejezi de acest tip de atac, din cauza lipsei victimei de conștientizarea că el) a înșelat. Diverse firme și companii pentru a-și proteja datele la acest nivel de pericol sunt adesea angajate în evaluarea informațiilor generale. Următorul pas este integrarea necesaruluigaranții la politica de securitate.
Exemple
Un exemplu de inginerie socială (acțiunea sa) în domeniul mailing-urilor globale de phishing este un eveniment care a avut loc în 2003. E-mailurile au fost trimise utilizatorilor eBay în timpul acestei înșelătorii. Aceștia au susținut că conturile care le aparțin au fost blocate. Pentru a anula blocarea a fost necesară reintroducerea datelor contului. Cu toate acestea, scrisorile erau false. Au tradus într-o pagină identică cu cea oficială, dar falsă. Potrivit estimărilor experților, pierderea nu a fost prea semnificativă (mai puțin de un milion de dolari).
Definiția responsabilității
Utilizarea ingineriei sociale poate fi pedepsită în unele cazuri. Într-un număr de țări, cum ar fi Statele Unite, pretextul (înșelăciunea prin uzurparea identității unei alte persoane) este echivalată cu o invazie a vieții private. Totuși, acest lucru poate fi pedepsit prin lege dacă informațiile obținute în timpul pretextării au fost confidențiale din punctul de vedere al subiectului sau al organizației. Înregistrarea unei conversații telefonice (ca metodă de inginerie socială) este, de asemenea, impusă de lege și necesită o amendă de 250.000 USD sau închisoare de până la zece ani pentru persoane fizice. persoane. Persoanele juridice sunt obligate să plătească 500.000 USD; termenul limită rămâne același.