Ebben a cikkben a "szociális tervezés" fogalmára fogunk figyelni. Itt a fogalom általános meghatározását vizsgáljuk meg. Azt is megtudjuk, ki volt ennek a koncepciónak az alapítója. Beszéljünk külön a támadók által használt társadalmi manipuláció fő módszereiről.
Bevezetés
Azok a módszerek, amelyek lehetővé teszik egy személy viselkedésének korrekcióját és tevékenységeinek irányítását technikai eszközkészlet használata nélkül, alkotják a social engineering általános fogalmát. Minden módszer azon az állításon alapul, hogy az emberi tényező minden rendszer legpusztítóbb gyengesége. Ezt a fogalmat gyakran az illegális tevékenység szintjén tekintik, amelyen keresztül a bűnöző olyan cselekményt hajt végre, amelynek célja, hogy tisztességtelen módon információt szerezzen az áldozattól. Például ez lehet valamilyen manipuláció. A social engineering-et azonban az emberek is használják legitim tevékenységek során. Eddig leggyakrabban érzékeny vagy érzékeny információkat tartalmazó forrásokhoz való hozzáférésre használják.
Alapító
A social engineering alapítója Kevin Mitnick. Maga a fogalom azonban a szociológiából érkezett hozzánk. Az alkalmazott társadalmi megközelítések általános halmazát jelöli. a tudományok azon szervezeti struktúra megváltoztatására összpontosítottak, amely meghatározhatja az emberi viselkedést és ellenőrzést gyakorolhat felette. Kevin Mitnicket tekinthetjük e tudomány megalapítójának, hiszen ő népszerűsítette a társadalmat. mérnöki tevékenység a 21. század első évtizedében. Kevin maga korábban hacker volt, aki illegálisan lépett be sokféle adatbázisba. Azzal érvelt, hogy az emberi tényező a legsérülékenyebb pontja egy bármilyen szintű összetett és szervezett rendszernek.
Ha a social engineering módszerekről beszélünk, mint a bizalmas adatok felhasználására vonatkozó (gyakran illegális) jogok megszerzésének módjáról, azt mondhatjuk, hogy ezek már nagyon régóta ismertek. Azonban K. Mitnick volt az, aki képes volt kifejezni jelentésük fontosságát és alkalmazási sajátosságait.
Adathalászat és nem létező linkek
A social engineering minden technikája a kognitív torzulásokon alapul. A viselkedési hibák „eszközzé” válnak egy szakképzett mérnök kezében, aki a jövőben fontos adatok megszerzésére irányuló támadást indíthat el. A social engineering módszerek közül megkülönböztetik az adathalászatot és a nem létező hivatkozásokat.
Az adathalászat egy online átverés, amelynek célja személyes adatok, például felhasználónév és jelszó megszerzése.
Nem létező hivatkozás – olyan hivatkozás használata, amely bizonyoselőnyöket, amelyeket a rákattintással és egy adott oldal meglátogatásával érhet el. Leggyakrabban a nagyvállalatok neveit használják, finoman módosítva a nevüket. Az áldozat a linkre kattintva "önként" továbbítja személyes adatait a támadónak.
Márkákat, hibás vírusirtókat és hamis lottót használó módszerek
A társadalmi tervezés a márkanevekkel kapcsolatos csalásokat, hibás vírusirtókat és hamis lottójátékokat is használ.
"Csalás és márkák" - a megtévesztés módszere, amely szintén az adathalász részhez tartozik. Ide tartoznak az olyan e-mailek és webhelyek, amelyek egy nagy és/vagy „felkapott” cég nevét tartalmazzák. Üzeneteket küldenek oldalaikról egy bizonyos versenyen elért győzelemről. Ezután meg kell adnia a fontos fiókadatokat, és el kell lopnia azokat. A csalás ezen formája telefonon is végrehajtható.
Hamis lottó – olyan módszer, amelyben üzenetet küldenek az áldozatnak azzal a szöveggel, hogy (a) megnyerte (a) a lottót. A riasztást leggyakrabban nagyvállalatok nevével takarják.
A hamis víruskeresők szoftveres csalások. Olyan programokat használ, amelyek vírusirtónak tűnnek. A valóságban azonban hamis értesítések generálásához vezetnek egy adott fenyegetésről. Ezenkívül megpróbálják a felhasználókat a tranzakciók birodalmába csábítani.
Látogás, fecsegés és ürügyek
Amikor a kezdőknek szóló social engineeringről beszélünk, meg kell említenünk a vishing-et, a fecsegést és az ürügyet is.
A Vishing a megtévesztés egyik formája, amely telefonhálózatokat használ. Előre rögzített hangüzeneteket használ, amelyek célja a banki struktúra vagy bármely más IVR rendszer "hivatalos felhívásának" újraalkotása. Leggyakrabban felhasználónév és/vagy jelszó megadását kérik az információk megerősítéséhez. Más szóval, a rendszer megköveteli a felhasználó általi azonosítást PIN-kóddal vagy jelszavakkal.
A telefonos átverés egy másik formája az átverés. Ez egy hackerrendszer, amely hangmanipulációt és hangszíntárcsázást használ.
Az ürügy egy előre megfontolt tervet használó támadás, amelynek lényege egy másik alany képviselete. Rendkívül nehéz módja a csalásnak, mivel alapos felkészülést igényel.
Quid Pro Quo és a Road Apple módszer
A social engineering elmélete egy sokrétű adatbázis, amely magában foglalja mind a megtévesztés, mind a manipuláció módszereit, valamint a kezelésük módjait. A behatolók fő feladata általában az értékes információk kihalászása.
A csalások egyéb típusai a következők: quid pro quo, road Apple, shoulder surfing, nyílt forráskódú és fordított közösségi média. mérnöki.
Quid-pro-quo (latinul - „erre”) - kísérlet arra, hogy információkat nyerjenek ki egy cégtől vagy cégtől. Ez úgy történik, hogy felveszi vele a kapcsolatot telefonon vagy üzeneteket küld e-mailben. Leggyakrabban támadókalkalmazottnak adja ki magát. támogatást, amelyek egy konkrét probléma jelenlétét jelzik a munkavállaló munkahelyén. Ezután javaslatot tesznek a javításra, például szoftver telepítésével. A szoftverről kiderül, hogy hibás, és elősegíti a bűncselekményt.
A Road Apple egy támadási módszer, amely egy trójai faló ötletén alapul. Lényege a fizikai közeg használatában és az információk helyettesítésében rejlik. Például biztosíthatnak egy memóriakártyát egy bizonyos "jóval", amely felkelti az áldozat figyelmét, vágyat vált ki a fájl megnyitására és használatára, vagy kövesse a flash meghajtó dokumentumaiban feltüntetett hivatkozásokat. Az "úti alma" objektumot a közösségi helyekre dobják, és megvárják, amíg a betolakodó tervét valamelyik alany megvalósítja.
A nyílt forrásokból származó információk gyűjtése és keresése olyan átverés, amelyben az adatgyűjtés a pszichológia módszerein, az apróságok észrevételének képességén és a rendelkezésre álló adatok, például a közösségi oldalak elemzésén alapul. Ez a social engineering meglehetősen új módja.
Shoulder szörfözés és fordított közösségi oldal. műszaki
A "shoulder surfing" fogalma úgy határozza meg magát, mint egy alany élőben való nézését a szó szoros értelmében. Az ilyen típusú adathalászat során a támadó nyilvános helyekre megy, például kávézóba, repülőtérre, vasútállomásra, és követi az embereket.
Ne becsülje alá ezt a módszert, mivel számos felmérés és tanulmány azt mutatja, hogy egy figyelmes ember sok bizalmas információt kaphatcsak azáltal tájékozódhat, hogy figyelmes.
A társadalmi tervezés (mint a szociológiai tudás szintje) az adatok „rögzítésének” eszköze. Vannak módok az adatok megszerzésére, amelyek során az áldozat maga ajánlja fel a támadónak a szükséges információkat. Ugyanakkor a társadalom javát is szolgálhatja.
Reverse social a mérnöki munka ennek a tudománynak egy másik módszere. E kifejezés használata abban az esetben válik helyénvalóvá, amikor fentebb említettük: az áldozat maga ajánlja fel a támadónak a szükséges információkat. Ezt a kijelentést nem szabad abszurdnak venni. Tény, hogy az egyes tevékenységi területeken jogosultsággal rendelkező alanyok gyakran saját döntésük alapján jutnak hozzá azonosító adatokhoz. Ennek alapja a bizalom.
Fontos emlékezni! A támogatási személyzet soha nem kér például jelszót a felhasználótól.
Információ és védelem
A társadalommérnök képzést az egyén végezheti akár személyes kezdeményezés alapján, akár a speciális képzési programokban igénybe vett juttatások alapján.
A bûnözõk sokféle megtévesztést alkalmazhatnak, a manipulációtól a lustaságig, a hiszékenységig, a felhasználó udvariasságáig stb. Rendkívül nehéz megvédeni magát az ilyen típusú támadásoktól, mivel az áldozat nem ismeri annak tudatában, hogy) cs alt. Különböző cégek és cégek adataik ilyen szintű veszélyeztetettségi szintjén történő védelme érdekében gyakran foglalkoznak általános információk értékelésével. A következő lépés a szükséges integrálásabiztosítékok a biztonsági szabályzathoz.
Példák
A globális adathalász levelek területén a social engineeringre (annak cselekedetére) egy példa egy 2003-ban történt esemény. A csalás során e-maileket küldtek az eBay-felhasználóknak. Azt állították, hogy a hozzájuk tartozó számlákat zárolták. A zárolás megszüntetéséhez a számlaadatok újbóli megadása szükséges. A levelek azonban hamisak voltak. Lefordították a hivatalos oldallal azonos, de hamis oldalra. Szakértői becslések szerint a veszteség nem volt túl jelentős (kevesebb mint egymillió dollár).
A felelősség meghatározása
A social engineering használata bizonyos esetekben büntetendő lehet. Számos országban, például az Egyesült Államokban, az ürügyet (más személy személyes adataival való megtévesztést) a magánélet megsértésével azonosítják. Ez azonban törvényileg büntethető lehet, ha az ürügyként szerzett információ az alany vagy szervezet szempontjából bizalmas volt. A telefonbeszélgetés rögzítését (mint szociális tervezési módszert) szintén törvény írja elő, és 250 000 dollár pénzbírsággal vagy tíz évig terjedő szabadságvesztéssel sújtható egyének. személyek. A jogi személyeknek 500 000 dollárt kell fizetniük; a határidő változatlan.