I denne artikel vil vi være opmærksomme på begrebet "social engineering". En generel definition af begrebet vil blive overvejet her. Vi vil også lære om, hvem der var grundlæggeren af dette koncept. Lad os tale separat om de vigtigste metoder til social engineering, der bruges af angribere.
Introduktion
Metoder, der giver dig mulighed for at rette op på en persons adfærd og styre hans aktiviteter uden brug af et teknisk sæt værktøjer, udgør det generelle begreb social engineering. Alle metoder er baseret på påstanden om, at den menneskelige faktor er den mest ødelæggende svaghed i ethvert system. Ofte betragtes dette koncept på niveauet af ulovlig aktivitet, hvorigennem den kriminelle udfører en handling, der tager sigte på at indhente oplysninger fra subjekt-offeret på en uærlig måde. Det kan for eksempel være en form for manipulation. Men social engineering bruges også af mennesker i legitime aktiviteter. Til dato er det oftest brugt til at få adgang til ressourcer med følsomme eller følsomme oplysninger.
Founder
Grundlæggeren af social engineering er Kevin Mitnick. Men selve konceptet kom til os fra sociologien. Det betegner et generelt sæt af tilgange, der anvendes af anvendt social. videnskaber fokuseret på at ændre den organisatoriske struktur, der kan bestemme menneskelig adfærd og udøve kontrol over den. Kevin Mitnick kan betragtes som grundlæggeren af denne videnskab, da det var ham, der populariserede det sociale. teknik i det første årti af det 21. århundrede. Kevin selv var tidligere en hacker, der ulovligt trådte ind i en lang række forskellige databaser. Han argumenterede for, at den menneskelige faktor er det mest sårbare punkt i et system uanset kompleksitets- og organisationsniveau.
Hvis vi taler om social engineering metoder som en måde at opnå rettigheder (ofte ulovlige) til at bruge fortrolige data, kan vi sige, at de har været kendt i meget lang tid. Det var imidlertid K. Mitnick, der var i stand til at formidle vigtigheden af deres betydning og ejendommeligheder ved anvendelsen.
Phishing og ikke-eksisterende links
Enhver teknik inden for social engineering er baseret på tilstedeværelsen af kognitive forvrængninger. Adfærdsfejl bliver et "værktøj" i hænderne på en dygtig ingeniør, som i fremtiden kan skabe et angreb med det formål at indhente vigtige data. Blandt social engineering-metoder skelnes der mellem phishing og ikke-eksisterende links.
Phishing er en online fidus, der er designet til at indhente personlige oplysninger såsom brugernavn og adgangskode.
Ikke-eksisterende link - ved hjælp af et link, der vil lokke modtageren med vissefordele, der kan opnås ved at klikke på det og besøge et specifikt websted. Oftest bruges navnene på store virksomheder, der foretager subtile justeringer af deres navn. Offeret vil ved at klikke på linket "frivilligt" overføre deres personlige data til angriberen.
Metoder, der bruger mærker, defekte antivirus og et falsk lotteri
Social engineering bruger også brandnavnssvindel, defekte antivirus og falske lotterier.
"Bedrageri og brands" - en metode til bedrag, som også hører til phishing-sektionen. Dette inkluderer e-mails og websteder, der indeholder navnet på en stor og/eller "hypet" virksomhed. Beskeder sendes fra deres sider med besked om sejr i en bestemt konkurrence. Dernæst skal du indtaste vigtige kontooplysninger og stjæle dem. Denne form for svindel kan også udføres via telefon.
Falsk lotteri - en metode, hvor en besked sendes til offeret med teksten om, at han (a) vandt (a) lotteriet. Oftest maskeres advarslen ved hjælp af navnene på store selskaber.
Falske antivirus er software-svindel. Den bruger programmer, der ligner antivirus. Men i virkeligheden fører de til generering af falske meddelelser om en bestemt trussel. De forsøger også at lokke brugere ind i transaktionernes verden.
Vishing, phreaking og påskud
Mens vi taler om social engineering for begyndere, bør vi også nævne vishing, phreaking og påskud.
Vising er en form for bedrag, der bruger telefonnetværk. Den bruger forudindspillede talebeskeder, hvis formål er at genskabe det "officielle opkald" af bankstrukturen eller ethvert andet IVR-system. Oftest bliver de bedt om at indtaste et brugernavn og/eller adgangskode for at bekræfte enhver information. Med andre ord kræver systemet autentificering af brugeren ved hjælp af PIN-koder eller adgangskoder.
Phreaking er en anden form for telefonsvindel. Det er et hackingsystem, der bruger lydmanipulation og toneopkald.
Påskud er et angreb, der bruger en overlagt plan, hvis essens er at repræsentere et andet emne. En ekstremt svær måde at snyde på, da det kræver omhyggelig forberedelse.
Quid Pro Quo og Road Apple-metoden
Theory of social engineering er en mangefacetteret database, der omfatter både metoder til bedrag og manipulation, såvel som måder at håndtere dem på. Hovedopgaven for ubudne gæster er som regel at fiske værdifuld information frem.
Andre former for svindel omfatter: quid pro quo, road apple, skuldersurfing, open source og omvendte sociale medier. teknik.
Quid-pro-quo (fra latin - "for dette") - et forsøg på at udtrække information fra en virksomhed eller en virksomhed. Det sker ved at kontakte hende telefonisk eller ved at sende beskeder på e-mail. Oftest angribereudgive sig for at være ansatte. support, som rapporterer tilstedeværelsen af et specifikt problem på medarbejderens arbejdsplads. De foreslår derefter måder at løse det på, for eksempel ved at installere software. Softwaren viser sig at være defekt og fremmer forbrydelsen.
The Road Apple er en angrebsmetode, der er baseret på ideen om en trojansk hest. Dens essens ligger i brugen af et fysisk medie og substitution af information. For eksempel kan de forsyne et hukommelseskort med en vis "god", der vil tiltrække opmærksomheden fra offeret, forårsage et ønske om at åbne og bruge filen eller følge de links, der er angivet i dokumenterne på flashdrevet. "Road apple"-objektet bliver kastet på sociale steder og ventet, indtil den ubudne gæsts plan er implementeret af et eller andet emne.
Indsamling og søgning efter information fra åbne kilder er en fidus, hvor dataindsamling er baseret på psykologiens metoder, evnen til at lægge mærke til småting og analysen af tilgængelige data, for eksempel sider fra et soci alt netværk. Dette er en ret ny måde at udvikle social engineering på.
Skuldersurfing og omvendt social. teknik
Begrebet "skuldersurfing" definerer sig selv som at se et emne live i bogstavelig forstand. Med denne type datafiskeri går angriberen til offentlige steder, såsom en cafe, lufthavn, togstation og følger folk.
Undervurder ikke denne metode, da mange undersøgelser og undersøgelser viser, at en opmærksom person kan modtage en masse fortrolige oplysningerinformation blot ved at være opmærksom.
Social engineering (som et niveau af sociologisk viden) er et middel til at "fange" data. Der er måder at få data på, hvor offeret selv vil tilbyde angriberen de nødvendige oplysninger. Det kan dog også tjene samfundets bedste.
Omvendt social teknik er en anden metode til denne videnskab. Brugen af dette udtryk bliver passende i det tilfælde, som vi nævnte ovenfor: offeret selv vil tilbyde angriberen de nødvendige oplysninger. Denne udtalelse skal ikke opfattes som absurd. Faktum er, at forsøgspersoner med autoritet inden for visse aktivitetsområder ofte får adgang til identifikationsdata efter forsøgspersonens egen beslutning. Grundlaget her er tillid.
Vigtigt at huske! Supportpersonale vil f.eks. aldrig bede brugeren om en adgangskode.
Information og beskyttelse
Socialingeniøruddannelsen kan udføres af den enkelte enten på baggrund af personligt initiativ eller på baggrund af fordele, der bruges i særlige træningsprogrammer.
Kriminelle kan bruge en lang række forskellige former for bedrag, lige fra manipulation til dovenskab, godtroenhed, høflighed af brugeren osv. Det er ekstremt svært at beskytte sig mod denne type angreb på grund af ofrets mangel på bevidsthed om, at han) snød. Forskellige firmaer og virksomheder til at beskytte deres data på dette fareniveau er ofte involveret i evalueringen af generel information. Næste skridt er at integrere det nødvendigesikkerhedsforanst altninger til sikkerhedspolitikken.
Eksempler
Et eksempel på social engineering (dets handling) inden for globale phishing-mailings er en begivenhed, der fandt sted i 2003. E-mails blev sendt til eBay-brugere under denne fidus. De hævdede, at deres konti var spærret. For at annullere blokeringen var det nødvendigt at indtaste kontodata igen. Men brevene var falske. De oversatte til en side identisk med den officielle, men falsk. Ifølge ekspertvurderinger var tabet ikke for betydeligt (mindre end en million dollars).
Definition af ansvar
Brugen af social engineering kan være strafbar i nogle tilfælde. I en række lande, såsom USA, sidestilles påskud (bedrag ved at efterligne en anden person) med en krænkelse af privatlivets fred. Dette kan dog være strafbart ved lov, hvis de oplysninger, der er indhentet under påskud, var fortrolige set fra forsøgspersonens eller organisationens synspunkt. Optagelse af en telefonsamtale (som en social ingeniørmetode) er også lovpligtig og kræver en bøde på $250.000 eller fængsel i op til ti år for enkeltpersoner. personer. Juridiske enheder skal betale $500.000; fristen forbliver den samme.
