Inżynieria społeczna: koncepcja, założyciel, metody i przykłady

Spisu treści:

Inżynieria społeczna: koncepcja, założyciel, metody i przykłady
Inżynieria społeczna: koncepcja, założyciel, metody i przykłady
Anonim

W tym artykule zwrócimy uwagę na pojęcie „inżynierii społecznej”. W tym miejscu zostanie rozważona ogólna definicja tego terminu. Dowiemy się również, kto był założycielem tego konceptu. Porozmawiajmy osobno o głównych metodach socjotechniki wykorzystywanych przez atakujących.

Inżynieria społeczna
Inżynieria społeczna

Wprowadzenie

Metody, które pozwalają korygować zachowanie osoby i zarządzać jej działaniami bez użycia zestawu narzędzi technicznych, tworzą ogólną koncepcję inżynierii społecznej. Wszystkie metody opierają się na twierdzeniu, że czynnik ludzki jest najbardziej destrukcyjną słabością każdego systemu. Często pojęcie to rozpatrywane jest na poziomie nielegalnej działalności, za pomocą której przestępca dokonuje czynności mającej na celu uzyskanie informacji od podmiotu-ofiary w sposób nieuczciwy. Na przykład może to być jakiś rodzaj manipulacji. Jednak inżynieria społeczna jest również wykorzystywana przez ludzi w legalnych działaniach. Do tej pory jest najczęściej używany do uzyskiwania dostępu do zasobów zawierających poufne lub poufne informacje.

Założyciel

Założycielem inżynierii społecznej jest Kevin Mitnick. Jednak sama koncepcja przyszła do nas z socjologii. Oznacza ogólny zestaw podejść stosowanych przez stosowane społeczności. nauki koncentrowały się na zmianie struktury organizacyjnej, która może determinować ludzkie zachowanie i sprawować nad nim kontrolę. Za twórcę tej nauki można uznać Kevina Mitnicka, ponieważ to on spopularyzował społeczeństwo. inżynieria w pierwszej dekadzie XXI wieku. Sam Kevin był wcześniej hakerem, który nielegalnie wszedł do szerokiej gamy baz danych. Twierdził, że czynnik ludzki jest najbardziej wrażliwym punktem systemu o dowolnym poziomie złożoności i organizacji.

socjotechniki
socjotechniki

Jeśli mówimy o metodach socjotechniki jako sposobie uzyskania praw (często nielegalnych) do wykorzystywania poufnych danych, możemy powiedzieć, że są one znane od bardzo dawna. Jednak to K. Mitnick był w stanie przekazać wagę ich znaczenia i osobliwości zastosowania.

Phishing i nieistniejące linki

Każda technika inżynierii społecznej opiera się na obecności zniekształceń poznawczych. Błędy behawioralne stają się „narzędziem” w rękach doświadczonego inżyniera, który w przyszłości może stworzyć atak mający na celu pozyskanie ważnych danych. Wśród metod socjotechniki wyróżnia się phishing i nieistniejące linki.

Phishing to oszustwo internetowe mające na celu uzyskanie danych osobowych, takich jak nazwa użytkownika i hasło.

Nieistniejący link - użycie linku, który z pewnością zwabi odbiorcękorzyści, które można uzyskać klikając na nią i odwiedzając konkretną stronę. Najczęściej używa się nazw dużych firm, dokonując subtelnych zmian w ich nazwie. Ofiara, klikając w link, „dobrowolnie” przekaże swoje dane osobowe osobie atakującej.

Metody wykorzystujące marki, wadliwe antywirusy i fałszywą loterię

Inżynieria społeczna wykorzystuje również oszustwa związane z markami, wadliwe programy antywirusowe i fałszywe loterie.

„Oszustwa i marki” - metoda oszustwa, która również należy do sekcji phishingu. Obejmuje to e-maile i witryny internetowe, które zawierają nazwę dużej i/lub „rozreklamowanej” firmy. Z ich stron wysyłane są wiadomości z powiadomieniem o zwycięstwie w określonym konkursie. Następnie musisz wprowadzić ważne informacje o koncie i je ukraść. Również tę formę oszustwa można przeprowadzić telefonicznie.

Fałszywa loteria - metoda, w której do ofiary wysyłana jest wiadomość z tekstem, że (a) wygrała (a) loterię. Najczęściej alarm maskowany jest nazwami dużych korporacji.

Fałszywe antywirusy to oszustwa programowe. Wykorzystuje programy, które wyglądają jak antywirusy. Jednak w rzeczywistości prowadzą do generowania fałszywych powiadomień o konkretnym zagrożeniu. Próbują również zwabić użytkowników w sferę transakcji.

Vishing, phreaking i preteksty

Mówiąc o inżynierii społecznej dla początkujących, powinniśmy również wspomnieć o vishingu, phreakingu i pretekstach.

teoriaInżynieria społeczna
teoriaInżynieria społeczna

Vishing to forma oszustwa wykorzystująca sieci telefoniczne. Wykorzystuje nagrane wcześniej komunikaty głosowe, których celem jest odtworzenie „oficjalnego wywołania” struktury bankowej lub dowolnego innego systemu IVR. Najczęściej są proszeni o podanie nazwy użytkownika i/lub hasła w celu potwierdzenia jakichkolwiek informacji. Innymi słowy, system wymaga uwierzytelnienia przez użytkownika za pomocą kodów PIN lub haseł.

Phreaking to kolejna forma oszustwa telefonicznego. Jest to system hakerski wykorzystujący manipulację dźwiękiem i wybieranie tonowe.

Pretexting to atak wykorzystujący plan z premedytacją, którego istotą jest reprezentowanie innego tematu. Niezwykle trudny sposób na oszustwo, ponieważ wymaga starannego przygotowania.

Quid Pro Quo i metoda Road Apple

Teoria inżynierii społecznej to wieloaspektowa baza danych, która obejmuje zarówno metody oszustwa i manipulacji, jak i sposoby radzenia sobie z nimi. Głównym zadaniem intruzów jest z reguły wyławianie cennych informacji.

Inne rodzaje oszustw obejmują: quid pro quo, road apple, shoulder surfing, open source i odwrócone media społecznościowe. inżynieria.

socjotechnika jako poziom wiedzy socjologicznej
socjotechnika jako poziom wiedzy socjologicznej

Quid-pro-quo (z łac. „za to”) - próba wydobycia informacji z firmy lub firmy. Dzieje się to poprzez kontakt telefoniczny lub wysyłanie wiadomości e-mailem. Najczęściej atakującyudawać pracowników. wsparcia, które zgłaszają obecność konkretnego problemu w miejscu pracy pracownika. Następnie proponują sposoby, aby to naprawić, na przykład instalując oprogramowanie. Oprogramowanie okazuje się wadliwe i promuje przestępstwo.

The Road Apple to metoda ataku oparta na pomyśle konia trojańskiego. Jego istota polega na wykorzystaniu nośnika fizycznego i zastępowaniu informacji. Na przykład mogą zapewnić karcie pamięci pewien „dobry”, który przyciągnie uwagę ofiary, wywoła chęć otwarcia i użycia pliku lub skorzystania z linków wskazanych w dokumentach dysku flash. Obiekt "drogowego jabłka" jest upuszczany w miejscach społecznościowych i czeka, aż plan intruza zostanie zrealizowany przez jakiś podmiot.

Zbieranie i wyszukiwanie informacji z otwartych źródeł to oszustwo, w którym pozyskiwanie danych opiera się na metodach psychologii, umiejętności dostrzegania drobiazgów oraz analizy dostępnych danych, na przykład stron z portalu społecznościowego. To całkiem nowy sposób inżynierii społecznej.

socjotechnika dla początkujących
socjotechnika dla początkujących

Surfowanie na ramieniu i odwrotne serwisy społecznościowe. inżynieria

Pojęcie „surfowania na ramieniu” definiuje się jako oglądanie podmiotu na żywo w dosłownym tego słowa znaczeniu. Przy tego rodzaju łowieniu danych atakujący udaje się do miejsc publicznych, takich jak kawiarnia, lotnisko, dworzec kolejowy i śledzi ludzi.

Nie lekceważ tej metody, ponieważ wiele ankiet i badań pokazuje, że uważna osoba może otrzymać wiele poufnych informacjiinformacje po prostu będąc uważnym.

Inżynieria społeczna (jako poziom wiedzy socjologicznej) jest środkiem do „przechwytywania” danych. Istnieją sposoby na pozyskanie danych, w których ofiara sama zaoferuje atakującemu niezbędne informacje. Może jednak służyć także dobru społeczeństwa.

Odwróć społecznościowe inżynieria to kolejna metoda tej nauki. Użycie tego terminu staje się właściwe w przypadku, o którym wspomnieliśmy powyżej: ofiara sama zaoferuje atakującemu niezbędne informacje. To stwierdzenie nie powinno być traktowane jako absurd. Faktem jest, że podmioty obdarzone autorytetem w pewnych obszarach działalności często uzyskują dostęp do danych identyfikacyjnych z własnej decyzji. Podstawą jest tutaj zaufanie.

założyciel socjotechniki
założyciel socjotechniki

Ważne do zapamiętania! Personel pomocy technicznej nigdy nie poprosi użytkownika o hasło, na przykład.

Informacje i ochrona

Szkolenie z zakresu inżynierii społecznej może być przeprowadzone przez jednostkę na podstawie własnej inicjatywy lub na podstawie korzyści, które są wykorzystywane w specjalnych programach szkoleniowych.

Przestępcy mogą stosować różne rodzaje oszustw, od manipulacji po lenistwo, łatwowierność, grzeczność użytkownika itp. Bardzo trudno jest chronić się przed tego typu atakiem, ze względu na brak świadomość, że oszukiwał. Różne firmy i firmy, aby chronić swoje dane na tym poziomie zagrożenia, są często zaangażowane w ocenę ogólnych informacji. Następnym krokiem jest zintegrowanie niezbędnychzabezpieczenia polityki bezpieczeństwa.

Przykłady

Przykładem socjotechniki (jej ustawy) w dziedzinie globalnych wysyłek phishingowych jest wydarzenie, które miało miejsce w 2003 roku. Podczas tego oszustwa do użytkowników serwisu eBay zostały wysłane wiadomości e-mail. Twierdzili, że należące do nich konta zostały zablokowane. Aby anulować blokadę, konieczne było ponowne wprowadzenie danych konta. Jednak listy były fałszywe. Przetłumaczyli na stronę identyczną z oficjalną, ale fałszywą. Według szacunków ekspertów strata nie była zbyt duża (mniej niż milion dolarów).

przykłady socjotechniki
przykłady socjotechniki

Definicja odpowiedzialności

Korzystanie z socjotechniki może być w niektórych przypadkach karalne. W wielu krajach, takich jak Stany Zjednoczone, preteksty (oszustwo poprzez podszywanie się pod inną osobę) są równoznaczne z naruszeniem prywatności. Może to być jednak karalne, jeśli informacje uzyskane podczas pretekstu były poufne z punktu widzenia podmiotu lub organizacji. Nagrywanie rozmowy telefonicznej (jako metoda socjotechniki) jest również wymagane przez prawo i wymaga grzywny w wysokości 250 000 USD lub kary pozbawienia wolności do dziesięciu lat dla osób fizycznych. osób. Osoby prawne są zobowiązane do zapłaty 500 000 USD; termin pozostaje bez zmian.

Zalecana: