Ingineria socială: conceptul, fondatorul, metodele și exemplele

În acest articol vom acorda atenție noțiunii de "inginerie socială". Aici va fi luată în considerare definiția generală a termenului. De asemenea, aflăm despre cine a fost fondatorul acestui concept. În mod separat, hai să vorbim despre metodele de bază ale ingineriei sociale, care sunt folosite de intrusi.

introducere

Metodele care vă permit să corectați comportamentul uman și să vă administrați activitățile fără a aplica un set tehnic de instrumente formează un concept general de inginerie socială. Toate metodele se bazează pe afirmația că factorul uman reprezintă slăbiciunea cea mai distructivă a oricărui sistem. Adesea, acest concept este considerat la nivelul activității ilegale, prin care o infracțiune este comisă de un criminal care are ca scop obținerea de informații de la un subiect victimă prin mijloace necinstite. De exemplu, poate fi un anumit tip de manipulare. Cu toate acestea, ingineria socială este utilizată de om în activitatea legală. Astăzi, cel mai adesea este folosit pentru a accesa resursele cu informații private sau valoroase.

Fondatorul

Fondatorul ingineriei sociale este Kevin Mitnick. Cu toate acestea, chiar conceptul ne-a venit din sociologie. Aceasta denotă un set comun de abordări utilizate de societățile aplicate. știință, axată pe schimbarea structurii organizaționale, capabilă să determine comportamentul uman și să exercite controlul asupra acestuia. Kevin Mitnick poate fi considerat strămoșul acestei științe, deoarece el a fost cel care a popularizat social. inginerie în prima decadă a secolului XXI. Kevin însuși a fost un hacker care sa angajat pătrunderea ilegală într-o mare varietate de baze de date. El a argumentat că factorul uman este cel mai vulnerabil loc al sistemului de orice nivel de complexitate și de organizare.

Dacă vorbim despre metodele de inginerie socială ca modalitate de obținere a drepturilor (mai des ilegale) pentru utilizarea datelor confidențiale, atunci putem spune că au fost cunoscute de mult timp. Cu toate acestea, K. Mitnick a fost capabil să transmită importanța semnificației și aplicării lor.

Phishing și link-uri inexistente

Orice tehnică de inginerie socială se bazează pe prezența distorsiunilor cognitive. Erorile de comportament devin un "instrument" în mâinile unui inginer calificat care, în viitor, poate crea un atac care vizează obținerea unor date importante. Printre metodele de inginerie socială există phishing și legături inexistente.

Phishing - fraudă pe internet, concepută pentru a obține informații personale, de exemplu, despre login și parolă.

O legătură inexistentă este utilizarea unui link care va atrage destinatarul cu anumite avantaje pe care le puteți obține navigând prin acesta și vizitând un anumit site. Cel mai adesea se utilizează numele firmelor mari, introducând în numele lor corecții nesemnificative. Victima, după ce a făcut clic pe link, "în mod voluntar" își va transfera datele personale atacatorului.

Metode care utilizează mărci, antivirus defect și loterie forjată

În ingineria socială se folosesc și metode de fraudă cu utilizarea unor branduri bine cunoscute, antivirusuri defecte și loterie falsă.

"Frauda și mărcile" este o metodă de înșelăciune, care se aplică, de asemenea, secțiunii de phishing. Acestea includ e-mail-uri și site-uri web care conțin numele unei companii mari și / sau "promovate". Din paginile lor sunt trimise mesaje cu o notificare de victorie într-un anumit concurs. Apoi, trebuie să introduceți informații importante despre cont și să le furați. De asemenea, această formă de fraudă poate fi efectuată prin telefon.

O loterie subterană este o modalitate prin care un mesaj este trimis victimei cu textul pe care el (a) la câștigat (a) la loterie. Cel mai adesea, notificarea este mascată utilizând numele corporațiilor mari.

Antivirusurile false sunt fraude asupra software-ului. Programele care arată asemănătoare cu programele antivirus sunt folosite aici. Cu toate acestea, în practică acestea conduc la generarea de notificări false despre o anumită amenințare. Ei încearcă, de asemenea, să atragă utilizatorii în domeniul tranzacțiilor.

Viking, phreaking și pre-text

Vorbind despre ingineria socială pentru începători, merită menționat și despre vinging, phreaking și pre-texting.

Vashing este o formă de înșelăciune care utilizează rețelele telefonice. Mesajele vocale pre-înregistrate sunt utilizate aici, scopul căruia este de a crea un "apel oficial" al unei structuri bancare sau al oricărui alt sistem IVR. Cel mai adesea ați cerut să introduceți un nume de utilizator și / sau o parolă pentru a confirma orice informație. Cu alte cuvinte, sistemul necesită autentificare de către utilizator folosind coduri PIN sau parole.

Phreaking este o altă formă de înșelăciune telefonică. Este un sistem de hacking cu manipularea sunetului și apelarea tonală.

Pre-textarea este un atac folosind un plan preconceput, esența căruia constă în prezentarea de către o altă entitate. O metodă extrem de complexă de înșelăciune, deoarece necesită pregătire atentă.

Quid-pro-quo și metoda "road apple"

Teoria ingineriei sociale este o bază de date cu mai multe fațete care include atât metode de înșelăciune și manipulare, cât și modalități de abordare a acestora. Sarcina principală a intrusilor, de regulă, este de a scana informații valoroase.

Printre celelalte tipuri de înșelătorie se numără: Quid-pro-Quo, metoda "road apple", surfing pe umăr, folosirea surselor deschise și inversarea socială. inginerie.

Quid-pro-quo (din latină - "apoi pentru asta") este o încercare de a extrage informații de la o companie sau o firmă. Acest lucru se întâmplă prin adresarea acestuia prin telefon sau prin trimiterea de mesaje prin e-mail. Cel mai adesea, atacatorii par a fi angajați ai acestora. sprijin, care raportează prezența unei probleme specifice la locul de muncă al angajatului. În plus, ele sugerează modalități de a le elimina, de exemplu, prin instalarea de software. Software-ul se dovedește a fi defect și promovează infracțiunea.

"Road Apple" este o metodă de atac, care se bazează pe ideea unui cal troian. Esența sa constă în folosirea unui mediu fizic și înlocuirea informațiilor. De exemplu, poate oferi un card de memorie definit „bun“, care va atrage atenția victimei, va dori să deschidă și să utilizeze fișierul sau mergeți la link-urile enumerate în documentele de stick-ul. Obiectul "mărului rutier" este aruncat în locuri sociale și așteaptă până când cineva realizează planul atacatorului.

Colectarea și căutarea de informații din surse deschise de tip este o înșelătorie în cazul în care datele de recepție pe baza metodelor de psihologie, capacitatea de a detecta amenzi și analizarea datelor disponibile, de exemplu, dintr-o pagină de rețea socială. Acesta este un mod destul de nou de inginerie socială.

Umăr și surfing sot. inginerie

Noțiunea de "surfing umăr" se definește ca observând subiectul trăit într-un sens literal. La acest tip de exploatare a datelor, atacatorul merge în locuri publice, de exemplu, o cafenea, un aeroport, o stație de cale ferată și monitorizează oamenii.

Nu subestimați această metodă, deoarece numeroase studii și studii arată că o persoană atentă poate primi o mulțime de informații confidențiale pur și simplu prin arătarea observațiilor.

Ingineria socială (ca nivel de cunoaștere sociologică) este un mijloc de "captare" a datelor. Există modalități de a obține date, în care victima însăși va oferi atacatorului informațiile necesare. Cu toate acestea, poate servi și binele public.

Inverse Soc. Ingineria este o altă metodă a acestei științe. Folosirea acestui termen devine adecvată în cazul în care am menționat mai sus: victima însăși va oferi atacatorului informațiile necesare. Nu luați această declarație ca fiind absurdă. Faptul este că subiecții înzestrați cu autoritate în anumite sfere de activitate adesea accesează datele de identificare prin decizia proprie a subiectului. Încrederea este baza aici.

Este important să vă amintiți! Personalul de asistență nu va cere niciodată un utilizator, de exemplu, o parolă.

Conștientizare și protecție

Instruirea ingineriei sociale poate fi realizată de către individ atât pe baza inițiativei personale, cât și pe baza beneficiilor utilizate în programele educaționale speciale.

Infractorii pot fi utilizate o varietate de tipuri de fraudă, de manipulare și de finisare lene, credulitate, și T utilizator amabilitate. D. Din acest tip de atac este foarte dificil să se apere din cauza lipsei de conștientizare a victimelor care lui (ei) înșelat. Firmele și companiile diferite evaluează adesea informațiile generale pentru a-și proteja datele la acest nivel de pericol. Apoi, măsurile de securitate necesare sunt integrate în politica de securitate.

exemple

Un exemplu de inginerie socială (actul său) în domeniul metodei de e-mail phishing este un eveniment care a avut loc în 2003. În cursul acestei e-mail-uri de înșelătorie, utilizatorii au trimis scrisori către adrese de e-mail. Ei au susținut că conturile care le aparțin au fost blocate. Pentru a anula blocarea, a trebuit să reintroduceți informațiile despre cont. Cu toate acestea, scrisorile erau false. Ei au tradus pe o pagină identică cu cea oficială, dar una falsă. Conform estimărilor experților, pierderea nu a fost foarte semnificativă (mai puțin de un milion de dolari).

Definiția responsibility

Pentru aplicarea ingineriei sociale pot fi pedepsite în unele cazuri. În unele țări, cum ar fi Statele Unite ale Americii, preteksting (inseala de identitate uzurparea identității) echivalează cu o invazie a vieții private. Cu toate acestea, acest lucru poate fi sancționat prin lege dacă informațiile obținute în timpul pre-textului au fost confidențiale din punctul de vedere al entității sau al organizației. Înregistrarea unei conversații telefonice (ca o tehnică socială. Engineering) este, de asemenea, prevăzută de lege și impune plata unei penalități sub formă de 250 000 $ sau închisoare de până la zece ani pentru o fizică. persoane. Persoanele juridice sunt obligate să plătească 500.000 de dolari - perioada rămâne aceeași.