Dalam artikel ini kita akan memberi perhatian kepada konsep "kejuruteraan sosial". Takrifan umum istilah akan dipertimbangkan di sini. Kita juga akan belajar tentang siapa pengasas konsep ini. Mari kita bincangkan secara berasingan tentang kaedah utama kejuruteraan sosial yang digunakan oleh penyerang.
Pengenalan
Kaedah yang membolehkan anda membetulkan tingkah laku seseorang dan mengurus aktivitinya tanpa menggunakan set alat teknikal membentuk konsep umum kejuruteraan sosial. Semua kaedah adalah berdasarkan penegasan bahawa faktor manusia adalah kelemahan yang paling merosakkan mana-mana sistem. Selalunya konsep ini dianggap pada tahap aktiviti haram, di mana penjenayah melakukan tindakan yang bertujuan untuk mendapatkan maklumat daripada subjek-mangsa dengan cara yang tidak jujur. Sebagai contoh, ia boleh menjadi sejenis manipulasi. Walau bagaimanapun, kejuruteraan sosial juga digunakan oleh manusia dalam aktiviti yang sah. Sehingga kini, ia paling kerap digunakan untuk mengakses sumber dengan maklumat sensitif atau sensitif.
Pengasas
Pengasas kejuruteraan sosial ialah Kevin Mitnick. Walau bagaimanapun, konsep itu sendiri datang kepada kita dari sosiologi. Ia menandakan satu set umum pendekatan yang digunakan oleh sosial terpakai. sains memberi tumpuan kepada mengubah struktur organisasi yang boleh menentukan tingkah laku manusia dan mengawalnya. Kevin Mitnick boleh dianggap sebagai pengasas sains ini, kerana dialah yang mempopularkan sosial. kejuruteraan pada dekad pertama abad ke-21. Kevin sendiri sebelum ini adalah seorang penggodam yang secara haram memasuki pelbagai jenis pangkalan data. Beliau berhujah bahawa faktor manusia adalah titik paling terdedah dalam sistem dari mana-mana tahap kerumitan dan organisasi.
Jika kita bercakap tentang kaedah kejuruteraan sosial sebagai cara untuk mendapatkan hak (selalunya menyalahi undang-undang) untuk menggunakan data sulit, kita boleh mengatakan bahawa ia telah diketahui sejak sekian lama. Bagaimanapun, K. Mitnicklah yang dapat menyampaikan kepentingan makna dan keistimewaan aplikasinya.
Phishing dan pautan tidak wujud
Sebarang teknik kejuruteraan sosial adalah berdasarkan kehadiran herotan kognitif. Kesilapan tingkah laku menjadi "alat" di tangan seorang jurutera yang mahir, yang pada masa hadapan boleh membuat serangan yang bertujuan untuk mendapatkan data penting. Antara kaedah kejuruteraan sosial, pancingan data dan pautan tidak wujud dibezakan.
Pancingan data ialah penipuan dalam talian yang direka untuk mendapatkan maklumat peribadi seperti nama pengguna dan kata laluan.
Pautan tidak wujud - menggunakan pautan yang akan memikat penerima dengan perkara tertentufaedah yang boleh diperolehi dengan mengklik padanya dan melawat tapak tertentu. Selalunya, nama syarikat besar digunakan, membuat pelarasan halus pada nama mereka. Mangsa, dengan mengklik pada pautan, akan "secara sukarela" memindahkan data peribadi mereka kepada penyerang.
Kaedah menggunakan jenama, antivirus yang rosak dan loteri palsu
Kejuruteraan sosial juga menggunakan penipuan nama jenama, antivirus yang rosak dan loteri palsu.
"Penipuan dan jenama" - kaedah penipuan, yang juga tergolong dalam bahagian pancingan data. Ini termasuk e-mel dan tapak web yang mengandungi nama syarikat besar dan/atau "hyped". Mesej dihantar dari halaman mereka dengan pemberitahuan kemenangan dalam pertandingan tertentu. Seterusnya, anda perlu memasukkan maklumat akaun penting dan mencurinya. Selain itu, bentuk penipuan ini boleh dilakukan melalui telefon.
Loteri palsu - kaedah di mana mesej dihantar kepada mangsa dengan teks bahawa dia (a) memenangi (a) loteri. Selalunya, amaran ditutup menggunakan nama syarikat besar.
Antivirus palsu ialah penipuan perisian. Ia menggunakan program yang kelihatan seperti antivirus. Walau bagaimanapun, pada hakikatnya, ia membawa kepada penjanaan pemberitahuan palsu tentang ancaman tertentu. Mereka juga cuba menarik pengguna ke alam urus niaga.
Vishing, phreaking and pretexting
Semasa bercakap tentang kejuruteraan sosial untuk pemula, kita juga harus menyebut vishing, phreaking dan pretexting.
Vishing ialah satu bentuk penipuan yang menggunakan rangkaian telefon. Ia menggunakan mesej suara prarakam, yang tujuannya adalah untuk mencipta semula "panggilan rasmi" struktur perbankan atau mana-mana sistem IVR lain. Selalunya, mereka diminta memasukkan nama pengguna dan/atau kata laluan untuk mengesahkan sebarang maklumat. Dalam erti kata lain, sistem memerlukan pengesahan oleh pengguna menggunakan kod PIN atau kata laluan.
Phreaking ialah satu lagi bentuk penipuan telefon. Ia ialah sistem penggodaman menggunakan manipulasi bunyi dan dail nada.
Pretexting ialah serangan menggunakan rancangan yang telah dirancang, yang intipatinya adalah untuk mewakili subjek lain. Cara yang amat sukar untuk menipu, kerana ia memerlukan persediaan yang teliti.
Quid Pro Quo dan Kaedah Road Apple
Teori kejuruteraan sosial ialah pangkalan data pelbagai rupa yang merangkumi kedua-dua kaedah penipuan dan manipulasi, serta cara untuk menanganinya. Tugas utama penceroboh, sebagai peraturan, adalah mencari maklumat berharga.
Jenis penipuan lain termasuk: quid pro quo, road apple, shoulder surfing, sumber terbuka dan media sosial songsang. kejuruteraan.
Quid-pro-quo (daripada bahasa Latin - “untuk ini”) - percubaan untuk mengeluarkan maklumat daripada syarikat atau firma. Ini berlaku dengan menghubunginya melalui telefon atau dengan menghantar mesej melalui e-mel. Selalunya, penyerangberlagak sebagai pekerja. sokongan, yang melaporkan kehadiran masalah khusus di tempat kerja pekerja. Mereka kemudian mencadangkan cara untuk membetulkannya, contohnya dengan memasang perisian. Perisian tersebut ternyata rosak dan menggalakkan jenayah.
The Road Apple ialah kaedah serangan yang berdasarkan idea kuda Trojan. Intipatinya terletak pada penggunaan medium fizikal dan penggantian maklumat. Sebagai contoh, mereka boleh menyediakan kad memori dengan "baik" tertentu yang akan menarik perhatian mangsa, menyebabkan keinginan untuk membuka dan menggunakan fail atau mengikuti pautan yang ditunjukkan dalam dokumen pemacu kilat. Objek "road epal" dijatuhkan di tempat sosial dan menunggu sehingga rancangan penceroboh dilaksanakan oleh beberapa subjek.
Mengumpul dan mencari maklumat daripada sumber terbuka ialah penipuan di mana pemerolehan data adalah berdasarkan kaedah psikologi, keupayaan untuk melihat perkara-perkara kecil dan analisis data yang tersedia, sebagai contoh, halaman daripada rangkaian sosial. Ini adalah cara kejuruteraan sosial yang agak baharu.
Melayari bahu dan bersosial songsang. kejuruteraan
Konsep "surfing bahu" mentakrifkan dirinya sebagai menonton subjek secara langsung dalam erti kata literal. Dengan jenis pancingan data ini, penyerang pergi ke tempat awam, seperti kafe, lapangan terbang, stesen kereta api dan mengikuti orang ramai.
Jangan memandang rendah kaedah ini, kerana banyak tinjauan dan kajian menunjukkan bahawa orang yang prihatin boleh menerima banyak maklumat sulitmaklumat hanya dengan memerhati.
Kejuruteraan sosial (sebagai tahap pengetahuan sosiologi) ialah satu cara untuk “menangkap” data. Terdapat cara untuk mendapatkan data di mana mangsa sendiri akan menawarkan penyerang maklumat yang diperlukan. Walau bagaimanapun, ia juga boleh memberi manfaat kepada masyarakat.
Sosial songsang kejuruteraan adalah satu lagi kaedah sains ini. Penggunaan istilah ini menjadi sesuai dalam kes yang kami nyatakan di atas: mangsa sendiri akan menawarkan penyerang maklumat yang diperlukan. Kenyataan ini tidak boleh dianggap tidak masuk akal. Hakikatnya ialah subjek yang dikurniakan kuasa dalam bidang aktiviti tertentu sering mendapat akses kepada data pengenalan atas keputusan subjek itu sendiri. Asas di sini ialah kepercayaan.
Penting untuk diingati! Kakitangan sokongan tidak akan meminta kata laluan kepada pengguna, contohnya.
Maklumat dan perlindungan
Latihan kejuruteraan sosial boleh dilakukan oleh individu sama ada atas dasar inisiatif peribadi atau berdasarkan faedah yang digunakan dalam program latihan khas.
Penjenayah boleh menggunakan pelbagai jenis penipuan, daripada manipulasi kepada kemalasan, mudah tertipu, ihsan pengguna, dll. Sangat sukar untuk melindungi diri anda daripada jenis serangan ini, disebabkan kekurangan mangsa kesedaran bahawa dia) menipu. Pelbagai firma dan syarikat untuk melindungi data mereka pada tahap bahaya ini sering terlibat dalam penilaian maklumat am. Langkah seterusnya ialah menyepadukan yang perluperlindungan kepada dasar keselamatan.
Contoh
Contoh kejuruteraan sosial (tindakannya) dalam bidang mel pancingan data global ialah peristiwa yang berlaku pada tahun 2003. E-mel telah dihantar kepada pengguna eBay semasa penipuan ini. Mereka mendakwa bahawa akaun milik mereka telah disekat. Untuk membatalkan penyekatan, anda perlu memasukkan semula data akaun. Bagaimanapun, surat-surat itu palsu. Mereka menterjemah ke halaman yang sama dengan halaman rasmi, tetapi palsu. Menurut anggaran pakar, kerugian tidak terlalu ketara (kurang daripada satu juta dolar).
Definisi tanggungjawab
Penggunaan kejuruteraan sosial mungkin boleh dihukum dalam beberapa kes. Di beberapa negara, seperti Amerika Syarikat, berpura-pura (penipuan dengan menyamar sebagai orang lain) disamakan dengan pencerobohan privasi. Walau bagaimanapun, ini mungkin boleh dihukum oleh undang-undang jika maklumat yang diperoleh semasa berpura-pura adalah sulit dari sudut pandangan subjek atau organisasi. Merakam perbualan telefon (sebagai kaedah kejuruteraan sosial) juga diperlukan oleh undang-undang dan memerlukan denda $250,000 atau penjara sehingga sepuluh tahun untuk individu. orang. Entiti undang-undang dikehendaki membayar $500,000; tarikh akhir tetap sama.