Koja je najbolja odbrana od socijalnog inženjeringa. socijalni inženjering

Metode socijalnog inženjeringa - to je sve će se raspravljati u ovom članku, kao i o svemu što je vezano za manipulaciju ljudima, phishing i krađu baze klijenata i ostalo. Informaciju nam je ljubazno dostavio Andrej Serikov, čiji je autor, na čemu mu veliko hvala.

A.SERIKOV

A.B.BOROVSKY

INFORMACIONE TEHNOLOGIJE DRUŠTVENOG HAKOVANJA

Uvod

Želja čovječanstva da postigne savršeno ispunjenje postavljenih zadataka dovela je do razvoja moderne kompjuterske tehnologije, a pokušaji da se zadovolje suprotstavljeni zahtjevi ljudi doveli su do razvoja softverskih proizvoda. Ovi softverski proizvodi ne samo da podržavaju performanse hardver ali i upravljati njime.

Razvoj znanja o osobi i kompjuteru doveo je do pojave fundamentalno nove vrste sistema - „čovjek-mašina“, gdje se osoba može pozicionirati kao hardver pokreće stabilan, funkcionalan operativni sistem za više zadataka koji se zove "psiha".

Predmet rada je razmatranje društvenog hakovanja kao grane društvenog programiranja, gdje se ljudskim bićima manipulira uz pomoć ljudskih slabosti, predrasuda i stereotipa u socijalnom inženjeringu.

Društveni inženjering i njegove metode

Metode manipulacije osobom poznate su dugo vremena, uglavnom su došle u društveni inženjering iz arsenala raznih specijalnih službi.

Prvi poznati slučaj konkurentske inteligencije datira iz 6. vijeka prije nove ere i dogodio se u Kini, kada su Kinezi izgubili tajnu pravljenja svile, koju su na prijevaru ukrali rimski špijuni.

Društveni inženjering je nauka koja se definiše kao skup metoda za manipulisanje ljudskim ponašanjem zasnovanih na korišćenju slabosti ljudskog faktora, bez primene tehnička sredstva.

Prema mnogim stručnjacima, najveća prijetnja sigurnost informacija predstavljaju upravo metode socijalnog inženjeringa, makar samo zato što upotreba socijalnog hakovanja ne zahtijeva značajna finansijska ulaganja i temeljno znanje kompjuterska tehnologija, kao i zato što ljudi imaju neke sklonosti ponašanja koje se mogu koristiti za pažljivu manipulaciju.

I bez obzira koliko poboljšana tehnički sistemi zaštite, ljudi će ostati ljudi sa svojim slabostima, predrasudama, stereotipima uz pomoć kojih se upravlja. Postavljanje ljudskog “sigurnosnog programa” je najteži posao i ne uvijek zajamčen rezultat, jer se ovaj filter mora stalno prilagođavati. Ovdje, više nego ikad, relevantno zvuči glavni moto svih stručnjaka za sigurnost: “Sigurnost je proces, a ne rezultat”

Oblasti primjene socijalnog inženjeringa:

1. opšta destabilizacija rada organizacije u cilju smanjenja njenog uticaja i mogućnosti naknadnog potpunog uništenja organizacije;
2. finansijske prevare u organizacijama;
3. phishing i druge metode krađe lozinki u cilju pristupa ličnim bankarskim podacima pojedinaca;
4. krađa baza podataka klijenata;
5. konkurentska inteligencija;
6. opšte informacije o organizaciji, njenim snagama i slabosti, sa ciljem naknadnog uništenja ove organizacije na ovaj ili onaj način (često se koristi za napade napadača);
7. informacije o najperspektivnijim zaposlenicima kako bi ih dodatno "uvukli" u svoju organizaciju;

Društveno programiranje i društveno hakovanje

Društveno programiranje se može nazvati primijenjenom disciplinom koja se bavi svrsishodnim utjecajem na osobu ili grupu ljudi kako bi se njihovo ponašanje promijenilo ili održalo u pravom smjeru. Dakle, društveni programer sebi postavlja cilj da ovlada umijećem upravljanja ljudima. Glavni koncept društvenog programiranja je da su mnoge akcije ljudi i njihove reakcije na ovaj ili onaj vanjski utjecaj u mnogim slučajevima predvidljive.

Metode društvenog programiranja su atraktivne jer ili niko nikada neće saznati za njih, ili čak i ako neko nešto pogodi, takvu cifru je veoma teško pozvati na odgovornost, au nekim slučajevima moguće je „programirati“ ponašanje ljudi, a osoba i velika grupa. Ove prilike spadaju u kategoriju društvenog hakovanja upravo iz razloga što u svima njima ljudi ispunjavaju tuđu volju, kao da se povinuju „programu“ društvenog hakera.

Društveno hakovanje kao prilika da se hakuje osoba i programira da se počini neophodne radnje dolazi iz socijalnog programiranja - primijenjene discipline društvenog inženjeringa, gdje stručnjaci iz ove oblasti - društveni hakeri- koristite trikove psihološki uticaj i gluma, posuđena iz arsenala specijalnih službi.

Društveno hakovanje se u većini slučajeva koristi kada je u pitanju napad na osobu koja je dio kompjuterskog sistema. Računarski sistem koji se hakuje ne postoji sam po sebi. Sadrži važnu komponentu – osobu. A da bi došao do informacija, društveni haker treba da hakuje osobu koja radi sa računarom. U većini slučajeva, lakše je to učiniti nego hakovati žrtvin računar, pokušavajući na taj način saznati lozinku.

Tipičan algoritam uticaja u društvenom hakovanju:

Svi napadi društvenih hakera uklapaju se u jednu prilično jednostavnu shemu:

1. formuliše se svrha uticaja na određeni objekat;
2. prikupljaju se informacije o objektu kako bi se pronašle najpogodnije mete za izlaganje;
3. na osnovu prikupljenih informacija ostvaruje se faza koju psiholozi nazivaju privlačnošću. Atrakcija (od lat. Attrahere - privući, privući) je stvaranje neophodnih uslova za uticaj na objekat;
4. prinuda na akciju neophodnu društvenom hakeru;

Prinuda se postiže izvođenjem prethodnih faza, odnosno nakon što je privlačnost postignuta, žrtva sama čini radnje koje su potrebne socijalnom inženjeru.

Na osnovu prikupljenih informacija, društveni hakeri precizno predviđaju psiho- i sociotip žrtve, identifikujući ne samo potrebe za hranom, seksom, itd., već i potrebu za ljubavlju, potrebu za novcem, potrebu za udobnošću itd. ., itd.

I zaista, zašto pokušavati prodrijeti u ovu ili onu kompaniju, hakovati kompjutere, bankomate, organizirati složene kombinacije kada sve možete olakšati: zaljubiti se u sebe do nesvijesti osobe koja će svojom voljom prebaciti novac nekome. naveden nalog ili svaki put podijeliti potrebne informacije?

Na osnovu činjenice da su postupci ljudi predvidljivi i podložni određenim zakonima, društveni hakeri i društveni programeri koriste kako originalne više korake tako i jednostavne pozitivne i negativne trikove zasnovane na psihologiji ljudske svijesti, programima ponašanja, vibracijama unutrašnjih organa, logičkim razmišljanje, mašta, pamćenje, pažnja. Ovi pristupi uključuju:

Woodov generator - stvara oscilacije iste frekvencije kao i frekvencija oscilacija unutarnjih organa, nakon čega se uočava efekat rezonancije, zbog čega ljudi počinju osjećati jaku nelagodu i panično stanje;

uticaj na geografiju gomile - za mirno raspuštanje izuzetno opasnih agresivnih, velike grupe ljudi;

visokofrekventni i niskofrekventni zvukovi - da izazovu paniku i njen obrnuti efekat, kao i druge manipulacije;

program društvene imitacije - osoba utvrđuje ispravnost radnji, otkrivajući koje radnje drugi ljudi smatraju ispravnim;

program klackanja - (zasnovan na društvenoj imitaciji) organizacija potrebne reakcije publike;

čekanje u redu - (zasnovano na društvenoj imitaciji) jednostavan, ali efikasan reklamni trik;

program uzajamne pomoći - osoba nastoji da uzvrati dobro onim ljudima koji su mu učinili neko dobro. Želja da se ovaj program ispuni često prevazilazi sve argumente razuma;

društveno hakovanje na internetu

Sa pojavom i razvojem Interneta – virtuelnog okruženja koje se sastoji od ljudi i njihovih interakcija, okruženje za manipulaciju osobom se proširilo da dobije potrebne informacije i preduzimanje potrebnih radnji. Internet je danas medij za emitovanje širom svijeta, medij za saradnju, komunikaciju i pokriva cijeli svijet. To je ono što socijalni inženjeri koriste za postizanje svojih ciljeva.

Načini da se manipuliše osobom putem interneta:

AT savremeni svet vlasnici gotovo svake kompanije već su shvatili da je internet veoma efikasno i pogodno sredstvo za širenje poslovanja i njegov glavni zadatak je povećanje profita cijele kompanije. Poznato je da se oglašavanje koristi bez informacija koje imaju za cilj privlačenje pažnje na željeni objekt, formiranje ili održavanje interesa za njega i njegovo promoviranje na tržištu. Samo, zbog činjenice da je tržište oglašavanja odavno podijeljeno, većina vrsta oglašavanja za većinu poduzetnika je bačen novac. Internet oglašavanje nije samo jedna od vrsta oglašavanja u medijima, to je nešto više, jer uz pomoć internet oglašavanja na web stranicu organizacije dolaze ljudi zainteresirani za saradnju.

Internet oglašavanje, za razliku od oglašavanja u medijima, ima mnogo više mogućnosti i kontrolne parametre reklamna kompanija. Većina važan indikator Internet oglašavanje je to Naknada za internet oglašavanje se odbija samo po prelasku zainteresovani korisnik na linku za oglašavanje, što naravno čini oglašavanje na internetu efikasnijim i jeftinijim od oglašavanja u medijima. Dakle, nakon što daju reklamu na televiziji ili u štampanim medijima, oni to u potpunosti plaćaju i samo čekaju potencijalnim klijentima, ali kupci mogu reagirati na oglašavanje ili ne - sve ovisi o kvaliteti proizvodnje i prezentacije reklame na televiziji ili novinama, međutim, budžet za oglašavanje je već potrošen i ako reklama nije uspjela, potrošeno je. Za razliku od takvog medijskog oglašavanja, online oglašavanje ima mogućnost praćenja reakcije publike i upravljanja online oglašavanjem prije nego što se potroši njegov budžet, štoviše, online oglašavanje se može pauzirati kada se potražnja za proizvodima poveća i nastaviti kada potražnja počne opadati.

Drugi način utjecaja je takozvano "Forum Killing" gdje uz pomoć društvenog programa kreiraju antireklamu za određeni projekat. Društveni programer u ovom slučaju, samo uz pomoć očiglednih provokativnih radnji, uništava forum, koristeći nekoliko pseudonima ( nadimak) da oko sebe stvori antilidersku grupu i privuče redovne posjetioce projekta koji su nezadovoljni ponašanjem administracije. Na kraju ovakvih događaja na forumu postaje nemoguće promovirati robu ili ideje. Zašto je forum prvobitno osmišljen?

O metodama uticaja na osobu putem interneta za potrebe društvenog inženjeringa:

Phishing je vrsta internetske prijevare u cilju pristupa povjerljivim korisničkim podacima – loginovima i lozinkama. Ova operacija se postiže pomoću masovne pošiljke e-poruke popularnih brendova, i privatne poruke u okviru raznih servisa (Rambler), banaka ili unutar društvene mreže(Facebook). Pismo često sadrži vezu do stranice koja se spolja ne razlikuje od stvarnog. Nakon što korisnik dođe na lažnu stranicu, društveni inženjeri koriste različite trikove kako bi potaknuli korisnika da unese svoje korisničko ime i lozinku na stranicu, koje koristi za pristup određenoj stranici, što mu omogućava pristup računima i bankovnim računima.

Više opasan pogled prijevara nego phishing, je takozvani pharming.

Pharming je mehanizam za prikriveno preusmjeravanje korisnika na phishing stranice. Društveni inženjer na računare korisnika distribuira posebne zlonamjerne programe, koji nakon pokretanja na računaru preusmjeravaju zahtjeve sa potrebnih stranica na lažne. Time je osigurana visoka tajnost napada, a učešće korisnika minimizirano - dovoljno je pričekati dok korisnik ne odluči posjetiti stranice od interesa za socijalnog inženjera.

Zaključak

Društveni inženjering je nauka koja je proizašla iz sociologije i za sebe tvrdi da je sveukupnost znanja koje vodi, uređuje i optimizuje proces stvaranja, modernizacije i reprodukcije novih („vještačkih“) društvenih stvarnosti. Na izvestan način „dovršava“ sociološku nauku, upotpunjuje je u fazi transformacije naučnog znanja u modele, projekte i konstrukcije društvenih institucija, vrednosti, normi, algoritama delovanja, odnosa, ponašanja itd.

Uprkos činjenici da je društveni inženjering relativno mlada nauka, on nanosi veliku štetu procesima koji se odvijaju u društvu.

Najjednostavniji načini zaštite od uticaja ove destruktivne nauke mogu se nazvati:

Skretanje pažnje ljudi na sigurnosna pitanja.

Svijest korisnika o ozbiljnosti problema i usvajanje sigurnosne politike sistema.

Književnost

1. R. Petersen Linux: Kompletan vodič: per. sa engleskog. - 3 - ed. - K.: Izdavačka grupa BHV, 2000. - 800 str.

2. Sa interneta Grodnev u vašem domu. - M.: "RIPOL CLASSIC", 2001. -480 str.

3. M. V. Kuznjecov Socijalni inženjering i društveno hakovanje. SPb.: BHV-Peterburg, 2007. - 368 str.: ilustr.

Zdravo dragi prijatelji! Već duže vreme niste razgovarali o bezbednosti, tačnije o podacima koji se čuvaju ne samo na vašim računarima, već čak i kod vaših prijatelja i kolega. Danas ću govoriti o takvom konceptu kao što je društveni inženjering. Naučit ćete šta je društveni inženjering i kako se upozoriti.

Društveni inženjering je metoda neovlaštenog pristupa informacioni sistemi, koji se zasnivao na karakteristikama ljudskog psihičkog ponašanja. Svaki haker, u direktnom ili indirektnom smislu, zainteresovan je za pristup zaštićenim informacijama, lozinkama, informacijama o bankovne kartice itd.

Glavna razlika ovu metodu je da predmet napada nije mašina, već njen korisnik. Metode socijalnog inženjeringa zasnivaju se na korištenju ljudskog faktora. Napadač dolazi do potrebnih informacija u telefonskom razgovoru ili ulaskom u kancelariju pod maskom zaposlenog.

Pretexting je skup radnji koje odgovaraju određenom unaprijed pripremljenom scenariju (izgovor). Za dobijanje informacija u ovoj tehnici koriste se glasovna sredstva (telefon, Skype). Predstavljajući se kao treća strana i pretvarajući se da mu je potrebna pomoć, prevarant prisiljava sagovornika da unese lozinku ili se registruje na phishing web stranici i na taj način dobije potrebne informacije.

Zamislimo situaciju. Radite u velikoj organizaciji oko šest mjeseci. Zove vas osoba koja se predstavlja kao zaposlenik iz neke filijale. “Zdravo, vaše ime ili pozicija, ne možemo unijeti mail koji služi za primanje prijava u našoj kompaniji. Nedavno smo dobili prijavu iz našeg grada, a gazda će jednostavno ubiti za takav previd, recite mi lozinku sa maila.

Naravno, kada sada pročitate njegov zahtjev, izgleda malo glupo dati lozinku osobi koju prvi put čujete. Ali pošto ljudi vole da pomažu u malim stvarima, (zar vam nije teško da kažete 8-16 karaktera iz lozinke?) Ovde svako može da probuši.

Phishing(ribolov) - ova vrsta internet prevare je usmjerena na dobivanje logina i lozinki. Najpopularnija vrsta phishinga je slanje e-mail poruke žrtvi pod maskom službenog pisma, na primjer, iz platnog sistema ili banke. Pismo, po pravilu, obavještava o gubitku podataka, o kvarovima u sistemu i sadrži zahtjev za unos povjerljiva informacija prateći link.

Veza preusmjerava žrtvu na phishing stranicu koja izgleda potpuno kao stranica na službenoj web stranici. Nespremnoj osobi je teško prepoznati phishing napad, ali je sasvim moguće. Takve poruke, u pravilu, sadrže informacije o prijetnjama (na primjer, o zatvaranju bankovnog računa) ili, obrnuto, obećanju novčana nagrada poklon, molbe za pomoć u ime dobrotvorne organizacije. Takođe, phishing poruke se mogu prepoznati po adresi na koju se traži da idete.

Najpopularniji phishing napadi uključuju prevaru korištenjem robne marke poznate kompanije. U ime poznate kompanije šalju se e-mailovi koji sadrže čestitke za određeni praznik (na primjer) i informacije o konkursu. Da biste učestvovali u nagradnoj igri, morate hitno promijeniti podatke o svom računu.

reći ću ti lično iskustvo. Ne gađaj me kamenjem. Bilo je to jako davno kada sam se zanimao za ... ... Da, da, phishing. U to vrijeme je bilo vrlo moderno sjediti u Mom svijetu i ja sam to iskoristio. Jednom sam vidio ponudu od mail.ru da instaliram "zlatnog agenta" za novac. Kad ti kažu da kupiš, pomisliš, ali kad ti kažu da si pobijedio, ljudi se odmah vode.

Ne sjećam se baš svega, ali bilo je ovako nešto.

Napisao poruku: “Zdravo, IME! Mail.RU tim sa zadovoljstvom vam čestita, osvojili ste "zlatnog agenta". Svaki 1000-ti naš korisnik to dobije besplatno. Da biste ga aktivirali, morate otići na svoju stranicu i aktivirati ga u Postavkama - bla bla bla.

Pa, šta mislite o ponudi? Da li želite zlatni Skype dragi čitaoci? Ne govorim o svim tehničkim detaljima, jer ima mladih koji samo čekaju detaljna uputstva. Ali treba napomenuti da je 30% korisnika My World pratilo link i upisivalo svoje korisničko ime i lozinku. Izbrisao sam ove lozinke, jer je to bio samo eksperiment.

Smishing. Sada veoma popularan Mobiteli, a da sazna vaš broj, neće biti teško ni školarcu koji sa vašim sinom ili ćerkom sjedi za istom klupom. Prevarant, nakon što je saznao broj, šalje vam phishing link gdje vas traži da odete i aktivirate bonus novac na vašoj mapi. Gdje prirodno postoje polja za unos ličnih podataka. Takođe mogu tražiti da pošaljete SMS sa podacima o kartici.

Čini se da je to normalna situacija, ali kvaka je vrlo blizu.

Qui pro quo („quid pro quo“) je vrsta napada koji uključuje poziv prevaranta, na primjer, u ime usluge tehnička podrška. Napadač, u procesu postavljanja pitanja zaposleniku o mogućim tehničkim problemima, prisiljava ga da unese komande koje mu omogućavaju pokretanje zlonamjernog softvera. Koji se mogu postaviti na otvorene resurse: društvene mreže, servere kompanije itd.

Pogledajte video za primjer:

Mogu vam poslati fajl (virus) poštom, pa nazvati i reći da je stigao hitan dokument i da ga trebate pogledati. Otvaranjem datoteke priložene uz pismo, korisnik sam instalira na računar malware, koji vam omogućava pristup osjetljivim podacima.

Vodite računa o sebi i svojim podacima. Vidimo se uskoro!

socijalni inženjering

socijalni inženjering je metoda neovlaštenog pristupa informacijama ili sistemima za skladištenje informacija bez upotrebe tehničkih sredstava. Osnovni cilj društvenih inženjera, kao i drugih hakera i krekera, jeste da dobiju pristup sigurnim sistemima kako bi ukrali informacije, lozinke, podatke na kreditne kartice itd. Glavna razlika od jednostavan hack je da se u ovom slučaju ne bira mašina, već njen operater kao predmet napada. Zato se sve metode i tehnike socijalnog inženjeringa zasnivaju na korištenju slabosti ljudskog faktora, što se smatra izuzetno destruktivnim, budući da napadač prima informacije, na primjer, koristeći uobičajene telefonski razgovor ili infiltriranjem u organizaciju prerušenu u zaposlenika. Da biste se zaštitili od napada ove vrste, trebali biste biti svjesni najčešćih vrsta prevara, razumjeti šta hakeri zaista žele i organizirati ih na vrijeme odgovarajuću politiku sigurnost.

Priča

Unatoč činjenici da se koncept "društvenog inženjeringa" pojavio relativno nedavno, ljudi u ovom ili onom obliku koriste njegove tehnike stoljećima. AT Ancient Greece a Rim je visoko cijenio ljude koji su to mogli Različiti putevi uvjeriti sagovornika u njegovu očiglednu grešku. Govoreći u ime lidera, oni su vodili diplomatske pregovore. Vješto koristeći laži, laskanje i korisne argumente, često su rješavali probleme za koje se činilo da je nemoguće riješiti bez pomoći mača. Među špijunima, društveni inženjering je oduvijek bio glavno oružje. Predstavljajući se kao druga osoba, agenti KGB-a i CIA-e mogli bi otkriti tajnu državne tajne. Početkom 70-ih, tokom vrhunca freakinga, neki telefonski huligani su pozvali telekom operatere i pokušali da izvuku povjerljive informacije od tehničkog osoblja kompanija. Nakon raznih eksperimenata sa trikovima, do kraja 70-ih phreakers su toliko ovladali tehnikama manipulacije nepripremljenim operaterima da su od njih lako mogli naučiti gotovo sve što su htjeli.

Principi i tehnike socijalnog inženjeringa

Postoji nekoliko uobičajenih tehnika i vrsta napada koje koriste društveni inženjeri. Sve ove tehnike su zasnovane na karakteristikama ljudskog donošenja odluka poznatim kao kognitivne (vidi takođe Kognitivne) pristranosti. Ove predrasude se koriste u različitim kombinacijama kako bi se stvorila najprikladnija strategija obmane za svaki pojedinačni slučaj. Ali zajednička karakteristika svih ovih metoda je obmanjivanje, kako bi se osoba natjerala da izvrši neku radnju koja mu nije korisna i neophodna je socijalnom inženjeru. Da bi postigao željeni rezultat, napadač koristi niz različitih taktika: lažno predstavljanje druge osobe, odvraćanje pažnje, eskalaciju psihičkog stresa itd. Krajnji ciljevi obmane također mogu biti vrlo raznoliki.

Tehnike društvenog inženjeringa

Pretexting

Pretekstiranje je skup radnji koje se izvode prema određenom, unaprijed spreman skript(izgovor). Ova tehnika uključuje upotrebu glasovni alati kao što su telefon, skype itd. da dobijete informacije koje su vam potrebne. Obično, predstavljajući se kao treća strana ili pretvarajući se da je nekome potrebna pomoć, napadač traži od žrtve da unese lozinku ili se prijavi na web stranicu za krađu identiteta, primoravajući metu da izvrši neophodna akcija ili dati određene informacije. U većini slučajeva, ova tehnika zahtijeva neke početne podatke o meti napada (na primjer, lični podaci: datumi rođenja, brojevi telefona, brojevi računa, itd.) Najčešća strategija je korištenje malih upita na početku i spominjanje imena pravi ljudi U organizaciji. Kasnije, tokom razgovora, napadač objašnjava da mu je potrebna pomoć (većina ljudi je sposobna i voljna da obavlja zadatke koji se ne smatraju sumnjivim). Kada se uspostavi odnos povjerenja, prevarant može tražiti nešto značajnije i važnije.

Phishing

Primjer phishing e-pošte poslane s usluge e-pošte koja zahtijeva "ponovnu aktivaciju računa"

Phishing (engleski phishing, od fishing - pecanje, pecanje) je vrsta internetske prevare, čija je svrha pristup povjerljivim korisničkim podacima - loginovima i lozinkama. Možda je ovo najpopularnija shema socijalnog inženjeringa do sada. Nijedna veća povreda ličnih podataka nije potpuna bez vala phishing e-poruka nakon toga. Svrha phishinga je nezakonito pribavljanje povjerljivih informacija. Najupečatljiviji primjer phishing napada je poruka poslana žrtvi putem e-pošte, a krivotvorena kao službeno pismo - iz banke ili sistem plaćanja- zahtijeva provjeru određene informacije ili preduzimanje određenih radnji. Razlozi se mogu nazvati najrazličitijim. To može biti gubitak podataka, kvar sistema itd. Takvi e-mailovi obično sadrže link do lažne web stranice koja izgleda potpuno kao zvanična i sadrži obrazac koji zahtijeva da unesete povjerljive podatke.

Jedan od najozloglašenijih primjera globalne phishing prevare je prevara iz 2003. godine u kojoj su hiljade korisnika eBaya primile e-poruke u kojima su tvrdili da im je račun suspendovan i da je potrebno ažuriranje podataka o kreditnoj kartici kako bi ga otključali. Svi ovi e-mailovi sadržavali su link koji vodi do lažne web stranice koja je izgledala potpuno kao zvanična. Prema procjenama stručnjaka, gubici od ove prevare iznosili su nekoliko stotina hiljada dolara.

Kako prepoznati phishing napad

Nove prevare se pojavljuju skoro svaki dan. Većina ljudi može sama naučiti prepoznati lažne poruke tako što će se upoznati s nekima od njih. obeležja. Najčešće phishing poruke sadrže:

• uznemiravajuće informacije ili prijetnje, kao što je zatvaranje bankovnih računa korisnika.
• obećava ogromnu novčanu nagradu sa minimalan napor ili bez njih uopšte.
• zahtjevi za dobrovoljne priloge u ime dobrotvornih organizacija.
• gramatičke, interpunkcijske i pravopisne greške.

Popularne šeme krađe identiteta

Najpopularnije phishing prevare su opisane u nastavku.

Prijevara korištenjem brendova poznatih korporacija

Ove phishing sheme koriste lažne poruke Email ili web stranice koje sadrže imena velikih ili poznatih kompanija. Poruke mogu sadržavati čestitke na pobjedi na takmičenju koje održava kompanija, da postoji hitna potreba za promjenom vaših akreditiva ili lozinke. Slične lažne šeme u ime službe tehničke podrške mogu se obaviti i putem telefona.

Lažne lutrije

Korisnik može dobiti poruke da je dobio na lutriji koju je održala neka poznata kompanija. Spolja, ove poruke mogu izgledati kao da su poslane u ime nekog od visokorangiranih zaposlenika korporacije.

Lažni antivirusni i sigurnosni softver

IVR ili telefonski phishing

Princip rada IVR sistema

Qui pro quo

Quid pro quo (od latinskog Quid pro quo - "ono za ovo") je skraćenica koja se obično koristi u engleski jezik u smislu "quid pro quo". Ova vrsta napada uključuje poziv napadača kompaniji korporativni telefon. U većini slučajeva, napadač se predstavlja kao osoba tehničke podrške koja pita da li ih ima tehnički problemi. U procesu "rješavanja" tehničkih problema, prevarant "tjera" metu da unese komande koje omogućavaju hakeru da pokrene ili instalira zlonamjerni softver na korisnikovu mašinu.

trojanski konj

Ponekad je korištenje trojanaca samo dio planiranog napada u više faza određenim računarima, mreže ili resurse.

Vrste trojanaca

Trojanci se najčešće razvijaju u zlonamjerne svrhe. Postoji klasifikacija gdje su podijeljeni u kategorije na osnovu toga kako se trojanci infiltriraju i štete sistemu. Postoji 5 glavnih tipova:

• daljinski pristup
• uništavanje podataka
• loader
• server
• deaktivator sigurnosnih programa

Ciljevi

Svrha trojanca može biti:

• učitavanje i preuzimanje datoteka
• kopiranje lažnih linkova koji vode do lažnih web stranica, chat soba ili drugih stranica za registraciju
• ometanje rada korisnika
• krađu vrijednih ili tajnih podataka, uključujući informacije o autentifikaciji, za neovlašteni pristup resursima, traženje detalja o bankovnim računima koji se mogu koristiti u kriminalne svrhe
• distribucija drugog zlonamjernog softvera kao što su virusi
• uništavanje podataka (brisanje ili prepisivanje podataka na disku, teško uočljivo oštećenje fajlova) i opreme, onemogućavanje ili uskraćivanje usluge računarskih sistema, mreža
• prikupljanje email adresa i njihovo korištenje za slanje neželjene pošte
• špijuniranje korisnika i tajno prenošenje informacija trećim stranama, kao što je, na primjer, navika posjećivanja web stranica
• evidentiranje pritisaka na tipke za krađu informacija kao što su lozinke i brojevi kreditnih kartica
• deaktiviranje ili smetnje antivirusni programi i firewall

Prerušavanje

Mnogi trojanci su na računarima korisnika bez njihovog znanja. Ponekad se trojanci registruju u Registru, što dovodi do njihovog automatskog pokretanja pri pokretanju operativni sistem. Trojanci se takođe mogu kombinovati sa legitimnim fajlovima. Kada korisnik otvori takav fajl ili pokrene aplikaciju, trojanac se pokreće zajedno s njim.

Kako funkcioniše trojanac

Trojanci se obično sastoje iz dva dijela: klijenta i servera. Server radi na mašini žrtve i osluškuje konekcije od Klijenta. Dok server radi, on prati port ili više portova tražeći vezu od klijenta. Da bi se napadač mogao povezati sa serverom, mora znati IP adresu mašine na kojoj radi. Neki trojanci šalju IP adresu mašine žrtve napadaču putem e-pošte ili na neki drugi način. Čim se uspostavi veza sa serverom, klijent mu može poslati komande koje će server izvršiti. Trenutno, zahvaljujući NAT tehnologiji, nemoguće je pristupiti većini računara preko njihove eksterne IP adrese. Stoga se danas mnogi trojanci povezuju na računar napadača, koji je odgovoran za prihvatanje konekcionih konekcija, umjesto da se sam napadač pokušava povezati sa žrtvom. Mnogi moderni trojanci takođe mogu lako zaobići firewall na računarima korisnika.

Prikupljanje informacija iz otvorenih izvora

Upotreba tehnika socijalnog inženjeringa zahtijeva ne samo poznavanje psihologije, već i sposobnost prikupljanja potrebnih informacija o osobi. Relativno nov način za dobijanje takvih informacija bio je prikupljanje iz otvorenih izvora, uglavnom sa društvenih mreža. Na primer, sajtovi kao što su livejournal, Odnoklassniki, Vkontakte sadrže ogromnu količinu podataka koje ljudi ni ne pokušavaju da sakriju. pravilo, korisnici ne obraćaju dužnu pažnju na sigurnosna pitanja, ostavljajući unutra slobodan pristup podatke i informacije koje napadač može koristiti.

Ilustrativan primjer je priča o otmici sina Eugena Kasperskog. Tokom istrage je utvrđeno da su kriminalci saznali raspored dana i rute tinejdžera iz njegovih bilješki na stranici na društvenoj mreži.

Čak i ograničavanjem pristupa informacijama na svojoj stranici na društvenoj mreži, korisnik ne može biti siguran da nikada neće pasti u ruke prevaranta. Na primjer, brazilski istraživač na kompjuterska sigurnost pokazao da je moguće postati prijatelj bilo kojem korisniku Facebooka u roku od 24 sata koristeći metode društvenog inženjeringa. Tokom eksperimenta, istraživač Nelson Novaes Neto odabrao je "žrtvu" i napravio lažni nalog osobe iz njenog okruženja - njenog šefa. Neto je prvo slao zahtjeve za prijateljstvo prijateljima prijatelja žrtvinog šefa, a zatim direktno svojim prijateljima. Nakon 7,5 sati, istraživač je postigao dodatak prijatelja od strane “žrtve”. Tako je istraživač dobio pristup ličnim podacima korisnika, koje je dijelio samo sa svojim prijateljima.

putna jabuka

Ova metoda napada je adaptacija trojanski konj, a sastoji se u korištenju fizičkih medija . Napadač postavlja "zaraženog", odnosno blic, na mesto gde se domaćin lako može pronaći (wc, lift, parking). Prijevoznik je lažiran kao službeni, a prati ga potpis koji je osmišljen da izazove radoznalost. Na primjer, prevarant može povratiti, opremljen korporativnim logotipom i vezom na službenu web stranicu kompanije, dajući joj natpis " Plaća Disk može biti ostavljen na podu lifta ili u predvorju.Neznani zaposlenik može uzeti disk i ubaciti ga u kompjuter kako bi zadovoljio svoju radoznalost.

Obrnuti društveni inženjering

Obrnuti društveni inženjering spominje se kada sama žrtva ponudi napadaču informacije koje su mu potrebne. Možda se čini apsurdnim, ali u stvarnosti, tehnički ili društveni autoriteti često dobijaju korisničke ID-ove, lozinke i druge osjetljive lične podatke samo zato što niko ne sumnja u njihov integritet. Na primjer, zaposleni u službi za pomoć nikada ne traže od korisnika ID ili lozinku; ne trebaju im ove informacije za rješavanje problema. Međutim, mnogi korisnici dobrovoljno dijele ove osjetljive informacije kako bi što prije riješili probleme. Ispostavilo se da napadač ne mora ni da pita za to.

Primjer obrnutog društvenog inženjeringa je sljedeći jednostavan scenario. Napadač, radeći sa žrtvom, mijenja ime datoteke na računaru žrtve ili je premješta u drugi direktorij. Kada žrtva primijeti da fajl nedostaje, napadač tvrdi da ga može popraviti. U želji da brže završi posao ili izbjegne kaznu za gubitak informacija, žrtva pristaje na ovaj prijedlog. Napadač tvrdi da je jedini način za rješavanje problema prijavljivanje sa akreditivima žrtve. Sada žrtva traži od napadača da se prijavi pod njenim imenom kako bi pokušao povratiti datoteku. Napadač nevoljko pristaje i vraća datoteku, kradući usput ID i lozinku žrtve. Uspješno izveo napad, čak je popravio svoju reputaciju, a vrlo je moguće da će mu se nakon toga za pomoć obratiti i druge kolege. Ovaj pristup ne ometa normalne procedure servisa podrške i otežava hvatanje napadača.

Poznati društveni inženjeri

Kevin Mitnick

Kevin Mitnick. širom svijeta poznati haker i konsultant za bezbednost

Jedan od najpoznatijih društvenih inženjera u istoriji je Kevin Mitnik. Kao svjetski poznati kompjuterski haker i konsultant za sigurnost, Mitnick je također autor brojnih knjiga o kompjuterskoj sigurnosti, fokusirajući se prvenstveno na društveni inženjering i tehnike psihološke manipulacije. Godine 2002. objavljena je knjiga "Umjetnost obmane" pod njegovim autorstvom, koja govori o prave priče primjena socijalnog inženjeringa. Kevin Mitnick je tvrdio da je mnogo lakše dobiti lozinku varanjem nego pokušajem provale u sigurnosni sistem.

Braća Badir

Iako su braća Mundir, Mushid i Shadi Badir bili slijepi od rođenja, uspjeli su izvući nekoliko velikih šema prevare u Izraelu 1990-ih koristeći društveni inženjering i krivotvorenje glasa. U televizijskom intervjuu su rekli: "Samo oni koji ne koriste telefon, struju i laptop su potpuno osigurani od mrežnih napada." Braća su već bila u zatvoru jer su mogli da čuju i dešifruju tajne tonove ometanja provajdera telefonska komunikacija. Obavljali su duge pozive u inostranstvo o tuđem trošku, reprogramirajući kompjutere provajdera mobilnih komunikacija tonovima smetnji.

Arhanđeo

Naslovnica časopisa "Phrack".

Famous kompjuterski haker i konsultant za bezbednost za Phrack Magazine, poznati onlajn časopis na engleskom jeziku, Archangel je demonstrirao moć tehnika društvenog inženjeringa dobijanjem lozinki od ogromnog broja razni sistemi, prevarivši nekoliko stotina žrtava.

Ostalo

Manje poznati društveni inženjeri su Frank Abagnale, David Bannon, Peter Foster i Stephen Jay Russell.

Načini zaštite od socijalnog inženjeringa

Da bi izvršili svoje napade, napadači koji koriste tehnike socijalnog inženjeringa često iskorištavaju lakovjernost, lijenost, ljubaznost, pa čak i entuzijazam korisnika i zaposlenih u organizacijama. Odbrana od ovakvih napada nije laka, jer njihove žrtve možda i ne sumnjaju da su prevarene. Napadači socijalnog inženjeringa imaju u osnovi iste ciljeve kao i svi drugi napadači: trebaju im novac, informacije ili IT resursi kompanije žrtve. Da biste se zaštitili od takvih napada, morate proučiti njihove vrste, razumjeti šta napadaču treba i procijeniti štetu koja može biti nanesena organizaciji. Uz sve ove informacije, potrebne mjere zaštite mogu se integrirati u sigurnosnu politiku.

Klasifikacija prijetnji

Prijetnje putem e-pošte

Mnogi zaposleni svakodnevno primaju preko korporativnih i privatnih sistemi pošte desetine, pa čak i stotine mejlova. Naravno, uz takav tok prepiske, nemoguće je posvetiti dužnu pažnju svakom pismu. To znatno olakšava izvođenje napada. Većina korisnika e-mail sistema je mirna po pitanju obrade ovakvih poruka, doživljavajući ovaj rad kao elektronski analog prebacivanja papira iz jednog foldera u drugi. Kada napadač pošalje jednostavan zahtjev poštom, žrtva često radi ono što se od nje traži ne razmišljajući o svojim postupcima. E-poruke mogu sadržavati hiperveze koje podstiču zaposlene da naruše sigurnost korporativnog okruženja. Takve veze ne vode uvijek do stranica na koje se polaže prava.

Većina sigurnosnih mjera usmjerena je na sprječavanje neovlaštenih korisnika da pristupe korporativnim resursima. Ako, klikom na hipervezu koju je poslao napadač, korisnik preuzme korporativna mreža trojanac ili virus, to će vam omogućiti da lako zaobiđete mnoge vrste zaštite. Hiperlink takođe može ukazivati ​​na sajt sa iskačućim aplikacijama koje traže podatke ili nude pomoć.Kao i kod drugih vrsta prevara, najefikasniji način zaštite od zlonamernih napada je da budete skeptični prema bilo kakvoj neočekivanoj dolaznoj e-poruci. Da bi se ovaj pristup proširio na cijelu organizaciju, posebne smjernice za korištenje e-pošte trebale bi biti uključene u sigurnosnu politiku, koje pokrivaju dolje navedene elemente.

• Prilozi uz dokumente.
• Hiperveze u dokumentima.
• Zahtjevi za lične ili korporativne informacije dolazi iz kompanije.
• Zahtjevi za ličnim ili korporativnim informacijama izvan kompanije.

Prijetnje povezane s korištenjem usluge trenutne razmjene poruka

Razmjena trenutnih poruka - uporedno novi način prijenos podataka, međutim, već je stekao široku popularnost među korporativnim korisnicima. Zbog brzine i jednostavnosti korištenja, ovaj način komunikacije otvara široke mogućnosti za razne napade: korisnici ga tretiraju kao telefonsku vezu i ne povezuju je s potencijalnim softverskim prijetnjama. Dvije glavne vrste napada zasnovane na korišćenju usluge trenutne razmjene poruka su upućivanje na zlonamjerni softver u tijelu poruke i isporuka samog programa. Naravno, instant poruke su takođe jedan od načina da se traže informacije. Jedna od karakteristika servisa instant poruka je neformalna priroda komunikacije. U kombinaciji sa sposobnošću samoidentifikacije, ovaj faktor znatno olakšava napadaču da se lažno predstavlja kao druga osoba i značajno povećava njihove šanse za uspješno izvođenje napada.Ako kompanija namjerava iskoristiti uštede troškova i druge pogodnosti koje mu pružaju instant razmena poruke, neophodno je obezbediti mehanizme zaštite od relevantnih pretnji u korporativnim bezbednosnim politikama. Za sigurnu kontrolu nad razmjenom trenutnih poruka u korporativno okruženje mora biti ispunjeno nekoliko uslova.

• Odaberite jednu platformu za razmjenu trenutnih poruka.
• Odredite sigurnosna podešavanja koja postavljate prilikom postavljanja usluge ćaskanja.
• Definišite principe za uspostavljanje novih kontakata
• Postavite standarde za odabir lozinki
• Dajte preporuke za korištenje usluge razmjene trenutnih poruka.

Slojeviti sigurnosni model

Za čuvara velike kompanije a njihovi zaposlenici od prevaranata koji koriste tehnike socijalnog inženjeringa, često se koriste složeni višeslojni sigurnosni sistemi. Neke od karakteristika i odgovornosti takvih sistema su navedene u nastavku.

• Fizička sigurnost. Barijere koje ograničavaju pristup zgradama kompanije i korporativnim resursima. Ne zaboravite da resursi kompanije, kao što su kontejneri za smeće koji se nalaze izvan prostorija kompanije, nisu fizički zaštićeni.
• Podaci. Poslovne informacije: računi, prepiska putem pošte itd. Prilikom analize prijetnji i planiranja mjera za zaštitu podataka potrebno je utvrditi principe postupanja sa papirom i elektronski mediji podaci.
• Prijave. Programi koje pokreću korisnici. Da bismo zaštitili okolinu, potrebno je razmotriti kako napadači mogu koristiti programi za e-poštu, usluge trenutnih poruka i druge aplikacije.
• Kompjuteri. Serveri i klijentski sistemi koji se koriste u organizaciji. Zaštitite korisnike od direktnih napada na njihove računare definisanjem strogih smernica o tome koji programi se mogu koristiti na korporativnim računarima.
• Interna mreža. Mreža preko koje komuniciraju korporativni sistemi. Može biti lokalni, globalni ili bežični. AT poslednjih godina Zbog rastuće popularnosti metoda rada na daljinu, granice internih mreža postale su uglavnom proizvoljne. Zaposlenicima u kompaniji treba objasniti šta moraju učiniti za organizaciju bezbedan rad u bilo kom mrežnom okruženju.
• perimetar mreže. granica između interne mreže kompanije i eksterne, kao što su Internet ili mreže partnerskih organizacija.

Odgovornost

Predtekst i snimanje telefonskih razgovora

Hewlett Packard

Patricia Dunn, predsjednica korporacije Hewlett Packard, izvijestila je da je angažovala privatnu kompaniju kako bi identifikovala one uposlenike kompanije koji su odgovorni za curenje povjerljivih informacija. Kasnije je čelnik korporacije priznao da je studija koristila praksu pretvaranja teksta i druge tehnike socijalnog inženjeringa.

Bilješke

vidi takođe

Linkovi

• SocialWare.com - Privatni projekat socijalnog inženjeringa
• - Društveni inženjering: osnove. Dio I: Hakerske taktike

socijalni inženjering — neovlašćeni pristup do povjerljivih informacija kroz manipulaciju ljudskom sviješću. Metode socijalnog inženjeringa zasnovane su na specifičnostima psihologije i imaju za cilj iskorišćavanje ljudskih slabosti (naivnost, nepažnja, radoznalost, komercijalni interesi). Aktivno ih koriste društveni hakeri kako na internetu tako i izvan njega.

Međutim, s obzirom na digitalne tehnologije, web resursi, računari, pametni telefoni - "magla mozga" korisnika mreže javlja se na malo drugačiji način. Prevaranti postavljaju "zamke", "zamke" i druge trikove bilo gdje i na bilo koji način, na društvenim mrežama, na portalima za igre, u elektronskom poštanski sandučići i online usluge. Evo samo nekoliko primjera metoda društvenog inženjeringa:

Kao poklon za praznik ... trojanski konj

Bez obzira na karakter, profesiju, finansijsku sposobnost, svi čekaju praznike: Nova godina, 1. maj, 8. mart, Dan zaljubljenih itd., kako biste ih na prirodan način proslavili, opustite se, ispunite svoju duhovnu auru pozitivom i usput razmijenite čestitke sa suborcima.

U ovom trenutku društveni hakeri su posebno aktivni. Na praznike i praznicišalju razglednice na račune pošte: svijetle, šarene, uz muzičku pratnju i... opasni virus Trojanac. Žrtva, ne znajući ništa o takvoj prevari, u euforiji zabave ili, jednostavno, radoznalosti, klikne na razglednicu. U istom trenutku, zlonamjerni softver inficira OS, a zatim čeka pogodan trenutak da ukrade podatke o registraciji, broj platne kartice ili zamijeni web stranicu internet trgovine u pretraživaču lažnom i ukrade novac sa računa.

Povoljan popust i virus "u teret"

Sjajan primjer socijalnog inženjeringa. Želja da „uštedite“ svoj teško zarađeni novac je sasvim opravdana i razumljiva, ali u razumnim granicama i pod određenim okolnostima. Riječ je o "nije zlato sve što blista".

Prevaranti pod maskom najvećih brendova, internet prodavnica i servisa, u odgovarajućem dizajnu, nude kupovinu robe po neverovatnom popustu i pored kupovine dobijaju poklon... Prave lažne mailing liste, kreiraju grupe na društvene mreže i tematske „grane“ na forumima.

Naivni sugrađani, kako kažu, "dovedeni" su do ovog blistavog komercijalnog plakata: u žurbi preračunaju koliko je ostalo od plate, akontacije i kliknu na link "kupi", "idi na stranicu za kupovinu", itd. Nakon toga, u 99 od 100 slučajeva, umjesto isplative kupovine, dobiju virus na računaru ili besplatno pošalju novac društvenim hakerima.

Igrač Donirajte +300% vještina lopova

U online igrama, i općenito u igricama za više igrača, uz rijetke izuzetke, opstaju najjači: ko ima jači oklop, štetu, jaču magiju, više zdravlja, više mane itd.

I, naravno, svaki gejmer želi da nabavi ove dragocjene artefakte za svoj persijski, tenk, avion i Bog zna šta još. U bitkama ili kampanjama, lično ili za pravi novac (funkcija doniranja) u virtuelnoj prodavnici igara. Biti najbolji, prvi...doći do poslednjeg nivoa razvoja.

Prevaranti su svjesni ovih "slabosti u igricama" i na sve moguće načine mame igrače da steknu dragocjene artefakte i vještine. Nekad za novac, nekad za džabe, ali to ne mijenja suštinu i svrhu zlobne šeme. Primamljive ponude na lažnim stranicama zvuče otprilike ovako: “preuzmi ovu aplikaciju”, “instaliraj zakrpu”, “idi ispod u igri da dobiješ predmet”.

Umjesto dugo očekivanog bonusa, igraču je ukraden račun. Ako je savršeno "napumpan", otmičari ga prodaju ili od njega dobijaju podatke o plaćanju (ako ih ima).

Zlonamjerni softver + društveni inženjering = mješavina podmukosti

Ikone opreza!

Mnogi korisnici koriste miš u OS-u na "autopilotu": kliknite ovdje, ovdje; otkrio ovo, ono, ono. Rijetko je da neko od njih pažljivo pogleda tip datoteka, njihov volumen i svojstva. Ali uzalud. Hakerska maska izvršne datoteke malware ispod normalnog Windows folderi, slike ili pouzdane aplikacije, odnosno, spolja, vizuelno, ne možete ih razlikovati. Korisnik klikne na mapu, njen sadržaj se, naravno, ne otvara, jer ovo uopće nije mapa, već instalater virusa sa ekstenzijom .exe. A zlonamjerni softver "tiho" prodire u OS.

Pravi "protuotrov" za takve trikove je turpija Totalni menadžer komandant. Za razliku od integrisanog Windows Explorer, prikazuje sve detalje datoteke: tip, volumen, datum kreiranja. Najveća potencijalna opasnost za sistem su nepoznati fajlovi sa ekstenzijama: ".scr", ".vbs", ".bat", ".exe".

Strah podstiče poverenje

1. Korisnik otvara „horor stranicu“ i odmah biva obaviješten o najneprijatnijoj vijesti, ili čak vijesti: „vaš računar je zaražen najopasnijim trojanom“, „10, 20...30 virusa je pronađeno u vašem OS-u “, “s vašeg računara se šalje neželjena pošta” itd.
2. I odmah nude (pokažu "brigu") da instaliraju antivirus i stoga riješe sigurnosni problem izražen na stranici. I što je najvažnije, potpuno besplatno.
3. Ako posjetitelja obuzima strah za svoj PC, on slijedi link i preuzima ... samo ne antivirus, već lažni antivirus - lažni punjen virusima. Instalira i pokreće - posljedice su odgovarajuće.

• Prvo, web stranica ne može u tren oka provjeriti računar posjetitelja i otkriti zlonamjerni softver.
• Drugo, programeri distribuiraju svoje antiviruse, bilo da su plaćeni ili besplatni, preko svojih, odnosno službenih stranica.
• I na kraju, treće, ako postoje sumnje i strahovi oko "čistog" OS-a ili ne, bolje je provjeriti sistemska particija, sa onim što je dostupno, odnosno instaliranim antivirusom.

Sažimanje

Psihologija i hakiranje danas idu ruku pod ruku – tandem iskorištavanja ljudskih slabosti i softverskih ranjivosti. Biti na internetu, praznicima i radnim danima, danju ili noću, i bez obzira u kakvom raspoloženju, imperativ je biti budan, suzbijati naivnost, otjerati intuiciju komercijalne dobiti i nečeg „besplatnog“. Jer, kao što znate, samo se sir distribuira u bescjenje i samo u mišolovci. Kreirajte samo lozinke, čuvajte ih na mjestima i ostanite s nama, jer, kao što znate, ne postoji prevelika sigurnost.

Ovo je metoda kontrole ljudskih radnji bez upotrebe tehničkih sredstava. Metoda se zasniva na iskorištavanju slabosti ljudskog faktora i smatra se vrlo destruktivnom. Često se socijalni inženjering smatra ilegalnom metodom dobijanja informacija, ali to nije sasvim tačno. Socijalni inženjering se može koristiti i u legitimne svrhe, i to ne samo za dobijanje informacija, već i za obavljanje radnji od strane određene osobe. Danas se društveni inženjering često koristi na internetu za dobijanje povjerljive informacije, ili informacije koje imaju veliku vrijednost.

Napadač dolazi do informacija, na primjer, prikupljanjem informacija o zaposlenima na meti, jednostavnim telefonskim pozivom ili infiltriranjem u organizaciju prerušenu u zaposlenika.

Napadač može pozvati zaposlenog kompanije (pod maskom tehnička služba) i izdvojite lozinku, upućujući na potrebu rješavanja malog problema u kompjuterski sistem. Vrlo često ovaj trik funkcionira.

Imena zaposlenih mogu se pronaći nakon niza poziva i proučavanja imena menadžera na web stranici kompanije i drugim izvorima otvorene informacije(izvještaji, oglasi, itd.).

Koristeći prava imena u razgovoru sa službom tehničke podrške, napadač priča izmišljenu priču da ne može doći na važan sastanak na stranici sa svojim račun daljinski pristup.

Još jedna pomoć u ovoj metodi je proučavanje smeća organizacija, virtuelnih korpi za otpatke, krađe prijenosno računalo ili medijima.

Ova metoda se koristi kada je napadač ciljao određenu kompaniju kao žrtvu.

socijalni inženjering je relativno mlada nauka, tj sastavni dio sociologije, i tvrdi da je sveukupnost onih specifičnih znanja koja usmjeravaju, dovode u red i optimiziraju proces stvaranja, modernizacije i reprodukcije novih („vještačkih”) društvenih stvarnosti. Na izvestan način „dovršava“ sociološku nauku, upotpunjuje je u fazi transformacije naučnog znanja u modele, projekte i konstrukcije društvenih institucija, vrednosti, norme, algoritme delovanja, odnosa, ponašanja itd. sintetičko mišljenje i znanje o formalizovane procedure (tehnologije) projektantske i pronalazačke delatnosti. U karakterizaciji formalizovanih operacija koje čine ovo poslednje, posebna pažnja se poklanja operacijama složene kombinatorike. Zanemarivanje principa konzistentnosti u radu kombinatorike izazvalo je i nanosi veliku štetu na svim nivoima transformacionih procesa koji se odvijaju u našem društvu. Konzistentno znanje Osnovni zahtjevi za ove operacije daju osnovu za sprječavanje pogrešnih izopačenja u reformatorskoj praksi na njenom makro, mezo i mikro nivou.

Unatoč činjenici da se koncept socijalnog inženjeringa pojavio nedavno, ljudi su u ovom ili onom obliku koristili njegove tehnike od pamtivijeka. U istoj staroj Grčkoj i Rimu, ljudi koji su mogli okačiti bilo kakve rezance na uši i uvjeriti sagovornika u „očiglednu nepravdu“ bili su veoma cijenjeni. Govoreći u ime čelnika, vodili su diplomatske pregovore, a miješajući u riječi laži, laskanja i korisne argumente često su rješavali probleme koji se inače ne bi mogli riješiti bez pomoći mača. Među špijunima, društveni inženjering je oduvijek bio glavno oružje. Predstavljajući se kao bilo tko, agenti KGB-a i CIA-e mogli su otkriti najstrašnije državne tajne.

Početkom 1970-ih, u doba vrhunca frikinga, neki telefonski huligani su se zabavljali pozivajući Ma Bell operatere iz uličnih separea i rugajući im se zbog kompetencije. Onda je neko, očigledno, shvatio da ako malo preurediš fraze i lažeš tu i tamo, možeš ih naterati. osoblje ne samo da se opravdava, već u naletu emocija odaje povjerljive informacije. Freakeri su počeli polako eksperimentirati s trikovima i do kraja 70-ih su razradili tehnike manipulacije nepripremljenim operaterima do te mjere da su od njih lako mogli naučiti gotovo sve što su htjeli.

Razgovarati sa ljudima telefonom kako bi dobili neke informacije ili ih jednostavno natjerali da nešto urade bilo je izjednačeno s umjetnošću. Profesionalci u ovoj oblasti bili su veoma ponosni na svoje zanatstvo. Najvještiji društveni inženjeri (pjevači) oduvijek su se ponašali improvizirano, oslanjajući se na svoje instinkte. Navodnim pitanjima, intonacijom glasa mogli su odrediti komplekse i strahove osobe i, momentalno se orijentirajući, poigravati se na njima. Ako je na drugom kraju žice bila mlada, nedavno zaposlena djevojka - friker je nagovijestio moguće nevolje sa šefom, da li je u pitanju nekakav samouvjereni dušek - bilo je dovoljno da se predstavi kao početnik kome treba da se sve pokaže i ispriča. Svaki je imao svoj ključ. Sa pojavom kompjutera, mnogi phreakers su se preselili u kompjuterske mreže i postali hakeri. SI vještine u novoj oblasti postale su još korisnije. Ako je ranije mozak operatera bio u prahu uglavnom za dobivanje informacija iz korporativnih imenika, sada je postalo moguće saznati lozinku za ulazak u zatvoreni sistem i odatle preuzeti gomilu istih direktorija ili nečeg tajnog. Štaviše, ova metoda je bila mnogo brža i lakša od tehničke. Nema potrebe da tražite rupe u nagomilanom sistemu zaštite, nema potrebe da čekate da Jack Trbosek pogodi ispravna lozinka, nije potrebno igrati mačke i miša sa administratorom. Dovoljno je nazvati telefonom i, uz pravi pristup, na drugom kraju linije će nazvati dragu riječ.

Tehnike i termini društvenog inženjeringa

Sve tehnike socijalnog inženjeringa zasnivaju se na karakteristikama ljudskog donošenja odluka, koje se nazivaju kognitivna osnova. One se mogu nazvati i odlikom odlučivanja ljudske i socijalne psihologije, zasnovane na činjenici da osoba mora vjerovati nekome u društvenom okruženju obrazovanja.

Pretexting

Pretekstiranje je radnja razrađena prema unaprijed kompajliranom scenariju (pretekstu). Kao rezultat toga, meta mora dati određene informacije ili izvršiti određenu radnju. Ova vrsta napada se obično koristi preko telefona. Češće nego ne, ova tehnika uključuje više od obične laži i zahtijeva neka prethodna istraživanja (npr. personalizaciju: datum rođenja, iznos posljednjeg računa, itd.) kako bi se osigurala vjerodostojnost mete. Ova vrsta također uključuje napade na internetske glasnike, na primjer, na ICQ.

Phishing

Phishing je tehnika koja ima za cilj lažno pribavljanje povjerljivih informacija. Obično napadač šalje e-mail meti koji izgleda kao službeno pismo - iz banke ili platnog sistema - zahtijevajući "provjeru" određenih informacija ili određenih radnji. Ova e-poruka obično sadrži link ka lažnoj web stranici koja oponaša zvaničnu, sa korporativnim logotipom i sadržajem, te sadrži obrazac koji zahtijeva da unesete povjerljive podatke - od vaše kućne adrese do PIN koda vaše bankovne kartice.

trojanski konj

Ova tehnika iskorištava radoznalost ili pohlepu mete. Napadač kao prilog šalje e-mail koji sadrži "kul" ili "seksi" čuvar ekrana, važnu antivirusnu nadogradnju ili čak svježu prljavštinu. Ova tehnika ostaje efikasna sve dok korisnici slijepo kliknu na bilo koji prilog.

putna jabuka

Ova metoda napada je adaptacija trojanskog konja i sastoji se od korištenja fizičkih medija. Napadač može postaviti zaraženi CD ili fleš disk na mjesto gdje se mediji mogu lako pronaći (WC, lift, parking). Prijevoznik je lažiran kao službeni i popraćen je potpisom osmišljenim da izazove radoznalost.

Primjer: Napadač bi mogao podmetnuti CD sa korporativnim logotipom i vezom do službene web stranice ciljne kompanije i označiti ga kao "Plata izvršnog direktora u prvom kvartalu 2007.". Disk se može ostaviti na podu lifta ili u predvorju. Zaposleni može nesvjesno uzeti disk i ubaciti ga u kompjuter kako bi zadovoljio svoju radoznalost, ili će jednostavno "dobri Samaritanac" odnijeti disk u kompaniju.

Qui pro quo

Napadač može pozvati slučajni broj kompaniji i predstavljajte se kao osoba za podršku koja pita ima li tehničkih problema. Ako jesu, u procesu njihovog "rješavanja", meta unosi komande koje hakeru omogućavaju pokretanje zlonamjernog softvera.

Obrnuti društveni inženjering

Cilj obrnutog društvenog inženjeringa je prisiliti metu da se obrati napadaču za "pomoć". U tu svrhu, haker može koristiti sljedeće tehnike:

* Diverzija. Napravite reverzibilni problem na računaru žrtve.

Zaštita korisnika od društvenog inženjeringa

Za zaštitu korisnika od socijalnog inženjeringa mogu se koristiti i tehnička i antropogena sredstva.

Antropogena zaštita

Najjednostavniji načini antropogene zaštite mogu se nazvati:

* Privlačenje pažnje ljudi na sigurnosna pitanja.

* Svijest korisnika o ozbiljnosti problema i usvajanje sigurnosne politike sistema.

* Proučavanje i implementacija potrebnih metoda i radnji za unapređenje zaštite sigurnosti informacija.

Ovi alati imaju jedan zajednički nedostatak: pasivni su. Ogroman procenat korisnika ne obraća pažnju na upozorenja, čak i ona napisana najupadljivijim fontom.

Tehnička zaštita

Tehnička zaštita uključuje sredstva koja sprečavaju dobijanje informacija i sredstva koja vas sprečavaju da koristite primljene informacije.

Najčešći među napadima na informacioni prostor društvenih mreža koristeći slabosti ljudskog faktora bili su napadi korišćenjem mejlova, kao što su: e-mail i interna pošta mreže. Na takve napade se obje metode mogu najefikasnije primijeniti. tehnička zaštita. Moguće je spriječiti napadača da dobije tražene informacije analizom i teksta dolaznih pisama (vjerovatno napadača) i odlaznih e-mailova (vjerovatno meta napada). ključne riječi. Nedostaci ove metode uključuju vrlo veliko opterećenje na serveru i nemogućnost da se osiguraju svi pravopisi riječi. Na primjer, ako haker zna da program odgovara na riječ "password" i riječ "specify", napadač ih može zamijeniti sa "password" i, shodno tome, "enter". Vrijedi uzeti u obzir i mogućnost pisanja riječi zamjenom ćiriličkih slova latinicom za podudarne znakove (a, c, e, o, p, x, y, A, B, C, E, H, K, M, O, P, T, X) i upotreba takozvanog jezika t+[nepoznati pojam].

Sredstva koja onemogućavaju korištenje primljenih informacija mogu se podijeliti na ona koja u potpunosti blokiraju korištenje podataka bilo gdje osim na radnom mjestu korisnika (vezivanje podataka za autentifikaciju za serijski brojevi i elektronski potpisi kompjuterskih komponenti, ip i fizičkih adresa), kao i oni koji onemogućavaju (ili otežavaju implementaciju) automatsku upotrebu primljenih resursa (na primjer, autorizacija pomoću Captcha sistema, kada je potrebno odabrati prethodno navedena slika ili dio slike kao lozinka, ali je jako izobličena). I u prvom i u drugom slučaju, dobro poznata ravnoteža između vrijednosti tražene informacije i rada potrebnog za njihovo dobivanje pomiče se, općenito govoreći, ka poslu, jer je mogućnost automatizacije djelomično ili potpuno blokirana. Dakle, čak i sa svim podacima koje daje nesuđeni korisnik, na primjer, s ciljem masovnog slanja reklamna poruka(spam), napadač će morati samostalno da unese primljene podatke u fazi svake iteracije.