1. dio (razbijen na dijelove zbog veličine članka. Čim dobijem 50 pregleda, postavljam drugi).
Mnogi pravi hakeri koji se stalno bave hakiranjem uvijek imaju na lageru par SI trikova, jer tamo gdje je nemoguće pronaći ranjivost u kodu, često se može naći u glavama službe za podršku ili vlasnika e. -mail, ICQ ili web stranica...
Od teorije do prakse
Već ste pročitali šta je društveni inženjering u jednom od prethodnih brojeva vašeg omiljenog časopisa, pa možemo sa sigurnošću reći da je hardver uspješno savladan. Sada predlažem da se provozamo.
Društveni inženjeri su veoma prijatni ljudi za razgovor: kulturni, prijateljski raspoloženi, sa odličnim smislom za humor. Imaju neverovatno fleksibilan um, inovativno razmišljanje i puno ideja kako da efikasnije ostvare svoje ciljeve. Upravo njima sam se obratio za pomoć u pripremi materijala. Naši konsultanti će biti: GoodGod - kreator jednog od najpopularnijih projekata na ruskom jeziku o socijalnom inženjeringu socialware.ru; Ayumi (spylabs.org); Ivan je još jedan majstor hakovanja ljudskih mozgova koji je želio ostati inkognito.
Idi!
Otmica ICQ broja (bez primarne e-pošte)
Za otmicu ICQ-a trebat će vam:
- spisak domena sa registrovanim e-mailovima (kako ih dobiti - pročitajte u decembarskom broju ][ za 2009., video “Masovna otmica domena” od GoodGod-a);
- ICQ broj sa kojeg će se izvršiti početni napad;
- ICQ broj izdat za SEO stručnjaka (sa relevantnim podacima i detaljima u info).
Ako ne želite da se odmah upoznate, prekinite ovaj razgovor na neko vrijeme, jer ako pritisnete previše, efekat može biti suprotan; Bolje da se na ovo vratimo malo kasnije pod drugim izgovorom.
Inače, ako je žrtva prirodno stidljiva, nećete je prisiljavati da stupi u kontakt sa strancem, pa ćete se morati upustiti u „podvodništvo“ kako bi do poznanstva došlo. I tako, klijent se okreće SEO prijatelju (odnosno vama). Pokažite zdravo nepovjerenje na početku postavljanjem pitanja poput „Gdje ste čuli za projekat? Od Saše? Ah, Saša... Da, sjećam se. Ok, sada ću vam reći suštinu posla.” Zatim nam recite o projektu ICQ Search, promociji web stranice, opišite opcije plaćanja (200 rubalja dnevno ili 1400 tjedno - neka odabere opciju koja mu odgovara). Konstantno usmjeravajte pažnju „klijenta“ na realne detalje, tako ćete ga odvratiti od nepotrebnih misli. Što je napad intenzivniji i što je više novih informacija, ima manje vremena za razmišljanje o tome šta se dešava. Na kraju, opišite šemu za zaradu: neka odabere stranicu sa liste pripremljene na početku, pogleda preko whois-a e-mail na koji je stranica povezan (neka to uradi sam) i unese ga u „E-mail ” u njegovom ICQ profilu. Obavezno objasnite da ako je ista e-pošta navedena u ICQ-u i podacima o domeni, onda što se ICQ češće pretražuje u pretrazi, to je viši rang stranice u tražilici. Čim žrtva završi vezivanje, vraćate lozinku na navedeni e-mail, a UIN je vaš!
Ako lozinka ne stigne e-poštom, to znači da broj već ima primarnu poštu, te je otmicu potrebno organizirati na drugačiji način.
Hakovanje pošte
Saznajte odgovor na tajno pitanje
Pitanja o mail serverima su obično prilično slična:
- Devojačko prezime majke;
- Omiljeno jelo;
- Ime ljubimca;
- Pasoš ID;
- Lično pitanje (ime prvog učitelja; indeks; omiljeni film; omiljeni izvođač).
Koje šeme funkcionišu? Majčino djevojačko prezime - započnite temu o porodičnom stablu ili kakvo smiješno prezime je imala vaša majka prije braka. Omiljeno jelo - ovde je sve jasno. Ime životinje - pričajte o kućnim ljubimcima: prošlosti, sadašnjosti i budućnosti, jer kodna riječ može biti ime prvog doniranog hrčka. Biće teže sa brojem pasoša. Ovdje možete doći u iskušenje da kupite jeftin, rijedak proizvod, na primjer, koji se isporučuje uz plaćanje po dostavi, ali za narudžbu su vam potrebni podaci iz pasoša i identifikacijski kod. Ime prve učiteljice možete saznati od žrtvinih drugova iz razreda ili direktno razgovarati s njom o njenim omiljenim učiteljima; Indeks je lakše dobiti preuzimanjem gradske baze podataka, a od žrtve jednostavno možete saznati u kojem području živi. Ovdje je glavna stvar domišljatost, mašta i strpljenje.
Postoji jedna mala, ali važna nijansa. Ponekad, na pitanje „Omiljeno jelo“, odgovor može biti, na primjer, broj telefona, odnosno potpuna nesklad između pitanja i odgovora. Ovdje ćete morati započeti razgovor o smiješnim kombinacijama i besmislenosti sigurnosnih pitanja, a zatim početi ispočetka, po mogućnosti pod drugim računom.
Kontaktiranje korisničke podrške
Ova metoda je radno intenzivnija i strašnija, ali je potrebna ako žrtva ne želi "ubrizgati" ili ako je kutija "mrtva", odnosno vlasnik je nije posjetio dugo vremena. Da biste to učinili, idite na stranicu za podršku željene usluge e-pošte i napišite pismo u kojem tražite da vratite ukradenu lozinku. Najvjerovatnije će od vas biti zatraženo vaše ime, prezime (ili podatke koji su navedeni prilikom registracije), datum rođenja i približan datum registracije kutije (najmanje godinu dana). Stoga pokušajte saznati što više informacija o žrtvi i njenoj kutiji. U tome će vam pomoći tražilice, društvene mreže i blogovi.
Phishing
Jedan od najefikasnijih načina za dobijanje lozinke, a da vlasnik ni ne zna za to. Žrtvi se nudi link za praćenje i unošenje korisničkog imena i lozinke. Ovi podaci se šalju u datoteku izvještaja, bazu podataka (ako je krađa masovna) ili e-mail. Glavni trik je natjerati žrtvu da klikne na ovu vezu. Forma može biti bilo koja:
- Poruka “od administracije” (čitaj: od mail servisa sa lažnom adresom) o neželjenoj pošti iz ovog sandučeta. Primjer: “Poštovani korisniče, (korisničko ime)! Vaš račun je primio žalbe na neželjenu poštu, te stoga administracija ima pravo privremeno obustaviti ili blokirati njegov rad. Sasvim je moguće da su mu napadači dobili pristup. Da potvrdite vlasništvo nad vašim računom, ponovo ovlastite koristeći ovu vezu (hiperveza do lažnog). Ako ne dobijete potvrdu u roku od 5 dana, mail nalog će biti blokiran. S poštovanjem, služba podrške (naziv mail servisa)." Igranje na strah od gubitka kutije.
- Znajući o hobijima žrtve, možete se zainteresirati. Na primjer, pismo sa temom od interesa, u kojem je pokriven samo dio informacija, a ostatak je pokriven klikom na link. Link vodi na stranicu za pseudo-prijavu, a ostale informacije možete pročitati tek nakon što se prijavite.
Poljoprivreda
Takođe se dešava da je žrtva dovoljno pametna (ili ravnodušna) da ne klikne na linkove. U ovom slučaju, morat ćete pribjeći trojancima/skriptama/skriptama da biste manipulirali HOSTS datotekom ili hakirali DNS ili DHCP server njegovog provajdera. U isto vrijeme, kada korisnik ode na stranicu da provjeri e-poštu, dolazi do preusmjeravanja na potpuno istu, samo phishing. Ne sumnjajući ništa, korisnik unosi svoje podatke i pomoću interne autorizacijske skripte ulazi u svoj "matični" email, a login i lozinka se šalju na vašu e-poštu. Ljepota je u tome što žrtva ni ne zna šta se dogodilo.
Metode socijalnog inženjeringa - upravo o tome će biti riječi u ovom članku, kao io svemu što se tiče manipulacije ljudima, phishinga i krađe baza podataka klijenata i još mnogo toga. Andrey Serikov nam je ljubazno dostavio informaciju čiji je autor, na čemu mu se puno zahvaljujemo.
A. SERIKOV
A.B.BOROVSKY
INFORMACIONE TEHNOLOGIJE DRUŠTVENOG HAKOVANJA
Uvod
Želja čovječanstva da postigne savršeno ispunjenje postavljenih zadataka poslužila je razvoju moderne kompjuterske tehnologije, a pokušaji da se zadovolje suprotstavljeni zahtjevi ljudi doveli su do razvoja softverskih proizvoda. Ovi softverski proizvodi ne samo da održavaju funkcionalnost hardvera, već i njime upravljaju.
Razvoj znanja o čovjeku i kompjuteru doveo je do pojave fundamentalno novog tipa sistema - "ljud-mašina", gdje se osoba može pozicionirati kao hardver koji radi pod kontrolom stabilnog, funkcionalnog, multi-tasking operativnog sistema. sistem koji se zove "psiha".
Predmet rada je razmatranje socijalnog hakovanja kao grane društvenog programiranja, gdje se osobom manipulira uz pomoć ljudskih slabosti, predrasuda i stereotipa u socijalnom inženjeringu.
Društveni inženjering i njegove metode
Metode ljudske manipulacije poznate su već dugo vremena, uglavnom su došle u društveni inženjering iz arsenala raznih obavještajnih službi.
Prvi poznati slučaj konkurentske inteligencije datira iz 6. vijeka prije nove ere i dogodio se u Kini, kada su Kinezi izgubili tajnu pravljenja svile, koju su na prijevaru ukrali rimski špijuni.
Društveni inženjering je nauka koja se definiše kao skup metoda za manipulisanje ljudskim ponašanjem, zasnovanih na korišćenju slabosti ljudskog faktora, bez upotrebe tehničkih sredstava.
Prema mnogim stručnjacima, najveću prijetnju informacijskoj sigurnosti predstavljaju metode društvenog inženjeringa, makar samo zato što korištenje društvenog hakovanja ne zahtijeva značajna finansijska ulaganja i temeljno poznavanje kompjuterske tehnologije, ali i zbog toga što ljudi imaju određene sklonosti ponašanja koje se mogu koristi se za pažljivu manipulaciju.
I koliko god da se poboljšaju sistemi tehničke zaštite, ljudi će ostati ljudi sa svojim slabostima, predrasudama, stereotipima, uz pomoć kojih se i upravlja. Postavljanje ljudskog “sigurnosnog programa” je najteži zadatak i ne dovodi uvijek do zajamčenih rezultata, jer se ovaj filter mora stalno prilagođavati. Ovdje glavni moto svih stručnjaka za sigurnost zvuči relevantnije nego ikad: “Sigurnost je proces, a ne rezultat.”
Oblasti primjene socijalnog inženjeringa:
- opća destabilizacija rada organizacije kako bi se smanjio njen utjecaj i mogućnost naknadnog potpunog uništenja organizacije;
- finansijske prevare u organizacijama;
- phishing i druge metode krađe lozinki u cilju pristupa ličnim bankarskim podacima pojedinaca;
- krađa baza podataka klijenata;
- konkurentska inteligencija;
- opšte informacije o organizaciji, njenim snagama i slabostima, s ciljem naknadnog uništenja ove organizacije na ovaj ili onaj način (često se koristi za napade napadača);
- informacije o najperspektivnijim zaposlenicima sa ciljem da ih dodatno „privučete“ u svoju organizaciju;
Društveno programiranje i društveno hakovanje
Društveno programiranje se može nazvati primijenjenom disciplinom koja se bavi ciljanim utjecajem na osobu ili grupu ljudi u cilju promjene ili održavanja njihovog ponašanja u željenom smjeru. Dakle, društveni programer sebi postavlja cilj: ovladati umijećem upravljanja ljudima. Osnovni koncept društvenog programiranja je da su akcije mnogih ljudi i njihove reakcije na jedan ili drugi vanjski utjecaj u mnogim slučajevima predvidljive.
Metode društvenog programiranja su atraktivne jer ili niko nikada neće saznati za njih, ili čak i ako neko nešto nagađa, takvu cifru je vrlo teško privesti pravdi, au nekim slučajevima moguće je „programirati“ ponašanje ljudi, a jedna osoba i velika grupa. Ove prilike spadaju u kategoriju društvenog hakovanja upravo zato što u svima njima ljudi izvršavaju tuđu volju, kao da se povinuju „programu“ koji je napisao društveni haker.
Društveno hakiranje kao sposobnost hakiranja osobe i programiranja da izvrši željene radnje dolazi iz društvenog programiranja – primijenjene discipline društvenog inženjeringa, gdje stručnjaci iz ove oblasti – društveni hakeri – koriste tehnike psihološkog utjecaja i djelovanja posuđene iz arsenala obavještajne službe.
Društveno hakovanje se koristi u većini slučajeva kada je u pitanju napad na osobu koja je dio kompjuterskog sistema. Računarski sistem koji je hakovan ne postoji sam po sebi. Sadrži važnu komponentu – osobu. A da bi dobio informacije, društveni haker treba da hakuje osobu koja radi sa računarom. U većini slučajeva, lakše je to učiniti nego hakovati žrtvin računar u pokušaju da saznate lozinku.
Tipični algoritam uticaja u društvenom hakovanju:
Svi napadi društvenih hakera uklapaju se u jednu prilično jednostavnu shemu:
- formulisana je svrha uticaja na određeni objekat;
- informacije o objektu se prikupljaju kako bi se otkrile najpogodnije mete uticaja;
- Na osnovu prikupljenih informacija sprovodi se faza koju psiholozi nazivaju privlačnošću. Atrakcija (od latinskog Attrahere - privući, privući) je stvaranje neophodnih uslova za uticaj na objekat;
- prisiljavanje društvenog hakera da preduzme akciju;
Prinuda se postiže izvođenjem prethodnih faza, odnosno nakon što je privlačnost postignuta, žrtva sama preduzima radnje koje su potrebne socijalnom inženjeru.
Na osnovu prikupljenih informacija, društveni hakeri prilično precizno predviđaju psiho- i sociotip žrtve, identifikujući ne samo potrebe za hranom, seksom, itd., već i potrebu za ljubavlju, potrebu za novcem, potrebu za utjehom itd. ., itd.
I zaista, zašto pokušavati da prodrete u ovu ili onu kompaniju, hakujete kompjutere, bankomate, organizujete složene kombinacije, kada možete sve lakše: natjerati osobu da se zaljubi u vas, koja će svojom voljom prebaciti novac na naveden račun ili dijeliti potreban novac svaki put kada informacije?
Na osnovu činjenice da su postupci ljudi predvidljivi i podložni određenim zakonima, društveni hakeri i društveni programeri koriste kako originalne više korake tako i jednostavne pozitivne i negativne tehnike zasnovane na psihologiji ljudske svijesti, programima ponašanja, vibracijama unutrašnjih organa, logičkim razmišljanje, mašta, pamćenje, pažnja. Ove tehnike uključuju:
Drvni generator - stvara oscilacije iste frekvencije kao i frekvencija oscilacija unutrašnjih organa, nakon čega se uočava efekat rezonancije, zbog čega ljudi počinju osjećati jaku nelagodu i stanje panike;
uticaj na geografiju gomile - za mirno raspuštanje izuzetno opasnih agresivnih, velikih grupa ljudi;
visokofrekventni i niskofrekventni zvukovi - da izazovu paniku i njen obrnuti efekat, kao i druge manipulacije;
program društvene imitacije - osoba utvrđuje ispravnost postupaka otkrivajući koje radnje drugi ljudi smatraju ispravnim;
klakerski program - (zasnovan na društvenoj imitaciji) organizacija potrebne reakcije publike;
formiranje redova - (zasnovano na društvenoj imitaciji) jednostavan, ali efikasan reklamni potez;
program uzajamne pomoći - osoba nastoji da uzvrati dobrotom onim ljudima koji su mu učinili neku dobrotu. Želja za ispunjenjem ovog programa često prevazilazi svaki razum;
Društveno hakovanje na internetu
Pojavom i razvojem Interneta – virtuelnog okruženja koje se sastoji od ljudi i njihovih interakcija, proširilo se okruženje za manipulisanje osobom radi dobijanja potrebnih informacija i obavljanja potrebnih radnji. Danas je internet sredstvo za emitovanje širom svijeta, medij za saradnju, komunikaciju i pokriva cijeli svijet. To je upravo ono što socijalni inženjeri koriste za postizanje svojih ciljeva.
Načini da se manipuliše osobom putem interneta:
U savremenom svetu, vlasnici gotovo svake kompanije već su shvatili da je internet veoma efikasno i pogodno sredstvo za širenje njihovog poslovanja i njegov glavni zadatak je povećanje profita cele kompanije. Poznato je da se bez informacija koje imaju za cilj privlačenje pažnje na željeni objekt, generiranje ili održavanje interesa za njega i njegovo promoviranje na tržištu, koristi oglašavanje. Samo, zbog činjenice da je tržište oglašavanja odavno podijeljeno, većina vrsta oglašavanja za većinu poduzetnika je bačen novac. Internet oglašavanje nije samo jedan od vidova oglašavanja u medijima, već je nešto više, jer uz pomoć internet oglašavanja na web stranicu organizacije dolaze zainteresovani za saradnju.
Internet oglašavanje, za razliku od oglašavanja u medijima, ima mnogo više mogućnosti i parametara za upravljanje reklamnom kompanijom. Najvažniji pokazatelj internet oglašavanja je to Naknade za internet oglašavanje se naplaćuju samo kada se prebacite zainteresovanog korisnika putem reklamne veze, što naravno čini oglašavanje na internetu efikasnijim i jeftinijim od oglašavanja u medijima. Dakle, nakon što su dali oglašavanje na televiziji ili u štampanim medijima, oni ga u cijelosti plaćaju i jednostavno čekaju potencijalne klijente, ali klijenti mogu odgovoriti na oglašavanje ili ne - sve ovisi o kvaliteti proizvodnje i prezentacije oglašavanja na televiziji ili u novinama. , međutim, budžet za oglašavanje je već potrošen u slučaju da oglašavanje nije uspjelo, potrošeno je. Za razliku od takvog medijskog oglašavanja, internet oglašavanje ima mogućnost praćenja odgovora publike i upravljanja internet oglašavanjem prije nego što se potroši njegov budžet, štoviše, internet oglašavanje se može obustaviti kada se potražnja za proizvodima poveća i nastaviti kada potražnja počne opadati.
Drugi način utjecaja je takozvano “Ubijanje foruma” gdje uz pomoć društvenog programa kreiraju antireklamu za određeni projekat. U ovom slučaju, društveni programer, uz pomoć očiglednih provokativnih radnji, sam uništava forum, koristeći nekoliko pseudonima ( nadimak) da oko sebe stvori antilidersku grupu i privuče redovne posjetioce projekta koji su nezadovoljni ponašanjem administracije. Na kraju ovakvih događaja postaje nemoguće promovirati proizvode ili ideje na forumu. Za to je forum prvobitno napravljen.
Metode uticaja na osobu putem interneta u svrhu društvenog inženjeringa:
Phishing je vrsta internetske prijevare koja ima za cilj dobivanje pristupa povjerljivim korisničkim podacima – prijavama i lozinkama. Ova operacija se ostvaruje masovnim slanjem mejlova u ime popularnih brendova, kao i ličnim porukama u okviru različitih servisa (Rambler), banaka ili u okviru društvenih mreža (Facebook). Pismo često sadrži vezu do web stranice koja se spolja ne razlikuje od pravog. Nakon što korisnik dođe na lažnu stranicu, društveni inženjeri koriste različite tehnike kako bi potaknuli korisnika da unese svoju login i lozinku na stranicu, koje koristi za pristup određenoj stranici, što mu omogućava pristup računima i bankovnim računima.
Opasnija vrsta prijevare od phishinga je takozvani pharming.
Pharming je mehanizam za prikriveno preusmjeravanje korisnika na phishing stranice. Društveni inženjer na računare korisnika distribuira posebne zlonamjerne programe, koji nakon pokretanja na računaru preusmjeravaju zahtjeve sa potrebnih stranica na lažne. Dakle, napad je vrlo tajnovit, a učešće korisnika minimizirano - dovoljno je pričekati dok korisnik ne odluči posjetiti stranice od interesa za socijalnog inženjera.
Zaključak
Društveni inženjering je nauka koja je proizašla iz sociologije i tvrdi da je skup znanja koji vodi, uređuje i optimizuje proces stvaranja, modernizacije i reprodukcije nove („veštačke“) društvene stvarnosti. Ona na određeni način „upotpunjuje“ sociološku nauku, upotpunjuje je u fazi transformacije naučnog znanja u modele, projekte i dizajne društvenih institucija, vrijednosti, norme, algoritme djelovanja, odnosa, ponašanja itd.
Uprkos činjenici da je društveni inženjering relativno mlada nauka, on nanosi veliku štetu procesima koji se dešavaju u društvu.
Najjednostavniji načini zaštite od djelovanja ove destruktivne nauke su:
Skretanje pažnje ljudi na sigurnosna pitanja.
Korisnici shvataju ozbiljnost problema i prihvataju bezbednosnu politiku sistema.
Književnost
1. R. Petersen Linux: Potpuni vodič: trans. sa engleskog — 3. izd. - K.: Izdavačka grupa BHV, 2000. – 800 str.
2. Sa interneta Grodnev u vašem domu. - M.: “RIPOL CLASSIC”, 2001. -480 str.
3. M. V. Kuznjecov Socijalni inženjering i društveno hakovanje. Sankt Peterburg: BHV-Peterburg, 2007. - 368 str.: ilustr.
Tehnike društvenog inženjeringa Ljudski mozak je veliki čvrsti disk, skladište ogromne količine informacija. I vlasnik i bilo koja druga osoba mogu koristiti ove informacije. Kako kažu, govornik je božji dar za špijuna. Da biste bolje razumjeli značenje sljedećeg, trebali biste barem biti upoznati s osnovama psihologije.
Društveni inženjering nam dozvoljava "koristi mozak" drugu osobu, koristeći različite metode, i od nje dobiti potrebne informacije.
Wiki kaže: “Društveni inženjering je metoda kontrole ljudskih postupaka bez upotrebe tehničkih sredstava”
Društveni inženjering- Ovo je neka mlada nauka. Postoji mnogo metoda i tehnika za manipulisanje ljudskom svešću. Kevin Mitnick je bio u pravu kada je rekao da je ponekad lakše prevariti i dobiti informacije nego hakirati pristup njima. Pročitajte knjigu “Umetnost obmane” u slobodno vreme, svideće vam se.
Postoji obrnuti društveni inženjering, koji ima za cilj da dobije podatke od same žrtve. Uz njegovu pomoć, žrtva sama govori o svojim lozinkama i podacima.
Na internetu nema gestova, intonacija ili izraza lica. Sva komunikacija se zasniva na tekstualnim porukama. A vaš uspeh u datoj situaciji zavisi od toga kako vaše poruke utiču na sagovornika. Koje tehnike se mogu koristiti za prikrivenu manipulaciju svijesti osobe?
Provocira
Strogo govoreći, ovo je trolovanje. Razbjesnivši osobu, u većini slučajeva se prema informacijama odnosi nekritički. U ovom stanju možete nametnuti ili dobiti potrebne informacije.
Ljubav
Ovo je možda najefikasnija tehnika. U većini slučajeva, ovo je ono što sam koristio)). U stanju ljubavi osoba malo toga opaža, a to je upravo ono što je potrebno manipulatoru.
Indiferentnost
Stvara se efekat ravnodušnosti manipulatora prema određenoj temi, a sagovornik ga, zauzvrat, pokušava uvjeriti, upadajući u zamku i otkriva informacije koje su vam potrebne.
Rush
Često nastaju situacije kada se manipulatoru navodno žuri da stigne negdje i stalno to nagoveštava, ali istovremeno namjerno promovira informacije koje su mu potrebne.
Sumnja
Metoda sumnje je donekle slična metodi ravnodušnosti. U prvom slučaju žrtva dokazuje suprotno, u drugom pokušava da opravda “svoju sumnju”, ne shvaćajući da odaje sve informacije.
Ironija
Slično tehnici provokacije. Manipulator ljuti osobu tako što je ironičan. On, pak, u ljutnji nije u stanju kritički procijeniti informacije. Kao rezultat, formira se rupa u psihološkoj barijeri, koju manipulator koristi.
Iskrenost
Kada manipulator sagovorniku saopšti iskrene informacije, sagovornik razvija neku vrstu odnosa poverenja, što podrazumeva slabljenje zaštitne barijere. Ovo stvara jaz u psihološkoj odbrani.
Gore opisane tehnike ne iscrpljuju u potpunosti puni potencijal socijalnog inženjeringa. O ovim tehnikama i metodama se može pričati i pričati. Nakon što pročitate ove tehnike, trebali biste shvatiti da ne morate slijediti svačije vodstvo. Naučite da kontrolišete sebe i svoj bes i tada će vaša odbrana uvek biti na odgovarajućem nivou.
Naše se nastavlja. Čekajte nove članke))
Društveni inženjering
Društveni inženjering je metoda neovlaštenog pristupa informacijama ili sistemima za skladištenje informacija bez upotrebe tehničkih sredstava. Glavni cilj društvenih inženjera, kao i drugih hakera i krekera, je da dobiju pristup sigurnim sistemima kako bi ukrali informacije, lozinke, podatke o kreditnim karticama itd. Glavna razlika od jednostavnog hakovanja je u tome što se u ovom slučaju ne bira mašina, već njen operater kao meta napada. Zato se sve metode i tehnike socijalnih inženjera zasnivaju na korišćenju slabosti ljudskog faktora, što se smatra izuzetno destruktivnim, budući da napadač dolazi do informacija, na primer, putem redovnog telefonskog razgovora ili infiltriranjem u organizaciju pod kontrolom. krinkom svog uposlenika. Da biste se zaštitili od ove vrste napada, trebali biste biti svjesni najčešćih vrsta prijevara, razumjeti šta hakeri zaista žele i na vrijeme organizirati odgovarajuću sigurnosnu politiku.
Priča
Unatoč činjenici da se koncept „društvenog inženjeringa“ pojavio relativno nedavno, ljudi su u ovom ili onom obliku koristili njegove tehnike od pamtivijeka. U staroj Grčkoj i Rimu bili su veoma cijenjeni ljudi koji su na razne načine mogli uvjeriti svog sagovornika da očigledno nije u pravu. Govoreći u ime lidera, oni su vodili diplomatske pregovore. Vješto koristeći laži, laskanje i korisne argumente, često su rješavali probleme za koje se činilo da je nemoguće riješiti bez pomoći mača. Među špijunima, društveni inženjering je oduvijek bio glavno oružje. Imitirajući se kao druga osoba, agenti KGB-a i CIA-e mogli su saznati tajne državne tajne. Početkom 70-ih, tokom vrhunca freakinga, neki telefonski huligani su pozvali telekom operatere i pokušali da izvuku povjerljive informacije od tehničkog osoblja kompanije. Nakon raznih eksperimenata sa trikovima, do kraja 70-ih, frikeri su toliko usavršili tehnike manipulacije neobučenim operaterima da su od njih lako mogli naučiti gotovo sve što su htjeli.
Principi i tehnike socijalnog inženjeringa
Postoji nekoliko uobičajenih tehnika i vrsta napada koje koriste društveni inženjeri. Sve ove tehnike su zasnovane na karakteristikama ljudskog donošenja odluka poznatim kao kognitivne (vidi i Kognitivne) predrasude. Ove predrasude se koriste u različitim kombinacijama kako bi se stvorila najprikladnija strategija obmane u svakom konkretnom slučaju. Ali zajednička karakteristika svih ovih metoda je obmanjivanje, s ciljem da se osoba natjera na neku radnju koja mu nije korisna, a neophodna je socijalnom inženjeru. Da bi postigao željeni rezultat, napadač koristi niz različitih taktika: lažno predstavljanje druge osobe, odvraćanje pažnje, povećanje psihičke napetosti itd. Krajnji ciljevi obmane također mogu biti vrlo raznoliki.
Tehnike socijalnog inženjeringa
Pretexting
Pretekstiranje je skup radnji koje se izvode prema određenom, unaprijed pripremljenom scenariju (pretekstu). Ova tehnika uključuje korištenje glasovnih sredstava kao što su telefon, Skype, itd. da dobijete potrebne informacije. Obično, predstavljajući se kao treća strana ili pretvarajući se da je nekome potrebna pomoć, napadač traži od žrtve da unese lozinku ili se prijavi na web stranicu za krađu identiteta, navodeći na taj način cilj da preduzme željenu akciju ili pruži određene informacije. U većini slučajeva ova tehnika zahtijeva neke početne podatke o meti napada (na primjer, lični podaci: datum rođenja, broj telefona, brojevi računa itd.) Najčešća strategija je korištenje malih upita na početku i spominjanje imena stvarnih ljudi u organizaciji. Kasnije, tokom razgovora, napadač objašnjava da mu je potrebna pomoć (većina ljudi je sposobna i voljna da obavlja zadatke koji se ne smatraju sumnjivim). Kada se uspostavi povjerenje, prevarant može tražiti nešto značajnije i važnije.
Phishing
Primjer phishing e-poruke poslane s usluge e-pošte koja zahtijeva "ponovnu aktivaciju računa"
Phishing (engleski phishing, od fishing - pecanje, pecanje) je vrsta internetske prevare, čija je svrha pristup povjerljivim korisničkim podacima - loginovima i lozinkama. Ovo je možda najpopularnija šema socijalnog inženjeringa danas. Niti jedno veće curenje ličnih podataka se ne događa bez vala phishing e-poruka nakon toga. Svrha phishinga je nezakonito pribavljanje povjerljivih informacija. Najupečatljiviji primjer phishing napada je poruka poslana žrtvi putem e-pošte, a lažirana kao službeno pismo - od banke ili platnog sistema - u kojem se zahtijeva provjera određenih informacija ili izvršenje određenih radnji. Mogu postojati razni razlozi. To može biti gubitak podataka, kvar sistema itd. Ove e-poruke obično sadrže link do lažne web stranice koja izgleda potpuno kao zvanična i sadrži obrazac koji zahtijeva da unesete osjetljive informacije.
Jedan od najpoznatijih primjera globalnih phishing poruka e-pošte bila je prevara iz 2003. godine u kojoj su hiljade korisnika eBaya primile e-poruke u kojima su tvrdili da im je račun zaključan i da im je potrebno ažurirati podatke o kreditnoj kartici kako bi ga otključali. Svi ovi e-mailovi sadržavali su link koji vodi do lažne web stranice koja je izgledala potpuno kao zvanična. Prema procjenama stručnjaka, gubici od ove prevare iznosili su nekoliko stotina hiljada dolara.
Kako prepoznati phishing napad
Skoro svaki dan se pojavljuju nove šeme prevare. Većina ljudi može naučiti prepoznati lažne poruke sami tako što će se upoznati s nekim od njihovih karakteristika. Najčešće phishing poruke sadrže:
- informacije koje izazivaju zabrinutost ili prijetnje, kao što je zatvaranje bankovnih računa korisnika.
- obećanja ogromnih novčanih nagrada uz malo ili nimalo truda.
- zahtjevi za dobrovoljne priloge u ime dobrotvornih organizacija.
- gramatičke, interpunkcijske i pravopisne greške.
Popularne phishing sheme
Najpopularnije phishing prevare su opisane u nastavku.
Prijevara korištenjem brendova poznatih korporacija
Ove phishing prevare koriste lažne e-poruke ili web stranice koje sadrže imena velikih ili poznatih kompanija. Poruke mogu sadržavati čestitke o pobjedi na takmičenju koje je održala kompanija ili o hitnoj potrebi da promijenite svoje akreditive ili lozinku. Slične lažne šeme u ime tehničke podrške mogu se obaviti i putem telefona.
Prevarne lutrije
Korisnik može dobiti poruke da je dobio na lutriji koju je vodila neka poznata kompanija. Na površini, ove poruke mogu izgledati kao da su poslane u ime višeg korporativnog zaposlenika.
Lažni antivirusni i sigurnosni softver
IVR ili telefonski phishing
Princip rada IVR sistema
Qui about quo
Quid pro quo je skraćenica koja se obično koristi u engleskom jeziku i znači "quid pro quo". Ova vrsta napada uključuje napadač koji zove kompaniju preko korporativnog telefona. U većini slučajeva, napadač se predstavlja kao službenik tehničke podrške i pita ima li tehničkih problema. U procesu "rješavanja" tehničkih problema, prevarant "tjera" metu da unese komande koje hakeru omogućavaju pokretanje ili instaliranje zlonamjernog softvera na mašinu korisnika.
trojanski konj
Ponekad je korištenje trojanaca samo dio planiranog napada u više faza na određene računare, mreže ili resurse.
Vrste trojanaca
Trojanci se najčešće razvijaju u zlonamjerne svrhe. Postoji klasifikacija gdje su podijeljeni u kategorije na osnovu toga kako se trojanci infiltriraju u sistem i nanose mu štetu. Postoji 5 glavnih tipova:
- daljinski pristup
- uništavanje podataka
- loader
- server
- deaktivator sigurnosnih programa
Ciljevi
Svrha trojanskog programa može biti:
- učitavanje i preuzimanje datoteka
- kopiranje lažnih linkova koji vode do lažnih web stranica, chat soba ili drugih stranica za registraciju
- ometanje rada korisnika
- krađu vrijednih ili tajnih podataka, uključujući informacije o autentifikaciji, za neovlašteni pristup resursima, pribavljanje detalja o bankovnim računima koji bi se mogli koristiti u kriminalne svrhe
- distribucija drugog zlonamjernog softvera kao što su virusi
- uništavanje podataka (brisanje ili prepisivanje podataka na disku, teško uočljivo oštećenje fajlova) i opreme, onemogućavanje ili neuspeh servisiranja računarskih sistema, mreža
- prikupljanje email adresa i njihovo korištenje za slanje neželjene pošte
- špijuniranje korisnika i tajno saopštavanje informacija trećim stranama, kao što su navike pregledavanja
- Zapisivanje pritisaka na tipke za krađu informacija kao što su lozinke i brojevi kreditnih kartica
- deaktiviranje ili ometanje rada antivirusnih programa i zaštitnih zidova
Prerušavanje
Mnogi trojanski programi se nalaze na računarima korisnika bez njihovog znanja. Ponekad se trojanci registruju u Registru, što dovodi do njihovog automatskog pokretanja kada se operativni sistem pokrene. Trojanci se takođe mogu kombinovati sa legitimnim fajlovima. Kada korisnik otvori takav fajl ili pokrene aplikaciju, trojanac se pokreće zajedno s njim.
Kako radi trojanac
Trojanci se obično sastoje iz dva dijela: klijenta i servera. Server radi na žrtvi i prati konekcije od Klijenta. Dok server radi, on nadgleda port ili više portova za konekciju od klijenta. Da bi se napadač mogao povezati sa serverom, mora znati IP adresu mašine na kojoj radi. Neki trojanci šalju IP adresu mašine žrtve napadaču putem e-pošte ili na neki drugi način. Čim se uspostavi veza sa serverom, klijent mu može poslati komande koje će server izvršiti. Trenutno, zahvaljujući NAT tehnologiji, nemoguće je pristupiti većini računara preko njihove eksterne IP adrese. Zbog toga se danas mnogi trojanci povezuju na računar napadača, koji je odgovoran za primanje konekcionih konekcija, umjesto da se sam napadač pokušava povezati sa žrtvom. Mnogi moderni trojanci takođe mogu lako zaobići firewall na korisničkim računarima.
Prikupljanje informacija iz otvorenih izvora
Upotreba tehnika socijalnog inženjeringa zahtijeva ne samo poznavanje psihologije, već i sposobnost prikupljanja potrebnih informacija o osobi. Relativno nov način dobijanja takvih informacija bilo je njihovo prikupljanje iz otvorenih izvora, uglavnom sa društvenih mreža, na primer, sajtovi kao što su livejournal, Odnoklassniki, Vkontakte sadrže ogromnu količinu podataka koje ljudi po pravilu ne pokušavaju da sakriju. korisnici ne obraćaju dovoljno pažnje na sigurnosna pitanja, ostavljajući podatke i informacije u javnom domenu koje napadač može koristiti.
Ilustrativan primjer je priča o otmici sina Evgenija Kasperskog. Tokom istrage je utvrđeno da su kriminalci saznali dnevni raspored i rute tinejdžera iz njegovih objava na stranici društvene mreže.
Čak i ograničavanjem pristupa informacijama na svojoj stranici društvene mreže, korisnik ne može biti siguran da nikada neće pasti u ruke prevaranta. Na primjer, brazilski istraživač kompjuterske sigurnosti pokazao je da je moguće postati prijatelj bilo kojeg korisnika Facebooka u roku od 24 sata koristeći tehnike društvenog inženjeringa. Tokom eksperimenta, istraživač Nelson Novaes Neto odabrao je "žrtvu" i napravio lažni nalog osobe iz njenog okruženja - njenog šefa. Neto je prvo slao zahtjeve za prijateljstvo prijateljima prijatelja žrtvinog šefa, a zatim direktno svojim prijateljima. Nakon 7,5 sati, istraživač je natjerao “žrtvu” da ga doda za prijatelja. Tako je istraživač dobio pristup ličnim podacima korisnika, koje je dijelio samo sa svojim prijateljima.
Putna jabuka
Ova metoda napada je adaptacija trojanskog konja i sastoji se od korištenja fizičkih medija. Napadač sadi "zaražene", odnosno blic, na mjesto gdje se nosilac lako može pronaći (toalet, lift, parking). Mediji su lažirani da izgledaju službeno, a popraćeni su potpisom dizajniranim da izazove radoznalost. Na primjer, prevarant može podmetnuti pismo, opremljeno korporativnim logotipom i vezom na službenu web stranicu kompanije, označavajući ga kao "Plate izvršnih direktora". Disk se može ostaviti na podu lifta ili u predvorju. Zaposleni može nesvjesno uzeti disk i ubaciti ga u računar kako bi zadovoljio svoju radoznalost.
Obrnuti društveni inženjering
Obrnuti društveni inženjering se spominje kada sama žrtva ponudi napadaču informacije koje su mu potrebne. Ovo može izgledati apsurdno, ali u stvari, pojedinci s autoritetom u tehničkoj ili društvenoj sferi često dobijaju korisničke ID-ove, lozinke i druge osjetljive lične podatke samo zato što niko ne dovodi u pitanje njihov integritet. Na primjer, osoblje za podršku nikada ne traži od korisnika ID ili lozinku; ne trebaju im ove informacije za rješavanje problema. Međutim, mnogi korisnici dobrovoljno daju ove povjerljive informacije kako bi brzo riješili probleme. Ispostavilo se da napadač ne mora ni da pita o tome.
Primjer obrnutog društvenog inženjeringa je sljedeći jednostavan scenario. Napadač koji radi sa žrtvom mijenja ime datoteke na računaru žrtve ili je premješta u drugi direktorij. Kada žrtva primijeti da fajl nedostaje, napadač tvrdi da može sve popraviti. U želji da brže završi posao ili izbjegne kaznu za gubitak informacija, žrtva pristaje na ovu ponudu. Napadač tvrdi da se problem može riješiti samo prijavom sa akreditivima žrtve. Sada žrtva traži od napadača da se prijavi pod njenim imenom kako bi pokušao vratiti datoteku. Napadač nevoljko pristaje i vraća datoteku, a u tom procesu krade ID i lozinku žrtve. Uspješno izveo napad, čak je popravio svoju reputaciju, a sasvim je moguće da će mu se nakon toga i druge kolege obratiti za pomoć. Ovaj pristup ne ometa uobičajene procedure za pružanje usluga podrške i komplikuje hvatanje napadača.
Poznati društveni inženjeri
Kevin Mitnick
Kevin Mitnick. Svjetski poznati haker i konsultant za sigurnost
Jedan od najpoznatijih društvenih inženjera u istoriji je Kevin Mitnik. Kao svjetski poznati kompjuterski haker i konsultant za sigurnost, Mitnick je i autor brojnih knjiga o kompjuterskoj sigurnosti, uglavnom posvećenih socijalnom inženjeringu i metodama psihološkog utjecaja na ljude. Godine 2002. objavljena je knjiga “Umjetnost obmane” pod njegovim autorstvom, koja govori o stvarnim pričama o korištenju socijalnog inženjeringa. Kevin Mitnick je tvrdio da je mnogo lakše dobiti lozinku prevarom nego pokušati hakirati sigurnosni sistem
Braća Badir
Uprkos činjenici da su braća Mundir, Mushid i Shadi Badir bili slijepi od rođenja, uspjeli su izvesti nekoliko velikih prijevara u Izraelu 1990-ih, koristeći društveni inženjering i lažiranje glasa. U televizijskom intervjuu su rekli: “Samo oni koji ne koriste telefon, struju i laptop su potpuno osigurani od mrežnih napada.” Braća su već bila u zatvoru jer su mogla da čuju i dešifruju tajne tonove smetnji telefonskih provajdera. Obavljali su duge pozive u inostranstvo o tuđem trošku, reprogramirajući kompjutere mobilnih provajdera tonovima smetnji.
Arhanđeo
Naslovnica časopisa Phrack
Poznati kompjuterski haker i konsultant za bezbednost poznatog onlajn magazina na engleskom jeziku "Phrack Magazine", Arhangel je demonstrirao moć tehnika socijalnog inženjeringa tako što je u kratkom vremenu dobio lozinke sa ogromnog broja različitih sistema, prevarivši nekoliko stotina žrtava.
Ostalo
Manje poznati društveni inženjeri su Frank Abagnale, David Bannon, Peter Foster i Stephen Jay Russell.
Načini zaštite od socijalnog inženjeringa
Da bi izvršili svoje napade, napadači koji koriste tehnike socijalnog inženjeringa često iskorištavaju lakovjernost, lijenost, ljubaznost, pa čak i entuzijazam korisnika i zaposlenika organizacija. Nije lako braniti se od takvih napada jer žrtve možda nisu svjesne da su prevarene. Napadači socijalnog inženjeringa uglavnom imaju iste ciljeve kao i svaki drugi napadač: žele novac, informacije ili IT resurse kompanije žrtve. Da biste se zaštitili od takvih napada, potrebno je proučiti njihove vrste, razumjeti šta napadaču treba i procijeniti štetu koja bi mogla biti nanesena organizaciji. Sa svim ovim informacijama možete integrirati potrebne mjere zaštite u svoju sigurnosnu politiku.
Klasifikacija prijetnji
Prijetnje putem e-pošte
Mnogi zaposleni svakodnevno primaju desetine, pa čak i stotine e-mailova putem korporativnih i privatnih sistema e-pošte. Naravno, uz takav tok prepiske nemoguće je posvetiti dužnu pažnju svakom pismu. To znatno olakšava izvođenje napada. Većina korisnika e-mail sistema je opuštena u obradi takvih poruka, doživljavajući ovaj posao kao elektronski analog premeštanja papira iz jednog foldera u drugi. Kada napadač pošalje jednostavan zahtjev poštom, njegova žrtva će često učiniti ono što se od njega traži ne razmišljajući o svojim postupcima. E-poruke mogu sadržavati hiperveze koje podstiču zaposlene da naruše korporativnu sigurnost. Takvi linkovi ne vode uvijek na navedene stranice.
Većina sigurnosnih mjera usmjerena je na sprječavanje neovlaštenih korisnika da pristupe korporativnim resursima. Ako korisnik klikom na hipervezu koju je poslao napadač prenese trojanca ili virus na korporativnu mrežu, to će mu olakšati zaobići mnoge vrste zaštite. Hiperveza takođe može ukazivati na sajt sa iskačućim aplikacijama koje traže podatke ili nude pomoć. Da biste promovirali ovaj pristup u cijeloj organizaciji, vaša sigurnosna politika bi trebala uključivati posebne smjernice za korištenje e-pošte koje pokrivaju sljedeće elemente.
- Prilozi uz dokumente.
- Hiperveze u dokumentima.
- Zahtjevi za ličnim ili korporativnim informacijama koji dolaze iz kompanije.
- Zahtjevi za ličnim ili korporativnim informacijama koji potiču izvan kompanije.
Prijetnje povezane s korištenjem usluga trenutnih poruka
Razmjena trenutnih poruka je relativno nova metoda prijenosa podataka, ali je već stekla veliku popularnost među korporativnim korisnicima. Zbog brzine i jednostavnosti korištenja, ovaj način komunikacije otvara široke mogućnosti za razne napade: korisnici ga tretiraju kao telefonsku vezu i ne povezuju je s potencijalnim softverskim prijetnjama. Dvije glavne vrste napada zasnovane na korištenju servisa za razmjenu trenutnih poruka su uključivanje veze do zlonamjernog programa u tijelo poruke i isporuka samog programa. Naravno, instant poruke su takođe jedan od načina da se traže informacije. Jedna od karakteristika servisa instant poruka je neformalna priroda komunikacije. U kombinaciji sa mogućnošću da sebi dodijele bilo koje ime, napadaču je mnogo lakše da se lažno predstavlja i uvelike povećava njihove šanse za uspješno izvođenje napada ako kompanija namjerava iskoristiti mogućnosti smanjenja troškova i druge pogodnosti koje obezbeđuje razmena trenutnih poruka, neophodno je uključiti u korporativne bezbednosne politike koje obezbeđuju mehanizme zaštite od relevantnih pretnji. Da biste stekli pouzdanu kontrolu nad razmjenom trenutnih poruka u poslovnom okruženju, postoji nekoliko zahtjeva koji se moraju ispuniti.
- Odaberite jednu platformu za razmjenu trenutnih poruka.
- Odredite sigurnosna podešavanja koja su navedena prilikom postavljanja usluge ćaskanja.
- Odrediti principe za uspostavljanje novih kontakata
- Postavite standarde lozinki
- Dajte preporuke za korištenje usluge razmjene trenutnih poruka.
Sigurnosni model na više nivoa
Kako bi se velike kompanije i njihovi zaposlenici zaštitili od prevaranata koji koriste tehnike društvenog inženjeringa, često se koriste složeni sigurnosni sistemi na više nivoa. Neke od karakteristika i odgovornosti takvih sistema su navedene u nastavku.
- Fizička sigurnost. Barijere koje ograničavaju pristup zgradama kompanije i korporativnim resursima. Ne zaboravite da resursi kompanije, na primjer, kontejneri za smeće koji se nalaze izvan teritorije kompanije, nisu fizički zaštićeni.
- Podaci. Poslovne informacije: računi, pošta itd. Prilikom analize prijetnji i planiranja mjera zaštite podataka potrebno je odrediti principe rukovanja papirnim i elektronskim medijima podataka.
- Prijave. Programi koje pokreće korisnik. Da biste zaštitili svoje okruženje, morate razmotriti kako napadači mogu iskoristiti programe za e-poštu, razmjenu trenutnih poruka i druge aplikacije.
- Kompjuteri. Serveri i klijentski sistemi koji se koriste u organizaciji. Štiti korisnike od direktnih napada na njihove računare definisanjem strogih smernica koje regulišu koji se programi mogu koristiti na korporativnim računarima.
- Interna mreža. Mreža kroz koju korporativni sistemi komuniciraju. Može biti lokalni, globalni ili bežični. Posljednjih godina, zbog rastuće popularnosti metoda rada na daljinu, granice internih mreža postale su uglavnom proizvoljne. Zaposlenicima kompanije treba reći šta moraju da urade da bi bezbedno radili u bilo kom mrežnom okruženju.
- Mrežni perimetar. Granica između internih mreža kompanije i eksternih mreža, kao što su Internet ili mreže partnerskih organizacija.
Odgovornost
Pretekst i snimanje telefonskih razgovora
Hewlett Packard
Patricia Dunn, predsjednica Hewlett Packard Corporation, rekla je da je unajmila privatnu kompaniju da identifikuje one zaposlenike kompanije koji su odgovorni za curenje povjerljivih informacija. Kasnije je čelnik korporacije priznao da je u procesu istraživanja korištena praksa preteksta i druge tehnike društvenog inženjeringa.
Bilješke
vidi takođe
Linkovi
- SocialWare.ru – Privatni projekat socijalnog inženjeringa
- - Društveni inženjering: osnove. Dio I: Hakerske taktike
- – Zaštita od phishing napada.
- Osnove društvenog inženjeringa – Securityfocus.com.
- Društveni inženjering, USB način – DarkReading.com.
- Da li socijalni inženjering treba da bude dio testiranja penetracije? – darknet.org.uk.
- Telefonski zapisi "Zaštita potrošača", Elektronski informacioni centar za privatnost Američki komitet za trgovinu, nauku i transport .
- Plotkin, Hal. Dopis za novinare: Pretekst je već nezakonit.
- Striptiz za lozinke – MSNBC.MSN.com.
- Social-Engineer.org – social-engineer.org.
U ovom članku ćemo obratiti pažnju na koncept „društvenog inženjeringa“. Ovdje ćemo se osvrnuti na one opšte. Saznat ćemo i o tome ko je bio osnivač ovog koncepta. Razgovarajmo odvojeno o glavnim metodama društvenog inženjeringa koje koriste napadači.
Uvod
Metode koje omogućavaju ispravljanje ljudskog ponašanja i upravljanje njegovim aktivnostima bez upotrebe tehničkog skupa alata čine opći koncept socijalnog inženjeringa. Sve metode se zasnivaju na tvrdnji da je ljudski faktor najrazornija slabost svakog sistema. Često se ovaj koncept posmatra na nivou nezakonite aktivnosti, kroz koju kriminalac čini radnju u cilju dobijanja informacija od žrtve-subjekta na nepošten način. Na primjer, to može biti određena vrsta manipulacije. Međutim, društveni inženjering ljudi također koriste u legitimnim aktivnostima. Danas se najčešće koristi za pristup resursima sa povjerljivim ili vrijednim informacijama.
Osnivač
Osnivač socijalnog inženjeringa je Kevin Mitnick. Međutim, sam koncept došao je do nas iz sociologije. Označava opći skup pristupa koje koriste primijenjeni društveni mediji. nauke fokusirane na promenu organizacione strukture sposobne da odredi ljudsko ponašanje i da vrši kontrolu nad njim. Kevin Mitnick se može smatrati osnivačem ove nauke, jer je upravo on popularizirao društvene mreže. inženjerstva u prvoj deceniji 21. veka. Sam Kevin je ranije bio haker, ciljajući na širok spektar baza podataka. On je tvrdio da je ljudski faktor najranjivija tačka sistema bilo kog nivoa složenosti i organizacije.
Ako govorimo o metodama socijalnog inženjeringa kao načinu sticanja (obično nezakonitih) prava na korištenje povjerljivih podataka, onda možemo reći da su one poznate već jako dugo. Međutim, K. Mitnik je bio taj koji je mogao prenijeti važnost njihovog značenja i karakteristike primjene.
Phishing i nepostojeći linkovi
Svaka tehnika socijalnog inženjeringa zasniva se na prisutnosti kognitivnih distorzija. Greške u ponašanju postaju „oružje“ u rukama stručnog inženjera, koji u budućnosti može kreirati napad u cilju dobijanja važnih podataka. Metode društvenog inženjeringa uključuju phishing i nepostojeće veze.
Phishing je internetska prevara osmišljena za dobivanje ličnih podataka, na primjer, login i lozinka.
Nepostojeći link – korištenje linka koji će primaoca namamiti određenim pogodnostima koje se mogu dobiti klikom na nju i posjetom određenom sajtu. Najčešće koriste imena velikih kompanija, suptilno prilagođavajući njihova imena. Žrtva će klikom na link "dobrovoljno" prenijeti svoje lične podatke napadaču.
Metode koje koriste brendove, neispravne antiviruse i lažne lutrije
Društveni inženjering također koristi metode prevare koristeći poznate brendove, neispravne antiviruse i lažne lutrije.
“Prevara i brendovi” je metoda obmane, koja također spada u phishing odjeljak. Ovo uključuje e-poštu i web stranice koje sadrže naziv velike i/ili "promovirane" kompanije. Sa njihovih stranica se šalju poruke koje vas obavještavaju o vašoj pobjedi u određenom takmičenju. Zatim morate unijeti važne informacije o računu i ukrasti ih. Ovaj oblik prevare može se obaviti i putem telefona.
Lažna lutrija je metoda u kojoj se žrtvi šalje poruka s tekstom da je dobila na lutriji. Najčešće se obavijest prikriva korištenjem imena velikih korporacija.
Lažni antivirusi su softverske prevare. Koristi programe koji izgledaju kao antivirusi. Međutim, u stvarnosti dovode do generiranja lažnih obavijesti o određenoj prijetnji. Oni također pokušavaju privući korisnike u transakcijsku sferu.
Vishing, frikanje i izgovor
Kada govorimo o socijalnom inženjeringu za početnike, vrijedi spomenuti i vishing, phreaking i izgovore.
Vishing je oblik obmane koja koristi telefonske mreže. Koristi unaprijed snimljene glasovne poruke, čija je svrha da rekreira “zvanični poziv” bankarske strukture ili bilo kojeg drugog IVR sistema. Najčešće se od vas traži da unesete login i/ili lozinku kako biste potvrdili bilo koju informaciju. Drugim riječima, sistem zahtijeva od korisnika da se autentifikuje korištenjem PIN kodova ili lozinki.
Phreaking je još jedan oblik telefonske prevare. To je hakerski sistem koji koristi manipulaciju zvukom i tonsko biranje.
Pretekstiranje je napad koji se koristi unaprijed osmišljenim planom, čija je suština da ga predstavi drugom subjektu. Izuzetno teška metoda obmane, jer zahtijeva pažljivu pripremu.
Quid-pro-quo i metoda “cestne jabuke”.
Teorija socijalnog inženjeringa je višestruka baza podataka koja uključuje kako metode obmane i manipulacije, tako i načine borbe protiv njih. Glavni zadatak napadača je, po pravilu, da izvuku vrijedne informacije.
Ostale vrste prevara uključuju: quid-pro-quo, metodu „jabuke na cesti“, surfanje po ramenima, korištenje otvorenih izvora i obrnutih društvenih medija. inženjering.
Quid-pro-quo (od latinskog - "ovo za ovo") je pokušaj izvlačenja informacija iz kompanije ili firme. To se dešava ako je kontaktirate telefonom ili slanjem poruka putem e-pošte. Najčešće se napadači predstavljaju kao tehničko osoblje. podržavaju da prijavljuju prisustvo određenog problema na radnom mjestu zaposlenog. Zatim predlažu načine da se to eliminiše, na primjer, instaliranjem softvera. Ispostavlja se da je softver neispravan i doprinosi unapređenju zločina.
Putna jabuka je metoda napada koja se zasniva na ideji trojanskog konja. Njegova suština je u korištenju fizičkih medija i zamjeni informacija. Na primjer, mogu dati memorijsku karticu s određenim "dobrom" koje će privući pažnju žrtve, natjerati ih da otvore i koriste datoteku ili slijede veze navedene u dokumentima fleš diska. Objekat "jabuka na cesti" se baca na društvena mjesta i čeka dok neki entitet ne provede napadačev plan.
Prikupljanje i traženje informacija iz otvorenih izvora je prevara u kojoj se dobijanje podataka zasniva na psihološkim metodama, sposobnosti uočavanja sitnica i analizi dostupnih podataka, na primjer, stranica s društvene mreže. Ovo je prilično nova metoda društvenog inženjeringa.
Surfovanje na ramenima i obrnuto. inženjering
Koncept "surfanja po ramenu" sebe definira kao doslovno gledanje subjekta uživo. Sa ovom vrstom rudarenja podataka, napadač odlazi na javna mjesta, na primjer, kafić, aerodrom, željezničku stanicu i prati ljude.
Ovu metodu ne treba potcenjivati, jer mnoga istraživanja i studije pokazuju da pažljiva osoba može dobiti mnogo poverljivih informacija jednostavnom pažnjom.
Društveni inženjering (kao nivo sociološkog znanja) je sredstvo za „hvatanje“ podataka. Postoje načini za dobijanje podataka u kojima žrtva sama nudi napadaču potrebne informacije. Međutim, može poslužiti i za dobrobit društva.
Obrnuti društveni Inženjering je još jedan metod ove nauke. Upotreba ovog termina postaje prikladna u slučaju koji smo gore spomenuli: sama žrtva će napadaču ponuditi potrebne informacije. Ovu izjavu ne treba shvatiti kao apsurdnu. Činjenica je da subjekti koji imaju ovlaštenja u određenim područjima djelovanja često dobijaju pristup identifikacijskim podacima prema vlastitom nahođenju. Osnova je ovdje povjerenje.
Važno je zapamtiti! Osoblje podrške nikada neće tražiti od korisnika lozinku, na primjer.
Svijest i zaštita
Obuku socijalnog inženjeringa pojedinac može izvoditi kako na osnovu lične inicijative tako i na osnovu priručnika koji se koriste u posebnim programima obuke.
Kriminalci mogu koristiti razne vrste obmane, od manipulacije do lijenosti, lakovjernosti, ljubaznosti korisnika itd. Izuzetno je teško zaštititi se od ove vrste napada, što je zbog nedostatka svijesti žrtve da on (ona ) je prevaren. Razne firme i kompanije često procjenjuju opće informacije kako bi zaštitile svoje podatke na ovom nivou opasnosti. Zatim se neophodne mjere zaštite integriraju u sigurnosnu politiku.
Primjeri
Primjer društvenog inženjeringa (njegovog čina) u polju globalnih phishing poruka je događaj koji se dogodio 2003. godine. Tokom ove prevare, e-mailovi su slani korisnicima eBaya. Tvrdili su da su im računi blokirani. Da biste otkazali blokiranje, morali ste ponovo unijeti podatke o svom računu. Međutim, pisma su bila lažna. Preusmjerili su se na stranicu identičnu zvaničnoj, ali lažnu. Prema procjenama stručnjaka, gubitak nije bio previše značajan (manje od milion dolara).
Definicija odgovornosti
Socijalni inženjering može biti kažnjiv u nekim slučajevima. U brojnim zemljama, na primjer, Sjedinjenim Državama, izgovor (obmana lažnim predstavljanjem druge osobe) izjednačava se s invazijom na privatnost. Međutim, ovo može biti kažnjivo po zakonu ako su informacije dobijene tokom izgovora bile povjerljive sa stanovišta subjekta ili organizacije. Snimanje telefonskog razgovora (kao metoda socijalnog inženjeringa) je također predviđeno zakonom i zahtijeva plaćanje novčane kazne od 250.000 dolara ili zatvorske kazne do deset godina za pojedince. osobe Od entiteta se traži da plate 500.000 dolara; rok ostaje isti.
