مهندسی اجتماعی. مهندسی اجتماعی: مفهوم، بنیانگذار، روش ها و نمونه ها مهندسی انسانی

قسمت 1 (به دلیل حجم مقاله به چند قسمت تقسیم شده است. به محض اینکه 50 بازدید کردم، دومی را ارسال می کنم).

بسیاری از هکرهای واقعی که دائماً درگیر هک هستند، همیشه چند ترفند SI در انبار دارند، زیرا در جایی که یافتن یک آسیب‌پذیری در کد غیرممکن است، اغلب می‌توان آن را در ذهن خدمات پشتیبانی یا صاحب یک e. -پست، ICQ یا وب سایت...

از تئوری تا عمل
شما قبلاً در یکی از شماره های قبلی مجله مورد علاقه خود خوانده اید که مهندسی اجتماعی چیست، بنابراین می توانیم با اطمینان بگوییم که سخت افزار با موفقیت تسلط یافته است. اکنون پیشنهاد می کنم یک سواری تمرینی داشته باشید.

مهندسان اجتماعی افراد بسیار دلپذیری برای صحبت با آنها هستند: با فرهنگ، دوستانه، با حس شوخ طبعی. آنها ذهنی فوق العاده انعطاف پذیر، تفکر نوآورانه و ایده های زیادی در مورد چگونگی دستیابی موثرتر به اهداف خود دارند. برای تهیه مطالب به آنها کمک کردم. مشاوران ما خواهند بود: GoodGod - خالق یکی از محبوب ترین پروژه های روسی زبان در مورد مهندسی اجتماعی socialware.ru. آیومی (spylabs.org); ایوان یکی دیگر از استادان هک مغز انسان است که می خواست ناشناس بماند.

برو!

ربودن شماره ICQ (بدون ایمیل اولیه)
برای ربودن ICQ به موارد زیر نیاز دارید:

• لیستی از دامنه ها با ایمیل های ثبت شده در آنها (نحوه دریافت آنها - در شماره دسامبر ][ برای سال 2009، ویدیوی "ربایش دسته جمعی دامنه ها" از GoodGod بخوانید).
• شماره ICQ که از آن حمله اولیه رخ خواهد داد.
• شماره ICQ صادر شده برای یک متخصص SEO (با داده ها و جزئیات مربوطه در اطلاعات).

بنابراین، یک "سلاح" وجود دارد، بیایید به حمله برویم. توجه قربانی را جلب کنید: به عنوان مثال، موقعیتی مانند شما او را با شخص دیگری اشتباه گرفته اید. پس از این، می توانید عذرخواهی کنید و یک گفتگوی معمولی را شروع کنید و به تدریج اعتماد ایجاد کنید. بگذارید کمی طول بکشد تا او (قربانی) به شما عادت کند. بعد، گفتگو به موضوع پول درآوردن تبدیل می شود - شما به آنها می گویید چه چیزی در اینترنت کسب می کنید (هنوز دقیقاً نگویید که چگونه همکار خود را نترسانید). پس از مدتی، به آنها بگویید که یکی از دوستانی که وب‌سایت‌ها را تبلیغ می‌کند، به شما پیشنهاد کار داده است: شما نیازی به انجام کار خاصی ندارید، اما روزانه حدود 200 روبل می‌آید. اگر خود قربانی ابتکار عمل را بر عهده نگیرد، اولین قدم را بردارید و پیشنهاد ملاقات با یک دوست را بدهید.

اگر نمی‌خواهید فوراً با هم آشنا شوید، این گفتگو را برای مدتی متوقف کنید، زیرا اگر خیلی فشار دهید، ممکن است اثر معکوس باشد. بهتر است کمی بعد به بهانه ای دیگر به این موضوع برگردیم.

به هر حال، اگر قربانی به طور طبیعی خجالتی است، او را مجبور به برقراری ارتباط با یک غریبه نمی کنید، بنابراین مجبور خواهید بود که به «دلال بازی» بپردازید تا آشنایی انجام شود. و بنابراین، مشتری به یک دوست SEO (یعنی به شما) مراجعه می کند. در ابتدا با پرسیدن سوالاتی مانند «از کجا درباره پروژه شنیدی؟ از ساشا؟ آهان ساشا... آره یادمه. خوب، حالا اصل کار را به شما می گویم.» بعد، در مورد پروژه جستجوی ICQ، ارتقاء وب سایت به ما بگویید، گزینه های پرداخت را شرح دهید (200 روبل در روز یا 1400 در هفته - به او اجازه دهید گزینه ای را که برای او مناسب است انتخاب کند). توجه "مشتری" را به طور مداوم بر روی جزئیات واقعی متمرکز کنید، بنابراین او را از افکار غیر ضروری منحرف خواهید کرد. هر چه حمله شدیدتر باشد و اطلاعات جدید بیشتر باشد، زمان کمتری برای فکر کردن به اتفاقات در حال رخ دادن دارد. در نهایت، طرح کسب درآمد را شرح دهید: به او اجازه دهید از لیستی که در ابتدا آماده شده بود، سایتی را انتخاب کند، از طریق whois به ایمیلی که سایت به آن لینک شده است نگاه کند (اجازه دهید خودش این کار را انجام دهد) و آن را در "ایمیل" وارد کنید. ” در نمایه ICQ خود. حتما توضیح دهید که اگر همان ایمیل در ICQ و داده های دامنه نشان داده شده باشد، هر چه بیشتر ICQ در جستجو جستجو شود، رتبه سایت در موتور جستجو بالاتر خواهد بود. به محض اینکه قربانی اتصال را کامل کرد، رمز عبور را به ایمیل مشخص شده بازیابی می کنید و UIN متعلق به شماست!

اگر رمز عبور از طریق ایمیل دریافت نشود، به این معنی است که شماره از قبل یک ایمیل اصلی دارد و ربودن باید به روش دیگری سازماندهی شود.

هک ایمیل
پاسخ سوال مخفی را پیدا کنید
سوالات مربوط به سرورهای ایمیل معمولاً کاملاً مشابه هستند:

• نام دختر مادر;
• غذای مورد علاقه؛
• نام حیوان خانگی؛
• گذرنامه ID؛
• سوال شخصی (نام معلم اول، نمایه، فیلم مورد علاقه، مجری مورد علاقه).

برای سؤالاتی مانند «غذای مورد علاقه» یا «نام سگ»، اگر شهود خوبی دارید، می‌توانید پاسخ را خودتان انتخاب کنید. اگر شهود نقطه قوت اصلی شما نیست، یا سوال به دانش خاص تری نیاز دارد، باید سخت کار کنید. ابتدا تا آنجا که ممکن است اطلاعات مربوط به صاحب جعبه را جمع آوری می کنیم. شماره ICQ یا صفحه VKontakte بسیار مطلوب است. سپس قربانی را به لیست تماس اضافه می کنیم، به هر بهانه ای با هم آشنا می شویم (در اینجا تمام اطلاعات جمع آوری شده برای ما مفید خواهد بود) و یک "حمله" را آغاز می کنیم تا پاسخی را که به سؤال مخفی نیاز داریم پیدا کنیم. در این مرحله، نکته اصلی این است که عجله نکنید، همه چیز باید سازگار و طبیعی باشد، به طوری که قربانی هیچ شکی نداشته باشد.

چه طرح هایی کار می کنند؟ نام دختر مادر - موضوعی را در مورد شجره نامه شروع کنید یا اینکه مادر شما قبل از ازدواج چه نام خانوادگی خنده داری داشته است. غذای مورد علاقه - اینجا همه چیز واضح است. نام حیوان - صحبت در مورد حیوانات خانگی: گذشته، حال و آینده، زیرا کلمه رمز می تواند نام اولین همستر اهدایی باشد. با شماره گذرنامه مشکل تر خواهد بود. در اینجا می توانید وسوسه شوید که یک کالای ارزان و کمیاب بخرید، به عنوان مثال، که با پرداخت هزینه در هنگام تحویل تحویل داده می شود، اما برای سفارش دادن به مشخصات پاسپورت و کد شناسایی خود نیاز دارید. می توانید نام اولین معلم را از همکلاسی های قربانی بیابید یا مستقیماً در مورد معلمان مورد علاقه اش با او صحبت کنید. دریافت ایندکس با دانلود پایگاه داده شهر آسانتر است و به سادگی می توانید از قربانی در کدام منطقه زندگی می کند. نکته اصلی در اینجا نبوغ، تخیل و صبر است.

یک نکته کوچک اما مهم وجود دارد. گاهی اوقات، هنگامی که از "غذای مورد علاقه" پرسیده می شود، ممکن است پاسخ، به عنوان مثال، یک شماره تلفن باشد، یعنی مغایرت کامل بین سوال و پاسخ. در اینجا باید صحبتی را در مورد ترکیب های مضحک و بی معنی بودن سؤالات امنیتی شروع کنید و سپس همه چیز را از اول شروع کنید، ترجیحاً با حساب دیگری.

تماس با پشتیبانی مشتری
این روش سخت‌تر و ترسناک‌تر است، اما اگر قربانی نمی‌خواهد خود را "تزریق" کند، یا اگر جعبه "مرده" است، یعنی صاحب مدت طولانی از آن بازدید نکرده است، لازم است. برای انجام این کار، به صفحه پشتیبانی سرویس ایمیل مورد نظر بروید و نامه ای بنویسید تا رمز عبور دزدیده شده خود را بازیابی کنید. به احتمال زیاد، نام، نام خانوادگی (یا اطلاعاتی که در هنگام ثبت نام مشخص شده است)، تاریخ تولد و تاریخ تقریبی ثبت جعبه (حداقل یک سال) از شما خواسته می شود. بنابراین، سعی کنید تا حد امکان اطلاعات بیشتری در مورد قربانی و جعبه او پیدا کنید. موتورهای جستجو، شبکه های اجتماعی و وبلاگ ها به شما در این امر کمک می کنند.

فیشینگ
یکی از موثرترین راه ها برای به دست آوردن رمز عبور بدون اینکه مالک حتی از آن مطلع باشد. به قربانی لینکی پیشنهاد می شود که دنبال کند و نام کاربری و رمز عبور خود را وارد کند. این داده ها به یک فایل گزارش، پایگاه داده (اگر سرقت گسترده باشد) یا ایمیل ارسال می شود. ترفند اصلی این است که قربانی را مجبور کنید روی این لینک کلیک کند. فرم می تواند هر چیزی باشد:

• یک پیام "از طرف مدیریت" (بخوانید: از یک سرویس پستی با آدرس جعلی) درباره هرزنامه از این صندوق پستی. مثال: «کاربر عزیز، (نام کاربری)! حساب شما شکایاتی در مورد هرزنامه دریافت کرده است و بنابراین مدیریت این حق را دارد که به طور موقت عملیات آن را تعلیق یا مسدود کند. کاملاً ممکن است که مهاجمان به آن دسترسی داشته باشند. برای تأیید مالکیت حساب خود، با استفاده از این پیوند (هیپرلینک به جعلی) مجدداً مجوز دهید. اگر ظرف مدت 5 روز تایید نشد، حساب ایمیل مسدود خواهد شد. با احترام، خدمات پشتیبانی (نام سرویس پست الکترونیکی)." بازی با ترس از دست دادن جعبه.
• با دانستن سرگرمی های قربانی، می توانید علاقه مند شوید. به عنوان مثال نامه ای با موضوع مورد علاقه که تنها بخشی از اطلاعات در آن پوشش داده شده است، بقیه با کلیک روی لینک پوشش داده می شود. لینک به یک صفحه شبه ورود منتهی می شود و شما می توانید بقیه اطلاعات را تنها پس از ورود به سیستم بخوانید.

مثال: «تنها 15 تا 17 آگوست 2010 در (شهر قربانی) یک آموزش عملی در مورد ایجاد 100% مؤثر روابط بین جنسیتی برگزار می شود! برای اولین بار، رازهای قطعی تمایلات جنسی و جذابیت فاش خواهد شد که برخی از آنها را می توانید در اینجا ببینید (هایپرلینک). بقیه در تمرین است. و فراموش نکنید که یک نظریه فقط یک نظریه است. با تمرین می توانید همه چیز را یاد بگیرید. آموزش توسط نویسنده Egor Asin (هایپرلینک) انجام می شود. برای کسانی که تا 10 مرداد ثبت نام کنند، اولین درس رایگان است. برای ثبت نام، این فرم (هایپرلینک) را پر کنید.”

کشاورزی
همچنین اتفاق می افتد که قربانی به اندازه کافی باهوش (یا بی تفاوت) است که روی پیوندها کلیک نمی کند. در این حالت، باید به Trojans/joiners/script ها برای دستکاری فایل HOSTS یا هک سرور DNS یا DHCP ارائه دهنده آن متوسل شوید. در همان زمان، زمانی که کاربر برای بررسی ایمیل به سایت مراجعه می‌کند، یک تغییر مسیر دقیقاً به همان ایمیل انجام می‌شود، فقط یک فیشینگ. کاربر بدون شک اطلاعات خود را وارد می کند و با استفاده از یک اسکریپت مجوز داخلی، وارد ایمیل "بومی" خود می شود و ورود و رمز عبور به ایمیل شما ارسال می شود. زیبایی این است که قربانی حتی نمی داند چه اتفاقی افتاده است.

روش‌های مهندسی اجتماعی - این دقیقاً همان چیزی است که در این مقاله مورد بحث قرار خواهد گرفت، و همچنین همه چیز مربوط به دستکاری افراد، فیشینگ و سرقت پایگاه‌های اطلاعاتی مشتری و موارد دیگر. آندری سریکوف با مهربانی اطلاعاتی را در اختیار ما قرار داد که نویسنده آن است که ما از او بسیار سپاسگزاریم.

A. سریکوف

A.B.BOROVSKY

فن آوری های اطلاعاتی هک اجتماعی

معرفی

تمایل بشر برای دستیابی به انجام کامل وظایف محوله به عنوان توسعه فناوری رایانه مدرن عمل کرد و تلاش برای ارضای خواسته های متضاد مردم منجر به توسعه محصولات نرم افزاری شد. این محصولات نرم افزاری نه تنها عملکرد سخت افزار را حفظ می کنند، بلکه آن را نیز مدیریت می کنند.

توسعه دانش در مورد انسان و کامپیوتر منجر به ظهور یک نوع سیستم اساساً جدید - "انسان- ماشین" شده است که در آن فرد می تواند به عنوان یک سخت افزار تحت کنترل یک عامل پایدار، کاربردی و چند وظیفه ای قرار گیرد. سیستمی به نام «روان».

موضوع کار در نظر گرفتن هک اجتماعی به عنوان شاخه ای از برنامه نویسی اجتماعی است که در آن فرد با کمک ضعف های انسانی، تعصبات و کلیشه ها در مهندسی اجتماعی دستکاری می شود.

مهندسی اجتماعی و روش های آن

روش های دستکاری انسان برای مدت طولانی شناخته شده است.

اولین مورد شناخته شده هوش رقابتی به قرن ششم قبل از میلاد برمی گردد و در چین رخ داد، زمانی که چینی ها راز ساخت ابریشم را که توسط جاسوسان رومی به سرقت رفته بود از دست دادند.

مهندسی اجتماعی علمی است که به عنوان مجموعه ای از روش ها برای دستکاری رفتار انسان بر اساس استفاده از نقاط ضعف عامل انسانی بدون استفاده از ابزار فنی تعریف می شود.

به گفته بسیاری از کارشناسان، بزرگترین تهدید برای امنیت اطلاعات توسط روش های مهندسی اجتماعی ایجاد می شود، البته تنها به این دلیل که استفاده از هک اجتماعی مستلزم سرمایه گذاری مالی قابل توجه و دانش کامل فناوری رایانه نیست و همچنین به این دلیل که افراد تمایلات رفتاری خاصی دارند که می تواند برای دستکاری دقیق استفاده می شود.

و مهم نیست که سیستم‌های حفاظت فنی چقدر بهبود می‌یابند، مردم با ضعف‌ها، پیش داوری‌ها، کلیشه‌های خود، افرادی باقی می‌مانند که به کمک آن‌ها مدیریت صورت می‌گیرد. راه اندازی یک "برنامه امنیتی" انسانی دشوارترین کار است و همیشه به نتایج تضمین شده منجر نمی شود، زیرا این فیلتر باید دائما تنظیم شود. در اینجا، شعار اصلی همه کارشناسان امنیتی بیش از هر زمان دیگری مرتبط به نظر می رسد: "امنیت یک فرآیند است، نه یک نتیجه."

زمینه های کاربرد مهندسی اجتماعی:

1. بی ثباتی عمومی کار سازمان به منظور کاهش نفوذ آن و احتمال نابودی کامل بعدی سازمان.
2. کلاهبرداری مالی در سازمان ها؛
3. فیشینگ و سایر روش‌های سرقت رمز عبور به منظور دسترسی به داده‌های بانکی شخصی افراد؛
4. سرقت پایگاه داده های مشتری؛
5. هوش رقابتی؛
6. اطلاعات کلی در مورد سازمان، نقاط قوت و ضعف آن، با هدف تخریب متعاقبا این سازمان به یک روش (اغلب برای حملات مهاجم استفاده می شود).
7. اطلاعاتی در مورد امیدوارترین کارکنان با هدف "فریفتن" بیشتر آنها به سازمان شما؛

برنامه نویسی اجتماعی و هک اجتماعی

برنامه نویسی اجتماعی را می توان رشته ای کاربردی نامید که با تأثیر هدفمند بر یک فرد یا گروهی از افراد به منظور تغییر یا حفظ رفتار آنها در جهت مطلوب سروکار دارد. بنابراین، برنامه نویس اجتماعی برای خود یک هدف تعیین می کند: تسلط بر هنر مدیریت افراد. مفهوم اصلی برنامه‌ریزی اجتماعی این است که کنش‌های بسیاری از افراد و واکنش‌های آن‌ها به یک یا آن تأثیر خارجی در بسیاری از موارد قابل پیش‌بینی است.

روش‌های برنامه‌ریزی اجتماعی جذاب هستند زیرا یا هیچ‌کس در مورد آن‌ها چیزی نمی‌داند، یا حتی اگر کسی چیزی را حدس بزند، بسیار دشوار است که چنین چهره‌ای را به محاکمه بکشانیم، و در برخی موارد می‌توان رفتار افراد را «برنامه‌نویسی» کرد. یک نفر و یک گروه بزرگ این فرصت‌ها دقیقاً به این دلیل در دسته هک اجتماعی قرار می‌گیرند که در همه آن‌ها افراد به اراده شخص دیگری عمل می‌کنند، گویی از یک «برنامه» نوشته شده توسط یک هکر اجتماعی اطاعت می‌کنند.

هک اجتماعی به عنوان توانایی هک کردن یک فرد و برنامه ریزی او برای انجام اقدامات مورد نظر از برنامه نویسی اجتماعی - یک رشته کاربردی مهندسی اجتماعی است که در آن متخصصان این حوزه - هکرهای اجتماعی - از تکنیک های تأثیر روانی و بازیگری به عاریت گرفته شده از زرادخانه استفاده می کنند. از سرویس های اطلاعاتی

هک اجتماعی در بیشتر موارد برای حمله به شخصی که بخشی از یک سیستم کامپیوتری است استفاده می شود. سیستم کامپیوتری که هک می شود به خودی خود وجود ندارد. این شامل یک جزء مهم است - یک شخص. و برای به دست آوردن اطلاعات، یک هکر اجتماعی باید فردی را که با رایانه کار می کند هک کند. در بیشتر موارد، انجام این کار آسان تر از هک کردن رایانه قربانی برای یافتن رمز عبور است.

الگوریتم نفوذ معمولی در هک اجتماعی:

همه حملات هکرهای اجتماعی در یک طرح نسبتا ساده قرار می گیرند:

1. هدف از تأثیرگذاری بر یک شی خاص فرموله شده است.
2. اطلاعات در مورد شی به منظور شناسایی راحت ترین اهداف نفوذ جمع آوری می شود.
3. بر اساس اطلاعات جمع آوری شده مرحله ای اجرا می شود که روانشناسان آن را جذب می نامند. جاذبه (از لاتین Attrahere - جذب کردن، جذب کردن) ایجاد شرایط لازم برای تأثیرگذاری بر یک شی است.
4. مجبور کردن یک هکر اجتماعی برای انجام اقدام؛

اجبار با انجام مراحل قبلی حاصل می شود، یعنی بعد از حصول جاذبه، خود قربانی اقدامات لازم برای مهندس اجتماعی را انجام می دهد.

بر اساس اطلاعات جمع آوری شده، هکرهای اجتماعی به طور کاملاً دقیق، نوع روانی و اجتماعی قربانی را پیش بینی می کنند و نه تنها نیاز به غذا، رابطه جنسی و غیره، بلکه نیاز به عشق، نیاز به پول، نیاز به راحتی و غیره را نیز شناسایی می کنند. .، و غیره.

و در واقع، چرا سعی کنید به این یا آن شرکت نفوذ کنید، رایانه ها، دستگاه های خودپرداز را هک کنید، ترکیبات پیچیده را سازماندهی کنید، در حالی که می توانید همه چیز را آسان تر انجام دهید: کاری کنید که شخصی عاشق شما شود، که به میل خود پول را به شرکت منتقل می کند. حساب مشخص شده یا هر بار اطلاعات پول لازم را به اشتراک بگذارید؟

هکرهای اجتماعی و برنامه نویسان اجتماعی بر اساس این واقعیت که اعمال افراد قابل پیش بینی است و همچنین تابع قوانین خاصی است، از هر دو روش چند مرحله ای اصلی و تکنیک های ساده مثبت و منفی مبتنی بر روانشناسی هوشیاری انسان، برنامه های رفتاری، ارتعاشات اندام های داخلی، منطقی استفاده می کنند. تفکر، تخیل، حافظه، توجه. این تکنیک ها عبارتند از:

مولد چوب - نوساناتی با همان فرکانس فرکانس نوسانات اندام های داخلی ایجاد می کند، پس از آن یک اثر رزونانس مشاهده می شود، در نتیجه افراد شروع به احساس ناراحتی شدید و حالت وحشت می کنند.

تأثیر بر جغرافیای جمعیت - برای انحلال مسالمت آمیز گروه های بزرگ بسیار خطرناک تهاجمی.

صداهای با فرکانس بالا و فرکانس پایین - برای تحریک وحشت و اثر معکوس آن و همچنین دستکاری های دیگر.

برنامه تقلید اجتماعی - شخص با یافتن اینکه چه اقداماتی را دیگران صحیح می دانند صحت اقدامات را تعیین می کند.

برنامه claquering - (بر اساس تقلید اجتماعی) سازماندهی واکنش لازم از سوی مخاطبان؛

تشکیل صف - (بر اساس تقلید اجتماعی) یک حرکت تبلیغاتی ساده اما مؤثر.

برنامه کمک متقابل - شخص به دنبال جبران محبت به افرادی است که به او مهربانی کرده اند. تمایل به انجام این برنامه اغلب بیش از هر دلیلی است.

هک اجتماعی در اینترنت

با ظهور و توسعه اینترنت - یک محیط مجازی متشکل از افراد و تعاملات آنها، محیط برای دستکاری یک فرد برای به دست آوردن اطلاعات لازم و انجام اقدامات لازم گسترش یافته است. امروزه اینترنت وسیله ای برای پخش در سراسر جهان، رسانه ای برای همکاری، ارتباط است و سراسر جهان را پوشش می دهد. این دقیقاً همان چیزی است که مهندسان اجتماعی برای رسیدن به اهداف خود از آن استفاده می کنند.

راه های دستکاری یک شخص از طریق اینترنت:

در دنیای مدرن، صاحبان تقریباً هر شرکتی قبلاً دریافته اند که اینترنت وسیله ای بسیار مؤثر و راحت برای گسترش تجارت آنها است و وظیفه اصلی آن افزایش سود کل شرکت است. مشخص است که بدون اطلاعاتی که هدف آن جلب توجه به شی مورد نظر، ایجاد یا حفظ علاقه به آن و تبلیغ آن در بازار باشد، از تبلیغات استفاده می شود. تنها، با توجه به این واقعیت که بازار تبلیغات مدت هاست تقسیم شده است، اکثر انواع تبلیغات برای اکثر کارآفرینان پول هدر می رود. تبلیغات اینترنتی تنها یکی از انواع تبلیغات در رسانه نیست، بلکه چیز بیشتری است، زیرا با کمک تبلیغات اینترنتی افراد علاقه مند به همکاری به وب سایت سازمان مراجعه می کنند.

تبلیغات اینترنتی برخلاف تبلیغات در رسانه ها فرصت ها و پارامترهای بسیار بیشتری برای مدیریت یک شرکت تبلیغاتی دارد. مهمترین شاخص تبلیغات اینترنتی این است که هزینه های تبلیغات اینترنتی فقط زمانی کسر می شود که تغییر دهیدکاربر علاقه مند از طریق لینک تبلیغاتی که البته باعث می شود تبلیغات در اینترنت موثرتر و کم هزینه تر از تبلیغات در رسانه ها باشد. بنابراین، با ارسال تبلیغات در تلویزیون یا رسانه های چاپی، آنها هزینه آن را به طور کامل پرداخت می کنند و به سادگی منتظر مشتریان بالقوه هستند، اما مشتریان می توانند به تبلیغات پاسخ دهند یا نه - این همه به کیفیت تولید و ارائه تبلیغات در تلویزیون یا روزنامه ها بستگی دارد. با این حال، بودجه تبلیغات قبلاً در این مورد هزینه شده است اگر تبلیغات کار نمی کرد، هدر می رفت. برخلاف چنین تبلیغات رسانه ای، تبلیغات اینترنتی توانایی ردیابی پاسخ مخاطبان و مدیریت تبلیغات اینترنتی را قبل از صرف بودجه دارد، علاوه بر این، تبلیغات اینترنتی را می توان به حالت تعلیق درآورد که تقاضا برای محصولات افزایش یافته و زمانی که تقاضا شروع به کاهش می کند، از سر گرفته می شود.

یکی دیگر از روش‌های تأثیرگذاری، به اصطلاح «کشتن انجمن‌ها» است که در آن با کمک برنامه‌های اجتماعی، برای یک پروژه خاص ضد تبلیغات ایجاد می‌کنند. در این مورد، برنامه نویس اجتماعی با کمک اقدامات تحریک آمیز آشکار، انجمن را به تنهایی و با استفاده از چندین نام مستعار تخریب می کند. نام مستعار) برای ایجاد یک گروه ضد رهبر در اطراف خود و جذب بازدیدکنندگان دائمی از پروژه که از رفتار مدیریت ناراضی هستند. در پایان چنین رویدادهایی، تبلیغ محصولات یا ایده ها در انجمن غیرممکن می شود. این همان چیزی است که انجمن در ابتدا برای آن ایجاد شد.

روش های تأثیرگذاری بر شخص از طریق اینترنت به منظور مهندسی اجتماعی:

فیشینگ نوعی کلاهبرداری اینترنتی است که با هدف دستیابی به اطلاعات محرمانه کاربر - لاگین و رمز عبور انجام می شود. این عملیات از طریق ارسال انبوه ایمیل‌ها از طرف برندهای محبوب و همچنین پیام‌های شخصی در سرویس‌های مختلف (رامبلر)، بانک‌ها یا در شبکه‌های اجتماعی (فیسبوک) انجام می‌شود. نامه اغلب حاوی پیوندی به یک وب سایت است که ظاهراً از وب سایت واقعی قابل تشخیص نیست. پس از اینکه کاربر در یک صفحه جعلی قرار گرفت، مهندسان اجتماعی از تکنیک‌های مختلفی استفاده می‌کنند تا کاربر را تشویق کنند که لاگین و رمز عبور خود را در صفحه وارد کند، که از آن برای دسترسی به یک سایت خاص استفاده می‌کند که به او امکان دسترسی به حساب‌ها و حساب‌های بانکی را می‌دهد.

یک نوع کلاهبرداری خطرناک تر از فیشینگ، به اصطلاح فارمینگ است.

Pharming مکانیزمی برای هدایت مخفیانه کاربران به سایت های فیشینگ است. مهندس اجتماعی برنامه‌های مخرب خاصی را در رایانه‌های کاربران توزیع می‌کند که پس از راه‌اندازی روی رایانه، درخواست‌های سایت‌های ضروری را به سایت‌های جعلی هدایت می‌کنند. بنابراین، حمله بسیار محرمانه است و مشارکت کاربر به حداقل می رسد - کافی است منتظر بمانید تا کاربر تصمیم بگیرد از سایت های مورد علاقه مهندس اجتماعی بازدید کند.

نتیجه

مهندسی اجتماعی علمی برخاسته از جامعه‌شناسی است و مدعی است مجموعه‌ای از دانش است که فرآیند خلق، نوسازی و بازتولید واقعیت‌های اجتماعی جدید ("مصنوعی") را هدایت، نظم می‌دهد و بهینه می‌کند. به روشی خاص، علم جامعه‌شناسی را «تکمیل» می‌کند، آن را در مرحله تبدیل دانش علمی به مدل‌ها، پروژه‌ها و طرح‌های نهادهای اجتماعی، ارزش‌ها، هنجارها، الگوریتم‌های فعالیت، روابط، رفتار و غیره تکمیل می‌کند.

علیرغم اینکه مهندسی اجتماعی یک علم نسبتاً جوان است، آسیب زیادی به فرآیندهایی که در جامعه رخ می دهد وارد می کند.

ساده ترین روش های محافظت در برابر اثرات این علم مخرب عبارتند از:

جلب توجه مردم به مسائل ایمنی.

کاربران جدی بودن مشکل را درک می کنند و خط مشی امنیتی سیستم را می پذیرند.

ادبیات

1. R. Petersen Linux: The Complete Guide: trans. از انگلیسی - ویرایش سوم - K.: BHV Publishing Group, 2000. – 800 p.

2. از اینترنت Grodnev در خانه شما. - M.: "RIPOL CLASSIC"، 2001. -480 p.

3. M. V. Kuznetsov مهندسی اجتماعی و هک اجتماعی. سن پترزبورگ: BHV-Petersburg, 2007. - 368 p.: ill.

تکنیک های مهندسی اجتماعی مغز انسان یک هارد دیسک بزرگ است، مخزن حجم عظیمی از اطلاعات. و هم مالک و هم هر شخص دیگری می تواند از این اطلاعات استفاده کند. همانطور که می گویند، سخنگو برای جاسوس موهبت الهی است. برای اینکه بتوانید معنای موارد زیر را بیشتر درک کنید، حداقل باید با مبانی روانشناسی آشنا باشید.
مهندسی اجتماعی به ما اجازه می دهد "از مغزت استفاده کن"شخص دیگری با استفاده از روش های مختلف و کسب اطلاعات لازم از او.
ویکی می گوید: "مهندسی اجتماعی روشی برای کنترل اعمال انسان بدون استفاده از ابزار فنی است"

مهندسی اجتماعی- این یک نوع علم جوان است. روش ها و تکنیک های زیادی برای دستکاری آگاهی انسان وجود دارد. حق با کوین میتنیک بود که می گفت گاهی اوقات تقلب و به دست آوردن اطلاعات آسان تر از هک کردن دسترسی به آن است. کتاب "هنر فریب" را در اوقات فراغت خود بخوانید، آن را دوست خواهید داشت.
وجود دارد مهندسی اجتماعی معکوس، که با هدف به دست آوردن اطلاعات از خود قربانی است. با کمک آن، خود قربانی در مورد رمزهای عبور و داده های خود صحبت می کند.

هیچ ژست، لحن یا حالت چهره در اینترنت وجود ندارد. تمام ارتباطات بر اساس پیامک است. و موفقیت شما در یک موقعیت خاص بستگی به تأثیر پیام های شما بر مخاطب دارد. از چه تکنیک هایی می توان برای دستکاری مخفیانه آگاهی افراد استفاده کرد؟

تحریک کننده
به طور دقیق، این ترولینگ است. با خشم یک فرد، در بیشتر موارد با اطلاعات غیر انتقادی رفتار می کند. در این حالت می توانید اطلاعات لازم را تحمیل یا دریافت کنید.

عشق
این شاید موثرترین تکنیک باشد. در بیشتر موارد، این همان چیزی است که من استفاده کردم)). در حالت عشق، شخص کمی درک می کند و این دقیقاً همان چیزی است که دستکاری کننده به آن نیاز دارد.

بی تفاوتی
اثر بی تفاوتی دستکاری کننده به موضوع خاصی ایجاد می شود و طرف مقابل نیز سعی می کند او را متقاعد کند و از این طریق در دام افتاده و اطلاعات مورد نیاز شما را فاش کند.

هجوم بردن
موقعیت‌هایی اغلب زمانی به وجود می‌آید که ظاهراً دستکاری‌کننده برای رسیدن به جایی عجله دارد و دائماً به آن اشاره می‌کند، اما در عین حال او به طور هدفمند اطلاعات مورد نیاز خود را تبلیغ می‌کند.

سوء ظن
روش سوء ظن تا حدودی شبیه روش بی تفاوتی است. در مورد اول، قربانی خلاف آن را ثابت می‌کند، در مورد دوم، قربانی سعی می‌کند «ظن خود» را توجیه کند، در نتیجه متوجه نمی‌شود که تمام اطلاعات را در اختیار او قرار می‌دهد.

کنایه
شبیه به تکنیک تحریک. یک دستکاری کننده با کنایه کردن، فرد را عصبانی می کند. او به نوبه خود در خشم قادر به ارزیابی انتقادی اطلاعات نیست. در نتیجه، سوراخی در مانع روانی ایجاد می شود که دستکاری کننده از آن بهره می برد.

رک گویی
هنگامی که دستکاری کننده اطلاعات صریح به همکار می گوید، طرف مقابل نوعی رابطه اعتماد ایجاد می کند که به تضعیف سد محافظ دلالت دارد. این یک شکاف در دفاع روانی ایجاد می کند.

تکنیک هایی که در بالا توضیح داده شد، پتانسیل کامل مهندسی اجتماعی را به طور کامل از بین نمی برند. درباره این تکنیک ها و روش ها می توان صحبت کرد و درباره آنها صحبت کرد. پس از خواندن این تکنیک ها، باید متوجه شوید که نیازی به پیروی از دستورات همه ندارید. یاد بگیرید که خود و عصبانیت خود را کنترل کنید و سپس دفاع شما همیشه در سطح مناسب خواهد بود.
مال ما ادامه دارد منتظر مقالات جدید باشید))

مهندسی اجتماعی

مهندسی اجتماعیروشی برای دسترسی غیرمجاز به اطلاعات یا سیستم های ذخیره سازی اطلاعات بدون استفاده از ابزار فنی است. هدف اصلی مهندسان اجتماعی مانند سایر هکرها و کرکرها دسترسی به سیستم های امن به منظور سرقت اطلاعات، رمز عبور، اطلاعات کارت اعتباری و غیره است. تفاوت اصلی با هک ساده این است که در این حالت نه ماشین، بلکه اپراتور آن به عنوان هدف حمله انتخاب می شود. به همین دلیل است که همه روش‌ها و تکنیک‌های مهندسین اجتماعی مبتنی بر استفاده از نقاط ضعف عامل انسانی است که به شدت مخرب تلقی می‌شود، زیرا مهاجم اطلاعاتی را مثلاً از طریق یک مکالمه تلفنی معمولی یا با نفوذ در سازمانی تحت پوشش به دست می‌آورد. لباس کارمندش برای محافظت در برابر این نوع حمله، باید از رایج ترین انواع کلاهبرداری آگاه باشید، درک کنید که هکرها واقعاً چه می خواهند و یک سیاست امنیتی مناسب را به موقع سازماندهی کنید.

داستان

علیرغم این واقعیت که مفهوم "مهندسی اجتماعی" نسبتاً اخیراً ظاهر شده است، مردم در یک شکل یا شکل دیگر از تکنیک های آن از زمان های بسیار قدیم استفاده کرده اند. در یونان و روم باستان، افرادی مورد احترام قرار می‌گرفتند که می‌توانستند مخاطب خود را به طرق مختلف متقاعد کنند که آشکارا اشتباه می‌کند. آنها به نمایندگی از رهبران، مذاکرات دیپلماتیک انجام دادند. آنها با استفاده ماهرانه از دروغ، چاپلوسی و استدلال های سودمند، اغلب مسائلی را حل می کردند که حل آنها بدون کمک شمشیر غیرممکن به نظر می رسید. در میان جاسوسان، مهندسی اجتماعی همیشه سلاح اصلی بوده است. با جعل هویت شخص دیگری، عوامل KGB و CIA می توانستند به اسرار مخفی دولتی پی ببرند. در اوایل دهه 70، در دوران اوج فریبکاری، برخی هولیگان های تلفن با اپراتورهای مخابراتی تماس گرفتند و سعی کردند اطلاعات محرمانه را از کارکنان فنی شرکت استخراج کنند. پس از آزمایش های مختلف با ترفندها، تا پایان دهه 70، فریکرها تکنیک های دستکاری اپراتورهای آموزش ندیده را به قدری کامل کردند که به راحتی می توانستند تقریباً هر چیزی را که می خواستند از آنها بیاموزند.

اصول و فنون مهندسی اجتماعی

چندین تکنیک و انواع حملات متداول وجود دارد که مهندسان اجتماعی از آنها استفاده می کنند. همه این تکنیک‌ها بر اساس ویژگی‌های تصمیم‌گیری انسانی است که به عنوان سوگیری‌های شناختی (همچنین رجوع کنید به شناختی) شناخته می‌شوند. این سوگیری ها در ترکیب های مختلف برای ایجاد مناسب ترین استراتژی فریب در هر مورد خاص استفاده می شوند. اما وجه مشترک همه این روش ها گمراه کننده است، با این هدف که فرد را مجبور به انجام عملی کنند که به نفع او نیست و برای مهندس اجتماعی لازم است. مهاجم برای رسیدن به نتیجه مطلوب از تعدادی تاکتیک مختلف استفاده می کند: جعل هویت شخص دیگری، منحرف کردن توجه، افزایش تنش روانی و غیره. اهداف نهایی فریب نیز می تواند بسیار متنوع باشد.

تکنیک های مهندسی اجتماعی

بهانه دادن

بهانه سازی مجموعه ای از اقداماتی است که بر اساس یک سناریو (بهانه) خاص و از پیش آماده شده انجام می شود. این تکنیک شامل استفاده از وسایل صوتی مانند تلفن، اسکایپ و غیره است. برای به دست آوردن اطلاعات لازم به طور معمول، با ظاهر شدن به عنوان شخص ثالث یا تظاهر به اینکه شخصی به کمک نیاز دارد، مهاجم از قربانی می‌خواهد تا رمز عبور ارائه دهد یا وارد صفحه وب فیشینگ شود، در نتیجه هدف را فریب می‌دهد تا اقدام دلخواه خود را انجام دهد یا اطلاعات خاصی را ارائه دهد. در بیشتر موارد، این تکنیک به برخی داده های اولیه در مورد هدف حمله نیاز دارد (به عنوان مثال، داده های شخصی: تاریخ تولد، شماره تلفن، شماره حساب و غیره) رایج ترین استراتژی استفاده از پرس و جوهای کوچک در ابتدا و ذکر موارد است. اسامی افراد واقعی در سازمان بعداً، در طول مکالمه، مهاجم توضیح می دهد که به کمک نیاز دارد (بیشتر افراد قادر و مایل به انجام کارهایی هستند که مشکوک تلقی نمی شوند). هنگامی که اعتماد ایجاد شد، کلاهبردار ممکن است چیزی مهمتر و مهمتر را درخواست کند.

فیشینگ

نمونه ای از ایمیل فیشینگ ارسال شده از یک سرویس ایمیل با درخواست "فعال سازی مجدد حساب"

فیشینگ (به انگلیسی فیشینگ، از ماهیگیری - ماهیگیری، ماهیگیری) نوعی کلاهبرداری اینترنتی است که هدف آن دسترسی به اطلاعات محرمانه کاربر - لاگین و رمز عبور است. این شاید محبوب ترین طرح مهندسی اجتماعی امروزه باشد. حتی یک نشت عمده اطلاعات شخصی بدون موجی از ایمیل های فیشینگ به دنبال آن رخ نمی دهد. هدف از فیشینگ به دست آوردن غیرقانونی اطلاعات محرمانه است. بارزترین مثال از حمله فیشینگ، پیامی است که از طریق ایمیل برای قربانی ارسال می‌شود و به عنوان یک نامه رسمی - از طرف یک بانک یا سیستم پرداخت - جعل می‌شود که نیاز به تأیید اطلاعات خاص یا انجام اقدامات خاصی دارد. دلایل مختلفی می تواند وجود داشته باشد. این ممکن است از دست دادن اطلاعات، خرابی سیستم و غیره باشد. این ایمیل‌ها معمولاً حاوی پیوندی به یک صفحه وب جعلی است که دقیقاً شبیه صفحه رسمی است و حاوی فرمی است که از شما می‌خواهد اطلاعات حساس را وارد کنید.

یکی از معروف‌ترین نمونه‌های ایمیل‌های فیشینگ جهانی، یک کلاهبرداری در سال 2003 بود که در آن هزاران کاربر eBay ایمیل‌هایی دریافت کردند که ادعا می‌کردند حسابشان قفل شده است و برای باز کردن قفل آن باید اطلاعات کارت اعتباری خود را به‌روزرسانی کنند. همه این ایمیل ها حاوی پیوندی بودند که به یک صفحه وب جعلی که دقیقاً شبیه به صفحه رسمی بود، منتهی می شد. به گفته کارشناسان، ضرر و زیان حاصل از این کلاهبرداری بالغ بر چند صد هزار دلار است.

نحوه تشخیص حمله فیشینگ

تقریباً هر روز طرح های جدید کلاهبرداری ظاهر می شود. بیشتر مردم می توانند با آشنایی با برخی از ویژگی های متمایز پیام های جعلی، به تنهایی یاد بگیرند که پیام های جعلی را تشخیص دهند. اغلب پیام های فیشینگ شامل موارد زیر است:

• اطلاعاتی که باعث نگرانی یا تهدید می شود، مانند بسته شدن حساب های بانکی کاربران.
• وعده جوایز نقدی هنگفت با تلاش کم یا بدون تلاش.
• درخواست کمک های داوطلبانه از طرف سازمان های خیریه.
• اشتباهات گرامری، نگارشی و املایی.

طرح های فیشینگ محبوب

محبوب ترین کلاهبرداری های فیشینگ در زیر توضیح داده شده است.

کلاهبرداری با استفاده از مارک های شرکت های معروف

این کلاهبرداری های فیشینگ از ایمیل های جعلی یا وب سایت های حاوی نام شرکت های بزرگ یا معروف استفاده می کنند. پیام‌ها ممکن است شامل تبریک در مورد برنده شدن در رقابتی باشد که توسط شرکت برگزار می‌شود، یا در مورد نیاز فوری به تغییر اعتبار یا رمز عبور شما. طرح های تقلبی مشابه از طرف پشتیبانی فنی نیز می تواند از طریق تلفن انجام شود.

قرعه کشی های تقلبی

کاربر ممکن است پیام هایی دریافت کند که نشان می دهد او در قرعه کشی که توسط برخی از شرکت های معروف انجام شده است، برنده شده است. در ظاهر، این پیام ها ممکن است به نظر برسد که گویی از طرف یک کارمند ارشد شرکت ارسال شده است.

آنتی ویروس و برنامه های امنیتی نادرست

IVR یا فیشینگ تلفنی

اصل عملکرد سیستم های تلفن گویا

Qui در مورد موجود

Quid pro quo مخففی است که معمولاً در انگلیسی به معنای "quid pro quo" استفاده می شود. این نوع حمله شامل یک مهاجم است که با یک تلفن شرکتی با یک شرکت تماس می گیرد. در بیشتر موارد، مهاجم به عنوان یک کارمند پشتیبانی فنی ظاهر می شود و از شما می پرسد که آیا مشکل فنی وجود دارد یا خیر. در فرآیند "حل" مشکلات فنی، کلاهبردار هدف را "مجبور" می کند تا دستوراتی را وارد کند که به هکر اجازه می دهد نرم افزارهای مخرب را روی دستگاه کاربر اجرا یا نصب کند.

اسب تروا

گاهی اوقات استفاده از تروجان ها تنها بخشی از یک حمله چند مرحله ای برنامه ریزی شده به رایانه ها، شبکه ها یا منابع خاصی است.

انواع تروجان ها

تروجان ها اغلب برای اهداف مخرب توسعه داده می شوند. یک طبقه بندی وجود دارد که در آن آنها بر اساس نحوه نفوذ تروجان ها به سیستم و آسیب رساندن به آن به دسته هایی تقسیم می شوند. 5 نوع اصلی وجود دارد:

• دسترسی از راه دور
• تخریب داده ها
• لودر
• سرور
• غیرفعال کننده برنامه امنیتی

اهداف

هدف برنامه تروجان می تواند این باشد:

• آپلود و دانلود فایل ها
• کپی کردن پیوندهای نادرست منجر به وب سایت های جعلی، اتاق های گفتگو یا سایر سایت های ثبت نام
• تداخل در کار کاربر
• سرقت داده های ارزشی یا اسرار، از جمله اطلاعات احراز هویت، برای دسترسی غیرمجاز به منابع، به دست آوردن جزئیات حساب های بانکی که می تواند برای مقاصد مجرمانه استفاده شود.
• توزیع سایر بدافزارها مانند ویروس ها
• از بین بردن داده ها (پاک کردن یا بازنویسی داده ها روی دیسک، آسیب دیدن فایل ها) و تجهیزات، غیرفعال کردن یا خرابی سرویس سیستم های کامپیوتری، شبکه ها
• جمع آوری آدرس های ایمیل و استفاده از آنها برای ارسال هرزنامه
• جاسوسی از کاربر و انتقال مخفیانه اطلاعات به اشخاص ثالث، مانند عادات مرور
• ثبت با زدن کلید برای سرقت اطلاعاتی مانند رمز عبور و شماره کارت اعتباری
• غیرفعال کردن یا تداخل در عملکرد برنامه های ضد ویروس و فایروال ها

مبدل کردن

بسیاری از برنامه های تروجان بدون اطلاع آنها بر روی رایانه های کاربران قرار دارند. گاهی اوقات تروجان ها در رجیستری ثبت می شوند که منجر به راه اندازی خودکار آنها هنگام شروع سیستم عامل می شود. تروجان ها همچنین می توانند با فایل های قانونی ترکیب شوند. هنگامی که کاربر چنین فایلی را باز می کند یا برنامه ای را راه اندازی می کند، تروجان نیز همراه با آن راه اندازی می شود.

تروجان چگونه کار می کند

تروجان ها معمولا از دو قسمت کلاینت و سرور تشکیل شده اند. سرور بر روی ماشین قربانی اجرا می شود و اتصالات مشتری را نظارت می کند. در حالی که سرور در حال اجرا است، یک پورت یا چندین پورت را برای اتصال از مشتری نظارت می کند. برای اینکه مهاجم بتواند به سرور متصل شود، باید آدرس IP ماشینی را که روی آن در حال اجراست بداند. برخی از تروجان ها آدرس IP ماشین قربانی را از طریق ایمیل یا روش های دیگر به طرف مهاجم ارسال می کنند. به محض اینکه اتصال به سرور اتفاق می افتد، Client می تواند دستوراتی را به آن ارسال کند که سرور آنها را اجرا می کند. در حال حاضر، به لطف فناوری NAT، دسترسی به اکثر رایانه ها از طریق آدرس IP خارجی آنها غیرممکن است. به همین دلیل است که امروزه بسیاری از تروجان ها به جای اینکه خود مهاجم سعی در اتصال به قربانی داشته باشد، به رایانه مهاجم که وظیفه دریافت اتصالات اتصال را بر عهده دارد، متصل می شوند. بسیاری از تروجان های مدرن نیز می توانند به راحتی فایروال های رایانه های کاربر را دور بزنند.

جمع آوری اطلاعات از منابع باز

استفاده از تکنیک های مهندسی اجتماعی نه تنها به دانش روانشناسی نیاز دارد، بلکه به توانایی جمع آوری اطلاعات لازم در مورد یک شخص نیز نیاز دارد. یک روش نسبتاً جدید برای به دست آوردن چنین اطلاعاتی، جمع آوری آن از منابع باز، عمدتاً از شبکه های اجتماعی بود. کاربران توجه کافی به مسائل امنیتی ندارند و داده‌ها و اطلاعاتی را که می‌تواند توسط مهاجم استفاده شود را در اختیار عموم قرار می‌دهند.

یک مثال گویا داستان ربوده شدن پسر اوگنی کسپرسکی است. در جریان تحقیقات مشخص شد که مجرمان برنامه روزانه و مسیرهای این نوجوان را از طریق پست های وی در یک صفحه شبکه اجتماعی یاد گرفته اند.

حتی با محدود کردن دسترسی به اطلاعات در صفحه شبکه اجتماعی خود، کاربر نمی تواند مطمئن باشد که هرگز به دست کلاهبرداران نیفتد. به عنوان مثال، یک محقق برزیلی امنیت رایانه نشان داد که با استفاده از تکنیک های مهندسی اجتماعی می توان در عرض 24 ساعت با هر کاربر فیس بوک دوست شد. در طول آزمایش، محقق نلسون نووئس نتو یک "قربانی" را انتخاب کرد و یک حساب جعلی از فردی از محیط اطراف خود - رئیس او - ایجاد کرد. نتو ابتدا درخواست دوستی را برای دوستان دوستان رئیس قربانی و سپس مستقیماً برای دوستانش ارسال کرد. پس از 7.5 ساعت، محقق "قربانی" را گرفت تا او را به عنوان دوست اضافه کند. بنابراین، محقق به اطلاعات شخصی کاربر که فقط با دوستان خود به اشتراک می‌گذاشت، دسترسی پیدا کرد.

سیب جاده

این روش حمله اقتباسی از اسب تروا است و شامل استفاده از رسانه فیزیکی است. مهاجم "آلوده" یا فلاش را در مکانی می کارد که حامل به راحتی پیدا شود (دستشویی، آسانسور، پارکینگ). رسانه‌ها برای اینکه رسمی به نظر برسند جعلی هستند و با امضایی همراه هستند که برای برانگیختن کنجکاوی طراحی شده است. برای مثال، یک کلاهبردار می‌تواند نامه‌ای مجهز به آرم شرکت و پیوندی به وب‌سایت رسمی شرکت با برچسب «حقوق‌های اجرایی» بگذارد. دیسک را می توان در طبقه آسانسور یا در لابی گذاشت. ممکن است یک کارمند ناخودآگاه دیسک را بردارد و آن را در کامپیوتر قرار دهد تا کنجکاوی خود را برآورده کند.

مهندسی اجتماعی معکوس

مهندسی اجتماعی معکوس زمانی به آن اطلاق می شود که خود قربانی اطلاعات مورد نیاز خود را به مهاجم ارائه دهد. این ممکن است پوچ به نظر برسد، اما در واقع، افراد دارای اقتدار در حوزه فنی یا اجتماعی اغلب شناسه های کاربری، رمز عبور و سایر اطلاعات شخصی حساس را دریافت می کنند، فقط به این دلیل که هیچ کس درستی آنها را زیر سوال نمی برد. به عنوان مثال، کارکنان پشتیبانی هرگز از کاربران شناسه یا رمز عبور نمی خواهند. آنها برای حل مشکلات به این اطلاعات نیاز ندارند. با این حال، بسیاری از کاربران به طور داوطلبانه این اطلاعات محرمانه را برای حل سریع مشکلات ارائه می دهند. معلوم می شود که مهاجم حتی نیازی به سوال در مورد آن ندارد.

نمونه ای از مهندسی اجتماعی معکوس، سناریوی ساده زیر است. مهاجمی که با قربانی کار می کند نام یک فایل را در رایانه قربانی تغییر می دهد یا آن را به دایرکتوری دیگری منتقل می کند. وقتی قربانی متوجه گم شدن فایل می شود، مهاجم ادعا می کند که می تواند همه چیز را برطرف کند. قربانی که می‌خواهد کار را سریع‌تر تکمیل کند یا از مجازات برای از دست دادن اطلاعات اجتناب کند، با این پیشنهاد موافقت می‌کند. مهاجم ادعا می کند که مشکل تنها با ورود به سیستم با اعتبار قربانی قابل حل است. اکنون قربانی از مهاجم می خواهد که با نام او وارد سیستم شود تا سعی کند فایل را بازیابی کند. مهاجم با اکراه موافقت می کند و فایل را بازیابی می کند و در این فرآیند شناسه و رمز عبور قربانی را می دزدد. پس از انجام موفقیت آمیز حمله، او حتی شهرت خود را بهبود بخشید، و کاملاً ممکن است که پس از آن سایر همکاران برای کمک به او مراجعه کنند. این رویکرد با رویه های معمول برای ارائه خدمات پشتیبانی تداخلی ندارد و دستگیری مهاجم را پیچیده می کند.

مهندسان اجتماعی معروف

کوین میتنیک

کوین میتنیک هکر و مشاور امنیتی مشهور جهان

یکی از مشهورترین مهندسان اجتماعی تاریخ کوین میتنیک است. میتنیک به عنوان یک هکر رایانه و مشاور امنیتی مشهور جهان، همچنین نویسنده کتاب‌های متعددی در مورد امنیت رایانه است که عمدتاً به مهندسی اجتماعی و روش‌های تأثیر روانی بر افراد اختصاص دارد. در سال 2002، کتاب "هنر فریب" به نویسندگی او منتشر شد که در مورد داستان های واقعی استفاده از مهندسی اجتماعی صحبت می کند. کوین میتنیک استدلال کرد که بدست آوردن رمز عبور با فریب بسیار آسان تر از تلاش برای هک کردن یک سیستم امنیتی است.

برادران بدیر

علیرغم این واقعیت که برادران موندر، مشید و شادی بدیر از بدو تولد نابینا بودند، آنها در دهه 1990 موفق شدند چندین طرح کلاهبرداری بزرگ را در اسرائیل با استفاده از مهندسی اجتماعی و جعل صوتی انجام دهند. در یک مصاحبه تلویزیونی گفتند: «فقط کسانی که از تلفن، برق و لپ‌تاپ استفاده نمی‌کنند، در برابر حملات شبکه کاملاً بیمه می‌شوند». برادران قبلاً به دلیل شنیدن و رمزگشایی صداهای تداخل مخفی ارائه دهندگان تلفن به زندان رفته اند. آنها با هزینه شخص دیگری تماس های طولانی با خارج از کشور برقرار کردند و کامپیوترهای ارائه دهندگان تلفن همراه را با صدای تداخل مجدد برنامه ریزی کردند.

فرشته فرشته

جلد مجله Phrack

هکر معروف کامپیوتر و مشاور امنیتی مجله اینترنتی معروف انگلیسی زبان "Phrack Magazine"، Archangel با به دست آوردن رمز عبور از تعداد زیادی از سیستم های مختلف در مدت زمان کوتاه، قدرت تکنیک های مهندسی اجتماعی را به نمایش گذاشت و چندین صد قربانی را فریب داد.

دیگر

مهندسان اجتماعی کمتر شناخته شده عبارتند از: فرانک آبگنال، دیوید بنن، پیتر فاستر و استفان جی راسل.

راه های محافظت در برابر مهندسی اجتماعی

برای انجام حملات خود، مهاجمانی که از تکنیک های مهندسی اجتماعی استفاده می کنند، اغلب از زودباوری، تنبلی، ادب و حتی اشتیاق کاربران و کارمندان سازمان ها سوء استفاده می کنند. دفاع در برابر چنین حملاتی آسان نیست زیرا قربانیان ممکن است ندانند که فریب خورده اند. مهاجمان مهندسی اجتماعی به طور کلی اهداف مشابهی با هر مهاجم دیگری دارند: آنها پول، اطلاعات یا منابع IT شرکت قربانی می خواهند. برای محافظت در برابر چنین حملاتی، باید انواع آنها را مطالعه کنید، متوجه شوید که مهاجم به چه چیزی نیاز دارد و آسیبی که می تواند به سازمان وارد شود را ارزیابی کنید. با تمام این اطلاعات، می توانید اقدامات حفاظتی لازم را در خط مشی امنیتی خود ادغام کنید.

طبقه بندی تهدید

تهدیدات ایمیلی

بسیاری از کارمندان روزانه ده ها و حتی صدها ایمیل را از طریق سیستم های ایمیل شرکتی و خصوصی دریافت می کنند. البته، با چنین جریانی از مکاتبات، توجه لازم به هر حرف غیرممکن است. این امر انجام حملات را بسیار آسان تر می کند. اکثر کاربران سیستم‌های پست الکترونیکی نسبت به پردازش چنین پیام‌هایی آرامش دارند و این کار را به عنوان آنالوگ الکترونیکی انتقال اوراق از یک پوشه به پوشه دیگر می‌دانند. هنگامی که یک مهاجم یک درخواست ساده از طریق پست ارسال می کند، قربانی او اغلب بدون فکر کردن به اعمال خود، کاری را که از او خواسته می شود انجام می دهد. ایمیل ها ممکن است حاوی هایپرلینک هایی باشند که کارکنان را به نقض امنیت شرکت ترغیب می کند. چنین پیوندهایی همیشه به صفحات ذکر شده منتهی نمی شوند.

بیشتر اقدامات امنیتی با هدف جلوگیری از دسترسی کاربران غیرمجاز به منابع شرکت انجام می شود. اگر کاربر با کلیک بر روی پیوند ارسال شده توسط مهاجم، یک تروجان یا ویروس را در شبکه شرکت آپلود کند، این کار دور زدن بسیاری از انواع حفاظت را آسان می کند. این هایپرلینک همچنین ممکن است به سایتی با برنامه های بازشو اشاره کند که درخواست داده یا ارائه کمک دارند، مانند سایر انواع کلاهبرداری، موثرترین راه برای محافظت از خود در برابر حملات مخرب این است که نسبت به ایمیل های دریافتی غیرمنتظره شک داشته باشید. برای ترویج این رویکرد در سراسر سازمان خود، خط مشی امنیتی شما باید شامل دستورالعمل های خاصی برای استفاده از ایمیل باشد که عناصر زیر را پوشش می دهد.

• ضمیمه های اسناد.
• هایپرلینک ها در اسناد
• درخواست اطلاعات شخصی یا شرکتی که از داخل شرکت می آید.
• درخواست برای اطلاعات شخصی یا شرکتی که از خارج از شرکت نشات می گیرد.

تهدیدات مرتبط با استفاده از خدمات پیام رسانی فوری

پیام‌رسانی فوری روشی نسبتاً جدید برای انتقال داده است، اما در حال حاضر محبوبیت زیادی در بین کاربران شرکت‌ها به دست آورده است. با توجه به سرعت و سهولت استفاده، این روش ارتباطی فرصت های گسترده ای را برای حملات مختلف باز می کند: کاربران آن را به عنوان یک اتصال تلفنی در نظر می گیرند و آن را با تهدیدات نرم افزاری احتمالی مرتبط نمی دانند. دو نوع اصلی حملات مبتنی بر استفاده از سرویس‌های پیام‌رسانی فوری عبارتند از گنجاندن پیوند به یک برنامه مخرب در بدنه پیام و تحویل خود برنامه. البته پیام رسانی فوری نیز یکی از راه های درخواست اطلاعات است. یکی از ویژگی های سرویس های پیام فوری ماهیت غیر رسمی ارتباط است. این امر همراه با توانایی تعیین هر نامی برای خود، جعل هویت شخص دیگری را برای مهاجم آسان‌تر می‌کند و اگر شرکتی قصد دارد از فرصت‌های کاهش هزینه‌ها و سایر مزایا استفاده کند، شانس انجام موفقیت‌آمیز حمله را افزایش می‌دهد ارائه شده توسط پیام های فوری، لازم است در سیاست های امنیتی شرکت، مکانیسم های حفاظتی در برابر تهدیدات مربوطه لحاظ شود. برای به دست آوردن کنترل قابل اعتماد بر پیام های فوری در یک محیط سازمانی، چندین الزام وجود دارد که باید رعایت شوند.

• یک پلت فرم پیام فوری را انتخاب کنید.
• تنظیمات امنیتی را که هنگام استقرار سرویس پیام رسانی فوری مشخص شده اند، تعیین کنید.
• تعیین اصول برای برقراری تماس های جدید
• استانداردهای رمز عبور را تنظیم کنید
• توصیه هایی برای استفاده از سرویس پیام رسانی فوری ارائه دهید.

مدل امنیتی چند سطحی

برای محافظت از شرکت های بزرگ و کارکنان آنها در برابر کلاهبرداران با استفاده از تکنیک های مهندسی اجتماعی، اغلب از سیستم های امنیتی چند سطحی پیچیده استفاده می شود. برخی از ویژگی ها و مسئولیت های چنین سیستم هایی در زیر ذکر شده است.

• امنیت فیزیکی. موانعی که دسترسی به ساختمان های شرکت و منابع شرکت را محدود می کند. فراموش نکنید که منابع شرکت، به عنوان مثال، ظروف زباله واقع در خارج از قلمرو شرکت، از نظر فیزیکی محافظت نمی شوند.
• داده ها. اطلاعات تجاری: حساب‌ها، نامه‌ها و غیره. هنگام تجزیه و تحلیل تهدیدات و برنامه‌ریزی اقدامات برای محافظت از داده‌ها، باید اصول مدیریت کاغذ و رسانه‌های داده الکترونیکی را تعیین کنید.
• برنامه های کاربردی. برنامه های اجرا شده توسط کاربر برای محافظت از محیط خود، باید در نظر بگیرید که چگونه مهاجمان می توانند از برنامه های ایمیل، پیام های فوری و سایر برنامه ها سوء استفاده کنند.
• کامپیوترها سرورها و سیستم های مشتری مورد استفاده در سازمان. با تعیین دستورالعمل‌های سختگیرانه در مورد برنامه‌هایی که می‌توان در رایانه‌های شرکتی استفاده کرد، از کاربران در برابر حملات مستقیم به رایانه‌هایشان محافظت می‌کند.
• شبکه داخلی. شبکه ای که از طریق آن سیستم های شرکتی تعامل دارند. می تواند محلی، جهانی یا بی سیم باشد. در سال‌های اخیر، به دلیل محبوبیت روزافزون روش‌های کار از راه دور، مرزهای شبکه‌های داخلی تا حد زیادی خودسرانه شده‌اند. به کارمندان شرکت باید گفته شود که برای عملکرد ایمن در هر محیط شبکه چه کاری باید انجام دهند.
• محیط شبکه مرز بین شبکه های داخلی یک شرکت و شبکه های خارجی، مانند اینترنت یا شبکه های سازمان های همکار.

مسئوليت

بهانه گیری و ضبط مکالمات تلفنی

هیولت پاکارد

پاتریشیا دان، رئیس شرکت هیولت پاکارد، گفت که یک شرکت خصوصی را برای شناسایی آن دسته از کارمندان شرکت که مسئول افشای اطلاعات محرمانه بودند، استخدام کرد. بعداً رئیس شرکت اعتراف کرد که از تمرین بهانه‌سازی و سایر تکنیک‌های مهندسی اجتماعی در طول فرآیند تحقیق استفاده شده است.

یادداشت

همچنین ببینید

پیوندها

• SocialWare.ru – پروژه خصوصی مهندسی اجتماعی
• - مهندسی اجتماعی: مبانی بخش اول: تاکتیک های هکر
• – محافظت در برابر حملات فیشینگ.
• مبانی مهندسی اجتماعی - Securityfocus.com.
• مهندسی اجتماعی، راه USB - DarkReading.com.
• آیا مهندسی اجتماعی باید بخشی از تست نفوذ باشد؟ – darknet.org.uk.
• سوابق تلفنی "حمایت از مصرف کنندگان"، مرکز اطلاعات حریم خصوصی الکترونیکی کمیته بازرگانی، علم و حمل و نقل ایالات متحده .
• پلاتکین، هال. یادداشت به مطبوعات: بهانه نویسی از قبل غیرقانونی است.
• استریپتیز برای رمزهای عبور - MSNBC.MSN.com.
• Social-Engineer.org – social-engineer.org.

در این مقاله به مفهوم "مهندسی اجتماعی" خواهیم پرداخت. در اینجا به موارد کلی نگاه خواهیم کرد همچنین در مورد اینکه چه کسی بنیانگذار این مفهوم بوده است. بیایید به طور جداگانه در مورد روش های اصلی مهندسی اجتماعی که توسط مهاجمان استفاده می شود صحبت کنیم.

معرفی

روش هایی که اصلاح رفتار انسان و مدیریت فعالیت های او را بدون استفاده از مجموعه ای فنی از ابزار ممکن می سازد، مفهوم کلی مهندسی اجتماعی را تشکیل می دهد. همه روش ها بر این اساس استوار است که عامل انسانی مخرب ترین نقطه ضعف هر سیستمی است. غالباً این مفهوم در سطح فعالیت غیرقانونی در نظر گرفته می شود که از طریق آن یک مجرم مرتکب عملی می شود که هدف آن به دست آوردن اطلاعات از یک قربانی-سوژه با ابزارهای غیر صادقانه است. به عنوان مثال، این می تواند نوع خاصی از دستکاری باشد. با این حال، مهندسی اجتماعی نیز توسط انسان ها در فعالیت های مشروع استفاده می شود. امروزه بیشتر برای دسترسی به منابعی با اطلاعات طبقه بندی شده یا ارزشمند استفاده می شود.

موسس

بنیانگذار مهندسی اجتماعی کوین میتنیک است. با این حال، خود این مفهوم از جامعه شناسی به ما رسید. مجموعه ای کلی از رویکردهای مورد استفاده توسط رسانه های اجتماعی کاربردی را نشان می دهد. تمرکز علوم بر تغییر ساختار سازمانی است که قادر به تعیین رفتار انسان و اعمال کنترل بر آن است. کوین میتنیک را می توان بنیانگذار این علم دانست، زیرا او بود که رسانه های اجتماعی را محبوب کرد. مهندسی در دهه اول قرن بیست و یکم خود کوین قبلاً یک هکر بود و طیف گسترده ای از پایگاه های داده را هدف قرار می داد. او استدلال کرد که عامل انسانی آسیب پذیرترین نقطه یک سیستم با هر سطح از پیچیدگی و سازمان است.

اگر در مورد روش های مهندسی اجتماعی به عنوان راهی برای به دست آوردن حقوق (معمولا غیرقانونی) برای استفاده از داده های محرمانه صحبت کنیم، می توان گفت که آنها برای مدت طولانی شناخته شده اند. با این حال، این K. Mitnik بود که توانست اهمیت معنی و ویژگی های کاربرد آنها را منتقل کند.

فیشینگ و پیوندهای غیر موجود

هر تکنیک مهندسی اجتماعی مبتنی بر وجود تحریفات شناختی است. خطاهای رفتاری تبدیل به یک "سلاح" در دستان یک مهندس ماهر می شود که در آینده می تواند حمله ای را با هدف به دست آوردن داده های مهم ایجاد کند. روش های مهندسی اجتماعی شامل فیشینگ و لینک های غیر موجود می باشد.

فیشینگ یک کلاهبرداری اینترنتی است که برای به دست آوردن اطلاعات شخصی، به عنوان مثال، ورود و رمز عبور طراحی شده است.

پیوند ناموجود - استفاده از پیوندی که گیرنده را با مزایای خاصی جذب می کند که می توان با کلیک بر روی آن و بازدید از یک سایت خاص به دست آورد. اغلب آنها از نام شرکت های بزرگ استفاده می کنند و نام آنها را اصلاح می کنند. قربانی با کلیک بر روی پیوند، اطلاعات شخصی خود را "داوطلبانه" به مهاجم منتقل می کند.

روش های استفاده از مارک ها، آنتی ویروس های معیوب و قرعه کشی های تقلبی

مهندسی اجتماعی همچنین از روش های تقلب با استفاده از مارک های معروف، آنتی ویروس های معیوب و قرعه کشی های جعلی استفاده می کند.

«کلاهبرداری و برندها» یک روش فریب است که به بخش فیشینگ نیز تعلق دارد. این شامل ایمیل ها و وب سایت هایی می شود که حاوی نام یک شرکت بزرگ و/یا «تبلیغ شده» است. پیام هایی از صفحات آنها ارسال می شود که شما را از پیروزی شما در یک رقابت خاص مطلع می کند. در مرحله بعد، باید اطلاعات مهم حساب را وارد کرده و آن را سرقت کنید. این شکل از کلاهبرداری را می توان از طریق تلفن نیز انجام داد.

قرعه کشی جعلی روشی است که در آن پیامی با متنی مبنی بر برنده شدن در قرعه کشی به قربانی ارسال می شود. اغلب، این اعلان با استفاده از نام شرکت های بزرگ پنهان می شود.

آنتی ویروس های دروغین کلاهبرداری نرم افزاری هستند. از برنامه هایی استفاده می کند که شبیه آنتی ویروس هستند. با این حال، در واقعیت، آنها منجر به تولید اعلان‌های نادرست در مورد یک تهدید خاص می‌شوند. آنها همچنین سعی می کنند کاربران را به حوزه معاملات جذب کنند.

ویشینگ، فحش دادن و بهانه جویی

هنگامی که در مورد مهندسی اجتماعی برای مبتدیان صحبت می شود، لازم به ذکر است که ویشینگ، phreaking و بهانه سازی نیز وجود دارد.

ویشینگ نوعی فریب است که از شبکه های تلفنی استفاده می کند. از پیام‌های صوتی از پیش ضبط‌شده استفاده می‌کند که هدف آن بازآفرینی «تماس رسمی» یک ساختار بانکی یا هر سیستم تلفن گویا دیگری است. اغلب از شما خواسته می شود که برای تایید هر گونه اطلاعات، یک لاگین و/یا رمز عبور وارد کنید. به عبارت دیگر، سیستم از کاربر می خواهد که با استفاده از کدهای پین یا رمزهای عبور احراز هویت کند.

Phreaking شکل دیگری از فریب تلفنی است. این یک سیستم هک با استفاده از دستکاری صدا و شماره گیری صدا است.

بهانه سازی حمله ای است با استفاده از یک طرح از پیش اندیشیده شده که ماهیت آن ارائه آن به موضوع دیگری است. یک روش بسیار دشوار برای فریب، زیرا نیاز به آماده سازی دقیق دارد.

Quid-pro-quo و روش "سیب جاده".

تئوری مهندسی اجتماعی یک پایگاه داده چند وجهی است که هم روش های فریب و دستکاری و هم راه های مبارزه با آنها را در بر می گیرد. وظیفه اصلی مهاجمان، به عنوان یک قاعده، استخراج اطلاعات ارزشمند است.

انواع دیگر کلاهبرداری ها عبارتند از: quid-pro-quo، روش «سیب جاده ای»، گشت و گذار در شانه، استفاده از منابع باز و رسانه های اجتماعی معکوس. مهندسی.

Quid-pro-quo (از لاتین - "این برای این") تلاشی برای استخراج اطلاعات از یک شرکت یا شرکت است. این از طریق تماس تلفنی با او یا ارسال پیام از طریق ایمیل اتفاق می افتد. اغلب مهاجمان خود را کادر فنی معرفی می کنند. پشتیبانی که وجود یک مشکل خاص در محل کار کارمند را گزارش می کند. سپس راه هایی را برای از بین بردن آن پیشنهاد می کنند، مثلاً با نصب نرم افزار. معلوم می شود که نرم افزار معیوب است و به پیشبرد جرم کمک می کند.

سیب جاده ای یک روش حمله است که بر اساس ایده اسب تروا است. ماهیت آن در استفاده از رسانه های فیزیکی و جایگزینی اطلاعات نهفته است. به عنوان مثال، آنها می توانند یک کارت حافظه با یک "خوب" خاص ارائه کنند که توجه قربانی را به خود جلب کند، آنها را وادار به باز کردن و استفاده از فایل یا دنبال کردن پیوندهای مشخص شده در اسناد درایو فلش کند. شی «سیب جاده» در مکان‌های اجتماعی رها می‌شود و منتظر می‌ماند تا یک نهاد نقشه مهاجم را اجرا کند.

جمع آوری و جستجوی اطلاعات از منابع باز کلاهبرداری است که در آن به دست آوردن داده ها بر اساس روش های روانشناختی، توانایی توجه به چیزهای کوچک و تجزیه و تحلیل داده های موجود، به عنوان مثال، صفحات از یک شبکه اجتماعی است. این یک روش نسبتاً جدید مهندسی اجتماعی است.

موج سواری شانه و معکوس اجتماعی. مهندسی

مفهوم "سرفینگ شانه" خود را به معنای واقعی تماشای یک سوژه به صورت زنده تعریف می کند. با این نوع داده کاوی، مهاجم به مکان های عمومی، به عنوان مثال، یک کافه، فرودگاه، ایستگاه قطار می رود و افراد را زیر نظر می گیرد.

این روش را نباید دست کم گرفت، زیرا بسیاری از بررسی ها و مطالعات نشان می دهد که یک فرد با دقت می تواند اطلاعات محرمانه زیادی را صرفاً با رعایت نکات به دست آورد.

مهندسی اجتماعی (به عنوان سطحی از دانش جامعه شناختی) وسیله ای برای "گرفتن" داده ها است. راه هایی برای به دست آوردن داده ها وجود دارد که در آن خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. با این حال، می تواند به نفع جامعه نیز باشد.

اجتماعی معکوس مهندسی یکی دیگر از روش های این علم است. استفاده از این اصطلاح در موردی که در بالا ذکر کردیم مناسب می شود: خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. این بیانیه را نباید پوچ تلقی کرد. واقعیت این است که افراد دارای اقتدار در زمینه های خاصی از فعالیت اغلب به صلاحدید خود سوژه به داده های شناسایی دسترسی پیدا می کنند. اساس در اینجا اعتماد است.

مهم به یاد داشته باشید! به عنوان مثال، کارکنان پشتیبانی هرگز از کاربر رمز عبور نمی خواهند.

آگاهی و حفاظت

آموزش مهندسی اجتماعی می تواند توسط یک فرد هم بر اساس ابتکار شخصی و هم بر اساس دستورالعمل هایی که در برنامه های آموزشی ویژه استفاده می شود انجام شود.

مجرمان می توانند از انواع مختلفی از فریب استفاده کنند، از دستکاری گرفته تا تنبلی، زودباوری، مهربانی کاربر و غیره. محافظت از خود در برابر این نوع حمله بسیار دشوار است، که به دلیل عدم آگاهی قربانی از اینکه او (او) ) فریب خورده است. شرکت ها و شرکت های مختلف اغلب اطلاعات عمومی را برای محافظت از داده های خود در این سطح از خطر ارزیابی می کنند. در مرحله بعد، اقدامات حفاظتی لازم در سیاست امنیتی ادغام می شود.

مثال ها

نمونه ای از مهندسی اجتماعی (عمل آن) در زمینه پست های فیشینگ جهانی رویدادی است که در سال 2003 رخ داد. در جریان این کلاهبرداری، ایمیل هایی برای کاربران eBay ارسال شد. آنها ادعا کردند که حساب های متعلق به آنها مسدود شده است. برای لغو مسدود کردن، باید اطلاعات حساب خود را دوباره وارد کنید. با این حال، نامه ها جعلی بود. آنها به صفحه ای مشابه با صفحه رسمی، اما جعلی هدایت شدند. بر اساس برآوردهای کارشناسان، ضرر چندان قابل توجهی نبود (کمتر از یک میلیون دلار).

تعریف مسئولیت

مهندسی اجتماعی ممکن است در برخی موارد مجازات شود. در تعدادی از کشورها مانند ایالات متحده آمریکا، بهانه جویی (فریب با جعل هویت شخص دیگری) با تجاوز به حریم خصوصی تلقی می شود. با این حال، در صورتی که اطلاعات به دست آمده در حین بهانه سازی از نظر موضوع یا سازمان محرمانه باشد، ممکن است مجازات قانونی داشته باشد. ضبط مکالمه تلفنی (به عنوان روش مهندسی اجتماعی) نیز در قانون پیش بینی شده است و مستلزم پرداخت 250000 دلار جریمه یا حبس تا ده سال برای افراد است. افراد نهادها ملزم به پرداخت 500000 دلار هستند. مهلت یکسان باقی می ماند