Parte 1 (suddivisa in parti a causa della dimensione dell'articolo. Appena ottengo 50 visualizzazioni, pubblico la seconda).
Molti veri hacker che sono costantemente impegnati nell'hacking hanno sempre in magazzino un paio di trucchi SI, perché dove è impossibile trovare una vulnerabilità nel codice, spesso può essere trovata nella mente del servizio di supporto o del proprietario di un e-mail. -mail, ICQ o sito web...
Dalla teoria alla pratica
Hai già letto cos'è l'ingegneria sociale in uno dei numeri precedenti della tua rivista preferita, quindi possiamo tranquillamente affermare che l'hardware è stato padroneggiato con successo. Adesso propongo di fare un giro di pratica.
Gli ingegneri sociali sono persone con cui è molto piacevole parlare: colte, amichevoli, con un grande senso dell'umorismo. Hanno una mente incredibilmente flessibile, un pensiero innovativo e molte idee su come raggiungere in modo più efficace i propri obiettivi. È stato a loro che mi sono rivolto per chiedere aiuto nella preparazione del materiale. I nostri consulenti saranno: GoodGod - il creatore di uno dei progetti in lingua russa più popolari sull'ingegneria sociale socialware.ru; Ayumi (spylabs.org); Ivan è un altro maestro nell'hacking del cervello umano che desiderava rimanere in incognito.
Andare!
Dirottamento del numero ICQ (senza e-mail principale)
Per dirottare ICQ avrai bisogno di:
- un elenco di domini con e-mail registrate su di essi (come ottenerli - leggi nel numero di dicembre di ][ per il 2009, video "Dirottamento di domini di massa" da GoodGod);
- Numero ICQ da cui avverrà l'attacco iniziale;
- Numero ICQ rilasciato per uno specialista SEO (con dati rilevanti e dettagli nelle info).
Se non vuoi fare conoscenza subito, interrompi questa conversazione per un po’, perché se premi troppo forte, l’effetto potrebbe essere opposto; Meglio ritornare sull'argomento un po' più tardi con un pretesto diverso.
A proposito, se la vittima è timida per natura, non la costringerai a entrare in contatto con uno sconosciuto, quindi dovrai impegnarti in uno "sfruttamento" affinché la conoscenza abbia luogo. E così, il cliente si rivolge ad un amico SEO (cioè a te). Mostra una sana sfiducia all’inizio ponendo domande come “Dove hai sentito parlare del progetto? Da Sasha? Ahh, Sasha... Sì, ricordo. Ok, ora ti racconto l’essenza del lavoro.” Successivamente, parlaci del progetto ICQ Search, della promozione del sito web, descrivi le opzioni di pagamento (200 rubli al giorno o 1400 a settimana - lascia che scelga l'opzione che gli è conveniente). Concentra costantemente l'attenzione del "cliente" su dettagli realistici, così lo distrarrai da pensieri inutili. Più intenso è l'attacco e più nuove informazioni, meno tempo ha per pensare a ciò che sta accadendo. Infine, descrivi lo schema per guadagnare denaro: lasciagli selezionare un sito dall'elenco preparato all'inizio, cerca attraverso whois l'e-mail a cui è collegato il sito (lascialo fare da solo) e inseriscilo nella casella "E-mail " nel suo profilo ICQ. Assicurati di spiegare che se la stessa e-mail è indicata nell'ICQ e nei dati del dominio, più spesso viene cercato ICQ nella ricerca, maggiore è il posizionamento del sito nel motore di ricerca. Non appena la vittima ha completato l'associazione, ripristini la password nell'e-mail specificata e l'UIN sarà tuo!
Se la password non arriva via email significa che il numero ha già una mail primaria e il dirottamento deve essere organizzato in modo diverso.
Hacking della posta
Scopri la risposta alla domanda segreta
Le domande sui server di posta sono generalmente abbastanza simili:
- Cognome della madre da nubile;
- Piatto preferito;
- Nome del cucciolo;
- ID passaporto;
- Domanda personale (nome del primo insegnante; indice; film preferito; interprete preferito).
Quali schemi funzionano? Nome da nubile della madre: inizia un argomento sull'albero genealogico o sul cognome divertente che tua madre aveva prima del matrimonio. Piatto preferito: qui è tutto chiaro. Nome dell'animale: parla di animali domestici: passato, presente e futuro, poiché la parola in codice può essere il nome del primo criceto donato. Sarà più difficile con il numero del passaporto. Qui si può essere tentati di acquistare un prodotto poco costoso e raro, ad esempio, che viene consegnato con pagamento alla consegna, ma per effettuare un ordine sono necessari i dati del passaporto e il codice identificativo. Puoi scoprire il nome della prima insegnante dai compagni di classe della vittima, oppure parlare direttamente con lei dei suoi insegnanti preferiti; È più semplice ottenere l'indice scaricando il database della città e puoi semplicemente scoprire dalla vittima in quale zona vive. La cosa principale qui è l'ingegno, l'immaginazione e la pazienza.
C'è una piccola ma importante sfumatura. A volte, alla domanda "Piatto preferito", la risposta potrebbe essere, ad esempio, un numero di telefono, ovvero una discrepanza completa tra la domanda e la risposta. Qui dovrai iniziare una conversazione su combinazioni ridicole e sull'insensatezza delle domande di sicurezza, e poi ricominciare tutto da capo, preferibilmente con un account diverso.
Contattare l'assistenza clienti
Questo metodo è più laborioso e spaventoso, ma è necessario se la vittima non vuole "iniettarsi" o se la scatola è "morta", cioè il proprietario non la visita da molto tempo. Per fare ciò, vai alla pagina di supporto del servizio di posta elettronica desiderato e scrivi una lettera chiedendo di recuperare la password rubata. Molto probabilmente ti verranno richiesti nome, cognome (o i dati specificati durante la registrazione), data di nascita e data approssimativa di registrazione della scatola (almeno un anno). Pertanto, cerca di scoprire quante più informazioni possibili sulla vittima e sulla sua scatola. Motori di ricerca, social network e blog ti aiuteranno in questo.
Phishing
Uno dei modi più efficaci per ottenere una password senza che il proprietario ne venga a conoscenza. Alla vittima viene offerto un collegamento da seguire e inserire il nome utente e la password. Questi dati vengono inviati a un file di segnalazione, a un database (se il furto è massiccio) o a un'e-mail. Il trucco principale è costringere la vittima a fare clic su questo collegamento. Il modulo può essere qualsiasi cosa:
- Un messaggio "dall'amministrazione" (leggi: da un servizio di posta con un indirizzo falsificato) sullo spam da questa casella di posta. Esempio: “Caro utente, (nome utente)! Il tuo account ha ricevuto reclami di spam e pertanto l'amministrazione ha il diritto di sospendere o bloccare temporaneamente il suo funzionamento. È del tutto possibile che gli aggressori vi abbiano avuto accesso. Per confermare la proprietà del tuo account, autorizza nuovamente utilizzando questo collegamento (collegamento ipertestuale a falso). Se non ci sarà conferma entro 5 giorni, l'account di posta verrà bloccato. Cordiali saluti, servizio di supporto (nome del servizio di posta)." Giocare sulla paura di perdere la scatola.
- Conoscendo gli hobby della vittima, puoi interessarti. Ad esempio, una lettera con un argomento di interesse, in cui viene trattata solo una parte delle informazioni, il resto viene coperto cliccando sul collegamento. Il collegamento porta a una pagina di pseudo-login e potrai leggere il resto delle informazioni solo dopo aver effettuato l'accesso.
Agricoltura
Succede anche che la vittima sia abbastanza intelligente (o indifferente) da non cliccare sui link. In questo caso dovrai ricorrere a Trojan/joiner/script per manipolare il file HOSTS o hackerare il server DNS o DHCP del suo provider. Allo stesso tempo, quando l'utente si reca sul sito per controllare la posta elettronica, avviene un reindirizzamento esattamente allo stesso, solo di phishing. Senza sospettare nulla, l'utente inserisce i suoi dati e, utilizzando uno script di autorizzazione interno, entra nella sua email “nativa” e login e password vengono inviati alla tua email. Il bello è che la vittima non sa nemmeno cosa sia successo.
Metodi di ingegneria sociale: questo è esattamente ciò che verrà discusso in questo articolo, così come tutto ciò che riguarda la manipolazione delle persone, il phishing e il furto dei database dei clienti e altro ancora. Andrey Serikov ci ha gentilmente fornito le informazioni, di cui è l'autore, per le quali lo ringraziamo moltissimo.
A. SERIKOV
A.B.BOROVSKY
TECNOLOGIE INFORMATIVE DEL SOCIAL HACKING
introduzione
Il desiderio dell'umanità di raggiungere il perfetto adempimento dei compiti assegnati è servito allo sviluppo della moderna tecnologia informatica e i tentativi di soddisfare le esigenze contrastanti delle persone hanno portato allo sviluppo di prodotti software. Questi prodotti software non solo mantengono la funzionalità dell'hardware, ma la gestiscono anche.
Lo sviluppo della conoscenza dell'uomo e del computer ha portato all'emergere di un tipo di sistema fondamentalmente nuovo: "uomo-macchina", in cui una persona può essere posizionata come un hardware che opera sotto il controllo di un sistema operativo stabile, funzionale e multitasking sistema chiamato “psiche”.
L'oggetto del lavoro è la considerazione del social hacking come una branca della programmazione sociale, in cui una persona viene manipolata con l'aiuto delle debolezze umane, dei pregiudizi e degli stereotipi nell'ingegneria sociale.
Ingegneria sociale e suoi metodi
I metodi di manipolazione umana sono noti da molto tempo; provenivano principalmente dall'ingegneria sociale dall'arsenale di vari servizi di intelligence.
Il primo caso conosciuto di intelligenza competitiva risale al VI secolo a.C. e avvenne in Cina, quando i cinesi persero il segreto della lavorazione della seta, che fu rubato fraudolentemente dalle spie romane.
L'ingegneria sociale è una scienza definita come un insieme di metodi per manipolare il comportamento umano, basati sull'uso delle debolezze del fattore umano, senza l'uso di mezzi tecnici.
Secondo molti esperti, la minaccia più grande alla sicurezza delle informazioni è rappresentata dai metodi di ingegneria sociale, se non altro perché l'uso del social hacking non richiede investimenti finanziari significativi e una conoscenza approfondita della tecnologia informatica, e anche perché le persone hanno determinate inclinazioni comportamentali che possono essere utilizzato per un'attenta manipolazione.
E non importa quanto migliorino i sistemi di protezione tecnica, le persone rimarranno persone con le loro debolezze, pregiudizi, stereotipi, con l'aiuto di cui avviene la gestione. L’impostazione di un “programma di sicurezza” umano è il compito più difficile e non sempre porta a risultati garantiti, poiché questo filtro deve essere costantemente adeguato. Qui il motto principale di tutti gli esperti di sicurezza sembra più attuale che mai: “La sicurezza è un processo, non un risultato”.
Aree di applicazione dell'ingegneria sociale:
- destabilizzazione generale del lavoro dell’organizzazione al fine di ridurne l’influenza e la possibilità di successiva completa distruzione dell’organizzazione;
- frode finanziaria nelle organizzazioni;
- phishing e altri metodi di furto di password per accedere ai dati bancari personali delle persone;
- furto dei database dei clienti;
- intelligenza competitiva;
- informazioni generali sull'organizzazione, i suoi punti di forza e di debolezza, con l'obiettivo di distruggere successivamente questa organizzazione in un modo o nell'altro (spesso utilizzate per attacchi di predoni);
- informazioni sui dipendenti più promettenti con l'obiettivo di “attirarli” ulteriormente nella propria organizzazione;
Programmazione sociale e social hacking
La programmazione sociale può essere definita una disciplina applicata che si occupa dell'influenza mirata su una persona o un gruppo di persone al fine di modificare o mantenere il loro comportamento nella direzione desiderata. Pertanto, il programmatore sociale si pone un obiettivo: padroneggiare l'arte di gestire le persone. Il concetto di base della programmazione sociale è che le azioni di molte persone e le loro reazioni all’una o all’altra influenza esterna sono in molti casi prevedibili.
I metodi di programmazione sociale sono attraenti perché o nessuno ne verrà mai a conoscenza, o anche se qualcuno indovina qualcosa, è molto difficile assicurare una figura del genere alla giustizia, e in alcuni casi è possibile “programmare” il comportamento delle persone, e una persona e un gruppo numeroso. Queste opportunità rientrano nella categoria del social hacking proprio perché in tutte le persone eseguono la volontà di qualcun altro, come se obbedissero a un “programma” scritto da un social hacker.
L'hacking sociale come capacità di hackerare una persona e programmarla per eseguire le azioni desiderate deriva dalla programmazione sociale - una disciplina applicata dell'ingegneria sociale, dove gli specialisti in questo campo - gli hacker sociali - utilizzano tecniche di influenza psicologica e di recitazione prese in prestito dall'arsenale di i servizi di intelligence.
Il social hacking viene utilizzato nella maggior parte dei casi quando si tratta di attaccare una persona che fa parte di un sistema informatico. Il sistema informatico violato non esiste di per sé. Contiene una componente importante: una persona. E per ottenere informazioni, un social hacker deve hackerare una persona che lavora con un computer. Nella maggior parte dei casi, è più semplice farlo che hackerare il computer della vittima nel tentativo di scoprire la password.
Algoritmo di influenza tipico nel social hacking:
Tutti gli attacchi degli hacker sociali rientrano in uno schema abbastanza semplice:
- viene formulato lo scopo di influenzare un particolare oggetto;
- le informazioni sull'oggetto vengono raccolte al fine di individuare gli obiettivi di influenza più convenienti;
- Sulla base delle informazioni raccolte, viene implementata una fase che gli psicologi chiamano attrazione. L'attrazione (dal latino Attrahere - attrarre, attrarre) è la creazione delle condizioni necessarie per influenzare un oggetto;
- costringere un hacker sociale ad agire;
La coercizione si ottiene eseguendo le fasi precedenti, vale a dire, dopo che l'attrazione è stata raggiunta, la vittima stessa intraprende le azioni necessarie per l'ingegnere sociale.
Sulla base delle informazioni raccolte, i social hacker prevedono in modo abbastanza accurato lo psicotipo e il sociotipo della vittima, identificando non solo i bisogni di cibo, sesso, ecc., ma anche il bisogno di amore, il bisogno di denaro, il bisogno di conforto, ecc. ., eccetera.
E infatti, perché cercare di penetrare in questa o quella azienda, hackerare computer, bancomat, organizzare combinazioni complesse, quando puoi fare tutto più facilmente: far innamorare di te una persona che, di sua spontanea volontà, trasferirà denaro al account specificato o condividere il denaro necessario ogni volta che si informa?
Basandosi sul fatto che le azioni delle persone sono prevedibili e soggette a determinate leggi, gli hacker sociali e i programmatori sociali utilizzano sia originali passaggi multipli che semplici tecniche positive e negative basate sulla psicologia della coscienza umana, programmi comportamentali, vibrazioni degli organi interni, logiche pensiero, immaginazione, memoria, attenzione. Queste tecniche includono:
Generatore di legno - genera oscillazioni della stessa frequenza della frequenza delle oscillazioni degli organi interni, dopo di che si osserva un effetto di risonanza, a seguito del quale le persone iniziano a provare un forte disagio e uno stato di panico;
impatto sulla geografia della folla - per lo scioglimento pacifico di grandi gruppi di persone aggressivi e estremamente pericolosi;
suoni ad alta e bassa frequenza - per provocare il panico e il suo effetto inverso, così come altre manipolazioni;
programma di imitazione sociale: una persona determina la correttezza delle azioni scoprendo quali azioni altre persone considerano corrette;
programma di claquering - (basato sull'imitazione sociale) organizzazione della reazione necessaria da parte del pubblico;
formazione di code - (basata sull'imitazione sociale) una mossa pubblicitaria semplice ma efficace;
programma di mutua assistenza: una persona cerca di ripagare la gentilezza verso quelle persone che gli hanno fatto qualche gentilezza. Il desiderio di realizzare questo programma spesso supera ogni ragione;
Hacking sociale su Internet
Con l'avvento e lo sviluppo di Internet, un ambiente virtuale costituito da persone e dalle loro interazioni, si è ampliato l'ambiente per manipolare una persona per ottenere le informazioni necessarie ed eseguire le azioni necessarie. Al giorno d'oggi, Internet è un mezzo di trasmissione mondiale, un mezzo di collaborazione, comunicazione e copre l'intero globo. Questo è esattamente ciò che gli ingegneri sociali utilizzano per raggiungere i loro obiettivi.
Modi per manipolare una persona via Internet:
Nel mondo moderno, i proprietari di quasi tutte le aziende hanno già capito che Internet è un mezzo molto efficace e conveniente per espandere la propria attività e che il suo compito principale è aumentare i profitti dell'intera azienda. È noto che senza informazioni volte ad attirare l'attenzione sull'oggetto desiderato, a generare o mantenere interesse nei suoi confronti e a promuoverlo sul mercato, viene utilizzata la pubblicità. Solo che, a causa del fatto che il mercato pubblicitario è stato a lungo diviso, la maggior parte dei tipi di pubblicità per la maggior parte degli imprenditori sono denaro sprecato. La pubblicità su Internet non è solo uno dei tipi di pubblicità nei media, è qualcosa di più, poiché con l'aiuto della pubblicità su Internet le persone interessate alla cooperazione arrivano al sito web dell'organizzazione.
La pubblicità su Internet, a differenza della pubblicità nei media, ha molte più opportunità e parametri per la gestione di un'azienda pubblicitaria. L'indicatore più importante della pubblicità su Internet è quello Le tariffe per la pubblicità su Internet vengono addebitate solo al momento della conversione utente interessato tramite un collegamento pubblicitario, il che ovviamente rende la pubblicità su Internet più efficace e meno costosa rispetto alla pubblicità sui media. Pertanto, dopo aver presentato pubblicità in televisione o sulla carta stampata, la pagano per intero e aspettano semplicemente potenziali clienti, ma i clienti possono rispondere o meno alla pubblicità: tutto dipende dalla qualità della produzione e della presentazione della pubblicità in televisione o sui giornali , tuttavia, nel caso in cui la pubblicità non funzionasse, il budget pubblicitario sarebbe già stato speso. A differenza di tale pubblicità sui media, la pubblicità su Internet ha la capacità di monitorare la risposta del pubblico e di gestire la pubblicità su Internet prima che il budget venga speso; inoltre, la pubblicità su Internet può essere sospesa quando la domanda di prodotti aumenta e ripresa quando la domanda inizia a diminuire.
Un altro metodo di influenza è il cosiddetto “Killing of forums” dove, con l’aiuto della programmazione sociale, creano anti-pubblicità per un particolare progetto. In questo caso, il programmatore sociale, con l'aiuto di evidenti azioni provocatorie, distrugge da solo il forum, utilizzando diversi pseudonimi ( soprannome) per creare attorno a sé un gruppo anti-leader e attirare visitatori abituali del progetto insoddisfatti del comportamento dell'amministrazione. Al termine di tali eventi diventa impossibile promuovere prodotti o idee sul forum. Questo è lo scopo per cui è stato originariamente sviluppato il forum.
Metodi per influenzare una persona tramite Internet ai fini dell'ingegneria sociale:
Il phishing è un tipo di frode su Internet volta a ottenere l'accesso ai dati riservati degli utenti: login e password. Questa operazione viene realizzata attraverso l'invio massivo di e-mail per conto di marchi famosi, nonché messaggi personali all'interno di vari servizi (Rambler), banche o all'interno dei social network (Facebook). La lettera spesso contiene un collegamento a un sito web esteriormente indistinguibile da quello reale. Dopo che l'utente arriva su una pagina falsa, gli ingegneri sociali utilizzano varie tecniche per incoraggiare l'utente a inserire il proprio nome utente e la password sulla pagina, che utilizza per accedere a un sito specifico, che gli consente di accedere a conti e conti bancari.
Una forma di frode più pericolosa del phishing è il cosiddetto pharming.
Il pharming è un meccanismo per reindirizzare segretamente gli utenti a siti di phishing. L’ingegnere sociale distribuisce sui computer degli utenti speciali programmi dannosi che, una volta lanciati sul computer, reindirizzano le richieste dai siti necessari a quelli falsi. Pertanto, l'attacco è altamente segreto e la partecipazione dell'utente è ridotta al minimo: è sufficiente attendere che l'utente decida di visitare i siti di interesse per l'ingegnere sociale.
Conclusione
L’ingegneria sociale è una scienza emersa dalla sociologia e pretende di essere l’insieme di conoscenze che guida, mette in ordine e ottimizza il processo di creazione, modernizzazione e riproduzione di nuove realtà sociali (“artificiali”). In un certo modo “completa” la scienza sociologica, la completa nella fase di trasformazione della conoscenza scientifica in modelli, progetti e disegni di istituzioni sociali, valori, norme, algoritmi di attività, relazioni, comportamenti, ecc.
Nonostante il fatto che l’ingegneria sociale sia una scienza relativamente giovane, provoca gravi danni ai processi che si verificano nella società.
I metodi più semplici di protezione dagli effetti di questa scienza distruttiva sono:
Attirare l'attenzione della gente sui problemi della sicurezza.
Gli utenti comprendono la gravità del problema e accettano la politica di sicurezza del sistema.
Letteratura
1. R. Petersen Linux: la guida completa: trans. dall'inglese — 3a ed. - K.: Gruppo editoriale BHV, 2000. – 800 p.
2. Da Grodnev Internet a casa tua. - M.: “RIPOL CLASSIC”, 2001. -480 p.
3. M. V. Kuznetsov Ingegneria sociale e hacking sociale. San Pietroburgo: BHV-Pietroburgo, 2007. - 368 pp.: ill.
Tecniche di ingegneria sociale Il cervello umano è un grande disco rigido, un deposito di un'enorme quantità di informazioni. E sia il proprietario che qualsiasi altra persona possono utilizzare queste informazioni. Come si suol dire, un chiacchierone è una manna dal cielo per una spia. Per poter comprendere ulteriormente il significato di quanto segue, dovresti almeno avere familiarità con le basi della psicologia.
L’ingegneria sociale ce lo consente "Usa il tuo cervello" un'altra persona, utilizzando vari metodi, e ottenere da lei le informazioni necessarie.
Wiki dice: “L’ingegneria sociale è un metodo per controllare le azioni umane senza l’uso di mezzi tecnici”
Ingegneria sociale- Questa è una specie di scienza giovane. Esistono molti metodi e tecniche per manipolare la coscienza umana. Kevin Mitnick aveva ragione quando diceva che a volte è più facile imbrogliare e ottenere informazioni che hackerarne l'accesso. Leggi il libro "L'arte dell'inganno" a tuo piacimento, ti piacerà.
Esiste ingegneria sociale inversa, che mira a ottenere dati dalla vittima stessa. Con il suo aiuto, la vittima stessa parla delle sue password e dei suoi dati.
Non ci sono gesti, intonazione o espressioni facciali su Internet. Tutta la comunicazione si basa su messaggi di testo. E il tuo successo in una determinata situazione dipende da come i tuoi messaggi influenzano l'interlocutore. Quali tecniche possono essere utilizzate per manipolare segretamente la coscienza di una persona?
Provocatorio
A rigor di termini, questo è trolling. Facendo infuriare una persona, nella maggior parte dei casi tratta le informazioni in modo acritico. In questo stato è possibile imporre o ricevere le informazioni necessarie.
Amore
Questa è forse la tecnica più efficace. Nella maggior parte dei casi, questo è quello che ho usato)). In uno stato d'amore, una persona percepisce poco, e questo è esattamente ciò di cui ha bisogno il manipolatore.
Indifferenza
Si crea l'effetto dell'indifferenza del manipolatore verso un determinato argomento e l'interlocutore, a sua volta, cerca di convincerlo, cadendo così in una trappola e rivelando le informazioni di cui hai bisogno.
Fretta
Spesso si verificano situazioni in cui il manipolatore ha presumibilmente fretta di arrivare da qualche parte e lo suggerisce costantemente, ma allo stesso tempo promuove intenzionalmente le informazioni di cui ha bisogno.
Sospetto
Il metodo del sospetto è in qualche modo simile al metodo dell’indifferenza. Nel primo caso la vittima dimostra il contrario; nel secondo cerca di giustificare “il suo sospetto”, senza rendersi conto di fornire tutte le informazioni.
Ironia
Simile alla tecnica della provocazione. Un manipolatore fa arrabbiare una persona essendo ironico. Lui, a sua volta, con rabbia non è in grado di valutare criticamente le informazioni. Di conseguenza, si forma un buco nella barriera psicologica, di cui approfitta il manipolatore.
Franchezza
Quando il manipolatore comunica all'interlocutore informazioni franche, l'interlocutore sviluppa una sorta di rapporto di fiducia, che implica un indebolimento della barriera protettiva. Ciò crea una lacuna nella difesa psicologica.
Le tecniche sopra descritte non esauriscono completamente il pieno potenziale dell'ingegneria sociale. Di queste tecniche e metodi si può parlare e parlare. Dopo aver letto queste tecniche, dovresti capire che non è necessario seguire l’esempio di tutti. Impara a controllare te stesso e la tua rabbia e poi la tua difesa sarà sempre al livello adeguato.
Il nostro continua. Attendi nuovi articoli))
Ingegneria sociale
Ingegneria socialeè un metodo di accesso non autorizzato alle informazioni o ai sistemi di archiviazione delle informazioni senza l'uso di mezzi tecnici. L'obiettivo principale degli ingegneri sociali, come di altri hacker e cracker, è ottenere l'accesso a sistemi sicuri per rubare informazioni, password, dati di carte di credito, ecc. La differenza principale rispetto all'hacking semplice è che in questo caso come bersaglio dell'attacco non viene scelta la macchina, ma il suo operatore. Questo è il motivo per cui tutti i metodi e le tecniche degli ingegneri sociali si basano sullo sfruttamento dei punti deboli del fattore umano, che è considerato estremamente distruttivo, poiché l'aggressore ottiene informazioni, ad esempio, attraverso una normale conversazione telefonica o infiltrandosi in un'organizzazione sotto il controllo di veste di dipendente. Per proteggersi da questo tipo di attacchi è necessario essere consapevoli delle tipologie di frode più comuni, capire cosa vogliono veramente gli hacker e organizzare tempestivamente una politica di sicurezza adeguata.
Storia
Nonostante il fatto che il concetto di “ingegneria sociale” sia apparso relativamente di recente, le persone in una forma o nell’altra hanno utilizzato le sue tecniche da tempo immemorabile. Nell'antica Grecia e a Roma erano tenute in grande considerazione le persone che riuscivano a convincere in vari modi il loro interlocutore che aveva evidentemente torto. Parlando a nome dei leader, hanno condotto trattative diplomatiche. Usando abilmente bugie, adulazione e argomenti vantaggiosi, spesso risolvevano problemi che sembravano impossibili da risolvere senza l'aiuto della spada. Tra le spie, l’ingegneria sociale è sempre stata l’arma principale. Impersonando un'altra persona, gli agenti del KGB e della CIA potevano scoprire segreti di stato segreti. All'inizio degli anni '70, nel periodo d'oro del phreaking, alcuni teppisti telefonici chiamarono gli operatori di telecomunicazioni e cercarono di estorcere informazioni riservate al personale tecnico dell'azienda. Dopo vari esperimenti con i trucchi, alla fine degli anni '70, i phreaker avevano talmente perfezionato le tecniche di manipolazione di operatori non addestrati che potevano facilmente imparare da loro quasi tutto ciò che volevano.
Principi e tecniche dell'ingegneria sociale
Esistono diverse tecniche e tipi di attacchi comuni utilizzati dagli ingegneri sociali. Tutte queste tecniche si basano su caratteristiche del processo decisionale umano note come pregiudizi cognitivi (vedi anche Cognitivi). Questi pregiudizi vengono utilizzati in varie combinazioni per creare la strategia di inganno più appropriata in ciascun caso particolare. Ma la caratteristica comune a tutti questi metodi è quella fuorviante, con l’obiettivo di costringere una persona a compiere qualche azione che non gli è vantaggiosa e che è necessaria per l’ingegnere sociale. Per ottenere il risultato desiderato, l'aggressore utilizza diverse tattiche: impersonare un'altra persona, distrarre l'attenzione, aumentare la tensione psicologica, ecc. Anche gli obiettivi finali dell'inganno possono essere molto diversi.
Tecniche di ingegneria sociale
Pretesto
Il pretesto è un insieme di azioni eseguite secondo uno scenario specifico e pre-preparato (pretesto). Questa tecnica prevede l'utilizzo di mezzi vocali come telefono, Skype, ecc. per ottenere le informazioni necessarie. In genere, fingendosi una terza parte o fingendo che qualcuno abbia bisogno di aiuto, l'aggressore chiede alla vittima di fornire una password o di accedere a una pagina Web di phishing, inducendo così la vittima a intraprendere l'azione desiderata o a fornire determinate informazioni. Nella maggior parte dei casi, questa tecnica richiede alcuni dati iniziali sull'obiettivo dell'attacco (ad esempio, dati personali: data di nascita, numero di telefono, numero di conto, ecc.). La strategia più comune consiste nell'utilizzare inizialmente piccole query e menzionare il nomi di persone reali nell'organizzazione. Successivamente, durante la conversazione, l'aggressore spiega che ha bisogno di aiuto (la maggior parte delle persone è capace e disposta a svolgere compiti che non vengono percepiti come sospetti). Una volta instaurata la fiducia, il truffatore potrebbe chiedere qualcosa di più sostanziale e importante.
Phishing
Esempio di email di phishing inviata da un servizio di posta elettronica che richiede la "riattivazione dell'account"
Il phishing (phishing inglese, da fishing - fishing, fishing) è un tipo di frode su Internet, il cui scopo è ottenere l'accesso a dati utente riservati: login e password. Questo è forse lo schema di ingegneria sociale più popolare oggi. Non si verifica una singola fuga di dati personali senza un'ondata di e-mail di phishing che la seguono. Lo scopo del phishing è ottenere illegalmente informazioni riservate. L'esempio più eclatante di attacco di phishing è un messaggio inviato alla vittima via email e falsificato come lettera ufficiale - proveniente da una banca o da un sistema di pagamento - che richiede la verifica di determinate informazioni o il compimento di determinate azioni. Le ragioni possono essere diverse. Potrebbe trattarsi di perdita di dati, guasto del sistema, ecc. Queste e-mail di solito contengono un collegamento a una pagina Web falsa che assomiglia esattamente a quella ufficiale e contiene un modulo che richiede l'inserimento di informazioni sensibili.
Uno degli esempi più famosi di e-mail di phishing globale è stata una truffa del 2003 in cui migliaia di utenti eBay hanno ricevuto e-mail in cui si affermava che il loro account era stato bloccato e richiedevano l'aggiornamento dei dati della carta di credito per sbloccarlo. Tutte queste e-mail contenevano un collegamento che portava a una pagina web falsa che assomigliava esattamente a quella ufficiale. Secondo gli esperti, le perdite derivanti da questa truffa ammontano a diverse centinaia di migliaia di dollari.
Come riconoscere un attacco di phishing
Quasi ogni giorno compaiono nuovi schemi di frode. La maggior parte delle persone può imparare a riconoscere da sola i messaggi fraudolenti acquisendo familiarità con alcune delle loro caratteristiche distintive. Molto spesso, i messaggi di phishing contengono:
- informazioni che causano preoccupazione o minacce, come la chiusura dei conti bancari degli utenti.
- promesse di enormi premi in denaro con poco o nessuno sforzo.
- richieste di donazioni volontarie da parte di enti di beneficenza.
- errori grammaticali, di punteggiatura e di ortografia.
Schemi di phishing popolari
Le truffe di phishing più popolari sono descritte di seguito.
Frode utilizzando marchi di aziende famose
Queste truffe di phishing utilizzano e-mail o siti Web falsi contenenti nomi di aziende grandi o famose. I messaggi possono includere congratulazioni per aver vinto un concorso indetto dall'azienda o per l'urgente necessità di modificare le proprie credenziali o password. Schemi fraudolenti simili per conto del supporto tecnico possono essere attuati anche telefonicamente.
Lotterie fraudolente
L'utente può ricevere messaggi che indicano che ha vinto una lotteria condotta da una nota azienda. A prima vista, questi messaggi potrebbero apparire come se fossero stati inviati per conto di un dipendente aziendale senior.
Falsi programmi antivirus e di sicurezza
IVR o phishing telefonico
Principio di funzionamento dei sistemi IVR
Qui riguardo a quo
Quid pro quo è un'abbreviazione comunemente usata in inglese per significare "quid pro quo". Questo tipo di attacco prevede che un utente malintenzionato chiami un'azienda su un telefono aziendale. Nella maggior parte dei casi, l'aggressore si finge un dipendente del supporto tecnico e chiede se ci sono problemi tecnici. Nel processo di "risoluzione" dei problemi tecnici, il truffatore "costringe" la vittima a inserire comandi che consentono all'hacker di eseguire o installare software dannoso sul computer dell'utente.
cavallo di Troia
A volte l'uso dei trojan è solo una parte di un attacco pianificato in più fasi contro determinati computer, reti o risorse.
Tipi di trojan
I trojan sono spesso sviluppati per scopi dannosi. Esiste una classificazione in cui sono suddivisi in categorie in base al modo in cui i trojan si infiltrano nel sistema e lo danneggiano. Ne esistono 5 tipologie principali:
- accesso remoto
- distruzione dei dati
- caricatore
- server
- disattivatore del programma di sicurezza
Obiettivi
Lo scopo del programma Trojan può essere:
- caricare e scaricare file
- copiare collegamenti falsi che conducono a siti Web, chat room o altri siti di registrazione falsi
- interferire con il lavoro dell'utente
- rubare dati di valore o segreti, comprese le informazioni di autenticazione, per l'accesso non autorizzato alle risorse, ottenere dettagli di conti bancari che potrebbero essere utilizzati per scopi criminali
- distribuzione di altri malware come virus
- distruzione di dati (cancellazione o sovrascrittura di dati su un disco, danni difficilmente visibili a file) e apparecchiature, disattivazione o guasto del servizio di sistemi informatici, reti
- raccogliere indirizzi e-mail e utilizzarli per inviare spam
- spiare l'utente e comunicare segretamente informazioni a terzi, come le abitudini di navigazione
- Registrazione delle sequenze di tasti per rubare informazioni come password e numeri di carte di credito
- disattivare o interferire con il funzionamento di programmi antivirus e firewall
Travestimento
Molti programmi Trojan si trovano sui computer degli utenti a loro insaputa. A volte i trojan vengono registrati nel registro, il che porta al loro avvio automatico all'avvio del sistema operativo. I trojan possono anche essere combinati con file legittimi. Quando un utente apre un file di questo tipo o avvia un'applicazione, insieme ad essa viene lanciato anche il Trojan.
Come funziona il trojan
I trojan sono solitamente costituiti da due parti: client e server. Il Server viene eseguito sul computer della vittima e monitora le connessioni dal Client. Mentre il Server è in esecuzione, monitora una o più porte per una connessione dal Client. Affinché un utente malintenzionato possa connettersi al Server, deve conoscere l'indirizzo IP della macchina su cui è in esecuzione. Alcuni trojan inviano l'indirizzo IP del computer vittima all'autore dell'attacco tramite e-mail o altro metodo. Non appena avviene la connessione al Server, il Client può inviargli dei comandi, che il Server eseguirà. Attualmente, grazie alla tecnologia NAT, è impossibile accedere alla maggior parte dei computer tramite il loro indirizzo IP esterno. Ecco perché oggi molti trojan si collegano al computer dell'aggressore, che è responsabile della ricezione delle connessioni, invece che l'aggressore stesso tenta di connettersi alla vittima. Molti Trojan moderni possono anche aggirare facilmente i firewall sui computer degli utenti.
Raccolta di informazioni da fonti aperte
L'uso delle tecniche di ingegneria sociale richiede non solo la conoscenza della psicologia, ma anche la capacità di raccogliere le informazioni necessarie su una persona. Un modo relativamente nuovo per ottenere tali informazioni è stata la raccolta da fonti aperte, principalmente dai social network. Ad esempio, siti come livejournal, Odnoklassniki, Vkontakte contengono un'enorme quantità di dati che le persone di norma non cercano di nascondere. gli utenti non prestano sufficiente attenzione ai problemi di sicurezza, lasciando dati e informazioni di dominio pubblico che possono essere utilizzati da un utente malintenzionato.
Un esempio illustrativo è la storia del rapimento del figlio di Evgeniy Kaspersky. Nel corso delle indagini è stato accertato che i criminali avevano appreso gli orari e i percorsi quotidiani dell’adolescente dai suoi post su una pagina di social network.
Anche limitando l'accesso alle informazioni sulla propria pagina di social network, l'utente non può essere sicuro che non cadranno mai nelle mani dei truffatori. Ad esempio, un ricercatore brasiliano nel campo della sicurezza informatica ha dimostrato che è possibile diventare amico di qualsiasi utente di Facebook entro 24 ore utilizzando tecniche di ingegneria sociale. Durante l'esperimento, il ricercatore Nelson Novaes Neto ha scelto una "vittima" e ha creato un account falso di una persona del suo ambiente: il suo capo. Neto ha prima inviato richieste di amicizia agli amici degli amici del capo della vittima, e poi direttamente ai suoi amici. Dopo 7,5 ore, il ricercatore ha convinto la “vittima” ad aggiungerlo come amico. Pertanto, il ricercatore ha avuto accesso alle informazioni personali dell’utente, che ha condiviso solo con i suoi amici.
Mela stradale
Questo metodo di attacco è un adattamento del cavallo di Troia e consiste nell'utilizzo di supporti fisici. L'aggressore piazza l'"infetto", o flash, in un luogo dove il trasportatore può essere facilmente trovato (bagno, ascensore, parcheggio). Il supporto è falsificato per sembrare ufficiale, ed è accompagnato da una firma pensata per suscitare curiosità. Ad esempio, un truffatore può inserire una lettera, dotata di un logo aziendale e di un collegamento al sito Web ufficiale dell'azienda, etichettata come "Stipendi dei dirigenti". Il disco può essere lasciato al piano dell'ascensore o nella hall. Un dipendente può inconsapevolmente prendere il disco e inserirlo nel computer per soddisfare la sua curiosità.
Ingegneria sociale inversa
Si parla di ingegneria sociale inversa quando è la vittima stessa a fornire all’aggressore le informazioni di cui ha bisogno. Ciò può sembrare assurdo, ma in realtà gli individui con autorità in ambito tecnico o sociale spesso ricevono ID utente, password e altre informazioni personali sensibili semplicemente perché nessuno mette in dubbio la loro integrità. Ad esempio, il personale di supporto non chiede mai agli utenti un ID o una password; non hanno bisogno di queste informazioni per risolvere i problemi. Tuttavia, molti utenti forniscono volontariamente queste informazioni riservate per risolvere rapidamente i problemi. Si scopre che l’aggressore non ha nemmeno bisogno di chiederlo.
Un esempio di ingegneria sociale inversa è il seguente semplice scenario. Un utente malintenzionato che lavora con la vittima modifica il nome di un file sul computer della vittima o lo sposta in una directory diversa. Quando la vittima si accorge che il file manca, l'aggressore afferma di poter sistemare tutto. Volendo completare il lavoro più velocemente o evitare una punizione per la perdita di informazioni, la vittima accetta questa offerta. L'aggressore sostiene che il problema può essere risolto solo accedendo con le credenziali della vittima. Ora la vittima chiede all'aggressore di accedere con il suo nome per provare a ripristinare il file. L'aggressore accetta con riluttanza e ripristina il file, rubando così l'ID e la password della vittima. Avendo portato a termine con successo l'attacco, ha persino migliorato la sua reputazione, ed è del tutto possibile che in seguito altri colleghi si rivolgeranno a lui per chiedere aiuto. Questo approccio non interferisce con le consuete procedure di fornitura dei servizi di supporto e complica la cattura dell'aggressore.
Famosi ingegneri sociali
Kevin Mitnick
Kevin Mitnick. Hacker e consulente di sicurezza di fama mondiale
Uno degli ingegneri sociali più famosi della storia è Kevin Mitnick. In qualità di hacker informatico e consulente per la sicurezza di fama mondiale, Mitnick è anche autore di numerosi libri sulla sicurezza informatica, principalmente dedicati all'ingegneria sociale e ai metodi di influenza psicologica sulle persone. Nel 2002, sotto la sua paternità, è stato pubblicato il libro "The Art of Deception", che racconta storie vere sull'uso dell'ingegneria sociale. Kevin Mitnick sostiene che è molto più semplice ottenere una password con l'inganno piuttosto che tentare di hackerare un sistema di sicurezza
Fratelli Badir
Nonostante i fratelli Mundir, Mushid e Shadi Badir fossero ciechi dalla nascita, negli anni '90 riuscirono a realizzare diversi grandi progetti di frode in Israele, utilizzando l'ingegneria sociale e lo spoofing vocale. In un’intervista televisiva hanno detto: “Solo chi non usa telefono, elettricità e laptop è completamente assicurato contro gli attacchi di rete”. I fratelli sono già stati in prigione per aver potuto ascoltare e decifrare i toni segreti di interferenza degli operatori telefonici. Facevano lunghe telefonate all'estero a spese di qualcun altro, riprogrammando i computer degli operatori di telefonia mobile con toni di interferenza.
Arcangelo
Copertina della rivista Phrack
Famoso hacker informatico e consulente di sicurezza per la famosa rivista online in lingua inglese "Phrack Magazine", Archangel ha dimostrato la potenza delle tecniche di ingegneria sociale ottenendo password da un numero enorme di sistemi diversi in breve tempo, ingannando diverse centinaia di vittime.
Altro
Gli ingegneri sociali meno conosciuti includono Frank Abagnale, David Bannon, Peter Foster e Stephen Jay Russell.
Modi per proteggersi dall'ingegneria sociale
Per sferrare i propri attacchi, gli aggressori che utilizzano tecniche di ingegneria sociale spesso sfruttano la credulità, la pigrizia, la cortesia e persino l'entusiasmo degli utenti e dei dipendenti delle organizzazioni. Non è facile difendersi da tali attacchi perché le vittime potrebbero non essere consapevoli di essere state ingannate. Gli aggressori di ingegneria sociale hanno generalmente gli stessi obiettivi di qualsiasi altro aggressore: vogliono denaro, informazioni o risorse IT dell’azienda vittima. Per proteggersi da tali attacchi, è necessario studiarne i tipi, capire di cosa ha bisogno l'aggressore e valutare il danno che potrebbe essere causato all'organizzazione. Con tutte queste informazioni potrete integrare le misure di protezione necessarie nella vostra politica di sicurezza.
Classificazione delle minacce
Minacce via posta elettronica
Molti dipendenti ricevono decine e persino centinaia di e-mail ogni giorno tramite sistemi di posta elettronica aziendali e privati. Naturalmente, con un tale flusso di corrispondenza è impossibile prestare la dovuta attenzione a ciascuna lettera. Ciò rende molto più semplice effettuare attacchi. La maggior parte degli utenti di sistemi di posta elettronica sono rilassati nell'elaborazione di tali messaggi, percependo questo lavoro come l'analogo elettronico dello spostamento di documenti da una cartella all'altra. Quando un aggressore invia una semplice richiesta via mail, la sua vittima spesso farà ciò che gli viene chiesto senza pensare alle sue azioni. Le e-mail possono contenere collegamenti ipertestuali che inducono i dipendenti a violare la sicurezza aziendale. Tali collegamenti non sempre portano alle pagine indicate.
La maggior parte delle misure di sicurezza sono finalizzate a impedire che utenti non autorizzati accedano alle risorse aziendali. Se, cliccando su un collegamento ipertestuale inviato da un utente malintenzionato, l'utente carica un trojan o un virus nella rete aziendale, ciò consentirà di aggirare facilmente molti tipi di protezione. Il collegamento ipertestuale può anche puntare a un sito con applicazioni pop-up che chiedono dati o offrono aiuto. Come con altri tipi di truffe, il modo più efficace per proteggersi da attacchi dannosi è essere scettici nei confronti di eventuali e-mail in arrivo. Per promuovere questo approccio in tutta l'organizzazione, la politica di sicurezza dovrebbe includere linee guida specifiche per l'uso della posta elettronica che coprano i seguenti elementi:
- Allegati ai documenti.
- Collegamenti ipertestuali nei documenti.
- Richieste di informazioni personali o aziendali provenienti dall'interno dell'azienda.
- Richieste di informazioni personali o aziendali provenienti dall'esterno dell'azienda.
Minacce associate all'utilizzo dei servizi di messaggistica istantanea
La messaggistica istantanea è un metodo relativamente nuovo di trasferimento dati, ma ha già guadagnato ampia popolarità tra gli utenti aziendali. Grazie alla velocità e alla facilità d'uso, questo metodo di comunicazione offre ampie opportunità per vari attacchi: gli utenti lo trattano come una connessione telefonica e non lo associano a potenziali minacce software. I due principali tipi di attacchi basati sull'utilizzo dei servizi di messaggistica istantanea sono l'inclusione di un collegamento a un programma dannoso nel corpo del messaggio e la consegna del programma stesso. Naturalmente, anche la messaggistica istantanea è un modo per richiedere informazioni. Una delle caratteristiche dei servizi di messaggistica istantanea è la natura informale della comunicazione. In combinazione con la possibilità di assegnarsi qualsiasi nome, questo rende molto più facile per un utente malintenzionato impersonare qualcun altro e aumenta notevolmente le sue possibilità di portare a termine con successo un attacco se un'azienda intende sfruttare le opportunità di riduzione dei costi e altri vantaggi forniti dalla messaggistica istantanea, è necessario includere nelle politiche di sicurezza aziendali meccanismi di protezione contro le minacce rilevanti. Per ottenere un controllo affidabile sulla messaggistica istantanea in un ambiente aziendale, è necessario soddisfare diversi requisiti.
- Scegli una piattaforma di messaggistica istantanea.
- Determinare le impostazioni di sicurezza specificate durante la distribuzione del servizio di messaggistica istantanea.
- Determinare i principi per stabilire nuovi contatti
- Stabilisci gli standard delle password
- Fornire consigli per l'utilizzo del servizio di messaggistica istantanea.
Modello di sicurezza multilivello
Per proteggere le grandi aziende e i loro dipendenti dai truffatori che utilizzano tecniche di ingegneria sociale, vengono spesso utilizzati complessi sistemi di sicurezza multilivello. Alcune delle caratteristiche e delle responsabilità di tali sistemi sono elencate di seguito.
- Sicurezza fisica. Barriere che limitano l'accesso agli edifici aziendali e alle risorse aziendali. Non dimenticare che le risorse aziendali, ad esempio i contenitori dei rifiuti situati al di fuori del territorio aziendale, non sono fisicamente protette.
- Dati. Informazioni aziendali: conti, posta, ecc. Quando si analizzano le minacce e si pianificano misure per proteggere i dati, è necessario determinare i principi di gestione dei supporti dati cartacei ed elettronici.
- Applicazioni. Programmi gestiti dall'utente. Per proteggere il tuo ambiente, devi considerare in che modo gli aggressori possono sfruttare programmi di posta elettronica, messaggistica istantanea e altre applicazioni.
- Computer. Server e sistemi client utilizzati nell'organizzazione. Protegge gli utenti dagli attacchi diretti ai propri computer definendo linee guida rigorose che regolano quali programmi possono essere utilizzati sui computer aziendali.
- Rete interna. Una rete attraverso la quale interagiscono i sistemi aziendali. Può essere locale, globale o wireless. Negli ultimi anni, a causa della crescente popolarità dei metodi di lavoro a distanza, i confini delle reti interne sono diventati in gran parte arbitrari. I dipendenti dell'azienda devono sapere cosa devono fare per operare in sicurezza in qualsiasi ambiente di rete.
- Perimetro di rete. Il confine tra le reti interne di un'azienda e quelle esterne, come Internet o le reti di organizzazioni partner.
Responsabilità
Pretesto e registrazione di conversazioni telefoniche
Hewlett Packard
Patricia Dunn, presidente della Hewlett Packard Corporation, ha affermato di aver assunto una società privata per identificare i dipendenti dell'azienda responsabili della fuga di informazioni riservate. Successivamente, il capo della società ha ammesso che durante il processo di ricerca sono state utilizzate la pratica del pretesto e altre tecniche di ingegneria sociale.
Appunti
Guarda anche
Collegamenti
- SocialWare.ru – Progetto di ingegneria sociale privata
- - Ingegneria sociale: nozioni di base. Parte I: Tattiche degli hacker
- – Protezione contro gli attacchi di phishing.
- Fondamenti di ingegneria sociale – Securityfocus.com.
- Ingegneria sociale, la via USB – DarkReading.com.
- L’ingegneria sociale dovrebbe far parte dei Penetration Test? – darknet.org.uk.
- Registri telefonici "Tutela dei consumatori", Centro elettronico di informazione sulla privacy Comitato statunitense per il commercio, la scienza e i trasporti .
- Plotkin, Hal. Promemoria per la stampa: il pretesto è già illegale.
- Spogliarello per le password – MSNBC.MSN.com.
- Social-Engineer.org – social-engineer.org.
In questo articolo presteremo attenzione al concetto di “ingegneria sociale”. Qui esamineremo quelli generali. Impareremo anche chi è stato il fondatore di questo concetto. Parliamo separatamente dei principali metodi di ingegneria sociale utilizzati dagli aggressori.
introduzione
I metodi che consentono di correggere il comportamento umano e gestire le sue attività senza l'uso di un insieme di strumenti tecnici costituiscono il concetto generale di ingegneria sociale. Tutti i metodi si basano sull’affermazione che il fattore umano è la debolezza più distruttiva di qualsiasi sistema. Spesso questo concetto è considerato a livello di attività illegale, attraverso la quale un criminale commette un'azione volta a ottenere informazioni da una vittima con mezzi disonesti. Ad esempio, potrebbe trattarsi di un certo tipo di manipolazione. Tuttavia, l’ingegneria sociale viene utilizzata anche dagli esseri umani in attività legittime. Oggi viene spesso utilizzato per accedere a risorse con informazioni riservate o preziose.
Fondatore
Il fondatore dell'ingegneria sociale è Kevin Mitnick. Tuttavia, il concetto stesso ci è venuto dalla sociologia. Denota un insieme generale di approcci utilizzati dai social media applicati. le scienze si concentravano sul cambiamento della struttura organizzativa in grado di determinare il comportamento umano ed esercitare il controllo su di esso. Kevin Mitnick può essere considerato il fondatore di questa scienza, poiché è stato lui a rendere popolari i social media. ingegneria nel primo decennio del 21° secolo. Lo stesso Kevin era in precedenza un hacker e prendeva di mira un'ampia varietà di database. Sosteneva che il fattore umano è il punto più vulnerabile di un sistema di qualsiasi livello di complessità e organizzazione.
Se parliamo di metodi di ingegneria sociale come un modo per ottenere diritti (di solito illegali) per l'utilizzo di dati riservati, allora possiamo dire che sono noti da molto tempo. Tuttavia, è stato K. Mitnik che è riuscito a trasmettere l'importanza del loro significato e delle caratteristiche dell'applicazione.
Phishing e link inesistenti
Qualsiasi tecnica di ingegneria sociale si basa sulla presenza di distorsioni cognitive. Gli errori comportamentali diventano un’“arma” nelle mani di un abile ingegnere, che in futuro potrà creare un attacco volto a ottenere dati importanti. I metodi di ingegneria sociale includono phishing e collegamenti inesistenti.
Il phishing è una frode su Internet progettata per ottenere informazioni personali, ad esempio login e password.
Collegamento inesistente: l'utilizzo di un collegamento che attirerà il destinatario con determinati vantaggi che possono essere ottenuti facendo clic su di esso e visitando un sito specifico. Molto spesso usano i nomi di grandi aziende, apportando sottili modifiche ai loro nomi. La vittima, cliccando sul link, trasferirà “volontariamente” i propri dati personali all'aggressore.
Metodi che utilizzano marchi, antivirus difettosi e lotterie fraudolente
L'ingegneria sociale utilizza anche metodi di frode utilizzando marchi noti, antivirus difettosi e lotterie false.
“Frode e marchi” è un metodo di inganno, che appartiene anch'esso alla sezione phishing. Ciò include e-mail e siti Web che contengono il nome di un'azienda grande e/o "promossa". I messaggi vengono inviati dalle loro pagine per informarti della tua vittoria in una particolare competizione. Successivamente, devi inserire informazioni importanti sull'account e rubarle. Questa forma di frode può essere perpetrata anche telefonicamente.
Una lotteria falsa è un metodo in cui alla vittima viene inviato un messaggio con un testo in cui si afferma che ha vinto la lotteria. Nella maggior parte dei casi la notifica viene mascherata utilizzando nomi di grandi aziende.
I falsi antivirus sono truffe software. Utilizza programmi che sembrano antivirus. Tuttavia, in realtà portano alla generazione di false notifiche su una minaccia specifica. Cercano anche di attirare gli utenti nella sfera transazionale.
Vishing, phreaking e pretesti
Quando si parla di ingegneria sociale per principianti, vale la pena menzionare anche vishing, phreaking e pretexting.
Il vishing è una forma di inganno che sfrutta le reti telefoniche. Utilizza messaggi vocali preregistrati il cui scopo è ricreare la “chiamata ufficiale” di una struttura bancaria o di qualsiasi altro sistema IVR. Molto spesso ti viene chiesto di inserire un login e/o una password per confermare qualsiasi informazione. In altre parole, il sistema richiede all'utente di autenticarsi utilizzando codici PIN o password.
Il Phreaking è un'altra forma di inganno telefonico. È un sistema di hacking che utilizza la manipolazione del suono e la composizione a toni.
Il pretesto è un attacco che utilizza un piano pre-pensato, la cui essenza è presentarlo a un altro argomento. Un metodo di inganno estremamente difficile, poiché richiede un'attenta preparazione.
Il quid-pro-quo e il metodo della “mela della strada”.
La teoria dell'ingegneria sociale è un database sfaccettato che include sia metodi di inganno e manipolazione, sia modi per combatterli. Il compito principale degli aggressori è solitamente quello di estrarre informazioni preziose.
Altri tipi di truffe includono: quid-pro-quo, il metodo della “road apple”, lo spallamento, l’uso di fonti aperte e i social media inversi. ingegneria.
Quid-pro-quo (dal latino - "questo per questo") è un tentativo di estrarre informazioni da un'azienda o da un'impresa. Ciò avviene contattandola telefonicamente o inviando messaggi tramite email. Molto spesso gli aggressori si presentano come personale tecnico. supporti che segnalano la presenza di un problema specifico nell’ambiente di lavoro del dipendente. Quindi suggeriscono modi per eliminarlo, ad esempio installando software. Il software risulta essere difettoso e contribuisce all'avanzamento del crimine.
Road Apple è un metodo di attacco basato sull'idea di un cavallo di Troia. La sua essenza sta nell'uso dei media fisici e nella sostituzione delle informazioni. Ad esempio, possono fornire a una scheda di memoria un certo "buono" che attirerà l'attenzione della vittima, spingendola ad aprire e utilizzare il file o a seguire i collegamenti specificati nei documenti della chiavetta. L’oggetto “mela stradale” viene rilasciato nei luoghi sociali e attende che qualche entità attui il piano dell’aggressore.
La raccolta e la ricerca di informazioni da fonti aperte è una truffa in cui l'ottenimento dei dati si basa su metodi psicologici, sulla capacità di notare piccole cose e sull'analisi dei dati disponibili, ad esempio le pagine di un social network. Questo è un metodo abbastanza nuovo di ingegneria sociale.
Spalla surf e reverse social. ingegneria
Il concetto di "shoulder surfing" si definisce come guardare letteralmente un soggetto dal vivo. Con questo tipo di data mining, l'aggressore si reca in luoghi pubblici, ad esempio un bar, un aeroporto, una stazione ferroviaria e monitora le persone.
Questo metodo non è da sottovalutare, poiché numerose indagini e studi dimostrano che una persona attenta può ottenere molte informazioni riservate semplicemente essendo attenta.
L’ingegneria sociale (come livello di conoscenza sociologica) è un mezzo per “catturare” dati. Esistono modi per ottenere dati in cui la vittima stessa fornisce all'aggressore le informazioni necessarie. Tuttavia, può anche servire a beneficio della società.
Sociale inverso L'ingegneria è un altro metodo di questa scienza. L'uso di questo termine diventa appropriato nel caso che abbiamo menzionato sopra: sarà la vittima stessa a offrire all'aggressore le informazioni necessarie. Questa affermazione non deve essere presa come assurda. Il fatto è che i soggetti dotati di autorità in determinati ambiti di attività spesso ottengono l’accesso ai dati identificativi a propria discrezione. La base qui è la fiducia.
Importante da ricordare! Il personale di supporto, ad esempio, non chiederà mai all'utente una password.
Consapevolezza e tutela
La formazione in ingegneria sociale può essere svolta da un individuo sia sulla base dell'iniziativa personale che sulla base di manuali utilizzati in programmi di formazione speciali.
I criminali possono utilizzare un'ampia varietà di tipi di inganno, che vanno dalla manipolazione alla pigrizia, alla credulità, alla gentilezza degli utenti, ecc. È estremamente difficile proteggersi da questo tipo di attacco, dovuto alla mancanza di consapevolezza da parte della vittima di lui (lei) ) è stato ingannato. Diverse aziende e aziende spesso valutano le informazioni generali per proteggere i propri dati a questo livello di pericolo. Successivamente le necessarie misure di protezione vengono integrate nella politica di sicurezza.
Esempi
Un esempio di ingegneria sociale (il suo atto) nel campo degli invii di phishing globale è un evento accaduto nel 2003. Durante questa truffa, sono state inviate e-mail agli utenti eBay. Sostenevano che i conti a loro appartenenti erano stati bloccati. Per annullare il blocco, dovevi inserire nuovamente le informazioni del tuo account. Tuttavia, le lettere erano false. Sono stati reindirizzati ad una pagina identica a quella ufficiale, ma falsa. Secondo le stime degli esperti, la perdita non è stata troppo significativa (meno di un milione di dollari).
Definizione di responsabilità
In alcuni casi l’ingegneria sociale può essere punibile. In diversi paesi, ad esempio negli Stati Uniti, il pretexting (inganno tramite l'impersonificazione di un'altra persona) è equiparato a una violazione della privacy. Tuttavia, ciò può essere punito dalla legge se le informazioni ottenute durante il pretesto erano confidenziali dal punto di vista del soggetto o dell'organizzazione. Anche la registrazione di una conversazione telefonica (come metodo di ingegneria sociale) è prevista dalla legge e richiede il pagamento di una multa di 250.000 dollari o della reclusione fino a dieci anni per i singoli individui. persone Le entità sono tenute a pagare $ 500.000; la scadenza rimane la stessa.
