Care este cea mai bună apărare împotriva ingineriei sociale. Inginerie sociala

Metode de inginerie socială - cam atât va fi discutatîn acest articol, precum și despre tot ce ține de manipularea oamenilor, phishing și furtul bazelor de clienți și multe altele. Informația ne-a fost oferită cu amabilitate de Andrey Serikov, al cărui autor este, pentru care îi mulțumim mult.

A.SERIKOV

A.B.BOROVSKY

TEHNOLOGII INFORMAȚIONALE DE SOCIAL HACKING

Introducere

Dorința omenirii de a atinge îndeplinirea perfectă a sarcinilor stabilite a condus la dezvoltarea tehnologiei computerizate moderne, iar încercările de a îndeplini cerințele contradictorii ale oamenilor au condus la dezvoltarea de produse software. Aceste produse software nu doar suportă performanța hardware dar și gestionați-l.

Dezvoltarea cunoștințelor despre o persoană și un computer a condus la apariția unui tip fundamental nou de sisteme - „om-mașină”, în care o persoană poate fi poziționată ca hardware rulează un sistem de operare stabil, funcțional, multitasking numit „psihic”.

Subiectul lucrării este luarea în considerare a hacking-ului social ca o ramură a programării sociale, în care ființele umane sunt manipulate cu ajutorul slăbiciunilor, prejudecăților și stereotipurilor umane în ingineria socială.

Ingineria socială și metodele sale

Metodele de manipulare a unei persoane sunt cunoscute de mult timp, au venit în principal la ingineria socială din arsenalul diferitelor servicii speciale.

Primul caz cunoscut de inteligență competitivă datează din secolul al VI-lea î.Hr. și a avut loc în China, când chinezii au pierdut secretul fabricării mătăsii, care a fost furată în mod fraudulos de spionii romani.

Ingineria socială este o știință care se definește ca un set de metode de manipulare a comportamentului uman, bazate pe exploatarea punctelor slabe ale factorului uman, fără aplicarea mijloace tehnice.

Potrivit multor experți, cea mai mare amenințare securitatea informatiei reprezintă tocmai metodele de inginerie socială, fie și doar pentru că utilizarea hacking-ului social nu necesită investiții financiare semnificative și cunoștințe temeinice tehnologia calculatoarelor, și, de asemenea, pentru că oamenii au unele tendințe comportamentale care pot fi folosite pentru manipulare atentă.

Și oricât de îmbunătățit sisteme tehnice protectie, oamenii vor ramane oameni cu slabiciunile, prejudecatile, stereotipurile lor, cu ajutorul carora are loc managementul. Configurarea unui „program de securitate” uman este cea mai dificilă și nu întotdeauna rezultatul garantat de afaceri, deoarece acest filtru trebuie ajustat în mod constant. Aici, mai mult ca niciodată, motto-ul principal al tuturor experților în securitate sună relevant: „Securitatea este un proces, nu un rezultat”

Domenii de aplicare ale ingineriei sociale:

1. destabilizarea generală a activității organizației în vederea reducerii influenței acesteia și a posibilității distrugerii ulterioare complete a organizației;
2. fraudă financiară în organizații;
3. phishing și alte metode de furt de parole pentru a accesa datele bancare personale ale persoanelor fizice;
4. furtul bazelor de date de clienți;
5. inteligenta competitiva;
6. informații generale despre organizație, punctele sale forte și puncte slabe, cu scopul distrugerii ulterioare a acestei organizații într-un fel sau altul (folosit adesea pentru atacurile raider);
7. informații despre cei mai promițători angajați pentru a-i „bracona” în continuare în organizația lor;

Programare socială și hacking social

Programarea socială poate fi numită o disciplină aplicată care se ocupă de influența intenționată asupra unei persoane sau a unui grup de oameni pentru a-și schimba sau menține comportamentul în direcția corectă. Astfel, programatorul social își stabilește scopul de a stăpâni arta de a gestiona oamenii. Conceptul principal al programării sociale este că multe dintre acțiunile oamenilor și reacțiile lor la această sau aceea influență externă sunt previzibile în multe cazuri.

Metodele de programare socială sunt atractive pentru că fie nimeni nu va ști vreodată despre ele, fie chiar dacă cineva ghicește ceva, este foarte dificil să tragi la răspundere o astfel de figură și, în unele cazuri, este posibil să „programezi” comportamentul oamenilor și unul persoană și un grup mare. Aceste oportunități aparțin categoriei hacking-ului social tocmai pentru că în toate ele oamenii îndeplinesc voința altcuiva, parcă s-ar supune unui „program” scris de un hacker social.

Hackingul social ca o oportunitate de a pirata o persoană și de a-l programa să se angajeze acțiunile necesare provine din programarea socială - o disciplină aplicată a ingineriei sociale, în care specialiştii în acest domeniu - hackeri sociali- folosiți trucuri impact psihologicși actorie, împrumutate din arsenalul de servicii speciale.

Hackingul social este folosit în majoritatea cazurilor când vine vorba de un atac asupra unei persoane care face parte dintr-un sistem informatic. Un sistem informatic care este piratat nu există de la sine. Conține o componentă importantă - o persoană. Și pentru a obține informații, un hacker social trebuie să pirateze o persoană care lucrează cu un computer. În cele mai multe cazuri, este mai ușor să faci asta decât să spargi computerul victimei, încercând să afli parola în acest fel.

Algoritm tipic de influență în hackingul social:

Toate atacurile hackerilor sociali se încadrează într-o schemă destul de simplă:

1. se formulează scopul impactului asupra unui anumit obiect;
2. se colectează informații despre obiect pentru a găsi cele mai convenabile ținte pentru expunere;
3. pe baza informațiilor culese se realizează o etapă pe care psihologii o numesc atracție. Atracția (din lat. Attrahere - a atrage, a atrage) este crearea condițiilor necesare pentru influențarea unui obiect;
4. constrângere la acțiunea necesară hackerului social;

Coerciția se realizează prin efectuarea etapelor anterioare, adică după ce atragerea este realizată, victima însuși face acțiunile necesare inginerului social.

Pe baza informațiilor colectate, hackerii sociali prezic cu acuratețe psiho- și sociotipul victimei, identificând nu numai nevoile de hrană, sex etc., ci și nevoia de dragoste, nevoia de bani, nevoia de confort etc. ., etc.

Și, într-adevăr, de ce să încerci să pătrunzi într-una sau alta companie, să spargi calculatoare, bancomate, să organizezi combinații complexe când poți face totul mai ușor: să te îndrăgostești de tine până la inconștiența unei persoane care, din proprie voință, va transfera bani către un cont specificat sau de fiecare dată partajați informațiile necesare?

Pe baza faptului că acțiunile oamenilor sunt previzibile și, de asemenea, supuse anumitor legi, hackerii sociali și programatorii sociali folosesc atât mai mulți pași originali, cât și trucuri simple pozitive și negative bazate pe psihologia conștiinței umane, programe comportamentale, vibrații ale organelor interne, logice. gândire, imaginație, memorie, atenție. Aceste abordări includ:

Generatorul de lemn - generează oscilații de aceeași frecvență cu frecvența oscilațiilor organelor interne, după care se observă un efect de rezonanță, în urma căruia oamenii încep să simtă un disconfort sever și o stare de panică;

impact asupra geografiei mulțimii - pentru desființarea pașnică a agresivității extrem de periculoase, grupuri mari oameni;

sunete de înaltă și joasă frecvență - pentru a provoca panică și efectul său invers, precum și alte manipulări;

program de imitație socială - o persoană determină corectitudinea acțiunilor, aflând ce acțiuni consideră că alți oameni sunt corecte;

programul de clacare - (bazat pe imitație socială) organizarea reacției necesare a audienței;

coada - (bazat pe imitație socială) un truc publicitar simplu, dar eficient;

program de ajutor reciproc - o persoană caută să răsplătească bine acelor oameni care i-au făcut un fel de bine. Dorința de a îndeplini acest program depășește adesea toate argumentele rațiunii;

hacking social pe internet

Odată cu apariția și dezvoltarea Internetului - un mediu virtual format din oameni și interacțiunile acestora, mediul de manipulare a unei persoane s-a extins pentru a obține informatie necesarași întreprinderea acțiunilor necesare. Astăzi, internetul este un mediu de difuzare la nivel mondial, un mediu de colaborare, comunicare și acoperă întregul glob. Acesta este ceea ce folosesc inginerii sociali pentru a-și atinge obiectivele.

Modalități de a manipula o persoană prin internet:

V lumea modernă proprietarii aproape ale fiecărei companii și-au dat deja seama că internetul este un mijloc foarte eficient și convenabil pentru extinderea unei afaceri și sarcina sa principală este de a crește profiturile întregii companii. Se stie ca fara informatii menite sa atraga atentia asupra obiectului dorit, sa formeze sau sa mentina interesul fata de acesta si sa-l promoveze pe piata, se foloseste publicitate. Numai că, datorită faptului că piața de publicitate a fost de multă vreme împărțită, majoritatea tipurilor de publicitate pentru majoritatea antreprenorilor sunt bani irosiți. Publicitatea pe internet nu este doar unul dintre tipurile de publicitate din mass-media, este ceva mai mult, pentru că cu ajutorul reclamei pe internet vin pe site-ul organizației persoane interesate de cooperare.

Publicitatea pe internet, spre deosebire de publicitatea din mass-media, are multe mai multe posibilitatiși parametrii de control companie de publicitate. Cel mai indicator important publicitate pe internet este asta Taxa de publicitate pe internet este dedusă numai la tranziție utilizator interesat pe link-ul de publicitate, ceea ce, desigur, face publicitatea pe Internet mai eficientă și mai puțin costisitoare decât publicitatea în mass-media. Deci, după ce au trimis publicitate la televizor sau în presa scrisă, ei plătesc integral și doar așteaptă potențiali clienți, dar clienții pot răspunde la publicitate sau nu - totul depinde de calitatea producției și de prezentarea reclamei la televiziune sau ziare, cu toate acestea, bugetul de publicitate a fost deja cheltuit și dacă publicitatea nu a funcționat, a fost irosit. Spre deosebire de astfel de publicitate media, publicitatea online are capacitatea de a urmări răspunsul publicului și de a gestiona publicitatea online înainte ca bugetul său să fie epuizat, în plus, publicitatea online poate fi întreruptă atunci când cererea de produse a crescut și reluată atunci când cererea începe să scadă.

Un alt mod de influență este așa-numitul „Forum Killing” unde, cu ajutorul programării sociale, se creează anti-reclamă pentru un anumit proiect. Programatorul social în acest caz, doar cu ajutorul unor acțiuni provocatoare evidente, distruge forumul, folosind mai multe pseudonime ( poreclă) să creeze un grup anti-lider în jurul său și să atragă vizitatori regulați la proiect care sunt nemulțumiți de comportamentul administrației. La finalul unor astfel de evenimente pe forum, devine imposibil să promovezi bunuri sau idei. De ce a fost proiectat inițial forumul?

La metodele de influențare a unei persoane prin internet în scopuri de inginerie socială:

Phishingul este un tip de fraudă pe internet pentru a obține acces la datele confidențiale ale utilizatorilor - login-uri și parole. Această operație se realizează prin corespondențe în masă e-mailuri de la mărci populare și mesaje privateîn cadrul diverselor servicii (Rambler), bănci sau în cadrul retele sociale(Facebook). Scrisoarea conține adesea un link către un site care nu se poate distinge în exterior de cel real. După ce un utilizator ajunge pe o pagină falsă, inginerii sociale folosesc diverse trucuri pentru a-l încuraja pe utilizator să-și introducă numele de utilizator și parola pe pagină, pe care le folosesc pentru a accesa un anumit site, ceea ce le permite să acceseze conturi și conturi bancare.

Mai mult vedere periculoasă fraudă decât phishing, este așa-numita pharming.

Pharmingul este un mecanism de redirecționare ascunsă a utilizatorilor către site-uri de phishing. Un inginer social distribuie pe computerele utilizatorilor programe speciale rău intenționate, care, după ce sunt lansate pe computer, redirecționează solicitările de pe site-urile necesare către cele false. Astfel, secretul ridicat al atacului este asigurat, iar participarea utilizatorului este redusă la minimum - este suficient să așteptați până când utilizatorul decide să viziteze site-urile de interes pentru inginerul social.

Concluzie

Ingineria socială este o știință care a apărut din sociologie și se pretinde a fi totalitatea cunoștințelor care ghidează, ordonează și optimizează procesul de creare, modernizare și reproducere a noilor realități sociale („artificiale”). Într-un anumit fel, „termină” știința sociologică, o completează în stadiul transformării cunoștințelor științifice în modele, proiecte și construcții de instituții sociale, valori, norme, algoritmi de activitate, relații, comportament etc.

În ciuda faptului că ingineria socială este o știință relativ tânără, ea provoacă pagube mari proceselor care au loc în societate.

Cele mai simple metode de protecție împotriva impactului acestei științe distructive pot fi numite:

Atragerea atenției oamenilor asupra problemelor de securitate.

Conștientizarea de către utilizatori a gravității problemei și adoptarea politicii de securitate a sistemului.

Literatură

1. R. Petersen Linux: Ghid complet: per. din engleza. - 3 - ed. - K .: Grupul Editura BHV, 2000. - 800 p.

2. De la Grodnev Internet în casa ta. - M .: „RIPOL CLASIC”, 2001. -480 p.

3. M. V. Kuznetsov Inginerie socială și hacking social. SPb.: BHV-Petersburg, 2007. - 368 p.: ill.

Salutare dragi prieteni! De mult nu ai discutat despre securitate, sau mai exact despre datele care sunt stocate nu doar pe computerele tale, ci chiar și cu prietenii și colegii tăi. Astăzi voi vorbi despre un astfel de concept precum ingineria socială. Veți învăța ce este ingineria socială și cum să vă avertizați.

Ingineria socială este o metodă de acces neautorizat la sisteme de informare, care s-a bazat pe caracteristicile comportamentului psihologic uman. Orice hacker, în sens direct sau indirect, este interesat să obțină acces la informații protejate, parole, informații despre carduri bancare etc.

Diferența principală aceasta metoda este că obiectul atacului nu este mașina, ci utilizatorul acesteia. Metodele de inginerie socială se bazează pe utilizarea factorului uman. Un atacator dobândește informațiile de care are nevoie într-o conversație la telefon sau intrând în birou sub masca unui angajat.

Pretextarea este un set de acțiuni care corespund unui scenariu specific pregătit în prealabil (pretext). Pentru a obține informații în această tehnică se folosesc mijloace vocale (telefon, Skype). Prezentându-se ca o terță parte și pretinzând că are nevoie de ajutor, escrocul obligă interlocutorul să furnizeze o parolă sau să se înregistreze pe o pagină web de phishing și astfel obține informațiile necesare.

Să ne imaginăm o situație. Lucrezi într-o organizație mare timp de aproximativ șase luni. Ești sunat de o persoană care se prezintă ca angajat dintr-o ramură. „Bună ziua, numele sau funcția dumneavoastră, nu putem introduce e-mailul care servește la primirea cererilor în compania noastră. Am primit recent o aplicație de la orașul nostru, iar șeful pur și simplu va ucide pentru o astfel de neglijare, spune-mi parola de la e-mail.

Desigur, când îi citești acum cererea, ti se pare puțin prostesc să dai parola persoanei pe care o auzi pentru prima dată. Dar, din moment ce oamenilor le place să ajute cu lucruri mărunte, (nu este greu pentru tine să spui 8-16 caractere dintr-o parolă?) Fiecare persoană poate străpunge aici.

phishing(pescuit) - acest tip de fraudă pe internet are ca scop obținerea de autentificări și parole. Cel mai popular tip de phishing este trimiterea unui mesaj de e-mail către victimă sub masca unei scrisori oficiale, de exemplu, de la un sistem de plată sau o bancă. Scrisoarea, de regulă, informează despre pierderea datelor, despre defecțiunile sistemului și conține o solicitare de intrare informații confidențiale urmând linkul.

Linkul redirecționează victima către o pagină de phishing care arată exact ca pagina de pe site-ul oficial. Este dificil pentru o persoană nepregătită să recunoască un atac de phishing, dar este foarte posibil. Astfel de mesaje, de regulă, conțin informații despre amenințări (de exemplu, despre închiderea unui cont bancar) sau, dimpotrivă, o promisiune premiu în bani cadou, cereri de ajutor în numele unei organizații caritabile. De asemenea, mesajele de phishing pot fi recunoscute după adresa la care vi se cere să mergeți.

Cele mai populare atacuri de phishing includ frauda folosind numele de marcă a unei companii binecunoscute. În numele unei companii cunoscute, se trimit e-mailuri care conțin felicitări pentru o anumită vacanță (de exemplu) și informații despre competiție. Pentru a participa la concurs, trebuie să modificați urgent informațiile contului.

O să-ți spun experienta personala. Nu arunca cu pietre în mine. A fost cu foarte mult timp în urmă când eram interesat de... ... Da, da, phishing. Pe vremea aceea era foarte la modă să stai în lumea Mea și am profitat de asta. Odată am văzut o ofertă de la mail.ru pentru a instala un „agent de aur” pentru bani. Când îți spun să cumperi, te gândești, dar când îți spun că ai câștigat, oamenii sunt imediat conduși.

Nu-mi amintesc totul exact, dar a fost ceva de genul acesta.

A scris un mesaj: „Bună ziua, NUME! Echipa Mail.RU este bucuroasă să vă felicite. Ați câștigat „agentul de aur”. La fiecare 1000, utilizatorul nostru îl primește gratuit. Pentru a-l activa, trebuie să accesați pagina dvs. și să o activați în Setări - bla, bla, bla.

Ei bine, ce parere aveti de oferta? Vrei Skype de aur dragi cititori? Nu vorbesc despre toate detaliile tehnice, deoarece sunt tineri care doar așteaptă instrucțiuni detaliate. Dar trebuie remarcat faptul că 30% dintre utilizatorii My World au urmat linkul și și-au introdus numele de utilizator și parola. Am șters aceste parole, deoarece a fost doar un experiment.

Smishing. Acum foarte popular Celulare, iar pentru a-ți afla numărul, nu va fi greu nici măcar unui școlar care stă cu fiul sau fiica ta la același birou. Escrocul, după ce a aflat numărul, îți trimite un link de phishing unde îți cere să mergi pentru a activa bani bonus pe harta ta. Unde desigur există câmpuri pentru introducerea datelor personale. De asemenea, ei vă pot cere să trimiteți un SMS cu detaliile cardului dvs.

Pare a fi o situație normală, dar captura este foarte aproape.

Qui pro quo („quid pro quo”) este un tip de atac care implică un apel de la un escroc, de exemplu, în numele unui serviciu suport tehnic. Un atacator, în proces de a întreba un angajat despre posibile probleme tehnice, îl obligă să introducă comenzi care îi permit să lanseze software rău intenționat. Care pot fi plasate pe resurse deschise: rețele sociale, servere ale companiei etc.

Urmăriți videoclipul pentru un exemplu:

Ei vă pot trimite un fișier (virus) prin poștă, apoi vă pot suna și spune că a sosit un document urgent și trebuie să vă uitați la el. Prin deschiderea fișierului atașat scrisorii, utilizatorul însuși instalează pe computer malware, care vă permite să accesați date sensibile.

Ai grijă de tine și de datele tale. Ne vedem în curând!

Inginerie sociala

Inginerie sociala este o metodă de acces neautorizat la informații sau sisteme de stocare a informațiilor fără utilizarea mijloacelor tehnice. Scopul principal al inginerilor sociali, ca și alți hackeri și crackeri, este de a obține acces la sisteme securizate pentru a fura informații, parole, date despre Carduri de credit etc. Principala diferență față de hack simplu este că, în acest caz, nu mașina, ci operatorul acesteia, este ales ca obiect de atac. De aceea, toate metodele și tehnicile de inginerie socială se bazează pe utilizarea punctelor slabe ale factorului uman, care este considerat extrem de distructiv, deoarece atacatorul primește informații, de exemplu, folosind obișnuitul convorbire telefonica sau prin infiltrarea într-o organizație deghizată în angajat. Pentru a vă proteja împotriva atacurilor de acest tip, ar trebui să fiți conștienți de cele mai comune tipuri de fraudă, să înțelegeți ce își doresc cu adevărat hackerii și să organizați în timp util. politica adecvata Securitate.

Poveste

În ciuda faptului că conceptul de „inginerie socială” a apărut relativ recent, oamenii, într-o formă sau alta, au folosit tehnicile sale de secole. V Grecia antică iar Roma ţinea în mare stima bărbaţilor care puteau căi diferite convinge interlocutorul de greșeala lui evidentă. Vorbind în numele liderilor, aceștia au purtat negocieri diplomatice. Folosind cu pricepere minciuni, linguşiri şi argumente avantajoase, ei rezolvau adesea probleme care păreau imposibil de rezolvat fără ajutorul sabiei. Printre spioni, ingineria socială a fost întotdeauna principala armă. Dându-se drept o altă persoană, agenții KGB și CIA ar putea descoperi secrete secrete de stat. La începutul anilor '70, în perioada de glorie a phreaking-ului, unii huligani de telefonie au sunat operatorii de telecomunicații și au încercat să extragă informații confidențiale de la personalul tehnic al companiilor. După diverse experimente cu trucuri, până la sfârșitul anilor 70, phreakerii stăpâniseră atât de mult tehnicile de manipulare a operatorilor neantrenați încât puteau învăța cu ușurință aproape tot ce doreau de la ei.

Principii și tehnici de inginerie socială

Există mai multe tehnici comune și tipuri de atacuri pe care le folosesc inginerii sociali. Toate aceste tehnici se bazează pe caracteristici ale procesului decizional uman cunoscute sub numele de părtiniri cognitive (vezi și cognitive). Aceste prejudecăți sunt folosite în diferite combinații pentru a crea cea mai potrivită strategie de înșelăciune pentru fiecare caz individual. Dar o caracteristică comună a tuturor acestor metode este înșelătoarea, pentru a forța o persoană să efectueze o acțiune care nu este benefică pentru el și este necesară unui inginer social. Pentru a obține rezultatul dorit, atacatorul folosește o serie de tactici diverse: uzurparea identității unei alte persoane, distragerea atenției, escaladarea stresului psihologic etc. Scopurile finale ale înșelăciunii pot fi, de asemenea, foarte diverse.

Tehnici de inginerie socială

Pretextarea

Pretextarea este un ansamblu de acțiuni desfășurate în funcție de un anumit, în avans script gata(pretext). Această tehnică presupune utilizarea instrumente vocale precum telefon, skype etc. pentru a obține informațiile de care aveți nevoie. De obicei, dându-se drept o terță parte sau pretinzând că cineva are nevoie de ajutor, atacatorul îi cere victimei să furnizeze o parolă sau să se conecteze la o pagină web de phishing, forțând astfel ținta să comite acțiunea necesară sau furnizați anumite informații. În majoritatea cazurilor, această tehnică necesită câteva date inițiale despre ținta atacului (de exemplu, date personale: date de naștere, numere de telefon, numere de cont etc.) Strategia cea mai comună este să folosești mai întâi interogări mici și să menționezi nume. oameni adevărați In organizatie. Ulterior, în timpul conversației, atacatorul explică că are nevoie de ajutor (majoritatea oamenilor sunt capabili și dispuși să îndeplinească sarcini care nu sunt percepute ca suspecte). Odată ce o relație de încredere este stabilită, escrocul poate cere ceva mai substanțial și mai important.

phishing

Un exemplu de e-mail de phishing trimis de la un serviciu de e-mail care solicită „reactivarea contului”

Phishingul (în engleză phishing, de la pescuit - pescuit, pescuit) este un tip de fraudă pe internet, al cărei scop este de a obține acces la datele confidențiale ale utilizatorilor - login-uri și parole. Poate că aceasta este cea mai populară schemă de inginerie socială de până acum. Nicio încălcare majoră a datelor cu caracter personal nu este completă fără un val de e-mailuri de phishing care o urmează. Scopul phishing-ului este obținerea ilegală de informații confidențiale. Cel mai izbitor exemplu de atac de tip phishing este un mesaj trimis victimei prin e-mail și falsificat ca scrisoare oficială - de la o bancă sau sistem de plata- necesita verificare anumite informatii sau întreprinderea anumitor acțiuni. Motivele pot fi numite cele mai diverse. Aceasta poate fi pierderea de date, defecțiunea sistemului și așa mai departe. Astfel de e-mailuri conțin de obicei un link către o pagină web falsă care arată exact ca cea oficială și conține un formular care vă cere să introduceți informații confidențiale.

Unul dintre cele mai notorii exemple de înșelătorie globală de phishing este o înșelătorie din 2003 în care mii de utilizatori eBay au primit e-mailuri în care susțineau că contul lor a fost suspendat și au solicitat actualizarea informațiilor cardului de credit pentru a-l debloca. Toate aceste e-mailuri conțineau un link care duce la o pagină web falsă care arăta exact ca cea oficială. Potrivit experților, pierderile din această înșelătorie s-au ridicat la câteva sute de mii de dolari.

Cum să recunoașteți un atac de tip phishing

Noi înșelătorii apar aproape în fiecare zi. Majoritatea oamenilor pot învăța să recunoască singuri mesajele frauduloase, familiarizându-se cu unele dintre ele. semne distinctive. Cel mai adesea mesajele de phishing conțin:

• hărțuirea de informații sau amenințări, cum ar fi închiderea conturilor bancare ale utilizatorilor.
• promisiunile unui premiu imens în bani cu efort minim sau fără ele deloc.
• cereri de donații voluntare în numele organizațiilor caritabile.
• greșeli gramaticale, de punctuație și ortografie.

Scheme populare de phishing

Cele mai populare escrocherii de tip phishing sunt descrise mai jos.

Frauda folosind mărci ale unor corporații cunoscute

Aceste scheme de phishing folosesc mesaje false E-mail sau site-uri web care conțin numele unor companii mari sau cunoscute. Mesajele pot include felicitări pentru câștigarea unui concurs organizat de companie, că există o nevoie urgentă de a vă schimba acreditările sau parola. Scheme similare frauduloase din partea serviciului de asistență tehnică pot fi efectuate și prin telefon.

Loterie false

Utilizatorul poate primi mesaje care afirmă că a câștigat la loterie, care a fost deținută de o companie cunoscută. În exterior, aceste mesaje pot părea ca și cum ar fi fost trimise în numele unuia dintre angajații de rang înalt ai corporației.

Antivirus fals și software de securitate

IVR sau phishing prin telefon

Principiul de funcționare a sistemelor IVR

Qui pro quo

Quid pro quo (din latină Quid pro quo - „asta pentru asta”) este o abreviere folosită în mod obișnuit în limba englezăîn sensul de „quid pro quo”. Acest tip de atac implică un apel de către un atacator către o companie telefon corporativ. În cele mai multe cazuri, atacatorul se prezintă ca o persoană de asistență tehnică care întreabă dacă există probleme tehnice. În procesul de „rezolvare” a problemelor tehnice, escrocul „forțează” ținta să introducă comenzi care permit hackerului să ruleze sau să instaleze software rău intenționat pe mașina utilizatorului.

Cal troian

Uneori, utilizarea troienilor este doar o parte a unui atac planificat în mai multe etape anumite calculatoare, rețele sau resurse.

Tipuri de troieni

Troienii sunt cel mai adesea dezvoltați în scopuri rău intenționate. Există o clasificare în care acestea sunt împărțite în categorii în funcție de modul în care troienii se infiltrează și dăunează sistemului. Există 5 tipuri principale:

• acces de la distanță
• distrugerea datelor
• încărcător
• Server
• dezactivator program de securitate

Goluri

Scopul unui troian poate fi:

• încărcarea și descărcarea fișierelor
• copierea link-urilor false care conduc la site-uri web false, camere de chat sau alte site-uri de înregistrare
• interferând cu munca utilizatorului
• sustragerea de date valoroase sau secrete, inclusiv informații de autentificare, pentru acces neautorizat la resurse, pescuitul de detalii privind conturile bancare care pot fi utilizate în scopuri criminale
• distribuirea altor programe malware, cum ar fi viruși
• distrugerea datelor (ștergerea sau suprascrierea datelor de pe un disc, deteriorarea fișierelor greu de observat) și a echipamentelor, dezactivarea sau refuzarea serviciului sistemelor informatice, rețelelor
• colectarea adreselor de e-mail și utilizarea acestora pentru a trimite spam
• spionarea utilizatorului și comunicarea secretă a informațiilor către terți, cum ar fi, de exemplu, obiceiul de a vizita site-uri web
• înregistrarea tastelor pentru a fura informații precum parole și numere de card de credit
• dezactivare sau interferență programe antivirusși firewall

Deghizare

Mulți troieni se află pe computerele utilizatorilor fără știrea acestora. Uneori, troienii sunt înregistrați în Registry, ceea ce duce la lansarea lor automată la pornire sistem de operare. Troienii pot fi, de asemenea, combinați cu fișiere legitime. Când un utilizator deschide un astfel de fișier sau lansează o aplicație, troianul este lansat împreună cu acesta.

Cum funcționează troianul

Troienii constau de obicei din două părți: client și server. Serverul rulează pe mașina victimă și ascultă conexiunile de la Client. În timp ce Serverul rulează, monitorizează un port sau mai multe porturi în căutarea unei conexiuni de la Client. Pentru ca un atacator să se conecteze la Server, acesta trebuie să cunoască adresa IP a mașinii pe care rulează. Unii troieni trimit atacatorului adresa IP a mașinii victimei prin e-mail sau prin alte mijloace. Imediat ce se realizează o conexiune cu Serverul, Clientul îi poate trimite comenzi, pe care Serverul le va executa. În prezent, datorită tehnologiei NAT, este imposibil să accesezi majoritatea computerelor prin adresa lor IP externă. Prin urmare, astăzi mulți troieni se conectează la computerul atacatorului, care este responsabil pentru acceptarea conexiunilor de conectare, în loc ca atacatorul însuși să încerce să se conecteze la victimă. Mulți troieni moderni pot ocoli cu ușurință firewall-urile de pe computerele utilizatorilor.

Colectarea de informații din surse deschise

Utilizarea tehnicilor de inginerie socială necesită nu numai cunoștințe de psihologie, ci și capacitatea de a colecta informațiile necesare despre o persoană. O modalitate relativ nouă de a obține astfel de informații a fost colectarea acestora din surse deschise, în principal din rețelele sociale. De exemplu, site-uri precum livejournal, Odnoklassniki, Vkontakte, conțin o cantitate imensă de date pe care oamenii nici măcar nu încearcă să le ascundă. regula , utilizatorii nu acordă atenția cuvenită problemelor de securitate, lăsând în acces liber date și informații care pot fi folosite de un atacator.

Un exemplu ilustrativ este povestea răpirii fiului lui Eugene Kaspersky. În cadrul cercetării, s-a constatat că infractorii au aflat programul zilei și traseele adolescentului din însemnările acestuia de pe pagina de pe rețeaua de socializare.

Chiar și prin restricționarea accesului la informațiile de pe pagina sa de pe o rețea de socializare, utilizatorul nu poate fi sigur că nu va cădea niciodată în mâinile escrocilor. De exemplu, un cercetător brazilian pe Securitatea calculatorului a arătat că este posibil să devii prieten cu orice utilizator Facebook în 24 de ore folosind metode de inginerie socială. În timpul experimentului, cercetătorul Nelson Novaes Neto a ales o „victimă” și a creat un cont fals despre o persoană din mediul ei - șeful ei. Mai întâi, Neto a trimis cereri de prietenie prietenilor prietenilor șefului victimei, iar apoi direct prietenilor săi. După 7,5 ore, cercetătorul a obținut o adăugare de prieten de la „victimă”. Astfel, cercetătorul a avut acces la informațiile personale ale utilizatorului, pe care le-a împărtășit doar prietenilor săi.

măr de drum

Această metodă de atac este o adaptare Cal troian, și constă în utilizarea suporturilor fizice . Atacatorul îl plasează pe „infectat”, sau flash, într-un loc unde gazda poate fi găsită cu ușurință (toaletă, lift, parcare). Transportatorul este falsificat ca fiind oficial și este însoțit de o semnătură menită să trezească curiozitatea. De exemplu, un escroc poate vomita, echipat cu un logo corporativ și un link către site-ul oficial al companiei, furnizându-i inscripția „ Salariu Discul poate fi lăsat pe podeaua liftului sau în hol.Un angajat care nu știe poate ridica discul și îl poate introduce în computer pentru a-și satisface curiozitatea.

Inginerie socială inversă

Ingineria socială inversă este menționată atunci când victima însăși oferă atacatorului informațiile de care are nevoie. Poate părea absurd, dar, în realitate, autoritățile tehnice sau sociale obțin adesea ID-uri de utilizator, parole și alte informații personale sensibile pur și simplu pentru că nimeni nu se îndoiește de integritatea lor. De exemplu, angajații biroului de asistență nu cer niciodată utilizatorilor un ID sau o parolă; nu au nevoie de aceste informații pentru a rezolva probleme. Cu toate acestea, mulți utilizatori împărtășesc voluntar aceste informații sensibile pentru a rezolva problemele cât mai curând posibil. Se pare că atacatorul nici nu trebuie să întrebe despre asta.

Un exemplu de inginerie socială inversă este următorul scenariu simplu. Atacatorul, lucrând cu victima, schimbă numele unui fișier de pe computerul victimei sau îl mută într-un alt director. Când victima observă că fișierul lipsește, atacatorul pretinde că îl poate repara. Dorind să finalizeze lucrarea mai repede sau să evite pedeapsa pentru pierderea de informații, victima este de acord cu această propunere. Atacatorul susține că singura modalitate de a rezolva problema este autentificarea cu acreditările victimei. Acum, victima îi cere atacatorului să se conecteze sub numele ei pentru a încerca să recupereze fișierul. Atacatorul acceptă fără tragere de inimă și recuperează fișierul, furând ID-ul și parola victimei pe parcurs. După ce a efectuat cu succes atacul, și-a îmbunătățit chiar reputația și este foarte posibil ca și alți colegi să apeleze la el pentru ajutor după aceea. Această abordare nu interferează cu procedurile normale ale serviciului de asistență și face mai dificilă prinderea atacatorului.

Ingineri sociali de seamă

Kevin Mitnick

Kevin Mitnick. la nivel mondial hacker celebru si consultant de securitate

Unul dintre cei mai faimoși ingineri sociali din istorie este Kevin Mitnick. În calitate de hacker și consultant de securitate de renume mondial, Mitnick este, de asemenea, autorul a numeroase cărți despre securitatea computerelor, concentrându-se în primul rând pe ingineria socială și tehnicile de manipulare psihologică. În 2002, a fost publicată sub paternitatea sa cartea „Arta înșelăciunii”, care povestește despre povești reale aplicarea ingineriei sociale. Kevin Mitnick a susținut că este mult mai ușor să obții o parolă trișând decât încercând să intri într-un sistem de securitate.

Frații Badir

Deși frații Mundir, Mushid și Shadi Badir au fost orbi de la naștere, ei au reușit să realizeze mai multe scheme majore de fraudă în Israel în anii 1990, folosind ingineria socială și falsificarea vocii. Într-un interviu TV, ei au spus: „Numai cei care nu folosesc telefonul, electricitatea și laptopul sunt asigurați în totalitate împotriva atacurilor de rețea”. Frații au fost deja în închisoare pentru că au putut să audă și să descifreze tonurile secrete de interferență ale furnizorilor. comunicare telefonică. Au făcut apeluri lungi în străinătate pe cheltuiala altcuiva, reprogramând computerele furnizorilor de comunicații celulare cu tonuri de interferență.

Arhanghel

Coperta revistei „Phrack”.

faimos hacker de calculatorși consultant de securitate pentru Phrack Magazine, o renumită revistă online în limba engleză, Arhanghelul a demonstrat puterea tehnicilor de inginerie socială obținând parole de la un număr imens de diverse sisteme, înşelând câteva sute de victime.

Alte

Inginerii sociali mai puțin cunoscuți sunt Frank Abagnale, David Bannon, Peter Foster și Stephen Jay Russell.

Modalități de protecție împotriva ingineriei sociale

Pentru a-și efectua atacurile, atacatorii care folosesc tehnici de inginerie socială exploatează adesea credulitatea, lenea, curtoazia și chiar entuziasmul utilizatorilor și angajaților organizațiilor. Apărarea împotriva unor astfel de atacuri nu este ușoară, deoarece victimele lor nu bănuiesc că au fost înșelate. Atacatorii de inginerie socială au practic aceleași obiective ca orice alți atacatori: doresc bani, informații sau resursele IT ale companiei victime. Pentru a vă proteja împotriva unor astfel de atacuri, trebuie să studiați soiurile lor, să înțelegeți de ce are nevoie atacatorul și să evaluați daunele care pot fi cauzate organizației. Cu toate aceste informații, măsurile de protecție necesare pot fi integrate în politica de securitate.

Clasificarea amenințărilor

Amenințări prin e-mail

Mulți angajați primesc zilnic prin companii și private sisteme de poștă zeci și chiar sute de e-mailuri. Desigur, cu un asemenea flux de corespondență, este imposibil să acordăm atenția cuvenită fiecărei litere. Acest lucru face mult mai ușor să efectueze atacuri. Majoritatea utilizatorilor sistemelor de e-mail sunt calmi în privința procesării unor astfel de mesaje, percepând această lucrare ca un analog electronic al trecerii documentelor dintr-un folder în altul. Când un atacator trimite o cerere simplă prin poștă, victima face adesea ceea ce i se cere fără să se gândească la acțiunile lor. E-mailurile pot conține hyperlink-uri care încurajează angajații să încalce securitatea mediului corporativ. Astfel de link-uri nu duc întotdeauna la paginile revendicate.

Majoritatea măsurilor de securitate au ca scop prevenirea accesului utilizatorilor neautorizați la resursele corporative. Dacă, făcând clic pe un hyperlink trimis de un atacator, un utilizator descarcă rețeaua corporativă un troian sau un virus, acest lucru vă va permite să ocoliți cu ușurință multe tipuri de protecție. Hyperlinkul poate indica, de asemenea, către un site cu aplicații pop-up care solicită date sau oferă ajutor. Ca și în cazul altor tipuri de escrocherii, cea mai eficientă modalitate de a vă proteja împotriva atacurilor rău intenționate este să fiți sceptic față de orice e-mailuri neașteptate primite. Pentru a extinde această abordare în întreaga organizație, politica de securitate ar trebui să includă linii directoare specifice de utilizare a e-mailului care să acopere elementele enumerate mai jos.

• Anexele la documente.
• Hyperlink-uri în documente.
• Cereri de personal sau informație corporativă provenind din interiorul companiei.
• Solicitări de informații personale sau corporative din afara companiei.

Amenințări asociate cu utilizarea serviciului de mesagerie instantanee

Mesagerie instantanee - comparativ Metoda noua transmisia de date, cu toate acestea, a câștigat deja o mare popularitate în rândul utilizatorilor corporativi. Datorită vitezei și ușurinței de utilizare, această metodă de comunicare deschide oportunități largi pentru diverse atacuri: utilizatorii o tratează ca pe o conexiune telefonică și nu o asociază cu potențiale amenințări software. Cele două tipuri principale de atacuri bazate pe utilizarea serviciului de mesagerie instant sunt referirea la malware-ul din corpul mesajului și livrarea programului în sine. Desigur, mesageria instantanee este și o modalitate de a solicita informații. Una dintre caracteristicile serviciilor de mesagerie instant este natura informală a comunicării. Combinat cu capacitatea de a se autoidentifica, acest factor face mult mai ușor pentru un atacator să uzurpare identitatea unei alte persoane și crește semnificativ șansele acestora de a efectua cu succes un atac.Dacă o companie intenționează să folosească economiile de costuri și alte beneficii oferite. schimb instantaneu mesaje, este necesar să se prevadă mecanisme de protecție împotriva amenințărilor relevante în politicile de securitate corporative. Pentru control securizat asupra mesageriei instantanee în mediul corporativ trebuie îndeplinite mai multe cerințe.

• Alegeți o platformă pentru mesageria instantanee.
• Determinați setările de securitate pe care le setați la implementarea serviciului de mesagerie instantanee.
• Definiți principiile pentru stabilirea de noi contacte
• Stabiliți standarde pentru alegerea parolelor
• Faceți recomandări pentru utilizarea serviciului de mesagerie instantanee.

Model de securitate stratificat

Pentru pază companii mariși angajații lor de la fraudatori care folosesc tehnici de inginerie socială, sunt adesea folosite sisteme complexe de securitate pe mai multe niveluri. Unele dintre caracteristicile și responsabilitățile acestor sisteme sunt enumerate mai jos.

• Siguranță fizică. Bariere care restricționează accesul la clădirile companiei și la resursele corporative. Nu uitați că resursele companiei, precum containerele de gunoi situate în afara sediului companiei, nu sunt protejate fizic.
• Date. Informații comerciale: conturi, corespondență prin poștă etc. Atunci când se analizează amenințările și se planifică măsuri pentru protecția datelor, este necesar să se determine principiile de manipulare a hârtiei și medii electronice date.
• Aplicații. Programe rulate de utilizatori. Pentru a proteja mediul, este necesar să se ia în considerare modul în care atacatorii pot folosi programe de email, servicii de mesagerie instant și alte aplicații.
• Calculatoare. Servere și sisteme client utilizate în organizație. Protejați utilizatorii de atacurile directe asupra computerelor lor prin definirea unor linii directoare stricte pentru programele care pot fi utilizate pe computerele corporative.
• Rețea internă. Rețeaua prin care interacționează sisteme corporative. Poate fi local, global sau wireless. V anul trecut Datorită popularității tot mai mari a metodelor de lucru la distanță, limitele rețelelor interne au devenit în mare măsură arbitrare. Angajații companiei trebuie să li se explice ce trebuie să facă pentru organizație munca siguraîn orice mediu de rețea.
• perimetrul rețelei. granita dintre rețele interne companie și extern, cum ar fi internetul sau rețelele organizațiilor partenere.

O responsabilitate

Pretextarea și înregistrarea convorbirilor telefonice

Hewlett Packard

Patricia Dunn, președintele corporației Hewlett Packard, a raportat că a angajat o companie privată pentru a-i identifica pe acei angajați ai companiei care au fost responsabili pentru scurgerea de informații confidențiale. Mai târziu, șeful corporației a recunoscut că studiul a folosit practica pretextului și alte tehnici de inginerie socială.

Note

Vezi si

Legături

• SocialWare.com - Proiect privat de inginerie socială
• - Inginerie socială: Fundamente. Partea I: Tactica hackerilor

Inginerie sociala — acces neautorizat la informații confidențiale prin manipularea conștiinței umane. Metodele de inginerie socială se bazează pe particularitățile psihologiei și vizează exploatarea slăbiciunilor umane (naivitatea, neatenția, curiozitatea, interesele comerciale). Ele sunt utilizate în mod activ de hackerii sociali atât pe Internet, cât și în afara acestuia.

Cu toate acestea, referitor la tehnologii digitale, resurse web, computere, smartphone-uri - „ceața creierului” a utilizatorilor rețelei apare într-un mod ușor diferit. Escrocii pun la cale „capcane”, „capcane” și alte trucuri oriunde și în orice mod, în rețelele de socializare, pe portaluri de jocuri, în electronice cutiile poştaleși servicii online. Iată doar câteva exemple de tehnici de inginerie socială:

Ca cadou de sărbătoare... un cal troian

Indiferent de caracter, profesie, solvabilitate financiară, toată lumea așteaptă sărbătorile: An Nou, 1 Mai, 8 Martie, Ziua Îndrăgostiților etc., pentru a le sărbători în mod natural, relaxează-te, umple-ți aura spirituală de pozitiv și, pe parcurs, schimbă felicitări cu colegii tăi.

În acest moment, hackerii sociali sunt deosebit de activi. De sărbători și sărbători trimit cărți poștale către conturile de servicii de poștă: luminoase, colorate, cu acompaniament muzical și... virus periculos Troian. Victima, neștiind nimic despre o astfel de înșelăciune, fiind în euforia distracției sau, pur și simplu, a curiozității, dă clic pe cartea poștală. În același moment, malware-ul infectează sistemul de operare și apoi așteaptă moment convenabil să fure datele de înregistrare, numărul cardului de plată sau să înlocuiască pagina web a magazinului online din browser cu una falsă și să fure bani din cont.

Reducere favorabilă și virus „în încărcătură”

Un mare exemplu de inginerie socială. Dorința de a-ți „salva” banii câștigați cu greu este destul de justificată și de înțeles, dar în limite rezonabile și în anumite circumstanțe. Este vorba despre „nu tot ce strălucește este aur”.

Escrocii sub masca celor mai mari branduri, magazine online și servicii, în design adecvat, oferă să cumpere mărfuri la o reducere incredibilă și, pe lângă achiziție, primesc un cadou... Ei fac liste de corespondență false, creează grupuri pe rețelele sociale și „ramurile” tematice pe forumuri.

Orășenii naivi, după cum se spune, sunt „conduși” la acest afiș comercial luminos: în grabă recalculează cât a mai rămas din salariu, plată în avans și dă clic pe linkul „cumpără”, „mergi pe site-ul pentru cumpărare”, etc. După aceea, în 99 din 100 de cazuri, în loc de o achiziție profitabilă, primesc un virus pe computer sau trimit bani către hackeri sociali gratuit.

Jucător Donează +300% abilități de hoț

În jocurile online și în jocurile multiplayer în general, cu rare excepții, cei mai puternici supraviețuiesc: cine are armură mai puternică, daune, magie mai puternică, mai multă sănătate, mana etc.

Și, desigur, fiecare jucător vrea să obțină aceste artefacte prețuite pentru persanul, tancul, avionul și Dumnezeu știe ce altceva. În bătălii sau în campanii, personal sau pe bani reali (funcția de donație) în magazinul virtual de jocuri. Să fii cel mai bun, primul... să ajungă la ultimul nivel de dezvoltare.

Escrocii sunt conștienți de aceste „slăbiciuni ale jocurilor de noroc” și în orice mod posibil îi ispitesc pe jucători să dobândească artefacte și abilități prețuite. Uneori pentru bani, alteori gratuit, dar asta nu schimbă esența și scopul schemei răutăcioase. Ofertele tentante pe site-uri false sună cam așa: „descărcați această aplicație”, „instalați patch-ul”, „mergeți în joc pentru a obține articolul”.

În loc de un bonus mult așteptat, contul unui jucător este furat. Dacă este perfect „pompat”, răpitorii îl vând sau obțin date de plată de la el (dacă există).

Malware + inginerie socială = un amestec de insidiositate

Pictograme de atenție!

Mulți utilizatori folosesc mouse-ul în sistemul de operare pe „pilot automat”: click aici, aici; a descoperit asta, aia, aia. Este rar ca unul dintre ei să se uite îndeaproape la tipul fișierelor, volumul și proprietățile acestora. Dar în zadar. Hackerii se deghizează fișiere executabile malware în condiții normale folderele Windows, imagini sau aplicații de încredere, adică exterior, vizual, nu le puteți distinge. Utilizatorul face clic pe folder, conținutul acestuia, desigur, nu se deschide, deoarece acesta nu este deloc un folder, ci un program de instalare de viruși cu extensia .exe. Și malware-ul pătrunde „în tăcere” în sistemul de operare.

Adevăratul „antidot” pentru astfel de trucuri este fișierul Manager total comandant. Spre deosebire de integrat Windows Explorer, afișează toate intrările și ieșirile fișierului: tip, volum, data creării. Cel mai mare pericol potențial pentru sistem îl reprezintă fișierele necunoscute cu extensii: „.scr”, „.vbs”, „.bat”, „.exe”.

Frica alimentează încrederea

1. Utilizatorul deschide un „site de groază” și este informat imediat despre cele mai neplăcute știri, sau chiar despre cele mai neplăcute știri: „PC-ul dvs. este infectat cu cel mai periculos troian”, „10, 20 ... 30 de viruși au fost găsiți în dvs. OS”, „spam-ul este trimis de pe computer” etc.
2. Și se oferă imediat (afișează „grijire”) să instaleze un antivirus și, prin urmare, să rezolve problema de securitate exprimată pe site. Și cel mai important, complet gratuit.
3. Dacă un vizitator este copleșit de frica pentru computerul său, urmează linkul și descarcă ... doar că nu un antivirus, ci un antivirus fals - un fals plin de viruși. Se instalează și se lansează - consecințele sunt adecvate.

• În primul rând, un site web nu poate verifica într-o clipită computerul unui vizitator și nu poate detecta malware.
• În al doilea rând, dezvoltatorii își distribuie antivirusurile, fie că sunt plătite sau gratuite, prin site-urile lor, adică oficiale.
• Și, în sfârșit, în al treilea rând, dacă există îndoieli și temeri cu privire la un sistem de operare „curat” sau nu, este mai bine să verificați partiția sistemului, cu ce este disponibil, adică antivirusul instalat.

Rezumând

Psihologia și hacking-ul de astăzi merg mână în mână - un tandem de exploatare a slăbiciunilor umane și a vulnerabilităților software. Fiind pe internet, în sărbători și în zilele lucrătoare, zi sau noapte, și indiferent de dispoziție, este imperativ să fii vigilent, să reprimi naivitatea, să alungi intuițiile de câștig comercial și ceva „gratuit”. Căci, după cum știți, numai brânză se distribuie degeaba și numai într-o capcană pentru șorici. Creați doar parole, stocați-le în locuri și rămâneți la noi, pentru că, după cum știți, nu există prea multă securitate.

Aceasta este o metodă de control al acțiunilor umane fără utilizarea mijloacelor tehnice. Metoda se bazează pe exploatarea punctelor slabe ale factorului uman și este considerată foarte distructivă. Adesea, ingineria socială este considerată o metodă ilegală de obținere a informațiilor, dar acest lucru nu este în întregime adevărat. Ingineria socială poate fi folosită și în scopuri legitime și nu numai pentru a obține informații, ci și pentru a efectua acțiuni ale unei anumite persoane. Astăzi, ingineria socială este adesea folosită pe Internet pentru a obține informatie clasificata, sau informații care sunt de mare valoare.

Atacatorul obține informații, de exemplu, prin culegerea de informații despre angajații țintei, printr-un simplu apel telefonic sau prin infiltrarea într-o organizație deghizată în angajat.

Un atacator poate apela un angajat al companiei (sub pretextul Serviciu tehnic) și extrageți parola, referindu-se la necesitatea de a rezolva o mică problemă în sistem informatic. Foarte des acest truc funcționează.

Numele angajaților pot fi găsite după o serie de apeluri și studierea numelor managerilor pe site-ul companiei și alte surse informații deschise(rapoarte, reclame etc.).

Folosind nume reale într-o conversație cu serviciul de asistență tehnică, atacatorul spune o poveste fictivă că nu poate ajunge la o întâlnire importantă de pe site cu cont acces de la distanță.

Un alt ajutor în această metodă este studiul gunoiului organizațiilor, coșurile de gunoi virtuale, furtul laptop sau mass-media.

Această metodă este utilizată atunci când atacatorul a vizat o anumită companie ca victimă.

Inginerie sociala este o știință relativ tânără, ceea ce este parte integrantă sociologie, și pretinde a fi totalitatea acelor cunoștințe specifice care ghidează, ordonează și optimizează procesul de creare, modernizare și reproducere a noilor realități sociale ("artificiale"). Într-un anumit fel, ea „termină” știința sociologică, o completează în stadiul transformării cunoștințelor științifice în modele, proiecte și construcții de instituții sociale, valori, norme, algoritmi de activitate, relații, comportament etc.gândirea sintetică și cunoașterea proceduri (tehnologii) formalizate ale activitatii de proiectare si inventie. În caracterizarea operaţiilor formalizate care alcătuiesc aceasta din urmă, se acordă o atenţie deosebită operaţiilor de combinatorie complexă. Ignorarea principiului consecvenței în operațiunile combinatoriei a provocat și continuă să producă pagube mari la toate nivelurile proceselor de transformare care au loc în societatea noastră. Cunoaștere consecventă Cerințele fundamentale pentru aceste operațiuni oferă motive pentru prevenirea perversiunilor eronate în practica reformei la nivelurile macro, mezo și micro.

În ciuda faptului că conceptul de inginerie socială a apărut recent, oamenii într-o formă sau alta și-au folosit tehnicile din timpuri imemoriale. În aceeași Grecia Antică și Roma, oamenii care puteau să-și atârne orice tăiței pe urechi și să-l convingă pe interlocutorul de „greșeala evidentă” erau foarte apreciați. Vorbind în numele liderilor, aceștia au purtat negocieri diplomatice și, amestecând în cuvintele lor minciuni, lingușiri și argumente avantajoase, rezolvau adesea probleme care, altfel, nu puteau fi rezolvate fără ajutorul sabiei. Printre spioni, ingineria socială a fost întotdeauna principala armă. Dându-se în oricine, agenții KGB și CIA ar putea descoperi cele mai teribile secrete de stat.

La începutul anilor 1970, în perioada de glorie a phreaking-ului, unii huligani de telefonie s-au amuzat sunând operatorii Ma Bell de la cabinele stradale și batjocorindu-i despre competență. Apoi cineva, evident, și-a dat seama că, dacă rearanjezi puțin frazele și te întinzi ici și colo, le poți forța. personalul nu face doar scuze, ci oferă informații confidențiale într-un acces de emoții. Freakers au început să experimenteze încet cu trucuri și până la sfârșitul anilor 70 au pus la punct tehnicile de manipulare a operatorilor nepregătiți în așa măsură încât puteau învăța cu ușurință aproape tot ce doreau de la ei.

A vorbi dinții oamenilor la telefon pentru a obține niște informații sau pentru a-i determina să facă ceva era echivalat cu artă. Profesioniștii din acest domeniu au fost foarte mândri de măiestria lor. Cei mai pricepuți ingineri sociali (cântăreți) au acționat mereu improvizat, bazându-se pe instinctele lor. Prin întrebările conducătoare, prin intonația vocii, ei puteau determina complexele și temerile unei persoane și, orientându-se instantaneu, să se joace cu ele. Dacă era o fată tânără, recent angajată la celălalt capăt al firului - phreakerul a sugerat posibile necazuri cu șeful, dacă era un fel de saltea încrezătoare în sine - era suficient să se prezinte ca un utilizator începător care are nevoie pentru a fi arătate și spuse totul. Fiecare avea propria sa cheie. Odată cu apariția computerelor, mulți phreakeri s-au mutat în rețelele de computere și au devenit hackeri. Competențele SI într-o zonă nouă au devenit și mai utile. Dacă mai devreme creierul operatorului era pudrat în principal pentru a obține informații din directoarele corporative, acum a devenit posibil să aflăm parola pentru intrarea într-un sistem închis și să descărcați o grămadă din aceleași directoare sau ceva secret de acolo. Mai mult, această metodă a fost mult mai rapidă și mai ușoară decât cea tehnică. Nu este nevoie să cauți găuri în sistemul de protecție în grămada, nu trebuie să aștepți ca Jack Spintecătorul să ghicească parola corecta, nu este necesar să jucați pisica și șoarecele cu administratorul. Este suficient să suni telefonic și, cu abordarea corectă, la celălalt capăt al firului vor suna cuvântul prețuit.

Tehnici și termeni de inginerie socială

Toate tehnicile de inginerie socială se bazează pe caracteristicile luării deciziilor umane, numite bază cognitivă. Ele pot fi numite și o caracteristică a procesului decizional al psihologiei umane și sociale, pe baza faptului că o persoană trebuie să aibă încredere în cineva în mediul social al educației.

Pretextarea

Pretextarea este o acțiune elaborată conform unui scenariu precompilat (pretext). Ca urmare, ținta trebuie să ofere anumite informații sau să efectueze o anumită acțiune. Acest tip de atac este folosit de obicei prin telefon. De cele mai multe ori, această tehnică implică mai mult decât o minciună și necesită câteva cercetări prealabile (de ex., personalizare: data nașterii, suma ultimei facturi etc.) pentru a asigura credibilitatea țintei. Acest tip include și atacuri asupra mesagerilor online, de exemplu, asupra ICQ.

phishing

Phishingul este o tehnică care vizează obținerea frauduloasă de informații confidențiale. De obicei, un atacator trimite țintei un e-mail care arată ca o scrisoare oficială - de la o bancă sau un sistem de plată - care necesită „verificarea” anumitor informații sau a anumitor acțiuni. Acest e-mail conține de obicei un link către o pagină web falsă care o imită pe cea oficială, cu o siglă corporativă și conținut și conține un formular care vă cere să introduceți informații confidențiale - de la adresa de domiciliu până la codul cardului bancar.

Cal troian

Această tehnică exploatează curiozitatea sau lăcomia țintei. Atacatorul trimite un e-mail care conține un screen saver „cool” sau „sexy”, un upgrade antivirus important sau chiar murdărie proaspătă asupra unui angajat ca atașament. Această tehnică rămâne eficientă atâta timp cât utilizatorii fac clic orbește pe orice atașament.

măr de drum

Această metodă de atac este o adaptare a calului troian și constă în utilizarea mediilor fizice. Un atacator poate planta un CD sau o unitate flash infectată într-un loc unde media poate fi găsită cu ușurință (toaletă, lift, parcare). Transportatorul este falsificat ca fiind oficial și este însoțit de o semnătură menită să trezească curiozitatea.

Exemplu: un atacator ar putea să pună un CD care să poarte sigla companiei și un link către site-ul web oficial al companiei vizate și să-l eticheteze „Salariu executiv T1 2007”. Discul poate fi lăsat la etajul liftului sau în hol. Un angajat poate ridica, fără să știe, un disc și să îl introducă într-un computer pentru a-și satisface curiozitatea, sau pur și simplu un „bun samaritean” va duce discul la companie.

Qui pro quo

Un atacator poate suna Număr aleatoriu companiei și să se prezinte ca o persoană de sprijin întrebând dacă există probleme tehnice. Dacă sunt, în proces de „rezolvare” a acestora, ținta introduce comenzi care permit hackerului să ruleze software rău intenționat.

Inginerie socială inversă

Scopul ingineriei sociale inverse este de a forța ținta să apeleze la atacator pentru „ajutor”. În acest scop, un hacker poate folosi următoarele tehnici:

* Diversiunea. Creați o problemă reversibilă pe computerul victimei.

Protejarea utilizatorilor de ingineria socială

Pentru a proteja utilizatorii de ingineria socială, pot fi utilizate atât mijloace tehnice, cât și antropice.

Protecție antropică

Cele mai simple metode de protecție antropică pot fi numite:

* Atragerea atenției oamenilor asupra problemelor de securitate.

* Conștientizarea de către utilizatori a gravității problemei și adoptarea politicii de securitate a sistemului.

* Studiul și implementarea metodelor și acțiunilor necesare pentru îmbunătățirea protecției securității informațiilor.

Aceste instrumente au un dezavantaj comun: sunt pasive. Un procent uriaș de utilizatori nu acordă atenție avertismentelor, chiar și celor scrise cu fontul cel mai vizibil.

Protectie tehnica

Protecția tehnică include mijloace care împiedică obținerea de informații și mijloace care vă împiedică să utilizați informațiile primite.

Cele mai frecvente dintre atacurile din spațiul informațional al rețelelor sociale folosind punctele slabe ale factorului uman au fost atacurile cu ajutorul e-mail-urilor, precum: e-mail și poștă internă a rețelei. Ambele metode pot fi aplicate cel mai eficient la astfel de atacuri. protectie tehnica. Puteți împiedica un atacator să obțină informațiile solicitate analizând atât textul e-mailurilor primite (probabil atacatorul), cât și e-mailurile trimise (probabil ținta atacului). Cuvinte cheie. Dezavantajele acestei metode includ o încărcare foarte mare pe server și incapacitatea de a asigura toate ortografiile cuvintelor. De exemplu, dacă un hacker știe că programul răspunde la cuvântul „parolă” și la cuvântul „specificați”, atacatorul le poate înlocui cu „parolă” și, în consecință, „introduceți”. De asemenea, merită luată în considerare și posibilitatea de a scrie cuvinte cu înlocuirea literelor chirilice cu latină pentru caracterele de potrivire (a, c, e, o, p, x, y, A, B, C, E, H, K, M, O, P, T, X) și utilizarea așa-numitului limbaj t+[termen necunoscut].

Mijloacele care împiedică utilizarea informațiilor primite pot fi împărțite în acelea care blochează complet utilizarea datelor oriunde, cu excepția locului de muncă al utilizatorului (obligarea datelor de autentificare la numere de serieși semnăturile electronice ale componentelor computerului, adresele ip și fizice), precum și cele care fac imposibilă (sau dificil de implementat) utilizarea automată a resurselor primite (de exemplu, autorizarea folosind sistemul Captcha, atunci când trebuie să selectați imaginea specificată anterior sau o parte a imaginii ca parolă, dar este puternic distorsionată). Atât în ​​primul cât și în cel de-al doilea caz, echilibrul binecunoscut dintre valoarea informațiilor solicitate și munca necesară pentru obținerea acesteia se deplasează, în general, spre muncă, întrucât posibilitatea automatizării este blocată parțial sau complet. Astfel, chiar și cu toate datele furnizate de un utilizator nebănuitor, de exemplu, cu scopul de a trimite în masă mesaj publicitar(spam), atacatorul va trebui să introducă în mod independent detaliile primite în etapa fiecărei iterații.