Partea 1 (divizată în părți din cauza dimensiunii articolului. De îndată ce obțin 50 de vizualizări, o postez pe a doua).
Mulți hackeri adevărați care sunt angajați în mod constant în hacking au întotdeauna câteva trucuri SI în stoc, deoarece acolo unde este imposibil să găsiți o vulnerabilitate în cod, aceasta poate fi adesea găsită în mintea serviciului de asistență sau a proprietarului unui e. -mail, ICQ sau site web...
De la teorie la practică
Ați citit deja ce este ingineria socială într-unul dintre numerele anterioare ale revistei dvs. preferate, așa că putem spune cu siguranță că hardware-ul a fost stăpânit cu succes. Acum propun să fac o plimbare de antrenament.
Inginerii sociali sunt oameni foarte plăcuti cu care să vorbești: culți, prietenoși, cu un mare simț al umorului. Au o minte incredibil de flexibilă, o gândire inovatoare și o mulțime de idei despre cum să-și atingă obiectivele în mod mai eficient. La ei m-am adresat pentru ajutor în pregătirea materialului. Consultanții noștri vor fi: GoodGod - creatorul unuia dintre cele mai populare proiecte în limba rusă despre ingineria socială socialware.ru; Ayumi (spylabs.org); Ivan este un alt maestru al hackingului creierului uman care a dorit să rămână incognito.
Merge!
Deturnarea numărului ICQ (fără e-mail principal)
Pentru a deturna ICQ veți avea nevoie de:
- o listă de domenii cu e-mailuri înregistrate pe ele (cum să le obțineți - citiți în numărul din decembrie ][ pentru 2009, videoclipul „Deturnarea în masă a domeniilor” de la GoodGod);
- numărul ICQ de la care va avea loc atacul inițial;
- Număr ICQ eliberat pentru un specialist SEO (cu date și detalii relevante în informații).
Dacă nu doriți să faceți cunoștință imediat, opriți această conversație pentru un timp, deoarece dacă apăsați prea tare, efectul poate fi invers; Mai bine reveniți la asta puțin mai târziu sub alt pretext.
Apropo, dacă victima este în mod natural timidă, nu o vei forța să ia contact cu un străin, așa că va trebui să te angajezi în „proxenetism”, pentru ca cunoștința să aibă loc. Și astfel, clientul apelează la un prieten SEO (adică la tine). Arătați o neîncredere sănătoasă la început punând întrebări de genul „De unde ați auzit despre proiect? De la Sasha? Ah, Sasha... Da, îmi amintesc. Ok, acum vă voi spune esența lucrării.” Apoi, spuneți-ne despre proiectul ICQ Search, promovarea site-ului web, descrieți opțiunile de plată (200 de ruble pe zi sau 1400 pe săptămână - lăsați-l să aleagă opțiunea care este convenabilă pentru el). Concentrați constant atenția „clientului” asupra detaliilor realiste, astfel încât să îi distrageți atenția de la gândurile inutile. Cu cât atacul este mai intens și cu cât mai multe informații noi, cu atât mai puțin timp are să se gândească la ceea ce se întâmplă. În cele din urmă, descrieți schema pentru a câștiga bani: lăsați-l să selecteze un site din lista pregătită la început, să se uite prin whois la e-mailul la care este legat site-ul (lasă-l să o facă singur) și să îl introducă în „E-mail ” din profilul său ICQ. Asigurați-vă că explicați că, dacă același e-mail este indicat în ICQ și datele de domeniu, atunci cu cât ICQ este căutat mai des în căutare, cu atât este mai mare clasarea site-ului în motorul de căutare. De îndată ce victima a finalizat legarea, restabiliți parola la adresa de e-mail specificată, iar UIN-ul este al tău!
Dacă parola nu ajunge prin e-mail, înseamnă că numărul are deja o e-mail principală, iar deturnarea trebuie organizată într-un mod diferit.
Hacking mail
Aflați răspunsul la întrebarea secretă
Întrebările de pe serverele de e-mail sunt de obicei destul de asemănătoare:
- Numele de fată al mamei lui;
- Mancare favorita;
- Numele animalului de companie;
- Pașaport ID;
- Întrebare personală (numele primului profesor; index; filmul preferat; interpretul preferat).
Ce scheme funcționează? Numele de fată al mamei - începe un subiect despre arborele genealogic sau ce nume amuzant avea mama ta înainte de căsătorie. Felul de mâncare preferat - totul este clar aici. Nume animal - vorbiți despre animale de companie: trecut, prezent și viitor, deoarece cuvântul de cod poate fi numele primului hamster donat. Va fi mai dificil cu numărul de pașaport. Aici puteți fi tentat să cumpărați un produs ieftin, rar, de exemplu, care este livrat cu plată la livrare, dar pentru a plasa o comandă aveți nevoie de detaliile pașaportului și codul de identificare. Puteți afla numele primului profesor de la colegii de clasă ai victimei, sau vorbiți direct cu ea despre profesorii ei preferați; Este mai ușor să obțineți indexul prin descărcarea bazei de date a orașului și pur și simplu puteți afla de la victimă în ce zonă locuiește. Principalul lucru aici este ingeniozitatea, imaginația și răbdarea.
Există o nuanță mică, dar importantă. Uneori, la întrebarea „Mâncarea preferată”, răspunsul poate fi, de exemplu, un număr de telefon, adică o discrepanță completă între întrebare și răspuns. Aici va trebui să începeți o conversație despre combinațiile ridicole și lipsa de sens a întrebărilor de securitate, apoi să începeți totul de la capăt, de preferință sub alt cont.
Contactarea asistenței pentru clienți
Această metodă este mai laborioasă și înfricoșătoare, dar este necesară dacă victima nu dorește să „injecteze” sau dacă cutia este „moartă”, adică proprietarul nu a mai vizitat-o de mult. Pentru a face acest lucru, accesați pagina de asistență a serviciului de e-mail dorit și scrieți o scrisoare prin care vă cereți recuperarea parolei furate. Cel mai probabil, vi se va cere numele, prenumele (sau datele care au fost specificate la înregistrare), data nașterii și data aproximativă a înregistrării casetei (cel puțin un an). Prin urmare, încercați să aflați cât mai multe informații despre victimă și cutia ei. Motoarele de căutare, rețelele sociale și blogurile vă vor ajuta în acest sens.
phishing
Una dintre cele mai eficiente moduri de a obține o parolă fără ca proprietarul să știe despre aceasta. Victimei i se oferă un link pe care să îl urmărească și să-și introducă numele de utilizator și parola. Aceste date sunt trimise într-un fișier de raport, bază de date (dacă furtul este masiv) sau e-mail. Principalul truc este de a forța victima să facă clic pe acest link. Forma poate fi orice:
- Un mesaj „de la administrație” (a se citi: de la un serviciu de e-mail cu o adresă falsificată) despre spam din această cutie poștală. Exemplu: „Dragă utilizator, (nume de utilizator)! Contul dvs. a primit reclamații cu privire la spam și, prin urmare, administrația are dreptul să suspende sau să blocheze temporar funcționarea acestuia. Este foarte posibil ca atacatorii să fi obținut acces la el. Pentru a confirma calitatea de proprietar al contului, reautorizați folosind acest link (hiperlink către fals). Dacă nu există nicio confirmare în 5 zile, contul de e-mail va fi blocat. Cu stimă, serviciul de asistență (numele serviciului de e-mail)." Jucând pe frica de a pierde cutia.
- Știind despre hobby-urile victimei, vă puteți interesa. De exemplu, o scrisoare cu un subiect de interes, în care doar o parte din informații este acoperită, restul este acoperit făcând clic pe link. Link-ul duce la o pagină de pseudo-login, iar restul informațiilor le poți citi numai după ce te-ai autentificat.
Agricultura
De asemenea, se întâmplă ca victima să fie suficient de inteligentă (sau indiferentă) pentru a nu face clic pe linkuri. În acest caz, va trebui să recurgeți la troieni/joiners/script-uri pentru a manipula fișierul HOSTS, sau a pirata serverul DNS sau DHCP al furnizorului său. Totodată, atunci când utilizatorul merge pe site pentru a verifica e-mailul, apare o redirecționare exact către același, doar unul de phishing. Nu bănuiește nimic, utilizatorul își introduce datele și, folosind un script intern de autorizare, intră în e-mailul său „nativ”, iar numele de autentificare și parola sunt trimise pe e-mailul tău. Frumusețea este că victima nici măcar nu știe ce s-a întâmplat.
Metode de inginerie socială - aceasta este ceea ce va fi discutat în acest articol, precum și tot ce ține de manipularea oamenilor, phishing și furtul bazelor de date clienți și multe altele. Andrei Serikov ne-a oferit cu amabilitate informații, al căror autor este, pentru care îi mulțumim foarte mult.
A. SERIKOV
A.B.BOROVSKY
TEHNOLOGII INFORMAȚIILOR DE SOCIAL HACKING
Introducere
Dorința omenirii de a atinge îndeplinirea perfectă a sarcinilor atribuite a servit drept dezvoltare a tehnologiei computerizate moderne, iar încercările de a satisface cerințele conflictuale ale oamenilor au condus la dezvoltarea de produse software. Aceste produse software nu numai că mențin funcționalitatea hardware-ului, ci și o gestionează.
Dezvoltarea cunoștințelor despre om și computer a condus la apariția unui tip fundamental nou de sistem - „om-mașină”, în care o persoană poate fi poziționată ca un hardware care funcționează sub controlul unei operațiuni stabile, funcționale, multi-tasking. sistem numit „psihic”.
Subiectul lucrării este luarea în considerare a hacking-ului social ca o ramură a programării sociale, în care o persoană este manipulată cu ajutorul slăbiciunilor umane, prejudecăților și stereotipurilor în ingineria socială.
Ingineria socială și metodele sale
Metodele de manipulare umană sunt cunoscute de mult timp, ele au venit în principal la ingineria socială din arsenalul diferitelor servicii de informații.
Primul caz cunoscut de inteligență competitivă datează din secolul al VI-lea î.Hr. și a avut loc în China, când chinezii au pierdut secretul fabricării mătăsii, care a fost furată în mod fraudulos de spionii romani.
Ingineria socială este o știință care se definește ca un set de metode de manipulare a comportamentului uman, bazate pe utilizarea punctelor slabe ale factorului uman, fără utilizarea mijloacelor tehnice.
Potrivit multor experți, cea mai mare amenințare la adresa securității informațiilor o reprezintă metodele de inginerie socială, fie și doar pentru că utilizarea hacking-ului social nu necesită investiții financiare semnificative și cunoștințe temeinice a tehnologiei informatice, precum și pentru că oamenii au anumite înclinații comportamentale care pot fi folosit pentru manipulare atentă.
Și indiferent de cât de îmbunătățit sistemele tehnice de protecție, oamenii vor rămâne oameni cu slăbiciunile, prejudecățile, stereotipurile lor, cu ajutorul cărora are loc managementul. Configurarea unui „program de securitate” uman este cea mai dificilă sarcină și nu duce întotdeauna la rezultate garantate, deoarece acest filtru trebuie ajustat în mod constant. Aici, motto-ul principal al tuturor experților în securitate sună mai relevant ca niciodată: „Securitatea este un proces, nu un rezultat”.
Domenii de aplicare ale ingineriei sociale:
- destabilizarea generală a activității organizației în vederea reducerii influenței acesteia și a posibilității de distrugere ulterioară completă a organizației;
- fraudă financiară în organizații;
- phishing și alte metode de furt de parole pentru a accesa datele bancare personale ale persoanelor fizice;
- furtul bazelor de date de clienți;
- inteligenta competitiva;
- informații generale despre organizație, punctele forte și punctele slabe ale acesteia, cu scopul de a distruge ulterior această organizație într-un fel sau altul (deseori folosită pentru atacurile raider);
- informații despre cei mai promițători angajați cu scopul de a-i „atrage” în continuare în organizația dvs.;
Programare socială și hacking social
Programarea socială poate fi numită o disciplină aplicată care se ocupă de influența direcționată asupra unei persoane sau a unui grup de oameni pentru a-și schimba sau menține comportamentul în direcția dorită. Astfel, programatorul social își propune un scop: stăpânirea artei de a gestiona oamenii. Conceptul de bază al programării sociale este că acțiunile multor oameni și reacțiile lor la una sau alta influență externă sunt în multe cazuri previzibile.
Metodele de programare socială sunt atractive pentru că fie nimeni nu va ști vreodată despre ele, fie chiar dacă cineva ghicește despre ceva, este foarte dificil să aduci o astfel de cifră în fața justiției și, în unele cazuri, este posibil să „programezi” comportamentul oamenilor și o persoană și un grup mare. Aceste oportunități se încadrează în categoria hacking-ului social tocmai pentru că în toate ele oamenii îndeplinesc voința altcuiva, de parcă s-ar supune unui „program” scris de un hacker social.
Social hacking-ul ca abilitatea de a pirata o persoană și de a-l programa să efectueze acțiunile dorite provine din programarea socială - o disciplină aplicată a ingineriei sociale, unde specialiștii în acest domeniu - hackerii sociali - folosesc tehnici de influență psihologică și de acțiune împrumutate din arsenalul de serviciile de informații.
Hackingul social este folosit în majoritatea cazurilor când vine vorba de atacarea unei persoane care face parte dintr-un sistem informatic. Sistemul informatic care este piratat nu există în sine. Conține o componentă importantă - o persoană. Și pentru a obține informații, un hacker social trebuie să pirateze o persoană care lucrează cu un computer. În cele mai multe cazuri, este mai ușor să faceți acest lucru decât să piratați computerul victimei în încercarea de a afla parola.
Algoritm de influență tipic în hackingul social:
Toate atacurile hackerilor sociali se încadrează într-o schemă destul de simplă:
- se formulează scopul influenţării unui anumit obiect;
- informațiile despre obiect sunt colectate pentru a detecta cele mai convenabile ținte de influență;
- Pe baza informațiilor colectate, se implementează o etapă pe care psihologii o numesc atracție. Atracția (din latină Attrahere - a atrage, a atrage) este crearea condițiilor necesare pentru influențarea unui obiect;
- forțarea unui hacker social să ia măsuri;
Constrângerea se realizează prin efectuarea etapelor anterioare, adică după ce atragerea este realizată, victima însuși întreprinde acțiunile necesare inginerului social.
Pe baza informațiilor colectate, hackerii sociali prezic destul de exact psiho- și sociotipul victimei, identificând nu numai nevoile de hrană, sex etc., ci și nevoia de dragoste, nevoia de bani, nevoia de confort etc. ., etc.
Și, într-adevăr, de ce să încerci să pătrunzi într-una sau alta companie, să spargi calculatoare, bancomate, să organizezi combinații complexe, când poți face totul mai ușor: să faci o persoană să se îndrăgostească de tine, care, din propria voință, va transfera bani către cont specificat sau împărtășiți banii necesari de fiecare dată informații?
Pe baza faptului că acțiunile oamenilor sunt previzibile și, de asemenea, supuse anumitor legi, hackerii sociali și programatorii sociali folosesc atât mai mulți pași originali, cât și tehnici simple pozitive și negative bazate pe psihologia conștiinței umane, programe comportamentale, vibrații ale organelor interne, logice. gândire, imaginație, memorie, atenție. Aceste tehnici includ:
Generator de lemn - generează oscilații de aceeași frecvență cu frecvența oscilațiilor organelor interne, după care se observă un efect de rezonanță, în urma căruia oamenii încep să simtă un disconfort sever și o stare de panică;
impact asupra geografiei mulțimii - pentru desființarea pașnică a grupurilor mari de oameni extrem de periculoase, agresive;
sunete de înaltă și joasă frecvență - pentru a provoca panică și efectul său invers, precum și alte manipulări;
program de imitație socială - o persoană determină corectitudinea acțiunilor prin aflarea acțiunilor pe care alți oameni le consideră corecte;
program de claquer - (bazat pe imitație socială) organizarea reacției necesare din partea publicului;
formarea cozilor - (pe baza imitației sociale) o mișcare publicitară simplă, dar eficientă;
program de asistență reciprocă - o persoană încearcă să răsplătească bunătatea acelor oameni care i-au făcut ceva bunătate. Dorința de a îndeplini acest program depășește adesea orice rațiune;
Hacking social pe Internet
Odată cu apariția și dezvoltarea Internetului - un mediu virtual format din oameni și interacțiunile acestora, mediul de manipulare a unei persoane pentru a obține informațiile necesare și a efectua acțiunile necesare s-a extins. În zilele noastre, Internetul este un mijloc de difuzare la nivel mondial, un mediu de colaborare, comunicare și acoperă întregul glob. Acesta este exact ceea ce folosesc inginerii sociali pentru a-și atinge obiectivele.
Modalități de a manipula o persoană prin internet:
În lumea modernă, proprietarii aproape fiecarei companii și-au dat deja seama că Internetul este un mijloc foarte eficient și convenabil pentru extinderea afacerii lor, iar sarcina sa principală este de a crește profiturile întregii companii. Se știe că fără informații menite să atragă atenția asupra obiectului dorit, să genereze sau să mențină interesul față de acesta și să-l promoveze pe piață, se folosește publicitatea. Numai că, datorită faptului că piața de publicitate a fost mult timp împărțită, majoritatea tipurilor de publicitate pentru majoritatea antreprenorilor sunt bani irosiți. Publicitatea pe internet nu este doar unul dintre tipurile de publicitate din mass-media, este ceva mai mult, deoarece cu ajutorul reclamei pe internet persoane interesate de cooperare vin pe site-ul organizației.
Publicitatea pe internet, spre deosebire de publicitatea din mass-media, are mult mai multe oportunități și parametri pentru gestionarea unei companii de publicitate. Cel mai important indicator al reclamei pe Internet este acela Taxele de publicitate pe internet sunt debitate numai atunci când schimbați utilizator interesat printr-un link de publicitate, ceea ce, desigur, face publicitatea pe Internet mai eficientă și mai puțin costisitoare decât publicitatea în mass-media. Astfel, după ce au depus reclamă la televiziune sau în presa scrisă, ei plătesc integral pentru aceasta și pur și simplu așteaptă potențiali clienți, dar clienții pot răspunde publicității sau nu - totul depinde de calitatea producției și de prezentarea reclamei la televizor sau în ziare. , cu toate acestea, bugetul de publicitate a fost deja cheltuit în cazul Dacă publicitatea nu a funcționat, a fost irosită. Spre deosebire de astfel de publicitate media, publicitatea pe Internet are capacitatea de a urmări răspunsul publicului și de a gestiona publicitatea pe Internet înainte de cheltuirea bugetului său, în plus, publicitatea pe Internet poate fi suspendată atunci când cererea de produse a crescut și reluată când cererea începe să scadă.
O altă metodă de influență este așa-numita „Uciderea forumurilor” unde, cu ajutorul programării sociale, se creează anti-reclamă pentru un anumit proiect. În acest caz, programatorul social, cu ajutorul unor acțiuni provocatoare evidente, distruge singur forumul, folosind mai multe pseudonime ( poreclă) să creeze un grup anti-lider în jurul său și să atragă vizitatori regulați la proiect care sunt nemulțumiți de comportamentul administrației. La finalul unor astfel de evenimente, devine imposibil să promovezi produse sau idei pe forum. Pentru asta a fost dezvoltat inițial forumul.
Metode de influențare a unei persoane prin internet în scopul ingineriei sociale:
Phishingul este un tip de fraudă pe internet care are ca scop obținerea accesului la datele confidențiale ale utilizatorilor - login-uri și parole. Această operațiune se realizează prin trimiteri în masă de e-mailuri în numele unor mărci populare, precum și prin mesaje personale în cadrul diferitelor servicii (Rambler), bănci sau în cadrul rețelelor sociale (Facebook). Scrisoarea conține adesea un link către un site web care nu se poate distinge în exterior de cel real. După ce utilizatorul ajunge pe o pagină falsă, inginerii sociali folosesc diverse tehnici pentru a-l încuraja pe utilizator să-și introducă login-ul și parola pe pagină, pe care le folosește pentru a accesa un anumit site, ceea ce îi permite să obțină acces la conturi și conturi bancare.
Un tip de fraudă mai periculos decât phishing-ul este așa-numitul pharming.
Pharmingul este un mecanism de redirecționare ascunsă a utilizatorilor către site-uri de phishing. Inginerul social distribuie pe computerele utilizatorilor programe speciale rău intenționate, care, odată lansate pe computer, redirecționează cererile de pe site-urile necesare către cele false. Astfel, atacul este extrem de secret, iar participarea utilizatorilor este redusă la minimum - este suficient să așteptați până când utilizatorul decide să viziteze site-urile de interes pentru inginerul social.
Concluzie
Ingineria socială este o știință care a apărut din sociologie și se pretinde a fi corpul de cunoștințe care ghidează, ordonează și optimizează procesul de creare, modernizare și reproducere a noilor realități sociale („artificiale”). Într-un anumit fel, „completează” știința sociologică, o completează în faza de transformare a cunoștințelor științifice în modele, proiecte și design-uri de instituții sociale, valori, norme, algoritmi de activitate, relații, comportament etc.
În ciuda faptului că Ingineria Socială este o știință relativ tânără, provoacă pagube mari proceselor care au loc în societate.
Cele mai simple metode de protecție împotriva efectelor acestei științe distructive sunt:
Atragerea atenției oamenilor asupra problemelor de siguranță.
Utilizatorii înțeleg gravitatea problemei și acceptă politica de securitate a sistemului.
Literatură
1. R. Petersen Linux: Ghidul complet: trad. din engleza — Ed. a 3-a. - K.: Grupul Editura BHV, 2000. – 800 p.
2. De la Grodnev Internet în casa ta. - M.: „RIPOL CLASSIC”, 2001. -480 p.
3. M. V. Kuznetsov Inginerie socială și hacking social. Sankt Petersburg: BHV-Petersburg, 2007. - 368 p.: ill.
Tehnici de inginerie socială Creierul uman este un hard disk mare, un depozit al unei cantități uriașe de informații. Și atât proprietarul, cât și orice altă persoană pot folosi aceste informații. După cum se spune, un vorbitor este o mană cerească pentru un spion. Pentru a înțelege mai bine semnificația următoarelor, ar trebui să fiți cel puțin familiarizați cu elementele de bază ale psihologiei.
Ingineria socială ne permite "foloseste-ti creierul" o altă persoană, recurgând la diverse metode, și obțineți de la aceasta informațiile necesare.
Wiki spune: „Ingineria socială este o metodă de control al acțiunilor umane fără utilizarea mijloacelor tehnice”
Inginerie sociala- Acesta este un fel de știință tânără. Există multe metode și tehnici de manipulare a conștiinței umane. Kevin Mitnick a avut dreptate când a spus că uneori este mai ușor să înșeli și să obții informații decât să piratezi accesul la acestea. Citiți cartea „Arta înșelăciunii” pe îndelete, vă va plăcea.
Există inginerie socială inversă, care are ca scop obținerea de date de la victima însăși. Cu ajutorul ei, victima însuși vorbește despre parolele și datele sale.
Nu există gesturi, intonații sau expresii faciale pe Internet. Toată comunicarea se bazează pe mesaje text. Și succesul tău într-o situație dată depinde de modul în care mesajele tale influențează interlocutorul. Ce tehnici pot fi folosite pentru a manipula în mod ascuns conștiința unei persoane?
Provocator
Strict vorbind, acesta este trolling. Înfuriind o persoană, în cele mai multe cazuri el tratează informațiile necritic. În această stare, puteți impune sau primi informațiile necesare.
Dragoste
Aceasta este poate cea mai eficientă tehnică. În cele mai multe cazuri, asta este ceea ce am folosit)). Într-o stare de dragoste, o persoană percepe puțin și exact de asta are nevoie manipulatorul.
Indiferenţă
Se creează efectul indiferenței manipulatorului față de un anumit subiect, iar interlocutorul, la rândul său, încearcă să-l convingă, căzând astfel într-o capcană și dezvăluind informațiile de care aveți nevoie.
Te grabesti
Adesea apar situații când manipulatorul se presupune că se grăbește să ajungă undeva și sugerează în mod constant acest lucru, dar în același timp promovează intenționat informațiile de care are nevoie.
Suspiciune
Metoda suspiciunii este oarecum asemănătoare cu metoda indiferenței. În primul caz, victima demonstrează contrariul; în al doilea, victima încearcă să-și justifice „suspiciunea”, fără a-și da seama, astfel, că dă toate informațiile.
Ironie
Similar cu tehnica provocării. Un manipulator înfurie o persoană fiind ironică. El, la rândul său, în furie nu este capabil să evalueze critic informațiile. Ca urmare, se formează o gaură în bariera psihologică, de care manipulatorul profită.
Sinceritate
Atunci când manipulatorul îi spune interlocutorului informații sincere, interlocutorul dezvoltă un fel de relație de încredere, ceea ce implică o slăbire a barierei de protecție. Acest lucru creează un gol în apărarea psihologică.
Tehnicile descrise mai sus nu epuizează pe deplin întregul potențial al ingineriei sociale. Despre aceste tehnici și metode se poate vorbi și se poate vorbi. După ce ați citit aceste tehnici, ar trebui să vă dați seama că nu trebuie să urmați exemplul tuturor. Învață să te stăpânești pe tine și mânia și atunci apărarea ta va fi întotdeauna la nivelul potrivit.
Al nostru continuă. Așteptați articole noi))
Inginerie sociala
Inginerie sociala este o metodă de acces neautorizat la informații sau sisteme de stocare a informațiilor fără utilizarea mijloacelor tehnice. Scopul principal al inginerilor sociali, ca și alți hackeri și crackeri, este să obțină acces la sisteme securizate pentru a fura informații, parole, informații despre cardul de credit etc. Principala diferență față de hacking-ul simplu este că, în acest caz, nu mașina, ci operatorul acesteia este ales ca țintă a atacului. De aceea, toate metodele și tehnicile inginerilor sociali se bazează pe utilizarea punctelor slabe ale factorului uman, care este considerat extrem de distructiv, deoarece atacatorul obține informații, de exemplu, printr-o conversație telefonică regulată sau prin infiltrarea într-o organizație sub înfățișarea unui angajat. Pentru a vă proteja împotriva acestui tip de atac, ar trebui să fiți conștienți de cele mai comune tipuri de fraudă, să înțelegeți ce își doresc cu adevărat hackerii și să organizați o politică de securitate adecvată în timp util.
Poveste
În ciuda faptului că conceptul de „inginerie socială” a apărut relativ recent, oamenii, într-o formă sau alta, au folosit tehnicile sale din timpuri imemoriale. În Grecia Antică și Roma, oamenii erau ținuți la mare stimă, care își puteau convinge interlocutorul în diferite moduri că el se înșela în mod evident. Vorbind în numele liderilor, aceștia au purtat negocieri diplomatice. Folosind cu pricepere minciuni, linguşiri şi argumente avantajoase, ei rezolvau adesea probleme care păreau imposibil de rezolvat fără ajutorul unei săbii. Printre spioni, ingineria socială a fost întotdeauna principala armă. Prin uzurparea identității unei alte persoane, agenții KGB și CIA ar putea afla secrete secrete de stat. La începutul anilor '70, în perioada de glorie a phreaking-ului, unii huligani de telefonie au sunat operatorii de telecomunicații și au încercat să extragă informații confidențiale de la personalul tehnic al companiei. După diverse experimente cu trucuri, până la sfârșitul anilor ’70, phreakerii perfecționaseră atât de mult tehnicile de manipulare a operatorilor neantrenați încât puteau învăța cu ușurință de la ei aproape tot ce își doreau.
Principii și tehnici de inginerie socială
Există mai multe tehnici comune și tipuri de atacuri pe care le folosesc inginerii sociali. Toate aceste tehnici se bazează pe caracteristici ale procesului decizional uman cunoscute sub numele de părtiniri cognitive (vezi și cognitive). Aceste prejudecăți sunt utilizate în diferite combinații pentru a crea cea mai potrivită strategie de înșelăciune în fiecare caz particular. Dar trăsătura comună a tuturor acestor metode este înșelătoare, cu scopul de a forța o persoană să efectueze o acțiune care nu îi este benefică și este necesară inginerului social. Pentru a obține rezultatul dorit, atacatorul folosește o serie de tactici diverse: uzurparea identității unei alte persoane, distragerea atenției, creșterea tensiunii psihologice etc. Scopurile finale ale înșelăciunii pot fi, de asemenea, foarte diverse.
Tehnici de inginerie socială
Pretextarea
Pretextarea este un set de acțiuni desfășurate conform unui scenariu specific, pregătit în prealabil (pretext). Această tehnică presupune utilizarea mijloacelor vocale precum telefonul, Skype etc. pentru a obține informațiile necesare. De obicei, dându-se drept o terță parte sau pretinzând că cineva are nevoie de ajutor, atacatorul îi cere victimei să furnizeze o parolă sau să se conecteze la o pagină web de phishing, păcălindu-l astfel pe țintă să ia acțiunea dorită sau să furnizeze anumite informații. În cele mai multe cazuri, această tehnică necesită câteva date inițiale despre ținta atacului (de exemplu, date personale: data nașterii, numărul de telefon, numerele de cont etc.) Strategia cea mai comună este să folosiți mai întâi interogări mici și să menționați numele persoanelor reale din organizație. Ulterior, în timpul conversației, atacatorul explică că are nevoie de ajutor (majoritatea oamenilor sunt capabili și dispuși să îndeplinească sarcini care nu sunt percepute ca suspecte). Odată ce încrederea a fost stabilită, escrocul poate cere ceva mai substanțial și mai important.
phishing
Exemplu de e-mail de phishing trimis de la un serviciu de e-mail care solicită „reactivarea contului”
Phishingul (în engleză phishing, de la pescuit - pescuit, pescuit) este un tip de fraudă pe internet, al cărei scop este de a obține acces la datele confidențiale ale utilizatorilor - login-uri și parole. Aceasta este probabil cea mai populară schemă de inginerie socială astăzi. Nicio scurgere majoră de date cu caracter personal nu are loc fără un val de e-mailuri de phishing. Scopul phishing-ului este obținerea ilegală de informații confidențiale. Cel mai izbitor exemplu de atac de tip phishing este un mesaj trimis victimei prin e-mail și falsificat ca o scrisoare oficială - de la o bancă sau un sistem de plată - care necesită verificarea anumitor informații sau efectuarea anumitor acțiuni. Pot exista o varietate de motive. Aceasta ar putea fi pierderea de date, defecțiunea sistemului etc. Aceste e-mailuri conțin de obicei un link către o pagină web falsă care arată exact ca cea oficială și conține un formular care vă cere să introduceți informații sensibile.
Unul dintre cele mai faimoase exemple de e-mailuri globale de phishing a fost o înșelătorie din 2003 în care mii de utilizatori eBay au primit e-mailuri în care susțineau că contul lor a fost blocat și necesită actualizarea informațiilor cardului de credit pentru a-l debloca. Toate aceste e-mailuri conțineau un link care duce la o pagină web falsă care arăta exact ca cea oficială. Potrivit experților, pierderile din această înșelătorie s-au ridicat la câteva sute de mii de dolari.
Cum să recunoașteți un atac de tip phishing
Aproape în fiecare zi apar noi scheme de fraudă. Majoritatea oamenilor pot învăța să recunoască mesajele frauduloase pe cont propriu, familiarizându-se cu unele dintre caracteristicile lor distinctive. Cel mai adesea, mesajele de phishing conțin:
- informații care cauzează îngrijorare sau amenințări, cum ar fi închiderea conturilor bancare ale utilizatorilor.
- promisiuni de premii uriașe în bani cu puțin sau deloc efort.
- cereri de donații voluntare în numele organizațiilor caritabile.
- greșeli gramaticale, de punctuație și ortografie.
Scheme populare de phishing
Cele mai populare escrocherii de tip phishing sunt descrise mai jos.
Frauda folosind mărci ale unor corporații celebre
Aceste escrocherii de tip phishing folosesc e-mailuri false sau site-uri web care conțin numele unor companii mari sau cunoscute. Mesajele pot include felicitări pentru câștigarea unui concurs organizat de companie sau pentru necesitatea urgentă de a vă schimba datele de conectare sau parola. Scheme frauduloase similare din partea suportului tehnic pot fi efectuate și prin telefon.
Loteriile frauduloase
Utilizatorul poate primi mesaje care indică faptul că a câștigat o loterie care a fost desfășurată de o companie cunoscută. La suprafață, aceste mesaje pot apărea ca și cum ar fi fost trimise în numele unui angajat senior corporativ.
False programe antivirus și de securitate
IVR sau phishing prin telefon
Principiul de funcționare al sistemelor IVR
Qui despre quo
Quid pro quo este o abreviere folosită în mod obișnuit în engleză pentru a însemna „quid pro quo”. Acest tip de atac implică un atacator care sună o companie pe un telefon corporativ. În cele mai multe cazuri, atacatorul se prezintă ca un angajat al asistenței tehnice care întreabă dacă există probleme tehnice. În procesul de „rezolvare” a problemelor tehnice, escrocul „forțează” ținta să introducă comenzi care permit hackerului să ruleze sau să instaleze software rău intenționat pe mașina utilizatorului.
Cal troian
Uneori, utilizarea troienilor este doar o parte a unui atac planificat în mai multe etape asupra anumitor computere, rețele sau resurse.
Tipuri de troieni
Troienii sunt cel mai adesea dezvoltati în scopuri rău intenționate. Există o clasificare în care acestea sunt împărțite în categorii în funcție de modul în care troienii se infiltrează în sistem și îi dăunează. Există 5 tipuri principale:
- acces de la distanță
- distrugerea datelor
- încărcător
- Server
- dezactivator program de securitate
Goluri
Scopul programului troian poate fi:
- încărcarea și descărcarea fișierelor
- copierea link-urilor false care conduc la site-uri web false, camere de chat sau alte site-uri de înregistrare
- interferând cu munca utilizatorului
- sustragerea de date de valoare sau secrete, inclusiv informații de autentificare, pentru acces neautorizat la resurse, obținerea de detalii ale conturilor bancare care ar putea fi utilizate în scopuri criminale
- distribuirea altor programe malware, cum ar fi viruși
- distrugerea datelor (ștergerea sau suprascrierea datelor de pe un disc, deteriorarea greu de văzut a fișierelor) și a echipamentelor, dezactivarea sau defectarea serviciului sistemelor informatice, rețelelor
- colectarea adreselor de e-mail și utilizarea acestora pentru a trimite spam
- spionarea utilizatorului și comunicarea secretă a informațiilor către terți, cum ar fi obiceiurile de navigare
- Înregistrarea apăsărilor de taste pentru a fura informații precum parole și numere de card de credit
- dezactivarea sau interferarea cu funcționarea programelor antivirus și a firewall-urilor
Deghizare
Multe programe troiene se află pe computerele utilizatorilor fără știrea acestora. Uneori, troienii sunt înregistrați în Registry, ceea ce duce la lansarea lor automată atunci când sistemul de operare pornește. Troienii pot fi, de asemenea, combinați cu fișiere legitime. Când un utilizator deschide un astfel de fișier sau lansează o aplicație, troianul este lansat împreună cu acesta.
Cum funcționează troianul
Troienii constau de obicei din două părți: client și server. Serverul rulează pe mașina victimă și monitorizează conexiunile de la Client. În timp ce Serverul rulează, monitorizează un port sau mai multe porturi pentru o conexiune de la Client. Pentru ca un atacator să se conecteze la Server, acesta trebuie să cunoască adresa IP a mașinii pe care rulează. Unii troieni trimit adresa IP a mașinii victimă părții atacatoare prin e-mail sau altă metodă. De îndată ce are loc o conexiune la Server, Clientul îi poate trimite comenzi, pe care Serverul le va executa. În prezent, datorită tehnologiei NAT, este imposibil să accesezi majoritatea computerelor prin adresa lor IP externă. De aceea, mulți troieni se conectează astăzi la computerul atacatorului, care este responsabil pentru primirea conexiunilor de conectare, în loc ca atacatorul însuși să încerce să se conecteze la victimă. Mulți troieni moderni pot ocoli cu ușurință firewall-urile de pe computerele utilizatorilor.
Colectarea de informații din surse deschise
Utilizarea tehnicilor de inginerie socială necesită nu numai cunoștințe de psihologie, ci și capacitatea de a colecta informațiile necesare despre o persoană. O modalitate relativ nouă de a obține astfel de informații a fost colectarea acesteia din surse deschise, în principal din rețelele de socializare. utilizatorii nu acordă suficientă atenție problemelor de securitate, lăsând date și informații în domeniul public care pot fi folosite de un atacator.
Un exemplu ilustrativ este povestea răpirii fiului lui Evgeniy Kaspersky. În cadrul anchetei s-a stabilit că infractorii au aflat programul zilnic și traseele adolescentului din postările sale de pe o pagină de socializare.
Chiar și prin limitarea accesului la informațiile de pe pagina sa de rețea de socializare, un utilizator nu poate fi sigur că nu va cădea niciodată în mâinile fraudătorilor. De exemplu, un cercetător brazilian în domeniul securității computerelor a arătat că este posibil să devii prieten cu orice utilizator Facebook în 24 de ore folosind tehnici de inginerie socială. În timpul experimentului, cercetătorul Nelson Novaes Neto a ales o „victimă” și a creat un cont fals despre o persoană din mediul ei - șeful ei. Neto a trimis mai întâi cereri de prietenie prietenilor prietenilor șefului victimei, apoi direct prietenilor săi. După 7,5 ore, cercetătorul a făcut ca „victima” să-l adauge ca prieten. Astfel, cercetătorul a obținut acces la informațiile personale ale utilizatorului, pe care le-a împărtășit doar prietenilor săi.
Măr de drum
Această metodă de atac este o adaptare a calului troian și constă în utilizarea mediilor fizice. Atacatorul plantează „infectatul”, sau flash, într-un loc în care transportatorul poate fi găsit cu ușurință (toaletă, lift, parcare). Mass-media este falsificată pentru a arăta oficială și este însoțită de o semnătură menită să trezească curiozitatea. De exemplu, un escroc poate planta o scrisoare, echipată cu un logo corporativ și un link către site-ul oficial al companiei, etichetând-o „Salarii executive”. Discul poate fi lăsat la etajul liftului sau în hol. Un angajat poate ridica, fără să știe, discul și să îl introducă în computer pentru a-și satisface curiozitatea.
Inginerie socială inversă
Se face referire la inginerie socială inversă atunci când victima însăși oferă atacatorului informațiile de care are nevoie. Acest lucru poate părea absurd, dar, de fapt, persoanele cu autoritate în sfera tehnică sau socială primesc adesea ID-uri de utilizator, parole și alte informații personale sensibile pur și simplu pentru că nimeni nu le pune la îndoială integritatea. De exemplu, personalul de asistență nu solicită niciodată utilizatorilor un ID sau o parolă; nu au nevoie de aceste informații pentru a rezolva probleme. Cu toate acestea, mulți utilizatori oferă în mod voluntar aceste informații confidențiale pentru a rezolva rapid problemele. Se pare că atacatorul nici măcar nu trebuie să întrebe despre asta.
Un exemplu de inginerie socială inversă este următorul scenariu simplu. Un atacator care lucrează cu victima schimbă numele unui fișier de pe computerul victimei sau îl mută într-un alt director. Când victima observă că dosarul lipsește, atacatorul susține că poate repara totul. Dorind să finalizeze munca mai repede sau să evite pedeapsa pentru pierderea informațiilor, victima acceptă această ofertă. Atacatorul susține că problema poate fi rezolvată doar prin autentificarea cu acreditările victimei. Acum, victima îi cere atacatorului să se conecteze sub numele ei pentru a încerca să restaureze fișierul. Atacatorul acceptă fără tragere de inimă și restaurează fișierul, iar în acest proces fură ID-ul și parola victimei. După ce a efectuat atacul cu succes, și-a îmbunătățit chiar reputația și este foarte posibil ca după aceasta alți colegi să apeleze la el pentru ajutor. Această abordare nu interferează cu procedurile obișnuite de furnizare a serviciilor de asistență și complică capturarea atacatorului.
Ingineri sociali celebri
Kevin Mitnick
Kevin Mitnick. Hacker de renume mondial și consultant de securitate
Unul dintre cei mai faimoși ingineri sociali din istorie este Kevin Mitnick. În calitate de hacker și consultant de securitate de renume mondial, Mitnick este, de asemenea, autorul a numeroase cărți despre securitatea computerelor, dedicate în principal ingineriei sociale și metodelor de influență psihologică asupra oamenilor. În 2002, sub paternitatea sa a fost publicată cartea „Arta înșelăciunii”, care spune despre povești reale despre utilizarea ingineriei sociale. Kevin Mitnick a susținut că este mult mai ușor să obții o parolă prin înșelăciune decât să încerci să spargi un sistem de securitate
Frații Badir
În ciuda faptului că frații Mundir, Mushid și Shadi Badir au fost orbi de la naștere, ei au reușit să desfășoare mai multe scheme mari de fraudă în Israel în anii 1990, folosind ingineria socială și falsificarea vocii. Într-un interviu de televiziune, ei au spus: „Numai cei care nu folosesc un telefon, electricitate și un laptop sunt complet asigurați împotriva atacurilor de rețea”. Frații au fost deja în închisoare pentru că au reușit să audă și să descifreze tonurile secrete de interferență ale furnizorilor de telefonie. Au făcut apeluri lungi în străinătate pe cheltuiala altcuiva, după ce au reprogramat computerele furnizorilor de telefonie mobilă cu tonuri de interferență.
Arhanghel
Coperta revistei Phrack
Renumit hacker de computer și consultant de securitate pentru celebra revistă online în limba engleză „Phrack Magazine”, Arhanghelul a demonstrat puterea tehnicilor de inginerie socială prin obținerea parolelor dintr-un număr imens de sisteme diferite într-un timp scurt, înșelând câteva sute de victime.
Alte
Inginerii sociali mai puțin cunoscuți includ Frank Abagnale, David Bannon, Peter Foster și Stephen Jay Russell.
Modalități de protecție împotriva ingineriei sociale
Pentru a-și duce atacurile, atacatorii care folosesc tehnici de inginerie socială exploatează adesea credulitatea, lenea, curtoazia și chiar entuziasmul utilizatorilor și angajaților organizațiilor. Nu este ușor să te aperi împotriva unor astfel de atacuri, deoarece victimele ar putea să nu fie conștiente că au fost înșelate. Atacatorii de inginerie socială au, în general, aceleași obiective ca orice alt atacator: doresc bani, informații sau resursele IT ale companiei victime. Pentru a vă proteja împotriva unor astfel de atacuri, trebuie să studiați tipurile acestora, să înțelegeți de ce are nevoie atacatorul și să evaluați daunele care ar putea fi cauzate organizației. Cu toate aceste informații, poți integra măsurile de protecție necesare în politica ta de securitate.
Clasificarea amenințărilor
Amenințări prin e-mail
Mulți angajați primesc zeci și chiar sute de e-mailuri în fiecare zi prin intermediul sistemelor de e-mail corporative și private. Desigur, cu un astfel de flux de corespondență este imposibil să acordăm atenția cuvenită fiecărei litere. Acest lucru face mult mai ușor să efectueze atacuri. Majoritatea utilizatorilor sistemelor de poștă electronică sunt relaxați în ceea ce privește procesarea unor astfel de mesaje, percepând această lucrare ca analogul electronic al mutarii documentelor dintr-un folder în altul. Când un atacator trimite o cerere simplă prin poștă, victima sa va face adesea ceea ce i se cere să facă fără să se gândească la acțiunile sale. E-mailurile pot conține hyperlink-uri care atrage angajații să încalce securitatea corporativă. Astfel de link-uri nu duc întotdeauna la paginile menționate.
Majoritatea măsurilor de securitate au ca scop prevenirea accesului utilizatorilor neautorizați la resursele corporative. Dacă, făcând clic pe un hyperlink trimis de un atacator, utilizatorul încarcă un troian sau un virus în rețeaua corporativă, acest lucru va facilita ocolirea multor tipuri de protecție. Hyperlinkul poate indica, de asemenea, un site cu aplicații pop-up care solicită date sau oferă ajutor. Pentru a promova această abordare în întreaga organizație, politica dvs. de securitate ar trebui să includă linii directoare specifice pentru utilizarea e-mailului care să acopere următoarele elemente:
- Atasamente la documente.
- Hyperlink-uri în documente.
- Solicitări de informații personale sau corporative care provin din cadrul companiei.
- Solicitări de informații personale sau corporative care provin din afara companiei.
Amenințări asociate cu utilizarea serviciilor de mesagerie instantanee
Mesageria instantanee este o metodă relativ nouă de transfer de date, dar a câștigat deja o mare popularitate în rândul utilizatorilor corporativi. Datorită vitezei și ușurinței de utilizare, această metodă de comunicare deschide oportunități largi pentru diverse atacuri: utilizatorii o tratează ca pe o conexiune telefonică și nu o asociază cu potențiale amenințări software. Cele două tipuri principale de atacuri bazate pe utilizarea serviciilor de mesagerie instant sunt includerea unui link către un program rău intenționat în corpul mesajului și livrarea programului în sine. Desigur, mesageria instantanee este și o modalitate de a solicita informații. Una dintre caracteristicile serviciilor de mesagerie instant este natura informală a comunicării. Combinat cu capacitatea de a-și atribui orice nume, acest lucru face mult mai ușor pentru un atacator să se usureze pe altcineva și crește foarte mult șansele de a efectua cu succes un atac dacă o companie intenționează să profite de oportunitățile de reducere a costurilor și de alte beneficii furnizate de mesageria instantanee, este necesar să se includă în politicile de securitate corporative să prevadă mecanisme de protecție împotriva amenințărilor relevante. Pentru a obține un control fiabil asupra mesageriei instantanee într-un mediu de întreprindere, există mai multe cerințe care trebuie îndeplinite.
- Alegeți o platformă de mesagerie instantanee.
- Determinați setările de securitate care sunt specificate la implementarea serviciului de mesagerie instantanee.
- Stabiliți principiile pentru stabilirea de noi contacte
- Stabiliți standarde pentru parole
- Faceți recomandări pentru utilizarea serviciului de mesagerie instantanee.
Model de securitate pe mai multe niveluri
Pentru a proteja companiile mari și angajații lor de escroci care folosesc tehnici de inginerie socială, sunt adesea utilizate sisteme complexe de securitate pe mai multe niveluri. Unele dintre caracteristicile și responsabilitățile acestor sisteme sunt enumerate mai jos.
- Siguranță fizică. Bariere care restricționează accesul la clădirile companiei și la resursele corporative. Nu uitați că resursele companiei, de exemplu, containerele de gunoi situate în afara teritoriului companiei, nu sunt protejate fizic.
- Date. Informații de afaceri: conturi, poștă etc. Când analizați amenințările și planificați măsurile de protecție a datelor, trebuie să determinați principiile de manipulare a suporturilor de date pe hârtie și electronice.
- Aplicații. Programe rulate de utilizator. Pentru a vă proteja mediul, trebuie să luați în considerare modul în care atacatorii pot exploata programele de e-mail, mesageria instantanee și alte aplicații.
- Calculatoare. Servere și sisteme client utilizate în organizație. Protejează utilizatorii de atacurile directe asupra computerelor lor prin definirea unor linii directoare stricte care guvernează ce programe pot fi utilizate pe computerele corporative.
- Rețea internă. O rețea prin care sistemele corporative interacționează. Poate fi local, global sau wireless. În ultimii ani, datorită popularității tot mai mari a metodelor de lucru la distanță, limitele rețelelor interne au devenit în mare măsură arbitrare. Angajații companiei trebuie să li se spună ce trebuie să facă pentru a funcționa în siguranță în orice mediu de rețea.
- Perimetrul rețelei. Granița dintre rețelele interne ale unei companii și cele externe, cum ar fi internetul sau rețelele organizațiilor partenere.
Responsabilitate
Pretextarea și înregistrarea convorbirilor telefonice
Hewlett-Packard
Patricia Dunn, președintele Hewlett Packard Corporation, a declarat că a angajat o companie privată pentru a identifica acei angajați ai companiei care au fost responsabili pentru scurgerea de informații confidențiale. Ulterior, șeful corporației a recunoscut că în procesul de cercetare a fost folosită practica pretextului și alte tehnici de inginerie socială.
Note
Vezi si
Legături
- SocialWare.ru – Proiect privat de inginerie socială
- - Ingineria socială: elemente de bază. Partea I: Tactica hackerilor
- – Protecție împotriva atacurilor de tip phishing.
- Fundamentele ingineriei sociale - Securityfocus.com.
- Inginerie socială, calea USB - DarkReading.com.
- Ingineria socială ar trebui să facă parte din testarea de penetrare? – darknet.org.uk.
- Înregistrările telefonice „Protecția consumatorilor”, Centrul electronic de informații privind confidențialitatea Comitetul SUA pentru Comerț, Știință și Transport .
- Plotkin, Hal. Notă pentru presă: Pretextul este deja ilegal.
- Striptease pentru parole – MSNBC.MSN.com.
- Social-Engineer.org – social-inginer.org.
În acest articol vom acorda atenție conceptului de „inginerie socială”. Aici ne vom uita la cele generale Vom afla și despre cine a fost fondatorul acestui concept. Să vorbim separat despre principalele metode de inginerie socială folosite de atacatori.
Introducere
Metodele care fac posibilă corectarea comportamentului uman și gestionarea activităților sale fără utilizarea unui set tehnic de instrumente formează conceptul general de inginerie socială. Toate metodele se bazează pe afirmația că factorul uman este cea mai distructivă slăbiciune a oricărui sistem. Adesea acest concept este considerat la nivelul activității ilegale, prin care un infractor comite o acțiune care vizează obținerea de informații de la un subiect-victimă prin mijloace necinstite. De exemplu, ar putea fi un anumit tip de manipulare. Cu toate acestea, ingineria socială este folosită și de oameni în activități legitime. Astăzi, este cel mai adesea folosit pentru a accesa resurse cu informații clasificate sau valoroase.
Fondator
Fondatorul ingineriei sociale este Kevin Mitnick. Totuși, conceptul în sine ne-a venit din sociologie. Ea denotă un set general de abordări utilizate de rețelele sociale aplicate. științe axate pe schimbarea structurii organizaționale capabile să determine comportamentul uman și să exercite controlul asupra acestuia. Kevin Mitnick poate fi considerat fondatorul acestei științe, deoarece el a fost cel care a popularizat rețelele sociale. inginerie în primul deceniu al secolului XXI. Kevin însuși a fost anterior un hacker, vizând o mare varietate de baze de date. El a susținut că factorul uman este punctul cel mai vulnerabil al unui sistem de orice nivel de complexitate și organizare.
Dacă vorbim despre metode de inginerie socială ca modalitate de obținere a drepturilor (de obicei ilegale) de utilizare a datelor confidențiale, atunci putem spune că acestea sunt cunoscute de foarte mult timp. Cu toate acestea, K. Mitnik a fost cel care a fost capabil să transmită importanța semnificației și caracteristicile lor de aplicare.
Phishing și linkuri inexistente
Orice tehnică de inginerie socială se bazează pe prezența distorsiunilor cognitive. Erorile de comportament devin o „armă” în mâinile unui inginer calificat, care în viitor poate crea un atac menit să obțină date importante. Metodele de inginerie socială includ phishing și linkuri inexistente.
Phishingul este o fraudă pe internet concepută pentru a obține informații personale, de exemplu, autentificare și parolă.
Link inexistent - utilizarea unui link care va atrage destinatarul cu anumite beneficii care pot fi obținute făcând clic pe acesta și vizitând un anumit site. Cel mai adesea ei folosesc numele companiilor mari, făcând ajustări subtile la numele lor. Victima, făcând clic pe link, își va transfera „voluntar” datele personale către atacator.
Metode folosind mărci, antivirusuri defecte și loterie frauduloase
Ingineria socială folosește și metode de fraudă folosind mărci cunoscute, antivirusuri defecte și loterie false.
„Fraude și mărci” este o metodă de înșelăciune, care aparține și secțiunii de phishing. Acestea includ e-mailurile și site-urile web care conțin numele unei companii mari și/sau „promovate”. Mesajele sunt trimise de pe paginile lor prin care te anunță cu privire la victoria ta într-o anumită competiție. Apoi, trebuie să introduceți informații importante despre cont și să le furați. Această formă de fraudă poate fi efectuată și prin telefon.
O loterie falsă este o metodă prin care victimei i se trimite un mesaj cu un text care spune că a câștigat la loterie. Cel mai adesea, notificarea este deghizată folosind numele marilor corporații.
Antivirusurile false sunt escrocherii software. Folosește programe care arată ca antivirusuri. Cu toate acestea, în realitate, acestea duc la generarea de notificări false despre o anumită amenințare. De asemenea, încearcă să atragă utilizatori în sfera tranzacțională.
Vishing, phreaking și pretexting
Când vorbim despre ingineria socială pentru începători, merită menționat și vishing, phreaking și pretexting.
Vishingul este o formă de înșelăciune care folosește rețelele telefonice. Utilizează mesaje vocale preînregistrate, al căror scop este de a recrea „apelul oficial” al unei structuri bancare sau al oricărui alt sistem IVR. Cel mai adesea vi se cere să introduceți o autentificare și/sau o parolă pentru a confirma orice informație. Cu alte cuvinte, sistemul cere utilizatorului să se autentifice folosind coduri PIN sau parole.
Phreaking este o altă formă de înșelăciune telefonică. Este un sistem de hacking care utilizează manipularea sunetului și apelarea tonurilor.
Pretextarea este un atac care folosește un plan pregândit, a cărui esență este prezentarea unui alt subiect. O metodă de înșelăciune extrem de dificilă, deoarece necesită o pregătire atentă.
Quid-pro-quo și metoda „mărul de drum”.
Teoria ingineriei sociale este o bază de date cu mai multe fațete care include atât metode de înșelăciune și manipulare, cât și modalități de combatere a acestora. Sarcina principală a atacatorilor este, de regulă, să extragă informații valoroase.
Alte tipuri de escrocherii includ: quid-pro-quo, metoda „road apple”, navigarea pe umăr, utilizarea surselor deschise și reverse social media. Inginerie.
Quid-pro-quo (din latină - „aceasta pentru asta”) este o încercare de a extrage informații de la o companie sau firmă. Acest lucru se întâmplă contactând-o prin telefon sau trimițând mesaje prin e-mail. Cel mai adesea, atacatorii se prezintă ca personal tehnic. sprijin care raportează prezența unei probleme specifice la locul de muncă al angajatului. Apoi sugerează modalități de a o elimina, de exemplu, prin instalarea de software. Software-ul se dovedește a fi defect și contribuie la avansarea infracțiunii.
Road Apple este o metodă de atac care se bazează pe ideea unui cal troian. Esența sa constă în utilizarea mediilor fizice și înlocuirea informațiilor. De exemplu, ei pot oferi un card de memorie cu un anumit „bun” care va atrage atenția victimei, o va face să vrea să deschidă și să folosească fișierul sau să urmeze linkurile specificate în documentele unității flash. Obiectul „mărul rutier” este aruncat în locuri sociale și așteaptă până când o entitate implementează planul atacatorului.
Colectarea și căutarea de informații din surse deschise este o înșelătorie în care obținerea datelor se bazează pe metode psihologice, capacitatea de a observa lucruri mărunte și analiza datelor disponibile, de exemplu, paginile dintr-o rețea socială. Aceasta este o metodă destul de nouă de inginerie socială.
Surfing pe umăr și socializare inversă. Inginerie
Conceptul de „shoulder surfing” se definește ca fiind, literalmente, urmărirea unui subiect în direct. Cu acest tip de data mining, atacatorul merge în locuri publice, de exemplu, o cafenea, aeroport, gară și monitorizează oamenii.
Această metodă nu trebuie subestimată, întrucât multe sondaje și studii arată că o persoană atentă poate obține o mulțime de informații confidențiale pur și simplu fiind atentă.
Ingineria socială (ca nivel de cunoștințe sociologice) este un mijloc de „capturare” a datelor. Există modalități de a obține date prin care victima însăși oferă atacatorului informațiile necesare. Cu toate acestea, poate servi și în beneficiul societății.
Social invers Ingineria este o altă metodă a acestei științe. Utilizarea acestui termen devine adecvată în cazul pe care l-am menționat mai sus: victima însăși va oferi atacatorului informațiile necesare. Această afirmație nu trebuie considerată absurdă. Cert este că subiecții înzestrați cu autoritate în anumite domenii de activitate au adesea acces la datele de identificare la discreția subiectului. Baza aici este încrederea.
Important de reținut! Personalul de asistență nu va cere niciodată utilizatorului o parolă, de exemplu.
Conștientizare și protecție
Instruirea de inginerie socială poate fi efectuată de o persoană atât pe baza inițiativei personale, cât și pe baza manualelor care sunt utilizate în programele speciale de pregătire.
Infractorii pot folosi o mare varietate de tipuri de înșelăciune, variind de la manipulare la lene, credulitate, bunăvoința utilizatorului etc. Este extrem de dificil să te protejezi de acest tip de atac, care se datorează lipsei de conștientizare a victimei că el (ea ) a fost înșelat. Diverse firme și companii evaluează adesea informațiile generale pentru a-și proteja datele la acest nivel de pericol. În continuare, măsurile de protecție necesare sunt integrate în politica de securitate.
Exemple
Un exemplu de inginerie socială (actul său) în domeniul mailing-urilor globale de phishing este un eveniment care a avut loc în 2003. În timpul acestei înșelătorii, e-mailurile au fost trimise utilizatorilor eBay. Aceștia au susținut că conturile care le aparțin au fost blocate. Pentru a anula blocarea, a trebuit să reintroduci informațiile contului tău. Cu toate acestea, scrisorile erau false. Au redirecționat către o pagină identică cu cea oficială, dar falsă. Potrivit estimărilor experților, pierderea nu a fost prea semnificativă (mai puțin de un milion de dolari).
Definiţia responsabilităţii
Ingineria socială poate fi pedepsită în unele cazuri. Într-un număr de țări, de exemplu, Statele Unite, pretextul (înșelăciunea prin uzurparea identității unei alte persoane) este echivalată cu o invazie a vieții private. Totuși, acest lucru poate fi pedepsit prin lege dacă informațiile obținute în timpul pretextării au fost confidențiale din punctul de vedere al subiectului sau al organizației. Înregistrarea unei conversații telefonice (ca metodă de inginerie socială) este, de asemenea, prevăzută de lege și necesită plata unei amenzi de 250.000 USD sau închisoare de până la zece ani pentru persoane fizice. persoane Entitățile sunt obligate să plătească 500.000 USD; termenul limită rămâne același.
