Cila është mbrojtja më e mirë kundër inxhinierisë sociale. Inxhinieri sociale

Metodat e inxhinierisë sociale kanë të bëjnë me këtë do të ketë një fjalim në këtë artikull, si dhe gjithçka që lidhet me manipulimin njerëzor, phishing dhe vjedhjen e bazave të klientëve dhe më shumë. Informacioni na u dha me dashamirësi nga Andrey Serikov, autori i të cilit është ai, për të cilin shumë faleminderit.

A. SERIKOV

A.B. BOROVSKY

TEKNOLOGJI INFORMATIVE TË HAKINGUT SOCIALE

Prezantimi

Dëshira e njerëzimit për të arritur përmbushjen e përsosur të detyrave të vendosura i ka shërbyer zhvillimit të teknologjisë moderne kompjuterike dhe përpjekjet për të përmbushur kërkesat kontradiktore të njerëzve kanë çuar në zhvillimin e produkteve softuerike. Këto produkte softuerike jo vetëm që mbështesin performancën hardware por edhe ta kontrollojë atë.

Zhvillimi i njohurive për një person dhe një kompjuter çoi në shfaqjen e një lloji thelbësisht të ri të sistemeve - "njeri-makinë", ku një person mund të pozicionohet si hardware funksionon nën kontrollin e një sistemi operativ të qëndrueshëm, funksional, me shumë detyra të quajtur "psiche".

Tema e punimit është konsiderimi i hakerimit social si një degë e programimit social, ku një person manipulohet me ndihmën e dobësive njerëzore, paragjykimeve dhe stereotipeve në inxhinierinë sociale.

Inxhinieria sociale dhe metodat e saj

Metodat e manipulimit të një personi janë njohur për një kohë të gjatë, ato kryesisht erdhën në inxhinierinë sociale nga arsenali i shërbimeve të ndryshme speciale.

Rasti i parë i njohur i inteligjencës konkurruese daton në shekullin e 6 para Krishtit, në Kinë, kur kinezët humbën sekretin e prodhimit të mëndafshit, i cili u mashtrua nga spiunët romakë.

Inxhinieria sociale është një shkencë që përkufizohet si një grup metodash për manipulimin e sjelljes njerëzore bazuar në përdorimin e dobësive të faktorit njerëzor, pa përdorur mjete teknike.

Sipas shumë ekspertëve, kërcënimi më i madh siguria e informacionit përfaqësojnë pikërisht metodat e inxhinierisë sociale, vetëm sepse përdorimi i hakerimit social nuk kërkon investime të rëndësishme financiare dhe njohuri të plotë teknologji kompjuterike dhe gjithashtu sepse njerëzit kanë disa prirje të sjelljes që mund të përdoren për manipulim të kujdesshëm.

Dhe pa marrë parasysh se si ne përmirësohemi sistemet teknike mbrojtjes, njerëzit do të mbeten njerëz me dobësitë, paragjykimet, stereotipet e tyre, me ndihmën e të cilave bëhet menaxhimi. Vendosja e një "programi të sigurisë" njerëzore është më e vështira dhe jo gjithmonë çon në rezultate të garantuara, pasi ky filtër duhet të rregullohet vazhdimisht. Këtu motoja kryesore e të gjithë ekspertëve të sigurisë tingëllon më e rëndësishme se kurrë: "Siguria është një proces, jo një rezultat".

Fushat e aplikimit të inxhinierisë sociale:

1. destabilizimi i përgjithshëm i punës së organizatës për të zvogëluar ndikimin e saj dhe mundësinë e shkatërrimit të plotë të mëvonshëm të organizatës;
2. mashtrim financiar në organizata;
3. phishing dhe metoda të tjera të vjedhjes së fjalëkalimeve për të hyrë në të dhënat personale bankare të individëve;
4. vjedhja e bazave të të dhënave të klientëve;
5. inteligjencë konkurruese;
6. informacione të përgjithshme për organizatën, për pikat e forta të saj dhe dobësitë, me qëllim të shkatërrimit të mëvonshëm të kësaj organizate në një mënyrë ose në një tjetër (shpesh përdoret për sulme sulmuesish);
7. informacion për punonjësit më premtues me synimin për "joshjen" e tyre të mëtejshme në organizatën tuaj;

Programimi social dhe hakimi social

Programimi social mund të quhet një disiplinë e aplikuar që merret me ndikimin e synuar mbi një person ose një grup njerëzish në mënyrë që të ndryshojë ose të mbajë sjelljen e tyre në drejtimin e duhur. Kështu, programuesi social i vendos vetes një qëllim: zotërimin e artit të menaxhimit të njerëzve. Koncepti themelor i programimit social është se shumë nga veprimet e njerëzve dhe reagimet e tyre ndaj një ose një tjetër ndikimi të jashtëm në shumë raste janë të parashikueshme.

Metodat e programimit social janë tërheqëse sepse ose askush nuk do t'i dijë kurrë për to, ose edhe nëse dikush merr me mend diçka, është shumë e vështirë të ndjekësh një person të tillë, dhe gjithashtu në disa raste është e mundur të "programosh" sjelljen e njerëzve. dhe një person dhe një grup i madh. Këto mundësi hyjnë në kategorinë e hakerimit social pikërisht për arsyen se në të gjitha njerëzit kryejnë vullnetin e dikujt tjetër, sikur i nënshtrohen një “programi” të shkruar nga një social haker.

Hakerimi social si një mundësi për të hakuar një person dhe për ta programuar atë për t'u kryer veprimet e nevojshme vjen nga programimi social - një disiplinë e aplikuar e inxhinierisë sociale, ku specialistët e kësaj fushe - hakerat socialë- përdorin teknika ndikim psikologjik dhe aktrim, huazuar nga arsenali i shërbimeve sekrete.

Hakerimi social përdoret në shumicën e rasteve kur bëhet fjalë për të sulmuar një person që është pjesë e një sistemi kompjuterik. Një sistem kompjuterik i hakuar nuk ekziston më vete. Ai përmban një komponent të rëndësishëm - një person. Dhe për të marrë informacion, një haker social duhet të hakojë një person që punon me një kompjuter. Në shumicën e rasteve, është më e lehtë për ta bërë këtë sesa për të hakuar kompjuterin e viktimës, duke u përpjekur kështu të zbuloni fjalëkalimin.

Një algoritëm tipik për ndikimin në hakimin social:

Të gjitha sulmet nga hakerat social përshtaten në një skemë mjaft të thjeshtë:

1. është formuluar qëllimi i ndikimit në një objekt të caktuar;
2. informacioni rreth objektit mblidhet për të gjetur objektivat më të përshtatshëm të ndikimit;
3. mbi bazën e informacionit të mbledhur zbatohet një fazë, të cilën psikologët e quajnë tërheqje. Tërheqja (nga lat. Attrahere - të tërheqësh, të tërheqësh) është krijimi i kushteve të nevojshme për të ndikuar në një objekt;
4. shtrëngimi në veprimin e nevojshëm për një haker social;

Shtrëngimi arrihet duke kryer fazat e mëparshme, pra pasi të jetë arritur tërheqja, vetë viktima bën veprimet e nevojshme për inxhinierin social.

Bazuar në informacionin e mbledhur, hakerët social parashikojnë me mjaft saktësi psiko-in dhe sociotipin e viktimës, duke identifikuar jo vetëm nevojat për ushqim, seks etj., por edhe nevojën për dashuri, nevojën për para, nevojën për rehati etj. .

Dhe në të vërtetë, pse të përpiqeni të depërtoni në një kompani të caktuar, të hakoni kompjuterë, ATM, të organizoni kombinime komplekse kur gjithçka mund të bëhet më lehtë: të dashuroheni me një person që, me vullnetin e tij të lirë, do të transferojë para në një llogari të caktuar ose çdo koha ndajnë informacionin e nevojshëm?

Bazuar në faktin se veprimet e njerëzve janë të parashikueshme dhe gjithashtu u binden ligjeve të caktuara, hakerët socialë dhe programuesit social përdorin si lëvizje origjinale të shumëfishta ashtu edhe teknika të thjeshta pozitive dhe negative të bazuara në psikologjinë e ndërgjegjes njerëzore, programet e sjelljes, dridhjet e organeve të brendshme për të përmbushur detyrat, të menduarit logjik, imagjinatën, kujtesën, vëmendjen. Këto teknika përfshijnë:

Gjeneratori i drurit - gjeneron lëkundje të së njëjtës frekuencë si frekuenca e lëkundjeve të organeve të brendshme, pas së cilës vërehet një efekt rezonancë, si rezultat i të cilit njerëzit fillojnë të ndjejnë siklet dhe ankth të rëndë;

ndikim në gjeografinë e turmës - për shpërbërjen paqësore të agresive jashtëzakonisht të rrezikshme, grupe të mëdha njerëzit;

tinguj me frekuencë të lartë dhe me frekuencë të ulët - për të provokuar panik dhe efektin e tij të kundërt, si dhe manipulime të tjera;

programi i imitimit social - një person përcakton korrektësinë e veprimeve, duke zbuluar se cilat veprime konsiderohen të sakta nga njerëzit e tjerë;

program claque - (bazuar në imitimin shoqëror) organizimi i reagimit të nevojshëm të audiencës;

radhë - (bazuar në imitimin social) një lëvizje e thjeshtë por efektive reklamuese;

programi i ndihmës së ndërsjellë - një person kërkon të shpërblejë me të mira ata njerëz që i kanë bërë diçka të mirë. Dëshira për të përmbushur këtë program shpesh i tejkalon të gjitha argumentet e arsyes;

Hakerimi social në internet

Me shfaqjen dhe zhvillimin e Internetit - një mjedis virtual i përbërë nga njerëzit dhe ndërveprimet e tyre, mjedisi për manipulimin e një personi është zgjeruar, për të marrë informacionin që ju nevojitet dhe duke marrë masat e nevojshme. Sot, Interneti është mjeti i transmetimit mbarëbotëror, një medium për bashkëpunim, komunikim dhe mbulon të gjithë globin. Kjo është ajo që përdorin inxhinierët socialë për të arritur qëllimet e tyre.

Mënyrat për të manipuluar një person përmes internetit:

V bota moderne pronarët e pothuajse çdo kompanie e kanë kuptuar tashmë se interneti është një mjet shumë efektiv dhe i përshtatshëm për zgjerimin e një biznesi dhe detyra kryesore e tij është të rrisë fitimet e të gjithë kompanisë. Dihet se reklamimi përdoret pa informacion që synon tërheqjen e vëmendjes ndaj objektit të dëshiruar, gjenerimin ose ruajtjen e interesit për të dhe promovimin e tij në treg. Vetëm për shkak të faktit se tregu i reklamave ka qenë prej kohësh i ndarë, shumica e llojeve të reklamave për shumicën e sipërmarrësve janë para të humbura. Reklamimi në internet nuk është vetëm një nga llojet e reklamave në media, është diçka më shumë, sepse me ndihmën e reklamave në internet, njerëzit e interesuar për bashkëpunim vijnë në faqen e organizatës.

Reklamimi online, në ndryshim nga reklamimi në media, ka shumë më shumë mundësi dhe parametrat e kontrollit kompani reklamuese... Shumica tregues i rëndësishëm reklamimi në internet është se Tarifat e reklamimit në internet debitohen vetëm pas kalimit përdorues i interesuar përmes lidhjes së reklamës, gjë që sigurisht e bën reklamimin në internet më efektiv dhe më pak të kushtueshëm se reklamimi në media. Pra, pasi bëjnë një reklamë në televizion ose në median e shkruar, e paguajnë plotësisht dhe vetëm presin klientët potencial, por klientët mund t'i përgjigjen reklamave ose jo - gjithçka varet nga cilësia e prodhimit dhe shpërndarjes së reklamave në televizion ose gazeta, megjithatë, buxheti i reklamave tashmë është shpenzuar dhe nëse reklamimi nuk funksionoi, ai ishte i kotë. Ndryshe nga reklamat e tilla në media, reklamimi në internet ka aftësinë të gjurmojë përgjigjen e audiencës dhe të menaxhojë reklamat në internet përpara se të shpenzohet buxheti i tij, për më tepër, reklamimi në internet mund të ndërpritet - kur kërkesa për produkte është rritur dhe rifilluar. - kur kërkesa fillon të bjerë.

Një tjetër metodë ndikimi është e ashtuquajtura "Vrasja e forumeve", ku me ndihmën e programeve sociale, ata krijojnë antireklamë për një projekt të caktuar. Programuesi social në këtë rast, vetëm me ndihmën e veprimeve të dukshme provokuese, shkatërron forumin, duke përdorur disa pseudonime ( pseudonimi) për të krijuar një grup anti-lider rreth tij dhe për të tërhequr vizitorë të rregullt në projekt, të cilët janë të pakënaqur me sjelljen e administratës. Në fund të ngjarjeve të tilla, bëhet e pamundur promovimi i produkteve ose ideve në forum. Për atë që u zhvillua fillimisht forumi.

Metodat e ndikimit të një personi përmes internetit për qëllime të inxhinierisë sociale:

Phishing është një lloj mashtrimi në internet që synon të fitojë akses në të dhënat konfidenciale të përdoruesit - hyrjet dhe fjalëkalimet. Ky operacion arrihet duke kryer postime masive email në emër të markave të njohura, dhe mesazhe private brenda sherbimeve te ndryshme (Rambler), bankave ose brenda rrjete sociale(Facebook). Letra shpesh përmban një lidhje me një faqe që nga jashtë nuk dallohet nga ajo realja. Pasi një përdorues zbret në një faqe të rreme, inxhinierët socialë përdorin truke të ndryshme për të nxitur përdoruesin të fusë emrin e përdoruesit dhe fjalëkalimin e tij në faqe, të cilat ata i përdorin për të hyrë në një faqe të caktuar, e cila i lejon ata të kenë akses në llogaritë dhe llogaritë bankare.

Më shumë specie të rrezikshme mashtrimi sesa phishing është i ashtuquajturi pharming.

Pharming është një mekanizëm për ridrejtimin e fshehtë të përdoruesve në faqet e phishing. Inxhinieri social shpërndan programe të veçanta keqdashëse në kompjuterët e përdoruesve, të cilët pasi lansohen në kompjuter, ridrejtojnë kërkesat nga faqet e nevojshme në ato false. Kështu, sigurohet një fshehtësi e lartë e sulmit, dhe pjesëmarrja e përdoruesit minimizohet - mjafton të prisni derisa përdoruesi të vendosë të vizitojë faqet me interes për inxhinierin social.

konkluzioni

Inxhinieria sociale është një shkencë që doli nga sociologjia dhe pretendon të jetë një koleksion njohurish që drejton, vë në rregull dhe optimizon procesin e krijimit, modernizimit dhe riprodhimit të realiteteve të reja ("artificiale") shoqërore. Në një farë mënyre, ajo e “plotëson” shkencën sociologjike, e plotëson atë në fazën e shndërrimit të njohurive shkencore në modele, projekte dhe struktura të institucioneve shoqërore, vlerave, normave, algoritmeve të veprimtarisë, marrëdhënieve, sjelljes etj.

Pavarësisht se Inxhinieria Sociale është një shkencë relativisht e re, ajo i bën shumë dëm proceseve që ndodhin në shoqëri.

Metodat më të thjeshta të mbrojtjes nga efektet e kësaj shkence shkatërruese mund të quhen:

Tërheqja e vëmendjes së njerëzve për çështjet e sigurisë.

Ndërgjegjësimi i përdoruesve për seriozitetin e problemit dhe miratimi i një politike sigurie të sistemit.

Letërsia

1.R. Petersen Linux: Udhëzues i plotë: per. nga anglishtja - 3 - ed. - К .: Grupi botues BHV, 2000. - 800 f.

2. Nga Grodnev Internet në shtëpinë tuaj. - M .: "RIPOL CLASSIC", 2001. -480 f.

3. MV Kuznetsov Inxhinieri sociale dhe hakerimi social. SPb .: BHV-Petersburg, 2007 .-- 368 f.: ill.

Pershendetje te dashur miq! Ne nuk kemi diskutuar me ju për sigurinë për një kohë të gjatë, ose për të qenë më të saktë, të dhënat që ruhen jo vetëm në kompjuterët tuaj, por edhe në miqtë dhe kolegët tuaj. Sot do t'ju tregoj për një koncept të tillë si inxhinieria sociale. Do të mësoni se çfarë është inxhinieria sociale dhe si të parandaloni veten.

Inxhinieria sociale është një metodë e aksesit të paautorizuar në sistemet e informacionit, e cila bazohej në karakteristikat e sjelljes psikologjike të një personi. Çdo haker, në kuptimin e drejtpërdrejtë ose të tërthortë, është i interesuar të fitojë akses në informacionin e mbrojtur, fjalëkalimet, të dhënat mbi karta bankare etj.

Dallimi kryesor kjo metodëështë se objektivi i sulmit nuk është makina, por përdoruesi i saj. Metodat e inxhinierisë sociale bazohen në përdorimin e faktorit njerëzor. Një sulmues merr informacionin që i nevojitet duke folur në telefon ose duke hyrë në zyrë i maskuar si punonjës.

Pretekstështë një grup veprimesh që i përgjigjen një skenari të caktuar të përgatitur paraprakisht (pretekst). Për të marrë informacion në këtë teknikë, përdoren mjete zanore (telefon, Skype). Duke u paraqitur si një palë e tretë dhe duke pretenduar se ka nevojë për ndihmë, mashtruesi detyron personin tjetër të sigurojë një fjalëkalim ose të regjistrohet në një faqe interneti phishing dhe në këtë mënyrë të marrë informacionin e nevojshëm.

Le të imagjinojmë situatën. Ju punoni për një organizatë të madhe për rreth gjashtë muaj. Ju thërret një person që prezantohet si punonjës i ndonjë dege. “Përshëndetje, emri apo pozicioni juaj, ne nuk mund të shkojmë në postën, e cila shërben për të marrë aplikime në kompaninë tonë. Kohët e fundit kemi marrë një aplikim nga qyteti ynë, dhe shefi thjesht do të vrasë për një shkelje të tillë, më tregoni fjalëkalimin nga posta.

Sigurisht, kur tani po lexoni kërkesën e tij, ju duket pak budallallëk t'i jepni fjalëkalimin personit që dëgjoni për herë të parë. Por meqenëse njerëzit pëlqejnë të ndihmojnë për gjëra të vogla, (a nuk është e vështirë për ty të thuash 8-16 karaktere nga fjalëkalimi?) Këtu mund të shpohet çdo person.

Fishing(peshkimi) - ky lloj mashtrimi në internet ka për qëllim marrjen e emrave të përdoruesve dhe fjalëkalimeve. Lloji më i popullarizuar i phishing është dërgimi i një e-mail për një viktimë nën maskën e një letre zyrtare, për shembull, nga një sistem pagese ose një bankë. Letra, si rregull, informon për humbjen e të dhënave, për keqfunksionimet në sistem dhe përmban një kërkesë për të hyrë informacion konfidencial duke ndjekur lidhjen.

Lidhja e ridrejton viktimën në një faqe phishing që duket tamam si faqja zyrtare e faqes së internetit. Është e vështirë për një person të patrajnuar të njohë një sulm phishing, por është mjaft e mundur. Këto mesazhe zakonisht përmbajnë informacion rreth kërcënimeve (për shembull, rreth mbylljes së një llogarie bankare) ose, anasjelltas, një premtim çmim në para për asgjë, kërkesa për ndihmë në emër të një organizate bamirësie. Gjithashtu, mesazhet e phishing mund të njihen nga adresa ku ju kërkohet të shkoni.

Sulmet më të njohura të phishing përfshijnë përdorimin mashtrues të emrit të markës së një kompanie të njohur. Në emër të një kompanie të njohur dërgohen e-mail, të cilat përmbajnë urime për një festë të caktuar (për shembull) dhe informacione për konkursin. Për të marrë pjesë në konkurs, ju duhet urgjentisht të ndryshoni informacionin e llogarisë tuaj.

Unë do t'ju them përvojë personale... Mos më hidhni gurë 😉. Ishte shumë kohë më parë, kur u interesova për ... ... Po, po, phishing. Në atë kohë ishte shumë në modë të ulesh në My World dhe e shfrytëzova. Pasi pashë një ofertë nga mail.ru për të instaluar një "agjent të artë" për para. Kur të thonë blej, mendon, por kur të thonë që fitove, njerëzit mashtrohen menjëherë.

Nuk mbaj mend gjithçka saktësisht deri në detajet më të vogla, por ishte diçka e tillë.

Unë shkrova një mesazh: "Përshëndetje, EMRI! Ekipi Mile.RU është i lumtur t'ju përgëzojë. Ju keni fituar "agjentin e artë". Çdo 1000 e përdoruesve tanë e marrin atë falas. Për ta aktivizuar atë, duhet të shkoni në faqen tuaj dhe ta aktivizoni atë te Cilësimet - bla bla bla.

Epo, si ju pëlqen oferta? Dëshironi Skype të artë, të dashur lexues? Nuk do t'ju tregoj për të gjitha hollësitë teknike, pasi ka të rinj që thjesht presin udhëzime të hollësishme. Por duhet theksuar se 30% e përdoruesve të “Bota ime” kanë ndjekur lidhjen dhe kanë futur emrin e përdoruesit dhe fjalëkalimin e tyre. I fshiva këto fjalëkalime pasi ishte thjesht një eksperiment.

Duke u përplasur... Shumë popullor tani Telefonat celularë, dhe për të zbuluar numrin tuaj, nuk do të jetë e vështirë as për një nxënës shkolle që ulet me djalin ose vajzën tuaj në të njëjtën tavolinë. Mashtruesi, pasi ka mësuar numrin, ju dërgon një lidhje phishing, ku ju kërkon të shkoni për të aktivizuar paratë e bonusit në hartën tuaj. Aty ku natyrisht ka fusha për futjen e të dhënave personale. Atyre mund t'u kërkohet gjithashtu të dërgojnë një SMS me të dhënat tuaja nga karta.

Duket se është një situatë normale, por kapja është shumë afër.

Qui pro quo ("quid pro quo") është një lloj sulmi që përfshin një telefonatë mashtruese, për shembull, në emër të një shërbimi mbeshtetje teknike... Një sulmues, ndërsa merr në pyetje një punonjës për probleme të mundshme teknike, e detyron atë të futë komanda që e lejojnë atë të lëshojë softuer me qëllim të keq. Të cilat mund të vendosen në burime të hapura: rrjetet sociale, serverët e kompanisë, etj.

Shikoni videon për një shembull:

Ata mund t'ju dërgojnë një skedar (virus) me postë, pastaj të telefonojnë dhe të thonë se ka ardhur një dokument urgjent dhe duhet ta shikoni. Duke hapur skedarin e bashkangjitur letrës, vetë përdoruesi instalon në kompjuter malware e cila ju lejon të aksesoni të dhënat konfidenciale.

Kujdesuni për veten dhe të dhënat tuaja. Shihemi se shpejti!

Inxhinieri sociale

Inxhinieri socialeështë një metodë e aksesit të paautorizuar në informacion ose sistemet e ruajtjes së informacionit pa përdorimin e mjeteve teknike. Qëllimi kryesor i inxhinierëve socialë, si hakerët dhe krikerët e tjerë, është të fitojnë akses në sistemet e mbrojtura për të vjedhur informacione, fjalëkalime, të dhëna në kartat e kreditit etj. Dallimi kryesor nga hakim i thjeshtëështë se në këtë rast, si objekt sulmi nuk zgjidhet makina, por operatori i saj. Kjo është arsyeja pse të gjitha metodat dhe teknikat e inxhinierëve socialë bazohen në përdorimin e dobësive të faktorit njerëzor, i cili konsiderohet jashtëzakonisht shkatërrues, pasi sulmuesi merr informacion, për shembull, duke përdorur të zakonshmet. bisedë telefonike ose duke depërtuar në një organizatë të maskuar si punonjës. Për t'u mbrojtur nga sulmet e këtij lloji, duhet të jeni të vetëdijshëm për llojet më të zakonshme të mashtrimit, të kuptoni se çfarë duan vërtet krisurat dhe të organizoni politikë të përshtatshme sigurinë.

Histori

Përkundër faktit se koncepti i "inxhinierisë sociale" u shfaq relativisht kohët e fundit, njerëzit në një formë ose në një tjetër kanë përdorur teknikat e tij që nga kohra të lashta. V Greqia e lashte dhe në Romë, kishte njerëz me respekt të lartë që munden menyra te ndryshme bind bashkëbiseduesin për gabimin e tij të dukshëm. Duke folur në emër të liderëve, ata zhvilluan negociata diplomatike. Me mjeshtëri, duke përdorur gënjeshtrat, lajkat dhe argumentet fitimprurëse, ata shpesh zgjidhnin probleme që, siç dukej, nuk mund të zgjidheshin pa ndihmën e shpatës. Ndër spiunët, inxhinieria sociale ka qenë gjithmonë arma kryesore. Duke u paraqitur si një person tjetër, agjentët e KGB-së dhe CIA-s mund të zbulojnë sekret sekretet shtetërore... Në fillim të viteve 70, gjatë lulëzimit të freaking, disa ngacmues telefonikë thirrën operatorët e telekomit dhe u përpoqën të shtrydhnin informacione konfidenciale nga stafi teknik i kompanive. Pas eksperimenteve të ndryshme me truket, nga fundi i viteve 70, phreakers kishin zhvilluar teknika për manipulimin e operatorëve të patrajnuar aq shumë sa mund të mësonin lehtësisht prej tyre pothuajse gjithçka që dëshironin.

Parimet dhe Teknikat e Inxhinierisë Sociale

Ekzistojnë disa teknika dhe lloje të zakonshme sulmi të përdorura nga inxhinierët socialë. Të gjitha këto teknika bazohen në modelet e vendimmarrjes njerëzore të njohura si paragjykime njohëse (shih gjithashtu Kognitive). Këto paragjykime përdoren në kombinime të ndryshme për të krijuar strategjinë më të përshtatshme të mashtrimit në secilin rast. Por një tipar i përbashkët i të gjitha këtyre metodave është mashtruesi, për të detyruar një person të kryejë çdo veprim që nuk është i dobishëm për të dhe është i nevojshëm për një inxhinier social. Për të arritur rezultatin e dëshiruar, sulmuesi përdor një numër të të gjitha llojeve të taktikave: imitimi i një personi tjetër, shpërqendrimi i vëmendjes, ndërtimi i stresit psikologjik, etj. Qëllimet përfundimtare të mashtrimit mund të jenë gjithashtu mjaft të ndryshme.

Teknikat e inxhinierisë sociale

Pretekst

Preteksti është një grup veprimesh të kryera sipas një të caktuar, paraprakisht skenar i gatshëm(pretekst). Kjo teknikë përfshin përdorimin e mjete ndihmëse zanore si telefoni, Skype etj. për të marrë informacionin që ju nevojitet. Në mënyrë tipike, duke u paraqitur si një palë e tretë ose duke pretenduar se dikush ka nevojë për ndihmë, sulmuesi i kërkon viktimës një fjalëkalim ose identifikohet në një faqe interneti phishing, duke e detyruar kështu objektivin të kryejë veprimin e nevojshëm ose të japë informacion të caktuar. Në shumicën e rasteve, kjo teknikë kërkon disa të dhëna fillestare për objektivin e sulmit (për shembull, të dhëna personale: data e lindjes, numri i telefonit, numrat e llogarisë, etj.) Strategjia më e zakonshme është përdorimi i pyetjeve të vogla në fillim dhe përmendja e emrave. njerëz të vërtetë Në organizatë. Më vonë, gjatë bisedës, sulmuesi shpjegon se ai ka nevojë për ndihmë (shumica e njerëzve mund dhe janë të gatshëm të kryejnë detyra që nuk perceptohen si të dyshimta). Pasi të krijohet besimi, mashtruesi mund të kërkojë diçka më thelbësore dhe më të rëndësishme.

Fishing

Shembull i një emaili phishing dërguar nga një shërbim email që kërkon "riaktivizim të llogarisë"

Phishing (anglisht phishing, nga peshkimi - peshkimi, peshkimi) është një lloj mashtrimi në internet, qëllimi i të cilit është të fitoni akses në të dhënat konfidenciale të përdoruesit - hyrjet dhe fjalëkalimet. Kjo është ndoshta skema më e njohur e inxhinierisë sociale sot. Asnjë shkelje e madhe e të dhënave personale nuk është e plotë pa një valë emailesh phishing që pasojnë. Qëllimi i phishing është të marrë në mënyrë të paligjshme informacion konfidencial. Shembulli më i mrekullueshëm i një sulmi phishing është një mesazh i dërguar viktimës me e-mail dhe i falsifikuar si një letër zyrtare - nga një bankë ose sistemi i pagesave- që kërkon verifikim informacione të caktuara ose duke ndërmarrë veprime të caktuara. Arsyet mund të quhen shumë të ndryshme. Kjo mund të jetë një humbje e të dhënave, një avari në sistem, etj. Emaile të tilla zakonisht përmbajnë një lidhje me një faqe interneti të rreme që duket tamam si ajo zyrtare dhe përmban një formular që kërkon që ju të vendosni informacione konfidenciale.

Një nga shembujt më të njohur të mashtrimeve globale të phishing ishte mashtrimi i vitit 2003, në të cilin mijëra përdorues të eBay morën email që pretendonin se llogaria e tyre ishte bllokuar dhe kërkohej të përditësonin informacionin e kartës së tyre të kreditit për ta zhbllokuar atë. Të gjitha këto email përfshinin një lidhje që çonte në një faqe interneti të rreme që dukej saktësisht si ajo zyrtare. Sipas ekspertëve, humbjet nga ky mashtrim arritën në disa qindra mijëra dollarë.

Si të dalloni një sulm phishing

Skema të reja mashtruese shfaqen pothuajse çdo ditë. Shumica e njerëzve mund të mësojnë të njohin vetë mesazhet mashtruese duke u njohur me disa prej tyre. tipare dalluese... Më shpesh, mesazhet e phishing përmbajnë:

• Informacione shqetësuese ose kërcënime, të tilla si mbyllja e llogarive bankare të përdoruesve.
• premtimet për një çmim të madh në para me përpjekje minimale apo edhe pa to.
• kërkesat për donacione vullnetare në emër të organizatave bamirëse.
• gabime gramatikore, pikësimi dhe drejtshkrimore.

Skemat e njohura të phishing

Mashtrimet më të njohura të phishing janë përshkruar më poshtë.

Përdorimi mashtrues i markave të njohura të korporatave

Këto skema phishing përdorin mesazhe të rreme Email ose faqet e internetit që përmbajnë emrat e kompanive të mëdha ose të njohura. Mesazhet mund të përfshijnë urime për fitimin e një konkursi të mbajtur nga kompania, se një nevojë urgjente për të ndryshuar kredencialet ose fjalëkalimin tuaj. Skema të tilla mashtruese në emër të shërbimit të mbështetjes teknike mund të kryhen edhe përmes telefonit.

Lotaritë mashtruese

Përdoruesi mund të marrë mesazhe ku thuhet se ai ka fituar një llotari që është drejtuar nga një kompani e njohur. Nga pamja e jashtme, këto mesazhe mund të duken sikur janë dërguar në emër të një prej punonjësve të rangut të lartë të korporatës.

Antivirus i rremë dhe softuer sigurie

IVR ose phishing në telefon

Parimi i funksionimit të sistemeve IVR

Qwi pro quo

Qui pro quo (nga latinishtja Quid pro quo - "atëherë për këtë") është një shkurtim që përdoret zakonisht në gjuhe angleze në kuptimin e quid pro quo. Ky lloj sulmi përfshin një telefonatë nga një sulmues në një kompani nëpërmjet telefon i korporatës... Në shumicën e rasteve, sulmuesi prezantohet si punonjës i mbështetjes teknike duke pyetur nëse ka ndonjë probleme teknike... Në procesin e "zgjidhjes" së problemeve teknike, mashtruesi "detyron" objektivin të futë komanda që lejojnë hakerin të lëshojë ose instalojë softuer me qëllim të keq në makinën e përdoruesit.

kali i Trojes

Ndonjëherë përdorimi i Trojans është vetëm një pjesë e një sulmi të planifikuar me shumë faza kompjuterë të caktuar, rrjetet ose burimet.

Llojet e Trojans

Trojans janë krijuar më shpesh për qëllime keqdashëse. Ekziston një klasifikim ku ato ndahen në kategori bazuar në mënyrën se si trojanët depërtojnë dhe dëmtojnë sistemin. Ekzistojnë 5 lloje kryesore:

• akses në distancë
• shkatërrimin e të dhënave
• ngarkues
• server
• çaktivizuesi i programit të sigurisë

Golat

Programi Trojan mund të synojë:

• ngarkimi dhe shkarkimi i skedarëve
• kopjimi i lidhjeve të rreme që çojnë në faqe interneti të rreme, dhoma bisede ose faqe të tjera regjistrimi
• duke ndërhyrë në punën e përdoruesit
• vjedhja e të dhënave me vlerë ose sekrete, duke përfshirë informacione për vërtetim, për akses të paautorizuar në burime, nxjerrje të detajeve në lidhje me llogaritë bankare që mund të përdoren për qëllime kriminale
• përhapjen e malware të tjerë si viruset
• shkatërrimi i të dhënave (fshirja ose mbishkrimi i të dhënave në një disk, dëmtimi i skedarëve të vështirë për t'u parë) dhe pajisjet, çaktivizimi ose mohimi i shërbimit të sistemeve kompjuterike, rrjeteve
• mbledhjen e adresave të emailit dhe përdorimin e tyre për të dërguar spam
• spiunimi i përdoruesit dhe komunikimi i fshehtë i informacionit palëve të treta, të tilla si, për shembull, zakoni për të vizituar faqet
• Regjistrimi i shtypjes së tasteve për të vjedhur informacione të tilla si fjalëkalimet dhe numrat e kartave të kreditit
• çaktivizimi ose ndërhyrja në punë softuer antivirus dhe muri i zjarrit

maskimi

Shumë trojanë banojnë në kompjuterët e përdoruesve pa dijeninë e tij. Ndonjëherë Trojans regjistrohen në Regjistr, gjë që çon në lëshimin e tyre automatik në fillim. sistemi operativ... Trojans gjithashtu mund të kombinohen me skedarë të ligjshëm. Kur një përdorues hap një skedar të tillë ose lëshon një aplikacion, një trojan lëshohet së bashku me të.

Si funksionon Trojani

Trojans zakonisht përbëhen nga dy pjesë: Klienti dhe Serveri. Serveri funksionon në makinën viktimë dhe monitoron lidhjet nga Klienti. Ndërsa serveri është në punë, ai monitoron një port ose disa porte që kërkojnë një lidhje nga Klienti. Në mënyrë që sulmuesi të lidhet me serverin, ai duhet të dijë adresën IP të makinës në të cilën po funksionon. Disa Trojan i dërgojnë adresën IP të makinës së viktimës palës sulmuese me email ose në ndonjë mënyrë tjetër. Sapo të krijohet një lidhje me Serverin, Klienti mund t'i dërgojë atij komanda, të cilat Serveri do t'i ekzekutojë. Aktualisht, falë teknologjisë NAT, është e pamundur të aksesosh shumicën e kompjuterëve përmes adresës së tyre IP të jashtme. Prandaj, sot shumë trojanë lidhen me kompjuterin e sulmuesit, i cili është përgjegjës për pranimin e lidhjeve, në vend që sulmuesi të përpiqet të lidhet me vetë viktimën. Shumë trojanë modernë gjithashtu mund të anashkalojnë lehtësisht muret e zjarrit në kompjuterët e përdoruesve.

Mbledhja e informacionit nga burime të hapura

Përdorimi i teknikave të inxhinierisë sociale kërkon jo vetëm njohuri të psikologjisë, por edhe aftësinë për të mbledhur informacionin e nevojshëm për një person. Një mënyrë relativisht e re për marrjen e një informacioni të tillë është bërë mbledhja e tij nga burime të hapura, kryesisht nga rrjetet sociale. Për shembull, faqet si livejournal, Odnoklassniki, Vkontakte përmbajnë një sasi të madhe të dhënash që njerëzit as që përpiqen t'i fshehin. mos i kushtoni vëmendjen e duhur çështjeve të sigurisë, duke u larguar akses falas të dhëna dhe informacione që mund të përdoren nga një ndërhyrës.

Një shembull ilustrues është historia e rrëmbimit të djalit të Yevgeny Kaspersky. Gjatë hetimeve u konstatua se kriminelët mësuan orarin e ditës dhe itineraret e adoleshentit nga shënimet e tij në faqen në rrjetin social.

Edhe duke kufizuar aksesin në informacionin në faqen e tij në rrjetin social, përdoruesi nuk mund të jetë i sigurt se ai kurrë nuk do të bjerë në duart e mashtruesve. Për shembull, një studiues brazilian në siguria kompjuterike tregoi se është e mundur të bëhesh mik i çdo përdoruesi të Facebook brenda 24 orëve duke përdorur teknikat e inxhinierisë sociale. Gjatë eksperimentit, studiuesi Nelson Novaez Neto zgjodhi një "viktimë" dhe krijoi një llogari të rreme të një personi nga mjedisi i saj - shefin e saj. Fillimisht, Neto u dërgoi kërkesa miqësie miqve të miqve të shefit të viktimës dhe më pas direkt miqve të tij. Pas 7.5 orësh, studiuesi mori një mik nga "viktima". Kështu, studiuesi fitoi akses në informacionin personal të përdoruesit, të cilin ai i ndante vetëm me miqtë e tij.

Mollë udhëtimi

Kjo metodë sulmi është një përshtatje kali i Trojes, dhe konsiston në përdorimin e mediave fizike. Një sulmues hedh një "të infektuar", ose blic, në një vend ku transportuesi mund të gjendet lehtësisht (tualet, ashensor, parking). Mediumi është i falsifikuar si zyrtar dhe shoqërohet me një firmë të krijuar për të ngjallur kuriozitet. Për shembull, një mashtrues mund të hedhë, i pajisur me një logo të korporatës dhe një lidhje në faqen zyrtare të kompanisë, duke i dhënë asaj mbishkrimin " Pagë stafi drejtues. "Disku mund të lihet në dyshemenë e ashensorit, ose në holl. Një punonjës pa e ditur mund të marrë një disk dhe ta futë në një kompjuter për të kënaqur kureshtjen e tij.

Inxhinieri sociale e kundërt

Inxhinieria sociale e kundërt përmendet kur viktima i ofron sulmuesit informacionin që i nevojitet. Mund të tingëllojë absurde, por në fakt, njerëzit me autoritet në sferën teknike ose sociale shpesh marrin ID të përdoruesve dhe fjalëkalime dhe informacione të tjera të rëndësishme personale thjesht sepse askush nuk dyshon për mirësjelljen e tyre. Për shembull, stafi mbështetës nuk kërkon kurrë nga përdoruesit një ID ose fjalëkalim; ata nuk kanë nevojë për këtë informacion për të zgjidhur problemet. Megjithatë, shumë përdorues dorëzojnë vullnetarisht këtë informacion konfidencial për të zgjidhur problemet sa më shpejt të jetë e mundur. Rezulton se sulmuesi as që ka nevojë të pyesë për këtë.

Një shembull i inxhinierisë sociale të kundërt është skenari i thjeshtë i mëposhtëm. Sulmuesi që punon me viktimën ndryshon emrin e skedarit në kompjuterin e saj ose e zhvendos atë në një drejtori tjetër. Kur viktima vëren se skedari mungon, sulmuesi pretendon se mund ta rregullojë atë. Duke dashur të përfundojë punën më shpejt ose të shmangë ndëshkimin për humbjen e informacionit, viktima pranon këtë ofertë. Sulmuesi pretendon se zgjidhja e vetme e problemit është duke hyrë me kredencialet e viktimës. Tani viktima i kërkon sulmuesit të identifikohet me emrin e saj në mënyrë që të përpiqet të rikuperojë skedarin. Sulmuesi pa dëshirë pranon dhe rikthen skedarin dhe gjatë rrugës vjedh ID-në dhe fjalëkalimin e viktimës. Pasi kreu me sukses sulmin, ai madje përmirësoi reputacionin e tij dhe është mjaft e mundur që pas kësaj kolegë të tjerë t'i drejtohen atij për ndihmë. Kjo qasje nuk ndërhyn në procedurat e zakonshme për ofrimin e shërbimeve mbështetëse dhe e bën të vështirë kapjen e sulmuesit.

Inxhinierë të shquar social

Kevin Mitnick

Kevin Mitnick. Botëror haker i famshëm dhe konsulent sigurie

Një nga inxhinierët socialë më të famshëm në histori është Kevin Mitnick. Një haker kompjuterik dhe konsulent sigurie me famë ndërkombëtare, Mitnick është gjithashtu autor i librave të shumtë mbi sigurinë kompjuterike, duke u fokusuar kryesisht në inxhinierinë sociale dhe metodat e ndikimit psikologjik te njerëzit. Në vitin 2002, nën autorësinë e tij u botua libri "Arti i mashtrimit", i cili tregon për histori reale aplikimi i inxhinierisë sociale. Kevin Mitnick argumentoi se është shumë më e lehtë për të marrë një fjalëkalim duke mashtruar sesa duke u përpjekur për të hakuar një sistem sigurie.

Vëllezërit Badir

Megjithëse vëllezërit Mundir, Mushid dhe Shadi Badir ishin të verbër që nga lindja, ata arritën të zbatonin disa skema të mëdha mashtruese në Izrael në vitet 1990 duke përdorur inxhinierinë sociale dhe falsifikimin e zërit. Në një intervistë televizive, ata thanë: “Vetëm ata që nuk përdorin telefon, rrymë apo laptop janë plotësisht të siguruar nga sulmet në rrjet”. Vëllezërit kanë qenë tashmë në burg sepse ishin në gjendje të dëgjonin dhe deshifronin tonet e fshehta të ndërhyrjeve të ofruesve. lidhje telefonike... Ata bënë telefonata të gjata jashtë vendit me shpenzimet e dikujt tjetër, duke riprogramuar kompjuterët e ofruesve celularë me tone interferenci.

Kryeengjëlli

Kopertina e revistës "Phrack".

I famshëm haker kompjuteri dhe një konsulent sigurie për revistën e mirënjohur në internet në gjuhën angleze "Phrack Magazine", Archangel demonstroi aftësitë e teknikave të inxhinierisë sociale duke marrë fjalëkalime nga një numër i madh sisteme të ndryshme duke mashtruar disa qindra viktima.

Të tjera

Inxhinierët socialë më pak të njohur janë Frank Abagnale, David Bannon, Peter Foster dhe Stephen Jay Russell.

Metodat e mbrojtjes kundër inxhinierisë sociale

Për të kryer sulmet e tyre, sulmuesit që përdorin teknika të inxhinierisë sociale shpesh shfrytëzojnë mendjemprehtësinë, dembelizmin, mirësjelljen dhe madje entuziazmin e përdoruesve dhe punonjësve të organizatave. Mbrojtja kundër sulmeve të tilla është sfiduese sepse viktimat e tyre mund të mos dyshojnë se janë mashtruar. Sulmuesit e inxhinierisë sociale në përgjithësi kanë të njëjtat qëllime si çdo sulmues tjetër: ata kanë nevojë për para, informacion ose burime IT nga kompania viktima. Për t'u mbrojtur nga sulme të tilla, duhet të studioni varietetet e tyre, të kuptoni se çfarë i nevojitet sulmuesit dhe të vlerësoni dëmin që mund t'i shkaktohet organizatës. Me gjithë këtë informacion, ju mund të integroni mbrojtjen e nevojshme në politikën tuaj të sigurisë.

Klasifikimi i kërcënimeve

Kërcënimet me email

Shumë punonjës marrin çdo ditë përmes korporatave dhe private sistemet postare dhjetëra dhe madje qindra email. Sigurisht, me një rrjedhë të tillë korrespondence, është e pamundur t'i kushtohet vëmendje e duhur çdo letre. Kjo e bën shumë më të lehtë kryerjen e sulmeve. Shumica e përdoruesve të sistemeve të postës elektronike janë të kënaqur me përpunimin e mesazheve të tilla, duke e perceptuar këtë punë si një analog elektronik të transferimit të letrave nga një dosje në tjetrën. Kur një sulmues dërgon një kërkesë të thjeshtë me postë, viktima shpesh bën atë që i kërkohet pa menduar se çfarë po bën. Emailet mund të përmbajnë hiperlidhje që i shtyjnë punonjësit të rrezikojnë sigurinë e mjedisit të korporatës. Lidhje të tilla jo gjithmonë çojnë në faqet e pretenduara.

Shumica e masave të sigurisë janë krijuar për të parandaluar përdoruesit e paautorizuar të aksesojnë burimet e korporatës. Nëse, pasi klikon një hiperlidhje të dërguar nga një sulmues, përdoruesi ngarkon në rrjeti i korporatës Kalë trojan ose virus, kjo do ta bëjë të lehtë anashkalimin e shumë llojeve të mbrojtjes. Një hiperlidhje mund të drejtojë gjithashtu një sajt me aplikacione kërcyese që kërkojnë informacion ose ofrojnë ndihmë. Ashtu si me llojet e tjera të mashtrimit, mbrojtja më efektive kundër sulmeve me qëllim të keq është të jesh skeptik ndaj çdo emaili hyrës të papritur. Për të shpërndarë këtë qasje në të gjithë organizatën tuaj, udhëzimet specifike të postës elektronike duhet të përfshihen në politikën e sigurisë, duke mbuluar elementët e mëposhtëm.

• Shtojcat në dokumente.
• Hiperlidhjet në dokumente.
• Personale ose informacione të korporatës që vijnë nga brenda kompanisë.
• Kërkesat për informacion personal ose të korporatës me origjinë nga jashtë kompanisë.

Kërcënimet që lidhen me përdorimin e shërbimit të mesazheve të çastit

Mesazhimi i çastit - Krahasues rruge e re transmetimi i të dhënave, megjithatë, ai tashmë ka fituar popullaritet të gjerë në mesin e përdoruesve të korporatave. Për shkak të shpejtësisë dhe lehtësisë së përdorimit, kjo metodë e komunikimit hap mundësi të gjera për sulme të ndryshme: përdoruesit e trajtojnë atë si një lidhje telefonike dhe nuk e lidhin atë me kërcënime të mundshme të softuerit. Dy llojet kryesore të sulmeve të bazuara në përdorimin e shërbimit të mesazheve të çastit janë drejtimi në trupin e mesazhit drejt programit me qëllim të keq dhe dërgimi i vetë programit. Sigurisht, mesazhet e çastit janë gjithashtu një nga mënyrat për të kërkuar informacion. Një nga veçoritë e shërbimeve të mesazheve të çastit është natyra joformale e komunikimit. I kombinuar me aftësinë për t'i caktuar vetes ndonjë emër, ky faktor e bën shumë më të lehtë për një sulmues të imitojë një person tjetër dhe rrit shumë shanset e tij për një sulm të suksesshëm. shkëmbim i menjëhershëm mesazhe, është e nevojshme të sigurohen mekanizma për mbrojtje nga kërcënimet përkatëse në politikat e sigurisë së korporatës. Për të fituar kontroll të besueshëm mbi mesazhet e çastit në mjedisi i korporatës duhet të plotësohen disa kërkesa.

• Zgjidhni një platformë për mesazhe të çastit.
• Përcaktoni opsionet e sigurisë që specifikohen gjatë vendosjes së një shërbimi të mesazheve të çastit.
• Përcaktoni parimet për vendosjen e kontakteve të reja
• Vendosni standarde për zgjedhjen e fjalëkalimeve
• Bëni rekomandime për përdorimin e shërbimit të mesazheve të çastit.

Modeli i sigurisë me shtresa

Për roje kompanitë e mëdha dhe punonjësit e tyre nga mashtruesit që përdorin teknika të inxhinierisë sociale, shpesh aplikohen sisteme komplekse sigurie me shumë shtresa. Disa nga veçoritë dhe përgjegjësitë e sistemeve të tilla janë renditur më poshtë.

• Siguria fizike. Barrierat që kufizojnë aksesin në ndërtesat e kompanive dhe burimet e korporatave. Mbani në mend se burimet e kompanisë, si p.sh. kazanët e mbeturinave të vendosura jashtë ambienteve të kompanisë, nuk janë të mbrojtura fizikisht.
• Të dhënat. Informacioni i biznesit: Llogaritë, korrespondencë postare etj. Gjatë analizimit të kërcënimeve dhe planifikimit të masave për mbrojtjen e të dhënave, është e nevojshme të përcaktohen parimet e trajtimit të letrës dhe media elektronike të dhëna.
• Aplikacionet. Programet e drejtuara nga përdoruesi. Për të mbrojtur mjedisin tuaj, duhet të merrni parasysh se si mund të përfitojnë sulmuesit postues, shërbime të mesazheve të çastit dhe aplikacione të tjera.
• Kompjuterët. Serverët dhe sistemet e klientëve të përdorur në organizatë. Mbroni përdoruesit nga sulmet e drejtpërdrejta në kompjuterët e tyre duke përcaktuar udhëzime strikte se cilat programe mund të përdoren në kompjuterët e korporatës.
• Rrjeti i brendshëm. Rrjeti përmes të cilit ata ndërveprojnë sistemet e korporatave... Mund të jetë lokal, global ose pa tel. V vitet e fundit Për shkak të popullaritetit në rritje të metodave të punës në distancë, kufijtë e rrjeteve të brendshme janë bërë kryesisht arbitrare. Punonjësit e kompanisë duhet të edukohen për atë që duhet të bëjnë për organizatën punë e sigurt në çdo mjedis rrjeti.
• Perimetri i rrjetit. Kufiri ndërmjet rrjetet e brendshme kompanitë dhe ato të jashtme si interneti apo rrjetet e organizatave partnere.

Një përgjegjësi

Dërgimi i mesazheve paraprake dhe regjistrimi i bisedave telefonike

Hewlett-Packard

Patricia Dunn, Presidente e Korporatës Hewlett Packard, tha se punësoi një kompani private për të identifikuar ata punonjës të kompanisë që ishin përgjegjës për rrjedhjen e informacionit konfidencial. Më vonë, kreu i korporatës pranoi se hulumtimi përdorte praktikën e para-tekstimit dhe teknika të tjera të inxhinierisë sociale.

Shënime (redakto)

Shiko gjithashtu

Lidhjet

• SocialWare.ru - Projekt privat i inxhinierisë sociale
• - Inxhinieria Sociale: Bazat. Pjesa I: taktikat e hakerëve

Inxhinieri sociale — akses i paautorizuar ndaj informacionit konfidencial përmes manipulimit të ndërgjegjes njerëzore. Metodat e inxhinierisë sociale bazohen në karakteristikat e psikologjisë dhe kanë për qëllim shfrytëzimin e dobësive njerëzore (naiviteti, pavëmendja, kurioziteti, interesat tregtare). Ato përdoren në mënyrë aktive nga hakerat socialë si në internet ashtu edhe jashtë tij.

Megjithatë, në lidhje me teknologjive dixhitale, burimet e uebit, kompjuterët, telefonat inteligjentë - "mjegullimi i trurit" i përdoruesve të rrjetit ndodh në një mënyrë paksa të ndryshme. "Kurthe", "kurthe" dhe truke të tjera vendosen nga mashtruesit kudo dhe në çdo mënyrë, në rrjetet sociale, në portalet e lojërave, në elektronikë. kuti postare dhe shërbimet online. Këtu janë vetëm disa shembuj të teknikave të inxhinierisë sociale:

Si një dhuratë për një festë ... një kalë trojan

Pavarësisht karakterit, profesionit, aftësisë paguese financiare, të gjithë mezi presin festat: Viti i Ri, 1 maji, 8 marsi, dita e të dashuruarve etj., për t'i festuar sigurisht, për t'u çlodhur, për të mbushur atmosferën tuaj shpirtërore me pozitive dhe, gjatë rrugës, për të shkëmbyer urime me shokët tuaj.

Në këtë pikë, hakerët socialë janë veçanërisht aktivë. Në para pushime dhe pushime ata dërgojnë kartolina në llogaritë e shërbimeve postare: të ndritshme, shumëngjyrëshe, me shoqërim muzikor dhe ... virus i rrezikshëm një trojan. Viktima, e pavetëdijshme për një tinëzare të tillë, është në euforinë e argëtimit ose, thjesht, të kuriozitetit të klikimeve në kartolinë. Në të njëjtin moment, malware infekton OS dhe më pas pret moment i përshtatshëm për të vjedhur të dhënat e regjistrimit, numrin e kartës së pagesës ose për të zëvendësuar faqen e internetit të dyqanit online në shfletues me një të rreme dhe për të vjedhur para nga llogaria.

Zbritje e favorshme dhe virusi "në ngarkesë"

Një shembull i shkëlqyer i inxhinierisë sociale. Dëshira për të "kursyer" paratë e tyre të fituara me vështirësi është mjaft e justifikuar dhe e kuptueshme, por brenda kufijve të arsyeshëm dhe në rrethana të caktuara. Bëhet fjalë për "jo gjithçka që shkëlqen është flori".

Mashtruesit e maskuar si markat më të mëdha, dyqanet dhe shërbimet online, në dizajnin e duhur, ofrojnë të blejnë mallra me një zbritje të jashtëzakonshme dhe plus blerjen - të marrin një dhuratë ... Ata bëjnë postime të rreme, krijojnë grupe në rrjetet sociale dhe "fije" tematike në forume.

Njerëzit e zakonshëm naivë, siç thonë ata, "udhëhiqen" në këtë poster të ndritshëm tregtar: me nxitim në kokën e tyre ata rillogaritin sa ka mbetur nga paga, parapagimi dhe klikojnë lidhjen "blej", "shkoni në sit në blej", etj. Pas kësaj, në 99 nga 100 raste, në vend të një blerjeje fitimprurëse, ata marrin një virus në kompjuterin e tyre ose u dërgojnë para hakerëve socialë pa pagesë.

Gamer dhuron + 300% për aftësitë e vjedhjes

Në lojërat online, dhe në të vërtetë në lojërat me shumë lojtarë, me përjashtime të rralla, më i forti mbijeton: kush ka armaturë më të fortë, dëmtim, magji më të fortë, më shumë shëndet, mana, etj.

Dhe, sigurisht, çdo lojtar dëshiron me çdo mënyrë që të marrë këto objekte të çmuara për Persianin e tij, një tank, një aeroplan dhe Zoti e di se çfarë tjetër. Në beteja ose në fushata, me dorën tuaj ose për para të vërteta (funksioni i dhurimit) në dyqanin virtual të lojës. Për të qenë më i miri, i pari ... për të arritur nivelin e fundit të zhvillimit.

Mashtruesit dinë për këto "dobësi të lojtarëve" dhe në çdo mënyrë të mundshme tundojnë lojtarët për të fituar objekte dhe aftësi të dashura. Herë për para, herë falas, por kjo nuk e ndryshon thelbin dhe qëllimin e skemës djallëzore. Ofertat joshëse në faqet e rreme tingëllojnë diçka si kjo: "shkarkoni këtë aplikacion", "instaloni patchin", "shkoni nën lojë për të marrë artikullin".

Në këmbim të bonusit të shumëpritur, llogaria e lojtarit vidhet. Nëse ai është i "pompuar" në mënyrë të përsosur, rrëmbyesit e shesin atë ose nxjerrin prej tij informacionin e pagesës (nëse ka).

Softuer me qëllim të keq + inxhinieri sociale = një përzierje shpërthyese e mashtrimit

Ikonat e kujdesit!

Shumë përdorues përdorin miun në OS në "autopilot": klikoni këtu, këtu; zbuloi këtë, atë, një tjetër. Rrallë kush prej tyre shikon nga afër llojin e skedarëve, madhësinë dhe vetitë e tyre. Por më kot. Hakerët maskohen skedarë të ekzekutueshëm malware për të zakonshëm Dosjet e Windows, foto ose aplikacione të besuara, domethënë nga jashtë, vizualisht, nuk mund t'i dalloni ato. Përdoruesi klikon në një dosje, përmbajtja e saj, natyrisht, nuk hapet, sepse kjo nuk është fare një dosje, por një instalues ​​virusi me zgjerimin.exe. Dhe malware "në heshtje" depërton në OS.

Një "kundërhelm" i sigurt për truket e tilla është skedari Menaxher total komandant. Në ndryshim nga të integruarit Windows Explorer, ai shfaq të gjitha të dhënat dhe daljet e skedarit: llojin, madhësinë, datën e krijimit. Kërcënimi më i madh potencial për sistemin përfaqësohet nga skedarë të panjohur me shtesa: ".scr", ".vbs", ".bat", ".exe".

Frika ushqen besimin

1. Përdoruesi hap një "faqe të frikshme", dhe atij i thuhet menjëherë lajmi më i pakëndshëm, apo edhe lajmi: "PC juaj është i infektuar me një Trojan të rrezikshëm", "10, 20 ... 30 viruse janë gjetur në OS tuaj", "spam po dërgohet nga kompjuteri juaj" etj.
2. Dhe ata menjëherë ofrojnë (tregoni "kujdes") për të instaluar një antivirus dhe, për rrjedhojë, për të zgjidhur problemin e sigurisë të shprehur në sit. Dhe më e rëndësishmja, është plotësisht falas.
3. Nëse një vizitor është i pushtuar nga frika për kompjuterin e tij, ai ndjek lidhjen dhe shkarkon ... thjesht jo një antivirus, por një antivirus fals - një fals i mbushur me viruse. Instalon dhe lëshon - pasojat janë të përshtatshme.

• Së pari, një faqe interneti nuk mund të kontrollojë kompjuterin e një vizitori dhe të identifikojë malware brenda natës.
• Së dyti, zhvilluesit shpërndajnë antiviruset e tyre, qofshin me pagesë ose falas, përmes faqeve të tyre, domethënë zyrtare.
• Dhe së fundi, së treti, nëse ka dyshime dhe frikë për një OS "të pastër" apo jo, është më mirë të kontrolloni ndarjen e sistemit, me atë që është në dispozicion, domethënë antivirusin e instaluar.

Duke përmbledhur

Psikologjia dhe hakerimi shkojnë dorë për dore sot - një tandem i shfrytëzimit të dobësive njerëzore dhe dobësive të softuerit. Duke qenë në internet, në ditët e festave dhe ditëve të javës, ditën apo natën, dhe pavarësisht nga disponimi, duhet të jeni vigjilentë, të shtypni naivitetin, të largoni frymëzimin e përfitimit komercial dhe diçka "falas". Sepse, siç e dini, vetëm djathi shpërndahet për asgjë dhe vetëm në një kurth miu. Krijoni vetëm fjalëkalime, ruani ato në vende dhe qëndroni me ne, pasi, siç e dini, nuk ka kurrë shumë siguri.

Kjo është një metodë e menaxhimit të veprimeve njerëzore pa përdorimin e mjeteve teknike. Metoda bazohet në shfrytëzimin e dobësive të faktorit njerëzor dhe konsiderohet shumë shkatërruese. Inxhinieria sociale shpesh shihet si një metodë e paligjshme e marrjes së informacionit, por kjo nuk është plotësisht e vërtetë. Inxhinieria sociale mund të përdoret edhe për qëllime ligjore, dhe jo vetëm për të marrë informacion, por edhe për të kryer veprime nga një person specifik. Sot, inxhinieria sociale përdoret shpesh në internet për të marrë informacione të klasifikuara, ose informacion që ka vlerë të madhe.

Një sulmues merr informacion, për shembull, duke mbledhur informacione për punonjësit e objektivit, duke përdorur një telefonatë të thjeshtë ose duke depërtuar në një organizatë të maskuar si punonjës.

Një sulmues mund të thërrasë një punonjës të kompanisë (i maskuar si shërbim teknik) dhe zbuloni fjalëkalimin, duke iu referuar nevojës për të zgjidhur një problem të vogël në sistemi kompjuterik... Ky truk shpesh funksionon.

Emrat e punonjësve mund të mësohen pas një sërë thirrjesh dhe studimi të emrave të menaxherëve në faqen e internetit të kompanisë dhe burime të tjera. informacion të hapur(raporte, reklama, etj.).

Duke përdorur emra të vërtetë në një bisedë me mbështetje teknike, sulmuesi tregon një histori fiktive se ai nuk mund të arrijë në një takim të rëndësishëm në sit me llogari akses në distancë.

Një ndihmë tjetër në këtë metodë është studimi i plehrave të organizatave, koshave virtuale të plehrave, vjedhjeve laptop ose media ruajtëse.

Kjo metodë përdoret kur sulmuesi ka shënjestruar një kompani specifike.

Inxhinieri socialeështë një shkencë relativisht e re, e cila është pjese e sociologjia, dhe pretendon të jetë një koleksion i atyre njohurive specifike që drejtojnë, vendosin dhe optimizojnë procesin e krijimit, modernizimit dhe riprodhimit të realiteteve të reja ("artificiale") shoqërore. Në një farë mënyre, ajo e “plotëson” shkencën sociologjike, e plotëson atë në fazën e shndërrimit të njohurive shkencore në modele, projekte dhe struktura të institucioneve shoqërore, vlerave, normave, algoritmeve të veprimtarisë, marrëdhënieve, sjelljes etj. të menduarit sintetik dhe njohja e procedurat (teknologjitë) e formalizuara të projektimit dhe veprimtarisë krijuese. Në karakterizimin e operacioneve të formalizuara që përbëjnë këtë të fundit, vëmendje e veçantë i kushtohet operacioneve të kombinatorikës komplekse. Injorimi i parimit të konsistencës në veprimet e kombinatorikës kanë shkaktuar dhe vazhdojnë të shkaktojnë dëme të mëdha në të gjitha nivelet e proceseve transformuese që ndodhin në shoqërinë tonë. Njohuri konsistente Kërkesat themelore për këto operacione ofrojnë bazën për parandalimin e shtrembërimeve të gabuara në praktikën reformuese në nivelet makro, mezo dhe mikro.

Përkundër faktit se koncepti i inxhinierisë sociale është shfaqur kohët e fundit, njerëzit në një formë ose në një tjetër kanë përdorur teknikat e tij që nga kohra të lashta. Në të njëjtën Greqi dhe Romë të lashtë, kishte njerëz me respekt të lartë që mund të varnin në vesh çdo petë dhe ta bindnin bashkëbiseduesin për "gabimin e dukshëm". Duke folur në emër të liderëve, ata zhvilluan negociata diplomatike dhe, duke përzier në fjalët e tyre gënjeshtra, lajka dhe argumente të dobishme, ata shpesh zgjidhnin probleme që, përndryshe, nuk mund të zgjidheshin pa ndihmën e shpatës. Ndër spiunët, inxhinieria sociale ka qenë gjithmonë arma kryesore. Duke u paraqitur si kushdo, agjentët e KGB-së dhe CIA-s mund të zbulojnë sekretet më të tmerrshme shtetërore.

Në fillim të viteve 1970, gjatë lulëzimit të frikave, disa ngacmues telefonik argëtoheshin duke telefonuar operatorët Ma Bell nga kabinat e rrugëve dhe duke i ngacmuar për kompetencën. Atëherë dikush, padyshim, kuptoi se nëse i riorganizoni pak frazat dhe shtriheni aty-këtu, mund t'i detyroni ato. Stafi jo vetëm që justifikon, por jep informacion konfidencial në një gjendje emocioni. Phreakers filluan të eksperimentojnë me hile në dinakëri, dhe nga fundi i viteve 70 ata kishin përpunuar teknikat e manipulimit të operatorëve të patrajnuar aq shumë sa mund të mësonin lehtësisht prej tyre pothuajse gjithçka që dëshironin.

Të flasësh me njerëzit në telefon për të marrë ndonjë informacion ose thjesht për t'i bërë ata të bëjnë diçka, barazohej me art. Profesionistët e kësaj fushe ishin shumë krenarë për mjeshtërinë e tyre. Inxhinierët më të aftë socialë (mëkatarët) kanë vepruar gjithmonë në mënyrë të improvizuar, duke u mbështetur në instinktet e tyre. Duke drejtuar pyetjet, me intonacionin e zërit, ata mund të përcaktonin komplekset dhe frikën e një personi dhe, duke u orientuar në çast, të luanin mbi to. Nëse do të kishte një vajzë të re, të punësuar së fundmi në anën tjetër të linjës - phreaker la të kuptohet për telashe të mundshme me shefin, nëse ishte një lloj dyshek i sigurt në vetvete - mjaftonte të prezantohesha si një përdorues fillestar që kishte nevojë të tregohet dhe të tregohet gjithçka. Secili kishte çelësin e vet. Me ardhjen e kompjuterëve, shumë phreakers migruan në rrjetet kompjuterike dhe u bënë hakerë. Shkathtësitë SI në fushën e re tani janë edhe më të dobishme. Nëse më parë truri i operatorit ishte pluhur kryesisht për të marrë pjesë informacioni nga drejtoritë e korporatave, tani është bërë e mundur të zbulohet fjalëkalimi për të hyrë në një sistem të mbyllur dhe të shkarkohet një bandë e të njëjtave drejtori ose diçka sekrete prej andej. Për më tepër, kjo metodë ishte shumë më e shpejtë dhe më e lehtë teknike. Nuk ka nevojë të kërkoni vrima në një sistem mbrojtës të zbukuruar, nuk ka nevojë të prisni që Jack Ripper të hamendësojë fjalëkalimi i saktë, nuk është e nevojshme të luani mace me miun me administratorin. Mjafton të telefononi me telefon dhe, me qasjen e duhur, në skajin tjetër të linjës ata vetë do ta quajnë fjalën e dashur.

Teknikat dhe Termat e Inxhinierisë Sociale

Të gjitha teknikat e inxhinierisë sociale bazohen në veçoritë e vendimmarrjes njerëzore, të quajtura baza njohëse. Ato mund të quhen edhe karakteristikë e vendimmarrjes në psikologjinë njerëzore dhe sociale, bazuar në faktin se një person duhet t'i besojë dikujt në mjedisin social të edukimit.

Pretekst

Preteksti është një veprim i punuar sipas një skenari (preteksti) të parashkruar. Si rezultat, objektivi duhet të japë informacione të caktuara ose të kryejë një veprim të caktuar. Ky lloj sulmi zakonisht përdoret përmes telefonit. Më shpesh sesa jo, kjo teknikë përfshin më shumë sesa thjesht gënjeshtra dhe kërkon disa kërkime paraprake (për shembull, personalizim: data e lindjes, shuma e faturës së fundit, etj.) për të siguruar besueshmërinë e objektivit. Ky lloj përfshin gjithashtu sulme ndaj mesazherëve në internet, për shembull, në ICQ.

Fishing

Phishing është një teknikë e krijuar për të marrë me mashtrim informacion konfidencial. Në mënyrë tipike, sulmuesi i dërgon objektivit një e-mail, të falsifikuar sipas një letre zyrtare - nga një bankë ose sistem pagese - që kërkon "verifikimin" e informacionit të caktuar ose kryerjen e veprimeve të caktuara. Kjo letër zakonisht përmban një lidhje me një faqe interneti të rreme që imiton atë zyrtare, me logon dhe përmbajtjen e korporatës, dhe përmban një formular që ju kërkon të vendosni informacione konfidenciale - nga adresa e shtëpisë tuaj te PIN-i i kartës bankare.

kali i Trojes

Kjo teknikë shfrytëzon kuriozitetin ose lakminë e objektivit. Sulmuesi dërgon një e-mail që përmban një mbrojtës ekrani "cool" ose "seksi", një përmirësim të rëndësishëm të antivirusit, apo edhe prova të reja inkriminuese për një punonjës. Kjo teknikë mbetet efektive për sa kohë që përdoruesit klikojnë verbërisht në ndonjë bashkëngjitje.

Mollë udhëtimi

Kjo metodë sulmi është një përshtatje e një kali trojan dhe konsiston në përdorimin e mediave fizike. Një sulmues mund të vendosë një CD ose flash drive të infektuar në një vend ku media mund të gjendet lehtësisht (tualet, ashensor, parking). Mediumi është i falsifikuar si zyrtar dhe shoqërohet me një firmë të krijuar për të ngjallur kuriozitet.

Shembull: Një sulmues mund të vendosë një CD me logon e korporatës dhe një lidhje në faqen zyrtare të internetit të kompanisë së synuar dhe ta etiketojë atë "pagat e menaxhimit të tremujorit të parë 2007". Disku mund të lihet në dyshemenë e ashensorit ose në holl. Një punonjës pa e ditur mund të marrë një disk dhe ta futë atë në një kompjuter për të kënaqur kureshtjen e tij, ose thjesht një "Samaritan i mirë" do ta çojë diskun në kompani.

Qwi pro quo

Një sulmues mund të telefonojë numër i rastësishëm në kompani dhe prezantohu si punonjës i mbështetjes teknike duke pyetur nëse ka ndonjë problem teknik. Nëse ka ndonjë, në procesin e "zgjidhjes" së tyre, objektivi prezanton komanda që lejojnë hakerin të lëshojë softuer me qëllim të keq.

Inxhinieri sociale e kundërt

Qëllimi i inxhinierisë sociale të kundërt është të bëjë që vetë qëllimi t'i drejtohet një sulmuesi për "ndihmë". Për këtë qëllim, një haker mund të përdorë teknikat e mëposhtme:

* Sabotim. Krijo një problem të kthyeshëm në kompjuterin e viktimës.

Mbrojtja e përdoruesve nga inxhinieria sociale

Si mjetet teknike ashtu edhe ato antropogjene mund të përdoren për të mbrojtur përdoruesit nga inxhinieria sociale.

Mbrojtja antropogjene

Metodat më të thjeshta të mbrojtjes antropogjene mund të quhen:

* Tërheqja e vëmendjes së njerëzve për çështjet e sigurisë.

* Ndërgjegjësimi i përdoruesve për seriozitetin e problemit dhe miratimi i politikës së sigurisë së sistemit.

* Studimi dhe zbatimi i metodave dhe veprimeve të nevojshme për përmirësimin e mbrojtjes së sigurisë së informacionit.

Këto mjete kanë një pengesë të përbashkët: ato janë pasive. Një përqindje e madhe e përdoruesve janë të pavëmendshëm ndaj paralajmërimeve, madje edhe në fontin më të spikatur.

Mbrojtje teknike

Mbrojtja teknike mund të përfshijë mjete që ju pengojnë të merrni informacion dhe mjete që ju pengojnë të përdorni informacionin e marrë.

Sulmet më të shpeshta në hapësirën e informacionit të rrjeteve sociale duke përdorur dobësitë e faktorit njerëzor janë sulmet duke përdorur e-mail, si e-mail dhe posta e brendshme e rrjetit. Pikërisht ndaj sulmeve të tilla mund të zbatohen në mënyrë më efektive të dyja metodat. mbrojtje teknike... Është e mundur të parandalohet një sulmues nga marrja e informacionit të kërkuar duke analizuar tekstin e letrave hyrëse (me sa duket, sulmuesi) dhe ato që dalin (me sa duket, objektivi i sulmit) nga fjalë kyçe... Disavantazhet e kësaj metode përfshijnë një ngarkesë shumë të madhe në server dhe pamundësinë për të siguruar të gjitha variantet e drejtshkrimit të fjalëve. Për shembull, nëse një sulmues bëhet i vetëdijshëm se programi i përgjigjet fjalës "password" dhe fjalës "specify", sulmuesi mund t'i zëvendësojë ato me një "fjalëkalim" dhe, në përputhje me rrethanat, "hyn". Vlen gjithashtu të merret parasysh mundësia e shkrimit të fjalëve me zëvendësimin e shkronjave cirilike me latinisht për karakteret që përputhen (a, c, e, o, p, x, y, A, B, C, E, H, K, M, O, P, T, X) dhe përdorimi i të ashtuquajturës gjuhë t + [term i panjohur].

Mjetet që pengojnë përdorimin e informacionit të marrë mund të ndahen në ato që bllokojnë plotësisht përdorimin e të dhënave, kudo, me përjashtim të vendit të punës së përdoruesit (të dhënat e vërtetimit të detyrueshëm për numrat serialë dhe nënshkrimet elektronike të komponentëve të kompjuterit, adresat ip dhe fizike), dhe ato që e bëjnë të pamundur (ose të vështirë zbatimin) përdorimin automatik të burimeve të marra (për shembull, autorizimi përmes sistemit Captcha, kur duhet të zgjidhni imazhin e specifikuar më parë ose pjesë e imazhit si fjalëkalim, por në formë të shtrembëruar fort). Si në rastin e parë ashtu edhe në rastin e dytë, ekuilibri i njohur midis vlerës së informacionit të kërkuar dhe punës që kërkohet për ta marrë atë, zhvendoset, në përgjithësi, drejt punës, pasi mundësia e automatizimit është bllokuar pjesërisht ose plotësisht. Kështu, edhe me të gjitha të dhënat e lëshuara nga një përdorues që nuk dyshon, për shembull, për të dërguar masivisht mesazh reklamues(spam), sulmuesi do të duhet të fusë në mënyrë të pavarur detajet e marra në fazën e çdo përsëritjeje.