Pjesa 1 (e ndare ne pjese per shkak te madhesise se artikullit. Sa te kem 50 shikime, postoj te dytin).
Shumë hakerë të vërtetë që janë të angazhuar vazhdimisht në hakerime kanë gjithmonë disa truke SI në magazinë, sepse aty ku është e pamundur të gjesh një cenueshmëri në kod, shpesh mund të gjendet në mendjet e shërbimit mbështetës ose pronarit të një e. -mail, ICQ ose website...
Nga teoria në praktikë
Ju tashmë keni lexuar se çfarë është inxhinieria sociale në një nga numrat e mëparshëm të revistës suaj të preferuar, kështu që mund të themi me siguri se pajisja është zotëruar me sukses. Tani unë propozoj të bëj një udhëtim praktik.
Inxhinierët socialë janë njerëz shumë të këndshëm për t'u folur: të kulturuar, miqësorë, me një sens të shkëlqyeshëm humori. Ata kanë një mendje tepër fleksibël, mendim inovativ dhe shumë ide se si të arrijnë në mënyrë më efektive qëllimet e tyre. Pikërisht atyre iu drejtova për ndihmë në përgatitjen e materialit. Konsulentët tanë do të jenë: GoodGod - krijuesi i një prej projekteve më të njohura në gjuhën ruse në lidhje me inxhinierinë sociale socialware.ru; Ayumi (spylabs.org); Ivan është një tjetër mjeshtër i hakimit të trurit njerëzor që dëshironte të qëndronte i fshehtë.
Shkoni!
Rrëmbimi i numrit ICQ (pa e-mail primar)
Për të rrëmbyer ICQ do t'ju duhet:
- një listë e domeneve me e-mail të regjistruar në to (si t'i merrni ato - lexoni në numrin e dhjetorit të ][ për 2009, video "Rrëmbimi masiv i domeneve" nga GoodGod);
- Numri ICQ nga i cili do të ndodhë sulmi fillestar;
- Numri ICQ i lëshuar për një specialist SEO (me të dhëna dhe detaje përkatëse në informacion).
Nëse nuk doni të njiheni menjëherë, ndaloni këtë bisedë për pak, sepse nëse e shtypni shumë, efekti mund të jetë i kundërt; Më mirë t'i kthehemi kësaj pak më vonë me një pretekst tjetër.
Meqë ra fjala, nëse viktima është natyrshëm e turpshme, nuk do ta detyroni të kontaktojë me një të huaj, kështu që do t'ju duhet të angazhoheni në "truti" në mënyrë që njohja të ndodhë. Dhe kështu, klienti i drejtohet një miku SEO (d.m.th., te ju). Tregoni mosbesim të shëndetshëm në fillim duke bërë pyetje si “Ku keni dëgjuar për projektin? Nga Sasha? Ah, Sasha... Po, më kujtohet. Ok, tani do t'ju tregoj thelbin e punës." Tjetra, na tregoni për projektin ICQ Search, promovimin e faqes në internet, përshkruani opsionet e pagesës (200 rubla në ditë ose 1400 në javë - le të zgjedhë opsionin që është i përshtatshëm për të). Përqendroni vazhdimisht vëmendjen e "klientit" në detaje realiste, kështu që do ta shpërqendroni atë nga mendimet e panevojshme. Sa më intensiv të jetë sulmi dhe sa më shumë informacion i ri, aq më pak kohë i duhet të mendojë për atë që po ndodh. Së fundi, përshkruani skemën e fitimit të parave: lëreni të zgjedhë një faqe nga lista e përgatitur në fillim, të shikojë përmes whois emailin me të cilin është lidhur faqja (le ta bëjë vetë) dhe futet në "E-mail ” fushë në profilin e tij ICQ. Sigurohuni që të shpjegoni se nëse i njëjti e-mail tregohet në të dhënat e ICQ dhe të domenit, atëherë sa më shpesh të kërkohet ICQ në kërkim, aq më i lartë është renditja e faqes në motorin e kërkimit. Sapo viktima të ketë përfunduar lidhjen, ju rivendosni fjalëkalimin në e-mailin e specifikuar, dhe UIN është e juaja!
Nëse fjalëkalimi nuk vjen me e-mail, do të thotë se numri tashmë ka një postë kryesore dhe rrëmbimi duhet të organizohet në një mënyrë tjetër.
Hakerimi i postës
Zbuloni përgjigjen e pyetjes sekrete
Pyetjet në serverët e postës zakonisht janë mjaft të ngjashme:
- Emri i Vashërisë së Nënës;
- Pjata e preferuar;
- Emri i kafshës shtëpiake;
- ID e pasaportës;
- Pyetje personale (emri i mësuesit të parë; indeks; filmi i preferuar; interpretuesi i preferuar).
Cilat skema funksionojnë? Emri i vajzërisë së nënës - filloni një temë për pemën familjare ose mbiemrin qesharak që kishte nëna juaj para martesës. Pjata e preferuar - gjithçka është e qartë këtu. Emri i kafshës - flisni për kafshët shtëpiake: e kaluara, e tashmja dhe e ardhmja, pasi fjala kod mund të jetë emri i lloj brejtësi i parë i dhuruar. Do të jetë më e vështirë me numrin e pasaportës. Këtu mund të josheni të blini një produkt të lirë, të pakët, për shembull, i cili dorëzohet me pagesë pas dorëzimit, por për të bërë një porosi ju nevojiten detajet e pasaportës dhe kodi i identifikimit. Emrin e mësueses së parë mund ta mësoni nga shokët e klasës së viktimës, ose të flisni me të drejtpërdrejt për mësuesit e saj të preferuar; Është më e lehtë për të marrë indeksin duke shkarkuar bazën e të dhënave të qytetit, dhe thjesht mund të zbuloni nga viktima në cilën zonë jeton. Gjëja kryesore këtu është zgjuarsia, imagjinata dhe durimi.
Ekziston një nuancë e vogël, por e rëndësishme. Ndonjëherë, kur pyetet "Pjata e preferuar", përgjigjja mund të jetë, për shembull, një numër telefoni, domethënë një mospërputhje e plotë midis pyetjes dhe përgjigjes. Këtu do të duhet të filloni një bisedë rreth kombinimeve qesharake dhe pakuptimësisë së pyetjeve të sigurisë, dhe pastaj të filloni përsëri nga e para, mundësisht nën një llogari tjetër.
Kontaktimi i mbështetjes së klientit
Kjo metodë është më intensive dhe e frikshme, por është e nevojshme nëse viktima nuk dëshiron të "injektojë" veten, ose nëse kutia është "e vdekur", domethënë pronari nuk e ka vizituar për një kohë të gjatë. Për ta bërë këtë, shkoni në faqen e mbështetjes së shërbimit të dëshiruar të postës elektronike dhe shkruani një letër duke kërkuar të rikuperoni fjalëkalimin tuaj të vjedhur. Me shumë mundësi, do t'ju kërkohet emri, mbiemri (ose të dhënat që janë specifikuar gjatë regjistrimit), data e lindjes dhe data e përafërt e regjistrimit të kutisë (të paktën një vit). Prandaj, përpiquni të gjeni sa më shumë informacion që të jetë e mundur për viktimën dhe kutinë e saj. Motorët e kërkimit, rrjetet sociale dhe bloget do t'ju ndihmojnë me këtë.
Fishing
Një nga mënyrat më efektive për të marrë një fjalëkalim pa e ditur as pronari për të. Viktimës i ofrohet një lidhje për të ndjekur dhe futur emrin e përdoruesit dhe fjalëkalimin e tij. Këto të dhëna dërgohen në një skedar raporti, bazë të dhënash (nëse vjedhja është masive) ose email. Truku kryesor është ta detyroni viktimën të klikojë në këtë lidhje. Forma mund të jetë çdo gjë:
- Një mesazh "nga administrata" (lexo: nga një shërbim postar me një adresë të falsifikuar) në lidhje me postën e padëshiruar nga kjo kuti postare. Shembull: “I nderuar përdorues, (emri i përdoruesit)! Llogaria juaj ka marrë ankesa në lidhje me postën e padëshiruar, dhe për këtë arsye administrata ka të drejtë të pezullojë ose bllokojë përkohësisht funksionimin e saj. Është mjaft e mundur që sulmuesit të kenë akses në të. Për të konfirmuar pronësinë e llogarisë suaj, ri-autorizoni përdorimin e kësaj lidhjeje (hiperlidhja për të rreme). Nëse nuk ka konfirmim brenda 5 ditëve, llogaria e postës do të bllokohet. Sinqerisht, shërbimi mbështetës (emri i shërbimit të postës)." Duke luajtur me frikën e humbjes së kutisë.
- Duke ditur për hobi të viktimës, mund të interesoheni. Për shembull, një letër me një temë me interes, në të cilën mbulohet vetëm një pjesë e informacionit, pjesa tjetër mbulohet duke klikuar në lidhje. Lidhja të çon në një faqe pseudo-identifikimi dhe ju mund të lexoni pjesën tjetër të informacionit vetëm pasi të identifikoheni.
Bujqësia
Ndodh gjithashtu që viktima është mjaft e zgjuar (ose indiferente) për të mos klikuar në lidhje. Në këtë rast, do t'ju duhet të drejtoheni te Trojans/joiners/skriptet për të manipuluar skedarin HOSTS, ose për të hakuar serverin DNS ose DHCP të ofruesit të tij. Në të njëjtën kohë, kur përdoruesi shkon në sit për të kontrolluar e-mailin, ndodh një ridrejtim pikërisht tek i njëjti, vetëm një phishing. Duke mos dyshuar asgjë, përdoruesi fut të dhënat e tij dhe, duke përdorur një skript të brendshëm autorizimi, futet në emailin e tij "amtare" dhe identifikimi dhe fjalëkalimi dërgohen në emailin tuaj. E bukura është se viktima as nuk e di se çfarë ka ndodhur.
Metodat e inxhinierisë sociale - kjo është pikërisht ajo që do të diskutohet në këtë artikull, si dhe gjithçka që lidhet me manipulimin e njerëzve, phishing dhe vjedhjen e bazave të të dhënave të klientëve dhe më shumë. Andrey Serikov na dha me dashamirësi informacione, autori i të cilave është ai, për të cilin e falënderojmë shumë.
A. SERIKOV
A.B.BOROVSKY
TEKNOLOGJI INFORMATIVE TË HAKINGUT SOCIALE
Prezantimi
Dëshira e njerëzimit për të arritur përmbushjen e përsosur të detyrave të caktuara shërbeu si zhvillimi i teknologjisë moderne kompjuterike, dhe përpjekjet për të kënaqur kërkesat kontradiktore të njerëzve çuan në zhvillimin e produkteve softuerike. Këto produkte softuerike jo vetëm që ruajnë funksionalitetin e harduerit, por edhe e menaxhojnë atë.
Zhvillimi i njohurive rreth njeriut dhe kompjuterit ka çuar në shfaqjen e një lloji thelbësisht të ri të sistemit - "njerëz-makinë", ku një person mund të pozicionohet si një harduer që vepron nën kontrollin e një operimi të qëndrueshëm, funksional, me shumë detyra. sistemi i quajtur "psikikë".
Tema e punimit është konsiderimi i hakerimit social si një degë e programimit social, ku një person manipulohet me ndihmën e dobësive njerëzore, paragjykimeve dhe stereotipeve në inxhinierinë sociale.
Inxhinieria sociale dhe metodat e saj
Metodat e manipulimit njerëzor kanë qenë të njohura për një kohë të gjatë, ato erdhën kryesisht në inxhinierinë sociale nga arsenali i shërbimeve të ndryshme të inteligjencës.
Rasti i parë i njohur i inteligjencës konkurruese daton në shekullin e 6-të para Krishtit dhe ndodhi në Kinë, kur kinezët humbën sekretin e prodhimit të mëndafshit, i cili ishte vjedhur me mashtrim nga spiunët romakë.
Inxhinieria sociale është një shkencë që përkufizohet si një grup metodash për manipulimin e sjelljes njerëzore, bazuar në përdorimin e dobësive të faktorit njerëzor, pa përdorimin e mjeteve teknike.
Sipas shumë ekspertëve, kërcënimi më i madh për sigurinë e informacionit është nga metodat e inxhinierisë sociale, vetëm sepse përdorimi i hakimit social nuk kërkon investime të konsiderueshme financiare dhe njohuri të plotë të teknologjisë kompjuterike, dhe gjithashtu sepse njerëzit kanë prirje të caktuara të sjelljes që mund të përdoret për manipulim të kujdesshëm.
Dhe sado të përmirësohen sistemet e mbrojtjes teknike, njerëzit do të mbeten njerëz me dobësitë, paragjykimet, stereotipet e tyre, me ndihmën e të cilave bëhet menaxhimi. Vendosja e një "programi të sigurisë" njerëzore është detyra më e vështirë dhe jo gjithmonë çon në rezultate të garantuara, pasi ky filtër duhet të rregullohet vazhdimisht. Këtu, motoja kryesore e të gjithë ekspertëve të sigurisë tingëllon më e rëndësishme se kurrë: "Siguria është një proces, jo një rezultat".
Fushat e aplikimit të inxhinierisë sociale:
- destabilizimi i përgjithshëm i punës së organizatës për të zvogëluar ndikimin e saj dhe mundësinë e shkatërrimit të plotë të mëvonshëm të organizatës;
- mashtrim financiar në organizata;
- phishing dhe metoda të tjera të vjedhjes së fjalëkalimeve për të hyrë në të dhënat personale bankare të individëve;
- vjedhja e bazave të të dhënave të klientëve;
- inteligjencë konkurruese;
- informacione të përgjithshme për organizatën, pikat e forta dhe të dobëta të saj, me qëllim të shkatërrimit të mëvonshëm të kësaj organizate në një mënyrë ose në një tjetër (shpesh përdoret për sulme sulmuese);
- informacion për punonjësit më premtues me qëllim që t'i "joshni" më tej ata në organizatën tuaj;
Programimi social dhe hakimi social
Programimi social mund të quhet një disiplinë e aplikuar që merret me ndikimin e synuar mbi një person ose grup njerëzish për të ndryshuar ose mbajtur sjelljen e tyre në drejtimin e dëshiruar. Kështu, programuesi social i vendos vetes një qëllim: zotërimin e artit të menaxhimit të njerëzve. Koncepti themelor i programimit social është se veprimet e shumë njerëzve dhe reagimet e tyre ndaj një ose një tjetër ndikimi të jashtëm janë në shumë raste të parashikueshme.
Metodat e programimit social janë tërheqëse sepse ose askush nuk do t'i dijë kurrë për to, ose edhe nëse dikush merr me mend diçka, është shumë e vështirë të çosh para drejtësisë një figurë të tillë dhe në disa raste është e mundur të "programosh" sjelljen e njerëzve, dhe një person dhe një grup i madh. Këto mundësi hyjnë në kategorinë e hakerimit social pikërisht sepse në të gjitha njerëzit kryejnë vullnetin e dikujt tjetër, sikur i binden një “programi” të shkruar nga një haker social.
Hakerimi social si aftësia për të hakuar një person dhe për ta programuar atë për të kryer veprimet e dëshiruara vjen nga programimi social - një disiplinë e aplikuar e inxhinierisë sociale, ku specialistët e kësaj fushe - hakerat socialë - përdorin teknika të ndikimit psikologjik dhe aktrimit, të huazuara nga arsenali. të shërbimeve të inteligjencës.
Hakerimi social përdoret në shumicën e rasteve kur bëhet fjalë për të sulmuar një person që është pjesë e një sistemi kompjuterik. Sistemi kompjuterik që hakerohet nuk ekziston në vetvete. Ai përmban një komponent të rëndësishëm - një person. Dhe për të marrë informacion, një haker social duhet të hakojë një person që punon me një kompjuter. Në shumicën e rasteve, është më e lehtë ta bësh këtë sesa të hakosh kompjuterin e viktimës në përpjekje për të gjetur fjalëkalimin.
Algoritmi tipik i ndikimit në hakimin social:
Të gjitha sulmet nga hakerat social përshtaten në një skemë mjaft të thjeshtë:
- formulohet qëllimi i ndikimit në një objekt të caktuar;
- informacioni rreth objektit mblidhet për të zbuluar objektivat më të përshtatshëm të ndikimit;
- Bazuar në informacionin e mbledhur, zbatohet një fazë që psikologët e quajnë tërheqje. Tërheqja (nga latinishtja Attrahere - tërheqja, tërheqja) është krijimi i kushteve të nevojshme për të ndikuar në një objekt;
- duke detyruar një haker social të ndërmarrë veprime;
Shtrëngimi arrihet duke kryer fazat e mëparshme, d.m.th., pasi të arrihet tërheqja, vetë viktima ndërmerr veprimet e nevojshme për inxhinierin social.
Bazuar në informacionin e mbledhur, hakerët social parashikojnë me mjaft saktësi psiko- dhe sociotipin e viktimës, duke identifikuar jo vetëm nevojat për ushqim, seks etj., por edhe nevojën për dashuri, nevojën për para, nevojën për rehati etj. ., etj.
Dhe me të vërtetë, pse të përpiqeni të depërtoni në këtë apo atë kompani, të hakoni kompjuterë, ATM, të organizoni kombinime komplekse, kur mund të bëni gjithçka më lehtë: të bëni një person të dashurohet me ju, i cili, me vullnetin e tij të lirë, do të transferojë para në llogari të specifikuar apo të ndajnë paratë e nevojshme çdo herë informacion?
Bazuar në faktin se veprimet e njerëzve janë të parashikueshme dhe gjithashtu u nënshtrohen ligjeve të caktuara, hakerët socialë dhe programuesit social përdorin si shumë hapa origjinalë ashtu edhe teknika të thjeshta pozitive dhe negative të bazuara në psikologjinë e ndërgjegjes njerëzore, programet e sjelljes, dridhjet e organeve të brendshme, logjike. të menduarit, imagjinatës, kujtesës, vëmendjes. Këto teknika përfshijnë:
Gjenerator druri - gjeneron lëkundje të së njëjtës frekuencë si frekuenca e lëkundjeve të organeve të brendshme, pas së cilës vërehet një efekt rezonancë, si rezultat i të cilit njerëzit fillojnë të ndjejnë siklet të rëndë dhe një gjendje paniku;
ndikimi në gjeografinë e turmës - për shpërbërjen paqësore të grupeve të mëdha agresive jashtëzakonisht të rrezikshme;
tinguj me frekuencë të lartë dhe me frekuencë të ulët - për të provokuar panik dhe efektin e tij të kundërt, si dhe manipulime të tjera;
programi i imitimit social - një person përcakton korrektësinë e veprimeve duke zbuluar se cilat veprime njerëzit e tjerë i konsiderojnë të sakta;
program claquering - (bazuar në imitimin social) organizimi i reagimit të nevojshëm nga audienca;
formimi i radhëve - (bazuar në imitimin social) një lëvizje e thjeshtë por efektive reklamuese;
programi i ndihmës së ndërsjellë - një person kërkon të shpërblejë mirësinë ndaj atyre njerëzve që i kanë bërë ndonjë mirësi. Dëshira për të përmbushur këtë program shpesh tejkalon çdo arsye;
Hakerimi social në internet
Me ardhjen dhe zhvillimin e internetit - një mjedis virtual i përbërë nga njerëzit dhe ndërveprimet e tyre, mjedisi për manipulimin e një personi për të marrë informacionin e nevojshëm dhe për të kryer veprimet e nevojshme është zgjeruar. Në ditët e sotme, interneti është një mjet transmetimi në mbarë botën, një medium për bashkëpunim, komunikim dhe mbulon të gjithë globin. Kjo është pikërisht ajo që përdorin inxhinierët socialë për të arritur qëllimet e tyre.
Mënyrat për të manipuluar një person përmes internetit:
Në botën moderne, pronarët e pothuajse çdo kompanie tashmë e kanë kuptuar se Interneti është një mjet shumë efektiv dhe i përshtatshëm për zgjerimin e biznesit të tyre dhe detyra kryesore e tij është të rrisë fitimet e të gjithë kompanisë. Dihet se pa informacion që synon tërheqjen e vëmendjes ndaj objektit të dëshiruar, gjenerimin ose ruajtjen e interesit për të dhe promovimin e tij në treg, përdoret reklama. Vetëm, për shkak të faktit se tregu i reklamave ka qenë prej kohësh i ndarë, shumica e llojeve të reklamave për shumicën e sipërmarrësve janë para të humbura. Reklamimi në internet nuk është vetëm një nga llojet e reklamave në media, është diçka më shumë, pasi me ndihmën e reklamave në internet njerëzit e interesuar për bashkëpunim vijnë në faqen e organizatës.
Reklamimi në internet, ndryshe nga reklamat në media, ka shumë më tepër mundësi dhe parametra për të menaxhuar një kompani reklamuese. Treguesi më i rëndësishëm i reklamimit në internet është ai Tarifat e reklamimit në internet debitohen vetëm kur kaloni përdorues i interesuar nëpërmjet një lidhjeje reklamuese, gjë që sigurisht e bën reklamimin në internet më efektiv dhe më pak të kushtueshëm sesa reklamimi në media. Kështu, pasi kanë paraqitur reklama në televizion ose në median e shkruar, ata paguajnë për të plotësisht dhe thjesht presin për klientët e mundshëm, por klientët mund t'i përgjigjen reklamave ose jo - gjithçka varet nga cilësia e prodhimit dhe prezantimit të reklamave në televizion ose gazeta. , megjithatë, buxheti i reklamave tashmë është shpenzuar në rastin Nëse reklamimi nuk funksionoi, ai ishte i tretur. Ndryshe nga reklamat e tilla mediatike, reklamimi në internet ka aftësinë të gjurmojë reagimin e audiencës dhe të menaxhojë reklamat në internet përpara se të shpenzohet buxheti i tij, për më tepër, reklamimi në internet mund të pezullohet kur kërkesa për produkte është rritur dhe të rifillojë kur kërkesa fillon të bjerë;
Një metodë tjetër ndikimi është e ashtuquajtura “Vrasja e forumeve” ku me ndihmën e programeve sociale, ata krijojnë antireklamim për një projekt të caktuar. Në këtë rast, programuesi social, me ndihmën e veprimeve të dukshme provokuese, shkatërron forumin vetëm, duke përdorur disa pseudonime ( pseudonimi) për të krijuar një grup anti-lider rreth vetes dhe për të tërhequr vizitorë të rregullt në projekt, të cilët janë të pakënaqur me sjelljen e administratës. Në fund të ngjarjeve të tilla, bëhet e pamundur promovimi i produkteve ose ideve në forum. Për këtë është krijuar fillimisht forumi.
Metodat e ndikimit të një personi përmes internetit për qëllime të inxhinierisë sociale:
Phishing është një lloj mashtrimi në internet që synon të fitojë akses në të dhënat konfidenciale të përdoruesit - hyrjet dhe fjalëkalimet. Ky operacion arrihet përmes postimeve masive të emaileve në emër të markave të njohura, si dhe mesazheve personale brenda shërbimeve të ndryshme (Rambler), bankave ose brenda rrjeteve sociale (Facebook). Letra shpesh përmban një lidhje me një faqe interneti që nga jashtë nuk dallohet nga ajo realja. Pasi përdoruesi të futet në një faqe të rreme, inxhinierët socialë përdorin teknika të ndryshme për të inkurajuar përdoruesin të fusë hyrjen dhe fjalëkalimin e tij në faqe, të cilat ai i përdor për të hyrë në një faqe të caktuar, e cila i lejon atij të fitojë akses në llogaritë dhe llogaritë bankare.
Një lloj mashtrimi më i rrezikshëm se phishing është i ashtuquajturi pharming.
Pharming është një mekanizëm për ridrejtimin e fshehtë të përdoruesve në faqet e phishing. Inxhinieri social shpërndan programe të veçanta me qëllim të keq në kompjuterët e përdoruesve, të cilët, pasi të lansohen në kompjuter, ridrejtojnë kërkesat nga faqet e nevojshme në ato të rreme. Kështu, sulmi është shumë sekret, dhe pjesëmarrja e përdoruesit minimizohet - mjafton të prisni derisa përdoruesi të vendosë të vizitojë faqet me interes për inxhinierin social.
konkluzioni
Inxhinieria sociale është një shkencë që doli nga sociologjia dhe pretendon të jetë trupi i njohurive që drejton, vë në rregull dhe optimizon procesin e krijimit, modernizimit dhe riprodhimit të realiteteve të reja ("artificiale") shoqërore. Në një farë mënyre, ajo e “plotëson” shkencën sociologjike, e plotëson atë në fazën e shndërrimit të njohurive shkencore në modele, projekte dhe dizajne të institucioneve shoqërore, vlerave, normave, algoritmeve të veprimtarisë, marrëdhënieve, sjelljes etj.
Pavarësisht se Inxhinieria Sociale është një shkencë relativisht e re, ajo shkakton dëme të mëdha në proceset që ndodhin në shoqëri.
Metodat më të thjeshta të mbrojtjes nga efektet e kësaj shkence shkatërruese janë:
Tërheqja e vëmendjes së njerëzve për çështjet e sigurisë.
Përdoruesit e kuptojnë seriozitetin e problemit dhe pranojnë politikën e sigurisë së sistemit.
Letërsia
1. R. Petersen Linux: The Complete Guide: trans. nga anglishtja - botimi i 3-të. - K.: BHV Publishing Group, 2000. – 800 f.
2. Nga Grodnev Internet në shtëpinë tuaj. - M.: “RIPOL CLASSIC”, 2001. -480 f.
3. M. V. Kuznetsov Inxhinieri sociale dhe hakerimi social. Shën Petersburg: BHV-Petersburg, 2007. - 368 f.: ill.
Teknikat e inxhinierisë sociale Truri i njeriut është një hard disk i madh, një depo e një sasie të madhe informacioni. Dhe pronari dhe çdo person tjetër mund ta përdorin këtë informacion. Siç thonë ata, një folës është një dhuratë nga perëndia për një spiun. Në mënyrë që ju të kuptoni më tej kuptimin e mëposhtëm, duhet të paktën të njiheni me bazat e psikologjisë.
Inxhinieria sociale na lejon "perdor trurin" një person tjetër, duke përdorur metoda të ndryshme dhe të marrë informacionin e nevojshëm prej tij.
Wiki thotë: "Inxhinieria sociale është një metodë e kontrollit të veprimeve njerëzore pa përdorimin e mjeteve teknike"
Inxhinieri sociale- Kjo është një lloj shkence e re. Ka shumë metoda dhe teknika për manipulimin e ndërgjegjes njerëzore. Kevin Mitnick kishte të drejtë kur tha se ndonjëherë është më e lehtë të mashtrosh dhe të marrësh informacion sesa të hakosh aksesin në të. Lexoni librin "Arti i mashtrimit" në kohën e lirë, do t'ju pëlqejë.
ekziston inxhinieri sociale e kundërt, e cila ka për qëllim marrjen e të dhënave nga vetë viktima. Me ndihmën e saj, vetë viktima flet për fjalëkalimet dhe të dhënat e tij.
Nuk ka gjeste, intonacione apo shprehje fytyre në internet. I gjithë komunikimi bazohet në mesazhe me tekst. Dhe suksesi juaj në një situatë të caktuar varet nga mënyra se si mesazhet tuaja ndikojnë te bashkëbiseduesi. Cilat teknika mund të përdoren për të manipuluar fshehurazi ndërgjegjen e një personi?
Provokuese
Në mënyrë të rreptë, kjo është trolling. Duke zemëruar një person, në shumicën e rasteve ai e trajton informacionin në mënyrë jokritike. Në këtë gjendje, ju mund të impononi ose merrni informacionin e nevojshëm.
Dashuria
Kjo është ndoshta teknika më efektive. Në shumicën e rasteve, kjo është ajo që kam përdorur)). Në një gjendje dashurie, një person percepton pak, dhe kjo është pikërisht ajo që i duhet manipuluesit.
Indiferenca
Efekti i indiferencës së manipuluesit ndaj një teme të caktuar krijohet, dhe bashkëbiseduesi, nga ana tjetër, përpiqet ta bindë atë, duke rënë kështu në një kurth dhe duke zbuluar informacionin që ju nevojitet.
Nxitoni
Situatat lindin shpesh kur manipuluesi supozohet se nxiton të arrijë diku dhe vazhdimisht e lë të kuptohet, por në të njëjtën kohë ai promovon me qëllim informacionin që i nevojitet.
Dyshimi
Metoda e dyshimit është disi e ngjashme me metodën e indiferencës. Në rastin e parë, viktima provon të kundërtën, në të dytin, viktima përpiqet të justifikojë "dyshimin e tij", duke mos kuptuar se po i jep të gjitha informacionet.
Ironia
Ngjashëm me teknikën e provokimit. Një manipulues e zemëron një person duke ironizuar. Ai, nga ana tjetër, në zemërim nuk është në gjendje të vlerësojë në mënyrë kritike informacionin. Si rezultat, në barrierën psikologjike krijohet një vrimë, nga e cila manipuluesi përfiton.
Sinqeriteti
Kur manipuluesi i tregon bashkëbiseduesit informacion të sinqertë, bashkëbiseduesi zhvillon një lloj marrëdhënie besimi, që nënkupton një dobësim të pengesës mbrojtëse. Kjo krijon një hendek në mbrojtjen psikologjike.
Teknikat e përshkruara më sipër nuk shterojnë plotësisht potencialin e plotë të inxhinierisë sociale. Për këto teknika dhe metoda mund të flitet dhe të flitet. Pasi të keni lexuar këto teknika, duhet të kuptoni se nuk keni nevojë të ndiqni drejtimin e të gjithëve. Mësoni të kontrolloni veten dhe zemërimin tuaj dhe atëherë mbrojtja juaj do të jetë gjithmonë në nivelin e duhur.
E jona vazhdon. Prisni për artikuj të rinj))
Inxhinieri sociale
Inxhinieri socialeështë një metodë e aksesit të paautorizuar në informacion ose sistemet e ruajtjes së informacionit pa përdorimin e mjeteve teknike. Qëllimi kryesor i inxhinierëve socialë, si hakerat dhe krikerët e tjerë, është të fitojnë akses në sisteme të sigurta për të vjedhur informacione, fjalëkalime, informacione të kartës së kreditit, etj. Dallimi kryesor nga hakerimi i thjeshtë është se në këtë rast, si objektiv i sulmit nuk zgjidhet makina, por operatori i saj. Kjo është arsyeja pse të gjitha metodat dhe teknikat e inxhinierëve socialë bazohen në përdorimin e dobësive të faktorit njerëzor, i cili konsiderohet jashtëzakonisht shkatërrues, pasi sulmuesi merr informacion, për shembull, përmes një bisede të rregullt telefonike ose duke infiltruar një organizatë nën maskën e punonjësit të saj. Për t'u mbrojtur nga ky lloj sulmi, duhet të jeni të vetëdijshëm për llojet më të zakonshme të mashtrimit, të kuptoni se çfarë duan vërtet hakerët dhe të organizoni një politikë të përshtatshme sigurie në kohën e duhur.
Histori
Përkundër faktit se koncepti i "inxhinierisë sociale" u shfaq relativisht kohët e fundit, njerëzit në një formë ose në një tjetër kanë përdorur teknikat e tij që nga kohra të lashta. Në Greqinë e lashtë dhe në Romë, respektoheshin shumë njerëz që mund ta bindin bashkëbiseduesin e tyre në mënyra të ndryshme se ai e kishte të qartë gabim. Duke folur në emër të liderëve, ata zhvilluan negociata diplomatike. Duke përdorur me mjeshtëri gënjeshtra, lajka dhe argumente të dobishme, ata shpesh zgjidhnin probleme që dukeshin të pamundura për t'u zgjidhur pa ndihmën e shpatës. Ndër spiunët, inxhinieria sociale ka qenë gjithmonë arma kryesore. Duke imituar një person tjetër, agjentët e KGB-së dhe CIA-s mund të zbulonin sekrete sekrete shtetërore. Në fillim të viteve 70, gjatë lulëzimit të frikave, disa huliganë telefonikë thirrën operatorët e telekomit dhe u përpoqën të nxirrnin informacione konfidenciale nga stafi teknik i kompanisë. Pas eksperimenteve të ndryshme me truket, nga fundi i viteve 70, phreakers i kishin përsosur teknikat e manipulimit të operatorëve të patrajnuar, saqë mund të mësonin lehtësisht prej tyre pothuajse gjithçka që dëshironin.
Parimet dhe teknikat e inxhinierisë sociale
Ekzistojnë disa teknika dhe lloje të zakonshme sulmesh që përdorin inxhinierët socialë. Të gjitha këto teknika bazohen në veçoritë e vendimmarrjes njerëzore të njohura si paragjykime njohëse (shih gjithashtu Kognitive). Këto paragjykime përdoren në kombinime të ndryshme për të krijuar strategjinë më të përshtatshme të mashtrimit në çdo rast të veçantë. Por tipari i përbashkët i të gjitha këtyre metodave është mashtruese, me qëllim që të detyrojnë një person të kryejë një veprim që nuk është i dobishëm për të dhe është i nevojshëm për inxhinierin social. Për të arritur rezultatin e dëshiruar, sulmuesi përdor një sërë taktikash të ndryshme: imitimi i një personi tjetër, shpërqendrimi i vëmendjes, rritja e tensionit psikologjik, etj. Qëllimet përfundimtare të mashtrimit mund të jenë gjithashtu shumë të ndryshme.
Teknikat e inxhinierisë sociale
Pretekst
Preteksti është një grup veprimesh të kryera sipas një skenari (preteksti) specifik, të parapërgatitur. Kjo teknikë përfshin përdorimin e mjeteve zanore si telefoni, Skype etj. për të marrë informacionin e nevojshëm. Në mënyrë tipike, duke u paraqitur si një palë e tretë ose duke pretenduar se dikush ka nevojë për ndihmë, sulmuesi i kërkon viktimës të sigurojë një fjalëkalim ose të identifikohet në një faqe interneti phishing, duke mashtruar kështu objektivin që të ndërmarrë një veprim të dëshiruar ose të sigurojë informacione të caktuara. Në shumicën e rasteve, kjo teknikë kërkon disa të dhëna fillestare për objektivin e sulmit (për shembull, të dhëna personale: data e lindjes, numri i telefonit, numrat e llogarisë, etj.) Strategjia më e zakonshme është përdorimi i pyetjeve të vogla në fillim dhe përmendja e emrat e njerëzve të vërtetë në organizatë. Më vonë, gjatë bisedës, sulmuesi shpjegon se ai ka nevojë për ndihmë (shumica e njerëzve janë të aftë dhe të gatshëm të kryejnë detyra që nuk perceptohen si të dyshimta). Pasi të jetë krijuar besimi, mashtruesi mund të kërkojë diçka më thelbësore dhe më të rëndësishme.
Fishing
Shembull i një emaili phishing dërguar nga një shërbim email që kërkon "riaktivizim të llogarisë"
Phishing (anglisht phishing, nga peshkimi - peshkimi, peshkimi) është një lloj mashtrimi në internet, qëllimi i të cilit është të fitoni akses në të dhënat konfidenciale të përdoruesit - hyrjet dhe fjalëkalimet. Kjo është ndoshta skema më e popullarizuar e inxhinierisë sociale sot. Asnjë rrjedhje e vetme e madhe e të dhënave personale nuk ndodh pa një valë emailesh phishing pas saj. Qëllimi i phishing është të marrë në mënyrë të paligjshme informacion konfidencial. Shembulli më i mrekullueshëm i një sulmi phishing është një mesazh i dërguar viktimës me email dhe i falsifikuar si një letër zyrtare - nga një bankë ose sistem pagese - që kërkon verifikimin e informacionit të caktuar ose kryerjen e veprimeve të caktuara. Mund të ketë një sërë arsyesh. Kjo mund të jetë humbja e të dhënave, dështimi i sistemit, etj. Këto emaile zakonisht përmbajnë një lidhje me një faqe interneti të rreme që duket tamam si ajo zyrtare dhe përmban një formular që kërkon nga ju të vendosni informacione të ndjeshme.
Një nga shembujt më të famshëm të emaileve globale të phishing ishte një mashtrim i vitit 2003, në të cilin mijëra përdorues të eBay morën email që pretendonin se llogaria e tyre ishte bllokuar dhe kërkonin përditësimin e informacionit të kartës së tyre të kreditit për ta zhbllokuar atë. Të gjitha këto emaile përmbanin një lidhje që çonte në një faqe interneti të rreme që dukej saktësisht si ajo zyrtare. Sipas ekspertëve, humbjet nga ky mashtrim arritën në disa qindra mijëra dollarë.
Si të dalloni një sulm phishing
Pothuajse çdo ditë shfaqen skema të reja mashtrimi. Shumica e njerëzve mund të mësojnë të njohin vetë mesazhet mashtruese duke u njohur me disa nga veçoritë e tyre dalluese. Më shpesh, mesazhet e phishing përmbajnë:
- informacione që shkaktojnë shqetësime ose kërcënime, të tilla si mbyllja e llogarive bankare të përdoruesve.
- premtime për çmime të mëdha në para me pak ose aspak përpjekje.
- kërkesat për donacione vullnetare në emër të organizatave bamirëse.
- gabime gramatikore, pikësimi dhe drejtshkrimore.
Skemat e njohura të phishing
Mashtrimet më të njohura të phishing janë përshkruar më poshtë.
Mashtrim duke përdorur markat e korporatave të famshme
Këto mashtrime phishing përdorin email të rremë ose faqe interneti që përmbajnë emra të kompanive të mëdha ose të njohura. Mesazhet mund të përfshijnë urime për fitimin e një konkursi të mbajtur nga kompania, ose për nevojën urgjente për të ndryshuar kredencialet ose fjalëkalimin tuaj. Skema të ngjashme mashtruese në emër të mbështetjes teknike mund të kryhen edhe përmes telefonit.
Lotaritë mashtruese
Përdoruesi mund të marrë mesazhe që tregojnë se ai ka fituar një llotari që është kryer nga ndonjë kompani e njohur. Në pamje, këto mesazhe mund të duken sikur janë dërguar në emër të një punonjësi të lartë të korporatës.
Programe të rreme antivirus dhe sigurie
IVR ose phishing telefonik
Parimi i funksionimit të sistemeve IVR
Qui rreth quo
Quid pro quo është një shkurtim i përdorur zakonisht në anglisht për të nënkuptuar "quid pro quo". Ky lloj sulmi përfshin një sulmues që thërret një kompani në një telefon të korporatës. Në shumicën e rasteve, sulmuesi paraqitet si një punonjës i mbështetjes teknike duke pyetur nëse ka ndonjë problem teknik. Në procesin e "zgjidhjes" së problemeve teknike, mashtruesi "detyron" objektivin të futë komanda që lejojnë hakerin të ekzekutojë ose instalojë softuer me qëllim të keq në makinën e përdoruesit.
kali i Trojes
Ndonjëherë përdorimi i Trojans është vetëm pjesë e një sulmi të planifikuar me shumë faza në kompjuterë, rrjete ose burime të caktuara.
Llojet e Trojans
Trojans janë zhvilluar më shpesh për qëllime keqdashëse. Ekziston një klasifikim ku ato ndahen në kategori bazuar në mënyrën se si Trojans depërtojnë në sistem dhe i shkaktojnë dëm atij. Ekzistojnë 5 lloje kryesore:
- akses në distancë
- shkatërrimin e të dhënave
- ngarkues
- server
- çaktivizuesi i programit të sigurisë
Golat
Qëllimi i programit Trojan mund të jetë:
- ngarkimi dhe shkarkimi i skedarëve
- kopjimi i lidhjeve të rreme që çojnë në faqe interneti të rreme, dhoma bisede ose faqe të tjera regjistrimi
- duke ndërhyrë në punën e përdoruesit
- vjedhja e të dhënave me vlerë ose sekrete, duke përfshirë informacionin e vërtetimit, për akses të paautorizuar në burime, marrjen e detajeve të llogarive bankare që mund të përdoren për qëllime kriminale
- shpërndarja e malware të tjerë si viruset
- shkatërrimi i të dhënave (fshirja ose mbishkrimi i të dhënave në një disk, dëmtimi i skedarëve të vështirë për t'u parë) dhe pajisjet, çaktivizimi ose dështimi i shërbimit të sistemeve kompjuterike, rrjeteve
- mbledhjen e adresave të emailit dhe përdorimin e tyre për të dërguar spam
- spiunimi i përdoruesit dhe komunikimi i fshehtë i informacionit palëve të treta, të tilla si zakonet e shfletimit
- Regjistrimi i goditjeve të tasteve për të vjedhur informacione të tilla si fjalëkalimet dhe numrat e kartës së kreditit
- çaktivizimi ose ndërhyrja në funksionimin e programeve antivirus dhe mureve të zjarrit
maskimi
Shumë programe trojan janë të vendosura në kompjuterët e përdoruesve pa dijeninë e tyre. Ndonjëherë Trojans regjistrohen në Regjistr, gjë që çon në nisjen e tyre automatike kur fillon sistemi operativ. Trojans gjithashtu mund të kombinohen me skedarë të ligjshëm. Kur një përdorues hap një skedar të tillë ose lëshon një aplikacion, së bashku me të niset edhe Trojan.
Si funksionon Trojani
Trojans zakonisht përbëhen nga dy pjesë: Klienti dhe Serveri. Serveri funksionon në makinën viktimë dhe monitoron lidhjet nga Klienti. Ndërsa serveri po funksionon, ai monitoron një port ose porta të shumta për një lidhje nga Klienti. Në mënyrë që një sulmues të lidhet me serverin, ai duhet të dijë adresën IP të makinës në të cilën po funksionon. Disa trojanë i dërgojnë adresën IP të makinës së viktimës palës sulmuese me email ose ndonjë metodë tjetër. Sapo të ndodhë një lidhje me Serverin, Klienti mund të dërgojë komanda tek ai, të cilat Serveri do t'i ekzekutojë. Aktualisht, falë teknologjisë NAT, është e pamundur të aksesosh shumicën e kompjuterëve përmes adresës së tyre IP të jashtme. Kjo është arsyeja pse shumë trojanë sot lidhen me kompjuterin e sulmuesit, i cili është përgjegjës për marrjen e lidhjeve të lidhjes, në vend që vetë sulmuesi të përpiqet të lidhet me viktimën. Shumë trojanë modernë gjithashtu mund të anashkalojnë lehtësisht muret e zjarrit në kompjuterët e përdoruesve.
Mbledhja e informacionit nga burime të hapura
Përdorimi i teknikave të inxhinierisë sociale kërkon jo vetëm njohuri të psikologjisë, por edhe aftësinë për të mbledhur informacionin e nevojshëm për një person. Një mënyrë relativisht e re për të marrë një informacion të tillë ishte mbledhja e tij nga burime të hapura, kryesisht nga rrjetet sociale, për shembull, faqet si livejournal, Odnoklassniki, Vkontakte përmbajnë një sasi të madhe të dhënash që njerëzit nuk përpiqen t'i fshehin. përdoruesit nuk i kushtojnë vëmendje të mjaftueshme çështjeve të sigurisë, duke lënë të dhëna dhe informacione në domenin publik që mund të përdoren nga një sulmues.
Një shembull ilustrues është historia e rrëmbimit të djalit të Evgeniy Kaspersky. Gjatë hetimit, u konstatua se kriminelët mësuan orarin ditor dhe rrugët e adoleshentit nga postimet e tij në një faqe në rrjetet sociale.
Edhe duke kufizuar aksesin në informacion në faqen e tij të rrjetit social, një përdorues nuk mund të jetë i sigurt se ai nuk do të bjerë kurrë në duart e mashtruesve. Për shembull, një studiues brazilian i sigurisë kompjuterike tregoi se është e mundur të bëhesh mik i çdo përdoruesi të Facebook brenda 24 orëve duke përdorur teknikat e inxhinierisë sociale. Gjatë eksperimentit, studiuesi Nelson Novaes Neto zgjodhi një "viktimë" dhe krijoi një llogari të rreme të një personi nga mjedisi i saj - shefin e saj. Neto fillimisht u dërgoi kërkesa miqësie miqve të miqve të shefit të viktimës dhe më pas direkt miqve të tij. Pas 7.5 orësh, studiuesi mori "viktimën" për ta shtuar atë si mik. Kështu, studiuesi fitoi akses në informacionin personal të përdoruesit, të cilin ai i ndante vetëm me miqtë e tij.
Mollë e rrugës
Kjo metodë sulmi është një përshtatje e kalit të Trojës dhe konsiston në përdorimin e mediave fizike. Sulmuesi mbjell "të infektuarin" , ose blicin, në një vend ku mund të gjendet lehtësisht transportuesi (banjo, ashensor, parking). Media është falsifikuar për t'u dukur zyrtare dhe shoqërohet me një firmë të krijuar për të ngjallur kuriozitet. Për shembull, një mashtrues mund të vendosë një letër, të pajisur me një logo të korporatës dhe një lidhje në faqen zyrtare të kompanisë, duke e etiketuar atë "Pagat e ekzekutivit". Disku mund të lihet në katin e ashensorit, ose në holl. Një punonjës mund të marrë pa vetëdije diskun dhe ta futë në kompjuter për të kënaqur kureshtjen e tij.
Inxhinieri sociale e kundërt
Inxhinieria sociale e kundërt referohet kur vetë viktima i ofron sulmuesit informacionin që i nevojitet. Kjo mund të duket absurde, por në fakt, individët me autoritet në një sferë teknike ose sociale shpesh marrin ID të përdoruesve, fjalëkalime dhe informacione të tjera të ndjeshme personale thjesht sepse askush nuk e vë në dyshim integritetin e tyre. Për shembull, stafi mbështetës nuk kërkon kurrë nga përdoruesit një ID ose fjalëkalim; ata nuk kanë nevojë për këtë informacion për të zgjidhur problemet. Megjithatë, shumë përdorues japin vullnetarisht këtë informacion konfidencial për të zgjidhur shpejt problemet. Rezulton se sulmuesi as nuk ka nevojë të pyesë për këtë.
Një shembull i inxhinierisë sociale të kundërt është skenari i thjeshtë i mëposhtëm. Një sulmues që punon me viktimën ndryshon emrin e një skedari në kompjuterin e viktimës ose e zhvendos atë në një drejtori tjetër. Kur viktima vëren se skedari mungon, sulmuesi pretendon se mund të rregullojë gjithçka. Duke dashur të përfundojë punën më shpejt ose të shmangë ndëshkimin për humbjen e informacionit, viktima pranon këtë ofertë. Sulmuesi pretendon se problemi mund të zgjidhet vetëm duke u identifikuar me kredencialet e viktimës. Tani viktima i kërkon sulmuesit të identifikohet me emrin e saj për të provuar të rivendosë skedarin. Sulmuesi pa dëshirë pranon dhe rikthen skedarin, dhe në proces vjedh ID-në dhe fjalëkalimin e viktimës. Pasi e kreu me sukses sulmin, ai madje përmirësoi reputacionin e tij dhe është shumë e mundur që pas kësaj kolegë të tjerë t'i drejtohen atij për ndihmë. Kjo qasje nuk ndërhyn në procedurat e zakonshme për ofrimin e shërbimeve mbështetëse dhe e ndërlikon kapjen e sulmuesit.
Inxhinierët e famshëm social
Kevin Mitnick
Kevin Mitnick. Haker dhe konsulent sigurie me famë botërore
Një nga inxhinierët socialë më të famshëm në histori është Kevin Mitnick. Si një haker kompjuteri dhe konsulent sigurie me famë botërore, Mitnick është gjithashtu autor i librave të shumtë mbi sigurinë kompjuterike, kryesisht të përkushtuara ndaj inxhinierisë sociale dhe metodave të ndikimit psikologjik te njerëzit. Në vitin 2002, nën autorësinë e tij u botua libri "Arti i mashtrimit", duke treguar për histori reale të përdorimit të inxhinierisë sociale. Kevin Mitnick argumentoi se është shumë më e lehtë të marrësh një fjalëkalim me mashtrim sesa të përpiqesh të hakosh një sistem sigurie
Vëllezërit Badir
Pavarësisht se vëllezërit Mundir, Mushid dhe Shadi Badir ishin të verbër që nga lindja, ata arritën të kryenin disa skema të mëdha mashtrimi në Izrael në vitet 1990, duke përdorur inxhinierinë sociale dhe mashtrimin e zërit. Në një intervistë televizive ata thanë: “Vetëm ata që nuk përdorin telefon, energji elektrike dhe laptop janë plotësisht të siguruar nga sulmet në rrjet”. Vëllezërit kanë qenë tashmë në burg sepse ishin në gjendje të dëgjonin dhe deshifronin tonet e ndërhyrjeve sekrete të ofruesve të telefonisë. Ata bënë telefonata të gjata jashtë vendit me shpenzimet e dikujt tjetër, duke riprogramuar kompjuterët e ofruesve celularë me tone interferenci.
Kryeengjëlli
Kopertina e revistës Phrack
Një haker i famshëm kompjuteri dhe konsulent sigurie për revistën e famshme online në gjuhën angleze "Phrack Magazine", Archangel demonstroi fuqinë e teknikave të inxhinierisë sociale duke marrë fjalëkalime nga një numër i madh sistemesh të ndryshme në një kohë të shkurtër, duke mashtruar disa qindra viktima.
Të tjera
Inxhinierët socialë më pak të njohur përfshijnë Frank Abagnale, David Bannon, Peter Foster dhe Stephen Jay Russell.
Mënyrat për t'u mbrojtur nga inxhinieria sociale
Për të kryer sulmet e tyre, sulmuesit që përdorin teknika të inxhinierisë sociale shpesh shfrytëzojnë mendjemprehtësinë, dembelizmin, mirësjelljen dhe madje entuziazmin e përdoruesve dhe punonjësve të organizatave. Nuk është e lehtë të mbrohesh kundër sulmeve të tilla, sepse viktimat mund të mos jenë të vetëdijshme se janë mashtruar. Sulmuesit e inxhinierisë sociale kanë përgjithësisht të njëjtat qëllime si çdo sulmues tjetër: ata duan para, informacion ose burime IT të kompanisë viktimë. Për t'u mbrojtur nga sulme të tilla, duhet të studioni llojet e tyre, të kuptoni se çfarë i nevojitet sulmuesit dhe të vlerësoni dëmin që mund t'i shkaktohet organizatës. Me gjithë këtë informacion, ju mund të integroni masat e nevojshme të mbrojtjes në politikën tuaj të sigurisë.
Klasifikimi i kërcënimit
Kërcënimet me email
Shumë punonjës marrin dhjetëra dhe madje qindra email çdo ditë përmes sistemeve të postës elektronike të korporatave dhe private. Sigurisht, me një rrjedhë të tillë korrespondence është e pamundur t'i kushtohet vëmendje e duhur çdo letre. Kjo e bën shumë më të lehtë kryerjen e sulmeve. Shumica e përdoruesve të sistemeve të postës elektronike janë të qetë për përpunimin e mesazheve të tilla, duke e perceptuar këtë punë si analog elektronik i lëvizjes së letrave nga një dosje në tjetrën. Kur një sulmues dërgon një kërkesë të thjeshtë me postë, viktima e tij shpesh do të bëjë atë që i kërkohet të bëjë pa menduar për veprimet e tij. Emailet mund të përmbajnë hiperlidhje që i joshin punonjësit të shkelin sigurinë e korporatës. Lidhje të tilla jo gjithmonë çojnë në faqet e deklaruara.
Shumica e masave të sigurisë kanë për qëllim parandalimin e përdoruesve të paautorizuar nga aksesi në burimet e korporatës. Nëse, duke klikuar mbi një lidhje të dërguar nga një sulmues, përdoruesi ngarkon një Trojan ose virus në rrjetin e korporatës, kjo do ta bëjë të lehtë anashkalimin e shumë llojeve të mbrojtjes. Hiperlidhja mund të tregojë gjithashtu një sajt me aplikacione kërcyese që kërkojnë të dhëna ose ofrojnë ndihmë Ashtu si me llojet e tjera të mashtrimeve, mënyra më efektive për të mbrojtur veten nga sulmet me qëllim të keq është të jesh skeptik ndaj çdo emaili hyrës të papritur. Për të promovuar këtë qasje në të gjithë organizatën tuaj, politika juaj e sigurisë duhet të përfshijë udhëzime specifike për përdorimin e emailit që mbulojnë elementët e mëposhtëm.
- Shtojcat në dokumente.
- Hiperlidhjet në dokumente.
- Kërkesat për informacion personal ose të korporatës që vijnë nga brenda kompanisë.
- Kërkesat për informacion personal ose të korporatës me origjinë nga jashtë kompanisë.
Kërcënimet që lidhen me përdorimin e shërbimeve të mesazheve të çastit
Mesazhimi i çastit është një metodë relativisht e re e transferimit të të dhënave, por tashmë ka fituar popullaritet të gjerë në mesin e përdoruesve të korporatave. Për shkak të shpejtësisë dhe lehtësisë së përdorimit, kjo metodë e komunikimit hap mundësi të gjera për sulme të ndryshme: përdoruesit e trajtojnë atë si një lidhje telefonike dhe nuk e lidhin atë me kërcënime të mundshme të softuerit. Dy llojet kryesore të sulmeve të bazuara në përdorimin e shërbimeve të mesazheve të çastit janë përfshirja e një lidhjeje me një program me qëllim të keq në trupin e mesazhit dhe shpërndarja e vetë programit. Sigurisht, mesazhet e çastit janë gjithashtu një mënyrë për të kërkuar informacion. Një nga veçoritë e shërbimeve të mesazheve të çastit është natyra joformale e komunikimit. E kombinuar me aftësinë për t'i caktuar vetes ndonjë emër, kjo e bën shumë më të lehtë për një sulmues të imitojë dikë tjetër dhe rrit në masë të madhe shanset e tyre për të kryer me sukses një sulm nëse një kompani synon të përfitojë nga mundësitë e uljes së kostos dhe përfitimet e tjera të ofruara nga mesazhet e çastit, është e nevojshme të përfshihen në politikat e sigurisë së korporatës që ofrojnë mekanizma mbrojtës ndaj kërcënimeve përkatëse. Për të fituar kontroll të besueshëm mbi mesazhet e çastit në një mjedis të ndërmarrjes, duhet të përmbushen disa kërkesa.
- Zgjidhni një platformë të mesazheve të çastit.
- Përcaktoni cilësimet e sigurisë që specifikohen gjatë vendosjes së shërbimit të mesazheve të çastit.
- Përcaktoni parimet për vendosjen e kontakteve të reja
- Vendosni standardet e fjalëkalimit
- Bëni rekomandime për përdorimin e shërbimit të mesazheve të çastit.
Modeli i sigurisë me shumë nivele
Për të mbrojtur kompanitë e mëdha dhe punonjësit e tyre nga mashtruesit që përdorin teknika të inxhinierisë sociale, shpesh përdoren sisteme komplekse sigurie me shumë nivele. Disa nga veçoritë dhe përgjegjësitë e sistemeve të tilla janë renditur më poshtë.
- Siguria fizike. Barrierat që kufizojnë aksesin në ndërtesat e kompanive dhe burimet e korporatës. Mos harroni se burimet e kompanisë, për shembull, kontejnerët e plehrave të vendosura jashtë territorit të kompanisë, nuk janë të mbrojtura fizikisht.
- Të dhënat. Informacioni i biznesit: llogaritë, posta, etj. Kur analizoni kërcënimet dhe planifikoni masa për mbrojtjen e të dhënave, duhet të përcaktoni parimet e trajtimit të mediave të të dhënave në letër dhe elektronike.
- Aplikacionet. Programet e drejtuara nga përdoruesi. Për të mbrojtur mjedisin tuaj, duhet të keni parasysh se si sulmuesit mund të shfrytëzojnë programet e postës elektronike, mesazhet e çastit dhe aplikacionet e tjera.
- Kompjuterët. Serverët dhe sistemet e klientëve të përdorur në organizatë. Mbron përdoruesit nga sulmet e drejtpërdrejta në kompjuterët e tyre duke përcaktuar udhëzime strikte që rregullojnë se cilat programe mund të përdoren në kompjuterët e korporatave.
- Rrjeti i brendshëm. Një rrjet përmes të cilit sistemet e korporatave ndërveprojnë. Mund të jetë lokal, global ose pa tel. Vitet e fundit, për shkak të popullaritetit në rritje të metodave të punës në distancë, kufijtë e rrjeteve të brendshme janë bërë kryesisht arbitrare. Punonjësve të kompanisë duhet t'u thuhet se çfarë duhet të bëjnë për të vepruar në mënyrë të sigurt në çdo mjedis rrjeti.
- Perimetri i rrjetit. Kufiri midis rrjeteve të brendshme të një kompanie dhe atyre të jashtme, të tilla si interneti ose rrjetet e organizatave partnere.
Përgjegjësia
Preteksti dhe regjistrimi i bisedave telefonike
Hewlett-Packard
Patricia Dunn, presidente e Hewlett Packard Corporation, tha se ajo punësoi një kompani private për të identifikuar ata punonjës të kompanisë që ishin përgjegjës për rrjedhjen e informacionit konfidencial. Më vonë, kreu i korporatës pranoi se praktika e pretekstimit dhe teknikave të tjera të inxhinierisë sociale u përdor gjatë procesit të kërkimit.
Shënime
Shiko gjithashtu
Lidhjet
- SocialWare.ru – Projekt privat i inxhinierisë sociale
- - Inxhinieria sociale: bazat. Pjesa I: Taktikat e Hakerëve
- – Mbrojtje kundër sulmeve të phishing.
- Bazat e Inxhinierisë Sociale - Securityfocus.com.
- Inxhinieri Sociale, Mënyra USB - DarkReading.com.
- A duhet të jetë Inxhinieria Sociale pjesë e Testimit të Penetrimit? - darknet.org.uk.
- Të dhënat e telefonit "Mbrojtja e Konsumatorëve", Qendra Elektronike e Informacionit të Privatësisë Komiteti i SHBA për Tregtinë, Shkencën dhe Transportin .
- Plotkin, Hal. Memo për shtypin: Preteksti është tashmë i paligjshëm.
- Striptizi për fjalëkalimet – MSNBC.MSN.com.
- Social-Engineer.org – social-inxhinier.org.
Në këtë artikull do t'i kushtojmë vëmendje konceptit të "inxhinierisë sociale". Këtu do të shohim ato të përgjithshme Do të mësojmë gjithashtu se kush ishte themeluesi i këtij koncepti. Le të flasim veçmas për metodat kryesore të inxhinierisë sociale të përdorura nga sulmuesit.
Prezantimi
Metodat që bëjnë të mundur korrigjimin e sjelljes njerëzore dhe menaxhimin e aktiviteteve të tij pa përdorimin e një grupi teknik mjetesh formojnë konceptin e përgjithshëm të inxhinierisë sociale. Të gjitha metodat bazohen në deklaratën se faktori njerëzor është dobësia më shkatërruese e çdo sistemi. Shpesh ky koncept konsiderohet në nivelin e veprimtarisë së paligjshme, përmes së cilës një kriminel kryen një veprim që synon marrjen e informacionit nga një viktimë-subjekt me mjete të pandershme. Për shembull, mund të jetë një lloj i caktuar manipulimi. Sidoqoftë, inxhinieria sociale përdoret gjithashtu nga njerëzit në aktivitete legjitime. Sot, përdoret më shpesh për të hyrë në burime me informacion të klasifikuar ose të vlefshëm.
Themelues
Themeluesi i inxhinierisë sociale është Kevin Mitnick. Sidoqoftë, vetë koncepti na erdhi nga sociologjia. Ai tregon një grup të përgjithshëm qasjesh të përdorura nga mediat sociale të aplikuara. shkencat u fokusuan në ndryshimin e strukturës organizative të aftë për të përcaktuar sjelljen njerëzore dhe për të ushtruar kontroll mbi të. Kevin Mitnick mund të konsiderohet themeluesi i kësaj shkence, pasi ishte ai që popullarizoi mediat sociale. inxhinieri në dekadën e parë të shekullit të 21-të. Vetë Kevin ishte më parë një haker, duke synuar një shumëllojshmëri të gjerë të bazave të të dhënave. Ai argumentoi se faktori njerëzor është pika më e cenueshme e një sistemi të çdo niveli kompleksiteti dhe organizimi.
Nëse flasim për metodat e inxhinierisë sociale si një mënyrë për të përfituar të drejta (zakonisht të paligjshme) për përdorimin e të dhënave konfidenciale, atëherë mund të themi se ato njihen për një kohë shumë të gjatë. Megjithatë, ishte K. Mitnik ai që mundi të përcillte rëndësinë e kuptimit dhe veçorive të zbatimit të tyre.
Fishing dhe lidhje që nuk ekzistojnë
Çdo teknikë e inxhinierisë sociale bazohet në praninë e shtrembërimeve njohëse. Gabimet e sjelljes bëhen një "armë" në duart e një inxhinieri të aftë, i cili në të ardhmen mund të krijojë një sulm që synon marrjen e të dhënave të rëndësishme. Metodat e inxhinierisë sociale përfshijnë phishing dhe lidhje joekzistente.
Phishing është një mashtrim në internet i krijuar për të marrë informacione personale, për shembull, hyrje dhe fjalëkalim.
Lidhje joekzistente - përdorimi i një lidhjeje që do të joshë marrësin me përfitime të caktuara që mund të merren duke klikuar mbi të dhe duke vizituar një faqe specifike. Më shpesh ata përdorin emrat e kompanive të mëdha, duke bërë rregullime delikate në emrat e tyre. Viktima, duke klikuar në lidhje, do t'i transferojë "vullnetarisht" të dhënat e tij personale sulmuesit.
Metodat e përdorimit të markave, antiviruset me defekt dhe llotaritë mashtruese
Inxhinieria sociale përdor gjithashtu metoda mashtrimi duke përdorur marka të njohura, antivirusë me defekt dhe llotari të rreme.
"Mashtrimi dhe markat" është një metodë mashtrimi, e cila gjithashtu i përket seksionit të phishing. Kjo përfshin emailet dhe faqet e internetit që përmbajnë emrin e një kompanie të madhe dhe/ose të "promovuar". Nga faqet e tyre dërgohen mesazhe që ju njoftojnë për fitoren tuaj në një konkurs të caktuar. Tjetra, duhet të futni informacione të rëndësishme të llogarisë dhe t'i vidhni ato. Kjo formë mashtrimi mund të kryhet edhe përmes telefonit.
Një lotari e rreme është një metodë në të cilën viktimës i dërgohet një mesazh me një tekst ku thuhet se ai/ajo ka fituar lotarinë. Më shpesh, njoftimi maskohet duke përdorur emrat e korporatave të mëdha.
Antiviruset e rremë janë mashtrime me softuer. Ai përdor programe që duken si antivirus. Megjithatë, në realitet, ato çojnë në gjenerimin e njoftimeve të rreme për një kërcënim specifik. Ata gjithashtu përpiqen të tërheqin përdoruesit në sferën e transaksioneve.
Vishing, sharje dhe pretekst
Kur flasim për inxhinierinë sociale për fillestarët, vlen të përmendet edhe vishing, phreaking dhe pretekst.
Vishing është një formë mashtrimi që përdor rrjetet telefonike. Ai përdor mesazhe zanore të regjistruara paraprakisht, qëllimi i të cilave është të rikrijojë "thirrjen zyrtare" të një strukture bankare ose çdo sistemi tjetër IVR. Më shpesh ju kërkohet të vendosni një hyrje dhe/ose fjalëkalim për të konfirmuar çdo informacion. Me fjalë të tjera, sistemi kërkon që përdoruesi të vërtetojë duke përdorur kodet PIN ose fjalëkalimet.
Freaking është një formë tjetër mashtrimi telefonik. Është një sistem hakerimi që përdor manipulimin e tingullit dhe formimin e toneve.
Preteksti është një sulm duke përdorur një plan të paramenduar, thelbi i të cilit është ta paraqesë atë tek një subjekt tjetër. Një metodë jashtëzakonisht e vështirë mashtrimi, pasi kërkon përgatitje të kujdesshme.
Quid-pro-quo dhe metoda e "mollës së rrugës".
Teoria e inxhinierisë sociale është një bazë të dhënash e shumëanshme që përfshin të dyja metodat e mashtrimit dhe manipulimit, dhe mënyrat për t'i luftuar ato. Detyra kryesore e sulmuesve, si rregull, është nxjerrja e informacionit të vlefshëm.
Llojet e tjera të mashtrimeve përfshijnë: quid-pro-quo, metodën e "mollës së rrugës", surfing me shpatulla, përdorimin e burimeve të hapura dhe mediat sociale të kundërta. inxhinieri.
Quid-pro-quo (nga latinishtja - "kjo për këtë") është një përpjekje për të nxjerrë informacion nga një kompani ose firmë. Kjo ndodh duke e kontaktuar atë me telefon ose duke dërguar mesazhe me email. Më shpesh, sulmuesit prezantohen si staf teknik. mbështetje që raporton praninë e një problemi specifik në vendin e punës së punonjësit. Më pas ata sugjerojnë mënyra për ta eliminuar atë, për shembull, duke instaluar softuer. Softueri rezulton me defekt dhe kontribuon në avancimin e krimit.
Molla e rrugës është një metodë sulmi që bazohet në idenë e një kali trojan. Thelbi i saj qëndron në përdorimin e mediave fizike dhe zëvendësimin e informacionit. Për shembull, ata mund të ofrojnë një kartë memorie me një "të mirë" të caktuar që do të tërheqë vëmendjen e viktimës, do t'i bëjë ata të dëshirojnë të hapin dhe përdorin skedarin ose të ndjekin lidhjet e specifikuara në dokumentet e flash drive. Objekti "molla e rrugës" hidhet në vende sociale dhe pret derisa një ent të zbatojë planin e sulmuesit.
Mbledhja dhe kërkimi i informacionit nga burime të hapura është një mashtrim në të cilin marrja e të dhënave bazohet në metoda psikologjike, aftësi për të vërejtur gjëra të vogla dhe analiza të të dhënave të disponueshme, për shembull, faqet nga një rrjet social. Kjo është një metodë mjaft e re e inxhinierisë sociale.
Surfing në shpatulla dhe të kundërta sociale. inxhinieri
Koncepti i "surfimit të shpatullave" e përkufizon veten si fjalë për fjalë shikimin e një subjekti drejtpërdrejt. Me këtë lloj të minierave të të dhënave, sulmuesi shkon në vende publike, për shembull, një kafene, aeroport, stacion treni dhe monitoron njerëzit.
Kjo metodë nuk duhet nënvlerësuar, pasi shumë sondazhe dhe studime tregojnë se një person i vëmendshëm mund të marrë shumë informacione konfidenciale thjesht duke qenë i vëmendshëm.
Inxhinieria sociale (si një nivel i njohurive sociologjike) është një mjet për të "kapur" të dhëna. Ka mënyra për të marrë të dhëna në të cilat vetë viktima i ofron sulmuesit informacionin e nevojshëm. Megjithatë, mund të shërbejë edhe për të mirën e shoqërisë.
E kundërta sociale Inxhinieria është një metodë tjetër e kësaj shkence. Përdorimi i këtij termi bëhet i përshtatshëm në rastin që përmendëm më lart: vetë viktima do t'i ofrojë sulmuesit informacionin e nevojshëm. Kjo deklaratë nuk duhet marrë si absurde. Fakti është se subjektet e pajisura me autoritet në fusha të caktuara të veprimtarisë shpesh fitojnë akses në të dhënat e identifikimit sipas gjykimit të vetë subjektit. Baza këtu është besimi.
E rëndësishme të mbani mend! Stafi mbështetës nuk do t'i kërkojë kurrë përdoruesit një fjalëkalim, për shembull.
Ndërgjegjësimi dhe mbrojtja
Trajnimi i inxhinierisë sociale mund të kryhet nga një individ si në bazë të iniciativës personale ashtu edhe në bazë të manualeve që përdoren në programe të veçanta trajnimi.
Kriminelët mund të përdorin një shumëllojshmëri të gjerë të llojeve të mashtrimit, duke filluar nga manipulimi te dembelizmi, mendjemprehtësia, dashamirësia e përdoruesit, etj. Është jashtëzakonisht e vështirë të mbroheni nga ky lloj sulmi, i cili është për shkak të mungesës së vetëdijes së viktimës se ai (ajo ) është mashtruar. Firma dhe kompani të ndryshme shpesh vlerësojnë informacionin e përgjithshëm për të mbrojtur të dhënat e tyre në këtë nivel rreziku. Më pas, masat e nevojshme mbrojtëse integrohen në politikën e sigurisë.
Shembuj
Një shembull i inxhinierisë sociale (akti i tij) në fushën e postimeve globale të phishing është një ngjarje që ndodhi në 2003. Gjatë këtij mashtrimi, përdoruesve të eBay u dërguan email. Ata pretenduan se llogaritë që i përkisnin ishin bllokuar. Për të anuluar bllokimin, ju është dashur të rifusni informacionin e llogarisë tuaj. Megjithatë, letrat ishin të rreme. Ata ridrejtuan në një faqe identike me atë zyrtare, por false. Sipas vlerësimeve të ekspertëve, humbja nuk ishte shumë e rëndësishme (më pak se një milion dollarë).
Përkufizimi i Përgjegjësisë
Inxhinieria sociale mund të dënohet në disa raste. Në një numër vendesh, si Shtetet e Bashkuara, preteksti (mashtrimi duke imituar një person tjetër) barazohet me një pushtim të privatësisë. Megjithatë, kjo mund të dënohet me ligj nëse informacioni i marrë gjatë pretekstimit ishte konfidencial nga pikëpamja e subjektit ose organizatës. Regjistrimi i një bisede telefonike (si metodë e inxhinierisë sociale) parashikohet gjithashtu me ligj dhe kërkon pagesën e një gjobe prej 250 mijë dollarësh ose burgim deri në dhjetë vjet për individët. persona Subjektet duhet të paguajnë 500,000 dollarë; afati mbetet i njëjtë.
