Sociálne inžinierstvo: koncept, zakladateľ, metódy a príklady

Obsah:

Sociálne inžinierstvo: koncept, zakladateľ, metódy a príklady
Sociálne inžinierstvo: koncept, zakladateľ, metódy a príklady
Anonim

V tomto článku sa budeme venovať pojmu „sociálne inžinierstvo“. Tu sa bude brať do úvahy všeobecná definícia pojmu. Dozvieme sa aj o tom, kto bol zakladateľom tohto konceptu. Hovorme oddelene o hlavných metódach sociálneho inžinierstva, ktoré používajú útočníci.

sociálne inžinierstvo
sociálne inžinierstvo

Úvod

Metódy, ktoré umožňujú korigovať správanie človeka a riadiť jeho aktivity bez použitia technickej sady nástrojov, tvoria všeobecný koncept sociálneho inžinierstva. Všetky metódy sú založené na tvrdení, že ľudský faktor je najničivejšou slabinou každého systému. Často sa tento pojem posudzuje v rovine nezákonnej činnosti, prostredníctvom ktorej páchateľ vykonáva činnosť zameranú na získanie informácií od subjektu – obete nečestným spôsobom. Môže ísť napríklad o nejaký druh manipulácie. Sociálne inžinierstvo však využívajú aj ľudia pri legitímnych aktivitách. K dnešnému dňu sa najčastejšie používa na prístup k zdrojom s citlivými alebo citlivými informáciami.

Zakladateľ

Zakladateľom sociálneho inžinierstva je Kevin Mitnick. Samotný pojem k nám však prišiel zo sociológie. Označuje všeobecný súbor prístupov používaných v aplikovanej sociálnej oblasti. vedy zamerané na zmenu organizačnej štruktúry, ktorá môže určovať ľudské správanie a vykonávať nad ním kontrolu. Kevina Mitnicka možno považovať za zakladateľa tejto vedy, pretože to bol on, kto popularizoval sociálne veci. strojárstvo v prvej dekáde 21. storočia. Sám Kevin bol predtým hackerom, ktorý nelegálne vstupoval do širokej škály databáz. Tvrdil, že ľudský faktor je najzraniteľnejším bodom systému akejkoľvek úrovne zložitosti a organizácie.

metódy sociálneho inžinierstva
metódy sociálneho inžinierstva

Ak hovoríme o metódach sociálneho inžinierstva ako o spôsobe získania práv (často nezákonných) na používanie dôverných údajov, môžeme povedať, že sú známe už veľmi dlho. Bol to však K. Mitnick, ktorý dokázal vyjadriť dôležitosť ich významu a zvláštnosti aplikácie.

Phishing a neexistujúce odkazy

Akákoľvek technika sociálneho inžinierstva je založená na prítomnosti kognitívnych skreslení. Chyby v správaní sa stávajú „nástrojom“v rukách šikovného inžiniera, ktorý v budúcnosti dokáže vytvoriť útok zameraný na získanie dôležitých údajov. Medzi metódami sociálneho inžinierstva sa rozlišuje phishing a neexistujúce odkazy.

Phishing je online podvod určený na získanie osobných informácií, ako je používateľské meno a heslo.

Neexistujúci odkaz – pomocou odkazu, ktorý príjemcu určite zaujmevýhody, ktoré je možné získať kliknutím naň a návštevou konkrétnej stránky. Najčastejšie sa používajú názvy veľkých spoločností, pričom sa ich názov jemne upravuje. Obeť kliknutím na odkaz „dobrovoľne“odovzdá svoje osobné údaje útočníkovi.

Metódy využívajúce značky, chybné antivírusy a falošnú lotériu

Sociálne inžinierstvo tiež využíva podvody so značkami, chybné antivírusy a falošné lotérie.

"Podvod a značky" - spôsob klamania, ktorý tiež patrí do sekcie phishing. To zahŕňa e-maily a webové stránky, ktoré obsahujú názov veľkej a/alebo „propagovanej“spoločnosti. Z ich stránok sa odosielajú správy s oznámením o víťazstve v určitej súťaži. Ďalej musíte zadať dôležité informácie o účte a ukradnúť ich. Túto formu podvodu je možné vykonať aj telefonicky.

Falošná lotéria – metóda, pri ktorej sa obeti odošle správa s textom, že (a) vyhrala (a) lotériu. Najčastejšie je upozornenie maskované názvami veľkých korporácií.

Falošné antivírusy sú softvérové podvody. Používa programy, ktoré vyzerajú ako antivírusy. V skutočnosti však vedú ku generovaniu falošných upozornení na konkrétnu hrozbu. Tiež sa snažia prilákať používateľov do sféry transakcií.

Vishing, phreaking a pretexting

Keď hovoríme o sociálnom inžinierstve pre začiatočníkov, mali by sme spomenúť aj vishing, phreaking a pretexting.

teóriasociálne inžinierstvo
teóriasociálne inžinierstvo

Vishing je forma podvodu, ktorá využíva telefónne siete. Používa vopred nahrané hlasové správy, ktorých účelom je znovu vytvoriť „oficiálny hovor“bankovej štruktúry alebo akéhokoľvek iného IVR systému. Najčastejšie sú požiadaní o zadanie používateľského mena a / alebo hesla na potvrdenie akýchkoľvek informácií. Inými slovami, systém vyžaduje overenie používateľa pomocou PIN kódov alebo hesiel.

Phreaking je ďalšia forma telefonického podvodu. Ide o hackerský systém využívajúci manipuláciu so zvukom a tónovú voľbu.

Pretextovanie je útok pomocou vopred premysleného plánu, ktorého podstatou je reprezentovať iný subjekt. Mimoriadne náročný spôsob podvádzania, pretože si vyžaduje starostlivú prípravu.

Quid Pro Quo a metóda Road Apple

Teória sociálneho inžinierstva je mnohostranná databáza, ktorá zahŕňa metódy klamania a manipulácie, ako aj spôsoby, ako sa s nimi vysporiadať. Hlavnou úlohou votrelcov je spravidla vyloviť cenné informácie.

Iné typy podvodov zahŕňajú: quid pro quo, road apple, surfovanie cez rameno, open source a reverzné sociálne médiá. inžinierstvo.

sociálne inžinierstvo ako úroveň sociologického poznania
sociálne inžinierstvo ako úroveň sociologického poznania

Quid-pro-quo (z latinčiny – „na toto“) – pokus o získanie informácií od spoločnosti alebo firmy. To sa deje tak, že ju kontaktujete telefonicky alebo zaslaním správ e-mailom. Najčastejšie útočnícivydávať sa za zamestnancov. podpory, ktoré hlásia prítomnosť konkrétneho problému na pracovisku zamestnanca. Potom navrhnú spôsoby, ako to opraviť, napríklad inštaláciou softvéru. Ukázalo sa, že softvér je chybný a propaguje zločin.

The Road Apple je metóda útoku, ktorá je založená na myšlienke trójskeho koňa. Jeho podstata spočíva vo využití fyzického média a náhrade informácií. Napríklad môžu poskytnúť pamäťovú kartu s určitým „dobrom“, ktoré upúta pozornosť obete, spôsobí túžbu otvoriť a použiť súbor alebo sledovať odkazy uvedené v dokumentoch jednotky Flash. Objekt „cestné jablko“sa hodí na sociálne miesta a čaká sa, kým nejaký subjekt zrealizuje plán votrelca.

Zber a vyhľadávanie informácií z otvorených zdrojov je podvod, pri ktorom je získavanie údajov založené na metódach psychológie, schopnosti všímať si maličkosti a analýze dostupných údajov, napríklad stránok zo sociálnej siete. Toto je celkom nový spôsob sociálneho inžinierstva.

sociálne inžinierstvo pre začiatočníkov
sociálne inžinierstvo pre začiatočníkov

Shulovanie cez rameno a reverzné sociálne siete. inžinierstvo

Pojem „surfovanie cez rameno“sa definuje ako sledovanie subjektu naživo v doslovnom zmysle slova. Pri tomto type zberu údajov sa útočník dostane na verejné miesta, ako je kaviareň, letisko, železničná stanica, a sleduje ľudí.

Túto metódu nepodceňujte, pretože mnohé prieskumy a štúdie ukazujú, že pozorný človek môže získať veľa dôverných informáciíinformácie jednoducho tým, že budete pozorný.

Sociálne inžinierstvo (ako úroveň sociologických znalostí) je prostriedkom na „zachytenie“údajov. Existujú spôsoby, ako získať údaje, pri ktorých obeť sama ponúkne útočníkovi potrebné informácie. Môže však slúžiť aj pre dobro spoločnosti.

Reverse social inžinierstvo je ďalšou metódou tejto vedy. Použitie tohto termínu sa stáva vhodným v prípade, ktorý sme spomenuli vyššie: obeť sama útočníkovi ponúkne potrebné informácie. Toto tvrdenie netreba brať ako absurdné. Faktom je, že subjekty s právomocou v určitých oblastiach činnosti sa k identifikačným údajom dostávajú často na základe vlastného rozhodnutia. Základom je tu dôvera.

zakladateľ sociálneho inžinierstva
zakladateľ sociálneho inžinierstva

Dôležité na zapamätanie! Pracovníci podpory nikdy nebudú od používateľa žiadať napríklad heslo.

Informácie a ochrana

Školenie v oblasti sociálneho inžinierstva môže absolvovať jednotlivec buď na základe vlastnej iniciatívy alebo na základe benefitov, ktoré sa využívajú v špeciálnych vzdelávacích programoch.

Zločinci môžu použiť širokú škálu typov podvodu, od manipulácie po lenivosť, dôverčivosť, zdvorilosť používateľa atď. Je mimoriadne ťažké chrániť sa pred týmto typom útoku, pretože obeť nemá dostatok informácií. vedomie, že) podvádzal. Rôzne firmy a spoločnosti na ochranu svojich údajov na tejto úrovni nebezpečenstva sa často zaoberajú vyhodnocovaním všeobecných informácií. Ďalším krokom je integrácia potrebnéhozáruky bezpečnostnej politiky.

Príklady

Príkladom sociálneho inžinierstva (jeho činu) v oblasti globálnych phishingových správ je udalosť, ktorá sa stala v roku 2003. Počas tohto podvodu boli používateľom eBay odoslané e-maily. Tvrdili, že im patriace účty boli zablokované. Pre zrušenie blokovania bolo potrebné znova zadať údaje účtu. Listy však boli falošné. Preložili na stránku identickú s oficiálnou, ale falošnú. Podľa odborných odhadov nebola strata príliš významná (menej ako milión dolárov).

príklady sociálneho inžinierstva
príklady sociálneho inžinierstva

Definícia zodpovednosti

Používanie sociálneho inžinierstva môže byť v niektorých prípadoch trestné. V mnohých krajinách, ako napríklad v Spojených štátoch, sa pretexting (klamanie vydávaním sa za inú osobu) prirovnáva k narušeniu súkromia. To však môže byť trestné zo zákona, ak informácie získané počas pretextovania boli z pohľadu subjektu alebo organizácie dôverné. Nahrávanie telefonického rozhovoru (ako metóda sociálneho inžinierstva) je tiež povinné zo zákona a vyžaduje pokutu 250 000 dolárov alebo väzenie až na desať rokov pre jednotlivcov. osôb. Právnické osoby sú povinné zaplatiť 500 000 USD; termín zostáva rovnaký.

Odporúča: