I den här artikeln kommer vi att uppmärksamma begreppet "social ingenjörskonst". En allmän definition av begreppet kommer att övervägas här. Vi kommer också att lära oss om vem som var grundaren av detta koncept. Låt oss prata separat om de viktigaste metoderna för social ingenjörskonst som används av angripare.
Introduktion
Metoder som låter dig korrigera en persons beteende och hantera hans aktiviteter utan att använda en teknisk uppsättning verktyg utgör det allmänna begreppet social ingenjörskonst. Alla metoder är baserade på påståendet att den mänskliga faktorn är den mest destruktiva svagheten i något system. Ofta betraktas detta koncept på nivån av olaglig aktivitet, genom vilken brottslingen utför en åtgärd som syftar till att få information från den utsatta personen på ett oärligt sätt. Det kan till exempel vara någon form av manipulation. Men social ingenjörskonst används också av människor i legitima aktiviteter. Hittills används det oftast för att komma åt resurser med känslig eller känslig information.
grundare
Grundaren av social ingenjörskonst är Kevin Mitnick. Men själva konceptet kom till oss från sociologin. Det betecknar en allmän uppsättning tillvägagångssätt som används av tillämpad social. vetenskaper fokuserade på att förändra den organisationsstruktur som kan bestämma mänskligt beteende och utöva kontroll över det. Kevin Mitnick kan betraktas som grundaren av denna vetenskap, eftersom det var han som populariserade det sociala. teknik under det första decenniet av 2000-talet. Kevin själv var tidigare en hackare som olagligt gick in i en mängd olika databaser. Han hävdade att den mänskliga faktorn är den mest sårbara punkten i ett system på alla nivåer av komplexitet och organisation.
Om vi pratar om sociala ingenjörsmetoder som ett sätt att få rättigheter (ofta olagligt) att använda konfidentiell data, kan vi säga att de har varit kända under mycket lång tid. Det var dock K. Mitnick som kunde förmedla vikten av deras innebörd och särdrag i tillämpningen.
Phishing och obefintliga länkar
All teknik för social ingenjörskonst är baserad på närvaron av kognitiva förvrängningar. Beteendefel blir ett "verktyg" i händerna på en skicklig ingenjör, som i framtiden kan skapa en attack som syftar till att få fram viktig data. Bland sociala ingenjörsmetoder urskiljs nätfiske och obefintliga länkar.
Phishing är en onlinebedrägeri som är utformad för att få personlig information som användarnamn och lösenord.
Icke-existerande länk - använder en länk som kommer att locka mottagaren med vissafördelar som kan erhållas genom att klicka på den och besöka en specifik webbplats. Oftast används namnen på stora företag, vilket gör subtila justeringar av deras namn. Offret, genom att klicka på länken, kommer "frivilligt" att överföra sina personuppgifter till angriparen.
Metoder som använder varumärken, defekta antivirus och ett falskt lotteri
Social ingenjörskonst använder också varumärkesbedrägerier, defekta antivirus och falska lotterier.
"Bedrägeri och varumärken" - en bedrägerimetod, som också hör till nätfiskeavdelningen. Detta inkluderar e-postmeddelanden och webbplatser som innehåller namnet på ett stort och/eller "hypad" företag. Meddelanden skickas från deras sidor med besked om seger i en viss tävling. Därefter måste du ange viktig kontoinformation och stjäla den. Denna form av bedrägeri kan också utföras per telefon.
Falsklotteri - en metod där ett meddelande skickas till offret med texten att han (a) vann (a) lotteriet. Oftast maskeras varningen med namnen på stora företag.
Falska antivirus är mjukvarubedrägerier. Den använder program som ser ut som antivirus. Men i verkligheten leder de till generering av falska meddelanden om ett visst hot. De försöker också locka användare till transaktionernas rike.
Vishing, phreaking and pretexting
Medan vi pratar om social ingenjörskonst för nybörjare, bör vi också nämna vishing, phreaking och pretexting.
Vishing är en form av bedrägeri som använder telefonnät. Den använder förinspelade röstmeddelanden, vars syfte är att återskapa det "officiella samtalet" för bankstrukturen eller något annat IVR-system. Oftast uppmanas de att ange ett användarnamn och/eller lösenord för att bekräfta eventuell information. Med andra ord kräver systemet autentisering av användaren med PIN-koder eller lösenord.
Phreaking är en annan form av telefonbedrägeri. Det är ett hackningssystem som använder ljudmanipulation och tonval.
Förtextning är en attack som använder en överlagd plan, vars essens är att representera ett annat ämne. Ett extremt svårt sätt att fuska, eftersom det kräver noggranna förberedelser.
Quid Pro Quo and the Road Apple Method
Theory of social engineering är en mångfacetterad databas som innehåller både metoder för bedrägeri och manipulation, såväl som sätt att hantera dem. Inkräktares huvuduppgift är som regel att fiska upp värdefull information.
Andra typer av bedrägerier inkluderar: quid pro quo, road apple, axelsurfning, öppen källkod och omvända sociala medier. ingenjörskonst.
Quid-pro-quo (från latin - "för detta") - ett försök att extrahera information från ett företag eller en firma. Detta sker genom att kontakta henne per telefon eller genom att skicka meddelanden via e-post. Oftast angriparelåtsas vara anställda. stöd, som rapporterar förekomsten av ett specifikt problem på arbetsplatsen för den anställde. De föreslår sedan sätt att fixa det, till exempel genom att installera programvara. Programvaran visar sig vara defekt och främjar brottet.
The Road Apple är en attackmetod som är baserad på idén om en trojansk häst. Dess väsen ligger i användningen av ett fysiskt medium och utbyte av information. Till exempel kan de förse ett minneskort med en viss "bra" som kommer att locka offrets uppmärksamhet, orsaka en önskan att öppna och använda filen eller följa länkarna som anges i dokumenten på flashenheten. "Road apple"-objektet släpps på sociala platser och väntade tills inkräktarens plan implementeras av någon person.
Insamling och sökning efter information från öppna källor är en bluff där datainsamling baseras på psykologins metoder, förmågan att lägga märke till småsaker och analys av tillgänglig data, till exempel sidor från ett soci alt nätverk. Det här är ett ganska nytt sätt för social ingenjörskonst.
Skuldersurf och omvänd social. teknik
Begreppet "axelsurfning" definierar sig som att titta på ett ämne live i bokstavlig mening. Med den här typen av datafiske åker angriparen till offentliga platser, som ett kafé, flygplats, tågstation och följer människor.
Underskatta inte denna metod, eftersom många undersökningar och studier visar att en uppmärksam person kan få mycket konfidentiell informationinformation helt enkelt genom att vara observant.
Social ingenjörskonst (som en nivå av sociologisk kunskap) är ett sätt att "fånga" data. Det finns sätt att erhålla data där offret själv kommer att erbjuda angriparen den nödvändiga informationen. Men det kan också tjäna samhällets bästa.
Omvänd social teknik är en annan metod för denna vetenskap. Användningen av denna term blir lämplig i det fall som vi nämnde ovan: offret själv kommer att erbjuda angriparen den nödvändiga informationen. Detta uttalande ska inte uppfattas som absurt. Faktum är att försökspersoner med auktoritet inom vissa verksamhetsområden ofta får tillgång till identifikationsuppgifter efter försökspersonens eget beslut. Grunden här är förtroende.
Viktigt att komma ihåg! Supportpersonal kommer aldrig att be användaren om ett lösenord, till exempel.
Information och skydd
Social ingenjörsutbildning kan utföras av individen antingen utifrån eget initiativ eller utifrån förmåner som används i särskilda utbildningsprogram.
Brottslingar kan använda en mängd olika typer av bedrägeri, allt från manipulation till lättja, godtrogenhet, artighet av användaren, etc. Det är extremt svårt att skydda sig mot denna typ av attack, på grund av offrets brist på medvetenhet om att han) fuskat. Olika företag och företag för att skydda sina uppgifter på denna risknivå är ofta engagerade i utvärderingen av allmän information. Nästa steg är att integrera det nödvändigaskyddsåtgärder för säkerhetspolicyn.
Exempel
Ett exempel på social ingenjörskonst (dess handling) inom området globala nätfiskeutskick är en händelse som inträffade 2003. E-postmeddelanden skickades till eBay-användare under denna bluff. De hävdade att de konton som tillhörde dem var spärrade. För att avbryta blockeringen var det nödvändigt att ange kontodata igen. Bokstäverna var dock falska. De översattes till en sida identisk med den officiella, men falsk. Enligt expertuppskattningar var förlusten inte alltför betydande (mindre än en miljon dollar).
Definition av ansvar
Användning av social ingenjörskonst kan vara straffbart i vissa fall. I ett antal länder, till exempel USA, likställs förevändning (bedrägeri genom att utge sig för en annan person) med intrång i privatlivet. Detta kan dock vara straffbart om den information som inhämtats under förevändning var konfidentiell ur försökspersonens eller organisationens synpunkt. Att spela in ett telefonsamtal (som en social ingenjörsmetod) krävs också enligt lag och kräver böter på 250 000 USD eller fängelse i upp till tio år för enskilda. personer. Juridiska personer måste betala 500 000 USD; tidsfristen förblir densamma.