Σε αυτό το άρθρο θα δώσουμε προσοχή στην έννοια της «κοινωνικής μηχανικής». Ένας γενικός ορισμός του όρου θα εξεταστεί εδώ. Θα μάθουμε επίσης ποιος ήταν ο ιδρυτής αυτής της ιδέας. Ας μιλήσουμε ξεχωριστά για τις κύριες μεθόδους κοινωνικής μηχανικής που χρησιμοποιούν οι επιτιθέμενοι.
Εισαγωγή
Μέθοδοι που σας επιτρέπουν να διορθώσετε τη συμπεριφορά ενός ατόμου και να διαχειριστείτε τις δραστηριότητές του χωρίς τη χρήση τεχνικού συνόλου εργαλείων αποτελούν τη γενική έννοια της κοινωνικής μηχανικής. Όλες οι μέθοδοι βασίζονται στον ισχυρισμό ότι ο ανθρώπινος παράγοντας είναι η πιο καταστροφική αδυναμία οποιουδήποτε συστήματος. Συχνά αυτή η έννοια θεωρείται στο επίπεδο της παράνομης δραστηριότητας, μέσω της οποίας ο εγκληματίας εκτελεί μια ενέργεια που αποσκοπεί στην απόκτηση πληροφοριών από το υποκείμενο-θύμα με ανέντιμο τρόπο. Για παράδειγμα, θα μπορούσε να είναι κάποιο είδος χειραγώγησης. Ωστόσο, η κοινωνική μηχανική χρησιμοποιείται επίσης από τους ανθρώπους σε νόμιμες δραστηριότητες. Μέχρι σήμερα, χρησιμοποιείται συχνότερα για πρόσβαση σε πόρους με ευαίσθητες ή ευαίσθητες πληροφορίες.
Ιδρυτής
Ο ιδρυτής της κοινωνικής μηχανικής είναι ο Kevin Mitnick. Ωστόσο, η ίδια η έννοια μας ήρθε από την κοινωνιολογία. Υποδηλώνει ένα γενικό σύνολο προσεγγίσεων που χρησιμοποιούνται από τα εφαρμοσμένα κοινωνικά. Οι επιστήμες επικεντρώθηκαν στην αλλαγή της οργανωτικής δομής που μπορεί να καθορίσει την ανθρώπινη συμπεριφορά και να ασκήσει έλεγχο σε αυτήν. Ο Κέβιν Μίτνικ μπορεί να θεωρηθεί ο ιδρυτής αυτής της επιστήμης, αφού ήταν αυτός που εκλαΐκωσε το κοινωνικό. μηχανική την πρώτη δεκαετία του 21ου αιώνα. Ο ίδιος ο Kevin ήταν προηγουμένως ένας χάκερ που μπήκε παράνομα σε μια μεγάλη ποικιλία βάσεων δεδομένων. Υποστήριξε ότι ο ανθρώπινος παράγοντας είναι το πιο ευάλωτο σημείο ενός συστήματος οποιουδήποτε επιπέδου πολυπλοκότητας και οργάνωσης.
Αν μιλάμε για μεθόδους κοινωνικής μηχανικής ως τρόπο απόκτησης δικαιωμάτων (συχνά παράνομης) χρήσης εμπιστευτικών δεδομένων, μπορούμε να πούμε ότι είναι γνωστές εδώ και πολύ καιρό. Ωστόσο, ήταν ο K. Mitnick που μπόρεσε να μεταφέρει τη σημασία της σημασίας και τις ιδιαιτερότητες εφαρμογής τους.
Phishing και ανύπαρκτοι σύνδεσμοι
Οποιαδήποτε τεχνική κοινωνικής μηχανικής βασίζεται στην παρουσία γνωστικών παραμορφώσεων. Τα λάθη συμπεριφοράς γίνονται «εργαλείο» στα χέρια ενός ειδικευμένου μηχανικού, ο οποίος στο μέλλον μπορεί να δημιουργήσει μια επίθεση με στόχο την απόκτηση σημαντικών δεδομένων. Μεταξύ των μεθόδων κοινωνικής μηχανικής, διακρίνονται το phishing και οι ανύπαρκτοι σύνδεσμοι.
Το ηλεκτρονικό ψάρεμα είναι μια διαδικτυακή απάτη που έχει σχεδιαστεί για την απόκτηση προσωπικών πληροφοριών όπως όνομα χρήστη και κωδικό πρόσβασης.
Ανύπαρκτος σύνδεσμος - χρησιμοποιώντας έναν σύνδεσμο που θα δελεάσει τον παραλήπτη με ορισμέναοφέλη που μπορείτε να αποκτήσετε κάνοντας κλικ σε αυτό και επισκεπτόμενοι έναν συγκεκριμένο ιστότοπο. Τις περισσότερες φορές, χρησιμοποιούνται ονόματα μεγάλων εταιρειών, κάνοντας ανεπαίσθητες προσαρμογές στο όνομά τους. Το θύμα, κάνοντας κλικ στον σύνδεσμο, θα μεταφέρει «οικειοθελώς» τα προσωπικά του δεδομένα στον εισβολέα.
Μέθοδοι που χρησιμοποιούν επωνυμίες, ελαττωματικά προγράμματα προστασίας από ιούς και μια ψεύτικη λοταρία
Η κοινωνική μηχανική χρησιμοποιεί επίσης απάτες επωνυμιών, ελαττωματικά προγράμματα προστασίας από ιούς και πλαστές λοταρίες.
"Απάτη και επωνυμίες" - μια μέθοδος εξαπάτησης, η οποία ανήκει επίσης στην ενότητα phishing. Αυτό περιλαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου και ιστότοπους που περιέχουν το όνομα μιας μεγάλης ή/και "διαφημισμένης" εταιρείας. Από τις σελίδες τους αποστέλλονται μηνύματα με ειδοποίηση νίκης σε συγκεκριμένο διαγωνισμό. Στη συνέχεια, πρέπει να εισαγάγετε σημαντικές πληροφορίες λογαριασμού και να τις κλέψετε. Επίσης, αυτή η μορφή απάτης μπορεί να πραγματοποιηθεί τηλεφωνικά.
Ψεύτικη λοταρία - μια μέθοδος κατά την οποία αποστέλλεται ένα μήνυμα στο θύμα με το κείμενο ότι (α) κέρδισε (α) το λαχείο. Τις περισσότερες φορές, η ειδοποίηση συγκαλύπτεται χρησιμοποιώντας ονόματα μεγάλων εταιρειών.
Τα ψεύτικα antivirus είναι απάτες λογισμικού. Χρησιμοποιεί προγράμματα που μοιάζουν με antivirus. Ωστόσο, στην πραγματικότητα, οδηγούν στη δημιουργία ψευδών ειδοποιήσεων για μια συγκεκριμένη απειλή. Προσπαθούν επίσης να παρασύρουν τους χρήστες στη σφαίρα των συναλλαγών.
Vishing, phreaking και pretexting
Όταν μιλάμε για την κοινωνική μηχανική για αρχάριους, θα πρέπει επίσης να αναφέρουμε το vishing, το phreaking και το pretexting.
Το Vishing είναι μια μορφή εξαπάτησης που χρησιμοποιεί τηλεφωνικά δίκτυα. Χρησιμοποιεί προηχογραφημένα φωνητικά μηνύματα, σκοπός των οποίων είναι η αναδημιουργία της «επίσημης κλήσης» της τραπεζικής δομής ή οποιουδήποτε άλλου συστήματος IVR. Τις περισσότερες φορές, τους ζητείται να εισαγάγουν όνομα χρήστη και/ή κωδικό πρόσβασης για να επιβεβαιώσουν οποιαδήποτε πληροφορία. Με άλλα λόγια, το σύστημα απαιτεί έλεγχο ταυτότητας από τον χρήστη χρησιμοποιώντας κωδικούς PIN ή κωδικούς πρόσβασης.
Το Phreaking είναι μια άλλη μορφή τηλεφωνικής απάτης. Είναι ένα σύστημα πειρατείας που χρησιμοποιεί χειρισμό ήχου και τονική κλήση.
Η προσποίηση είναι μια επίθεση που χρησιμοποιεί ένα προμελετημένο σχέδιο, η ουσία του οποίου είναι να αναπαραστήσει ένα άλλο θέμα. Ένας εξαιρετικά δύσκολος τρόπος απάτης, καθώς απαιτεί προσεκτική προετοιμασία.
Quid Pro Quo and the Road Apple Method
Η θεωρία της κοινωνικής μηχανικής είναι μια πολύπλευρη βάση δεδομένων που περιλαμβάνει και μεθόδους εξαπάτησης και χειραγώγησης, καθώς και τρόπους αντιμετώπισής τους. Το κύριο καθήκον των εισβολέων, κατά κανόνα, είναι να ψαρεύουν πολύτιμες πληροφορίες.
Άλλοι τύποι απάτης περιλαμβάνουν: quid pro quo, road apple, shoulder surfing, open source και reverse social media. μηχανική.
Quid-pro-quo (από τα λατινικά - "για αυτό") - μια προσπάθεια εξαγωγής πληροφοριών από μια εταιρεία ή εταιρεία. Αυτό συμβαίνει επικοινωνώντας μαζί της τηλεφωνικά ή στέλνοντας μηνύματα μέσω e-mail. Τις περισσότερες φορές, επιτιθέμενοιπροσποιούνται ότι είναι υπάλληλοι. υποστήριξη, τα οποία αναφέρουν την παρουσία συγκεκριμένου προβλήματος στο χώρο εργασίας του εργαζομένου. Στη συνέχεια προτείνουν τρόπους για να το διορθώσετε, για παράδειγμα με την εγκατάσταση λογισμικού. Το λογισμικό αποδεικνύεται ελαττωματικό και προωθεί το έγκλημα.
Το Road Apple είναι μια μέθοδος επίθεσης που βασίζεται στην ιδέα ενός δούρειου ίππου. Η ουσία του έγκειται στη χρήση ενός φυσικού μέσου και στην υποκατάσταση της πληροφορίας. Για παράδειγμα, μπορούν να παρέχουν μια κάρτα μνήμης με ένα συγκεκριμένο "καλό" που θα προσελκύσει την προσοχή του θύματος, θα προκαλέσει την επιθυμία να ανοίξει και να χρησιμοποιήσει το αρχείο ή να ακολουθήσει τους συνδέσμους που υποδεικνύονται στα έγγραφα της μονάδας flash. Το αντικείμενο "road apple" πέφτει σε κοινωνικά μέρη και περιμένει μέχρι να εφαρμοστεί το σχέδιο του εισβολέα από κάποιο άτομο.
Η συλλογή και η αναζήτηση πληροφοριών από ανοιχτές πηγές είναι μια απάτη κατά την οποία η απόκτηση δεδομένων βασίζεται στις μεθόδους της ψυχολογίας, στην ικανότητα να παρατηρείς μικροπράγματα και στην ανάλυση διαθέσιμων δεδομένων, για παράδειγμα, σελίδων από ένα κοινωνικό δίκτυο. Αυτός είναι ένας αρκετά νέος τρόπος κοινωνικής μηχανικής.
Σερφ ώμου και αντίστροφη κοινωνική. μηχανική
Η έννοια του "Shoulder Surfing" ορίζεται ως η παρακολούθηση ενός θέματος ζωντανά με την κυριολεκτική έννοια. Με αυτό το είδος ψαρέματος δεδομένων, ο εισβολέας πηγαίνει σε δημόσιους χώρους, όπως καφετέρια, αεροδρόμιο, σιδηροδρομικό σταθμό και ακολουθεί ανθρώπους.
Μην υποτιμάτε αυτήν τη μέθοδο, καθώς πολλές έρευνες και μελέτες δείχνουν ότι ένα προσεκτικό άτομο μπορεί να λάβει πολλά εμπιστευτικά στοιχείαπληροφορίες απλώς με το να είσαι παρατηρητικός.
Η κοινωνική μηχανική (ως επίπεδο κοινωνιολογικής γνώσης) είναι ένα μέσο «σύλληψης» δεδομένων. Υπάρχουν τρόποι απόκτησης δεδομένων με τους οποίους το ίδιο το θύμα θα προσφέρει στον εισβολέα τις απαραίτητες πληροφορίες. Ωστόσο, μπορεί επίσης να εξυπηρετήσει το καλό της κοινωνίας.
Αντίστροφη κοινωνική η μηχανική είναι μια άλλη μέθοδος αυτής της επιστήμης. Η χρήση αυτού του όρου γίνεται κατάλληλη στην περίπτωση που αναφέραμε παραπάνω: το ίδιο το θύμα θα προσφέρει στον εισβολέα τις απαραίτητες πληροφορίες. Αυτή η δήλωση δεν πρέπει να εκληφθεί ως παράλογη. Γεγονός είναι ότι τα υποκείμενα που διαθέτουν εξουσία σε ορισμένους τομείς δραστηριότητας έχουν συχνά πρόσβαση σε δεδομένα αναγνώρισης με απόφαση του ίδιου του υποκειμένου. Η βάση εδώ είναι η εμπιστοσύνη.
Σημαντικό να θυμάστε! Το προσωπικό υποστήριξης δεν θα ζητήσει ποτέ από τον χρήστη κωδικό πρόσβασης, για παράδειγμα.
Πληροφορίες και προστασία
Η εκπαίδευση κοινωνικής μηχανικής μπορεί να γίνει από το άτομο είτε με βάση προσωπική πρωτοβουλία είτε με βάση οφέλη που χρησιμοποιούνται σε ειδικά προγράμματα κατάρτισης.
Οι εγκληματίες μπορούν να χρησιμοποιήσουν μια μεγάλη ποικιλία τύπων εξαπάτησης, που κυμαίνονται από χειραγώγηση έως τεμπελιά, ευπιστία, ευγένεια του χρήστη κ.λπ. Είναι εξαιρετικά δύσκολο να προστατευτείτε από αυτό το είδος επίθεσης, λόγω της έλλειψης του θύματος επίγνωση ότι) απάτησε. Διάφορες εταιρείες και εταιρείες για την προστασία των δεδομένων τους σε αυτό το επίπεδο κινδύνου συχνά ασχολούνται με την αξιολόγηση γενικών πληροφοριών. Το επόμενο βήμα είναι η ενσωμάτωση των απαραίτητωνεγγυήσεις για την πολιτική ασφαλείας.
Παραδείγματα
Ένα παράδειγμα κοινωνικής μηχανικής (η πράξη της) στον τομέα των παγκόσμιων αποστολών phishing είναι ένα γεγονός που συνέβη το 2003. Κατά τη διάρκεια αυτής της απάτης στάλθηκαν μηνύματα ηλεκτρονικού ταχυδρομείου σε χρήστες του eBay. Υποστήριξαν ότι οι λογαριασμοί που τους ανήκουν ήταν αποκλεισμένοι. Για να ακυρώσετε τον αποκλεισμό, ήταν απαραίτητο να εισαγάγετε ξανά τα δεδομένα του λογαριασμού. Ωστόσο, τα γράμματα ήταν πλαστά. Μεταφράστηκαν σε μια σελίδα πανομοιότυπη με την επίσημη, αλλά ψεύτικη. Σύμφωνα με εκτιμήσεις ειδικών, η απώλεια δεν ήταν πολύ σημαντική (λιγότερο από ένα εκατομμύριο δολάρια).
Ορισμός ευθύνης
Η χρήση κοινωνικής μηχανικής μπορεί να τιμωρηθεί σε ορισμένες περιπτώσεις. Σε πολλές χώρες, όπως οι Ηνωμένες Πολιτείες, η προσχήλωση (εξαπάτηση μέσω της πλαστοπροσωπίας ενός άλλου προσώπου) εξομοιώνεται με παραβίαση της ιδιωτικής ζωής. Ωστόσο, αυτό μπορεί να τιμωρηθεί από το νόμο εάν οι πληροφορίες που ελήφθησαν κατά τη διάρκεια της προσχηματικότητας ήταν εμπιστευτικές από τη σκοπιά του υποκειμένου ή του οργανισμού. Η ηχογράφηση μιας τηλεφωνικής συνομιλίας (ως μέθοδος κοινωνικής μηχανικής) απαιτείται επίσης από το νόμο και απαιτεί πρόστιμο 250.000 $ ή φυλάκιση έως και δέκα χρόνια για άτομα. πρόσωπα. Τα νομικά πρόσωπα υποχρεούνται να πληρώσουν 500.000 $. η προθεσμία παραμένει η ίδια.