Metode društvenog inženjeringa. Tehnike socijalnog inženjeringa Trening socijalnog inženjeringa

Metode društvenog inženjeringa - upravo o tome će biti riječi u ovom članku, kao io svemu vezanom uz manipulaciju ljudima, phishing i krađu klijentskih baza podataka i još mnogo toga. Andrey Serikov nam je ljubazno ustupio podatke čiji je on autor, na čemu mu se zahvaljujemo.

A. SERIKOV

A.B.BOROVSKY

INFORMACIJSKE TEHNOLOGIJE DRUŠTVENOG HAKIRANJA

Uvod

Želja čovječanstva da postigne savršeno ispunjavanje dodijeljenih zadataka poslužila je kao razvoj modernog računalne opreme, i pokušaji da se zadovolje sukobljeni zahtjevi ljudi doveli su do razvoja softverskih proizvoda. Ovi softverski proizvodi ne samo da održavaju funkcionalnost hardvera, već njime i upravljaju.

Razvoj znanja o čovjeku i računalu doveo je do pojave fundamentalno nove vrste sustava - "čovjeka-stroja", gdje se osoba može pozicionirati kao hardver koji radi pod kontrolom stabilnog, funkcionalnog, višezadaćnog operativnog sustava. sustav zvan “psiha”.

Predmet rada je razmatranje socijalnog hakiranja kao grane društvenog programiranja, gdje se osobom manipulira uz pomoć ljudskih slabosti, predrasuda i stereotipa u društvenom inženjeringu.

Društveni inženjering i njegove metode

Metode manipulacije ljudima poznate su odavno, uglavnom su u društveni inženjering stigle iz arsenala raznih obavještajnih službi.

Prvi poznati slučaj konkurentske inteligencije datira iz 6. stoljeća prije Krista i dogodio se u Kini, kada su Kinezi izgubili tajnu izrade svile, koju su na prijevaru ukrali rimski špijuni.

Društveni inženjering je znanost koja se definira kao skup metoda za manipuliranje ljudskim ponašanjem, temeljen na iskorištavanju slabosti ljudskog faktora, bez korištenja tehnička sredstva.

Prema mnogim stručnjacima, najveća prijetnja sigurnost informacija predstavljaju upravo metode društvenog inženjeringa, već samo zato što korištenje društvenog hakiranja ne zahtijeva značajna financijska ulaganja i temeljito poznavanje računalne tehnologije, a također i zato što ljudi imaju određene sklonosti u ponašanju koje se mogu koristiti za pažljivo manipuliranje.

I koliko god se poboljšali tehnički sustavi zaštite, ljudi će ostati ljudi sa svojim slabostima, predrasudama, stereotipima, uz pomoć kojih se odvija upravljanje. Postavljanje ljudskog “sigurnosnog programa” je najteži zadatak i ne dovodi uvijek do zajamčenih rezultata, budući da se ovaj filter mora stalno prilagođavati. Ovdje glavni moto svih sigurnosnih stručnjaka zvuči relevantnije nego ikad: “Sigurnost je proces, a ne rezultat.”

Područja primjene socijalnog inženjeringa:

  1. opća destabilizacija rada organizacije radi smanjenja njezina utjecaja i mogućnosti naknadne potpune destrukcije organizacije;
  2. financijske prijevare u organizacijama;
  3. phishing i druge metode krađe lozinki radi pristupa osobnim bankovnim podacima pojedinaca;
  4. krađa baza podataka klijenata;
  5. konkurentna inteligencija;
  6. opće informacije o organizaciji, njezinim snagama i slabostima, s ciljem naknadnog uništenja ove organizacije na ovaj ili onaj način (često se koristi za napade napadača);
  7. informacije o najperspektivnijim zaposlenicima s ciljem da ih dodatno „privučete“ u svoju organizaciju;

Društveno programiranje i društveno hakiranje

Društveno programiranje možemo nazvati primijenjenom disciplinom koja se bavi ciljanim utjecajem na osobu ili skupinu ljudi kako bi se njihovo ponašanje promijenilo ili održalo u željenom smjeru. Stoga si društveni programer postavlja cilj: ovladati umijećem upravljanja ljudima. Osnovni koncept društvenog programiranja je da su postupci mnogih ljudi i njihove reakcije na jedan ili drugi vanjski utjecaj u mnogim slučajevima predvidljivi.

Metode društvenog programiranja su atraktivne jer ili nitko nikada neće znati za njih, ili čak i ako netko nešto nasluti, vrlo je teško takvu figuru privesti pravdi, au nekim slučajevima je moguće "programirati" ponašanje ljudi, a jedna osoba i velika grupa. Ove prilike spadaju u kategoriju društvenog hakiranja upravo zato što u svima njima ljudi provode tuđu volju, kao da se pokoravaju nekom “programu” kojeg je napisao društveni haker.

Društveno hakiranje kao sposobnost hakiranja osobe i programiranja za obavljanje željenih radnji potječe iz socijalnog programiranja - primijenjene discipline društvenog inženjeringa, gdje stručnjaci u ovom području - društveni hakeri - koriste tehnike psihološkog utjecaja i glume, posuđene iz arsenala obavještajnih službi.

Društveno hakiranje se u većini slučajeva koristi kada se radi o napadu na osobu koja je dio računalnog sustava. Računalni sustav koji je hakiran ne postoji sam po sebi. Sadrži važnu komponentu - osobu. A da bi dobio informacije, društveni haker mora hakirati osobu koja radi s računalom. U većini slučajeva to je lakše učiniti nego provaliti u žrtvino računalo u pokušaju da saznate lozinku.

Tipični algoritam utjecaja u društvenom hakiranju:

Svi napadi društvenih hakera uklapaju se u jednu prilično jednostavnu shemu:

  1. formulira se svrha utjecaja na određeni objekt;
  2. informacije o objektu prikupljaju se kako bi se otkrile najprikladnije mete utjecaja;
  3. Na temelju prikupljenih informacija provodi se faza koju psiholozi nazivaju privlačnost. Atrakcija (od latinskog Attrahere - privući, privući) je stvaranje potrebnih uvjeta za utjecaj na objekt;
  4. prisiljavanje društvenog hakera na akciju;

Prisila se ostvaruje izvođenjem prethodnih faza, odnosno nakon ostvarene privlačnosti žrtva sama poduzima radnje potrebne socijalnom inženjeru.

Na temelju prikupljenih informacija, društveni hakeri prilično precizno predviđaju psiho- i sociotip žrtve, identificirajući ne samo potrebe za hranom, seksom itd., već i potrebu za ljubavlju, potrebu za novcem, potrebu za utjehom itd. ., itd.

I doista, zašto pokušavati prodrijeti u ovu ili onu tvrtku, hakirati računala, bankomate, organizirati složene kombinacije, kad sve možete lakše: natjerati osobu da se zaljubi u vas, koja će svojom voljom prebaciti novac na određeni račun ili podijeliti potrebne informacije svaki put?

Na temelju činjenice da su postupci ljudi predvidljivi i također podložni određenim zakonima, društveni hakeri i društveni programeri koriste kako izvorne više koraka, tako i jednostavne pozitivne i negativne tehnike temeljene na psihologiji ljudske svijesti, programima ponašanja, vibracijama unutarnjih organa, logičnim razmišljanje, mašta, pamćenje, pažnja. Ove tehnike uključuju:

Wood generator - generira oscilacije iste frekvencije kao i frekvencija oscilacija unutarnjih organa, nakon čega se opaža učinak rezonancije, zbog čega ljudi počinju osjećati jaku nelagodu i stanje panike;

utjecaj na geografiju gomile - za mirno razbijanje izrazito opasnih agresivnih, velikih skupina ljudi;

visokofrekventni i niskofrekventni zvukovi - za izazivanje panike i njezin obrnuti učinak, kao i druge manipulacije;

program društvene imitacije - osoba utvrđuje ispravnost postupaka otkrivajući koje postupke drugi ljudi smatraju ispravnima;

klakerski program - (temeljen na društvenoj imitaciji) organizacija potrebne reakcije publike;

formiranje redova - (na temelju društvenog oponašanja) jednostavan, ali učinkovit reklamni potez;

program uzajamne pomoći - osoba nastoji uzvratiti dobrotu onim ljudima koji su joj učinili neku dobrotu. Želja da se ispuni ovaj program često nadilazi svaki razum;

Društveno hakiranje na internetu

Pojavom i razvojem interneta - virtualnog okruženja koje se sastoji od ljudi i njihovih interakcija, proširilo se okruženje za manipulaciju osobom radi dobivanja potrebnih informacija i obavljanja potrebnih radnji. U današnje vrijeme Internet je sredstvo svjetskog emitiranja, medij za suradnju, komunikaciju i pokriva cijeli svijet. Upravo to koriste društveni inženjeri za postizanje svojih ciljeva.

Načini manipulacije osobom putem interneta:

U moderni svijet vlasnici gotovo svake tvrtke već su shvatili da je internet vrlo učinkovito i zgodno sredstvo za širenje njihovog poslovanja i da mu je glavna zadaća povećati profit cijele tvrtke. Poznato je da se bez informacija kojima je cilj privući pozornost na željeni objekt, izazvati ili održati interes za njega i promovirati ga na tržištu, koristi oglašavanje. Samo, zbog činjenice da je tržište oglašavanja odavno podijeljeno, većina vrsta oglašavanja za većinu poduzetnika je bačen novac. Internet oglašavanje nije samo jedna od vrsta oglašavanja u medijima, ono je nešto više, budući da uz pomoć internet oglašavanja na web stranicu organizacije dolaze ljudi zainteresirani za suradnju.

Internet oglašavanje, za razliku od oglašavanja u medijima, ima puno više mogućnosti i parametara za upravljanje oglašivačkom tvrtkom. Najvažniji pokazatelj internetskog oglašavanja je taj Naknade za oglašavanje na internetu terete se samo kada se prebacite zainteresiranog korisnika putem oglasnog linka, što naravno oglašavanje na Internetu čini učinkovitijim i jeftinijim od oglašavanja u medijima. Dakle, predavši oglas na televiziji ili u tiskanim medijima, oni ga u cijelosti plaćaju i jednostavno čekaju potencijalne klijente, ali klijenti mogu odgovoriti na oglas ili ne - sve ovisi o kvaliteti produkcije i prezentacije oglasa na televiziji ili novinama , međutim, proračun za oglašavanje već je potrošen u slučaju Ako oglašavanje nije uspjelo, bilo je uzalud. Za razliku od takvog medijskog oglašavanja, internetsko oglašavanje ima mogućnost praćenja odgovora publike i upravljanja internetskim oglašavanjem prije nego što se potroši proračun; štoviše, internetsko oglašavanje može se obustaviti kada se potražnja za proizvodima poveća i nastaviti kada potražnja počne padati.

Druga metoda utjecaja je takozvano “ubijanje foruma” gdje se uz pomoć društvenog programiranja stvara antireklama za određeni projekt. U ovom slučaju, društveni programer, uz pomoć očitih provokativnih akcija, sam uništava forum, koristeći nekoliko pseudonima ( nadimak) stvoriti oko sebe anti-lidersku skupinu i privući stalne posjetitelje na projekt koji su nezadovoljni ponašanjem administracije. Na kraju takvih događanja postaje nemoguće promovirati proizvode ili ideje na forumu. To je ono za što je forum izvorno razvijen.

Metode utjecaja na osobu putem interneta u svrhu društvenog inženjeringa:

Phishing je vrsta internetske prijevare s ciljem dobivanja pristupa povjerljivim korisničkim podacima – prijavama i lozinkama. Ova operacija se postiže provođenjem masovna slanja e-mailovi u ime popularnih brendova, kao i osobne poruke unutar raznih servisa (Rambler), banaka ili unutar društvenih mreža (Facebook). Pismo često sadrži poveznicu na web stranicu koja se izvana ne razlikuje od prave. Nakon što korisnik dospijeva na lažnu stranicu, društveni inženjeri različitim tehnikama potiču korisnika da na stranici unese svoju login i lozinku kojom pristupa određenoj stranici, čime dolazi do računa i bankovnih računa.

Opasnija vrsta prijevare od phishinga je takozvani pharming.

Pharming je mehanizam za tajno preusmjeravanje korisnika na stranice za krađu identiteta. Društveni inženjer distribuira posebne zlonamjerne programe na računala korisnika koji, nakon pokretanja na računalu, preusmjeravaju zahtjeve s potrebnih stranica na lažne. Dakle, napad je visoko tajan, a sudjelovanje korisnika je minimalizirano - dovoljno je pričekati dok korisnik ne odluči posjetiti stranice koje zanimaju društvenog inženjera.

Zaključak

Društveni inženjering je znanost proizašla iz sociologije i tvrdi da je tijelo znanja koje vodi, sređuje i optimizira proces stvaranja, modernizacije i reprodukcije novih („umjetnih“) društvenih stvarnosti. Ona na određeni način “zaokružuje” sociološku znanost, zaokružuje je u fazi pretvaranja znanstvenih spoznaja u modele, projekte i dizajne društvenih institucija, vrijednosti, normi, algoritama djelovanja, odnosa, ponašanja itd.

Unatoč činjenici da je društveni inženjering relativno mlada znanost, ono nanosi veliku štetu procesima koji se odvijaju u društvu.

Najjednostavnije metode zaštite od djelovanja ove destruktivne znanosti su:

Skretanje pozornosti ljudi na sigurnosna pitanja.

Korisnici koji shvaćaju ozbiljnost problema i prihvaćaju sigurnosnu politiku sustava.

Književnost

1. R. Petersen Linux: Kompletan vodič: po. s engleskog — 3. izd. - K.: BHV Publishing Group, 2000. – 800 str.

2. Od Grodnev Internet u vašem domu. - M.: “RIPOL CLASSIC”, 2001. -480 str.

3. M. V. Kuznetsov Društveni inženjering i društveno hakiranje. St. Petersburg: BHV-Petersburg, 2007. - 368 str.: ilustr.

Tehnike društvenog inženjeringa Ljudski mozak veliki je tvrdi disk, spremište ogromne količine informacija. I vlasnik i bilo koja druga osoba može koristiti ove informacije. Kako kažu, govornik je božji dar za špijuna. Kako biste dalje razumjeli značenje sljedećeg, trebali biste biti upoznati barem s osnovama psihologije.
Društveni inženjering nam omogućuje "koristi svoj mozak" drugoj osobi, različitim metodama, te od nje pribaviti potrebne informacije.
Wiki kaže: “Društveni inženjering je metoda kontrole ljudskih postupaka bez upotrebe tehničkih sredstava”


Socijalni inženjering- Ovo je svojevrsna mlada znanost. Postoje mnoge metode i tehnike za manipulaciju ljudskom sviješću. Kevin Mitnick bio je u pravu kada je rekao da je ponekad lakše prevariti i doći do informacija nego hakirati pristup istima. Pročitajte knjigu “Umijeće obmane” u slobodno vrijeme, svidjet će vam se.
postoji obrnuti društveni inženjering, koji je usmjeren na dobivanje podataka od same žrtve. Uz njegovu pomoć, žrtva sama govori o svojim lozinkama i podacima.

Na internetu nema gesta, intonacije ili izraza lica. Sva se komunikacija temelji na tekstualne poruke. A vaš uspjeh u određenoj situaciji ovisi o tome kako vaše poruke utječu na sugovornika. Koje se tehnike mogu koristiti za tajnu manipulaciju svijesti osobe?

provocirajući
Strogo govoreći, ovo je trolanje. Razbjesni osobu, u većini slučajeva se prema informacijama odnosi nekritički. U tom stanju možete nametnuti ili primiti potrebne informacije.

Ljubav
Ovo je možda najučinkovitija tehnika. U većini slučajeva, to je ono što sam koristio)). U stanju ljubavi osoba malo toga opaža, a to je upravo ono što manipulator treba.

Ravnodušnost
Stvara se učinak ravnodušnosti manipulatora prema određenoj temi, a sugovornik ga zauzvrat pokušava uvjeriti, upadajući u zamku i otkrivajući informacije koje su vam potrebne.

Žuriti
Često se javljaju situacije kada se manipulator navodno žuri nekamo i stalno to nagovještava, ali pritom namjerno promiče informacije koje su mu potrebne.

Sumnja
Metoda sumnje donekle je slična metodi ravnodušnosti. U prvom slučaju žrtva dokazuje suprotno, u drugom pokušava opravdati “svoju sumnju”, ne shvaćajući pritom da odaje sve podatke.

Ironija
Slično tehnici provokacije. Manipulator ljuti osobu svojom ironijom. On, pak, u ljutnji nije u stanju kritički procijeniti informacije. Kao rezultat toga, nastaje rupa u psihološkoj barijeri koju manipulator iskorištava.

Iskrenost
Kada manipulator sugovorniku kaže iskrenu informaciju, sugovornik razvija neku vrstu odnosa povjerenja, što podrazumijeva slabljenje zaštitne barijere. To stvara jaz u psihološkoj obrani.

Gore opisane tehnike ne iscrpljuju u potpunosti puni potencijal društvenog inženjeringa. O tim tehnikama i metodama može se pričati i pričati. Nakon što pročitate ove tehnike, trebali biste shvatiti da ne morate slijediti svačije vodstvo. Naučite kontrolirati sebe i svoj bijes i tada će vaša obrana uvijek biti na potrebnoj razini.
Naše se nastavljaju. Čekajte nove članke))

Socijalni inženjering

Socijalni inženjering je metoda neovlaštenog pristupa informacijama ili sustavima za pohranu informacija bez uporabe tehničkih sredstava. Glavni cilj društvenih inženjera, kao i ostalih hakera i krekera, je dobiti pristup sigurnim sustavima kako bi ukrali informacije, lozinke, podatke o kreditnim karticama itd. Glavna razlika od jednostavnog hakiranja je u tome što u ovom slučaju kao meta napada nije izabran stroj, već njegov operater. Zato se sve metode i tehnike društvenih inženjera temelje na korištenju slabosti ljudskog čimbenika, koji se smatra izrazito destruktivnim, budući da napadač informacije dobiva npr. uobičajenim telefonski razgovor ili infiltracijom u organizaciju pod krinkom zaposlenika. Kako biste se zaštitili od ove vrste napada, trebali biste biti svjesni najčešćih vrsta prijevara, razumjeti što hakeri zapravo žele i na vrijeme organizirati odgovarajuću sigurnosnu politiku.

Priča

Unatoč činjenici da se koncept "društvenog inženjeringa" pojavio relativno nedavno, ljudi su u ovom ili onom obliku koristili njegove tehnike od pamtivijeka. U staroj Grčkoj i Rimu bili su cijenjeni ljudi koji su sugovornika na razne načine mogli uvjeriti da je očito u krivu. Govoreći u ime čelnika, vodili su diplomatske pregovore. Vješto se služeći lažima, laskanjem i korisnim argumentima često su rješavali probleme za koje se činilo da ih je nemoguće riješiti bez pomoći mača. Među špijunima je društveni inženjering uvijek bio glavno oružje. Oponašajući drugu osobu, agenti KGB-a i CIA-e mogli su doznati tajne državne tajne. Početkom 70-ih, na vrhuncu phreakinga, neki su telefonski huligani zvali telekom operatere i pokušavali izvući povjerljive informacije od tehničkog osoblja tvrtke. Nakon raznih eksperimenata s trikovima, do kraja 70-ih phreakeri su toliko usavršili tehnike manipuliranja neobučenim operaterima da su od njih mogli lako naučiti gotovo sve što su htjeli.

Principi i tehnike socijalnog inženjeringa

Postoji nekoliko uobičajenih tehnika i vrsta napada koje koriste društveni inženjeri. Sve ove tehnike temelje se na značajkama ljudskog odlučivanja poznatim kao kognitivne (vidi također Kognitivne) pristranosti. Te se pristranosti koriste u različitim kombinacijama kako bi se stvorila najprikladnija strategija prijevare u svakom pojedinom slučaju. Ali zajednička značajka svih ovih metoda je zavaravanje, s ciljem prisiljavanja osobe na radnju koja joj nije od koristi, a nužna je socijalnom inženjeru. Kako bi postigao željeni rezultat, napadač se koristi nizom različitih taktika: lažno predstavljanje druge osobe, odvraćanje pozornosti, povećanje psihičke napetosti itd. Krajnji ciljevi prijevare također mogu biti vrlo različiti.

Tehnike društvenog inženjeringa

Pretekstiranje

Pretekst je skup radnji koje se izvode prema određenom, unaprijed pripremljenom scenariju (pretekstu). Ova tehnika uključuje korištenje govornih sredstava kao što su telefon, Skype itd. za dobivanje potrebnih informacija. Tipično, predstavljajući se kao treća strana ili pretvarajući se da je nekome potrebna pomoć, napadač od žrtve traži lozinku ili se prijavi na web stranicu za krađu identiteta, čime vara metu da poduzme željenu radnju ili pruži određene informacije. U većini slučajeva, ova tehnika zahtijeva neke početne podatke o meti napada (na primjer, osobne podatke: datum rođenja, telefonski broj, brojeve računa, itd.) Najčešća strategija je korištenje malih upita na početku i spominjanje imena stvarnih ljudi u organizaciji. Kasnije, tijekom razgovora, napadač objašnjava da mu je potrebna pomoć (većina ljudi je sposobna i voljna obavljati zadatke koji se ne percipiraju kao sumnjivi). Nakon što se uspostavi povjerenje, prevarant može tražiti nešto značajnije i važnije.

Krađa identiteta

Primjer phishing e-poruke poslane s usluge e-pošte koja zahtijeva "ponovnu aktivaciju računa"

Phishing (engleski phishing, od fishing - ribolov, pecanje) je vrsta internetske prijevare, čija je svrha dobiti pristup povjerljivim korisničkim podacima - prijavama i lozinkama. Ovo je možda najpopularnija shema društvenog inženjeringa danas. Niti jedno veće curenje osobnih podataka ne dogodi se bez vala phishing e-pošte. Svrha krađe identiteta je nezakonito dobivanje povjerljivih informacija. Najupečatljiviji primjer phishing napada je poruka poslana žrtvi putem e-pošta, te krivotvoren kao službeni dopis - banke ili platnog sustava - koji zahtijeva provjeru određenih informacija ili izvođenje određenih radnji. Razlozi mogu biti razni. To može biti gubitak podataka, kvar sustava itd. Ti e-mailovi obično sadrže poveznicu na lažnu web stranicu koja izgleda točno kao službena i sadrži obrazac koji zahtijeva unos osjetljivih podataka.

Jedan od najpoznatijih primjera globalne phishing e-pošte bila je prijevara iz 2003. u kojoj su tisuće korisnika eBaya primile e-poštu u kojoj se tvrdilo da je njihov račun zaključan i da je potrebno ažurirati podatke o kreditnoj kartici kako bi ga otključali. Svi ti e-mailovi sadržavali su poveznicu koja je vodila do lažne web stranice koja je izgledala točno kao službena. Prema procjenama stručnjaka, gubici od ove prijevare iznosili su nekoliko stotina tisuća dolara.

Kako prepoznati phishing napad

Gotovo svaki dan pojavljuju se nove prijevare. Većina ljudi može sama naučiti prepoznati lažne poruke tako što će se upoznati s nekim od njihovih prepoznatljivih obilježja. Najčešće phishing poruke sadrže:

  • informacije koje izazivaju zabrinutost ili prijetnje, kao što je zatvaranje bankovnih računa korisnika.
  • obećanja velikih novčanih nagrada uz malo ili nimalo truda.
  • zahtjevi za dobrovoljne priloge u ime dobrotvornih organizacija.
  • gramatičke, interpunkcijske i pravopisne pogreške.

Popularne phishing sheme

Najpopularnije phishing prijevare opisane su u nastavku.

Prijevara korištenjem robnih marki poznatih korporacija

Ove phishing prijevare koriste lažnu e-poštu ili web stranice koje sadrže imena velikih ili dobro poznatih tvrtki. Poruke mogu sadržavati čestitke za pobjedu na natjecanju koje je organizirala tvrtka ili o hitnoj potrebi za promjenom vjerodajnica ili lozinke. Slične prijevarne sheme u ime tehničke podrške također se mogu izvesti putem telefona.

Lažne lutrije

Korisnik može primiti poruku da je dobio na lutriji koju provodi neka poznata tvrtka. Na površini se te poruke mogu činiti kao da su poslane u ime višeg korporativnog zaposlenika.

Lažni antivirusni i sigurnosni programi
IVR ili telefonski phishing

Princip rada IVR sustava

Što o čemu

Quid pro quo (od latinskog Quid pro quo - "ovo za ovo") je skraćenica koja se često koristi u Engleski jezik u smislu "usluga za uslugu". Ova vrsta napada uključuje napadača koji zove tvrtku na poslovni telefon. U većini slučajeva, napadač se predstavlja kao zaposlenik tehničke podrške i pita ima li tehničkih problema. U procesu "rješavanja" tehničkih problema, prevarant "prisiljava" metu da unese naredbe koje hakeru omogućuju pokretanje ili instaliranje zlonamjernog softvera. softver na korisnikov stroj.

trojanski konj

Ponekad je korištenje trojanaca samo dio planiranog višefaznog napada na određena računala, mreže ili resurse.

Vrste Trojanaca

Trojanci se najčešće razvijaju u zlonamjerne svrhe. Postoji klasifikacija u kojoj su podijeljeni u kategorije na temelju načina na koji se Trojanci infiltriraju u sustav i uzrokuju mu štetu. Postoji 5 glavnih vrsta:

  • daljinski pristup
  • uništavanje podataka
  • utovarivač
  • poslužitelj
  • deaktivator sigurnosnog programa

Ciljevi

Svrha trojanskog programa može biti:

  • učitavanje i preuzimanje datoteka
  • kopiranje lažnih poveznica koje vode do lažnih web stranica, chat soba ili drugih stranica za registraciju
  • ometanje rada korisnika
  • krađa podataka od vrijednosti ili tajni, uključujući podatke za provjeru autentičnosti, za neovlašteni pristup resursima, dobivanje podataka o bankovnim računima koji bi se mogli koristiti u kriminalne svrhe
  • distribuciju drugog zlonamjernog softvera poput virusa
  • uništavanje podataka (brisanje ili prepisivanje podataka na disku, teško vidljiva oštećenja datoteka) i opreme, onemogućavanje ili neispravnost rada računalnih sustava, mreža
  • prikupljanje adresa e-pošte i njihovo korištenje za slanje neželjene pošte
  • špijuniranje korisnika i tajno prenošenje informacija trećim stranama, kao što su navike pregledavanja
  • Bilježenje pritisaka tipki radi krađe informacija poput lozinki i brojeva kreditnih kartica
  • deaktiviranje ili ometanje rada antivirusnih programa i vatrozida

Prerušavanje

Mnogi trojanski programi nalaze se na računalima korisnika bez njihovog znanja. Ponekad su trojanci registrirani u registru, što dovodi do njihovog automatskog pokretanja pri pokretanju operacijski sustav. Trojanci se također mogu kombinirati s legitimnim datotekama. Kada korisnik otvori takvu datoteku ili pokrene aplikaciju, trojanac se pokreće zajedno s njom.

Kako Trojanac radi

Trojanci se obično sastoje od dva dijela: klijenta i poslužitelja. Poslužitelj radi na žrtvinom računalu i nadzire veze s klijenta. Dok poslužitelj radi, on nadzire port ili više portova za vezu s klijenta. Kako bi se napadač mogao spojiti na poslužitelj, mora znati IP adresu stroja na kojem se izvodi. Neki trojanci šalju IP adresu žrtvinog računala napadaču putem e-pošte ili neke druge metode. Čim se uspostavi veza s poslužiteljem, klijent mu može poslati naredbe koje će poslužitelj izvršiti. Trenutno je, zahvaljujući NAT tehnologiji, većini računala nemoguće pristupiti preko njihove vanjske IP adrese. Zbog toga se danas mnogi trojanci spajaju na računalo napadača, koje je odgovorno za primanje konekcija, umjesto da se napadač sam pokušava povezati sa žrtvom. Mnogi moderni trojanci također mogu lako zaobići vatrozid na korisničkim računalima.

Prikupljanje informacija iz otvorenih izvora

Korištenje tehnika socijalnog inženjeringa zahtijeva ne samo poznavanje psihologije, već i sposobnost prikupljanja potrebnih informacija o osobi. Relativno nov način dobivanja takvih informacija bilo je njihovo prikupljanje iz otvorenih izvora, uglavnom s društvenih mreža. Na primjer, stranice kao što su livejournal, Odnoklassniki, Vkontakte sadrže ogromnu količinu podataka koje ljudi ne pokušavaju sakriti. U pravilu, , korisnici ne obraćaju dovoljno pozornosti na sigurnosna pitanja, ostavljajući podatke i informacije u javnoj domeni koje napadač može koristiti.

Ilustrativan primjer je priča o otmici sina Jevgenija Kasperskog. Tijekom istrage utvrđeno je da su kriminalci saznali dnevni raspored i rute tinejdžera iz njegovih unosa na stranici društvena mreža.

Čak i ograničavanjem pristupa informacijama na svojoj stranici na društvenoj mreži, korisnik ne može biti siguran da one nikada neće pasti u ruke prevarantima. Na primjer, brazilski istraživač računalne sigurnosti pokazao je da je moguće postati prijatelj bilo kojeg korisnika Facebooka u roku od 24 sata koristeći tehnike društvenog inženjeringa. Tijekom eksperimenta istraživač Nelson Novaes Neto odabrao je “žrtvu” i kreirao lažni račun osobe iz njezinog okruženja – svog šefa. Neto je prvo slao zahtjeve za prijateljstvo prijateljima prijatelja šefa žrtve, a zatim izravno svojim prijateljima. Nakon 7,5 sati, istraživač je natjerao “žrtvu” da ga doda kao prijatelja. Tako je istraživač dobio pristup osobnim podacima korisnika, koje je dijelio samo sa svojim prijateljima.

Cestovna jabuka

Ova metoda napada je adaptacija trojanskog konja i sastoji se od korištenja fizičkih medija. Napadač podmeće "zaraženog", odnosno flash, na mjesto gdje se prijenosnik može lako pronaći (zahod, lift, parkiralište). Mediji su lažirani kako bi izgledali službeni, a popraćeni su potpisom osmišljenim da izazovu znatiželju. Na primjer, prevarant može postaviti pismo opremljeno korporativnim logotipom i vezom na službenu web stranicu tvrtke, označivši ga "Plaće rukovoditelja". Disk se može ostaviti na katu dizala ili u predvorju. Zaposlenik može nesvjesno uzeti disk i umetnuti ga u računalo kako bi zadovoljio svoju znatiželju.

Obrnuti društveni inženjering

Obrnutim društvenim inženjeringom se govori kada žrtva sama ponudi napadaču informacije koje su mu potrebne. Ovo se može činiti apsurdnim, ali zapravo osobe s autoritetom u tehničkoj ili društvenoj sferi često dobivaju korisnička imena i lozinke te druge važne informacije. osobne informacije jednostavno zato što nitko ne sumnja u njihov integritet. Na primjer, osoblje za podršku nikada ne traži od korisnika ID ili lozinku; ne trebaju im te informacije za rješavanje problema. Međutim, mnogi korisnici dobrovoljno daju ove povjerljive podatke kako bi brzo riješili probleme. Ispada da napadač ne treba ni pitati o tome.

Primjer obrnutog društvenog inženjeringa je sljedeći jednostavan scenarij. Napadač koji radi sa žrtvom mijenja naziv datoteke na žrtvinom računalu ili je premješta u drugi direktorij. Kada žrtva primijeti da datoteka nedostaje, napadač tvrdi da može sve popraviti. U želji da brže završi posao ili izbjegne kaznu za gubitak podataka, žrtva pristaje na ovu ponudu. Napadač tvrdi da se problem može riješiti samo prijavom s vjerodajnicama žrtve. Sada žrtva traži od napadača da se prijavi pod njezinim imenom kako bi pokušao vratiti datoteku. Napadač nevoljko pristaje i vraća datoteku, a pritom krade žrtvin ID i lozinku. Uspješno izvevši napad, čak je i poboljšao svoju reputaciju, a vrlo je moguće da će mu se nakon ovoga za pomoć obratiti i drugi kolege. Ovakav pristup ne ometa uobičajene postupke pružanja usluga podrške i komplicira hvatanje napadača.

Poznati društveni inženjeri

Kevin Mitnick

Kevin Mitnick. Svjetski poznati haker i sigurnosni savjetnik

Jedan od najpoznatijih društvenih inženjera u povijesti je Kevin Mitnick. Kao svjetski poznati računalni haker i sigurnosni savjetnik, Mitnick je i autor brojnih knjiga o računalnoj sigurnosti, uglavnom posvećenih socijalnom inženjeringu i metodama psihološkog utjecaja na ljude. Godine 2002. pod njegovim je autorstvom objavljena knjiga “Umijeće obmane” koja govori o stvarnim pričama o korištenju društvenog inženjeringa. Kevin Mitnick tvrdio je da je puno lakše dobiti lozinku prijevarom nego pokušati hakirati sigurnosni sustav

Braća Badir

Unatoč činjenici da su braća Mundir, Mushid i Shadi Badir bili slijepi od rođenja, uspjeli su izvesti nekoliko velikih prijevara u Izraelu 1990-ih, koristeći društveni inženjering i lažiranje glasa. U televizijskom intervjuu rekli su: “Samo oni koji ne koriste telefon, struju i prijenosno računalo potpuno su osigurani od mrežnih napada.” Braća su već bila u zatvoru jer su uspjela čuti i dešifrirati tajne interferencijske tonove pružatelja usluga telefonska komunikacija. Dugo su telefonirali u inozemstvo o tuđem trošku, nakon što su računala mobilnih operatera reprogramirali tonovima smetnji.

Arhanđeo

Naslovnica časopisa Phrack

Poznati računalni haker i sigurnosni savjetnik za poznati internetski časopis na engleskom jeziku "Phrack Magazine", Archangel je demonstrirao mogućnosti tehnika društvenog inženjeringa dobivanjem lozinki od ogromnog broja raznih sustava, prevarivši nekoliko stotina žrtava.

ostalo

Manje poznati društveni inženjeri su Frank Abagnale, David Bannon, Peter Foster i Stephen Jay Russell.

Načini zaštite od socijalnog inženjeringa

Kako bi izveli svoje napade, napadači koji koriste tehnike socijalnog inženjeringa često iskorištavaju lakovjernost, lijenost, uljudnost, pa čak i entuzijazam korisnika i zaposlenika organizacija. Nije se lako obraniti od takvih napada jer žrtve možda nisu svjesne da su prevarene. Napadači društvenog inženjeringa uglavnom imaju iste ciljeve kao i svi drugi napadači: žele novac, informacije ili IT resurse tvrtke žrtve. Za zaštitu od takvih napada potrebno je proučiti njihove vrste, razumjeti što napadač treba i procijeniti štetu koja bi mogla biti prouzročena organizaciji. Sa svim ovim informacijama možete integrirati potrebne mjere zaštite u svoju sigurnosnu politiku.

Klasifikacija prijetnji

Prijetnje e-poštom

Mnogi zaposlenici svakodnevno primaju korporativne i privatne poštanski sustavi deseci pa čak i stotine e-mailova. Naravno, s takvim protokom dopisivanja nemoguće je posvetiti dužnu pozornost svakom slovu. To znatno olakšava izvođenje napada. Većina korisnika sustava e-pošte opušteno se bavi obradom takvih poruka, doživljavajući taj posao kao elektronički analog premještanja papira iz jedne mape u drugu. Kada napadač pošalje jednostavan zahtjev poštom, njegova žrtva će često učiniti ono što se od nje traži ne razmišljajući o svojim postupcima. E-pošta može sadržavati hiperveze koje potiču zaposlenike na kršenje zaštite korporativnog okruženja. Takvi linkovi ne vode uvijek na navedene stranice.

Većina sigurnosnih mjera usmjerena je na sprječavanje neovlaštenih korisnika u pristupu korporativnim resursima. Ako, klikom na hipervezu koju je poslao napadač, korisnik postavi trojanca ili virus na korporativnu mrežu, to će olakšati zaobilaženje mnogih vrsta zaštite. Hiperveza također može upućivati ​​na web mjesto sa skočnim aplikacijama koje traže podatke ili nude pomoć. Kao i kod drugih vrsta prijevara, većina učinkovit način Zaštita od zlonamjernih napada je biti skeptičan prema svim neočekivanim dolaznim pismima. Kako biste promovirali ovaj pristup u cijeloj organizaciji, vaša sigurnosna politika trebala bi uključivati ​​posebne smjernice za korištenje e-pošte koje pokrivaju sljedeće elemente.

  • Prilozi uz dokumente.
  • Hiperveze u dokumentima.
  • Zahtjevi za osobnim ili korporativnim podacima koji dolaze iz tvrtke.
  • Zahtjevi za osobnim ili korporativnim podacima koji potječu izvan tvrtke.

Prijetnje povezane s korištenjem usluga razmjene izravnih poruka

Razmjena trenutnih poruka je relativno nova metoda prijenosa podataka, ali je već stekla veliku popularnost među korporativnim korisnicima. Zbog brzine i jednostavnosti korištenja ovaj način komunikacije otvara široke mogućnosti za različite napade: korisnici ga tretiraju kao telefonsku vezu i ne povezuju ga s potencijalnim softverskim prijetnjama. Dvije glavne vrste napada koji se temelje na korištenju usluga razmjene trenutnih poruka su uključivanje poveznice na zlonamjerni program u tijelu poruke i isporuka samog programa. Naravno, razmjena izravnih poruka također je jedan od načina traženja informacija. Jedna od značajki usluga razmjene trenutnih poruka je neformalna priroda komunikacije. U kombinaciji sa sposobnošću da sebi dodijele bilo koje ime, to napadaču čini puno lakšim lažno predstavljanje nekog drugog i uvelike povećava njihove šanse za uspješno izvođenje napada. Ako tvrtka namjerava iskoristiti mogućnosti smanjenja troškova i druge pogodnosti koje pruža razmjena trenutnih poruka, potrebno je uključiti u korporativne sigurnosne politike koje osiguravaju mehanizme zaštite od relevantnih prijetnji. Da biste stekli pouzdanu kontrolu nad razmjenom trenutnih poruka u poslovnom okruženju, potrebno je ispuniti nekoliko zahtjeva.

  • Odaberite jednu platformu za izravnu razmjenu poruka.
  • Odredite sigurnosne postavke koje su navedene prilikom postavljanja usluge razmjene izravnih poruka.
  • Odrediti principe za uspostavljanje novih kontakata
  • Postavite standarde lozinki
  • Dajte preporuke za korištenje usluge izravnih poruka.

Sigurnosni model s više razina

Kako bi se velike tvrtke i njihovi zaposlenici zaštitili od prevaranata koji koriste tehnike socijalnog inženjeringa, često se koriste složeni sigurnosni sustavi na više razina. Neke od značajki i odgovornosti takvih sustava navedene su u nastavku.

  • Fizičko osiguranje. Barijere koje ograničavaju pristup zgradama poduzeća i resursima poduzeća. Ne zaboravite da resursi tvrtke, na primjer kontejneri za smeće koji se nalaze izvan teritorija tvrtke, nisu fizički zaštićeni.
  • Podaci. Poslovni podaci: Računi, pošte i sl. Prilikom analize prijetnji i planiranja mjera zaštite podataka potrebno je odrediti principe postupanja s papirom i elektronski mediji podaci.
  • Prijave. Programi koje pokreću korisnici. Da biste zaštitili svoje okruženje, morate razmotriti kako napadači mogu iskoristiti poštari, usluge razmjene izravnih poruka i druge aplikacije.
  • Računala. Poslužitelji i klijentski sustavi koji se koriste u organizaciji. Štiti korisnike od izravnih napada na njihova računala definiranjem strogih smjernica koje upravljaju programima koji se mogu koristiti na korporativnim računalima.
  • Interna mreža. Mreža kroz koju su u interakciji korporativni sustavi. Može biti lokalna, globalna ili bežična. U posljednjih godina Zbog sve veće popularnosti metoda rada na daljinu, granice internih mreža postale su uglavnom proizvoljne. Zaposlenicima poduzeća treba reći što trebaju učiniti za organizaciju. siguran rad u bilo kojem mrežnom okruženju.
  • Mrežni perimetar. Granica između interne mreže tvrtke i vanjski, kao što su internet ili mreže partnerskih organizacija.

Odgovornost

Pretekstiranje i snimanje telefonskih razgovora

Hewlett Packard

Patricia Dunn, predsjednica korporacije Hewlett Packard, rekla je da je angažirala privatnu tvrtku da identificira one zaposlenike tvrtke koji su odgovorni za curenje povjerljivih informacija. Kasnije je šef korporacije priznao da je tijekom procesa istraživanja korištena praksa izgovora i drugih tehnika društvenog inženjeringa.

Bilješke

vidi također

Linkovi

  • SocialWare.ru – Privatni projekt društvenog inženjeringa
  • - Društveni inženjering: osnove. Dio I: Hakerske taktike
  • Zaštita od phishing napada.
  • Osnove društvenog inženjeringa – Securityfocus.com.
  • Društveni inženjering, USB put – DarkReading.com.
  • Treba li društveni inženjering biti dio penetracijskog testiranja? – darknet.org.uk.
  • "Protecting Consumers" Phone Records", Electronic Privacy Information Center Američki odbor za trgovinu, znanost i transport .
  • Plotkin, Hal. Dopis za tisak: Pretekstiranje je već nezakonito.
  • Striptiz za lozinke – MSNBC.MSN.com.
  • Social-Engineer.org – društveni inženjer.org.

Socijalni inženjering- metoda dobivanja potrebnog pristupa informacijama, koja se temelji na karakteristikama ljudske psihologije. Glavni cilj društvenog inženjeringa je dobiti pristup povjerljivim informacijama, lozinkama, bankovnim podacima i drugim zaštićenim sustavima. Iako se pojam društveni inženjering pojavio ne tako davno, metoda dobivanja informacija na ovaj način koristi se već dosta dugo. Zaposlenici CIA-e i KGB-a koji se žele dokopati nekih državnih tajni, političari i kandidati za Sabor, a i mi sami, ako želimo nešto dobiti, često i nesvjesni toga, koristimo se metodama društvenog inženjeringa.

Kako biste se zaštitili od učinaka društvenog inženjeringa, morate razumjeti kako on funkcionira. Pogledajmo glavne vrste društvenog inženjeringa i metode zaštite od njih.

Pretekstiranje- ovo je skup radnji razrađenih prema određenom, unaprijed sastavljenom scenariju, kao rezultat kojih žrtva može dati neke informacije ili izvršiti određenu radnju. Češće ovaj tip Napad uključuje korištenje glasovnih sredstava kao što su Skype, telefon itd.

Da bi koristio ovu tehniku, napadač inicijalno mora imati neke podatke o žrtvi (ime zaposlenika; pozicija; naziv projekata na kojima radi; datum rođenja). Napadač u početku koristi stvarne upite s imenima zaposlenika tvrtke i nakon što zadobije povjerenje dolazi do informacija koje su mu potrebne.

Krađa identiteta– tehnika internetske prijevare s ciljem dobivanja povjerljivih podataka o korisniku – autorizacijskih podataka različitih sustava. Glavna vrsta phishing napada je lažna e-pošta poslana žrtvi koja izgleda kao službeno pismo od sustav plaćanja ili banka. Pismo sadrži obrazac za unos osobnih podataka (PIN kodovi, prijava i lozinka i dr.) ili poveznicu na web stranicu na kojoj se nalazi takav obrazac. Razlozi povjerenja žrtve u takve stranice mogu biti različiti: blokiranje računa, kvar sustava, gubitak podataka itd.

trojanski konj– Ova tehnika temelji se na znatiželji, strahu ili drugim emocijama korisnika. Napadač šalje pismo žrtvi putem e-pošte, čiji privitak sadrži antivirusni "update", ključ za osvajanje novca ili inkriminirajući dokaz o zaposleniku. Zapravo, prilog sadrži malware, koji će, nakon što ga korisnik pokrene na svom računalu, služiti za prikupljanje ili promjenu podataka od strane napadača.

Što o čemu(quid pro quo) – ova tehnika uključuje kontaktiranje napadača s korisnikom putem e-pošte ili službenog telefona. Napadač se može predstaviti, na primjer, kao zaposlenik tehničke podrške i obavijestiti o pojavi tehničkih problema na radnom mjestu. Nadalje obavještava o potrebi njihovog uklanjanja. U procesu "rješavanja" takvog problema, napadač tjera žrtvu da poduzme radnje koje napadaču omogućuju izvršavanje određenih naredbi ili instaliranje potrebnog softvera na žrtvino računalo.

Cestovna jabuka– ova metoda je prilagodba trojanskog konja i sastoji se od korištenja fizičkih medija (CD-ovi, flash diskovi). Napadač takve medije najčešće postavlja na javna mjesta u krugu poduzeća (parkirališta, kantine, radna mjesta zaposlenika, toaleti). Kako bi zaposlenik razvio interes za ovom mediju, napadač može staviti logo tvrtke i neku vrstu potpisa na medij. Na primjer, "podaci o prodaji", "plaće zaposlenika", "porezno izvješće" i drugo.

Obrnuti društveni inženjering- ova vrsta napada ima za cilj stvoriti situaciju u kojoj će žrtva biti prisiljena obratiti se napadaču za „pomoć“. Na primjer, napadač može poslati pismo s telefonskim brojevima i kontaktima "službe podrške" i nakon nekog vremena stvoriti reverzibilne probleme u žrtvinom računalu. U tom slučaju korisnik će sam nazvati ili poslati e-mail napadaču, au procesu “rješavanja” problema napadač će moći doći do podataka koji su mu potrebni.


Slika 1 – Glavne vrste društvenog inženjeringa

Protumjere

Glavni način zaštite od metoda socijalnog inženjeringa je obuka zaposlenika. Sve zaposlenike tvrtke treba upozoriti na opasnosti od otkrivanja osobnih podataka i povjerljivih informacija tvrtke, kao i na načine sprječavanja curenja podataka. Osim toga, svaki zaposlenik tvrtke, ovisno o odjelu i radnom mjestu, trebao bi imati upute kako i o kojim temama se može komunicirati sa sugovornikom, koje informacije se mogu dati službi tehničke podrške, kako i što zaposlenik tvrtke mora komunicirati primiti tu informaciju ili drugu informaciju od drugog zaposlenika.

Osim toga, mogu se razlikovati sljedeća pravila:

  • Korisničke vjerodajnice vlasništvo su tvrtke.
    • Na dan zapošljavanja treba objasniti svim zaposlenicima da se logini i lozinke koje su im izdane ne mogu koristiti u druge svrhe (na web stranicama, za osobna pošta itd.), prenijeti na treće osobe ili druge zaposlenike tvrtke koji na to nemaju pravo. Na primjer, vrlo često zaposlenik prilikom odlaska na godišnji odmor može prenijeti svoje autorizacijske podatke svom kolegi kako bi ovaj mogao obavljati neki posao ili pregledavati određene podatke za vrijeme njegove odsutnosti.
  • Potrebno je provoditi uvodne i redovite edukacije zaposlenika poduzeća s ciljem povećanja znanja o informacijskoj sigurnosti.
    • Provođenje takvih brifinga omogućit će zaposlenicima tvrtke da imaju ažurne informacije o postojećim metodama socijalnog inženjeringa, a također da ne zaborave osnovna pravila informacijske sigurnosti.
  • Obavezno je posjedovanje sigurnosnih propisa, kao i uputa kojima korisnik uvijek mora imati pristup. Upute bi trebale opisati postupke zaposlenika ako se pojavi određena situacija.
    • Na primjer, propisi mogu odrediti što treba učiniti i kamo ići ako treća strana pokuša zatražiti povjerljive podatke ili vjerodajnice zaposlenika. Takve radnje omogućit će vam da identificirate napadača i spriječite curenje informacija.
  • Računala zaposlenika trebaju uvijek imati ažuran antivirusni softver.
    • Vatrozid mora biti instaliran i na računala zaposlenika.
  • U korporativna mreža tvrtka treba koristiti sustave za otkrivanje i prevenciju napada.
    • Također je potrebno koristiti sustave za sprječavanje curenja povjerljivih informacija. Sve to će smanjiti rizik od fitičkih napada.
  • Svi djelatnici moraju dobiti upute o ponašanju prema posjetiteljima.
    • Potrebna su jasna pravila za utvrđivanje identiteta posjetitelja i njegovu pratnju. Posjetitelji uvijek moraju biti u pratnji jednog od zaposlenika tvrtke. Ako zaposlenik susretne njemu nepoznatog posjetitelja, dužan se u ispravnom obliku raspitati s kojom se svrhom posjetitelj nalazi u ovoj prostoriji i kamo se prati. Po potrebi zaposlenik mora prijaviti nepoznate posjetitelje zaštitarskoj službi.
  • Potrebno je maksimalno ograničiti prava korisnika u sustavu.
    • Na primjer, možete ograničiti pristup web stranicama i zabraniti korištenje prijenosni medij. Uostalom, ako zaposlenik ne može doći do web-mjesta za krađu identiteta ili koristiti flash pogon s " trojanski konj”, tada također neće moći izgubiti osobne podatke.

Na temelju svega navedenog možemo zaključiti: glavni način zaštite od socijalnog inženjeringa je obuka zaposlenika. Potrebno je znati i zapamtiti da neznanje nije izgovor. Svaki korisnik sustava trebao bi biti svjestan opasnosti od otkrivanja povjerljivih informacija i znati načine kako spriječiti curenje. Upozoren je unaprijed naoružan!

Svaka velika ili čak mala organizacija ima slabosti u informacijskoj sigurnosti. Čak i ako sva računala tvrtke imaju najbolji softver, svi zaposlenici imaju najjače lozinke, a sva računala nadziru najpametniji administratori, još uvijek možete pronaći slabu točku. A jedna od najvažnijih “slabih točaka” su ljudi koji rade u tvrtki i imaju pristup računalni sustavi te su u većoj ili manjoj mjeri nositelj informacija o organizaciji. Ljudima koji planiraju ukrasti informacije, odnosno hakerima, ljudski faktor ide samo na ruku. I na ljudima je ono što pokušavaju razne načine utjecaji koji se nazivaju društveni inženjering. Pokušat ću danas govoriti o tome u članku io opasnosti koju predstavlja za obične korisnike i organizacije.

Prvo shvatimo što je društveni inženjering – to je izraz koji koriste krekeri i hakeri koji se odnosi na neovlašteni pristup informacijama, ali je potpuno suprotan od oznake hakiranja softvera. Cilj nije hakirati, već prevariti ljude tako da sami daju lozinke ili druge podatke koji kasnije mogu pomoći hakerima da naruše sigurnost sustava. Ova vrsta prijevare uključuje telefonsko pozivanje organizacije i identificiranje onih zaposlenika koji imaju tražene podatke, a zatim pozivanje identificiranog administratora od strane nepostojećeg zaposlenika koji navodno ima problema s pristupom sustavu.

Društveni inženjering izravno je povezan s psihologijom, ali se razvija kao njezin zaseban dio. Danas se vrlo često koristi inženjerski pristup, posebno za neotkriveni rad provalnika u krađi dokumenata. Ovom se metodom treniraju špijuni i tajni agenti za tajni prodor bez ostavljanja tragova.

Čovjek je u stanju razmišljati, rasuđivati, dolaziti do jednog ili drugog zaključka, ali se zaključci ne moraju uvijek pokazati stvarnim, vlastitim, a ne nametnutim izvana, kao što su potrebni nekom drugom. Ali najzanimljivija stvar i glavna stvar koja pomaže prevarantima je da osoba možda neće primijetiti da su njegovi zaključci lažni. Do posljednjeg trenutka može misliti da je sam o svemu odlučio. Upravo tu značajku koriste ljudi koji se bave društvenim inženjeringom.

Poanta društvenog inženjeringa je krađa informacija. Ljudi koji to čine pokušavaju ukrasti podatke bez pretjerane pozornosti, a zatim ih koristiti prema vlastitom nahođenju: prodati ili ucijeniti izvornog vlasnika. Prema statistikama, vrlo često se ispostavlja da se takvi trikovi događaju na zahtjev konkurentske tvrtke.

Sada pogledajmo načine društvenog inženjeringa.

Ljudsko uskraćivanje usluge (HDoS)

Bit ovog napada je tiho prisiliti osobu da ne reagira na određene situacije.

Na primjer, simulacija napada na neku luku služi kao manevar odvraćanja. Administrator sustava je ometen greškama, au ovom trenutku lako prodiru u poslužitelj i uzimaju informacije koje su im potrebne. Ali administrator može biti siguran da na ovom priključku ne može biti nikakvih pogrešaka, a tada će se prodor hakera odmah primijetiti. Cijela poanta ove metode je da napadač mora poznavati psihologiju i razinu znanja administratora sustava. Bez tog znanja prodor u server nije moguć.

Metoda poziva.

Ova metoda znači telefonski poziv takozvana “žrtva”. Prevarant poziva žrtvu koristeći i točan i psihološki ispravan govor postavljena pitanja zavede je i sazna sve potrebne podatke.

Na primjer: prevarant zove i kaže da, na zahtjev administratora, provjerava funkcionalnost sigurnosnog sustava. Zatim traži lozinku i korisničko ime, a nakon toga sve potrebne informacije su mu u džepu.

Vizualni kontakt.

Najteži način. S tim se mogu nositi samo stručno osposobljene osobe. Poanta ove metode je da morate pronaći pristup žrtvi. Jednom kada se pronađe pristup, moći će se njime ugoditi žrtvi i zadobiti njezino povjerenje. A nakon toga će sama žrtva iznijeti sve potrebne informacije i činit će joj se da ne govori ništa važno. To može učiniti samo profesionalac.

E-mail.

Ovo je najčešći način na koji hakeri izvlače informacije. U većini slučajeva hakeri pošalju pismo žrtvi od nekoga koga navodno poznaju. Najteža stvar kod ove metode je kopirati način i stil pisanja ovog prijatelja. Ako žrtva vjeruje u prijevaru, ovdje već možete izvući sve informacije koje bi hakeru mogle trebati.