Metode socialnega inženiringa. Tehnike socialnega inženiringa Usposabljanje socialnega inženiringa

Metode socialnega inženiringa - prav o tem bomo govorili v tem članku, pa tudi o vsem, kar je povezano z manipulacijo ljudi, lažnim predstavljanjem in krajo baz podatkov strank in še več. Andrey Serikov nam je prijazno posredoval informacije, katerih avtor je, za kar se mu najlepše zahvaljujemo.

A. SERIKOV

A.B.BOROVSKI

INFORMACIJSKE TEHNOLOGIJE SOCIALNEGA HEKIRANJA

Uvod

Želja človeštva, da bi dosegli popolno izpolnitev zadanih nalog, je služila razvoju moderne računalniška oprema, in poskusi zadovoljitve nasprotujočih si zahtev ljudi so privedli do razvoja programskih izdelkov. Ti programski izdelki ne samo vzdržujejo funkcionalnost strojne opreme, temveč jo tudi upravljajo.

Razvoj znanja o človeku in računalniku je privedel do nastanka popolnoma nove vrste sistema - "človek-stroj", kjer je človek lahko postavljen kot strojna oprema, ki deluje pod nadzorom stabilnega, funkcionalnega, večopravilnega delovanja. sistem, imenovan "psiha".

Predmet dela je obravnava socialnega hekanja kot veje socialnega programiranja, kjer se človek manipulira s pomočjo človeških slabosti, predsodkov in stereotipov v socialnem inženiringu.

Socialni inženiring in njegove metode

Metode manipuliranja s človekom so znane že dolgo, v družbeni inženiring so prišle predvsem iz arzenala različnih obveščevalnih služb.

Prvi znani primer konkurenčne inteligence sega v 6. stoletje pred našim štetjem in se je zgodil na Kitajskem, ko so Kitajci izgubili skrivnost izdelave svile, ki so jo z goljufijo ukradli rimski vohuni.

Socialni inženiring je veda, ki je opredeljena kot niz metod za manipulacijo človeškega vedenja, ki temelji na izkoriščanju slabosti človeškega faktorja, ne da bi pri tem uporabljali tehnična sredstva.

Po mnenju mnogih strokovnjakov največja grožnja varnost informacij predstavljajo ravno metode socialnega inženiringa, že zato, ker uporaba socialnega hekanja ne zahteva znatnih finančnih vložkov in temeljitega poznavanja računalniške tehnologije, pa tudi zato, ker imajo ljudje določene vedenjske nagnjenosti, ki jih je mogoče uporabiti za skrbno manipulacijo.

In ne glede na to, koliko se izboljšamo tehnični sistemi zaščite, bodo ljudje ostali ljudje s svojimi slabostmi, predsodki, stereotipi, s pomočjo katerih poteka upravljanje. Postavitev človeškega »varnostnega programa« je najtežja naloga in ne vodi vedno do zajamčenih rezultatov, saj je treba ta filter nenehno prilagajati. Tukaj glavni moto vseh varnostnih strokovnjakov zveni bolj aktualno kot kdaj koli prej: "Varnost je proces, ne rezultat."

Področja uporabe socialnega inženiringa:

  1. splošna destabilizacija delovanja organizacije z namenom zmanjšanja njenega vpliva in možnosti kasnejšega popolnega uničenja organizacije;
  2. finančne goljufije v organizacijah;
  3. lažno predstavljanje in drugi načini kraje gesel za dostop do osebnih bančnih podatkov posameznikov;
  4. kraja baz podatkov strank;
  5. konkurenčna inteligenca;
  6. splošne informacije o organizaciji, njenih prednostih in slabosti, z namenom naknadnega uničenja te organizacije na tak ali drugačen način (pogosto se uporablja za raider napade);
  7. informacije o najobetavnejših sodelavcih z namenom, da jih še bolj »privabite« v svojo organizacijo;

Socialno programiranje in socialno hekanje

Socialno programiranje lahko imenujemo uporabna disciplina, ki se ukvarja s ciljno usmerjenim vplivom na osebo ali skupino ljudi z namenom, da se spremeni ali ohrani njihovo vedenje v želeni smeri. Tako si socialni programer zastavi cilj: obvladati umetnost vodenja ljudi. Osnovni koncept socialnega programiranja je, da so dejanja in odzivi mnogih ljudi na takšne ali drugačne zunanje vplive v mnogih primerih predvidljivi.

Metode družbenega programiranja so privlačne, ker bodisi nihče ne bo nikoli izvedel zanje, ali tudi če nekdo nekaj ugiba, je takšno figuro zelo težko pripeljati pred sodišče, v nekaterih primerih pa je mogoče "programirati" vedenje ljudi in ena oseba in velika skupina. Te priložnosti spadajo v kategorijo socialnega hekanja ravno zato, ker v vseh njih ljudje izvajajo voljo nekoga drugega, kot da bi se ubogali »programu«, ki ga je napisal socialni heker.

Socialno hekanje kot zmožnost vdreti v človeka in ga programirati za izvajanje želenih dejanj izhaja iz socialnega programiranja - uporabne discipline socialnega inženiringa, kjer specialisti na tem področju - socialni hekerji - uporabljajo tehnike psihološkega vplivanja in delovanja, izposojene iz arzenala obveščevalnih služb.

Socialno vdiranje se v večini primerov uporablja, ko gre za napad na osebo, ki je del računalniškega sistema. Računalniški sistem, v katerega se vdre, sam po sebi ne obstaja. Vsebuje pomembno komponento - osebo. In da bi dobil informacije, mora socialni heker vdreti v osebo, ki dela z računalnikom. V večini primerov je to lažje storiti kot vdreti v računalnik žrtve, da bi izvedeli geslo.

Tipičen algoritem vplivanja pri socialnem hekanju:

Vsi napadi socialnih hekerjev se ujemajo z eno dokaj preprosto shemo:

  1. oblikovan je namen vplivanja na določen predmet;
  2. informacije o predmetu se zbirajo, da se odkrijejo najprimernejše tarče vpliva;
  3. Na podlagi zbranih informacij se izvede faza, ki jo psihologi imenujejo privlačnost. Privlačnost (iz latinščine Attrahere - pritegniti, pritegniti) je ustvarjanje potrebnih pogojev za vplivanje na predmet;
  4. prisiljevanje socialnega hekerja k ukrepanju;

Prisila se doseže z izvedbo prejšnjih stopenj, tj. po doseženi privlačnosti žrtev sama izvede dejanja, ki so potrebna za socialnega inženirja.

Na podlagi zbranih informacij socialni hekerji precej natančno predvidijo psiho- in sociotip žrtve, pri čemer identificirajo ne le potrebe po hrani, seksu itd., temveč tudi potrebo po ljubezni, denarju, potrebo po udobju itd. . itd.

In res, zakaj bi poskušali prodreti v to ali ono podjetje, vdirati v računalnike, bankomate, organizirati zapletene kombinacije, ko pa lahko naredite vse lažje: vzljubiti osebo, ki bo po lastni volji nakazala denar na določenem računu ali vsakič delite potrebne informacije o denarju?

Na podlagi dejstva, da so dejanja ljudi predvidljiva in tudi podvržena določenim zakonitostim, socialni hekerji in socialni programerji uporabljajo tako izvirne večstopenjske kot preproste pozitivne in negativne tehnike, ki temeljijo na psihologiji človeške zavesti, vedenjskih programih, vibracijah notranjih organov, logičnih mišljenje, domišljija, spomin, pozornost. Te tehnike vključujejo:

Generator lesa - ustvarja nihanja enake frekvence kot frekvenca nihanj notranjih organov, po kateri opazimo resonančni učinek, zaradi česar ljudje začnejo čutiti hudo nelagodje in stanje panike;

vpliv na geografijo množice - za mirno razpustitev izjemno nevarnih agresivnih, velikih skupin ljudi;

visokofrekvenčni in nizkofrekvenčni zvoki - za izzivanje panike in njen povratni učinek ter druge manipulacije;

program socialnega posnemanja - oseba ugotavlja pravilnost dejanj tako, da ugotovi, katera dejanja drugi ljudje štejejo za pravilna;

klakerski program - (na podlagi družbenega posnemanja) organizacija potrebne reakcije občinstva;

oblikovanje čakalnih vrst - (na podlagi družbenega posnemanja) preprosta, a učinkovita oglaševalska poteza;

program medsebojne pomoči - oseba želi povrniti dobroto tistim ljudem, ki so mu storili nekaj dobrote. Želja po izpolnitvi tega programa pogosto presega vsak razum;

Socialno hekanje na internetu

S pojavom in razvojem interneta - virtualnega okolja, sestavljenega iz ljudi in njihovih interakcij, se je razširilo okolje za manipulacijo človeka za pridobivanje potrebnih informacij in izvajanje potrebnih dejanj. Dandanes je internet sredstvo svetovnega oddajanja, medij za sodelovanje, komunikacijo in pokriva ves svet. Prav to uporabljajo socialni inženirji za dosego svojih ciljev.

Načini manipulacije osebe prek interneta:

IN sodobni svet lastniki skoraj vsakega podjetja so že ugotovili, da je internet zelo učinkovito in priročno sredstvo za širitev njihovega poslovanja, njegova glavna naloga pa je povečanje dobička celotnega podjetja. Znano je, da brez informacij, katerih cilj je pritegniti pozornost na želeni predmet, ustvariti ali ohraniti zanimanje zanj in ga promovirati na trgu, se uporablja oglaševanje. Samo zaradi dejstva, da je oglaševalski trg že dolgo razdeljen, je večina vrst oglaševanja za večino podjetnikov zapravljen denar. Internetno oglaševanje ni le ena izmed vrst oglaševanja v medijih, je nekaj več, saj s pomočjo internetnega oglaševanja ljudje, ki jih zanima sodelovanje, pridejo na spletno stran organizacije.

Internetno oglaševanje ima za razliko od oglaševanja v medijih veliko več možnosti in parametrov za vodenje oglaševalskega podjetja. Najpomembnejši pokazatelj internetnega oglaševanja je, da Stroški internetnega oglaševanja se bremenijo samo, ko zamenjate zainteresiranega uporabnika prek oglaševalske povezave, s čimer je oglaševanje na internetu seveda učinkovitejše in cenejše od oglaševanja v medijih. Tako, ko oddajo oglas na televiziji ali v tiskanih medijih, ga plačajo v celoti in preprosto čakajo na potencialne stranke, stranke pa se lahko odzovejo na oglaševanje ali ne - vse je odvisno od kakovosti produkcije in predstavitve oglaševanja na televiziji ali v časopisih. , vendar je bil proračun za oglaševanje že porabljen v primeru Če oglaševanje ni delovalo, je bilo zapravljeno. Za razliko od takšnega medijskega oglaševanja ima internetno oglaševanje možnost slediti odzivu občinstva in upravljati internetno oglaševanje, preden je proračun porabljen; poleg tega se lahko internetno oglaševanje prekine, ko se povpraševanje po izdelkih poveča, in nadaljuje, ko povpraševanje začne upadati.

Druga metoda vplivanja je tako imenovano "ubijanje forumov", kjer s pomočjo socialnega programiranja ustvarijo antireklamo za določen projekt. V tem primeru socialni programer s pomočjo očitnih provokativnih dejanj sam uniči forum z uporabo več psevdonimov ( vzdevek) ustvariti okoli sebe skupino proti vodjem in k projektu privabiti redne obiskovalce, ki niso zadovoljni z ravnanjem uprave. Na koncu takih dogodkov postane nemogoče promovirati izdelke ali ideje na forumu. Za to je bil forum prvotno razvit.

Metode vplivanja na osebo preko interneta z namenom socialnega inženiringa:

Lažno predstavljanje je vrsta internetne goljufije, katere cilj je pridobiti dostop do zaupnih uporabniških podatkov - prijav in gesel. Ta operacija se doseže z izvajanjem množične pošiljke elektronska sporočila v imenu priljubljenih blagovnih znamk, pa tudi osebna sporočila znotraj različnih storitev (Rambler), bank ali znotraj družbenih omrežij (Facebook). Pismo pogosto vsebuje povezavo do spletne strani, ki se navzven ne razlikuje od prave. Potem ko uporabnik pristane na lažni strani, socialni inženirji z različnimi tehnikami spodbudijo uporabnika, da na strani vnese svoje uporabniško ime in geslo, s katerima dostopa do določene strani, kar mu omogoča dostop do računov in bančnih računov.

Nevarnejša vrsta goljufije od lažnega predstavljanja je tako imenovani pharming.

Pharming je mehanizem za prikrito preusmerjanje uporabnikov na lažna spletna mesta. Socialni inženir v računalnike uporabnikov distribuira posebne zlonamerne programe, ki po zagonu v računalniku preusmerijo zahteve s potrebnih spletnih mest na lažna. Tako je napad zelo tajen, sodelovanje uporabnikov pa minimalno - dovolj je počakati, da se uporabnik odloči obiskati spletna mesta, ki zanimajo socialnega inženirja.

Zaključek

Socialni inženiring je veda, ki je izšla iz sociologije in trdi, da je telo znanja, ki vodi, postavlja v red in optimizira proces ustvarjanja, posodabljanja in reproduciranja novih (»umetnih«) družbenih realnosti. Na nek način »dopolnjuje« sociološko znanost, jo dopolnjuje v fazi preoblikovanja znanstvenih spoznanj v modele, projekte in zasnove družbenih institucij, vrednot, norm, algoritmov delovanja, odnosov, vedenja itd.

Kljub temu, da je socialni inženiring relativno mlada veda, povzroča veliko škodo procesom, ki se dogajajo v družbi.

Najenostavnejši načini zaščite pred učinki te uničujoče znanosti so:

Opozoriti ljudi na vprašanja varnosti.

Uporabniki, ki razumejo resnost problema in sprejemajo varnostno politiko sistema.

Literatura

1. R. Petersen Linux: Celoten vodnik: per. iz angleščine — 3. izd. - K.: BHV Publishing Group, 2000. – 800 str.

2. Od Grodnev Internet v vašem domu. - M.: "RIPOL CLASSIC", 2001. -480 str.

3. M. V. Kuznetsov Socialni inženiring in socialno hekanje. Sankt Peterburg: BHV-Petersburg, 2007. - 368 str.: ilustr.

Tehnike socialnega inženiringa Človeški možgani so velik trdi disk, skladišče ogromne količine informacij. Te podatke lahko uporablja tako lastnik kot katera koli druga oseba. Kot pravijo, je govorec božji dar za vohuna. Da bi bolje razumeli pomen naslednjega, bi morali poznati vsaj osnove psihologije.
Socialni inženiring nam omogoča "uporabi svoje možgane" drugo osebo na različne načine in od nje pridobiti potrebne informacije.
Wiki pravi: "Socialni inženiring je metoda nadzora človeških dejanj brez uporabe tehničnih sredstev"


Socialni inženiring- To je neke vrste mlada znanost. Obstaja veliko metod in tehnik za manipulacijo človeške zavesti. Kevin Mitnick je imel prav, ko je rekel, da je včasih lažje goljufati in dobiti informacije kot vdreti v dostop do njih. Preberite knjigo "Umetnost prevare" v prostem času, všeč vam bo.
obstaja obratni socialni inženiring, ki je usmerjen v pridobivanje podatkov od samega oškodovanca. Z njegovo pomočjo žrtev sama govori o svojih geslih in podatkih.

Na internetu ni gest, intonacije ali obrazne mimike. Vsa komunikacija temelji na tekstovna sporočila. In vaš uspeh v dani situaciji je odvisen od tega, kako vaša sporočila vplivajo na sogovornika. Katere tehnike je mogoče uporabiti za prikrito manipulacijo človekove zavesti?

Provociranje
Strogo gledano je to trolanje. Človeka razjezi, v večini primerov informacije obravnava nekritično. V tem stanju lahko vsilite ali prejmete potrebne informacije.

ljubezen
To je morda najučinkovitejša tehnika. V večini primerov sem to uporabil)). V stanju ljubezni človek zazna malo in to je točno tisto, kar potrebuje manipulator.

Brezbrižnost
Ustvari se učinek brezbrižnosti manipulatorja do določene teme, sogovornik pa ga skuša prepričati, s čimer se ujame v past in razkrije informacije, ki jih potrebujete.

Hitenje
Pogosto se pojavijo situacije, ko se manipulatorju domnevno nekam mudi in nenehno namiguje na to, hkrati pa namenoma promovira informacije, ki jih potrebuje.

Sumničavost
Metoda suma je nekoliko podobna metodi brezbrižnosti. V prvem primeru žrtev dokazuje nasprotno, v drugem pa skuša utemeljiti »svoj sum«, pri čemer se ne zaveda, da izda vse informacije.

Ironija
Podobno kot tehnika provokacije. Manipulator človeka razjezi z ironijo. On pa v jezi ni sposoben kritično oceniti informacij. Posledično nastane luknja v psihološki pregradi, ki jo manipulator izkoristi.

Odkritost
Ko manipulator sogovorniku pove odkrito informacijo, sogovornik razvije nekakšen zaupljiv odnos, kar pomeni oslabitev zaščitne pregrade. To ustvarja vrzel v psihološki obrambi.

Zgoraj opisane tehnike ne izčrpajo v celoti celotnega potenciala socialnega inženiringa. O teh tehnikah in metodah je mogoče govoriti in govoriti. Ko boste prebrali te tehnike, se morate zavedati, da vam ni treba slediti navodilom vseh. Naučite se obvladovati sebe in svojo jezo in potem bo vaša obramba vedno na ustrezni ravni.
Naš se nadaljuje. Počakajte na nove članke))

Socialni inženiring

Socialni inženiring je metoda nepooblaščenega dostopa do informacij ali sistemov za shranjevanje informacij brez uporabe tehničnih sredstev. Glavni cilj socialnih inženirjev, tako kot drugih hekerjev in krekerjev, je pridobiti dostop do varnih sistemov, da bi ukradli podatke, gesla, podatke o kreditnih karticah itd. Glavna razlika od preprostega hekanja je, da v tem primeru kot tarča napada ni izbran stroj, temveč njegov operater. Zato vse metode in tehnike socialnih inženirjev temeljijo na uporabi slabosti človeškega faktorja, ki velja za izjemno uničujočega, saj napadalec pridobi informacije npr. telefonski pogovor ali z infiltracijo v organizacijo pod krinko zaposlenega. Za zaščito pred tovrstnimi napadi morate poznati najpogostejše vrste goljufij, razumeti, kaj hekerji pravzaprav želijo, in pravočasno organizirati ustrezno varnostno politiko.

Zgodba

Kljub dejstvu, da se je koncept "socialnega inženiringa" pojavil relativno nedavno, so ljudje v takšni ali drugačni obliki uporabljali njegove tehnike že od nekdaj. V stari Grčiji in Rimu so bili zelo cenjeni ljudje, ki so lahko na različne načine prepričali sogovornika, da se očitno moti. V imenu voditeljev sta opravila diplomatska pogajanja. S spretno uporabo laži, prilizovanja in koristnih argumentov so pogosto reševali težave, ki se jih je zdelo nemogoče rešiti brez pomoči meča. Med vohuni je bil socialni inženiring vedno glavno orožje. Agenti KGB in Cie so lahko z lažnim predstavljanjem druge osebe izvedeli tajne državne skrivnosti. V zgodnjih 70. letih prejšnjega stoletja, v času razcveta phreakinga, so nekateri telefonski huligani klicali telekomunikacijske operaterje in poskušali izvleči zaupne informacije od tehničnega osebja podjetja. Po različnih poskusih s triki so phreakers do konca 70. let tako izpopolnili tehnike manipulacije neizučenih operaterjev, da so se od njih brez težav naučili skoraj vsega, kar so želeli.

Principi in tehnike socialnega inženiringa

Socialni inženirji uporabljajo več običajnih tehnik in vrst napadov. Vse te tehnike temeljijo na značilnostih človeškega odločanja, znanih kot kognitivne (glejte tudi Kognitivne) pristranskosti. Te pristranskosti se uporabljajo v različnih kombinacijah za ustvarjanje najprimernejše strategije zavajanja v vsakem posameznem primeru. Toda skupna značilnost vseh teh metod je zavajanje, s ciljem prisiliti človeka k dejanju, ki mu ni v korist in je za socialnega inženirja nujno. Da bi dosegel želeni rezultat, napadalec uporablja številne različne taktike: lažno predstavljanje druge osebe, odvračanje pozornosti, povečanje psihične napetosti itd. Tudi končni cilji zavajanja so lahko zelo različni.

Tehnike socialnega inženiringa

Pretekstovanje

Pretekst je niz dejanj, ki se izvajajo po določenem, vnaprej pripravljenem scenariju (pretekstu). Ta tehnika vključuje uporabo glasovnih sredstev, kot so telefon, Skype itd. pridobiti potrebne informacije. Običajno, ko se predstavlja kot tretja oseba ali se pretvarja, da nekdo potrebuje pomoč, napadalec od žrtve zahteva geslo ali prijavo na spletno stran z lažnim predstavljanjem, s čimer tarčo preslepi, da izvede želeno dejanje ali zagotovi določene informacije. V večini primerov ta tehnika zahteva nekaj začetnih podatkov o tarči napada (na primer osebne podatke: datum rojstva, telefonsko številko, številke računov itd.). Najpogostejša strategija je, da najprej uporabite majhne poizvedbe in omenite imena resničnih ljudi v organizaciji. Kasneje med pogovorom napadalec pojasni, da potrebuje pomoč (večina ljudi je sposobna in pripravljena opravljati naloge, ki se ne zdijo sumljive). Ko je zaupanje vzpostavljeno, lahko prevarant zahteva nekaj pomembnejšega in pomembnejšega.

Lažno predstavljanje

Primer lažnega e-poštnega sporočila, poslanega iz e-poštne storitve, ki zahteva "ponovno aktiviranje računa"

Lažno predstavljanje (angleško phishing, iz fishing - ribolov, ribolov) je vrsta internetne goljufije, katere namen je pridobiti dostop do zaupnih uporabniških podatkov - prijav in gesel. To je morda najbolj priljubljena shema socialnega inženiringa danes. Niti eno večje uhajanje osebnih podatkov se ne zgodi, ne da bi temu sledil val lažnih e-poštnih sporočil. Namen lažnega predstavljanja je nezakonita pridobitev zaupnih informacij. Najbolj presenetljiv primer lažnega predstavljanja je sporočilo, poslano žrtvi prek E-naslov, in ponarejeno kot uradno pismo - banke ali plačilnega sistema - ki zahteva preverjanje določenih informacij ali izvedbo določenih dejanj. Razlogi so lahko različni. To je lahko izguba podatkov, okvara sistema itd. Ta e-poštna sporočila običajno vsebujejo povezavo do lažne spletne strani, ki je popolnoma podobna uradni, in vsebuje obrazec, ki zahteva vnos občutljivih podatkov.

Eden najbolj znanih primerov globalne e-pošte z lažnim predstavljanjem je bila prevara iz leta 2003, v kateri je na tisoče uporabnikov eBaya prejelo e-pošto, v kateri so trdili, da je bil njihov račun zaklenjen in da so morali posodobiti podatke o svoji kreditni kartici, da bi ga odklenili. Vsa ta e-poštna sporočila so vsebovala povezavo do lažne spletne strani, ki je bila popolnoma podobna uradni. Po mnenju strokovnjakov so izgube zaradi te prevare znašale več sto tisoč dolarjev.

Kako prepoznati phishing napad

Skoraj vsak dan se pojavljajo nove sheme goljufij. Večina ljudi se lahko nauči sama prepoznati goljufiva sporočila, tako da se seznani z nekaterimi njihovimi značilnostmi. Najpogosteje phishing sporočila vsebujejo:

  • informacije, ki povzročajo zaskrbljenost ali grožnje, kot je zaprtje bančnih računov uporabnikov.
  • obljube velikih denarnih nagrad z malo ali nič truda.
  • prošnje za prostovoljne prispevke v imenu dobrodelnih organizacij.
  • slovnične, ločilne in črkovalne napake.

Priljubljene sheme lažnega predstavljanja

Spodaj so opisane najbolj priljubljene prevare z lažnim predstavljanjem.

Goljufije z uporabo blagovnih znamk znanih korporacij

Te prevare z lažnim predstavljanjem uporabljajo lažna e-poštna sporočila ali spletna mesta, ki vsebujejo imena velikih ali dobro znanih podjetij. Sporočila lahko vključujejo čestitke za zmago na tekmovanju, ki ga organizira podjetje, ali o nujni spremembi poverilnic ali gesla. Podobne goljufive sheme v imenu tehnične podpore je mogoče izvesti tudi po telefonu.

Goljufive loterije

Uporabnik lahko prejme sporočila, da je zadel na loteriji, ki jo izvaja znano podjetje. Na prvi pogled se lahko ta sporočila zdijo, kot da so bila poslana v imenu višjega uslužbenca podjetja.

Lažni protivirusni in varnostni programi
IVR ali telefonsko lažno predstavljanje

Princip delovanja IVR sistemov

Qui about quo

Quid pro quo (iz latinščine Quid pro quo - "to za to") je okrajšava, ki se pogosto uporablja v angleški jezik v smislu "storitev za storitev". Ta vrsta napada vključuje napadalca, ki pokliče podjetje na poslovni telefon. V večini primerov se napadalec predstavlja kot uslužbenec tehnične podpore in sprašuje, ali obstajajo tehnične težave. V procesu "reševanja" tehničnih težav prevarant "prisili" tarčo, da vnese ukaze, ki hekerju omogočajo zagon ali namestitev zlonamerne programske opreme. programsko opremo na uporabnikov stroj.

trojanski konj

Včasih je uporaba trojancev le del načrtovanega večstopenjskega napada na določene računalnike, omrežja ali vire.

Vrste trojancev

Trojanci so najpogosteje razviti za zlonamerne namene. Obstaja klasifikacija, kjer so razdeljeni v kategorije glede na to, kako se trojanci infiltrirajo v sistem in mu povzročijo škodo. Obstaja 5 glavnih vrst:

  • oddaljen dostop
  • uničenje podatkov
  • nakladalec
  • strežnik
  • deaktivator varnostnega programa

Cilji

Namen trojanskega programa je lahko:

  • nalaganje in prenašanje datotek
  • kopiranje lažnih povezav, ki vodijo do lažnih spletnih mest, klepetalnic ali drugih spletnih mest za registracijo
  • poseganje v delo uporabnika
  • kraja podatkov, ki imajo vrednost ali skrivnosti, vključno z informacijami za preverjanje pristnosti, za nepooblaščen dostop do virov, pridobivanje podatkov o bančnih računih, ki bi se lahko uporabili v kriminalne namene
  • distribucija druge zlonamerne programske opreme, kot so virusi
  • uničenje podatkov (brisanje ali prepisovanje podatkov na disku, težko vidne poškodbe datotek) in opreme, onemogočanje ali odpoved delovanja računalniških sistemov, omrežij
  • zbiranje e-poštnih naslovov in njihova uporaba za pošiljanje neželene pošte
  • vohunjenje za uporabnikom in skrivno sporočanje informacij tretjim osebam, kot so navade brskanja
  • Beleženje pritiskov tipk za krajo informacij, kot so gesla in številke kreditnih kartic
  • deaktiviranje ali motenje delovanja protivirusnih programov in požarnih zidov

Preobleka

Številni trojanski programi se nahajajo na uporabnikovih računalnikih brez njihove vednosti. Včasih so trojanci registrirani v registru, kar vodi do njihovega samodejnega zagona ob zagonu operacijski sistem. Trojance je mogoče kombinirati tudi z zakonitimi datotekami. Ko uporabnik odpre takšno datoteko ali zažene aplikacijo, se skupaj z njo zažene trojanec.

Kako deluje trojanec

Trojanci so običajno sestavljeni iz dveh delov: odjemalca in strežnika. Strežnik deluje na žrtvi in ​​spremlja povezave odjemalca. Medtem ko strežnik deluje, nadzira vrata ali več vrat za povezavo odjemalca. Da bi se napadalec povezal s strežnikom, mora poznati naslov IP računalnika, na katerem deluje. Nekateri trojanci pošljejo naslov IP žrtvinega računalnika napadalcu po e-pošti ali na kak drug način. Takoj, ko pride do povezave s strežnikom, mu lahko odjemalec pošlje ukaze, ki jih strežnik izvede. Trenutno je zaradi tehnologije NAT nemogoče dostopati do večine računalnikov prek njihovega zunanjega naslova IP. Zato se danes številni trojanci povežejo z napadalčevim računalnikom, ki je odgovoren za sprejemanje povezav, namesto da bi se napadalec sam poskušal povezati z žrtvijo. Številni sodobni trojanci lahko tudi zlahka zaobidejo požarne zidove na uporabniških računalnikih.

Zbiranje informacij iz odprtih virov

Uporaba tehnik socialnega inženiringa ne zahteva le znanja psihologije, ampak tudi sposobnost zbiranja potrebnih informacij o osebi. Relativno nov način pridobivanja takšnih informacij je bilo njihovo zbiranje iz odprtih virov, predvsem iz socialnih omrežij.Na primer strani, kot so livejournal, Odnoklassniki, Vkontakte, vsebujejo ogromno podatkov, ki jih ljudje ne poskušajo skriti.Praviloma, , uporabniki ne posvečajo dovolj pozornosti varnostnim vprašanjem, zato puščajo podatke in informacije v javni domeni, ki jih lahko uporabi napadalec.

Ilustrativen primer je zgodba o ugrabitvi sina Evgenija Kasperskega. Med preiskavo je bilo ugotovljeno, da so kriminalci izvedeli dnevni urnik in poti najstnika iz njegovih vnosov na strani. socialno omrežje.

Tudi z omejitvijo dostopa do informacij na svoji strani v družabnem omrežju uporabnik ne more biti prepričan, da ne bo nikoli padel v roke goljufom. Na primer, brazilski raziskovalec računalniške varnosti je pokazal, da je mogoče s tehnikami socialnega inženiringa postati prijatelj katerega koli uporabnika Facebooka v 24 urah. Med poskusom je raziskovalec Nelson Novaes Neto izbral "žrtev" in ustvaril lažni račun osebe iz njenega okolja - njenega šefa. Neto je prošnje za prijateljstvo najprej poslal prijateljem prijateljev šefa žrtve, nato pa neposredno svojim prijateljem. Po 7,5 urah je raziskovalec pridobil »žrtev«, da ga doda med prijatelja. Tako je raziskovalec pridobil dostop do osebnih podatkov uporabnika, ki jih je delil le s prijatelji.

Cestno jabolko

Ta metoda napada je prilagoditev trojanskega konja in vključuje uporabo fizičnih medijev. Napadalec posadi »okuženega« ali bliskavico na mesto, kjer je nosilca zlahka najti (stranišče, dvigalo, parkirišče). Mediji so ponarejeni, da bi bili videti uradni, in jih spremlja podpis, ki je namenjen vzbujanju radovednosti. Na primer, prevarant lahko postavi pismo, opremljeno z logotipom podjetja in povezavo do uradne spletne strani podjetja, z oznako »Plače vodilnih«. Disk lahko pustite na tleh dvigala ali v avli. Zaposleni lahko nevede vzame disk in ga vstavi v računalnik, da poteši svojo radovednost.

Povratni socialni inženiring

O obratnem socialnem inženiringu govorimo, ko žrtev napadalcu sama ponudi informacije, ki jih potrebuje. Morda se to zdi nesmiselno, a v resnici osebe z avtoriteto na tehničnem ali družbenem področju pogosto prejmejo uporabniška imena in gesla ter druge pomembne informacije. osebne informacije preprosto zato, ker nihče ne dvomi v njihovo integriteto. Na primer, podporno osebje od uporabnikov nikoli ne zahteva ID-ja ali gesla; teh informacij ne potrebujejo za reševanje težav. Vendar mnogi uporabniki prostovoljno posredujejo te zaupne podatke, da bi hitro rešili težave. Izkazalo se je, da napadalcu o tem sploh ni treba vprašati.

Primer obratnega socialnega inženiringa je naslednji preprost scenarij. Napadalec, ki dela z žrtvijo, spremeni ime datoteke v računalniku žrtve ali jo premakne v drug imenik. Ko žrtev opazi, da datoteka manjka, napadalec trdi, da lahko vse popravi. V želji, da bi delo opravili hitreje ali se izognili kazni za izgubo podatkov, žrtev pristane na to ponudbo. Napadalec trdi, da je težavo mogoče rešiti le s prijavo s poverilnicami žrtve. Zdaj žrtev prosi napadalca, da se prijavi pod njenim imenom in poskusi obnoviti datoteko. Napadalec se nerad strinja in obnovi datoteko ter pri tem ukrade žrtvin ID in geslo. Z uspešno izvedenim napadom si je celo izboljšal ugled in prav možno je, da se bodo po tem k njemu po pomoč obrnili še drugi sodelavci. Ta pristop ne posega v običajne postopke zagotavljanja podpornih storitev in otežuje zajetje napadalca.

Slavni socialni inženirji

Kevin Mitnick

Kevin Mitnick. Svetovno znan heker in varnostni svetovalec

Eden najbolj znanih socialnih inženirjev v zgodovini je Kevin Mitnick. Kot svetovno znani računalniški heker in varnostni svetovalec je Mitnick tudi avtor številnih knjig o računalniški varnosti, posvečenih predvsem socialnemu inženiringu in metodam psihološkega vplivanja na ljudi. Leta 2002 je pod njegovim avtorjem izšla knjiga "Umetnost prevare", ki pripoveduje o resničnih zgodbah o uporabi socialnega inženiringa. Kevin Mitnick je trdil, da je veliko lažje pridobiti geslo s prevaro kot poskušati vdreti v varnostni sistem.

Bratje Badir

Kljub dejstvu, da so bili bratje Mundir, Mushid in Shadi Badir slepi od rojstva, jim je v devetdesetih letih prejšnjega stoletja v Izraelu uspelo izpeljati več velikih shem goljufije z uporabo socialnega inženiringa in glasovnega ponarejanja. V televizijskem intervjuju so povedali: »Samo tisti, ki ne uporabljajo telefona, elektrike in prenosnega računalnika, so popolnoma zavarovani pred omrežnimi napadi.« Brata sta že bila v zaporu, ker sta lahko slišala in razvozlala tajne motilne tone ponudnikov telefonsko komunikacijo. Opravljali so dolge klice v tujino na tuje stroške, pri čemer so računalnike mobilnih ponudnikov preprogramirali z motnjami.

Nadangel

Naslovnica revije Phrack

Slavni računalniški heker in varnostni svetovalec za znano angleško spletno revijo "Phrack Magazine", je Archangel pokazal zmogljivosti tehnik socialnega inženiringa s pridobivanjem gesel iz ogromnega števila različne sisteme, pri čemer je preslepil več sto oškodovancev.

drugo

Manj znani socialni inženirji so Frank Abagnale, David Bannon, Peter Foster in Stephen Jay Russell.

Načini zaščite pred socialnim inženiringom

Za izvajanje svojih napadov napadalci, ki uporabljajo tehnike socialnega inženiringa, pogosto izkoriščajo lahkovernost, lenobo, vljudnost in celo navdušenje uporabnikov in zaposlenih v organizacijah. Pred takšnimi napadi se ni lahko ubraniti, saj se žrtve morda ne zavedajo, da so bile prevarane. Napadalci socialnega inženiringa imajo na splošno enake cilje kot kateri koli drugi napadalec: hočejo denar, informacije ali IT vire podjetja žrtve. Za zaščito pred takšnimi napadi morate preučiti njihove vrste, razumeti, kaj napadalec potrebuje, in oceniti škodo, ki bi jo lahko povzročila organizacija. Z vsemi temi informacijami lahko v svojo varnostno politiko vključite potrebne zaščitne ukrepe.

Klasifikacija groženj

E-poštne grožnje

Mnogi zaposleni dnevno prejemajo prek podjetij in zasebno poštnih sistemov desetine in celo stotine elektronskih sporočil. Seveda je pri takšnem toku korespondence nemogoče posvetiti ustrezno pozornost vsaki črki. Tako je veliko lažje izvajati napade. Večina uporabnikov e-poštnih sistemov je pri obdelavi takšnih sporočil sproščena in to delo dojemajo kot elektronski analog premikanja papirjev iz ene mape v drugo. Ko napadalec pošlje preprosto zahtevo po pošti, bo njegova žrtev pogosto storila, kar se od nje zahteva, ne da bi razmišljala o svojih dejanjih. E-poštna sporočila lahko vsebuje hiperpovezave, ki zaposlene navajajo h kršitvi varstva okolja podjetja. Take povezave ne vodijo vedno na navedene strani.

Večina varnostnih ukrepov je namenjenih preprečevanju nepooblaščenim uporabnikom dostopa do virov podjetja. Če uporabnik s klikom na hiperpovezavo, ki jo pošlje napadalec, naloži trojanca ali virus v omrežje podjetja, bo to olajšalo obhod številnih vrst zaščite. Hiperpovezava lahko kaže tudi na spletno mesto s pojavnimi aplikacijami, ki zahtevajo podatke ali ponujajo pomoč. Kot pri drugih vrstah prevar, večina učinkovit način Zaščita pred zlonamernimi napadi je, da ste skeptični glede morebitnih nepričakovanih dohodnih pisem. Za spodbujanje tega pristopa v vaši organizaciji mora vaša varnostna politika vključevati posebne smernice za uporabo e-pošte, ki zajemajo naslednje elemente.

  • Priloge k dokumentom.
  • Hiperpovezave v dokumentih.
  • Zahteve za osebne ali poslovne podatke, ki prihajajo iz podjetja.
  • Zahteve po osebnih ali korporativnih podatkih, ki izvirajo izven podjetja.

Grožnje, povezane z uporabo storitev neposrednega sporočanja

Takojšnje sporočanje je razmeroma nov način prenosa podatkov, vendar je med poslovnimi uporabniki že pridobil veliko popularnost. Ta način komuniciranja zaradi hitrosti in enostavnosti uporabe odpira široke možnosti za različne napade: uporabniki ga obravnavajo kot telefonsko povezavo in ga ne povezujejo z morebitnimi programskimi grožnjami. Dve glavni vrsti napadov, ki temeljita na uporabi storitev neposrednega sporočanja, sta vključitev povezave do zlonamernega programa v telo sporočila in dostava samega programa. Seveda je takojšnje sporočanje tudi eden od načinov za zahtevanje informacij. Ena od značilnosti storitev neposrednega sporočanja je neformalna narava komunikacije. V kombinaciji z možnostjo, da si dodelijo poljubno ime, to napadalcu veliko olajša lažno predstavljanje za nekoga drugega in močno poveča njegove možnosti za uspešno izvedbo napada.Če namerava podjetje izkoristiti priložnosti za zmanjšanje stroškov in druge ugodnosti ki jih zagotavlja takojšnje sporočanje, je treba v varnostne politike podjetja vključiti mehanizme zaščite pred ustreznimi grožnjami. Za pridobitev zanesljivega nadzora nad takojšnjim sporočanjem v poslovnem okolju je treba izpolniti več zahtev.

  • Izberite eno platformo za neposredno sporočanje.
  • Določite varnostne nastavitve, ki so določene pri uvajanju storitve neposrednega sporočanja.
  • Določite načela za navezovanje novih stikov
  • Nastavite standarde gesel
  • Podajte priporočila za uporabo storitve neposrednega sporočanja.

Večnivojski varnostni model

Za zaščito velikih podjetij in njihovih zaposlenih pred prevaranti, ki uporabljajo tehnike socialnega inženiringa, se pogosto uporabljajo kompleksni varnostni sistemi na več ravneh. Nekatere funkcije in odgovornosti takih sistemov so navedene spodaj.

  • Fizično varovanje. Ovire, ki omejujejo dostop do stavb podjetja in virov podjetja. Ne pozabite, da sredstva podjetja, na primer zabojniki za smeti, ki se nahajajo zunaj ozemlja podjetja, niso fizično zaščitena.
  • podatki. Poslovni podatki: Računi, pošte ipd. Pri analizi groženj in načrtovanju ukrepov za zaščito podatkov je treba določiti načela ravnanja s papirjem in elektronski mediji podatke.
  • Aplikacije. Uporabniški programi. Če želite zaščititi svoje okolje, morate razmisliti, kako lahko napadalci izkoristijo poštni programi, storitve neposrednega sporočanja in druge aplikacije.
  • Računalniki. Strežniki in odjemalski sistemi, ki se uporabljajo v organizaciji. Ščiti uporabnike pred neposrednimi napadi na njihove računalnike z določanjem strogih smernic, ki določajo, kateri programi se lahko uporabljajo v poslovnih računalnikih.
  • Notranje omrežje. Omrežje, prek katerega komunicirajo korporativni sistemi. Lahko je lokalna, globalna ali brezžična. IN Zadnja leta Zaradi naraščajoče priljubljenosti načinov dela na daljavo so meje internih omrežij postale večinoma poljubne. Zaposlenim v podjetju je treba povedati, kaj morajo narediti za organizacijo. varno delo v katerem koli omrežnem okolju.
  • Omrežni obseg. Meja med interna omrežja podjetja in zunanji, kot so internet ali omrežja partnerskih organizacij.

Odgovornost

Pretekstovanje in snemanje telefonskih pogovorov

Hewlett-Packard

Patricia Dunn, predsednica korporacije Hewlett Packard, je povedala, da je najela zasebno podjetje, da identificira tiste zaposlene v podjetju, ki so bili odgovorni za razkritje zaupnih informacij. Pozneje je vodja korporacije priznal, da so med raziskovalnim procesom uporabljali prakso pretekstov in druge tehnike socialnega inženiringa.

Opombe

Poglej tudi

Povezave

  • SocialWare.ru – Zasebni projekt socialnega inženiringa
  • - Socialni inženiring: osnove. I. del: Hekerske taktike
  • Zaščita pred lažnim predstavljanjem.
  • Osnove socialnega inženiringa – Securityfocus.com.
  • Socialni inženiring, način USB – DarkReading.com.
  • Ali naj bo socialni inženiring del penetracijskega testiranja? – darknet.org.uk.
  • "Zaščita potrošnikov" Telefonski zapisi", Center za elektronske informacije o zasebnosti Odbor ZDA za trgovino, znanost in promet .
  • Plotkin, Hal. Obvestilo za tisk: Pretexting je že nezakonit.
  • Striptiz za gesla – MSNBC.MSN.com.
  • Social-Engineer.org – social-engineer.org.

Socialni inženiring- način pridobivanja potrebnega dostopa do informacij, ki temelji na značilnostih človeške psihologije. Glavni cilj socialnega inženiringa je pridobiti dostop do zaupnih informacij, gesel, bančnih podatkov in drugih zaščitenih sistemov. Čeprav se je izraz socialni inženiring pojavil ne tako dolgo nazaj, se metoda pridobivanja informacij na ta način uporablja že precej dolgo. Uslužbenci Cie in KGB, ki se želijo dokopati do državnih skrivnosti, politiki in kandidati za poslance, pa tudi mi sami, če hočemo nekaj dobiti, pogosto ne da bi se tega zavedali, uporabljamo metode socialnega inženiringa.

Da bi se zaščitili pred učinki socialnega inženiringa, morate razumeti, kako deluje. Oglejmo si glavne vrste socialnega inženiringa in metode zaščite pred njimi.

Pretekstovanje- to je niz dejanj, izdelanih po določenem, vnaprej sestavljenem scenariju, zaradi česar lahko žrtev izda nekaj informacij ali izvede določeno dejanje. Pogosteje ta tip Napad vključuje uporabo glasovnih sredstev, kot so Skype, telefon itd.

Za uporabo te tehnike mora napadalec najprej imeti nekaj podatkov o žrtvi (ime zaposlenega; položaj; naziv projektov, s katerimi sodeluje; datum rojstva). Napadalec najprej uporabi prave poizvedbe z imeni zaposlenih v podjetju in po pridobitvi zaupanja pridobi podatke, ki jih potrebuje.

Lažno predstavljanje– tehnika internetne goljufije, namenjena pridobivanju zaupnih podatkov o uporabniku – avtorizacijskih podatkov različnih sistemov. Glavna vrsta lažnega predstavljanja je lažno e-poštno sporočilo, poslano žrtvi, ki je videti kot uradno pismo od plačilni sistem ali banka. Dopis vsebuje obrazec za vnos osebnih podatkov (PIN kode, prijava in geslo ipd.) ali povezavo na spletno stran, kjer se tak obrazec nahaja. Razlogi za zaupanje žrtve v takšne strani so lahko različni: blokada računa, izpad sistema, izguba podatkov itd.

trojanski konj– Ta tehnika temelji na radovednosti, strahu ali drugih čustvih uporabnikov. Napadalec žrtvi po e-pošti pošlje pismo, katerega priponka vsebuje protivirusno »posodobitev«, ključ do denarnega zaslužka ali obremenilne dokaze o zaposlenem. Pravzaprav priloga vsebuje zlonamerna programska oprema, ki bo, potem ko ga uporabnik zažene na svojem računalniku, uporabljen za zbiranje ali spreminjanje podatkov s strani napadalca.

Qui about quo(quid pro quo) – ta tehnika vključuje, da napadalec stopi v stik z uporabnikom prek elektronske pošte ali službenega telefona. Napadalec se lahko na primer predstavi kot uslužbenec tehnične podpore in obvesti o pojavu tehničnih težav na delovnem mestu. Nadalje obvešča o potrebi po njihovi odpravi. V procesu "reševanja" takega problema napadalec žrtev prisili, da izvede dejanja, ki napadalcu omogočijo izvajanje določenih ukazov ali namestitev potrebne programske opreme na žrtvin računalnik.

Cestno jabolko– ta metoda je prilagoditev trojanskega konja in vključuje uporabo fizičnih medijev (CD-ji, bliskovni pogoni). Napadalec tovrstne nosilce običajno postavi na javna mesta v prostorih podjetja (parkirišča, menze, delovna mesta zaposlenih, sanitarije). Da bi zaposleni razvil zanimanje za temu mediju, lahko napadalec na medij namesti logotip podjetja in nekakšen podpis. Na primer »podatki o prodaji«, »plače zaposlenih«, »davčno poročilo« in drugo.

Povratni socialni inženiring- ta vrsta napada je namenjena ustvarjanju situacije, v kateri se bo žrtev prisiljena obrniti na napadalca za "pomoč". Napadalec lahko na primer pošlje pismo s telefonskimi številkami in kontakti "podporne službe" in čez nekaj časa povzroči reverzibilne težave v računalniku žrtve. V tem primeru bo uporabnik sam poklical ali poslal e-pošto napadalcu in v procesu »odpravljanja« težave bo napadalec lahko pridobil podatke, ki jih potrebuje.


Slika 1 – Glavne vrste socialnega inženiringa

Protiukrepi

Glavni način zaščite pred metodami socialnega inženiringa je usposabljanje zaposlenih. Vse zaposlene v podjetju je treba opozoriti na nevarnosti razkritja osebnih podatkov in zaupnih podatkov podjetja ter načine preprečevanja uhajanja podatkov. Poleg tega mora imeti vsak zaposleni v podjetju, odvisno od oddelka in položaja, navodila, kako in o katerih temah lahko komunicira s sogovornikom, katere informacije lahko posreduje službi za tehnično podporo, kako in kaj mora zaposleni v podjetju sporočiti prejmete te informacije ali druge informacije od drugega zaposlenega.

Poleg tega je mogoče razlikovati naslednja pravila:

  • Uporabniške poverilnice so last podjetja.
    • Na dan zaposlitve je treba vsem zaposlenim pojasniti, da prijav in gesel, ki so jim bila izdana, ni mogoče uporabiti za druge namene (na spletnih straneh, npr. osebna pošta itd.), prenesti na tretje osebe ali druge zaposlene v podjetju, ki do tega nimajo pravice. Na primer, zelo pogosto lahko delavec ob odhodu na dopust prenese svoje avtorizacijske podatke na svojega sodelavca, da lahko ta med njegovo odsotnostjo opravi neko delo ali si ogleda določene podatke.
  • Za zaposlene v podjetju je potrebno izvajati uvodna in redna izobraževanja, namenjena povečanju znanja o informacijski varnosti.
    • Izvajanje takšnih sestankov bo zaposlenim v podjetju omogočilo, da imajo posodobljene informacije o obstoječih metodah socialnega inženiringa in da ne pozabijo na osnovna pravila o varnosti informacij.
  • Obvezni so varnostni predpisi, pa tudi navodila, do katerih mora imeti uporabnik vedno dostop. Navodila naj opisujejo dejanja zaposlenih, če pride do določene situacije.
    • Predpisi lahko na primer določajo, kaj je treba storiti in kam iti, če tretja oseba poskuša zahtevati zaupne podatke ali poverilnice zaposlenih. Takšni ukrepi vam bodo omogočili identifikacijo napadalca in preprečili uhajanje informacij.
  • Računalniki zaposlenih morajo imeti vedno posodobljeno protivirusno programsko opremo.
    • Požarni zid mora biti nameščen tudi na računalnikih zaposlenih.
  • IN korporativno omrežje podjetje mora uporabljati sisteme za odkrivanje in preprečevanje napadov.
    • Prav tako je treba uporabljati sisteme za preprečevanje uhajanja zaupnih informacij. Vse to bo zmanjšalo tveganje za fitični napad.
  • Vsi zaposleni morajo biti poučeni o ravnanju z obiskovalci.
    • Potrebna so jasna pravila za ugotavljanje identitete obiskovalca in njegovo spremljanje. Obiskovalci morajo biti vedno v spremstvu enega od zaposlenih v podjetju. Če delavec sreča njemu neznanega obiskovalca, se mora v pravilni obliki pozanimati, za kakšen namen je obiskovalec v tem prostoru in kam ga spremlja. Če je potrebno, mora delavec neznane obiskovalce prijaviti varnostni službi.
  • Uporabniške pravice v sistemu je treba čim bolj omejiti.
    • Na primer, lahko omejite dostop do spletnih mest in prepoveste uporabo izmenljivi mediji. Konec koncev, če zaposleni ne more priti do spletnega mesta z lažnim predstavljanjem ali uporabiti bliskovnega pogona z » trojanski konj”, potem tudi ne bo mogel izgubiti osebnih podatkov.

Na podlagi vsega navedenega lahko sklepamo: glavni način zaščite pred socialnim inženiringom je usposabljanje zaposlenih. Treba je vedeti in zapomniti, da nevednost ni izgovor. Vsak uporabnik sistema se mora zavedati nevarnosti razkritja zaupnih informacij in poznati načine za preprečevanje uhajanja. Opozorjen je oborožen!

Vsaka velika ali celo majhna organizacija ima slabosti na področju informacijske varnosti. Tudi če imajo vsi računalniki v podjetju najboljšo programsko opremo, vsi zaposleni najmočnejša gesla in vse računalnike nadzorujejo najpametnejši skrbniki, še vedno lahko najdete šibko točko. In ena najpomembnejših »šibkih točk« so ljudje, ki delajo v podjetju in imajo do njih dostop računalniški sistemi in so v večji ali manjši meri nosilec informacij o organizaciji. Ljudem, ki načrtujejo krajo informacij, oziroma hekerjem, koristi le človeški dejavnik. In na ljudeh je tisto, kar poskušajo različne načine vplive, imenovane socialni inženiring. Danes bom poskušal govoriti o tem v članku in o nevarnosti, ki jo predstavlja za običajne uporabnike in organizacije.

Najprej razumemo, kaj je socialni inženiring – to je izraz, ki ga uporabljajo krekerji in hekerji, ki se nanaša na nepooblaščen dostop do informacij, vendar je popolnoma nasproten označbi vdiranja v programsko opremo. Cilj ni vdiranje, ampak pretentanje ljudi, da sami posredujejo gesla ali druge podatke, ki lahko kasneje pomagajo hekerjem pri kršenju varnosti sistema. Ta vrsta goljufije vključuje klicanje organizacije po telefonu in identifikacijo tistih zaposlenih, ki imajo zahtevane podatke, nato pa klic identificiranega administratorja od neobstoječega zaposlenega, ki naj bi imel težave z dostopom do sistema.

Socialni inženiring je neposredno povezan s psihologijo, vendar se razvija kot njen ločen del. Dandanes se zelo pogosto uporablja inženirski pristop, predvsem za neodkrito delo vlomilca pri kraji dokumentov. Ta metoda se uporablja za urjenje vohunov in tajnih agentov za skrivno prodiranje brez puščanja sledi.

Človek je sposoben razmišljati, sklepati, priti do takih ali drugačnih zaključkov, vendar se zaključki morda ne izkažejo vedno za resnične, lastne in ne vsiljene od zunaj, kot jih potrebuje nekdo drug. Toda najbolj zanimiva stvar in glavna stvar, ki pomaga goljufom, je, da oseba morda ne opazi, da so njegovi sklepi napačni. Do zadnjega trenutka lahko misli, da je o vsem odločil sam. To funkcijo uporabljajo ljudje, ki se ukvarjajo s socialnim inženiringom.

Bistvo socialnega inženiringa je kraja informacij. Ljudje, ki to počnejo, skušajo ukrasti informacije brez nepotrebne pozornosti in jih nato uporabiti po lastni presoji: prodati ali izsiljevati prvotnega lastnika. Po statističnih podatkih se zelo pogosto izkaže, da se takšni triki zgodijo na zahtevo konkurenčnega podjetja.

Zdaj pa poglejmo načine socialnega inženiringa.

Človeška zavrnitev storitve (HDoS)

Bistvo tega napada je tiho prisiliti osebo, da se ne odzove na določene situacije.

Na primer, simulacija napada na neko pristanišče služi kot preusmeritveni manever. Sistemskega skrbnika zmotijo ​​napake in v tem času zlahka prodrejo v strežnik in vzamejo informacije, ki jih potrebujejo. Toda skrbnik je lahko prepričan, da na teh vratih ne more biti nobenih napak, in potem bo hekerski prodor takoj opažen. Bistvo te metode je, da mora napadalec poznati psihologijo in stopnjo znanja sistemskega administratorja. Brez tega znanja prodor v strežnik ni mogoč.

Metoda klica.

Ta metoda pomeni telefonski klic tako imenovana "žrtev". Goljuf pokliče žrtev s pravilno govorom in psihološko pravilno zastavljena vprašanja jo zavede in izve vse potrebne podatke.

Na primer: prevarant pokliče in pove, da na zahtevo administratorja preverja delovanje varnostnega sistema. Nato vpraša za geslo in uporabniško ime, nato pa so vsi podatki, ki jih potrebuje, v njegovem žepu.

Vizualni stik.

Najtežji način. Temu se lahko spopadejo le strokovno usposobljeni ljudje. Bistvo te metode je, da morate najti pristop do žrtve. Ko bo najden pristop, bo z njim mogoče ugoditi žrtvi in ​​pridobiti njeno zaupanje. In po tem bo žrtev sama navedla vse potrebne informacije in zdelo se ji bo, da ne pove ničesar pomembnega. To lahko naredi samo strokovnjak.

E-naslov.

To je najpogostejši način, kako hekerji pridobijo informacije. V večini primerov hekerji žrtvi pošljejo pismo nekoga, ki ga domnevno poznajo. Najtežja stvar pri tej metodi je kopirati način in slog pisanja tega prijatelja. Če žrtev verjame v prevaro, lahko tukaj že izvlečete vse informacije, ki jih heker morda potrebuje.