Sociala ingenjörsmetoder - det här är exakt vad som kommer att diskuteras i den här artikeln, liksom allt relaterat till manipulation av människor, nätfiske och stöld av klientdatabaser och mer. Andrey Serikov försåg oss vänligt med information, vars författare han är, vilket vi tackar honom så mycket för.

A. SERIKOV

A.B.BOROVSKY

INFORMATIONSTEKNIK FÖR SOCIAL HACKING

Introduktion

Mänsklighetens önskan att uppnå perfekt uppfyllande av tilldelade uppgifter fungerade som utvecklingen av modern datorutrustning, och försök att tillfredsställa de motstridiga kraven från människor ledde till utvecklingen av mjukvaruprodukter. Dessa mjukvaruprodukter upprätthåller inte bara hårdvarans funktionalitet, utan hanterar den också.

Utvecklingen av kunskap om människa och dator har lett till uppkomsten av en fundamentalt ny typ av system - "mänsklig-maskin", där en person kan placeras som en hårdvara som arbetar under kontroll av en stabil, funktionell, multi-tasking operation system som kallas "psyke".

Ämnet för arbetet är övervägandet av social hacking som en gren av social programmering, där en person manipuleras med hjälp av mänskliga svagheter, fördomar och stereotyper inom social ingenjörskonst.

Social ingenjörskonst och dess metoder

Metoder för mänsklig manipulation har varit kända under lång tid, de kom främst till social ingenjörskonst från olika underrättelsetjänsters arsenal.

Det första kända fallet av konkurrerande intelligens går tillbaka till 600-talet f.Kr. och inträffade i Kina, när kineserna förlorade hemligheten med att tillverka siden, som bedrägligt stals av romerska spioner.

Social ingenjörskonst är en vetenskap som definieras som en uppsättning metoder för att manipulera mänskligt beteende, baserat på att utnyttja den mänskliga faktorns svagheter, utan att använda tekniska medel.

Enligt många experter, det största hotet informationssäkerhet representerar just metoderna för social ingenjörskonst, om så bara för att användningen av social hacking inte kräver betydande ekonomiska investeringar och grundlig kunskap om datateknik, och även för att människor har vissa beteendemässiga böjelser som kan användas för försiktig manipulation.

Och hur mycket vi än förbättrar oss tekniska system skydd kommer människor att förbli människor med sina svagheter, fördomar, stereotyper, med vars hjälp förvaltning sker. Att skapa ett mänskligt "säkerhetsprogram" är den svåraste uppgiften och leder inte alltid till garanterade resultat, eftersom detta filter måste justeras hela tiden. Här låter huvudmottoet för alla säkerhetsexperter mer relevant än någonsin: "Säkerhet är en process, inte ett resultat."

Tillämpningsområden för social ingenjörskonst:

1. allmän destabilisering av organisationens arbete för att minska dess inflytande och möjligheten till efterföljande fullständig förstörelse av organisationen;
2. finansiella bedrägerier i organisationer;
3. nätfiske och andra metoder för att stjäla lösenord för att få tillgång till privata bankuppgifter;
4. stöld av klientdatabaser;
5. tävlingsinriktad intelligens;
6. allmän information om organisationen, dess styrkor och svagheter, med syftet att senare förstöra denna organisation på ett eller annat sätt (används ofta för raiderattacker);
7. information om de mest lovande medarbetarna i syfte att ytterligare "locka" dem till din organisation;

Social programmering och social hacking

Social programmering kan kallas en tillämpad disciplin som handlar om riktat inflytande på en person eller grupp av människor för att förändra eller behålla sitt beteende i önskad riktning. Således sätter den sociala programmeraren upp ett mål för sig själv: att bemästra konsten att hantera människor. Grundtanken med social programmering är att många människors handlingar och deras reaktioner på en eller annan yttre påverkan i många fall är förutsägbara.

Sociala programmeringsmetoder är attraktiva eftersom antingen ingen någonsin kommer att veta om dem, eller även om någon gissar om något, är det mycket svårt att ställa en sådan siffra inför rätta, och i vissa fall är det möjligt att "programmera" människors beteende, och en person och en stor grupp. Dessa möjligheter faller inom kategorin social hacking just för att människor i alla utför någon annans vilja, som om de lydde ett "program" skrivet av en social hacker.

Social hacking som förmågan att hacka en person och programmera honom att utföra de önskade åtgärderna kommer från social programmering - en tillämpad disciplin inom social ingenjörskonst, där specialister inom detta område - sociala hackare - använder tekniker för psykologisk påverkan och agerande, lånade från arsenalen av underrättelsetjänsterna.

Social hacking används i de flesta fall när det kommer till att attackera en person som ingår i ett datorsystem. Datasystemet som hackas finns inte i sig. Den innehåller en viktig komponent - en person. Och för att få information behöver en social hacker hacka en person som arbetar med en dator. I de flesta fall är det lättare att göra detta än att hacka sig in i offrets dator i ett försök att ta reda på lösenordet.

Typisk påverkansalgoritm vid social hacking:

Alla attacker från sociala hackare passar in i ett ganska enkelt schema:

1. syftet med att påverka ett visst objekt formuleras;
2. information om objektet samlas in för att upptäcka de mest bekväma målen för påverkan;
3. Utifrån den insamlade informationen implementeras ett skede som psykologer kallar attraktion. Attraktion (från latin Attrahere - att locka, locka) är skapandet av de nödvändiga förutsättningarna för att påverka ett objekt;
4. tvinga en social hacker att vidta åtgärder;

Tvång uppnås genom att utföra de föregående stegen, det vill säga efter att attraktionen har uppnåtts, vidtar offret själv de åtgärder som är nödvändiga för den sociala ingenjören.

Baserat på den insamlade informationen förutsäger sociala hackare ganska exakt offrets psyko- och sociotyp, och identifierar inte bara behov av mat, sex, etc., utan också behovet av kärlek, behovet av pengar, behovet av tröst, etc. ., etc.

Och faktiskt, varför försöka penetrera det eller det företaget, hacka datorer, bankomater, organisera komplexa kombinationer, när du kan göra allt lättare: få en person att bli kär i dig, som av egen fri vilja kommer att överföra pengar till specificerat konto eller dela nödvändiga pengar varje gång information?

Baserat på det faktum att människors handlingar är förutsägbara och även föremål för vissa lagar, använder sociala hackare och sociala programmerare både ursprungliga flersteg och enkla positiva och negativa tekniker baserade på det mänskliga medvetandets psykologi, beteendeprogram, vibrationer i inre organ, logiska tänkande, fantasi, minne, uppmärksamhet. Dessa tekniker inkluderar:

Trägenerator - genererar svängningar med samma frekvens som frekvensen av svängningar av inre organ, varefter en resonanseffekt observeras, som ett resultat av vilket människor börjar känna allvarligt obehag och ett tillstånd av panik;

påverkan på folkmassans geografi - för den fredliga upplösningen av extremt farliga aggressiva, stora grupper av människor;

högfrekventa och lågfrekventa ljud - för att provocera panik och dess omvända effekt, såväl som andra manipulationer;

socialt imitationsprogram - en person bestämmer riktigheten av handlingar genom att ta reda på vilka handlingar andra människor anser vara korrekta;

claquering program - (baserat på social imitation) organisation av den nödvändiga reaktionen från publiken;

bildandet av köer - (baserat på social imitation) ett enkelt men effektivt reklamdrag;

ömsesidigt biståndsprogram - en person försöker återgälda vänlighet till de människor som har gjort någon vänlighet mot honom. Önskan att uppfylla detta program överstiger ofta allt förnuft;

Social hacking på internet

Med tillkomsten och utvecklingen av Internet - en virtuell miljö som består av människor och deras interaktioner, har miljön för att manipulera en person för att få den nödvändiga informationen och utföra de nödvändiga åtgärderna utökats. Nuförtiden är Internet ett medel för världsomspännande sändningar, ett medium för samarbete, kommunikation och täcker hela världen. Detta är precis vad socialingenjörer använder för att uppnå sina mål.

Sätt att manipulera en person via Internet:

I modern världÄgarna till nästan alla företag har redan insett att Internet är ett mycket effektivt och bekvämt sätt att expandera sin verksamhet och dess huvudsakliga uppgift är att öka vinsten för hela företaget. Det är känt att utan information som syftar till att uppmärksamma det önskade föremålet, skapa eller upprätthålla intresse för det och marknadsföra det på marknaden, används reklam. Bara på grund av att reklammarknaden länge har varit delad är de flesta typer av reklam för de flesta entreprenörer bortkastade pengar. Internetreklam är inte bara en av typerna av reklam i media, det är något mer, eftersom med hjälp av internetreklam kommer personer som är intresserade av samarbete till organisationens webbplats.

Internetannonsering har, till skillnad från annonsering i media, många fler möjligheter och parametrar för att leda ett reklamföretag. Den viktigaste indikatorn på internetannonsering är det Annonsavgifter på internet debiteras endast när du byter intresserad användare via en reklamlänk, vilket förstås gör reklam på internet effektivare och billigare än reklam i media. Efter att ha skickat in reklam på tv eller i tryckta medier betalar de för det i sin helhet och väntar helt enkelt på potentiella kunder, men kunder kan svara på reklam eller inte - allt beror på kvaliteten på produktionen och presentationen av reklam på tv eller tidningar , dock har annonsbudgeten redan förbrukats i fallet Om annonseringen inte fungerade var den bortkastad. Till skillnad från sådan mediareklam har internetannonsering förmågan att spåra publikens respons och hantera internetannonsering innan budgeten är förbrukad; dessutom kan internetannonsering avbrytas när efterfrågan på produkter har ökat och återupptas när efterfrågan börjar minska.

En annan metod för påverkan är det så kallade "Killing of forums" där man med hjälp av social programmering skapar antireklam för ett visst projekt. I det här fallet förstör den sociala programmeraren, med hjälp av uppenbara provocerande handlingar, forumet ensam med hjälp av flera pseudonymer ( smeknamn) att skapa en antiledargrupp runt sig, och locka regelbundna besökare till projektet som är missnöjda med förvaltningens beteende. I slutet av sådana evenemang blir det omöjligt att marknadsföra produkter eller idéer på forumet. Detta är vad forumet ursprungligen utvecklades för.

Metoder för att påverka en person via Internet för social ingenjörskonst:

Nätfiske är en typ av internetbedrägeri som syftar till att få tillgång till konfidentiell användardata – inloggningar och lösenord. Denna operation uppnås genom att utföra massutskick e-postmeddelanden på uppdrag av populära varumärken, samt personliga meddelanden inom olika tjänster (Rambler), banker eller inom sociala nätverk (Facebook). Brevet innehåller ofta en länk till en webbplats som till det yttre inte går att skilja från den riktiga. Efter att användaren landar på en falsk sida använder sociala ingenjörer olika tekniker för att uppmuntra användaren att ange sitt inloggningsnamn och lösenord på sidan, som han använder för att komma åt en specifik sida, vilket gör att han kan få tillgång till konton och bankkonton.

En farligare typ av bedrägeri än nätfiske är den så kallade pharming.

Pharming är en mekanism för att i hemlighet omdirigera användare till nätfiskewebbplatser. Den sociala ingenjören distribuerar speciella skadliga program till användarnas datorer, som, när de väl har startat på datorn, omdirigerar förfrågningar från nödvändiga webbplatser till falska. Därför är attacken mycket sekretessbelagd och användarens deltagande minimeras - det räcker med att vänta tills användaren bestämmer sig för att besöka webbplatser som är intressanta för den sociala ingenjören.

Slutsats

Social ingenjörskonst är en vetenskap som växte fram ur sociologin och gör anspråk på att vara den kunskapsmassa som vägleder, ordnar och optimerar processen att skapa, modernisera och reproducera nya (”konstgjorda”) sociala verkligheter. På ett visst sätt "fullbordar" den sociologisk vetenskap, fullbordar den i fasen av att omvandla vetenskaplig kunskap till modeller, projekt och design av sociala institutioner, värderingar, normer, aktivitetsalgoritmer, relationer, beteende, etc.

Trots att Social Engineering är en relativt ung vetenskap orsakar den stor skada på de processer som sker i samhället.

De enklaste metoderna för att skydda mot effekterna av denna destruktiva vetenskap är:

Att uppmärksamma människor på säkerhetsfrågor.

Användare förstår problemets allvar och accepterar systemets säkerhetspolicy.

Litteratur

1. R. Petersen Linux: Komplett guide: per. från engelska — 3:e uppl. - K.: BHV Publishing Group, 2000. – 800 sid.

2. Från Grodnev Internet i ditt hem. - M.: ”RIPOL CLASSIC”, 2001. -480 sid.

3. M. V. Kuznetsov Social ingenjörskonst och social hacking. St Petersburg: BHV-Petersburg, 2007. - 368 s.: ill.

Social ingenjörsteknik Den mänskliga hjärnan är en stor hårddisk, ett förråd av en enorm mängd information. Och både ägaren och vilken annan person som helst kan använda denna information. Som de säger, en talare är en gudagåva för en spion. För att du ytterligare ska förstå innebörden av följande bör du åtminstone vara bekant med grunderna i psykologi.
Social ingenjörskonst tillåter oss "Använd hjärnan" annan person, med hjälp av olika metoder, och få nödvändig information från honom.
Wiki säger: "Social ingenjörskonst är en metod för att kontrollera mänskliga handlingar utan att använda tekniska medel"

Social ingenjörskonst– Det här är en sorts ung vetenskap. Det finns många metoder och tekniker för att manipulera mänskligt medvetande. Kevin Mitnick hade rätt när han sa att det ibland är lättare att fuska och få information än att hacka tillgång till den. Läs boken "Konsten att bedräge" på din fritid, du kommer att gilla den.
Existerar omvänd social ingenjörskonst, som syftar till att inhämta uppgifter från offret själv. Med dess hjälp berättar offret själv om sina lösenord och data.

Det finns inga gester, intonation eller ansiktsuttryck på Internet. All kommunikation bygger på textmeddelanden. Och din framgång i en given situation beror på hur dina meddelanden påverkar samtalspartnern. Vilka tekniker kan användas för att i hemlighet manipulera en persons medvetande?

Provocerande
Det här är strängt taget trolling. Att göra en person upprörd, i de flesta fall behandlar han information okritiskt. I detta tillstånd kan du införa eller ta emot den nödvändiga informationen.

Kärlek
Detta är kanske den mest effektiva tekniken. I de flesta fall är det detta jag använde)). I ett tillstånd av kärlek uppfattar en person lite, och det är precis vad manipulatorn behöver.

Likgiltighet
Effekten av manipulatorns likgiltighet för ett visst ämne skapas, och samtalspartnern försöker i sin tur övertyga honom och därigenom falla i en fälla och avslöja den information du behöver.

Rusa
Situationer uppstår ofta när manipulatören påstås ha bråttom att komma någonstans och ständigt hintar om det, men samtidigt främjar han målmedvetet den information han behöver.

Misstanke
Misstankemetoden liknar något likgiltighetsmetoden. I det första fallet bevisar offret motsatsen, i det andra försöker offret motivera "sin misstanke" och inser därmed inte att han ger bort all information.

Ironi
Liknar provokationstekniken. En manipulator gör en person arg genom att vara ironisk. Han kan i sin tur i ilska inte kritiskt utvärdera information. Som ett resultat bildas ett hål i den psykologiska barriären, vilket manipulatorn utnyttjar.

Uppriktighet
När manipulatorn berättar för samtalspartnern uppriktig information, utvecklar samtalspartnern någon form av förtroendefull relation, vilket innebär en försvagning av skyddsbarriären. Detta skapar en lucka i det psykologiska försvaret.

De ovan beskrivna teknikerna utnyttjar inte fullt ut den sociala ingenjörskonstens fulla potential. Dessa tekniker och metoder kan man prata om och prata om. Efter att ha läst dessa tekniker bör du inse att du inte behöver följa allas ledning. Lär dig att kontrollera dig själv och din ilska och då kommer ditt försvar alltid att vara på rätt nivå.
Vårt fortsätter. Vänta på nya artiklar))

Social ingenjörskonst

Social ingenjörskonstär en metod för obehörig åtkomst till information eller informationslagringssystem utan användning av tekniska medel. Huvudmålet för sociala ingenjörer, liksom andra hackare och crackers, är att få tillgång till säkra system för att kunna stjäla information, lösenord, kreditkortsinformation etc. Den största skillnaden från enkel hackning är att i det här fallet väljs inte maskinen utan dess operatör som mål för attacken. Det är därför alla metoder och tekniker för sociala ingenjörer är baserade på användningen av den mänskliga faktorns svagheter, vilket anses vara extremt destruktivt, eftersom angriparen får information, till exempel med hjälp av den vanliga telefonsamtal eller genom att infiltrera en organisation under sken av en anställd. För att skydda dig mot den här typen av attacker bör du vara medveten om de vanligaste typerna av bedrägerier, förstå vad hackare verkligen vill ha och organisera en lämplig säkerhetspolicy i tid.

Berättelse

Trots att begreppet "social ingenjörskonst" dök upp relativt nyligen, har människor i en eller annan form använt dess tekniker sedan urminnes tider. I antikens Grekland och Rom hölls människor högt uppmärksammade som på olika sätt kunde övertyga sin samtalspartner om att han uppenbarligen hade fel. På ledarnas vägnar genomförde de diplomatiska förhandlingar. Skickligt med lögner, smicker och fördelaktiga argument löste de ofta problem som verkade omöjliga att lösa utan hjälp av ett svärd. Bland spioner har social ingenjörskonst alltid varit huvudvapnet. Genom att utge sig för en annan person kunde KGB- och CIA-agenter ta reda på hemliga statshemligheter. I början av 70-talet, under phreakingens storhetstid, ringde några telefonhuliganer till telekomoperatörer och försökte få ut konfidentiell information från företagets tekniska personal. Efter olika experiment med trick, i slutet av 70-talet, hade phreakers så fulländat teknikerna för att manipulera otränade operatörer att de lätt kunde lära av dem nästan allt de ville.

Principer och tekniker för social ingenjörskonst

Det finns flera vanliga tekniker och typer av attacker som sociala ingenjörer använder. Alla dessa tekniker är baserade på egenskaper hos mänskligt beslutsfattande som kallas kognitiva (se även kognitiva) fördomar. Dessa fördomar används i olika kombinationer för att skapa den mest lämpliga bedrägeristrategin i varje enskilt fall. Men det gemensamma för alla dessa metoder är missvisande, i syfte att tvinga en person att utföra någon handling som inte är fördelaktig för honom och som är nödvändig för den sociala ingenjören. För att uppnå det önskade resultatet använder angriparen ett antal olika taktiker: att utge sig för en annan person, distrahera uppmärksamhet, öka psykologisk spänning, etc. De slutliga målen för bedrägeri kan också vara mycket olika.

Social ingenjörsteknik

Förevändning

Pretexting är en uppsättning åtgärder som utförs enligt ett specifikt, förberedd scenario (pretext). Denna teknik involverar användning av röstmedel som telefon, Skype, etc. för att få nödvändig information. Vanligtvis, genom att utge sig för att vara en tredje part eller låtsas att någon behöver hjälp, ber angriparen offret att ange ett lösenord eller logga in på en nätfiske-webbsida, och därigenom lura målet att vidta en önskad åtgärd eller tillhandahålla viss information. I de flesta fall kräver denna teknik vissa initiala uppgifter om målet för attacken (till exempel personuppgifter: födelsedatum, telefonnummer, kontonummer, etc.) Den vanligaste strategin är att först använda små frågor och nämna namn på riktiga personer i organisationen. Senare, under samtalet, förklarar angriparen att han behöver hjälp (de flesta kan och vill utföra uppgifter som inte upplevs som misstänkta). När förtroende har etablerats kan bedragaren begära något mer väsentligt och viktigt.

Nätfiske

Exempel på ett nätfiske-e-postmeddelande skickat från en e-posttjänst som begär "återaktivering av konto"

Nätfiske (engelsk nätfiske, från fiske - fiske, fiske) är en typ av internetbedrägeri, vars syfte är att få tillgång till konfidentiell användardata - inloggningar och lösenord. Detta är kanske det mest populära sociala ingenjörskonceptet idag. Inte en enda större persondataläcka inträffar utan att en våg av nätfiske-e-postmeddelanden följer efter den. Syftet med nätfiske är att olagligt skaffa konfidentiell information. Det mest slående exemplet på en nätfiskeattack är ett meddelande som skickas till offret via e-post, och förfalskat som ett officiellt brev - från en bank eller ett betalningssystem - som kräver verifiering av viss information eller utförandet av vissa åtgärder. Det kan finnas en mängd olika anledningar. Detta kan vara dataförlust, systemfel osv. Dessa e-postmeddelanden innehåller vanligtvis en länk till en falsk webbsida som ser ut exakt som den officiella, och innehåller ett formulär som kräver att du anger känslig information.

Ett av de mest kända exemplen på globala nätfiske-e-postmeddelanden var en bedrägeri 2003 där tusentals eBay-användare fick e-postmeddelanden som hävdade att deras konto hade låsts och krävde att deras kreditkortsinformation uppdaterades för att låsa upp det. Alla dessa e-postmeddelanden innehöll en länk som ledde till en falsk webbsida som såg ut exakt som den officiella. Enligt experter uppgick förlusterna från denna bluff till flera hundra tusen dollar.

Hur man känner igen en nätfiskeattack

Nästan varje dag dyker det upp nya bedrägerier. De flesta människor kan lära sig att känna igen bedrägliga meddelanden på egen hand genom att bli bekanta med några av deras utmärkande egenskaper. Oftast innehåller nätfiskemeddelanden:

• information som orsakar oro eller hot, såsom stängning av användarbankkonton.
• löften om enorma kontantpriser med liten eller ingen ansträngning.
• förfrågningar om frivilliga donationer på uppdrag av välgörenhetsorganisationer.
• grammatiska, skiljetecken och stavfel.

Populära nätfiskesystem

De mest populära nätfiskebedrägerierna beskrivs nedan.

Bedrägeri med varumärken från kända företag

Dessa nätfiskebedrägerier använder falska e-postmeddelanden eller webbplatser som innehåller namn på stora eller välkända företag. Meddelanden kan innehålla gratulationer till att ha vunnit en tävling som hålls av företaget, eller om det akuta behovet av att ändra dina referenser eller lösenord. Liknande bedrägliga planer på uppdrag av teknisk support kan också utföras via telefon.

Bedrägliga lotterier

Användaren kan få meddelanden som indikerar att han har vunnit ett lotteri som genomfördes av något välkänt företag. På ytan kan dessa meddelanden se ut som om de skickades på uppdrag av en ledande företagsanställd.

Falska antivirus- och säkerhetsprogram

IVR eller telefonnätfiske

Funktionsprincip för IVR-system

Qui om quo

Quid pro quo (från latinets Quid pro quo - "det här för detta") är en förkortning som ofta används i engelska språket i betydelsen "tjänst för tjänst". Denna typ av attack innebär att en angripare ringer ett företag på en företagstelefon. I de flesta fall utger sig angriparen som en teknisk supportanställd som frågar om det finns några tekniska problem. I processen att "lösa" tekniska problem "tvingar" bedragaren målet att ange kommandon som gör att hackaren kan starta eller installera skadlig programvara. programvara till användarens maskin.

trojansk häst

Ibland är användningen av trojaner bara en del av en planerad flerstegsattack på vissa datorer, nätverk eller resurser.

Typer av trojaner

Trojaner utvecklas oftast för skadliga syften. Det finns en klassificering där de är indelade i kategorier baserat på hur trojaner infiltrerar systemet och skadar det. Det finns 5 huvudtyper:

• Fjärranslutning
• dataförstöring
• lastare
• server
• avaktiverare av säkerhetsprogram

Mål

Syftet med det trojanska programmet kan vara:

• ladda upp och ladda ner filer
• kopiera falska länkar som leder till falska webbplatser, chattrum eller andra registreringssidor
• störa användarens arbete
• stjäla värdefulla data eller hemligheter, inklusive autentiseringsinformation, för obehörig åtkomst till resurser, få information om bankkonton som kan användas för kriminella ändamål
• distribution av annan skadlig kod som virus
• förstörelse av data (radering eller omskrivning av data på en disk, svåra att se skador på filer) och utrustning, avaktivering eller fel på service av datorsystem, nätverk
• samla in e-postadresser och använda dem för att skicka skräppost
• spionera på användaren och i hemlighet kommunicera information till tredje part, såsom surfvanor
• Logga tangenttryckningar för att stjäla information som lösenord och kreditkortsnummer
• avaktivering eller störning av antivirusprogram och brandväggar

Maskera

Många trojanska program finns på användarnas datorer utan deras vetskap. Ibland registreras trojaner i registret, vilket leder till att de startas automatiskt vid start operativ system. Trojaner kan också kombineras med legitima filer. När en användare öppnar en sådan fil eller startar ett program, startas trojanen tillsammans med den.

Hur trojanen fungerar

Trojaner består vanligtvis av två delar: klient och server. Servern körs på offermaskinen och övervakar anslutningar från klienten. Medan servern körs övervakar den en port eller flera portar för en anslutning från klienten. För att en angripare ska kunna ansluta till servern måste den känna till IP-adressen för den maskin som den körs på. Vissa trojaner skickar offrets IP-adress till den angripande parten via e-post eller någon annan metod. Så snart en anslutning till servern uppstår kan klienten skicka kommandon till den, som servern kommer att utföra. För närvarande, tack vare NAT-teknik, är det omöjligt att komma åt de flesta datorer via deras externa IP-adress. Det är därför många trojaner idag ansluter till angriparens dator, som ansvarar för att ta emot anslutningsanslutningar, istället för att angriparen själv försöker ansluta till offret. Många moderna trojaner kan också enkelt kringgå brandväggar på användardatorer.

Insamling av information från öppna källor

Användningen av social ingenjörsteknik kräver inte bara kunskap om psykologi, utan också förmågan att samla in nödvändig information om en person. Ett relativt nytt sätt att få sådan information var dess insamling från öppna källor, främst från sociala nätverk. Till exempel innehåller sajter som livejournal, Odnoklassniki, Vkontakte en enorm mängd data som människor inte försöker dölja. Som regel, , Användare uppmärksammar inte säkerhetsproblemen tillräckligt och lämnar data och information i den offentliga domänen som kan användas av en angripare.

Ett illustrativt exempel är historien om kidnappningen av Evgeniy Kasperskys son. Under utredningen konstaterades det att brottslingarna lärde sig tonåringens dagliga schema och rutter från hans inlägg på sidan socialt nätverk.

Även genom att begränsa åtkomsten till information på hans sociala nätverkssida kan en användare inte vara säker på att den aldrig kommer att hamna i händerna på bedragare. Till exempel visade en brasiliansk datasäkerhetsforskare att det är möjligt att bli vän med vilken Facebook-användare som helst inom 24 timmar med hjälp av social ingenjörsteknik. Under experimentet valde forskaren Nelson Novaes Neto ett "offer" och skapade ett falskt konto av en person från hennes miljö - hennes chef. Neto skickade först vänförfrågningar till vänner till vänner till offrets chef och sedan direkt till hans vänner. Efter 7,5 timmar fick forskaren "offret" att lägga till honom som vän. Därmed fick forskaren tillgång till användarens personliga information, som han bara delade med sina vänner.

Väg äpple

Denna attackmetod är en anpassning av den trojanska hästen och består av att använda fysiska medier. Angriparen planterar den "infekterade" eller blixten på en plats där bäraren lätt kan hittas (toalett, hiss, parkeringsplats). Medierna är fejkade för att se officiella ut och åtföljs av en signatur utformad för att väcka nyfikenhet. Till exempel kan en bedragare plantera ett brev, utrustat med en företagslogotyp och en länk till företagets officiella webbplats, märka det "Executive löner." Skivan kan lämnas på hissgolvet eller i lobbyn. En anställd kan omedvetet plocka upp skivan och sätta in den i datorn för att tillfredsställa sin nyfikenhet.

Omvänd social ingenjörskonst

Omvänd social ingenjörskonst hänvisas till när offret själv erbjuder angriparen den information han behöver. Detta kan verka absurt, men i själva verket får personer med auktoritet inom det tekniska eller sociala området ofta användar-ID och lösenord och annan viktig information. personlig information helt enkelt för att ingen tvivlar på deras integritet. Supportpersonal ber till exempel aldrig användare om ett ID eller lösenord; de behöver inte denna information för att lösa problem. Många användare tillhandahåller dock frivilligt denna konfidentiella information för att snabbt kunna lösa problem. Det visar sig att angriparen inte ens behöver fråga om det.

Ett exempel på omvänd social ingenjörskonst är följande enkla scenario. En angripare som arbetar med offret ändrar namnet på en fil på offrets dator eller flyttar den till en annan katalog. När offret märker att filen saknas, hävdar angriparen att han kan fixa allt. Offret vill slutföra jobbet snabbare eller undvika straff för att förlora information och accepterar detta erbjudande. Angriparen hävdar att problemet bara kan lösas genom att logga in med offrets referenser. Nu ber offret angriparen att logga in under hennes namn för att försöka återställa filen. Angriparen går motvilligt med och återställer filen, och i processen stjäl offrets ID och lösenord. Efter att ha framgångsrikt genomfört attacken förbättrade han till och med sitt rykte, och det är mycket möjligt att efter detta kommer andra kollegor att vända sig till honom för att få hjälp. Detta tillvägagångssätt stör inte de vanliga procedurerna för att tillhandahålla supporttjänster och försvårar gripandet av angriparen.

Kända socialingenjörer

Kevin Mitnick

Kevin Mitnick. Världsberömd hacker och säkerhetskonsult

En av historiens mest kända sociala ingenjörer är Kevin Mitnick. Som en världsberömd datorhacker och säkerhetskonsult är Mitnick också författare till ett flertal böcker om datorsäkerhet, främst ägnade åt social ingenjörskonst och metoder för psykologisk påverkan på människor. 2002 publicerades boken "The Art of Deception" under hans författarskap, som berättade om verkliga historier om användningen av social ingenjörskonst. Kevin Mitnick hävdade att det är mycket lättare att få ett lösenord genom bedrägeri än att försöka hacka ett säkerhetssystem

Bröderna Badir

Trots att bröderna Mundir, Mushid och Shadi Badir var blinda från födseln, lyckades de genomföra flera stora bedrägerier i Israel på 1990-talet, med hjälp av social ingenjörskonst och röstspoofing. I en tv-intervju sa de: "Endast de som inte använder telefon, el och bärbar dator är helt försäkrade mot nätverksattacker." Bröderna har redan suttit i fängelse för att ha kunnat höra och tyda leverantörernas hemliga störningssignaler telefonkommunikation. De ringde långa samtal utomlands på någon annans bekostnad, efter att ha programmerat om mobiloperatörernas datorer med störningssignaler.

Ärkeängel

Omslag till tidningen Phrack

En berömd datorhacker och säkerhetskonsult för den berömda engelskspråkiga onlinetidningen "Phrack Magazine", Archangel demonstrerade förmågan hos social ingenjörsteknik genom att skaffa lösenord från ett stort antal olika system, lura flera hundra offer.

Övrig

Mindre kända sociala ingenjörer inkluderar Frank Abagnale, David Bannon, Peter Foster och Stephen Jay Russell.

Sätt att skydda mot social ingenjörskonst

För att utföra sina attacker utnyttjar angripare som använder social ingenjörsteknik ofta godtrogenhet, lättja, artighet och till och med entusiasm hos användare och anställda i organisationer. Det är inte lätt att försvara sig mot sådana attacker eftersom offren kanske inte är medvetna om att de har blivit lurade. Angripare inom social ingenjörskonst har i allmänhet samma mål som alla andra angripare: de vill ha pengar, information eller offrets IT-resurser. För att skydda dig mot sådana attacker måste du studera deras typer, förstå vad angriparen behöver och bedöma vilken skada som kan orsakas för organisationen. Med all denna information kan du integrera nödvändiga skyddsåtgärder i din säkerhetspolicy.

Hotklassificering

E-posthot

Många anställda får dagligen via företag och privat postsystem dussintals och till och med hundratals e-postmeddelanden. Naturligtvis, med ett sådant flöde av korrespondens är det omöjligt att uppmärksamma varje bokstav. Detta gör det mycket lättare att utföra attacker. De flesta användare av e-postsystem är avslappnade när det gäller att behandla sådana meddelanden, och uppfattar detta arbete som den elektroniska analogen av att flytta papper från en mapp till en annan. När en angripare skickar en enkel förfrågan per post kommer hans offer ofta att göra vad han ombeds göra utan att tänka på sina handlingar. E-postmeddelanden kan innehålla hyperlänkar som får anställda att bryta mot skyddet av företagsmiljön. Sådana länkar leder inte alltid till de angivna sidorna.

De flesta säkerhetsåtgärder syftar till att förhindra obehöriga användare från att komma åt företagets resurser. Om användaren, genom att klicka på en hyperlänk skickad av en angripare, laddar upp en trojan eller virus till företagets nätverk, kommer detta att göra det enkelt att kringgå många typer av skydd. Hyperlänken kan också peka på en webbplats med popup-program som ber om data eller erbjuder hjälp. Som med andra typer av bedrägerier, de flesta effektivt sätt skydd mot skadliga attacker är att vara skeptisk till alla oväntade inkommande brev. För att främja detta tillvägagångssätt i hela din organisation bör din säkerhetspolicy innehålla specifika riktlinjer för användning av e-post som täcker följande delar.

• Bilagor till dokument.
• Hyperlänkar i dokument.
• Förfrågningar om personlig information eller företagsinformation som kommer inifrån företaget.
• Förfrågningar om personlig information eller företagsinformation som kommer utanför företaget.

Hot i samband med användning av snabbmeddelandetjänster

Snabbmeddelanden är en relativt ny metod för dataöverföring, men den har redan vunnit stor popularitet bland företagsanvändare. På grund av hastigheten och användarvänligheten öppnar denna kommunikationsmetod stora möjligheter för olika attacker: användare behandlar den som en telefonanslutning och associerar den inte med potentiella programvaruhot. De två huvudtyperna av attacker baserade på användningen av snabbmeddelandetjänster är inkluderingen av en länk till ett skadligt program i meddelandet och leveransen av själva programmet. Självklart är snabbmeddelanden också ett sätt att begära information. En av funktionerna hos snabbmeddelandetjänster är kommunikationens informella karaktär. I kombination med förmågan att tilldela sig själva vilket namn som helst gör detta det mycket lättare för en angripare att utge sig för någon annan och ökar avsevärt deras chanser att framgångsrikt genomföra en attack. Om ett företag har för avsikt att dra fördel av kostnadsbesparingsmöjligheterna och andra fördelar tillhandahålls av snabbmeddelanden, är det nödvändigt att inkludera i företagets säkerhetspolicyer tillhandahålla skyddsmekanismer mot relevanta hot. För att få tillförlitlig kontroll över snabbmeddelanden i en företagsmiljö finns det flera krav som måste uppfyllas.

• Välj en plattform för snabbmeddelanden.
• Bestäm säkerhetsinställningarna som anges när snabbmeddelandetjänsten distribueras.
• Bestäm principer för att etablera nya kontakter
• Ställ in lösenordsstandarder
• Ge rekommendationer för hur du använder snabbmeddelandetjänsten.

Säkerhetsmodell på flera nivåer

För att skydda stora företag och deras anställda från bedragare som använder social ingenjörsteknik, används ofta komplexa säkerhetssystem på flera nivåer. Några av funktionerna och ansvarsområdena för sådana system listas nedan.

• Fysisk trygghet. Barriärer som begränsar tillgången till företagsbyggnader och företagsresurser. Glöm inte att företagets resurser, till exempel sopcontainrar utanför företagets territorium, inte är fysiskt skyddade.
• Data. Företagsinformation: konton, post etc. Vid analys av hot och planering av dataskyddsåtgärder är det nödvändigt att fastställa principerna för hantering av papper och elektronisk media data.
• Ansökningar. Användardrivna program. För att skydda din miljö måste du överväga hur angripare kan utnyttja utskick, snabbmeddelandetjänster och andra applikationer.
• Datorer. Servrar och klientsystem som används i organisationen. Skyddar användare från direkta attacker på deras datorer genom att definiera strikta riktlinjer som styr vilka program som kan användas på företagsdatorer.
• Internt nätverk. Nätverket genom vilket de interagerar företagssystem. Det kan vara lokalt, globalt eller trådlöst. I senaste åren På grund av den växande populariteten för fjärrarbetsmetoder har gränserna för interna nätverk blivit till stor del godtyckliga. Företagets anställda måste få veta vad de ska göra för organisationen. säkert arbete i vilken nätverksmiljö som helst.
• Nätverks perimeter. Gräns ​​mellan interna nätverk företag och externa, såsom Internet eller nätverk av partnerorganisationer.

Ansvar

Pretexting och inspelning av telefonsamtal

Hewlett-Packard

Patricia Dunn, VD för Hewlett Packard Corporation, sa att hon anlitade ett privat företag för att identifiera de företagsanställda som var ansvariga för att läcka konfidentiell information. Senare erkände företagets chef att praxis med förevändning och andra sociala ingenjörstekniker användes under forskningsprocessen.

Anteckningar

se även

Länkar

• SocialWare.ru – Privat socialt ingenjörsprojekt
• - Social ingenjörskonst: grunderna. Del I: Hackertaktik
• – Skydd mot nätfiskeattacker.
• Grundläggande samhällsteknik – Securityfocus.com.
• Social Engineering, USB Way – DarkReading.com.
• Bör Social Engineering vara en del av penetrationstestning? – darknet.org.uk.
• "Protecting Consumers" Phone Records", Electronic Privacy Information Center USA:s kommitté för handel, vetenskap och transport .
• Plotkin, Hal. Memo till pressen: Pretexting är redan olagligt.
• Striptease för lösenord – MSNBC.MSN.com.
• Social-Engineer.org – social-engineer.org.

Social ingenjörskonst- en metod för att få nödvändig tillgång till information, baserad på egenskaperna hos mänsklig psykologi. Huvudmålet med social ingenjörskonst är att få tillgång till konfidentiell information, lösenord, bankdata och andra skyddade system. Även om termen social ingenjörskonst dök upp för inte så länge sedan, har metoden att få information på detta sätt använts ganska länge. CIA- och KGB-anställda som vill få lite statshemligheter, politiker och riksdagskandidater, och vi själva, om vi vill skaffa något, ofta utan att ens inse det, använder vi sociala ingenjörsmetoder.

För att skydda dig från effekterna av social ingenjörskonst måste du förstå hur det fungerar. Låt oss titta på huvudtyperna av social ingenjörskonst och metoder för att skydda mot dem.

Förevändning- detta är en uppsättning åtgärder som utarbetats enligt ett specifikt, förkompilerat scenario, som ett resultat av vilket offret kan ge ut viss information eller utföra en viss handling. Oftare den här typen Attacken innebär användning av röstmedel som Skype, telefon etc.

För att använda denna teknik måste angriparen initialt ha vissa uppgifter om offret (namn på anställd; befattning; namn på de projekt som han arbetar med; födelsedatum). Angriparen använder till en början riktiga frågor med namnen på företagets anställda och, efter att ha fått förtroende, får han den information han behöver.

Nätfiske– en internetbedrägeriteknik som syftar till att erhålla konfidentiell användarinformation - behörighetsdata för olika system. Den huvudsakliga typen av nätfiskeattacker är ett falskt e-postmeddelande som skickas till offret som verkar vara ett officiellt brev från betalningssystem eller bank. Brevet innehåller ett formulär för inmatning av personuppgifter (PIN-koder, inloggning och lösenord etc.) eller en länk till webbsidan där ett sådant formulär finns. Orsakerna till ett offers förtroende för sådana sidor kan vara olika: kontoblockering, systemfel, dataförlust, etc.

trojansk häst– Denna teknik är baserad på användarnas nyfikenhet, rädsla eller andra känslor. Angriparen skickar ett brev till offret via e-post, vars bilaga innehåller en antivirus-"uppdatering", en nyckel till att vinna pengar eller inkriminerande bevis på en anställd. Faktum är att bilagan innehåller skadlig programvara, som, efter att användaren kört den på sin dator, kommer att användas för att samla in eller ändra information av en angripare.

Qui om quo(quid pro quo) – denna teknik innebär att angriparen kontaktar användaren via e-post eller företagstelefon. En angripare kan till exempel presentera sig som teknisk supportmedarbetare och informera om förekomsten av tekniska problem på arbetsplatsen. Han informerar vidare om behovet av att eliminera dem. I processen att "lösa" ett sådant problem, pressar angriparen offret att vidta åtgärder som gör att angriparen kan utföra vissa kommandon eller installera nödvändig programvara på offrets dator.

Väg äpple– denna metod är en anpassning av den trojanska hästen och består av att använda fysiska medier (cd-skivor, flash-enheter). En angripare planterar vanligtvis sådana medier på offentliga platser i företagets lokaler (parkeringsplatser, matsalar, anställdas arbetsplatser, toaletter). För att medarbetaren ska utveckla ett intresse för till detta medium, kan en angripare sätta en företagslogotyp och någon form av signatur på media. Till exempel ”försäljningsdata”, ”anställdas löner”, ”skatteredovisning” med mera.

Omvänd social ingenjörskonst- Den här typen av attack syftar till att skapa en situation där offret kommer att tvingas vända sig till angriparen för att få "hjälp". Till exempel kan en angripare skicka ett brev med telefonnummer och kontakter till "supporttjänsten" och efter en tid skapa reversibla problem i offrets dator. I det här fallet kommer användaren att ringa eller maila angriparen själv, och i processen att "åtgärda" problemet kommer angriparen att kunna få de data han behöver.

Figur 1 – Huvudtyper av social ingenjörskonst

Motåtgärder

Det främsta sättet att skydda sig mot sociala ingenjörsmetoder är att utbilda anställda. Alla företagsanställda bör varnas för farorna med att avslöja personlig information och konfidentiell företagsinformation, samt sätt att förhindra dataläckage. Dessutom bör varje företagsanställd, beroende på avdelning och befattning, ha instruktioner om hur och om vilka ämnen man kan kommunicera med samtalspartnern, vilken information som kan lämnas till den tekniska supporttjänsten, hur och vad en företagsanställd ska kommunicera till få den informationen eller annan information från en annan anställd.

Dessutom kan följande regler särskiljas:

• Användaruppgifter är företagets egendom.
På anställningsdagen bör det förklaras för alla anställda att de inloggningar och lösenord som tilldelats dem inte kan användas för andra ändamål (på webbplatser t.ex. personlig post etc.), överlåtelse till tredje part eller andra anställda i företaget som inte har rätt att göra det. Till exempel kan en anställd väldigt ofta, när han går på semester, överföra sina behörighetsuppgifter till sin kollega så att han kan utföra något arbete eller se vissa uppgifter under sin frånvaro.
• Det är nödvändigt att genomföra en introduktion och regelbunden utbildning för företagets anställda i syfte att öka kunskapen om informationssäkerhet.
Genom att genomföra sådana genomgångar kommer företagets anställda att ha uppdaterad information om befintliga sociala ingenjörsmetoder, och inte heller att glömma de grundläggande reglerna om informationssäkerhet.
• Det är obligatoriskt med säkerhetsföreskrifter, samt instruktioner som användaren alltid ska ha tillgång till. Instruktionerna ska beskriva de anställdas agerande om en viss situation uppstår.
Reglerna kan till exempel specificera vad som behöver göras och vart man ska vända sig om en tredje part försöker begära konfidentiell information eller anställds legitimation. Sådana åtgärder gör att du kan identifiera angriparen och förhindra informationsläckage.
• Anställdas datorer ska alltid ha uppdaterad antivirusprogramvara.
En brandvägg måste också installeras på anställdas datorer.
• I företagsnätverk företaget behöver använda system för att upptäcka och förebygga attacker.
Det är också nödvändigt att använda system för att förhindra läckor av konfidentiell information. Allt detta kommer att minska risken för fytiska attacker.
• Alla anställda ska få instruktioner om hur de ska bete sig mot besökare.
Tydliga regler behövs för att fastställa besökarens identitet och följa med honom. Besökare ska alltid ha sällskap av någon av företagets anställda. Om en anställd träffar en för honom okänd besökare ska han i rätt form fråga för vilket syfte besökaren befinner sig i detta rum och vart han eskorteras. Vid behov ska den anställde anmäla okända besökare till säkerhetstjänsten.
• Det är nödvändigt att begränsa användarrättigheterna i systemet så mycket som möjligt.
Du kan till exempel begränsa åtkomsten till webbplatser och förbjuda användningen flyttbara media. När allt kommer omkring, om en anställd inte kan komma till en nätfiskewebbplats eller använda en flashenhet med " trojansk häst”, då kommer han inte heller att kunna förlora personuppgifter.

Baserat på allt ovanstående kan vi dra slutsatsen: det främsta sättet att skydda sig mot social ingenjörskonst är att utbilda anställda. Det är nödvändigt att veta och komma ihåg att okunnighet inte är en ursäkt. Varje användare av systemet bör vara medveten om farorna med att avslöja konfidentiell information och känna till sätt att förhindra läckage. Förvarnad är förberedd!

Varje stor eller till och med liten organisation har svagheter i informationssäkerhet. Även om alla företagets datorer har den bästa mjukvaran, alla anställda har de starkaste lösenorden, och alla datorer övervakas av de smartaste administratörerna, kan man ändå hitta en svag punkt. Och en av de viktigaste ”svaga punkterna” är de människor som arbetar i företaget och har tillgång till datorsystem och är i större eller mindre utsträckning informationsbärare om organisationen. Människor som planerar att stjäla information, eller med andra ord hackare, drar bara nytta av den mänskliga faktorn. Och det är på folk som de försöker olika sätt influenser som kallas social ingenjörskonst. Jag ska försöka prata om det idag i artikeln och om faran det utgör för vanliga användare och organisationer.

Låt oss först förstå vad social ingenjörskonst är - det är en term som används av krackare och hackare som hänvisar till obehörig åtkomst till information, men är helt tvärtom mot att hacka en mjukvarubeteckning. Målet är inte att hacka, utan att lura folk så att de själva ger lösenord eller annan information som senare kan hjälpa hackare att bryta mot systemets säkerhet. Denna typ av bedrägeri innebär att man ringer upp en organisation per telefon och identifierar de anställda som har den nödvändiga informationen, och sedan ringer den identifierade administratören från en icke-existerande anställd som påstås ha problem med att komma åt systemet.

Social ingenjörskonst är direkt relaterad till psykologi, men utvecklas som en separat del av den. Nuförtiden används det tekniska tillvägagångssättet mycket ofta, särskilt för det oupptäckta arbetet av en inbrottstjuv att stjäla dokument. Denna metod används för att träna spioner och hemliga agenter för hemlig penetration utan att lämna spår.

En person kan tänka, resonera, komma till en eller annan slutsats, men slutsatserna kanske inte alltid visar sig vara verkliga, ens egna och inte påtvingade utifrån, som de behövs av någon annan. Men det mest intressanta och det viktigaste som hjälper bedragare är att en person kanske inte märker att hans slutsatser är falska. Till sista stund kanske han tror att han bestämt allt själv. Det är denna funktion som människor som utövar social ingenjörskonst använder.

Poängen med social ingenjörskonst är stöld av information. Människor som gör detta försöker stjäla information utan onödig uppmärksamhet och använder den sedan efter eget gottfinnande: sälj eller utpressa den ursprungliga ägaren. Enligt statistik visar det sig väldigt ofta att sådana knep uppstår på begäran av ett konkurrerande företag.

Låt oss nu titta på sätt för social ingenjörskonst.

Human denial of service (HDoS)

Kärnan i denna attack är att tyst tvinga en person att inte reagera på vissa situationer.

Att simulera en attack mot en hamn fungerar till exempel som en avledningsmanöver. Systemadministratören distraheras av fel, och vid denna tidpunkt penetrerar de lätt servern och tar den information de behöver. Men administratören kan vara säker på att det inte kan finnas några fel på den här porten, och då kommer hackarens penetration att märkas omedelbart. Hela poängen med denna metod är att angriparen måste känna till systemadministratörens psykologi och kunskapsnivå. Utan denna kunskap är penetration in i servern inte möjlig.

Anropsmetod.

Denna metod innebär telefonsamtal det så kallade "offret". Bedragaren ringer offret med både korrekt framfört tal och psykologiskt korrekt frågor som ställs vilseleder henne och tar reda på all nödvändig information.

Till exempel: en bedragare ringer och säger att han på begäran av administratören kontrollerar säkerhetssystemets funktionalitet. Sedan ber han om lösenord och användarnamn och efter det finns all information han behöver i fickan.

Visuell kontakt.

Det svåraste sättet. Endast professionellt utbildade personer kan klara av det. Poängen med denna metod är att du måste hitta ett förhållningssätt till offret. När ett tillvägagångssätt har hittats kommer det att vara möjligt att använda det för att tillfredsställa offret och vinna hennes förtroende. Och efter detta kommer offret själv att lägga ut all nödvändig information och det kommer att verka för henne att hon inte berättar något viktigt. Endast en professionell kan göra detta.

E-post.

Detta är det vanligaste sättet för hackare att extrahera information. I de flesta fall skickar hackare ett brev till offret från någon som de påstås känna. Det svåraste med den här metoden är att kopiera denna väns sätt och skrivstil. Om offret tror på bedrägeriet kan du här redan extrahera all information som hackaren kan behöva.