Ijtimoiy muhandislik usullari. Ijtimoiy muhandislik texnikasi Ijtimoiy muhandislik treningi

Ijtimoiy muhandislik usullari - aynan shu maqolada muhokama qilinadigan narsalar, shuningdek, odamlarni manipulyatsiya qilish, fishing va mijozlar ma'lumotlar bazalarini o'g'irlash va boshqalar bilan bog'liq bo'lgan barcha narsalar. Andrey Serikov bizga o'zi muallif bo'lgan ma'lumotni taqdim etdi, buning uchun unga katta rahmat.

A. SERIKOV

A.B.BOROVSKIY

IJTIMOIY HACKING AXBOROT TEXNOLOGIYALARI

Kirish

Insoniyatning qo'yilgan vazifalarni mukammal bajarishga intilishi zamonaviy taraqqiyotga xizmat qildi kompyuter uskunalari, va odamlarning qarama-qarshi talablarini qondirishga urinishlar dasturiy mahsulotlarni ishlab chiqishga olib keldi. Ushbu dasturiy mahsulotlar nafaqat apparatning funksionalligini saqlab qoladi, balki uni boshqaradi.

Inson va kompyuter haqidagi bilimlarning rivojlanishi tubdan yangi turdagi tizimning - "inson-mashina" ning paydo bo'lishiga olib keldi, bunda odam barqaror, funktsional, ko'p vazifali operatsion boshqaruv ostida ishlaydigan apparat sifatida joylashtirilishi mumkin. tizim "psixika" deb ataladi.

Ishning mavzusi - ijtimoiy xakerlikni ijtimoiy dasturlashning bir tarmog'i sifatida ko'rib chiqish, bu erda insonning ijtimoiy muhandislikdagi zaif tomonlari, noto'g'ri qarashlari va stereotiplari yordamida manipulyatsiya qilinadi.

Ijtimoiy muhandislik va uning usullari

Insonni manipulyatsiya qilish usullari uzoq vaqtdan beri ma'lum bo'lib, ular asosan ijtimoiy muhandislikka turli razvedka xizmatlarining arsenalidan kelgan.

Raqobatbardosh razvedkaning birinchi ma'lum bo'lgan hodisasi miloddan avvalgi 6-asrga to'g'ri keladi va Xitoyda, xitoyliklar Rim josuslari tomonidan firibgarlik yo'li bilan o'g'irlangan ipak yasash sirini yo'qotganda sodir bo'lgan.

Ijtimoiy muhandislik - bu inson omilining zaif tomonlarini ishlatmasdan foydalanishga asoslangan inson xatti-harakatlarini manipulyatsiya qilish usullari to'plami sifatida tavsiflangan fan. texnik vositalar.

Ko'pgina mutaxassislarning fikriga ko'ra, eng katta tahdid axborot xavfsizligi Ijtimoiy xakerlikdan foydalanish katta moliyaviy investitsiyalar va kompyuter texnologiyalarini puxta bilishni talab qilmasa, shuningdek, odamlarda ehtiyotkorlik bilan manipulyatsiya qilish uchun ishlatilishi mumkin bo'lgan xatti-harakatlarning ma'lum moyilliklari mavjud bo'lsa, ijtimoiy muhandislik usullarini aniq ifodalaydi.

Va biz qanchalik yaxshilanishimizdan qat'iy nazar texnik tizimlar himoya qilish, odamlar o'zlarining zaif tomonlari, noto'g'ri qarashlari, stereotiplari bilan odamlar bo'lib qoladilar, ular yordamida boshqaruv amalga oshiriladi. Insonning "xavfsizlik dasturi" ni o'rnatish eng qiyin vazifa bo'lib, har doim ham kafolatlangan natijalarga olib kelmaydi, chunki bu filtr doimiy ravishda sozlanishi kerak. Bu erda barcha xavfsizlik mutaxassislarining asosiy shiori har qachongidan ham dolzarbroq: "Xavfsizlik - bu natija emas, balki jarayon".

Ijtimoiy muhandislikni qo'llash sohalari:

  1. tashkilotning ta'sirini kamaytirish va keyinchalik tashkilotni butunlay yo'q qilish ehtimolini kamaytirish uchun uning ishini umumiy beqarorlashtirish;
  2. tashkilotlarda moliyaviy firibgarlik;
  3. fishing va jismoniy shaxslarning shaxsiy bank ma'lumotlariga kirish uchun parollarni o'g'irlashning boshqa usullari;
  4. mijozlarning ma'lumotlar bazalarini o'g'irlash;
  5. raqobatbardosh aql;
  6. tashkilot haqida umumiy ma'lumot, uning kuchli tomonlari va zaifliklar, bu tashkilotni keyinchalik u yoki bu tarzda yo'q qilish maqsadida (ko'pincha reydlar hujumlari uchun ishlatiladi);
  7. eng istiqbolli xodimlar to'g'risidagi ma'lumotlar, ularni tashkilotingizga yanada "jalb qilish" maqsadida;

Ijtimoiy dasturlash va ijtimoiy xakerlik

Ijtimoiy dasturlashni amaliy intizom deb atash mumkin, u inson yoki odamlar guruhiga ularning xatti-harakatlarini kerakli yo'nalishda o'zgartirish yoki saqlab qolish uchun maqsadli ta'sir qilish bilan shug'ullanadi. Shunday qilib, ijtimoiy dasturchi o'z oldiga maqsad qo'yadi: odamlarni boshqarish san'atini egallash. Ijtimoiy dasturlashning asosiy kontseptsiyasi shundan iboratki, ko'p odamlarning harakatlari va ularning u yoki bu tashqi ta'sirga bo'lgan munosabati ko'p hollarda oldindan aytib bo'ladi.

Ijtimoiy dasturlash usullari jozibador, chunki yoki hech kim ular haqida hech qachon bilmaydi yoki kimdir biror narsa haqida taxmin qilsa ham, bunday raqamni javobgarlikka tortish juda qiyin va ba'zi hollarda odamlarning xatti-harakatlarini "dasturlash" mumkin, va bir kishi va katta guruh. Bu imkoniyatlar ijtimoiy xakerlik toifasiga kiradi, chunki ularning barchasida odamlar xuddi ijtimoiy xaker tomonidan yozilgan "dastur"ga bo'ysungandek, birovning irodasini bajaradilar.

Ijtimoiy xakerlik insonni buzish va uni kerakli harakatlarni amalga oshirish uchun dasturlash qobiliyati sifatida ijtimoiy dasturlash - ijtimoiy muhandislikning amaliy intizomidan kelib chiqadi, bu erda ushbu soha mutaxassislari - ijtimoiy xakerlar arsenaldan olingan psixologik ta'sir va harakat qilish usullaridan foydalanadilar. razvedka xizmatlaridan.

Ijtimoiy xakerlik ko'p hollarda kompyuter tizimining bir qismi bo'lgan shaxsga hujum qilishda qo'llaniladi. Buzilgan kompyuter tizimi o'z-o'zidan mavjud emas. U muhim komponentni o'z ichiga oladi - inson. Ma'lumot olish uchun esa ijtimoiy xaker kompyuter bilan ishlaydigan odamni buzishi kerak. Ko'pgina hollarda, parolni topish uchun jabrlanuvchining kompyuteriga kirishdan ko'ra buni qilish osonroq.

Ijtimoiy xakerlikdagi odatiy ta'sir algoritmi:

Ijtimoiy xakerlarning barcha hujumlari bitta oddiy sxemaga to'g'ri keladi:

  1. muayyan ob'ektga ta'sir qilish maqsadi shakllantiriladi;
  2. ob'ekt to'g'risidagi ma'lumotlar ta'sir qilishning eng qulay maqsadlarini aniqlash uchun to'planadi;
  3. Yig'ilgan ma'lumotlarga asoslanib, psixologlar diqqatni jalb qilish deb ataydigan bosqich amalga oshiriladi. Attraktsion (lotincha Attrahere - jalb qilish, jalb qilish) - ob'ektga ta'sir qilish uchun zarur shart-sharoitlarni yaratish;
  4. ijtimoiy xakerni harakatga majburlash;

Majburlash oldingi bosqichlarni bajarish orqali erishiladi, ya'ni jalb qilish erishilgandan so'ng, jabrlanuvchining o'zi ijtimoiy muhandis uchun zarur bo'lgan harakatlarni amalga oshiradi.

Yig'ilgan ma'lumotlarga asoslanib, ijtimoiy xakerlar jabrlanuvchining psixo- va sotsiotipini aniq bashorat qilishadi, bu nafaqat oziq-ovqat, jinsiy aloqa va hokazolarga bo'lgan ehtiyojni, balki sevgiga bo'lgan ehtiyojni, pulga bo'lgan ehtiyojni, qulaylik va hokazolarni aniqlaydi. ., va boshqalar.

Haqiqatan ham, nima uchun u yoki bu kompaniyaga kirishga, kompyuterlarni, bankomatlarni buzishga, murakkab kombinatsiyalarni tashkil qilishga harakat qilish kerak, vaholanki, siz hamma narsani osonlashtirasiz: o'z xohishi bilan pul o'tkazadigan odamni sizni sevib qoling. ko'rsatilgan hisob yoki kerakli pul har safar ma'lumot almashish?

Odamlarning xatti-harakatlari oldindan aytib bo'ladigan va ma'lum qonunlarga bo'ysunishidan kelib chiqqan holda, ijtimoiy xakerlar va ijtimoiy dasturchilar inson ongining psixologiyasiga, xatti-harakatlar dasturlariga, ichki organlarning tebranishlariga, mantiqiy mantiqiy ta'sirga asoslangan original ko'p bosqichli va oddiy ijobiy va salbiy usullardan foydalanadilar. fikrlash, tasavvur, xotira, e'tibor. Ushbu texnikalar quyidagilarni o'z ichiga oladi:

Yog'och generatori - ichki organlarning tebranish chastotasi bilan bir xil chastotali tebranishlarni hosil qiladi, shundan so'ng rezonans effekti kuzatiladi, buning natijasida odamlar qattiq noqulaylik va vahima holatini his qila boshlaydi;

olomon geografiyasiga ta'sir qilish - o'ta xavfli tajovuzkor, katta odamlar guruhlarini tinch yo'l bilan tarqatish uchun;

yuqori chastotali va past chastotali tovushlar - vahima va uning teskari ta'sirini qo'zg'atish, shuningdek, boshqa manipulyatsiyalar;

ijtimoiy taqlid dasturi - shaxs boshqa odamlar qaysi harakatlarini to'g'ri deb bilishini aniqlash orqali harakatlarning to'g'riligini aniqlaydi;

qichqiriq dasturi - (ijtimoiy taqlid asosida) auditoriyadan kerakli reaktsiyani tashkil etish;

navbatlarni shakllantirish - (ijtimoiy taqlid asosida) oddiy, ammo samarali reklama harakati;

o'zaro yordam dasturi - inson o'ziga yaxshilik qilgan odamlarga yaxshilik qilishga intiladi. Ushbu dasturni bajarish istagi ko'pincha barcha sabablardan oshib ketadi;

Internetda ijtimoiy xakerlik

Internetning paydo bo'lishi va rivojlanishi bilan odamlar va ularning o'zaro ta'siridan iborat virtual muhit, zarur ma'lumotlarni olish va kerakli harakatlarni amalga oshirish uchun odamni manipulyatsiya qilish muhiti kengaydi. Hozirgi vaqtda Internet butun dunyo bo'ylab eshittirish vositasi, hamkorlik, aloqa vositasi bo'lib, butun dunyoni qamrab oladi. Ijtimoiy muhandislar o'z maqsadlariga erishish uchun aynan shu narsadan foydalanadilar.

Internet orqali odamni manipulyatsiya qilish usullari:

IN zamonaviy dunyo deyarli har bir kompaniyaning egalari Internet o'z biznesini kengaytirish uchun juda samarali va qulay vosita ekanligini va uning asosiy vazifasi butun kompaniyaning daromadini oshirish ekanligini allaqachon anglab yetgan. Ma'lumki, reklama istalgan ob'ektga e'tiborni jalb qilishga, unga qiziqish uyg'otishga yoki qo'llab-quvvatlashga va uni bozorda ilgari surishga qaratilgan axborotsiz foydalaniladi. Faqat, reklama bozori uzoq vaqtdan beri bo'linib ketganligi sababli, ko'pchilik tadbirkorlar uchun reklamaning aksariyat turlari pulni behuda sarflaydi. Internet-reklama ommaviy axborot vositalaridagi reklama turlaridan biri emas, balki boshqa narsadir, chunki Internet-reklama yordamida hamkorlikka qiziqqan odamlar tashkilot veb-saytiga kirishadi.

Internet-reklama, ommaviy axborot vositalaridagi reklamadan farqli o'laroq, reklama kompaniyasini boshqarish uchun ko'proq imkoniyatlar va parametrlarga ega. Internetdagi reklamaning eng muhim ko'rsatkichi shundan iboratki Internet-reklama to'lovlari faqat siz almashtirganingizda yechib olinadi reklama havolasi orqali qiziqqan foydalanuvchi, bu, albatta, Internetdagi reklamani ommaviy axborot vositalaridagi reklamadan ko'ra samaraliroq va arzonroq qiladi. Shunday qilib, televizor yoki bosma ommaviy axborot vositalarida reklama taqdim etgandan so'ng, ular buning uchun to'liq to'laydilar va shunchaki potentsial mijozlarni kutishadi, ammo mijozlar reklamaga javob berishlari mumkin yoki yo'q - barchasi televizor yoki gazetalarda reklama sifatiga bog'liq. , ammo, reklama byudjeti allaqachon holatda sarflangan. Agar reklama ishlamasa, u behuda sarflangan. Bunday ommaviy axborot vositalaridagi reklamadan farqli o'laroq, Internet-reklama auditoriyaning javobini kuzatish va byudjet sarflanishidan oldin Internet-reklamani boshqarish qobiliyatiga ega; bundan tashqari, Internet-reklama mahsulotlarga talab oshganda to'xtatilishi va talab pasayganda qayta tiklanishi mumkin.

Ta'sir qilishning yana bir usuli "Forumlarni o'ldirish" deb ataladi, bu erda ular ijtimoiy dasturlash yordamida ma'lum bir loyiha uchun anti-reklama yaratadilar. Bunday holda, ijtimoiy dasturchi aniq provokatsion harakatlar yordamida bir nechta taxalluslardan foydalangan holda forumni yolg'iz o'zi yo'q qiladi ( taxallus) o'z atrofida etakchiga qarshi guruh yaratish va ma'muriyatning xatti-harakatlaridan norozi bo'lgan doimiy tashrif buyuruvchilarni loyihaga jalb qilish. Bunday tadbirlar oxirida forumda mahsulot yoki g'oyalarni ilgari surish imkonsiz bo'lib qoladi. Forum dastlab aynan shu maqsadda ishlab chiqilgan.

Ijtimoiy muhandislik maqsadida Internet orqali odamga ta'sir qilish usullari:

Fishing - foydalanuvchining maxfiy ma'lumotlariga - login va parollarga kirishga qaratilgan Internetdagi firibgarlikning bir turi. Ushbu operatsiyani bajarish orqali erishiladi ommaviy pochta jo'natmalari mashhur brendlar nomidan elektron pochta xabarlari, shuningdek, turli xizmatlar (Rambler), banklar yoki ijtimoiy tarmoqlar (Facebook) ichidagi shaxsiy xabarlar. Maktubda ko'pincha tashqi ko'rinishidan haqiqiydan farq qilib bo'lmaydigan veb-saytga havola mavjud. Foydalanuvchi soxta sahifaga tushganidan so‘ng, ijtimoiy muhandislar foydalanuvchini sahifaga o‘z login va parolini kiritishga undash uchun turli usullardan foydalanadi, u ma’lum bir saytga kirish uchun foydalanadi, bu esa unga hisob va bank hisoblariga kirish imkonini beradi.

Firibgarlikning firibgarlikdan ko'ra xavfliroq turi bu "pharming"dir.

Pharming - bu foydalanuvchilarni fishing saytlariga yashirin tarzda yo'naltirish mexanizmi. Ijtimoiy muhandis foydalanuvchilarning kompyuterlariga maxsus zararli dasturlarni tarqatadi, ular kompyuterda ishga tushirilgach, kerakli saytlarning so'rovlarini soxta saytlarga yo'naltiradi. Shunday qilib, hujum juda maxfiy bo'lib, foydalanuvchi ishtiroki minimallashtiriladi - foydalanuvchi ijtimoiy muhandisni qiziqtirgan saytlarga tashrif buyurishga qaror qilguncha kutish kifoya.

Xulosa

Ijtimoiy muhandislik - sotsiologiyadan paydo bo'lgan va yangi ("sun'iy") ijtimoiy voqelikni yaratish, modernizatsiya qilish va qayta ishlab chiqarish jarayonini boshqaradigan, tartibga soluvchi va optimallashtiradigan bilimlar majmuasi ekanligini da'vo qiladigan fan. U ma'lum bir tarzda sotsiologiya fanini "to'ldiradi", ilmiy bilimlarni ijtimoiy institutlarning modellari, loyihalari va loyihalari, qadriyatlari, me'yorlari, faoliyat algoritmlari, munosabatlari, xatti-harakatlari va boshqalarga aylantirish bosqichida yakunlaydi.

Ijtimoiy muhandislik nisbatan yosh fan bo‘lishiga qaramay, jamiyatda sodir bo‘layotgan jarayonlarga katta zarar yetkazadi.

Ushbu halokatli ilmning ta'siridan himoya qilishning eng oddiy usullari:

Odamlarning e'tiborini xavfsizlik masalalariga jalb qilish.

Foydalanuvchilar muammoning jiddiyligini tushunishadi va tizim xavfsizlik siyosatini qabul qilishadi.

Adabiyot

1. R. Petersen Linux: To'liq qo'llanma: boshiga. ingliz tilidan - 3-nashr. - K.: BHV nashriyot guruhi, 2000. – 800 b.

2. Grodnev internetidan uyingizda. - M.: “RIPOL CLASSIC”, 2001. -480 b.

3. M. V. Kuznetsov Ijtimoiy muhandislik va ijtimoiy xakerlik. Sankt-Peterburg: BHV-Peterburg, 2007. - 368 pp.: kasal.

Ijtimoiy muhandislik texnikasi Inson miyasi katta qattiq disk, katta hajmdagi ma'lumotlar omboridir. Va egasi ham, boshqa har qanday shaxs ham bu ma'lumotlardan foydalanishi mumkin. Aytishlaricha, gapiruvchi josusga xudodir. Quyidagilarning ma'nosini yanada yaxshiroq tushunishingiz uchun siz hech bo'lmaganda psixologiya asoslari bilan tanishishingiz kerak.
Ijtimoiy muhandislik bizga imkon beradi "miyyangni ishlat" boshqa shaxs, turli usullardan foydalangan holda va undan kerakli ma'lumotlarni olish.
Wiki deydi: "Ijtimoiy muhandislik - bu texnik vositalardan foydalanmasdan inson harakatlarini boshqarish usuli"


Ijtimoiy muhandislik- Bu yosh fanning bir turi. Inson ongini manipulyatsiya qilishning ko'plab usullari va usullari mavjud. Kevin Mitnik ba'zida unga kirishni buzishdan ko'ra aldash va ma'lumot olish osonroq ekanligini aytganida haq edi. Bo'sh vaqtingizda "Aldash san'ati" kitobini o'qing, sizga yoqadi.
Mavjud teskari ijtimoiy muhandislik, bu jabrlanuvchining o'zidan ma'lumotlarni olishga qaratilgan. Uning yordami bilan jabrlanuvchining o'zi parollari va ma'lumotlari haqida gapiradi.

Internetda imo-ishoralar, intonatsiya yoki yuz ifodalari mavjud emas. Barcha aloqa asoslanadi matnli xabarlar. Va ma'lum bir vaziyatdagi muvaffaqiyatingiz sizning xabarlaringiz suhbatdoshga qanday ta'sir qilishiga bog'liq. Insonning ongini yashirin manipulyatsiya qilish uchun qanday usullardan foydalanish mumkin?

Provokatsiya qilish
Qat'iy aytganda, bu trolling. Odamni g'azablantiradi, aksariyat hollarda u ma'lumotga tanqidiy munosabatda bo'ladi. Bu holatda siz kerakli ma'lumotlarni yuklashingiz yoki olishingiz mumkin.

Sevgi
Bu, ehtimol, eng samarali texnika. Ko'p hollarda men buni ishlatganman)). Sevgi holatida odam oz narsani sezadi va bu manipulyatorga kerak bo'lgan narsadir.

Befarqlik
Manipulyatorning ma'lum bir mavzuga befarqligining ta'siri yaratiladi va suhbatdosh, o'z navbatida, uni ishontirishga harakat qiladi va shu bilan tuzoqqa tushib, kerakli ma'lumotlarni ochib beradi.

Shoshqin
Vaziyatlar ko'pincha manipulyator go'yoki biror joyga borishga shoshilganda va doimo unga ishora qilganda paydo bo'ladi, lekin shu bilan birga u kerakli ma'lumotni maqsadli ravishda targ'ib qiladi.

Shubha
Gumon qilish usuli biroz befarqlik usuliga o'xshaydi. Birinchi holda, jabrlanuvchi buning aksini isbotlaydi, ikkinchisida, jabrlanuvchi "o'z gumonini" oqlashga harakat qiladi, bu bilan u barcha ma'lumotlarni berib yuborayotganini anglamaydi.

Ironiya
Provokatsiya texnikasiga o'xshash. Manipulyator istehzo bilan odamni g'azablantiradi. U, o'z navbatida, g'azablangan holda ma'lumotni tanqidiy baholay olmaydi. Natijada, psixologik to'siqda teshik hosil bo'ladi, manipulyator undan foydalanadi.

Ochig'ilik
Manipulyator suhbatdoshga ochiq ma'lumotni aytganida, suhbatdosh qandaydir ishonchli munosabatlarni rivojlantiradi, bu esa himoya to'sig'ining zaiflashishini anglatadi. Bu psixologik himoyada bo'shliq yaratadi.

Yuqorida tavsiflangan usullar ijtimoiy muhandislikning to'liq imkoniyatlarini to'liq ishlata olmaydi. Bu texnika va usullar haqida gapirish va gapirish mumkin. Ushbu usullarni o'qib chiqqandan so'ng, siz hammaning ko'rsatmalariga amal qilishingiz shart emasligini tushunishingiz kerak. O'zingizni va g'azabingizni nazorat qilishni o'rganing, shunda sizning himoyangiz doimo kerakli darajada bo'ladi.
Bizniki davom etadi. Yangi maqolalarni kuting))

Ijtimoiy muhandislik

Ijtimoiy muhandislik texnik vositalardan foydalanmasdan axborot yoki axborotni saqlash tizimlariga ruxsatsiz kirish usulidir. Ijtimoiy muhandislarning asosiy maqsadi, boshqa xakerlar va krakerlar kabi, ma'lumot, parollar, kredit karta ma'lumotlari va boshqalarni o'g'irlash uchun xavfsiz tizimlarga kirishdir. Oddiy xakerlikdan asosiy farqi shundaki, bu holda hujum nishoni sifatida mashina emas, balki uning operatori tanlanadi. Shuning uchun ijtimoiy muhandislarning barcha usullari va usullari inson omilining zaif tomonlaridan foydalanishga asoslangan bo'lib, bu juda halokatli hisoblanadi, chunki tajovuzkor ma'lumotni oladi, masalan, odatdagidan foydalangan holda. telefon suhbati yoki xodim niqobi ostida tashkilotga kirib borgan. Ushbu turdagi hujumlardan himoyalanish uchun siz eng keng tarqalgan firibgarlik turlaridan xabardor bo'lishingiz, xakerlar nimani xohlashini tushunishingiz va o'z vaqtida tegishli xavfsizlik siyosatini tashkil qilishingiz kerak.

Hikoya

"Ijtimoiy muhandislik" tushunchasi nisbatan yaqinda paydo bo'lganiga qaramay, odamlar u yoki bu shaklda uning usullaridan qadimdan foydalanganlar. Qadimgi Yunoniston va Rimda suhbatdoshini turli yo'llar bilan uning noto'g'ri ekanligiga ishontira oladigan odamlar juda hurmatga sazovor edi. Davlat rahbarlari nomidan soʻzga chiqib, diplomatik muzokaralar olib bordi. Yolg'on, xushomad va foydali dalillardan mohirona foydalanib, ular ko'pincha qilichsiz hal qilish mumkin bo'lmagan muammolarni hal qilishdi. Ayg'oqchilar orasida ijtimoiy muhandislik doimo asosiy qurol bo'lib kelgan. KGB va Markaziy razvedka boshqarmasi xodimlari o'zini boshqa shaxs sifatida ko'rsatish orqali maxfiy davlat sirlarini bilib olishlari mumkin edi. 70-yillarning boshlarida, janjal avjida, ba'zi telefon bezorilari aloqa operatorlariga qo'ng'iroq qilib, kompaniya texnik xodimlaridan maxfiy ma'lumotlarni olishga harakat qilishdi. Fokuslar bo'yicha turli tajribalardan so'ng, 70-yillarning oxiriga kelib, freakerlar o'qitilmagan operatorlarni manipulyatsiya qilish usullarini shu qadar takomillashtirdilarki, ulardan o'zlari xohlagan deyarli hamma narsani osongina o'rganishlari mumkin edi.

Ijtimoiy muhandislik tamoyillari va texnikasi

Ijtimoiy muhandislar foydalanadigan bir nechta umumiy usullar va hujum turlari mavjud. Bu usullarning barchasi kognitiv (shuningdek qarang: Kognitiv) tarafkashlik deb nomlanuvchi inson qarorlarini qabul qilish xususiyatlariga asoslanadi. Ushbu noto'g'ri fikrlar har bir alohida holatda eng to'g'ri aldash strategiyasini yaratish uchun turli xil kombinatsiyalarda qo'llaniladi. Ammo bu usullarning barchasining umumiy xususiyati odamni o'zi uchun foydali bo'lmagan va ijtimoiy muhandis uchun zarur bo'lgan biron bir harakatni majburlashdan iborat bo'lgan noto'g'ridir. Istalgan natijaga erishish uchun tajovuzkor bir qator turli xil taktikalarni qo'llaydi: o'zini boshqa odamga taqlid qilish, diqqatni chalg'itish, psixologik keskinlikni oshirish va hokazo. Aldashning yakuniy maqsadlari ham juda xilma-xil bo'lishi mumkin.

Ijtimoiy muhandislik texnikasi

Baholash

Pretexting - bu aniq, oldindan tayyorlangan stsenariy (bahona) bo'yicha amalga oshiriladigan harakatlar majmui. Ushbu uslub telefon, Skype va boshqalar kabi ovozli vositalardan foydalanishni o'z ichiga oladi. zarur ma'lumotlarni olish uchun. Odatda, tajovuzkor o'zini uchinchi shaxs sifatida ko'rsatish yoki kimnidir yordamga muhtoj deb ko'rsatish orqali jabrlanuvchidan parolni yoki fishing veb-sahifasiga kirishni so'raydi va shu bilan maqsadni aldab, kerakli harakatni amalga oshiradi yoki ma'lum ma'lumotlarni taqdim etadi. Ko'pgina hollarda, bu usul hujum maqsadi haqida ba'zi dastlabki ma'lumotlarni talab qiladi (masalan, shaxsiy ma'lumotlar: tug'ilgan sana, telefon raqami, hisob raqamlari va boshqalar.) Eng keng tarqalgan strategiya birinchi navbatda kichik so'rovlardan foydalanish va eslatib o'tishdir. tashkilotdagi haqiqiy odamlarning ismlari. Keyinchalik, suhbat davomida hujumchi yordamga muhtojligini tushuntiradi (ko'pchilik shubhali deb hisoblanmaydigan vazifalarni bajarishga qodir va tayyor). Ishonch o'rnatilgach, firibgar yanada muhimroq va muhimroq narsani so'rashi mumkin.

Fishing

“Hisobni qayta faollashtirish” soʻrovi bilan elektron pochta xizmatidan yuborilgan fishing xatiga misol

Fishing (inglizcha phishing, baliq ovlashdan - baliq ovlash, baliq ovlash) - Internetdagi firibgarlikning bir turi bo'lib, uning maqsadi foydalanuvchining maxfiy ma'lumotlariga - login va parollarga kirishdan iborat. Bu, ehtimol, bugungi kunda eng mashhur ijtimoiy muhandislik sxemasi. Birorta ham katta shaxsiy ma'lumotlarning sizib chiqishi fishing elektron pochta xabarlari to'lqinisiz sodir bo'lmaydi. Fishingning maqsadi maxfiy ma'lumotlarni noqonuniy ravishda olishdir. Fishing hujumining eng yorqin misoli bu orqali jabrlanuvchiga yuborilgan xabardir elektron pochta, va rasmiy xat sifatida soxtalashtirilgan - bank yoki to'lov tizimidan - muayyan ma'lumotlarni tekshirish yoki muayyan harakatlarni bajarishni talab qiladi. Turli sabablar bo'lishi mumkin. Bu ma'lumotlar yo'qolishi, tizimning ishlamay qolishi va boshqalar bo'lishi mumkin. Bu xatlar odatda rasmiy sahifaga oʻxshagan soxta veb-sahifaga havolani oʻz ichiga oladi va maxfiy maʼlumotlarni kiritishni talab qiluvchi shaklni oʻz ichiga oladi.

Global fishing elektron pochta xabarlarining eng mashhur misollaridan biri 2003 yildagi firibgarlik bo'lib, unda minglab eBay foydalanuvchilari o'zlarining hisoblari bloklanganligi va uni ochish uchun kredit karta ma'lumotlarini yangilashni talab qilganliklari haqida elektron pochta xabarlarini olishgan. Ushbu elektron pochta xabarlarining barchasi rasmiy sahifaga o'xshash soxta veb-sahifaga olib boradigan havolani o'z ichiga olgan. Mutaxassislarning fikricha, bu firibgarlikdan ko'rilgan zarar bir necha yuz ming dollarni tashkil etgan.

Fishing hujumini qanday aniqlash mumkin

Deyarli har kuni yangi firibgarlik sxemalari paydo bo'ladi. Aksariyat odamlar yolg'on xabarlarni tanib olishni, ularning ba'zi bir ajralib turadigan xususiyatlari bilan tanishib, mustaqil ravishda o'rganishlari mumkin. Ko'pincha fishing xabarlari quyidagilarni o'z ichiga oladi:

  • foydalanuvchi bank hisoblarini yopish kabi tashvish yoki tahdidlarni keltirib chiqaradigan ma'lumotlar.
  • kam yoki hech qanday harakat bilan katta pul mukofotlari va'da.
  • xayriya tashkilotlari nomidan ixtiyoriy xayriya so'rovlari.
  • grammatik, tinish belgilari va imlo xatolari.

Mashhur fishing sxemalari

Eng mashhur fishing firibgarliklari quyida tasvirlangan.

Mashhur korporatsiyalarning brendlaridan foydalangan holda firibgarlik

Ushbu fishing firibgarliklari yirik yoki taniqli kompaniyalarning nomlarini o'z ichiga olgan soxta elektron pochta yoki veb-saytlardan foydalanadi. Xabarlarda kompaniya tomonidan o'tkazilgan tanlovda g'olib chiqqaningiz yoki hisob ma'lumotlari yoki parolingizni zudlik bilan o'zgartirish zarurati haqidagi tabriklar bo'lishi mumkin. Texnik qo'llab-quvvatlash nomidan shunga o'xshash firibgarlik sxemalari telefon orqali ham amalga oshirilishi mumkin.

Soxta lotereyalar

Foydalanuvchi qaysidir taniqli kompaniya tomonidan o'tkazilgan lotereyada yutganligi haqida xabarlar olishi mumkin. Tashqi tomondan, bu xabarlar katta korporativ xodim nomidan yuborilgandek ko'rinishi mumkin.

Soxta antivirus va xavfsizlik dasturlari
IVR yoki telefon orqali fishing

IVR tizimlarining ishlash printsipi

Qui kvo haqida

Quid pro quo (lotincha Quid pro quo - "buning uchun") qisqartma bo'lib, odatda Ingliz tili"xizmat ko'rsatish" ma'nosida. Ushbu turdagi hujum korporativ telefon orqali kompaniyaga qo'ng'iroq qilgan tajovuzkorni o'z ichiga oladi. Aksariyat hollarda tajovuzkor o'zini texnik qo'llab-quvvatlash xodimi sifatida namoyon etib, texnik muammolar bor-yo'qligini so'raydi. Texnik muammolarni “hal qilish” jarayonida firibgar maqsadni xakerga zararli dasturlarni ishga tushirish yoki o‘rnatish imkonini beruvchi buyruqlarni kiritishga “majburlaydi”. dasturiy ta'minot foydalanuvchi mashinasiga.

Troyan oti

Ba'zida troyanlardan foydalanish rejalashtirilgan ko'p bosqichli hujumning bir qismidir ba'zi kompyuterlar, tarmoqlar yoki resurslar.

Troyanlarning turlari

Troyanlar ko'pincha zararli maqsadlar uchun ishlab chiqilgan. Troyanlarning tizimga qanday kirib borishi va unga zarar etkazishi asosida ular toifalarga bo'lingan tasnif mavjud. 5 ta asosiy tur mavjud:

  • masofaviy kirish
  • ma'lumotlarni yo'q qilish
  • yuklovchi
  • server
  • xavfsizlik dasturini o'chirish

Maqsadlar

Troyan dasturining maqsadi quyidagilar bo'lishi mumkin:

  • fayllarni yuklash va yuklab olish
  • soxta veb-saytlarga, chat xonalariga yoki boshqa ro'yxatga olish saytlariga olib keladigan noto'g'ri havolalarni nusxalash
  • foydalanuvchining ishiga aralashish
  • resurslarga ruxsatsiz kirish uchun qimmatli yoki sir ma'lumotlarini, shu jumladan autentifikatsiya ma'lumotlarini o'g'irlash, jinoiy maqsadlarda foydalanish mumkin bo'lgan bank hisoblari tafsilotlarini olish
  • viruslar kabi boshqa zararli dasturlarni tarqatish
  • ma'lumotlarni yo'q qilish (diskdagi ma'lumotlarni o'chirish yoki qayta yozish, fayllarni ko'rish qiyin bo'lgan shikastlanishlar) va uskunalarni yo'q qilish, kompyuter tizimlari, tarmoqlariga xizmat ko'rsatishni o'chirish yoki ishdan chiqish
  • elektron pochta manzillarini yig'ish va ulardan spam yuborish uchun foydalanish
  • foydalanuvchiga josuslik qilish va uchinchi shaxslarga maxfiy ma'lumotlarni etkazish, masalan, ko'rish odatlari
  • Parollar va kredit karta raqamlari kabi ma'lumotlarni o'g'irlash uchun tugmalarni bosish
  • antivirus dasturlari va xavfsizlik devorlarini o'chirish yoki ishlashiga xalaqit berish

Maskalash

Ko'pgina troyan dasturlari foydalanuvchilarning kompyuterlarida ular bilmagan holda joylashgan. Ba'zida troyanlar ro'yxatga olish kitobida ro'yxatga olinadi, bu esa ularni ishga tushirishda avtomatik ravishda ishga tushirishga olib keladi operatsion tizim. Troyanlarni qonuniy fayllar bilan ham birlashtirish mumkin. Agar foydalanuvchi shunday faylni ochsa yoki dasturni ishga tushirsa, u bilan birga troyan ham ishga tushiriladi.

Troyan qanday ishlaydi

Troyanlar odatda ikki qismdan iborat: mijoz va server. Server jabrlanuvchi mashinasida ishlaydi va mijozdan ulanishlarni nazorat qiladi. Server ishlayotgan vaqtda u mijozdan ulanish uchun port yoki bir nechta portlarni kuzatib boradi. Buzg'unchi Serverga ulanishi uchun u ishlayotgan mashinaning IP manzilini bilishi kerak. Ba'zi troyanlar jabrlanuvchi mashinasining IP manzilini elektron pochta yoki boshqa usul orqali hujum qiluvchi tomonga yuboradi. Serverga ulanish sodir bo'lishi bilan mijoz unga buyruqlar yuborishi mumkin, bu esa Server bajaradi. Hozirgi vaqtda NAT texnologiyasi tufayli ko'pgina kompyuterlarga ularning tashqi IP-manzillari orqali kirish mumkin emas. Shuning uchun bugungi kunda ko'plab troyanlar tajovuzkorning o'zi qurbonga ulanishga urinish o'rniga, ulanish ulanishlarini qabul qilish uchun javobgar bo'lgan tajovuzkorning kompyuteriga ulanadi. Ko'pgina zamonaviy troyanlar foydalanuvchi kompyuterlaridagi xavfsizlik devorlarini osongina chetlab o'tishlari mumkin.

Ochiq manbalardan ma'lumotlarni to'plash

Ijtimoiy muhandislik usullaridan foydalanish nafaqat psixologiyani bilishni, balki inson haqida kerakli ma'lumotlarni to'plash qobiliyatini ham talab qiladi. Bunday ma'lumotlarni olishning nisbatan yangi usuli uni ochiq manbalardan, asosan ijtimoiy tarmoqlardan to'plash edi.Masalan, livejournal, Odnoklassniki, Vkontakte kabi saytlarda odamlar yashirishga urinmaydigan juda ko'p ma'lumotlar mavjud. Qoidaga ko'ra, , foydalanuvchilar xavfsizlik masalalariga etarlicha e'tibor bermaydilar, ma'lumotlar va ma'lumotlarni tajovuzkor tomonidan foydalanishi mumkin bo'lgan umumiy mulkda qoldiradilar.

Bunga yorqin misol - Evgeniy Kasperskiyning o'g'lining o'g'irlanishi haqidagi voqea. Tergov jarayonida jinoyatchilar o‘smirning kunlik jadvali va yo‘nalishlarini uning sahifadagi yozuvlaridan bilib olgani aniqlandi. ijtimoiy tarmoq.

Ijtimoiy tarmoqdagi sahifasidagi ma'lumotlarga kirishni cheklagan holda ham, foydalanuvchi hech qachon firibgarlar qo'liga tushmasligiga ishonch hosil qila olmaydi. Misol uchun, braziliyalik kompyuter xavfsizligi tadqiqotchisi ijtimoiy muhandislik texnikasi yordamida 24 soat ichida istalgan Facebook foydalanuvchisi bilan do‘st bo‘lish mumkinligini ko‘rsatdi. Tajriba davomida tadqiqotchi Nelson Novaes Neto "qurbon"ni tanladi va o'z atrofidagi odam - uning xo'jayini haqida soxta akkaunt yaratdi. Neto do‘stlik so‘rovlarini avval jabrlanuvchining xo‘jayini do‘stlarining do‘stlariga, keyin esa bevosita do‘stlariga yubordi. 7,5 soatdan so'ng tadqiqotchi "jabrlanuvchi" ni uni do'st sifatida qo'shishga majbur qildi. Shunday qilib, tadqiqotchi foydalanuvchining faqat do'stlari bilan bo'lishadigan shaxsiy ma'lumotlariga kirish huquqiga ega bo'ldi.

Yo'l olma

Ushbu hujum usuli troyan otining moslashuvi bo'lib, jismoniy vositalardan foydalanishdan iborat. Tajovuzkor "infektsiyalangan" yoki chirog'ni tashuvchini osongina topish mumkin bo'lgan joyga (hojatxona, lift, to'xtash joyi) ekadi. Ommaviy axborot vositalari rasmiy ko'rinish uchun soxtalashtirilgan va qiziqish uyg'otish uchun mo'ljallangan imzo bilan birga. Masalan, firibgar korporativ logotip va kompaniyaning rasmiy veb-saytiga havola bilan jihozlangan xatni "Boshqaruv maoshlari" deb belgilashi mumkin. Diskni lift qavatida yoki qabulxonada qoldirish mumkin. Xodim o'z qiziqishini qondirish uchun o'zi bilmagan holda diskni olib, kompyuterga kiritishi mumkin.

Teskari ijtimoiy muhandislik

Teskari ijtimoiy muhandislik jabrlanuvchining o'zi tajovuzkorga kerakli ma'lumotlarni taqdim etganda tushuniladi. Bu bema'ni tuyulishi mumkin, lekin aslida texnik yoki ijtimoiy sohada vakolatga ega bo'lgan shaxslar ko'pincha foydalanuvchi identifikatorlari va parollari va boshqa muhim ma'lumotlarni olishadi. Shaxsiy ma'lumot shunchaki, chunki hech kim ularning yaxlitligiga shubha qilmaydi. Masalan, qo'llab-quvvatlash xodimlari hech qachon foydalanuvchilardan ID yoki parol so'ramaydi; muammolarni hal qilish uchun ularga bu ma'lumot kerak emas. Biroq, ko'plab foydalanuvchilar muammolarni tezda hal qilish uchun ushbu maxfiy ma'lumotlarni ixtiyoriy ravishda taqdim etadilar. Ma'lum bo'lishicha, hujumchi bu haqda so'rashga ham hojat yo'q.

Teskari ijtimoiy muhandislik misoli quyidagi oddiy stsenariydir. Jabrlanuvchi bilan ishlaydigan tajovuzkor jabrlanuvchining kompyuteridagi fayl nomini o'zgartiradi yoki uni boshqa katalogga o'tkazadi. Jabrlanuvchi fayl yo'qolganini sezsa, hujumchi hamma narsani tuzatishi mumkinligini da'vo qiladi. Ishni tezroq yakunlashni yoki ma'lumotni yo'qotganlik uchun jazodan qochishni istab, jabrlanuvchi bu taklifga rozi bo'ladi. Hujumchining ta'kidlashicha, muammoni faqat jabrlanuvchining hisob ma'lumotlari bilan tizimga kirish orqali hal qilish mumkin. Endi jabrlanuvchi tajovuzkordan faylni qayta tiklashga harakat qilish uchun uning nomi bilan tizimga kirishni so'raydi. Buzg'unchi istamay rozi bo'ladi va faylni qayta tiklaydi va bu jarayonda qurbonning ID va parolini o'g'irlaydi. Hujumni muvaffaqiyatli amalga oshirib, u hatto obro'sini oshirdi va bundan keyin boshqa hamkasblari unga yordam so'rab murojaat qilishlari mumkin. Ushbu yondashuv qo'llab-quvvatlash xizmatlarini taqdim etishning odatiy tartiblariga xalaqit bermaydi va tajovuzkorni qo'lga olishni qiyinlashtiradi.

Mashhur ijtimoiy muhandislar

Kevin Mitnik

Kevin Mitnik. Dunyoga mashhur xaker va xavfsizlik bo'yicha maslahatchi

Tarixdagi eng mashhur ijtimoiy muhandislardan biri Kevin Mitnikdir. Dunyoga mashhur kompyuter xakeri va xavfsizlik bo'yicha maslahatchi sifatida Mitnik kompyuter xavfsizligi bo'yicha asosan ijtimoiy muhandislik va odamlarga psixologik ta'sir ko'rsatish usullariga bag'ishlangan ko'plab kitoblarning muallifidir. 2002 yilda uning muallifligida ijtimoiy muhandislikdan foydalanishning haqiqiy voqealari haqida hikoya qiluvchi "Aldash san'ati" kitobi nashr etildi. Kevin Mitnikning ta'kidlashicha, xavfsizlik tizimini buzishga urinishdan ko'ra aldash yo'li bilan parol olish osonroq.

Badir birodarlar

Aka-uka Mundir, Mushid va Shodi Badirlar tug‘ma ko‘zi ojiz bo‘lishlariga qaramay, ular 1990-yillarda Isroilda ijtimoiy muhandislik va ovozni aldash usullaridan foydalangan holda bir nechta yirik firibgarlik sxemalarini amalga oshirishga muvaffaq bo‘lishgan. Televizion intervyuda ular shunday dedilar: "Faqat telefon, elektr energiyasi va noutbukdan foydalanmaydiganlar tarmoq hujumlaridan to'liq sug'urtalanganlar." Aka-uka provayderlarning yashirin shovqinlarini eshitib, hal qila olgani uchun allaqachon qamoqxonada bo'lgan. telefon aloqasi. Ular uyali aloqa provayderlarining kompyuterlarini shovqin ohanglari bilan qayta dasturlashtirib, birovning hisobidan chet elda uzoq qo'ng'iroqlarni amalga oshirdilar.

Archangel

Phrack jurnalining muqovasi

Mashhur kompyuter xakeri va mashhur ingliz tilidagi "Phrack Magazine" onlayn-jurnalining xavfsizlik bo'yicha maslahatchisi, Archangel juda ko'p sonli foydalanuvchilardan parollar olish orqali ijtimoiy muhandislik texnikasi imkoniyatlarini namoyish etdi. turli tizimlar, bir necha yuz qurbonlarni aldash.

Boshqa

Kamroq taniqli ijtimoiy muhandislar orasida Frank Abagnale, Devid Bannon, Piter Foster va Stiven Jey Rassell bor.

Ijtimoiy muhandislikdan himoya qilish usullari

O'z hujumlarini amalga oshirish uchun ijtimoiy muhandislik usullaridan foydalanadigan tajovuzkorlar ko'pincha foydalanuvchilar va tashkilotlar xodimlarining ishonchliligi, dangasaligi, xushmuomalaligi va hatto ishtiyoqidan foydalanadilar. Bunday hujumlardan himoyalanish oson emas, chunki qurbonlar aldanganliklarini bilmasliklari mumkin. Ijtimoiy muhandislik tajovuzkorlari odatda boshqa har qanday tajovuzkor bilan bir xil maqsadlarga ega: ular pul, ma'lumot yoki jabrlanuvchi kompaniyaning IT resurslarini xohlashadi. Bunday hujumlardan himoyalanish uchun siz ularning turlarini o'rganishingiz, tajovuzkorga nima kerakligini tushunishingiz va tashkilotga etkazilishi mumkin bo'lgan zararni baholashingiz kerak. Ushbu ma'lumotlarning barchasi bilan siz xavfsizlik siyosatingizga kerakli himoya choralarini kiritishingiz mumkin.

Tahdid tasnifi

Elektron pochta tahdidlari

Ko'pgina xodimlar har kuni korporativ va shaxsiy orqali oladilar pochta tizimlari o'nlab va hatto yuzlab elektron pochta xabarlari. Albatta, bunday yozishmalar oqimi bilan har bir harfga munosib e'tibor berish mumkin emas. Bu hujumlarni amalga oshirishni ancha osonlashtiradi. Elektron pochta tizimlarining aksariyat foydalanuvchilari bunday xabarlarni qayta ishlashda xotirjam bo'lib, bu ishni qog'ozlarni bir papkadan boshqasiga ko'chirishning elektron analogi sifatida qabul qilishadi. Buzg'unchi pochta orqali oddiy so'rov yuborganda, uning qurboni ko'pincha o'z harakatlari haqida o'ylamasdan so'ragan narsani qiladi. Elektron pochta xodimlarni korporativ muhitni muhofaza qilishni buzishga undaydigan giperhavolalarni o'z ichiga olishi mumkin. Bunday havolalar har doim ham ko'rsatilgan sahifalarga olib kelmaydi.

Aksariyat xavfsizlik choralari ruxsatsiz foydalanuvchilarning korporativ resurslarga kirishini oldini olishga qaratilgan. Agar tajovuzkor tomonidan yuborilgan giperhavolani bosish orqali foydalanuvchi troyan yoki virusni korporativ tarmoqqa yuklasa, bu ko'plab himoya turlarini chetlab o'tishni osonlashtiradi. Giperhavola, shuningdek, ma'lumot so'ragan yoki yordam taklif qiladigan qalqib chiquvchi ilovalar joylashgan saytga ishora qilishi mumkin. Boshqa turdagi firibgarliklarda bo'lgani kabi, ko'pchilik samarali usul zararli hujumlardan himoya qilish har qanday kutilmagan kiruvchi xatlarga shubha bilan qarashdir. Ushbu yondashuvni tashkilotingiz bo'ylab targ'ib qilish uchun sizning xavfsizlik siyosatingiz quyidagi elementlarni qamrab olgan elektron pochtadan foydalanish bo'yicha maxsus ko'rsatmalarni o'z ichiga olishi kerak:

  • Hujjatlarga qo'shimchalar.
  • Hujjatlardagi giperhavolalar.
  • Kompaniya ichidan keladigan shaxsiy yoki korporativ ma'lumotlarga bo'lgan so'rovlar.
  • Kompaniya tashqarisidan kelib chiqadigan shaxsiy yoki korporativ ma'lumotlarga bo'lgan so'rovlar.

Tezkor xabar almashish xizmatlaridan foydalanish bilan bog'liq tahdidlar

Tezkor xabar almashish - ma'lumotlarni uzatishning nisbatan yangi usuli, ammo u allaqachon korporativ foydalanuvchilar orasida keng ommalashgan. Tezlik va foydalanish qulayligi tufayli ushbu aloqa usuli turli xil hujumlar uchun keng imkoniyatlarni ochib beradi: foydalanuvchilar uni telefon aloqasi sifatida qabul qiladi va uni potentsial dasturiy tahdidlar bilan bog'lamaydi. Tezkor xabar almashish xizmatlaridan foydalanishga asoslangan hujumlarning ikkita asosiy turi - bu xabarning asosiy qismiga zararli dasturga havolani kiritish va dasturning o'zini etkazib berish. Albatta, tezkor xabar almashish ham ma'lumot so'rashning bir usuli hisoblanadi. Tezkor xabar almashish xizmatlarining xususiyatlaridan biri bu muloqotning norasmiy xususiyatidir. O‘ziga istalgan nom berish qobiliyati bilan birgalikda bu tajovuzkorning boshqa birovning taqlid qilishini ancha osonlashtiradi va ularning hujumni muvaffaqiyatli amalga oshirish imkoniyatlarini sezilarli darajada oshiradi.Agar kompaniya xarajatlarni kamaytirish imkoniyatlari va boshqa imtiyozlardan foydalanmoqchi bo‘lsa. lahzali xabar almashish orqali ta'minlangan holda, korporativ xavfsizlik siyosatiga tegishli tahdidlardan himoya mexanizmlarini kiritish zarur. Korxona muhitida tezkor xabar almashish ustidan ishonchli nazoratni qo'lga kiritish uchun bir nechta talablar bajarilishi kerak.

  • Bir lahzali xabar almashish platformasini tanlang.
  • Tezkor xabarlar xizmatini qo'llashda ko'rsatilgan xavfsizlik sozlamalarini aniqlang.
  • Yangi aloqalarni o'rnatish tamoyillarini aniqlang
  • Parol standartlarini o'rnating
  • Tezkor xabarlar xizmatidan foydalanish bo'yicha tavsiyalar bering.

Ko'p darajali xavfsizlik modeli

Yirik kompaniyalar va ularning xodimlarini ijtimoiy muhandislik texnikasidan foydalangan holda firibgarlardan himoya qilish uchun ko'pincha murakkab ko'p darajali xavfsizlik tizimlari qo'llaniladi. Bunday tizimlarning ba'zi xususiyatlari va mas'uliyatlari quyida keltirilgan.

  • Jismoniy xavfsizlik. Kompaniya binolari va korporativ resurslarga kirishni cheklaydigan to'siqlar. Shuni unutmangki, kompaniya resurslari, masalan, kompaniya hududidan tashqarida joylashgan axlat konteynerlari jismonan himoyalanmagan.
  • Ma'lumotlar. Biznes ma'lumotlari: Hisoblar, pochta va boshqalar. Tahdidlarni tahlil qilish va ma'lumotlarni himoya qilish choralarini rejalashtirishda qog'oz va qog'oz bilan ishlash tamoyillarini aniqlash kerak. elektron ommaviy axborot vositalari ma'lumotlar.
  • Ilovalar. Foydalanuvchi tomonidan boshqariladigan dasturlar. Atrof-muhitni himoya qilish uchun tajovuzkorlar qanday foydalanishi mumkinligini ko'rib chiqishingiz kerak pochta jo'natmalari, lahzali xabar almashish xizmatlari va boshqa ilovalar.
  • Kompyuterlar. Tashkilotda ishlatiladigan serverlar va mijoz tizimlari. Korporativ kompyuterlarda qanday dasturlardan foydalanishni tartibga soluvchi qat'iy ko'rsatmalarni belgilash orqali foydalanuvchilarni kompyuterlariga to'g'ridan-to'g'ri hujumlardan himoya qiladi.
  • Ichki tarmoq. Ular o'zaro ta'sir qiladigan tarmoq korporativ tizimlar. Bu mahalliy, global yoki simsiz bo'lishi mumkin. IN o'tgan yillar Masofaviy ish usullarining tobora ommalashib borayotganligi sababli, ichki tarmoqlarning chegaralari asosan o'zboshimchalik bilan bo'lib qoldi. Kompaniya xodimlariga tashkilot uchun nima qilishlari kerakligini tushuntirish kerak. xavfsiz ish har qanday tarmoq muhitida.
  • Tarmoq perimetri. O'rtasidagi chegara ichki tarmoqlar kompaniya va tashqi, masalan, Internet yoki hamkor tashkilotlarning tarmoqlari.

Mas'uliyat

Telefon suhbatlarini oldindan aytib berish va yozib olish

Hewlett-Packard

Hewlett Packard korporatsiyasi prezidenti Patrisiya Danning aytishicha, u maxfiy ma'lumotlarning sizib chiqishiga mas'ul bo'lgan kompaniya xodimlarini aniqlash uchun xususiy kompaniyani yollagan. Keyinchalik, korporatsiya rahbari tadqiqot jarayonida bahona amaliyoti va boshqa ijtimoiy muhandislik texnikasidan foydalanilganini tan oldi.

Eslatmalar

Shuningdek qarang

Havolalar

  • SocialWare.ru - Xususiy ijtimoiy muhandislik loyihasi
  • - Ijtimoiy muhandislik: asoslar. I qism: Xakerlik taktikasi
  • Fishing hujumlaridan himoya qilish.
  • Ijtimoiy muhandislik asoslari - Securityfocus.com.
  • Ijtimoiy muhandislik, USB usuli - DarkReading.com.
  • Ijtimoiy muhandislik penetratsion testning bir qismi bo'lishi kerakmi? - darknet.org.uk.
  • "Iste'molchilarni himoya qilish" telefon yozuvlari", Elektron maxfiylik ma'lumotlar markazi AQSh Savdo, fan va transport qo'mitasi .
  • Plotkin, Hal. Matbuotga eslatma: Prestexting Allaqachon Noqonuniy.
  • Parollar uchun striptiz - MSNBC.MSN.com.
  • Social-Engineer.org - social-engineer.org.

Ijtimoiy muhandislik- inson psixologiyasining xususiyatlaridan kelib chiqqan holda, kerakli ma'lumot olish usuli. Ijtimoiy muhandislikning asosiy maqsadi - maxfiy ma'lumotlar, parollar, bank ma'lumotlari va boshqa himoyalangan tizimlarga kirish. Ijtimoiy muhandislik atamasi yaqinda paydo bo'lgan bo'lsa-da, ma'lumotni shu tarzda olish usuli ancha vaqtdan beri qo'llanilgan. Ba'zi davlat sirlarini olishni xohlaydigan Markaziy razvedka boshqarmasi va KGB xodimlari, siyosatchilar va deputatlikka nomzodlar va biz o'zimiz, agar biror narsa olishni istasak, ko'pincha buni sezmasdan, biz ijtimoiy muhandislik usullaridan foydalanamiz.

O'zingizni ijtimoiy muhandislik ta'siridan himoya qilish uchun siz uning qanday ishlashini tushunishingiz kerak. Keling, ijtimoiy muhandislikning asosiy turlarini va ulardan himoyalanish usullarini ko'rib chiqaylik.

Baholash- bu aniq, oldindan tuzilgan stsenariy bo'yicha ishlab chiqilgan harakatlar to'plami, buning natijasida jabrlanuvchi ma'lum bir ma'lumot berishi yoki ma'lum bir harakatni amalga oshirishi mumkin. Hammasidan ko'proq bu tur Hujum Skype, telefon va boshqalar kabi ovozli vositalardan foydalanishni o'z ichiga oladi.

Ushbu usuldan foydalanish uchun tajovuzkor dastlab jabrlanuvchi haqida ba'zi ma'lumotlarga ega bo'lishi kerak (xodimning ismi; lavozimi; u ishlaydigan loyihalarning nomi; tug'ilgan sanasi). Buzg'unchi dastlab kompaniya xodimlarining ismlari bilan haqiqiy so'rovlardan foydalanadi va ishonchni qozongandan so'ng, o'ziga kerakli ma'lumotlarni oladi.

Fishing- foydalanuvchining maxfiy ma'lumotlarini olishga qaratilgan Internet-firibgarlik usuli - turli tizimlarning avtorizatsiya ma'lumotlari. Fishing hujumining asosiy turi jabrlanuvchiga yuborilgan rasmiy xat bo‘lib ko‘rinadigan soxta elektron pochta xabaridir to'lov tizimi yoki bank. Maktubda shaxsiy ma'lumotlarni kiritish shakli (PIN-kodlar, login va parol va boshqalar) yoki bunday shakl joylashgan veb-sahifaga havola mavjud. Jabrlanuvchining bunday sahifalarga ishonishining sabablari boshqacha bo'lishi mumkin: hisobni bloklash, tizimning ishlamay qolishi, ma'lumotlar yo'qolishi va boshqalar.

Troyan oti- Ushbu uslub foydalanuvchilarning qiziqishi, qo'rquvi yoki boshqa his-tuyg'ulariga asoslangan. Buzg'unchi jabrlanuvchiga elektron pochta orqali xat yuboradi, uning ilovasida antivirus "yangilanishi", pul yutish kaliti yoki xodimni ayblovchi dalillar mavjud. Aslida, ilova o'z ichiga oladi zararli dastur, bu foydalanuvchi uni o'z kompyuterida ishga tushirgandan so'ng, tajovuzkor tomonidan ma'lumotlarni to'plash yoki o'zgartirish uchun ishlatiladi.

Qui kvo haqida(quid pro quo) - bu usul tajovuzkorning foydalanuvchi bilan elektron pochta yoki korporativ telefon orqali bog'lanishini o'z ichiga oladi. Hujumchi o'zini, masalan, texnik yordam xodimi sifatida tanishtirishi va ish joyida texnik muammolar yuzaga kelishi haqida xabar berishi mumkin. U ularni yo'q qilish zarurligi haqida qo'shimcha ma'lumot beradi. Bunday muammoni "hal qilish" jarayonida tajovuzkor jabrlanuvchini tajovuzkorga ma'lum buyruqlarni bajarish yoki jabrlanuvchining kompyuteriga kerakli dasturiy ta'minotni o'rnatish imkonini beradigan harakatlarni bajarishga undaydi.

Yo'l olma- bu usul troyan otining moslashuvi bo'lib, jismoniy vositalardan (CD, flesh-disklar) foydalanishdan iborat. Tajovuzkor odatda bunday ommaviy axborot vositalarini kompaniya hududidagi jamoat joylariga (to'xtash joylari, oshxonalar, xodimlarning ish joylari, hojatxonalar) joylashtiradi. Xodimning qiziqishini rivojlantirish uchun bu vositaga, tajovuzkor ommaviy axborot vositalariga kompaniya logotipi va qandaydir imzo qo'yishi mumkin. Masalan, "savdo ma'lumotlari", "xodimlarning ish haqi", "soliq hisoboti" va boshqalar.

Teskari ijtimoiy muhandislik- bu turdagi hujum jabrlanuvchi "yordam" so'rab tajovuzkorga murojaat qilishga majbur bo'ladigan vaziyatni yaratishga qaratilgan. Masalan, tajovuzkor "qo'llab-quvvatlash xizmati" ning telefon raqamlari va kontaktlari bilan xat yuborishi va bir muncha vaqt o'tgach, jabrlanuvchining kompyuterida qayta tiklanadigan muammolarni yaratishi mumkin. Bunday holda, foydalanuvchi tajovuzkorga o'zi qo'ng'iroq qiladi yoki elektron pochta orqali yuboradi va muammoni "tuzatish" jarayonida tajovuzkor o'ziga kerakli ma'lumotlarni olish imkoniyatiga ega bo'ladi.


1-rasm - Ijtimoiy muhandislikning asosiy turlari

Qarshi choralar

Ijtimoiy muhandislik usullaridan himoyalanishning asosiy usuli xodimlarni tayyorlashdir. Kompaniyaning barcha xodimlari shaxsiy ma'lumotlar va kompaniyaning maxfiy ma'lumotlarini oshkor qilish xavfi, shuningdek, ma'lumotlar sizib chiqishining oldini olish usullari haqida ogohlantirilishi kerak. Bundan tashqari, kompaniyaning har bir xodimi, bo'limi va lavozimiga qarab, suhbatdosh bilan qanday va qanday mavzularda muloqot qilish mumkinligi, texnik yordam xizmatiga qanday ma'lumotlarni taqdim etishi, kompaniya xodimi qanday va nima bilan bog'lanishi kerakligi haqida ko'rsatmalarga ega bo'lishi kerak. ushbu ma'lumotni yoki boshqa xodimdan boshqa ma'lumotlarni olish.

Bundan tashqari, quyidagi qoidalarni ajratib ko'rsatish mumkin:

  • Foydalanuvchi hisob ma'lumotlari kompaniyaning mulki hisoblanadi.
    • Ishga qabul qilingan kuni barcha xodimlarga ularga berilgan login va parollardan boshqa maqsadlarda foydalanish mumkin emasligi tushuntirilishi kerak (veb-saytlarda, shaxsiy pochta va hokazo), uchinchi shaxslarga yoki kompaniyaning bunday qilish huquqiga ega bo'lmagan boshqa xodimlariga o'tkazish. Masalan, ko'pincha ta'tilga chiqayotganda, xodim o'z vakolati ma'lumotlarini hamkasbiga o'tkazishi mumkin, shunda u yo'qligida ba'zi ishlarni bajarishi yoki ma'lum ma'lumotlarni ko'rishi mumkin.
  • Kompaniya xodimlari uchun axborot xavfsizligi bo'yicha bilimlarni oshirishga qaratilgan kirish va muntazam treninglar o'tkazish kerak.
    • Bunday brifinglarni o'tkazish kompaniya xodimlariga mavjud ijtimoiy muhandislik usullari haqida dolzarb ma'lumotlarga ega bo'lish, shuningdek, axborot xavfsizligi bo'yicha asosiy qoidalarni unutmaslik imkonini beradi.
  • Xavfsizlik qoidalariga, shuningdek foydalanuvchi har doim foydalanishi kerak bo'lgan ko'rsatmalarga ega bo'lishi shart. Ko'rsatmalar, agar ma'lum bir vaziyat yuzaga kelsa, xodimlarning harakatlarini tavsiflashi kerak.
    • Misol uchun, qoidalar uchinchi tomon maxfiy ma'lumotlarni yoki xodimlarning ma'lumotlarini so'rashga harakat qilsa, nima qilish kerakligini va qaerga borish kerakligini ko'rsatishi mumkin. Bunday harakatlar tajovuzkorni aniqlash va ma'lumotlarning sizib chiqishini oldini olish imkonini beradi.
  • Xodimlarning kompyuterlarida doimo yangilangan antivirus dasturlari bo'lishi kerak.
    • Xodimlarning kompyuterlarida xavfsizlik devori ham o'rnatilishi kerak.
  • IN korporativ tarmoq kompaniya hujumlarni aniqlash va oldini olish tizimlaridan foydalanishi kerak.
    • Shuningdek, maxfiy ma'lumotlarning sizib chiqishini oldini olish uchun tizimlardan foydalanish kerak. Bularning barchasi fitik hujumlar xavfini kamaytiradi.
  • Barcha xodimlarga tashrif buyuruvchilar bilan qanday munosabatda bo'lish kerakligi ko'rsatilishi kerak.
    • Mehmonning shaxsini aniqlash va unga hamrohlik qilish uchun aniq qoidalar kerak. Tashrif buyuruvchilar doimo kompaniya xodimlaridan biri bilan birga bo'lishi kerak. Agar xodim o'ziga noma'lum mehmonni uchratib qolsa, u to'g'ri shaklda tashrif buyuruvchi ushbu xonada nima maqsadda ekanligini va uni qayerda kuzatib borishini so'rashi kerak. Agar kerak bo'lsa, xodim xavfsizlik xizmatiga noma'lum tashrif buyuruvchilar haqida xabar berishi kerak.
  • Tizimdagi foydalanuvchi huquqlarini imkon qadar cheklash kerak.
    • Masalan, siz veb-saytlarga kirishni cheklashingiz va foydalanishni taqiqlashingiz mumkin olinadigan media. Axir, agar xodim fishing saytiga kira olmasa yoki flesh-diskdan foydalana olmasa " Troyan oti”, keyin u shaxsiy ma'lumotlarini ham yo'qota olmaydi.

Yuqorida aytilganlarning barchasiga asoslanib, biz xulosa qilishimiz mumkin: ijtimoiy muhandislikdan himoyalanishning asosiy usuli - xodimlarni tayyorlash. Shuni bilish va yodda tutish kerakki, jaholat uzr emas. Tizimning har bir foydalanuvchisi maxfiy ma'lumotlarni oshkor qilish xavfidan xabardor bo'lishi va sizib chiqishining oldini olishga yordam beradigan usullarni bilishi kerak. Oldindan ogohlantirilgan - qurollangan!

Har bir yirik yoki hatto kichik tashkilot axborot xavfsizligi bo'yicha zaif tomonlarga ega. Kompaniyaning barcha kompyuterlari eng yaxshi dasturiy ta'minotga ega bo'lsa ham, barcha xodimlar eng kuchli parollarga ega bo'lsa va barcha kompyuterlar eng aqlli administratorlar tomonidan nazorat qilinsa ham, siz hali ham zaif joyni topishingiz mumkin. Va eng muhim "zaif nuqtalardan" biri kompaniyada ishlaydigan va ularga kirish imkoniga ega bo'lgan odamlardir kompyuter tizimlari va ko'p yoki kamroq darajada tashkilot haqida ma'lumot tashuvchisi hisoblanadi. Ma'lumotni o'g'irlashni rejalashtirgan odamlar yoki boshqacha aytganda xakerlar faqat inson omilidan foyda ko'radi. Va ular harakat qiladigan odamlardir turli yo'llar bilan ijtimoiy muhandislik deb ataladigan ta'sirlar. Men bu haqda bugun maqolada va oddiy foydalanuvchilar va tashkilotlar uchun qanday xavf tug'dirishi haqida gapirishga harakat qilaman.

Keling, avvalo ijtimoiy muhandislik nima ekanligini tushunib olaylik - bu krakerlar va xakerlar tomonidan qo'llaniladigan atama bo'lib, ma'lumotlarga ruxsatsiz kirishni anglatadi, ammo dasturiy ta'minot belgisini buzishga mutlaqo ziddir. Maqsad buzg'unchilik emas, balki odamlarni o'zlari parollar yoki keyinchalik xakerlarga tizim xavfsizligini buzishga yordam beradigan boshqa ma'lumotlarni berishlari uchun aldashdir. Ushbu turdagi firibgarlik tashkilotga telefon orqali qo'ng'iroq qilishni va kerakli ma'lumotlarga ega bo'lgan xodimlarni aniqlashni, keyin esa tizimga kirishda muammolarga duch kelgan mavjud bo'lmagan xodimdan aniqlangan administratorni chaqirishni o'z ichiga oladi.

Ijtimoiy muhandislik bevosita psixologiya bilan bog'liq, lekin uning alohida qismi sifatida rivojlanmoqda. Hozirgi vaqtda muhandislik yondashuvi, ayniqsa, hujjatlarni o'g'irlash uchun o'g'rining aniqlanmagan ishi uchun juda tez-tez qo'llaniladi. Bu usul josuslarni va maxfiy agentlarni iz qoldirmasdan yashirin kirib borishga o'rgatish uchun ishlatiladi.

Inson o'ylashga, mulohaza yuritishga, u yoki bu xulosaga kelishga qodir, ammo xulosalar har doim ham haqiqiy, o'ziniki bo'lib chiqmasligi mumkin va tashqaridan majburlanmagan, masalan, boshqalarga kerak. Lekin eng qiziq narsa va firibgarlarga yordam beradigan asosiy narsa shundaki, odam o'z xulosalarining yolg'on ekanligini sezmasligi mumkin. Oxirgi daqiqaga qadar u hamma narsani o'zi hal qildi deb o'ylashi mumkin. Aynan shu xususiyatdan ijtimoiy muhandislik bilan shug'ullanadigan odamlar foydalanadilar.

Ijtimoiy muhandislikning mohiyati ma'lumotni o'g'irlashdir. Buni qilgan odamlar ma'lumotni ortiqcha e'tiborsiz o'g'irlashga harakat qilishadi va keyin uni o'z xohishiga ko'ra ishlatishadi: asl egasini sotish yoki shantaj qilish. Statistikaga ko'ra, bunday hiyla-nayranglar raqobatchi kompaniyaning iltimosiga binoan sodir bo'ladi.

Endi ijtimoiy muhandislik usullarini ko'rib chiqaylik.

Inson xizmatlaridan voz kechish (HDoS)

Ushbu hujumning mohiyati odamni muayyan vaziyatlarga munosabat bildirmaslikka jimgina majburlashdir.

Misol uchun, ba'zi portga hujumni taqlid qilish chalg'ituvchi manevr bo'lib xizmat qiladi. Tizim ma'muri xatolar bilan chalg'itadi va bu vaqtda ular serverga osongina kirib boradi va kerakli ma'lumotlarni oladi. Ammo administrator ushbu portda hech qanday xato bo'lmasligiga amin bo'lishi mumkin, shundan so'ng xakerning kirib borishi darhol seziladi. Ushbu usulning butun mohiyati shundaki, tajovuzkor tizim ma'murining psixologiyasi va bilim darajasini bilishi kerak. Ushbu ma'lumotsiz serverga kirish mumkin emas.

Qo'ng'iroq qilish usuli.

Bu usul degani telefon qo'ng'irog'i"jabrlanuvchi" deb ataladigan narsa. Firibgar jabrlanuvchini to'g'ri va psixologik jihatdan to'g'ri gapirgan holda chaqiradi savollar berildi uni yo'ldan ozdiradi va barcha kerakli ma'lumotlarni topadi.

Masalan: firibgar qo'ng'iroq qiladi va ma'murning iltimosiga binoan u xavfsizlik tizimining ishlashini tekshirayotganini aytadi. Keyin u parol va foydalanuvchi nomini so'raydi, shundan so'ng unga kerak bo'lgan barcha ma'lumotlar uning cho'ntagida.

Vizual aloqa.

Eng qiyin yo'l. Buni faqat professional o'qitilgan odamlar engishlari mumkin. Ushbu usulning mohiyati shundaki, siz jabrlanuvchiga yondashuvni topishingiz kerak. Yondashuv topilgach, jabrlanuvchini mamnun qilish va uning ishonchini qozonish uchun undan foydalanish mumkin bo'ladi. Va shundan so'ng, jabrlanuvchining o'zi barcha kerakli ma'lumotlarni taqdim etadi va u hech qanday muhim narsani aytmayotganga o'xshaydi. Buni faqat mutaxassis amalga oshirishi mumkin.

Elektron pochta.

Bu xakerlar uchun ma'lumot olishning eng keng tarqalgan usuli. Ko'pgina hollarda, xakerlar jabrlanuvchiga o'zlari tanigan odamdan xat yuborishadi. Bu usuldagi eng qiyin narsa bu do'stning uslubi va yozish uslubini nusxalashdir. Agar jabrlanuvchi yolg'onga ishonsa, bu erda siz xakerga kerak bo'lgan barcha ma'lumotlarni olishingiz mumkin.