• hjem
  •  > 
  • Android
  •  > 
  • Sosial ingeniørkunst. Svindel ved å bruke merker fra kjente selskaper

Sosial ingeniørkunst. Svindel ved å bruke merker fra kjente selskaper

Sosial ingeniørkunst- en metode for å skaffe nødvendig tilgang til informasjon, basert på egenskapene til menneskelig psykologi. Hovedmålet sosial ingeniørkunst er å få tilgang til konfidensiell informasjon, passord, bankdata og andre sikre systemer. Selv om begrepet sosial ingeniørkunst dukket opp for ikke så lenge siden, har metoden for å innhente informasjon på denne måten vært brukt i ganske lang tid. CIA- og KGB-ansatte som ønsker å få noen statshemmeligheter, politikere og stortingskandidater, og vi selv, hvis vi ønsker å få til noe, ofte uten å være klar over det, bruker vi sosiale ingeniørmetoder.

For å beskytte deg selv mot effekten av sosial ingeniørkunst, må du forstå hvordan det fungerer. La oss se på hovedtypene sosial ingeniørkunst og metoder for å beskytte mot dem.

Påskudd- dette er et sett med handlinger utarbeidet i henhold til et spesifikt, forhåndskompilert scenario, som et resultat av at offeret kan gi ut noe informasjon eller utføre en bestemt handling. Oftere denne typen Angrepet innebærer bruk av talemidler som Skype, telefon osv.

For å bruke denne teknikken må angriperen i utgangspunktet ha noen data om offeret (navn på ansatt; stilling; navn på prosjektene han jobber med; fødselsdato). Angriperen bruker i utgangspunktet ekte søk med navn på selskapets ansatte, og etter å ha oppnådd tillit får han informasjonen han trenger.

Phishing– en Internett-svindelteknikk rettet mot å innhente konfidensiell brukerinformasjon – autorisasjonsdata ulike systemer. Hovedtypen phishing-angrep er en falsk e-post sendt til offeret som ser ut til å være et offisielt brev fra betalingssystem eller bank. Brevet inneholder et skjema for inntasting av personopplysninger (PIN-koder, pålogging og passord etc.) eller en lenke til nettsiden hvor et slikt skjema ligger. Årsakene til et offers tillit til slike sider kan være forskjellige: kontoblokkering, systemfeil, tap av data osv.

trojansk hest– Denne teknikken er basert på brukernes nysgjerrighet, frykt eller andre følelser. Angriperen sender et brev til offeret via e-post, hvis vedlegg inneholder en antivirus-"oppdatering", en nøkkel til å vinne penger, eller inkriminerende bevis på en ansatt. Faktisk inneholder vedlegget et skadelig program, som, etter at brukeren har kjørt det på datamaskinen, vil bli brukt av en angriper til å samle inn eller endre informasjon.

Hva om quo(en god gjerning fortjener en annen) - denne teknikken innebærer at en angriper kontakter brukeren på e-post eller bedriftstelefon. Angriperen kan for eksempel presentere seg som ansatt teknisk støtte og informere om hendelsen tekniske problemer på jobb. Han informerer videre om behovet for å eliminere dem. I prosessen med å "løse" et slikt problem, presser angriperen offeret til å utføre handlinger som lar angriperen utføre visse kommandoer eller installere nødvendig programvare på offerets datamaskin.

Veieple– denne metoden er en tilpasning trojansk hest og består av bruk av fysiske medier (CD, flash-stasjoner). En angriper planter vanligvis slike medier på offentlige steder i bedriftens lokaler (parkeringsplasser, kantiner, ansattes arbeidsplasser, toaletter). For at den ansatte skal utvikle interesse for til dette mediet, kan en angriper sette en firmalogo og en slags signatur på media. For eksempel «salgsdata», «ansattes lønn», «skatterapport» og mer.

Omvendt sosial ingeniørkunst- denne typen angrep er rettet mot å skape en situasjon der offeret vil bli tvunget til å henvende seg til angriperen for å få «hjelp». For eksempel kan en angriper sende et brev med telefonnumre og kontakter til "støttetjenesten" og etter en tid skape reversible problemer på offerets datamaskin. I dette tilfellet vil brukeren ringe eller sende e-post til angriperen selv, og i prosessen med å "fikse" problemet vil angriperen kunne få tak i dataene han trenger.


Figur 1 – Hovedtyper av sosial ingeniørkunst

Mottiltak

Den viktigste måten å beskytte seg mot sosiale ingeniørmetoder på er å lære opp ansatte. Alle ansatte i selskapet må advares om farene ved avsløring personlig informasjon og konfidensiell selskapsinformasjon, samt måter å forhindre datalekkasje på. I tillegg bør hver bedriftsansatt, avhengig av avdeling og stilling, ha instruksjoner om hvordan og om hvilke temaer man kan kommunisere med samtalepartneren, hvilken informasjon som kan gis til teknisk støttetjeneste, hvordan og hva en bedriftsansatt skal kommunisere til. motta den informasjonen eller annen informasjon fra en annen ansatt.

I tillegg kan følgende regler skilles:

  • Brukerlegitimasjon er selskapets eiendom.
    • På ansettelsesdagen bør det forklares for alle ansatte at påloggingsinformasjon og passord som ble utstedt til dem ikke kan brukes til andre formål (på nettsider, f.eks. personlig post etc.), overføres til tredjeparter eller andre ansatte i selskapet som ikke har rett til det. For eksempel, veldig ofte, når en ansatt drar på ferie, kan en ansatt overføre autorisasjonsdataene sine til sin kollega slik at han kan utføre noe arbeid eller se visse data under sitt fravær.
  • Det er nødvendig med introduksjon og regelmessig opplæring for bedriftsansatte med sikte på å øke kunnskapen om informasjonssikkerhet.
    • Gjennomføring av slike orienteringer vil tillate selskapets ansatte å ha oppdatert informasjon om eksisterende metoder sosial ingeniørkunst, og heller ikke glem de grunnleggende reglene for informasjonssikkerhet.
  • Det er påbudt å ha sikkerhetsforskrifter, samt instruksjoner som brukeren alltid skal ha tilgang til. Instruksjonene skal beskrive de ansattes handlinger dersom en bestemt situasjon oppstår.
    • Forskriften kan for eksempel spesifisere hva som må gjøres og hvor man skal henvende seg hvis en tredjepart forsøker å be om konfidensiell informasjon eller ansattes legitimasjon. Slike handlinger vil tillate deg å identifisere angriperen og forhindre informasjonslekkasje.
  • Ansattes datamaskiner skal alltid ha oppdatert antivirusprogramvare.
    • En brannmur må også installeres på ansattes datamaskiner.
  • I bedriftsnettverk selskapet må bruke angrepsdeteksjons- og forebyggingssystemer.
    • Det er også nødvendig å bruke systemer for å hindre lekkasjer av konfidensiell informasjon. Alt dette vil redusere risikoen for fytiske angrep.
  • Alle ansatte skal instrueres i hvordan de skal opptre med besøkende.
    • Klare regler er nødvendig for å fastslå identiteten til den besøkende og følge ham. Besøkende skal alltid være i følge med en av selskapets ansatte. Dersom en ansatt møter en for ham ukjent besøkende, må han spørre i riktig form for hvilket formål den besøkende er i dette rommet og hvor han blir eskortert. Ved behov skal den ansatte melde fra om ukjente besøkende til sikkerhetstjenesten.
  • Det er nødvendig å begrense brukerrettighetene i systemet så mye som mulig.
    • Du kan for eksempel begrense tilgangen til nettsider og forby bruken flyttbare medier. Tross alt, hvis en ansatt ikke er i stand til å komme til et phishing-nettsted eller bruke en flash-stasjon med " trojansk hest”, så vil han heller ikke kunne miste personopplysninger.

Basert på alt det ovennevnte kan vi konkludere: den viktigste måten å beskytte seg mot sosial teknikk på er å lære opp ansatte. Det er nødvendig å vite og huske at uvitenhet ikke er en unnskyldning fra ansvar. Hver bruker av systemet bør være klar over farene ved å avsløre konfidensiell informasjon og vite måter å forhindre lekkasje på. Forewarned er forearmed!

Hei, kjære venner! Det er lenge siden vi diskuterte sikkerhet med deg, eller mer presist, dataene som er lagret ikke bare på datamaskinene dine, men til og med på dine venner og kolleger. I dag vil jeg fortelle deg om et slikt konsept som sosial ingeniørkunst. Du vil lære hva sosial ingeniørkunst er og hvordan du kan beskytte deg selv.

Social engineering er en metode for uautorisert tilgang til informasjonssystemer, som var basert på egenskapene til menneskelig psykologisk atferd. Enhver hacker, i direkte eller indirekte forstand, er interessert i å få tilgang til beskyttet informasjon, passord, data om bankkort og så videre.

Hovedforskjellen med denne metoden er at målet for angrepet ikke er maskinen, men brukeren. Sosiale ingeniørmetoder er basert på bruk av den menneskelige faktoren. Angriperen får informasjonen han trenger i en telefonsamtale eller ved å gå inn på et kontor under dekke av en ansatt.

Påskudd er et sett med handlinger som tilsvarer et spesifikt scenario forberedt på forhånd (påskudd). For å få informasjon bruker denne teknikken talemidler (telefon, Skype). Ved å introdusere seg selv som en tredjepart og late som om han trenger hjelp, tvinger svindleren samtalepartneren til å oppgi et passord eller registrere seg på en phishing-side og dermed motta nødvendig informasjon.

La oss forestille oss situasjonen. Du jobber i en stor organisasjon i omtrent seks måneder. Du blir oppringt fra en person som presenterer seg som ansatt fra en eller annen filial. «Hei, ditt navn eller stilling, vi har ikke tilgang til postkassen som brukes til å motta søknader i selskapet vårt. Vi mottok nylig en søknad fra byen vår, og sjefen ville rett og slett drepe for en slik forglemmelse, fortelle meg passordet til posten.

Når du leser forespørselen hans nå, virker det selvfølgelig litt dumt å gi passordet til en person du hører for første gang. Men siden folk liker å hjelpe med små ting (er det ikke vanskelig for deg å si 8-16 tegn i et passord?) kan hvem som helst gjøre en feil her.

Phishing(fiske) – denne typen Internett-svindel er rettet mot å få pålogginger og passord. Den mest populære typen phishing er å sende offeret en e-postmelding under dekke av et offisielt brev, for eksempel fra et betalingssystem eller en bank. Brevet informerer som regel om tap av data, om funksjonsfeil i systemet og inneholder en forespørsel om å legge inn konfidensiell informasjon ved å følge en lenke.

Linken omdirigerer offeret til en phishing-side som er nøyaktig lik siden på det offisielle nettstedet. Det er vanskelig for en utrent person å gjenkjenne et phishing-angrep, men det er fullt mulig. Slike meldinger inneholder som regel informasjon om trusler (for eksempel om å stenge en bankkonto) eller omvendt et løfte om en gratis pengepremie, forespørsler om hjelp på vegne av en veldedig organisasjon. Phishing-meldinger kan også gjenkjennes på adressen de ber deg besøke.

De mest populære phishing-angrepene inkluderer svindel ved å bruke merkevaren til et kjent selskap. Utsendelser utføres på vegne av et kjent firma e-poster, som inneholder gratulasjoner med en bestemt ferie (for eksempel) og informasjon om konkurransen. For å delta i konkurransen må du raskt endre dataene dine regnskap.

Jeg skal fortelle deg personlig erfaring. Ikke kast stein på meg 😉 . Det var lenge siden jeg var interessert i... Ja, ja, phishing. På den tiden var det veldig fasjonabelt å sitte i Min verden, og jeg utnyttet det. En gang så jeg et tilbud fra mail.ru om å installere en "gylden agent" for penger. Når de ber deg kjøpe, tenker du, men når de forteller deg at du har vunnet, lar folk seg umiddelbart rive med.

Jeg husker ikke alt nøyaktig ned til minste detalj, men det var noe sånt som dette.

Skrev en melding: "Hei, NAME! Mail.RU-teamet er glade for å gratulere deg. Du har vunnet "gullagenten". Hver 1000. av brukerne våre mottar den gratis. For å aktivere den må du gå til siden din og aktivere den i Innstillinger – bla bla bla.”

Vel, hvordan liker du tilbudet? Vil du ha en gylden Skype, kjære lesere? Jeg snakker ikke om alle de tekniske detaljene, for det er unge mennesker som bare venter detaljerte instruksjoner. Men det bør bemerkes at 30 % av My World-brukerne fulgte lenken og skrev inn brukernavn og passord. Jeg slettet disse passordene fordi det bare var et eksperiment.

Smishing. Veldig populær nå Mobil, og å finne ut nummeret ditt, vil det ikke være vanskelig selv for et skolebarn som sitter med sønnen eller datteren din ved samme skrivebord. Svindleren, etter å ha lært nummeret, sender deg en phishing-lenke hvor han ber deg gå for å aktivere bonuspenger på kartet ditt. Der det naturlig nok er felt for å legge inn personopplysninger. De kan også be deg om å sende en SMS med kortopplysningene dine.

Det virker som en normal situasjon, men fangsten er veldig nærme.

Quiz pro quo («quid pro quo») er en type angrep som involverer en svindler som ringer for eksempel på vegne av den tekniske støttetjenesten. En angriper, mens han avhører en ansatt om mulige tekniske problemer, tvinger ham til å legge inn kommandoer som lar ham starte skadelig programvare. Som kan legges ut på åpne ressurser: sosiale nettverk, bedriftsservere, etc.

Se videoen for et eksempel:

De kan sende deg en fil (virus) på e-post, for så å ringe deg og si at et hastedokument har kommet og du må se på det. Ved å åpne filen vedlagt brevet, installerer brukeren selv et skadelig program på datamaskinen, som gir tilgang til konfidensielle data.

Ta vare på deg selv og dataene dine. Ser deg snart!

I denne artikkelen vil vi ta hensyn til konseptet "sosial ingeniørkunst". Her skal vi se på de generelle Vi vil også lære om hvem som var grunnleggeren av dette konseptet. La oss snakke separat om de viktigste sosiale ingeniørmetodene som brukes av angripere.

Introduksjon

Metoder som gjør det mulig å korrigere menneskelig atferd og administrere hans aktiviteter uten bruk av et teknisk sett med verktøy, skjema generelt konsept sosial ingeniørkunst. Alle metoder er basert på utsagnet om at den menneskelige faktoren er den mest destruktive svakheten til ethvert system. Ofte dette konseptet anses på nivået av ulovlig aktivitet, der kriminelle begår en handling som tar sikte på å innhente informasjon fra subjektofferet på uærlige måter. Det kan for eksempel være bestemt type manipulasjon. Imidlertid brukes sosial ingeniørkunst også av mennesker i legitime aktiviteter. I dag brukes det oftest for å få tilgang til ressurser med lukkede eller verdifull informasjon.

Grunnlegger

Grunnleggeren av sosial ingeniørkunst er Kevin Mitnick. Selve konseptet kom imidlertid til oss fra sosiologien. Det betegner et generelt sett med tilnærminger som brukes av anvendte sosiale medier. vitenskaper fokuserte på å endre organisasjonsstrukturen som er i stand til å bestemme menneskelig atferd og utøve kontroll over den. Kevin Mitnick kan betraktes som grunnleggeren av denne vitenskapen, siden det var han som populariserte sosiale medier. ingeniørkunst i det første tiåret av det 21. århundre. Kevin selv var tidligere en hacker, rettet mot et bredt utvalg av databaser. Han hevdet at den menneskelige faktoren er det mest sårbare punktet i et system på ethvert nivå av kompleksitet og organisering.

Hvis vi snakker om sosiale ingeniørmetoder som en måte å oppnå (vanligvis ulovlige) rettigheter til å bruke konfidensielle data på, så kan vi si at de har vært kjent i svært lang tid. Imidlertid var det K. Mitnik som var i stand til å formidle viktigheten av deres betydning og funksjoner i bruken.

Phishing og ikke-eksisterende lenker

Enhver sosial ingeniørteknikk er basert på tilstedeværelsen av kognitive forvrengninger. Atferdsfeil blir et "våpen" i hendene på en dyktig ingeniør, som i fremtiden kan lage et angrep rettet mot å innhente viktige data. Sosiale ingeniørmetoder inkluderer phishing og ikke-eksisterende lenker.

Phishing er en internettsvindel designet for å innhente personlig informasjon, for eksempel pålogging og passord.

Ikke-eksisterende lenke - bruk av en lenke som vil lokke mottakeren med visse fordeler som kan oppnås ved å klikke på den og besøke et bestemt nettsted. Oftest brukte navn store firmaer, gjør subtile justeringer av navnene deres. Offeret, ved å klikke på lenken, vil "frivillig" overføre sine personlige data til angriperen.

Metoder som bruker merkevarer, defekte antivirus og falske lotterier

Social engineering bruker også metoder for svindel ved å bruke kjente merker, defekte antivirus og falske lotterier.

«Bedrageri og merkevarer» er en metode for bedrag, som også tilhører phishing-delen. Dette inkluderer e-poster og nettsteder som inneholder navnet på et stort og/eller «forfremmet» selskap. Meldinger sendes fra sidene deres som varsler deg om seieren din i en bestemt konkurranse. Deretter må du skrive inn viktig kontoinformasjon og stjele den. Også Denne formen svindel kan utføres over telefon.

Et falskt lotteri er en metode der offeret får tilsendt en melding med tekst om at han/hun har vunnet i lotteriet. Oftest er varslingen forkledd ved å bruke navn på store selskaper.

Falske antivirus er programvaresvindel. Den bruker programmer som ser ut som antivirus. Men i virkeligheten fører de til generering av falske varsler om en spesifikk trussel. De prøver også å tiltrekke brukere inn i transaksjonssfæren.

Vishing, phreaking og påskudd

Når man snakker om sosial ingeniørkunst for nybegynnere, er det også verdt å nevne vishing, phreaking og påskudd.

Vishing er en form for bedrag som bruker telefonnettverk. Dette bruker forhåndsinnspilte talemeldinger, hvis formål er å gjenskape den "offisielle samtalen" til en bankstruktur eller et annet IVR-system. Som oftest blir du bedt om å oppgi pålogging og/eller passord for å bekrefte eventuell informasjon. Systemet krever med andre ord at brukeren autentiserer ved hjelp av PIN-koder eller passord.

Phreaking er en annen form for telefonbedrag. Det er et hackingsystem som bruker lydmanipulering og toneoppringing.

Påskudd er et angrep som bruker en forhåndsgjennomtenkt plan, hvis essens er å presentere det for et annet emne. Ekstremt den harde måten bedrag, siden det krever nøye forberedelser.

Quid-pro-quo og «road apple»-metoden

Teorien om sosial ingeniørkunst er en mangefasettert database som inkluderer både metoder for bedrag og manipulasjon, og måter å bekjempe dem. Hovedoppgaven Inntrengere fisker som regel ut verdifull informasjon.

Andre typer svindel inkluderer: quid-pro-quo, «road apple»-metoden, skuldersurfing, bruk av åpne kilder og omvendte sosiale medier. engineering.

Quid-pro-quo (fra latin - "dette for dette") er et forsøk på å trekke ut informasjon fra et selskap eller firma. Dette skjer ved å kontakte henne på telefon eller ved å sende meldinger på e-post. Oftest presenterer angripere seg som teknisk personale. støtte som rapporterer tilgjengelighet spesifikt problem på den ansattes arbeidsplass. De foreslår videre måter å eliminere det på, for eksempel ved å etablere programvare. Programvaren viser seg å være defekt og bidrar til å fremme forbrytelsen.

Road apple er en angrepsmetode som er basert på ideen om en trojansk hest. Dens essens er å bruke fysiske medier og erstatning av informasjon. For eksempel kan de gi et minnekort et visst "godt" som vil tiltrekke offerets oppmerksomhet, få dem til å ønske å åpne og bruke filen eller følge koblingene som er spesifisert i flash-stasjonsdokumentene. "Road apple"-objektet slippes på sosiale steder og venter til en enhet implementerer angriperens plan.

Å samle og søke etter informasjon fra åpne kilder er en svindel der innhenting av data er basert på psykologiske metoder, evnen til å legge merke til småting og analyse av tilgjengelige data, for eksempel sider fra et sosialt nettverk. Dette er nok ny måte sosial ingeniørkunst.

Skuldersurfing og omvendt sosial. engineering

Konseptet "skuldersurfing" definerer seg selv som å bokstavelig talt se et emne live. Med denne typen data mining går angriperen til offentlige steder, for eksempel en kafé, flyplass, togstasjon og overvåker folk.

Bør ikke undervurderes denne metoden, ettersom mange undersøkelser og studier viser at en oppmerksom person kan få tak i mye sensitiv informasjon bare ved å være observant.

Sosial engineering (som et nivå av sosiologisk kunnskap) er et middel til å "fange" data. Det finnes måter å få tak i data der offeret selv tilbyr angriperen nødvendig informasjon. Men det kan også tjene til fordel for samfunnet.

Omvendt sosialt Engineering er en annen metode for denne vitenskapen. Bruken av dette begrepet blir hensiktsmessig i tilfellet som vi nevnte ovenfor: offeret selv vil gi angriperen den nødvendige informasjonen. Denne uttalelsen skal ikke oppfattes som absurd. Faktum er at subjekter med autoritet på visse aktivitetsområder ofte får tilgang til identifikasjonsdata etter subjektets eget skjønn. Grunnlaget her er tillit.

Viktig å huske! Støttepersonell vil for eksempel aldri be brukeren om passord.

Bevissthet og beskyttelse

Sosialingeniøropplæring kan gjennomføres av en enkeltperson både på grunnlag av eget initiativ og på grunnlag av manualer som brukes i spesielle opplæringsprogrammer.

Kriminelle kan bruke en lang rekke typer bedrag, alt fra manipulasjon til latskap, godtroenhet, brukervennlighet osv. Det er ekstremt vanskelig å beskytte seg mot denne typen angrep, som skyldes offerets manglende bevissthet om at han (hun) ) har blitt lurt. For å beskytte dataene deres på dette farenivået vurderer ulike firmaer og selskaper ofte generell informasjon. Deretter integreres nødvendige beskyttelsestiltak i sikkerhetspolitikken.

Eksempler

Et eksempel på sosial ingeniørkunst (dets handling) innen globale phishing-utsendelser er en hendelse som fant sted i 2003. Som en del av denne svindelen ble eBay-brukere sendt e-poster til: e-post adresse. De hevdet at kontoer som tilhørte dem var sperret. For å avbryte blokkeringen måtte du skrive inn kontoinformasjonen din på nytt. Bokstavene var imidlertid falske. De omdirigerte til en side som er identisk med den offisielle, men falsk. Av ekspertvurderinger, tapet var ikke for betydelig (mindre enn en million dollar).

Definisjon av ansvar

Sosialteknikk kan være straffbart i noen tilfeller. I en rekke land, for eksempel USA, er påskudd (bedrag ved å utgi seg for en annen person) likestilt med en krenkelse av privatlivet. Dette kan imidlertid være straffbart ved lov dersom informasjonen som ble innhentet under påskudd var konfidensiell sett fra personens eller organisasjonens synspunkt. Ta opp telefonsamtale(som en metode for sosial ingeniørkunst) er også fastsatt ved lov og krever betaling av en bot på $250 000 eller fengsel i opptil ti år for enkeltpersoner. personer Enheter er pålagt å betale $500 000; fristen forblir den samme.

Sosiale ingeniørmetoder handler akkurat om dette vi vil snakke i denne artikkelen, samt om alt relatert til manipulering av mennesker, phishing og tyveri kundebaser og ikke bare. Andrey Serikov ga oss vennlig informasjon, forfatteren han er, som vi takker ham veldig for.

A.SERIKOV

A.B.BOROVSKY

INFORMASJONSTEKNOLOGI FOR SOSIAL HACKING

Introduksjon

Menneskehetens ønske om å oppnå perfekt oppfyllelse av tildelte oppgaver fungerte som utviklingen av moderne data utstyr, og forsøk på å tilfredsstille de motstridende kravene fra mennesker førte til utviklingen av programvareprodukter. Data programvareprodukter ikke bare støtte ytelse maskinvare, men også klare det.

Utviklingen av kunnskap om menneske og datamaskin har ført til fremveksten av en fundamentalt ny type system - "menneske-maskin", der en person kan posisjoneres som maskinvare, kjører en stabil, funksjonell, multitasking operativsystem kalt "psyke".

Emnet for arbeidet er betraktningen av sosial hacking som en gren av sosial programmering, der en person manipuleres ved hjelp av menneskelige svakheter, fordommer og stereotypier innen sosial ingeniørkunst.

Sosial ingeniørkunst og dens metoder

Metoder for menneskelig manipulasjon har vært kjent i lang tid de kom hovedsakelig til sosial ingeniørkunst fra arsenalet til ulike etterretningstjenester.

Første kjente tilfelle konkurransedyktig intelligens dateres tilbake til 600-tallet f.Kr. og skjedde i Kina, da kineserne mistet hemmeligheten med å lage silke, som ble stjålet av romerske spioner.

Sosialteknikk er en vitenskap som er definert som et sett med metoder for å manipulere menneskelig atferd, basert på bruk av svakhetene til den menneskelige faktoren, uten bruk av tekniske midler.

Ifølge mange eksperter utgjøres den største trusselen mot informasjonssikkerhet av sosiale ingeniørmetoder, om ikke annet fordi bruken av sosial hacking ikke krever betydelige økonomiske investeringer og grundig kunnskap. datateknologi, og også fordi folk har visse atferdstendenser som kan brukes til forsiktig manipulasjon.

Og uansett hvor mye vi forbedrer oss tekniske systemer beskyttelse, vil mennesker forbli mennesker med sine svakheter, fordommer, stereotypier, ved hjelp av hvilken ledelse finner sted. Å sette opp et menneskelig "sikkerhetsprogram" er den vanskeligste oppgaven og fører ikke alltid til garanterte resultater, siden dette filteret må justeres konstant. Her høres hovedmottoet til alle sikkerhetseksperter mer relevant ut enn noen gang: "Sikkerhet er en prosess, ikke et resultat."

Anvendelsesområder for sosial ingeniørkunst:

  1. generell destabilisering av organisasjonens arbeid for å redusere dens innflytelse og muligheten for påfølgende fullstendig ødeleggelse av organisasjonen;
  2. økonomisk svindel i organisasjoner;
  3. phishing og andre metoder for å stjele passord for å få tilgang til personlige bankdata til enkeltpersoner;
  4. tyveri av klientdatabaser;
  5. konkurransedyktig intelligens;
  6. generell informasjon om organisasjonen, dens styrker og svakheter, med sikte på å ødelegge denne organisasjonen på en eller annen måte (ofte brukt til raiderangrep);
  7. informasjon om de mest lovende ansatte med sikte på å «lokke» dem ytterligere til organisasjonen din;

Sosial programmering og sosial hacking

Sosial programmering kan kalles en anvendt disiplin som omhandler målrettet påvirkning på en person eller gruppe mennesker for å endre eller opprettholde deres atferd i ønsket retning. Dermed setter den sosiale programmereren seg et mål: å mestre kunsten å administrere mennesker. Det grunnleggende konseptet med sosial programmering er at mange menneskers handlinger og deres reaksjoner på dette eller hint ytre påvirkning i mange tilfeller forutsigbar.

Sosiale programmeringsmetoder er attraktive fordi enten ingen vil vite om dem, eller selv om noen vet om noe, er det veldig vanskelig å stille en slik aktør for retten, og i noen tilfeller er det mulig å "programmere" folks oppførsel, og en person, og stor gruppe. Disse mulighetene faller inn i kategorien sosial hacking nettopp fordi folk i alle utfører andres vilje, som om de adlyder et "program" skrevet av en sosial hacker.

Sosial hacking som muligheten for å hacke en person og programmere ham til å forplikte seg nødvendige handlinger kommer fra sosial programmering - en anvendt disiplin innen sosial ingeniørkunst, der spesialister på dette feltet - sosiale hackere - bruker teknikker for psykologisk påvirkning og handling lånt fra arsenalet til etterretningstjenestene.

Sosial hacking brukes i de fleste tilfeller når det gjelder å angripe en person som er en del av et datasystem. Datasystem, som er hacket, eksisterer ikke i seg selv. Den inneholder en viktig komponent - en person. Og for å få informasjon, må en sosial hacker hacke en person som jobber med en datamaskin. I de fleste tilfeller er det lettere å gjøre dette enn å hacke seg inn på offerets datamaskin i et forsøk på å finne ut passordet.

Typisk påvirkningsalgoritme i sosial hacking:

Alle angrep fra sosiale hackere passer inn i ett ganske enkelt opplegg:

  1. formålet med å påvirke et bestemt objekt er formulert;
  2. informasjon om objektet samles inn for å oppdage de mest hensiktsmessige påvirkningsmålene;
  3. Basert på den innsamlede informasjonen implementeres et stadium som psykologer kaller tiltrekning. Attraksjon (fra latin Attrahere - å tiltrekke, tiltrekke) er skapelsen nødvendige forholdå påvirke et objekt;
  4. å tvinge en sosial hacker til å handle;

Tvang oppnås ved å utføre de foregående stadiene, det vil si etter at tiltrekningen er oppnådd, tar offeret selv de handlingene som er nødvendige for sosialingeniøren.

Basert på informasjonen som samles inn, forutsier sosiale hackere ganske nøyaktig psyko- og sosiotypen til offeret, og identifiserer ikke bare behov for mat, sex, etc., men også behovet for kjærlighet, behovet for penger, behovet for komfort osv. ., etc.

Og faktisk, hvorfor prøve å trenge inn i dette eller det selskapet, hacke datamaskiner, minibanker, organisere komplekse kombinasjoner, når du kan gjøre alt enklere: få en person til å bli forelsket i deg, som av egen fri vilje vil overføre penger til spesifisert konto eller dele de nødvendige pengene hver gang informasjon?

Basert på det faktum at folks handlinger er forutsigbare og også underlagt visse lover, bruker sosiale hackere og sosiale programmerere både originale flertrinn og enkle positive og negative teknikker basert på psykologien til menneskelig bevissthet, atferdsprogrammer, vibrasjoner av indre organer, logisk tenkning, fantasi, hukommelse, oppmerksomhet. Disse teknikkene inkluderer:

Tregenerator - genererer svingninger med samme frekvens som frekvensen av svingninger av indre organer, hvoretter en resonanseffekt observeres, som et resultat av at folk begynner å føle alvorlig ubehag og en tilstand av panikk;

innvirkning på geografien til mengden - for fredelig oppløsning av ekstremt farlige aggressive, store grupper av folk;

høyfrekvente og lavfrekvente lyder - for å provosere panikk og dens omvendte effekt, så vel som andre manipulasjoner;

sosialt imitasjonsprogram - en person bestemmer riktigheten av handlinger ved å finne ut hvilke handlinger andre anser som riktige;

claquering program - (basert på sosial imitasjon) organisering av nødvendig reaksjon fra publikum;

dannelse av køer - (basert på sosial imitasjon) et enkelt, men effektivt reklametrekk;

gjensidig bistandsprogram - en person søker å betale tilbake godhet til de menneskene som har gjort noe godhet mot ham. Ønsket om å oppfylle dette programmet overgår ofte all fornuft;

Sosial hacking på Internett

Med fremkomsten og utviklingen av Internett - virtuelt miljø, bestående av mennesker og deres interaksjoner, har miljøet for å manipulere en person utvidet seg til å oppnå nødvendig informasjon og forplikter seg nødvendige handlinger. I dag er Internett et middel for verdensomspennende kringkasting, et medium for samarbeid, kommunikasjon og dekker hele Jord. Det er nettopp dette sosiale ingeniører bruker for å nå sine mål.

Måter å manipulere en person via Internett:

I moderne verden eierne av nesten alle selskaper har allerede innsett at Internett er et veldig effektivt og praktisk middel for å utvide virksomheten, og hovedoppgaven er å øke fortjenesten til hele selskapet. Det er kjent at uten informasjon rettet mot å tiltrekke oppmerksomhet, ønsket objekt Annonsering brukes til å generere eller opprettholde interesse for den og markedsføre den på markedet. Bare på grunn av det faktum at annonsemarkedet lenge har vært delt, er de fleste typer annonsering for de fleste gründere bortkastede penger. Internett-annonsering er ikke bare en av typene reklame i media, det er noe mer, siden ved hjelp av Internett-annonsering kommer folk som er interessert i samarbeid til organisasjonens nettside.

Internett-annonsering, i motsetning til annonsering i media, har mange flere muligheter og parametere for å administrere et reklameselskap. Mest viktig indikator Internett-annonsering er det Annonseavgifter på Internett belastes bare når du bytter interessert bruker via en annonseringslenke, noe som selvfølgelig gjør annonsering på internett mer effektivt og rimeligere enn annonsering i media. Så etter å ha sendt inn en reklame på TV eller i trykte publikasjoner, betaler de for den i sin helhet og bare venter potensielle kunder, men kunder kan svare på reklame eller ikke - alt avhenger av kvaliteten på produksjon og presentasjon av reklame på TV eller aviser, men reklamebudsjettet er allerede brukt, og hvis reklamen ikke fungerte, er det bortkastet. I motsetning til slik medieannonsering, har internettannonsering muligheten til å spore publikumsrespons og administrere internettannonsering før budsjettet er brukt. Dessuten kan internettannonsering suspenderes når etterspørselen etter produkter har økt og gjenopptas når etterspørselen begynner å falle.

En annen metode for påvirkning er den såkalte "Killing of forums" hvor de ved hjelp av sosial programmering lager antireklame for et bestemt prosjekt. Sosial programmerer i i dette tilfellet, ved hjelp av åpenbare provoserende handlinger alene, ødelegger forumet ved å bruke flere pseudonymer ( kallenavn) å skape en anti-ledergruppe rundt seg, og tiltrekke vanlige besøkende til prosjektet som er misfornøyde med adferden til administrasjonen. På slutten av slike arrangementer blir det umulig å markedsføre produkter eller ideer på forumet. Det er dette forumet opprinnelig ble utviklet for.

Metoder for å påvirke en person via Internett med det formål sosial ingeniørkunst:

Phishing er en type Internett-svindel som har som mål å få tilgang til konfidensielle brukerdata – pålogginger og passord. Denne operasjonen oppnådd ved å gjennomføre masseutsendelser e-poster på vegne av populære merker, samt personlige meldinger innenfor ulike tjenester(Rambler), banker eller inne sosiale nettverk(Facebook). Brevet inneholder ofte en lenke til en nettside som utad er umulig å skille fra den virkelige. Etter at brukeren lander på en falsk side, bruker sosiale ingeniører ulike teknikker for å oppmuntre brukeren til å skrive inn påloggingsnavnet og passordet på siden, som han bruker for å få tilgang til et spesifikt nettsted, som lar ham få tilgang til kontoer og bankkontoer.

En farligere type svindel enn phishing er såkalt pharming.

Pharming er en mekanisme for skjult omdirigering av brukere til phishing-nettsteder. En sosial ingeniør distribuerer spesielle meldinger til brukernes datamaskiner. skadevare, som, etter oppstart på en datamaskin, omdirigerer forespørsler fra nødvendige nettsteder til falske. Dermed er angrepet høyst hemmelighold, og brukermedvirkning minimeres - det er nok å vente til brukeren bestemmer seg for å besøke nettstedene som er av interesse for sosialingeniøren.

Konklusjon

Sosialteknikk er en vitenskap som kom ut av sosiologien og hevder å være den kunnskapsmengden som veileder, setter i stand og optimerer prosessen med å skape, modernisere og reprodusere nytt ("kunstig"). sosiale realiteter. På en viss måte "fullfører" den sosiologisk vitenskap, fullfører den i fasen av å transformere vitenskapelig kunnskap til modeller, prosjekter og design av sosiale institusjoner, verdier, normer, aktivitetsalgoritmer, relasjoner, atferd, etc.

Til tross for at Social Engineering er en relativt ung vitenskap, forårsaker den stor skade på prosessene som skjer i samfunnet.

De enkleste metodene for beskyttelse mot virkningene av denne destruktive vitenskapen er:

Å trekke folks oppmerksomhet til sikkerhetsspørsmål.

Brukere forstår alvoret av problemet og aksepterer systemets sikkerhetspolicy.

Litteratur

1. R. Petersen Linux: Komplett guide: per. fra engelsk — 3. utg. - K.: BHV Publishing Group, 2000. – 800 s.

2. Fra Grodnev Internett i ditt hjem. - M.: “RIPOL CLASSIC”, 2001. -480 s.

3. M. V. Kuznetsov Sosialteknikk og sosial hacking. St. Petersburg: BHV-Petersburg, 2007. - 368 s.: ill.