V tomto článku se budeme věnovat pojmu „sociální inženýrství“. Zde bude zvážena obecná definice termínu. Dozvíme se také o tom, kdo byl zakladatelem tohoto konceptu. Promluvme si samostatně o hlavních metodách sociálního inženýrství, které útočníci používají.
Úvod
Metody, které umožňují korigovat chování člověka a řídit jeho aktivity bez použití technické sady nástrojů, tvoří obecný koncept sociálního inženýrství. Všechny metody jsou založeny na tvrzení, že lidský faktor je nejničivější slabinou každého systému. Často je tento pojem posuzován v rovině protiprávní činnosti, jejímž prostřednictvím se pachatel dopouští jednání směřujícího k získání informací od subjektu-oběti nepoctivým způsobem. Může jít například o nějaký druh manipulace. Sociální inženýrství však využívají i lidé v legitimních činnostech. K dnešnímu dni se nejčastěji používá pro přístup ke zdrojům s citlivými nebo citlivými informacemi.
Zakladatel
Zakladatelem sociálního inženýrství je Kevin Mitnick. Samotný pojem k nám však přišel ze sociologie. Označuje obecný soubor přístupů používaných v aplikované sociální oblasti. vědy zaměřené na změnu organizační struktury, která může určovat lidské chování a vykonávat nad ním kontrolu. Kevin Mitnick může být považován za zakladatele této vědy, protože to byl on, kdo popularizoval sociální. strojírenství v prvním desetiletí 21. století. Kevin sám byl dříve hackerem, který nelegálně vstupoval do široké škály databází. Tvrdil, že lidský faktor je nejzranitelnějším bodem systému jakékoli úrovně složitosti a organizace.
Pokud mluvíme o metodách sociálního inženýrství jako o způsobu, jak získat práva (často nelegální) používat důvěrná data, můžeme říci, že jsou známy již velmi dlouho. Byl to však K. Mitnick, kdo dokázal zprostředkovat důležitost jejich významu a zvláštnosti použití.
Phishing a neexistující odkazy
Jakákoli technika sociálního inženýrství je založena na přítomnosti kognitivních zkreslení. Chyby v chování se stávají „nástrojem“v rukou šikovného inženýra, který v budoucnu dokáže vytvořit útok zaměřený na získání důležitých dat. Mezi metodami sociálního inženýrství se rozlišuje phishing a neexistující odkazy.
Phishing je online podvod určený k získání osobních údajů, jako je uživatelské jméno a heslo.
Neexistující odkaz – pomocí odkazu, který příjemce s jistotou nalákávýhody, které lze získat kliknutím na něj a návštěvou konkrétní stránky. Nejčastěji se používají názvy velkých společností, které se jemně upravují. Oběť kliknutím na odkaz „dobrovolně“předá své osobní údaje útočníkovi.
Metody využívající značky, vadné antiviry a falešnou loterii
Sociální inženýrství také využívá podvody se značkami, vadné antiviry a falešné loterie.
"Podvody a značky" - metoda klamání, která také patří do sekce phishing. To zahrnuje e-maily a webové stránky, které obsahují název velké a/nebo „propagované“společnosti. Z jejich stránek jsou odesílány zprávy s upozorněním na vítězství v určité soutěži. Dále musíte zadat důležité informace o účtu a ukrást je. Také tuto formu podvodu lze provést telefonicky.
Falešná loterie – metoda, při které je oběti zaslána zpráva s textem, že (a) vyhrál (a) loterii. Nejčastěji je upozornění maskováno pomocí jmen velkých korporací.
Falešné antiviry jsou softwarové podvody. Používá programy, které vypadají jako antiviry. Ve skutečnosti však vedou ke generování falešných upozornění na konkrétní hrozbu. Také se snaží nalákat uživatele do sféry transakcí.
Vishing, phreaking a pretexting
Když mluvíme o sociálním inženýrství pro začátečníky, měli bychom také zmínit vishing, phreaking a pretexting.
Vishing je forma klamu, která využívá telefonní sítě. Využívá předem nahrané hlasové zprávy, jejichž účelem je znovu vytvořit „oficiální hovor“bankovní struktury nebo jakéhokoli jiného IVR systému. Nejčastěji jsou požádáni o zadání uživatelského jména a / nebo hesla za účelem potvrzení jakýchkoli informací. Jinými slovy, systém vyžaduje autentizaci uživatele pomocí PIN kódů nebo hesel.
Phreaking je další forma telefonního podvodu. Jedná se o hackerský systém využívající manipulaci se zvukem a tónovou volbu.
Přetextování je útok pomocí předem promyšleného plánu, jehož podstatou je reprezentovat jiný subjekt. Extrémně obtížný způsob podvádění, protože vyžaduje pečlivou přípravu.
Quid Pro Quo a Road Apple Method
Teorie sociálního inženýrství je mnohostranná databáze, která zahrnuje jak metody klamání a manipulace, tak způsoby, jak se s nimi vypořádat. Hlavním úkolem vetřelců je zpravidla vylovit cenné informace.
Další typy podvodů zahrnují: quid pro quo, road apple, surfování přes rameno, open source a reverzní sociální média. inženýrství.
Quid-pro-quo (z latiny - „pro toto“) – pokus získat informace od společnosti nebo firmy. To se děje tak, že ji kontaktujete telefonicky nebo zasláním zpráv e-mailem. Nejčastěji útočnícipředstírat, že jsou zaměstnanci. podpory, které hlásí přítomnost konkrétního problému na pracovišti zaměstnance. Následně navrhnou způsoby, jak to opravit, například instalací softwaru. Ukázalo se, že software je vadný a propaguje zločin.
The Road Apple je metoda útoku, která je založena na myšlence trojského koně. Jeho podstata spočívá ve využití fyzického média a záměně informací. Mohou například poskytnout paměťovou kartu s určitým „dobrem“, které přitáhne pozornost oběti, způsobí touhu otevřít a použít soubor nebo sledovat odkazy uvedené v dokumentech flash disku. Objekt "silniční jablko" je shozen na sociálních místech a čeká se, dokud nějaký subjekt nerealizuje plán vetřelce.
Shromažďování a vyhledávání informací z otevřených zdrojů je podvod, při kterém je získávání dat založeno na metodách psychologie, schopnosti všímat si maličkostí a analýze dostupných dat, například stránek ze sociální sítě. Toto je docela nový způsob sociálního inženýrství.
Shoulder přes rameno a obrácené sociální sítě. inženýrství
Pojem „shoulder surfing“se definuje jako sledování subjektu živě v doslovném smyslu. S tímto typem sběru dat se útočník dostane na veřejná místa, jako je kavárna, letiště, vlakové nádraží, a sleduje lidi.
Tuto metodu nepodceňujte, protože mnoho průzkumů a studií ukazuje, že pozorný člověk může získat spoustu důvěrných informacíinformace jednoduše tím, že budete pozorní.
Sociální inženýrství (jako úroveň sociologických znalostí) je prostředkem k „zachytávání“dat. Existují způsoby, jak získat data, kdy oběť sama nabídne útočníkovi potřebné informace. Může však také sloužit dobru společnosti.
Reverzní sociální inženýrství je další metodou této vědy. Použití tohoto termínu se stává vhodným v případě, který jsme uvedli výše: oběť sama nabídne útočníkovi potřebné informace. Toto tvrzení by nemělo být považováno za absurdní. Faktem je, že subjekty disponující pravomocemi v určitých oblastech činnosti získávají přístup k identifikačním údajům často na základě vlastního rozhodnutí subjektu. Základem je zde důvěra.
Důležité na zapamatování! Zaměstnanci podpory uživatele nikdy nepožádají například o heslo.
Informace a ochrana
Školení v sociálním inženýrství může absolvovat jednotlivec buď na základě osobní iniciativy, nebo na základě výhod, které jsou využívány ve speciálních vzdělávacích programech.
Zločinci mohou používat širokou škálu typů podvodu, od manipulace po lenost, důvěřivost, zdvořilost uživatele atd. Je extrémně obtížné chránit se před tímto typem útoku, protože oběť nemá dostatek informací. vědomí, že) podváděl. Různé firmy a společnosti na ochranu svých dat na této úrovni nebezpečí se často zabývají vyhodnocováním obecných informací. Dalším krokem je integrace nezbytnéhozáruky k bezpečnostní politice.
Příklady
Příkladem sociálního inženýrství (jeho činu) v oblasti globálních phishingových zpráv je událost, ke které došlo v roce 2003. Během tohoto podvodu byly uživatelům eBay zaslány e-maily. Tvrdili, že účty, které jim patří, byly zablokovány. Pro zrušení blokace bylo nutné znovu zadat údaje o účtu. Dopisy však byly falešné. Přeložili na stránku identickou s oficiální, ale falešnou. Podle odborných odhadů nebyla ztráta příliš významná (méně než milion dolarů).
Definice odpovědnosti
Použití sociálního inženýrství může být v některých případech trestné. V řadě zemí, jako jsou Spojené státy americké, je pretexting (klamání vydáváním se za jinou osobu) přirovnáván k narušení soukromí. To však může být zákonem postižitelné, pokud informace získané během pretextingu byly z hlediska subjektu nebo organizace důvěrné. Nahrávání telefonického rozhovoru (jako metoda sociálního inženýrství) je také vyžadováno zákonem a vyžaduje pokutu 250 000 dolarů nebo odnětí svobody až na deset let pro jednotlivce. osob. Právnické osoby jsou povinny zaplatit 500 000 USD; termín zůstává stejný.