In hierdie artikel sal ons aandag gee aan die konsep van "sosiale ingenieurswese". 'n Algemene definisie van die term sal hier oorweeg word. Ons sal ook leer oor wie die stigter van hierdie konsep was. Kom ons praat afsonderlik oor die hoofmetodes van sosiale ingenieurswese wat deur aanvallers gebruik word.
Inleiding
Metodes wat jou toelaat om 'n persoon se gedrag reg te stel en sy aktiwiteite te bestuur sonder die gebruik van 'n tegniese stel gereedskap vorm die algemene konsep van sosiale ingenieurswese. Alle metodes is gebaseer op die bewering dat die menslike faktor die mees vernietigende swakheid van enige stelsel is. Dikwels word hierdie konsep beskou op die vlak van onwettige aktiwiteit, waardeur die misdadiger 'n aksie uitvoer wat daarop gemik is om inligting van die subjek-slagoffer op 'n oneerlike manier te bekom. Dit kan byvoorbeeld 'n soort manipulasie wees. Sosiale ingenieurswese word egter ook deur mense in wettige aktiwiteite gebruik. Tot op datum word dit die meeste gebruik om toegang tot hulpbronne met sensitiewe of sensitiewe inligting te verkry.
Stigter
Die stigter van sosiale ingenieurswese is Kevin Mitnick. Die konsep self het egter uit die sosiologie na ons gekom. Dit dui op 'n algemene stel benaderings wat deur toegepaste sosiale gebruik word. wetenskappe gefokus op die verandering van die organisasiestruktuur wat menslike gedrag kan bepaal en beheer daaroor kan uitoefen. Kevin Mitnick kan as die stigter van hierdie wetenskap beskou word, aangesien dit hy was wat die sosiale gewild gemaak het. ingenieurswese in die eerste dekade van die 21ste eeu. Kevin self was voorheen 'n kuberkraker wat onwettig by 'n wye verskeidenheid databasisse ingegaan het. Hy het aangevoer dat die menslike faktor die mees kwesbare punt van 'n stelsel van enige vlak van kompleksiteit en organisasie is.
As ons praat oor sosiale ingenieurswese-metodes as 'n manier om regte (dikwels onwettig) te verkry om vertroulike data te gebruik, kan ons sê dat hulle al baie lank bekend is. Dit was egter K. Mitnick wat die belangrikheid van hul betekenis en eienaardighede van toepassing kon oordra.
Phishing en nie-bestaande skakels
Enige tegniek van sosiale ingenieurswese is gebaseer op die teenwoordigheid van kognitiewe vervormings. Gedragsfoute word 'n "hulpmiddel" in die hande van 'n bekwame ingenieur, wat in die toekoms 'n aanval kan skep wat daarop gemik is om belangrike data te bekom. Onder sosiale ingenieurswese-metodes word uitvissing en nie-bestaande skakels onderskei.
Phishing is 'n aanlyn bedrogspul wat ontwerp is om persoonlike inligting soos gebruikersnaam en wagwoord te bekom.
Nie-bestaande skakel - die gebruik van 'n skakel wat die ontvanger sal lok met sekerevoordele wat verkry kan word deur daarop te klik en 'n spesifieke webwerf te besoek. Meestal word die name van groot maatskappye gebruik, wat subtiele aanpassings aan hul naam maak. Die slagoffer sal, deur op die skakel te klik, "vrywillig" hul persoonlike data aan die aanvaller oordra.
Metodes wat handelsmerke gebruik, gebrekkige antivirusse en 'n vals lotery
Sosiale ingenieurswese gebruik ook handelsnaam-swendelary, gebrekkige antivirusse en vals loterye.
"Bedrog en handelsmerke" - 'n metode van misleiding, wat ook tot die uitvissing-afdeling behoort. Dit sluit e-posse en webwerwe in wat die naam van 'n groot en/of "hiped" maatskappy bevat. Boodskappe word vanaf hul bladsye gestuur met kennisgewing van oorwinning in 'n sekere kompetisie. Vervolgens moet u belangrike rekeninginligting invoer en dit steel. Hierdie vorm van bedrog kan ook per telefoon uitgevoer word.
Valse lotery - 'n metode waarin 'n boodskap aan die slagoffer gestuur word met die teks dat hy (a) die lotery gewen het. Meestal word die waarskuwing gemasker deur die name van groot korporasies te gebruik.
Vals antivirusse is sagteware-swendelary. Dit gebruik programme wat soos antivirusse lyk. In werklikheid lei dit egter tot die generering van vals kennisgewings oor 'n spesifieke bedreiging. Hulle probeer ook om gebruikers na die gebied van transaksies te lok.
Vishing, phreaking en voorwendsel
Terwyl ons oor sosiale ingenieurswese vir beginners praat, moet ons ook vishing, phreaking en voorwendsels noem.
Vising is 'n vorm van misleiding wat telefoonnetwerke gebruik. Dit gebruik vooraf opgeneemde stemboodskappe, waarvan die doel is om die "amptelike oproep" van die bankstruktuur of enige ander IVR-stelsel te herskep. Meestal word hulle gevra om 'n gebruikersnaam en / of wagwoord in te voer om enige inligting te bevestig. Met ander woorde, die stelsel vereis stawing deur die gebruiker deur PIN-kodes of wagwoorde te gebruik.
Phreaking is nog 'n vorm van telefoonbedrogspul. Dit is 'n inbraakstelsel wat klankmanipulasie en toonskakeling gebruik.
Pretekstering is 'n aanval wat 'n voorbedagte rade gebruik, waarvan die essensie is om 'n ander onderwerp te verteenwoordig. 'n Uiters moeilike manier om te kul, aangesien dit noukeurige voorbereiding verg.
Quid Pro Quo and the Road Apple Method
Die teorie van sosiale ingenieurswese is 'n veelvlakkige databasis wat beide metodes van misleiding en manipulasie insluit, sowel as maniere om dit te hanteer. Die hooftaak van indringers is as 'n reël om waardevolle inligting uit te vang.
Ander soorte swendelary sluit in: quid pro quo, padappel, skouerbranderry, oopbron en omgekeerde sosiale media. ingenieurswese.
Quid-pro-quo (van Latyn - "hiervoor") - 'n poging om inligting uit 'n maatskappy of firma te onttrek. Dit gebeur deur haar telefonies te kontak of deur boodskappe per e-pos te stuur. Meestal aanvallersvoorgee om werknemers te wees. ondersteuning, wat die teenwoordigheid van 'n spesifieke probleem in die werkplek van die werknemer rapporteer. Hulle stel dan maniere voor om dit reg te stel, byvoorbeeld deur sagteware te installeer. Die sagteware blyk gebrekkig te wees en bevorder die misdaad.
The Road Apple is 'n aanvalsmetode wat gebaseer is op die idee van 'n Trojaanse perd. Die essensie daarvan lê in die gebruik van 'n fisiese medium en die vervanging van inligting. Hulle kan byvoorbeeld 'n geheuekaart voorsien met 'n sekere "goed" wat die aandag van die slagoffer sal trek, 'n begeerte sal veroorsaak om die lêer oop te maak en te gebruik of die skakels volg wat in die dokumente van die flash drive aangedui word. Die "padappel"-voorwerp word op sosiale plekke laat val en gewag totdat die indringer se plan deur een of ander onderwerp geïmplementeer is.
Om inligting van oop bronne in te samel en te soek is 'n bedrogspul waarin data-verkryging gebaseer is op die metodes van sielkunde, die vermoë om klein dingetjies raak te sien en die ontleding van beskikbare data, byvoorbeeld bladsye van 'n sosiale netwerk. Dit is 'n redelik nuwe manier van sosiale ingenieurswese.
Skulderbranderry en omgekeerde sosiale. ingenieurswese
Die konsep van "skouer navigeer" definieer homself as om 'n onderwerp regstreeks in die letterlike sin te kyk. Met hierdie tipe datavisvang gaan die aanvaller na openbare plekke, soos 'n kafee, lughawe, treinstasie en volg mense.
Moenie hierdie metode onderskat nie, aangesien baie opnames en studies toon dat 'n oplettende persoon baie vertroulike inligting kan ontvanginligting bloot deur oplettend te wees.
Sosiale ingenieurswese (as 'n vlak van sosiologiese kennis) is 'n manier om data te "vaslê". Daar is maniere om data te bekom waarin die slagoffer self die nodige inligting aan die aanvaller sal bied. Dit kan egter ook die goeie van die samelewing dien.
Omgekeerde sosiale ingenieurswese is 'n ander metode van hierdie wetenskap. Die gebruik van hierdie term word gepas in die geval wat ons hierbo genoem het: die slagoffer sal self die nodige inligting aan die aanvaller bied. Hierdie stelling moet nie as absurd beskou word nie. Die feit is dat proefpersone wat met gesag in sekere aktiwiteitsareas toegerus is dikwels toegang tot identifikasiedata kry op die proefpersoon se eie besluit. Die basis hier is vertroue.
Belangrik om te onthou! Ondersteuningspersoneel sal byvoorbeeld nooit die gebruiker vir 'n wagwoord vra nie.
Inligting en beskerming
Opleiding in maatskaplike ingenieurswese kan deur die individu gedoen word, hetsy op grond van persoonlike inisiatief of op grond van voordele wat in spesiale opleidingsprogramme gebruik word.
Misdadigers kan 'n wye verskeidenheid tipes misleiding gebruik, wat wissel van manipulasie tot luiheid, liggelowigheid, hoflikheid van die gebruiker, ens. Dit is uiters moeilik om jouself teen hierdie tipe aanval te beskerm, weens die slagoffer se gebrek aan bewustheid dat hy) verneuk het. Verskeie firmas en maatskappye om hul data op hierdie vlak van gevaar te beskerm, is dikwels besig met die evaluering van algemene inligting. Die volgende stap is om die nodige te integreervoorsorgmaatreëls vir die sekuriteitsbeleid.
Voorbeelde
'n Voorbeeld van sosiale ingenieurswese (die handeling daarvan) op die gebied van wêreldwye uitvissing-pos is 'n gebeurtenis wat in 2003 plaasgevind het. E-posse is tydens hierdie bedrogspul aan eBay-gebruikers gestuur. Hulle het beweer dat die rekeninge wat aan hulle behoort, geblokkeer is. Om die blokkering te kanselleer, was dit nodig om die rekeningdata weer in te voer. Die briewe was egter vals. Hulle het vertaal na 'n bladsy identies aan die amptelike een, maar vals. Volgens deskundige skattings was die verlies nie te beduidend nie (minder as 'n miljoen dollar).
Definisie van verantwoordelikheid
Die gebruik van sosiale ingenieurswese kan in sommige gevalle strafbaar wees. In 'n aantal lande, soos die Verenigde State, word voorwendsels (bedrog deur die nabootsing van 'n ander persoon) gelykgestel aan 'n skending van privaatheid. Dit kan egter deur die wet strafbaar wees as die inligting wat tydens voorwendsels verkry is, vertroulik was vanuit die oogpunt van die onderwerp of organisasie. Die opname van 'n telefoongesprek (as 'n sosiale ingenieursmetode) word ook deur die wet vereis en vereis 'n boete van $250 000 of tronkstraf van tot tien jaar vir individue. persone. Daar word van regspersone verwag om $500 000 te betaal; die sperdatum bly dieselfde.
