Kako naučiti društveni inženjering. Udžbenik socijalnog inženjeringa. Strah podstiče povjerenje

Laganje je cijela tehnologija koja ima naziv "Društveni inženjering". Kvalitetne laži sastavni su dio "Društvenog inženjeringa", bez čije uporabe u suvremenim uvjetima ne može niti jedan kreker, kako početnik, tako i prekaljeni.

Krekeri su različiti: haker računalne radne stanice, haker poslužitelja, haker računalne mreže, haker telefonske mreže, kreker ( nositelj) samo mozak itd. - i svi oni koriste “Društveni inženjering” kao pomoćno oruđe, ili samo laž, na kojoj se u osnovi gradi “Društveni inženjering”, a zapravo većina života cijelog čovječanstva.

Kao djecu učili su nas da ne lažemo. Nitko nikad. Međutim, kako to često biva, život precrtava sve školske lekcije i tvrdoglavo nas zabija u činjenicu da bez neistine, ni ovdje ni tamo, - "Nećeš lagati, nećeš živjeti." Najbolji lažovi lažu, začudo, ponekad i gotovo nikad to ne priznaju. O drugim tajnama umjetnosti laganja govorit ćemo u ovom članku.

Gotovo sve sfere ljudskog života, pa tako i religija, prožete su lažima, a nemirni britanski istraživači svega i svačega na cijelom širokom svijetu i susjednim galaksijama također dodaju: “Ispada da svaka osoba laže oko 88 tisuća puta u životu! ".

Na popisu najpopularnijih laži nalaze se, naravno, one izlizane: “Nema tijesta, sad sam i ja slomljen”, “Jako mi je drago što te vidim”, “Nazvat ćemo te” i “Hvala puno, stvarno sam jako dobar. Kao ". Ispada da svi lažu, svakome i svaki put. Ali neki ljudi divno lažu, zabavljajući druge i olakšavajući sebi život, dok drugi - ne baš, dok svima oko sebe donose bol i patnju.

Dakle, kako naučiti jednostavno, sigurno i lijepo "napudrati svoj mozak" ( objesite rezance na uši, tjerajte mećavu, varajte)? U ovom zanatu, kao i u svakom drugom, postoje nepisani zakoni i tajne.

“Profesor je, naravno, čičak, ali oprema je s njim, s njim. Kako se čuje? »

Velike i male laži zahtijevaju isti skrupulozan stav

Ovo je jedno od osnovnih pravila koje nadolazeći majstor laži mora naučiti napamet. Svaka vaša laž, bez obzira na njezino značenje, morat će se zauvijek pamtiti i sljedeće laži će se graditi uzimajući u obzir prethodnu. No, nekome se može učiniti da je dovoljno samo zapamtiti najosnovniju laž, a laži u sitnim formalnostima nisu vrijedne pamćenja. Tako u pravilu gore neiskusni lažljivci - nagomilavši brdo laži, onda zaborave tko su se, kada i kako "počešljali".

Stoga nastojte zapamtiti svaku svoju, pa i najmanju laž. A kako ljudsko pamćenje nije beskonačno i sigurno se nećete moći sjetiti svih svojih "gonilova", onda iz ovog zaključka proizlazi glavno pravilo: Lažite što rjeđe, IMHO, jedino tako možete postići vjerodostojnost .

Pijesak u oči, rezanci u uši

Pravi majstor (vozač) laži je poput španjolskog toreadora koji izvlači mač samo u najodlučnijem trenutku i zadaje samo 1 udarac. Sve ostalo vrijeme majstorski odvlači žrtvu uz pomoć spretnih manipulacija crvenim ogrtačem. Prilikom vješanja rezanaca na uši koriste se slične metode, a spretno prebacivanje sugovornikove pozornosti na drugi predmet ili povremeno mijenjanje teme razgovora općenito oslobađa od potrebe da lažete. Razmislite unaprijed svoju strategiju ponašanja kako uopće ne biste morali voziti mećavu. Da, gledajte, nemojte pretjerivati, jer nezgodna uporaba muleta može koštati borca ​​bikova života!

Teško u školi, lako na poslu

U svakoj profesiji praktična obuka je neophodna, a u takvoj profesiji kao što je lažov, praksa je svakako neizostavna. Ali zato što nije baš humano vježbati na živim ljudima, vježbat ćemo na sebi. Stanimo pred ogledalo i ponavljamo svoje laži dok ne počne izgledati potpuno prirodno. U idealnom slučaju, trebali bismo sami sebe uvjeriti u istinitost naših laži. Besprijekorna obmana je ona u koju smo i sami vjerovali.

I ja, onda ne ja, i gluposti nisu moje

Ako su vas počeli sumnjičiti da lažete, onda je najgore što se može učiniti u takvoj situaciji da se sami počnete opravdavati i početi izmišljati sve više laži. Kada je kuća počela teturati, onda je potrebno što prije pobjeći od nje, a ne hitno dovršiti izgradnju dodatnih katova. Zato se na svaku optužbu mora odgovarati uvrijeđenom i ponosnom šutnjom ili se u suprotnom premjestiti na drugu temu.

Što se tiče "dobrovoljne predaje analnom zarobljeništvu", takva je predaja jednaka izravnom mecu u sljepoočnicu. Često postoje okolnosti kada je istina podjednako manjkava za obje strane, a suprotna strana, unatoč svojim optužbama da laže, kao i sam lažov, ne bi je htjela čuti. Ne ustuknite i ne odustajte, čak ni kada ste doslovno pritisnuti uza zid. Iskvarite svoju liniju protiv dokaza, logike i zdravog razuma ( na Krimu nema naših vojnika - ovo je sve narodna samoobrana).

Samo ti, samo ja

Možete razmišljati o strategiji ponašanja za mnoge korake naprijed, možete razraditi briljantne glumačke vještine kraj ogledala i razraditi istinite intonacije razgovora, smisliti izgovor, osigurati si svjedoke, putove za bijeg i drugu liniju obrane.

A rođaci i prijatelji još uvijek mogu saznati istinu. To se ne može znanstveno objasniti, jer ne vjerujemo u tip "Sanjao sam u snu" ili "Osjećam guzicu u svom srcu" ... "da si lažljivac iz znanstvene fantastike". Drugim riječima, između određenih ljudi može se uspostaviti svojevrsna psihofiziološka neverbalna (astralna) veza zahvaljujući kojoj oni nesvjesno osjećaju i najsitnije promjene stanja jednih drugih. stoga je poželjno čak ni ne pokušavati lagati rodbini i prijateljima.

Posljednjih godina kibernetički kriminalci koji koriste tehnike socijalnog inženjeringa usvojili su naprednije metode koje povećavaju vjerojatnost pristupa potrebnim informacijama koristeći modernu psihologiju zaposlenika poduzeća i ljudi općenito. Prvi korak u suprotstavljanju ovim vrstama trikova je razumijevanje samih napadačevih taktika. Pogledajmo osam glavnih pristupa društvenom inženjeringu.

Uvod

U 90-ima je koncept “društvenog inženjeringa” uveo Kevin Mitnick, kultna figura u području informacijske sigurnosti, bivši ozbiljan haker. Međutim, napadači su koristili takve metode mnogo prije nego što se sam izraz pojavio. Stručnjaci su uvjereni da je taktika modernih cyber kriminalaca vezana za postizanje dva cilja: krađu lozinki, instaliranje zlonamjernog softvera.

Napadači pokušavaju primijeniti društveni inženjering koristeći telefon, e-poštu i web. Upoznajmo se s glavnim metodama koje pomažu kriminalcima da dođu do povjerljivih informacija koje su im potrebne.

Taktika 1. Teorija deset rukovanja

Glavni cilj napadača koji koristi telefon za društveni inženjering je uvjeriti svoju žrtvu u jednu od dvije stvari:

1. Žrtva prima poziv od zaposlenika tvrtke;
2. Zove predstavnik ovlaštenog tijela (na primjer, službenik za provedbu zakona ili revizor).

Ako si kriminalac postavi zadatak prikupljanja podataka o određenom zaposleniku, najprije može kontaktirati svoje kolege, pokušavajući na sve moguće načine doći do podataka koji su mu potrebni.

Sjećate li se stare teorije o šest rukovanja? Dakle, stručnjaci za sigurnost kažu da između kibernetičkog kriminalca i njegove žrtve može biti samo deset “rukovanja”. Stručnjaci smatraju da je u modernim uvjetima uvijek potrebno imati malo paranoje, jer se ne zna što ovaj ili onaj zaposlenik želi od vas.

Napadači obično kontaktiraju tajnika (ili nekoga na sličnoj poziciji) kako bi prikupili informacije o ljudima na višim pozicijama u hijerarhiji. Stručnjaci napominju da prijateljski ton uvelike pomaže prevarantima. Polako, ali sigurno, kriminalci preuzimaju ključ do vas, što ubrzo dovodi do činjenice da dijelite informacije koje nikada prije ne biste otkrili.

Taktika 2. Naučite korporativni jezik

Kao što znate, svaka industrija ima svoje specifične formulacije. Zadatak napadača koji pokušava doći do potrebnih informacija je naučiti značajke takvog jezika kako bi se vještije koristio tehnikama društvenog inženjeringa.

Sve specifičnosti leže u proučavanju korporativnog jezika, njegovih pojmova i značajki. Ako cyber kriminalac govori poznatim, poznatim i razumljivim jezikom za svoje potrebe, lakše će steći samopouzdanje i moći će brzo doći do informacija koje su mu potrebne.

Taktika 3: Posudite glazbu na čekanje tijekom poziva

Za uspješan napad, prevarantima su potrebne tri komponente: vrijeme, upornost i strpljenje. Često se cybernapadi korištenjem socijalnog inženjeringa provode sporo i metodično – ne prikupljaju se samo podaci o pravim ljudima, već i tzv. “društveni signali”. To se radi kako bi stekli povjerenje i zaokružili metu oko prsta. Na primjer, napadači mogu uvjeriti osobu s kojom komuniciraju da su kolege.

Jedna od značajki ovog pristupa je snimanje glazbe koju tvrtka koristi tijekom poziva, u vrijeme kada pozivatelj čeka odgovor. Zločinac prvo čeka takvu glazbu, pa je snimi, a onda je koristi u svoju korist.

Tako, kada dođe do izravnog dijaloga sa žrtvom, napadači u nekom trenutku kažu: "Čekaj malo, na drugoj liniji je poziv." Žrtva tada čuje poznatu glazbu i nema sumnje da pozivatelj predstavlja određenu tvrtku. U biti, ovo je samo kompetentan psihološki trik.

Taktika 4. Lažnjavanje (zamjena) telefonskog broja

Kriminalci često koriste lažiranje telefonskog broja kako bi im pomogli da lažiraju broj pozivatelja. Primjerice, napadač može sjediti u svom stanu i nazvati osobu koja ga zanima, ali ID pozivatelja će prikazati broj u vlasništvu tvrtke, što će stvoriti iluziju da prevarant zove preko korporativnog broja.

Naravno, zaposlenici koji ništa ne slute će u većini slučajeva predati osjetljive podatke, uključujući lozinke, pozivatelju ako ID pozivatelja pripada njihovoj tvrtki. Ovaj pristup također pomaže kriminalcima da izbjegnu praćenje, jer ako ponovno nazovete ovaj broj, bit ćete preusmjereni na internu liniju tvrtke.

Taktika 5: Korištenje vijesti protiv vas

Bez obzira na naslove aktualnih vijesti, napadači koriste ove informacije kao mamac za neželjenu poštu, krađu identiteta i druge prijevarne aktivnosti. Nije ni čudo što stručnjaci u posljednje vrijeme primjećuju porast broja neželjenih e-poruka, čije se teme odnose na predsjedničke kampanje i ekonomske krize.

Primjeri uključuju phishing napad na banku. E-mail kaže otprilike ovako:

“Druga banka [naziv banke] preuzima vašu banku [naziv banke]. Kliknite na ovu vezu kako biste bili sigurni da su vaši bankovni podaci ažurirani prije nego što se ugovor zaključi."

Naravno, ovo je pokušaj dobivanja informacija s kojima prevaranti mogu ući u vaš račun, ukrasti vaš novac ili prodati vaše podatke trećoj strani.

Taktika 6: Iskoristite povjerenje u društvene platforme

Nije tajna da su Facebook, Myspace i LinkedIn iznimno popularne društvene mreže. Prema istraživanjima stručnjaka, ljudi su skloni vjerovati takvim platformama. Nedavni incident krađe identiteta koji cilja korisnike LinkedIn-a podržava ovu teoriju.

Stoga će mnogi korisnici vjerovati e-mailu ako tvrdi da je s Facebooka. Uobičajeni trik je tvrdnja da je društvena mreža u tijeku, morate "kliknuti ovdje" za ažuriranje informacija. Zato stručnjaci preporučuju da zaposlenici poduzeća ručno unose web adrese kako bi izbjegli phishing linkove.

Također je vrijedno imati na umu da će web-mjesta vrlo rijetko tražiti od korisnika da promijene zaporku ili ažuriraju svoj račun.

Taktika 7. Čučanj

Ova zlonamjerna tehnika je značajna po tome što napadači koriste ljudski faktor, odnosno pogreške prilikom unosa URL-a u adresnu traku. Tako, pogriješivši samo jedno slovo, korisnik može doći do stranice koju su napadači kreirali posebno za tu svrhu.

Cyber ​​kriminalci pažljivo su postavili pozornicu za kucanje, tako da će njihova stranica biti poput one koju ste prvotno željeli posjetiti. Dakle, greškom u pisanju web adrese završavate na kopiji legitimne stranice, čija je svrha ili prodati nešto, ili ukrasti podatke, ili distribuirati zlonamjerni softver.

Taktika 8: Korištenje FUD-a za utjecaj na burzu

FUD je taktika psihološke manipulacije koja se koristi u marketingu i propagandi općenito, a koja se sastoji u prezentiranju informacija o nečemu (posebno, proizvodu ili organizaciji) na način da se u publici posije nesigurnost i sumnja u njegove kvalitete i time izazove strah toga.

Prema najnovijim istraživanjima tvrtke Avert, sigurnost i ranjivost proizvoda, pa čak i cijelih tvrtki, mogu utjecati na burzu. Na primjer, istraživači su proučavali utjecaj događaja kao što je "Microsoft Patch Tuesday" na dionice tvrtke, pronalazeći značajnu fluktuaciju svaki mjesec nakon što je ranjivost objavljena.

Možete se prisjetiti i kako su napadači 2008. širili lažne informacije o zdravlju Stevea Jobsa, što je dovelo do oštrog pada dionica Applea. Ovo je najtipičniji primjer FUD-a koji se koristi u zlonamjerne svrhe.

Osim toga, vrijedno je napomenuti korištenje e-pošte za implementaciju tehnike "pump-and-dump" (shema za manipuliranje tečajem na burzi ili tržištu kriptovaluta s kasnijim kolapsom). U tom slučaju napadači mogu slati e-poruke u kojima opisuju nevjerojatan potencijal dionica koje su unaprijed kupili.

Tako će mnogi pokušati što prije kupiti te dionice, a one će poskupjeti.

zaključke

Cyber ​​kriminalci su često vrlo kreativni u korištenju društvenog inženjeringa. Upoznavši se s njihovim metodama, možemo zaključiti da su razni psihološki trikovi od velike pomoći napadačima da postignu svoje ciljeve. Na temelju toga, vrijedno je obratiti pozornost na svaku sitnicu koja prevarantu nesvjesno može odati, provjeriti i još jednom provjeriti podatke o osobama koje vas kontaktiraju, osobito ako se raspravlja o povjerljivim informacijama.

Nemojte izgubiti. Pretplatite se i primite vezu na članak na svoju e-poštu.

Od pojave računala i uspona interneta, programeri su naporno radili na osiguravanju računalne sigurnosti. Ali ni danas nitko nije uspio postići ovo 100%. No, zamislimo da se ovaj rezultat ipak postiže zahvaljujući najmoćnijoj kriptografiji, poboljšanim sigurnosnim protokolima, pouzdanom softveru i drugim sigurnosnim elementima. Kao rezultat, dobivamo apsolutno sigurnu mrežu i u njoj možemo sigurno raditi.

„Divno! - kažete, - u torbi je! ”, Ali pogriješit ćete, jer to nije dovoljno. Zašto? Da, jer se korist svakog računalnog sustava može ostvariti samo uz sudjelovanje korisnika, t.j. narod. A upravo ta interakcija između računala i osobe nosi ozbiljnu opasnost, a osoba je često najslabija karika u lancu sigurnosnih mjera. Štoviše, on sam je razlog zašto je sigurnost neučinkovita.

U informacijskom dobu postalo je lakše manipulirati ljudima, jer postoje internet i mobilna komunikacija koja vam omogućuje interakciju bez izravnog kontakta. Postoje čak i posebne metode koje pomažu napadačima da "operiraju" na ljudima onako kako žele. Njihov kompleks zove se društveni inženjering, a u ovom članku pokušat ćemo saznati što je to.

Društveni inženjering: što je to i kako se pojavio?

Lako je pretpostaviti da je i najsofisticiraniji sigurnosni sustav ranjiv kada njime upravlja neka osoba, pogotovo ako je ta osoba lakovjerna, naivna i. A kada se izvrši napad na stroj (PC), ne samo računalo, već i osoba koja radi iza njega, može djelovati kao žrtva.

To je taj napad u žargonu društvenih hakera koji se naziva društveni inženjering. U svom tradicionalnom obliku izgleda kao telefonski poziv, gdje se pozivatelj pretvara da je netko drugi, želeći izvući povjerljive podatke od pretplatnika, najčešće lozinke. No, u našem članku ćemo razmotriti fenomen socijalnog inženjeringa u širem smislu, podrazumijevajući pod njim sve moguće metode psihološke manipulacije, poput ucjene, igranja na osjećaje, prijevare itd.

U tom shvaćanju, društveni inženjering je metoda kontrole ljudskih postupaka bez upotrebe tehničkih sredstava. Najčešće se doživljava kao ilegalna metoda dobivanja raznih vrijednih informacija. Uglavnom se koristi na internetu. Ako vas zanimaju primjeri društvenog inženjeringa, evo jednog od najupečatljivijih:

PRIMJER: Napadač želi saznati lozinku s osobnog računa Internet bankarstva osobe. Nazove žrtvu telefonom i predstavi se kao zaposlenik banke, tražeći lozinku, misleći na ozbiljne tehničke probleme u sustavu organizacije. Radi veće uvjerljivosti, imenuje izmišljeno (ili pravo) ime zaposlenika, njegov položaj i ovlasti (ako je potrebno). Kako bi žrtva povjerovala, društveni haker može ispuniti svoju priču uvjerljivim detaljima, igrati se na osjećaje same žrtve. Nakon što je napadač primio informaciju, on se i dalje vješto oprašta od svog “klijenta”, a zatim pomoću lozinke ulazi na svoj osobni račun i krade sredstva.

Čudno, ali čak i u naše vrijeme postoje ljudi koji kljucaju takav mamac i s povjerenjem kažu društvenim hakerima sve što im treba. A u arsenalu potonjeg može biti mnogo tehnika i tehnika. O njima ćemo također govoriti, ali malo kasnije.

Društveni inženjering je znanost (smjer) koja se pojavila relativno nedavno. Njegovo sociološko značenje leži u činjenici da djeluje sa specifičnim znanjem koje usmjerava, sistematizira i optimizira proces stvaranja, modernizacije i primjene novih društvenih stvarnosti. Na neki način nadopunjuje sociološko znanje, pretvarajući znanstvenu spoznaju u algoritme aktivnosti i ponašanja.

Ljudi koriste društveni inženjering u nekom obliku od davnina. Na primjer, u starom Rimu i staroj Grčkoj, posebno su školovani retoričari bili vrlo cijenjeni, sposobni uvjeriti sugovornika u njegovu "pogrešnost". Ti su ljudi sudjelovali u diplomatskim pregovorima i rješavali državne probleme. Kasnije su društveni inženjering usvojile obavještajne agencije poput CIA-e i KGB-a, čiji su agenti uspješno imitirali bilo koga i otkrili državne tajne.

Početkom 1970-ih počeli su se pojavljivati ​​telefonski huligani koji su zbog šale razbijali mir raznim tvrtkama. No, s vremenom je netko shvatio da ako koristite tehnički pristup, lako možete dobiti razne važne informacije. A do kraja 70-ih, bivši telefonski huligani pretvorili su se u profesionalne socijalne inženjere (počeli su ih nazivati ​​singerima), sposobni vješto manipulirati ljudima, definirati njihove komplekse i strahove samo intonacijom.

Kada su se pojavila računala, većina pjevača promijenila je profil, postavši društveni hakeri. Sada su pojmovi "društveni inženjering" i "društveni hakeri" sinonimi. S snažnim razvojem društvenog inženjeringa, počele su se pojavljivati ​​nove njegove vrste i širio se arsenal tehnika.

Pogledajte ovaj kratki video kako biste saznali kako društveni hakeri manipuliraju ljudima.

Metode društvenog inženjeringa

Svi stvarni primjeri društvenog inženjeringa pokazuju da se on lako prilagođava svim uvjetima i svakom okruženju, a žrtve društvenih hakera u pravilu niti ne sumnjaju da se protiv njih koristi neka tehnika, a još više ne znam tko to radi.

Sve metode društvenog inženjeringa temelje se na . To je takozvana kognitivna osnova, prema kojoj ljudi u društvenom okruženju uvijek imaju tendenciju vjerovati nekome. Među glavnim metodama društvenog inženjeringa su:

• "Trojanski konj"
• Pretekst
• "Cestovna jabuka"
• Krađa identiteta
• Qui pro quo

Razgovarajmo o njima detaljnije.

"Trojanski konj"

Pri korištenju "trojanskog konja" iskorištava se radoznalost osobe i želja za dobrobiti. Društveni hakeri šalju pismo na e-mail žrtve s nekim zanimljivim prilogom, na primjer, nadogradnju za neki program, čuvar zaslona erotskog sadržaja, uzbudljive vijesti itd. Metoda se koristi za prisiljavanje korisnika da klikne na datoteku koja može zaraziti računalo virusom. Često se zbog toga na ekranu pojavljuju banneri, koji se mogu zatvoriti na samo dva načina: ponovnom instalacijom operativnog sustava ili plaćanjem napadačima određenog iznosa.

Pretekst

Pojam "pretekstiranje" označava radnju koju korisnik izvodi prema prethodno pripremljenom izgovoru, t.j. scenarij. Cilj je da osoba da određene informacije ili izvrši određenu radnju. U većini slučajeva se za telefonske pozive koristi pretekst, iako ima primjera takvih napada na Skype, Viber, ICQ i druge instant messengere. Ali da bi implementirao metodu, pjevač ili haker mora ne samo, već i unaprijed provesti studiju objekta - saznati njegovo ime, datum rođenja, mjesto rada, iznos na računu itd. Uz pomoć ovakvih detalja pjevač povećava povjerenje žrtve u sebe.

"Cestovna jabuka"

Metoda cestovne jabuke sastoji se u prilagodbi "trojanskog konja" i zahtijeva obveznu upotrebu neke vrste fizičkog medija za pohranu. Društveni hakeri mogu podmetnuti fleš diskove za podizanje sustava ili diskove na kojima se mijenjaju mediji sa zanimljivim i/ili jedinstvenim sadržajem. Sve što je potrebno je diskretno staviti "putnu jabuku" na žrtvu, na primjer, u automobil na parkiralištu, u torbu u liftu itd. Ili možete jednostavno ostaviti ovo "voće" gdje će ga žrtva najvjerojatnije vidjeti i uzeti ga sama.

Krađa identiteta

Phishing je vrlo česta metoda dobivanja osjetljivih informacija. U klasičnoj verziji ovo je "službena" e-pošta (od usluge plaćanja, banke, visokorangirane osobe itd.), opremljena potpisima i pečatima. Primatelj je dužan slijediti poveznicu na lažnu stranicu (tu je i sve što govori o "službenosti i pouzdanosti" izvora) i unijeti neke podatke, na primjer, puno ime, kućnu adresu, broj telefona, adrese profila na društvenim mrežama, bankovne kartice s brojevima (pa čak i CVV kod!). Nakon što je povjerila stranici i unijela podatke, žrtva ih šalje prevarantima, a što se dalje događa lako je pogoditi.

Qui pro quo

Qui Pro Quo metoda koristi se za uvođenje zlonamjernog softvera u sustave raznih tvrtki. Društveni hakeri zovu pravu (ponekad bilo koju) tvrtku, predstavljaju se kao djelatnici tehničke podrške i ispituju zaposlenike za sve tehničke kvarove u računalnom sustavu. Ako postoje kvarovi, napadači ih počinju "popravljati": traže od žrtve da unese određenu naredbu, nakon čega postaje moguće pokrenuti virusni softver.

Gore navedene metode socijalnog inženjeringa najčešće su u praksi, ali postoje i druge. Osim toga, postoji i posebna vrsta društvenog inženjeringa, koja je također osmišljena da utječe na osobu i njezine postupke, ali se radi po potpuno drugačijem algoritmu.

Obrnuti društveni inženjering

Obrnuti društveni inženjering i društveni hakeri koji su specijalizirani za njega grade svoje aktivnosti u tri smjera:

• Stvaraju se situacije koje tjeraju ljude da traže pomoć
• Oglašavaju se usluge rješavanja problema (to uključuje prethodnu pomoć pravih stručnjaka)
• Ispada "pomoć" i utjecaj

U slučaju ove vrste društvenog inženjeringa, napadači u početku proučavaju osobu ili skupinu ljudi na koju namjeravaju utjecati. Istražuju se njihove strasti, interesi, želje i potrebe, a preko njih se vrši utjecaj uz pomoć programa i svih drugih metoda elektroničkog utjecaja. Štoviše, programi prvo moraju raditi bez kvarova kako ne bi izazvali zabrinutost, a tek onda prijeći na zlonamjerni način rada.

Primjeri obrnutog društvenog inženjeringa također nisu neuobičajeni, a evo jednog od njih:

Društveni hakeri razvijaju program za određenu tvrtku, na temelju njezinih interesa. Program sadrži virus sporog djelovanja - nakon tri tjedna se aktivira, a sustav počinje kvariti. Uprava kontaktira programere kako bi im pomogli riješiti problem. Budući da su spremni na takav razvoj događaja, napadači šalju svog "specijalista", koji "rješavajući problem" dobiva pristup povjerljivim informacijama. Cilj je postignut.

Za razliku od konvencionalnog društvenog inženjeringa, obrnuto je dugotrajnije, zahtijeva posebna znanja i vještine te se koristi za utjecaj na širu publiku. Ali učinak toga je nevjerojatan - žrtva bez otpora, t.j. na vlastiti zahtjev hakerima otkriva sve karte.

Stoga se bilo koja vrsta društvenog inženjeringa gotovo uvijek koristi sa zlonamjernom namjerom. Neki ljudi, naravno, govore o njegovim dobrobitima, ističući da se njime može rješavati društveni problemi, održavati društvena aktivnost, pa čak i prilagoditi društvene institucije promjenjivim uvjetima. No, unatoč tome, najuspješnije se koristi za:

• Prevariti ljude i dobiti povjerljive informacije
• Manipuliranje i ucjenjivanje ljudi
• Destabilizacija rada poduzeća radi njihovog naknadnog uništenja
• Krađa baze podataka
• Financijska prijevara
• Konkurentna inteligencija

Naravno, to nije moglo proći nezapaženo i pojavile su se metode suzbijanja društvenog inženjeringa.

Zaštita od društvenog inženjeringa

Danas velike tvrtke sustavno provode sve vrste testova na otpornost na društveni inženjering. Gotovo nikad radnje ljudi koji su pali pod napadom društvenih hakera nisu namjerni. Ali zato su opasni, jer ako se relativno lako obraniti od vanjske prijetnje, onda je puno teže obraniti se od unutarnje.

Kako bi poboljšali sigurnost, menadžment tvrtke provodi specijalizirane obuke, kontrolira razinu znanja svojih zaposlenika, a također i sam pokreće internu sabotažu, što vam omogućuje da odredite stupanj pripremljenosti ljudi za napade društvenih hakera, njihovu reakciju, savjesnost i poštenje. Dakle, "zaražena" pisma mogu se slati na e-mail, kontaktirati putem Skypea ili društvenih mreža.

Ista zaštita od društvenog inženjeringa može biti i antropogena i tehnička. U prvom slučaju skreće se pozornost na sigurnosna pitanja, prenosi se bit ozbiljnosti ovog problema i poduzimaju se mjere za uvođenje sigurnosne politike, proučavaju se i provode metode i radnje koje povećavaju zaštitu informacijske podrške. Ali sve to ima jedan nedostatak - sve su te metode pasivne, a mnogi ljudi jednostavno ignoriraju upozorenja.

Što se tiče tehničke zaštite, to uključuje sredstva koja ometaju pristup informacijama i njihovu upotrebu. S obzirom da su e-mailovi i poruke postali najpopularniji napadi društvenih hakera na Internetu, programeri izrađuju poseban softver koji filtrira sve dolazne podatke, a to se odnosi i na privatne pretince i na internu poštu. Filtri analiziraju tekstove dolaznih i odlaznih poruka. Ali ovdje postoji poteškoća - takav softver učitava poslužitelje, što može usporiti i srušiti sustav. Osim toga, nemoguće je predvidjeti sve varijacije pisanja potencijalno opasnih poruka. Međutim, tehnologija se poboljšava.

A ako govorimo konkretno o sredstvima koja sprječavaju korištenje dobivenih podataka, oni se dijele na:

• Blokiranje korištenja informacija svugdje osim na radnom mjestu korisnika (podaci za autentifikaciju vezani su uz elektroničke potpise i serijske brojeve komponenti računala, fizičke i IP adrese)
• Blokiranje automatske upotrebe informacija (ovo uključuje poznatu Captcha, gdje je lozinka slika ili njezin iskrivljeni dio)

Obje ove metode blokiraju mogućnost automatizacije i pomiču ravnotežu između vrijednosti informacija i rada na njihovom dobivanju prema poslu. Stoga se, čak i uz sve podatke koje daju nesuđeni korisnici, društveni hakeri suočavaju s ozbiljnim poteškoćama u njihovoj praktičnoj primjeni.

A za svaku običnu osobu, kako bismo se zaštitili od društvenog inženjeringa, savjetujemo vam da jednostavno ostanete na oprezu. Kada primate pismo e-poštom, svakako pažljivo pročitajte tekst i poveznice, pokušajte razumjeti što se u pismu nalazi, od koga je i zašto. Ne zaboravite koristiti antivirusne programe. Ako nepoznate osobe zovu s nepoznatog broja, nikada nemojte davati svoje osobne podatke, posebno one koji se odnose na vaše financije.

Inače, ovaj video, doduše kratko, ali zanimljivo, govori o tome kako se zaštititi od društvenog inženjeringa.

I, na kraju, želimo vas upoznati s nekima od knjiga o društvenom inženjeringu, uključujući i kao područje sociološkog znanja, kako biste, ako želite, mogli detaljnije upoznati temu.

Ove knjige pune su praktičnih savjeta kako svladati uobičajene manipulativne tehnike i trikove. Također ćete naučiti o najučinkovitijim metodama društvenog inženjeringa te naučiti kako ih prepoznati i obraniti se od napada.

Knjige o društvenom inženjeringu:

• Kevin Mitnick "Duh na webu"
• Kevin Mitnick, William Simon "Umjetnost invazije"
• Kevin Mitnick, William Simon "The Art of Deception"
• Chris Kaspersky "Tajno oružje društvenog inženjeringa"

Zapamtite da je svatko sposoban ovladati umijećem kontroliranja postupaka drugih, ali te vještine moraju se koristiti za dobrobit ljudi. Ponekad je korisno i zgodno voditi osobu i potaknuti je na odluke koje su nam korisne. Ali puno je važnije moći identificirati društvene hakere i varalice kako ne bi postali njihova žrtva; mnogo je važnije da i sam ne budeš jedan od njih. Želimo vam mudrost i korisno životno iskustvo!

Obično je društveni inženjering skup tehnika kojima je cilj natjerati osobu da se ponaša na određeni način, kako netko treba, na primjer, dati novac, dati tajne podatke ili nešto potpisati. Da bi se to postiglo, obično je potrebno proučiti ljudski faktor, reakcije ljudi na zahtjeve, pritužbe, izvore stresa i tako dalje. Poznavajući stavove i reakcije većine ljudi, od njih je lako dobiti određene radnje.

Kako je društveni inženjering povezan s prijevarom i kako se koristi za izvlačenje zabranjenih informacija.

Razmotrite društveni inženjering s ove dvije točke gledišta. Možda ste primijetili da su prevaranti uvijek posebno aktivni u ekonomskim vremenima. U ovo doba tehnologije oni postaju sve spremniji i obučeniji. Na usluzi su im psihologija, društveni inženjering, IT tehnologije i mnoga druga posebna znanja koja pomažu u upravljanju ljudskim postupcima. Naravno, neće biti dovoljno vremena za proučavanje svih njihovih trikova, ali je ipak korisno obratiti pozornost na osnovne principe trikova i tehnologija kojima se služe kako ne bi upali u postavljene mreže.

Kakvi će ljudi najvjerojatnije postati? Kako biti žrtva ljudi i okolnosti? ? Što je s nama? O tome i ne samo, već smo pisali na našoj web stranici. Sada ukratko o posebnoj znanosti - znanjem iz koje koriste "napredni" prevaranti - društveni inženjeri.

Društveni inženjering kao znanost.

Socijalni inženjering je prilično mlada znanost koja uključuje poznavanje psihologije ljudi i njihovog ponašanja u kritičnim situacijama. Društveni inženjering može se nazvati i "kasicama ljudskih pogrešaka", budući da ova znanost upija sve što je vezano uz ljudski faktor i njegovu upotrebu.

Takvo znanje omogućuje predviđanje mogućih varijanti ponašanja osobe i osmišljavanje raznih situacija kako bi je doveli do određene reakcije. Isprovociran od strane prevaranta - socijalnog inženjera - reakcija dovodi osobu do onih radnji koje su izvorno bile cilj prevaranta. Koja bi mogla biti njegova svrha? Naravno, da bi izvukli informacije ili se infiltrirali na tuđi teritorij ili jednostavno dobili svoj novac. U tom smislu, socijalne inženjere nazivaju i društvenim hakerima.

Kakva je to osoba socijalni inženjer?

Ova osoba posjeduje i vješto koristi znanja iz društvenog inženjeringa. Riječ je o "psihologu" (nije profesionalac, naravno), koji vodi računa o kompleksima, slabostima, predrasudama, navikama, refleksima itd. narod.

Kevin Mitnick, koji je nekada bio društveni haker, a sada savjetnik za sigurnost, rekao je da je mnogo lakše trikovima namamiti prave informacije nego smisliti razne programe za hakiranje.

Kako se zaštititi od "društvenih hakera"?

To može biti vrlo teško, gotovo nemoguće, ako ne znate ništa o njima. A čak i znajući njihove trikove, možete nasjesti na mamac, jer su stručnjaci za vaše spontane reakcije, reflekse, automatizme itd. Budi oprezan!

Dakle, sasvim nedavno, u siječnju ove godine, internet je doslovno bio pun ovakvih vijesti:

Računica hakera bila je jednostavna - primatelji mailing liste ispunit će zahtjev prevaranata u ime uprave kako bi izbjegli ukor od strane ove uprave. I tako se dogodilo. Prema uputama društvenih hakera, djelatnici banke belgijske banke Crelan bez dodatnih provjera obavili su radnje potrebne za prevarante. Poruka hakera na e-mail sadržavala je zahtjev za hitnim dovršenjem transakcije. Izgledalo je prilično uvjerljivo, jer su kriminalci koristili kopije logotipa tvrtki i dobro poznatih domena.

Psiholozi su proveli slične eksperimente prije situacije s belgijskom bankom. Tako su istraživači iz Engleske slali poruke zaposlenicima velike korporacije u ime administratora sustava svoje tvrtke. Poruka je sadržavala zahtjev za slanje lozinki u vezi s planiranom provjerom opreme. Rezultat je bio tužan - većina zaposlenika (75%) slijedila je upute napadača.

Kao što vidite, ljudske radnje je prilično lako programirati. Štoviše, prilično pametni, obrazovani i visoko inteligentni ljudi mogu nasjedati na mamac prevaranata. Nema tu ništa čudno, s obzirom da postoje i drugi ljudi koji proučavaju postupke, automatizme, reakcije svih vrsta različitih ljudi. Uključujući i one vrlo pametne.

PRIMJERI korištenja metoda društvenog inženjeringa

Jedan društveni inženjer opisuje kako se probio u zabranjeno područje koristeći način razmišljanja ljudi. I zaštitari su ljudi! Ova osoba (inženjer društva) promatrala je kakve bedževe zaposlenicima tvrtke treba, izradila iste za sebe, isprintala na računalu i sa djelatnicima ustanove prošla na stražnja vrata.

Naravno, nije imao čip za vrata, ali je koristio metodu „vlaka“. Njegova je suština jednostavna. Kad se pred vratima skupi hrpa ljudi, ona se ne zatvaraju do kraja i oni koji idu ispred drže vrata onima koji ga slijede. Uobičajena ljubaznost. Uostalom, po bedžu se vidi da je i to zaposlenik. Stražari vide gomilu ljudi s identičnim značkama i ne obraćaju previše pozornosti na njih. Štoviše, na zidu velikim slovima ne visi čak ni objava, već plakat koji upozorava da svi trebaju proći jedno po jedno. Ne možete držati vrata onome tko hoda zbog opće sigurnosti! Ali, osim ako će to učiniti društvo poznanika? Tko će iz ove firme reći nekom od ljudi: "A ti, molim te, izađi i vrati se sa svojim ključem (čipom), jer ja te ne poznajem." Vjerojatnost za to je vrlo mala. Ali upravo to trebate učiniti.

Tako ispada da zaposlenici sa zavidnom postojanošću krše sigurnosne zahtjeve, a prevaranti s istom postojanošću koriste gore opisane automatizme. Uvijek će se naći ljudi koji slijede prevare, ma koliko ih upozoravali i poučavali. Društveni inženjeri su toga itekako svjesni i stoga se ne zamaraju puno oko toga koji trik smisliti. Samo koriste iste metode. Uostalom, automatizmi se kod ljudi ne mijenjaju puno, zato su automatizmi. Budite originalni. Nemojte stereotipizirati! Uvijek budite oprezni s neočekivanim ili zastrašujućim porukama. Obratite pažnju na upozorenja.

Najčešće korištene tehnike socijalnog inženjeringa temelje se na ljudskim slabostima kao što su sažaljenje, strah i želja za brzim bogaćenjem. Ako govorimo o sažaljenju, onda hakeri koriste ovu osobinu ljudi na razne načine. Na primjer, šalju poruke telefonom ili putem društvenih mreža tražeći pomoć u ime vaših prijatelja ili rodbine.

Osnovne metode i tehnike društvenog inženjeringa / socijalnog inženjeringa

Sve metode društvenog inženjeringa temelje se na ljudskom faktoru, odnosno na osobitostima psihe ljudi: paničariti, reagirati na isti način u određenim okolnostima, gubiti budnost, umoriti se, suosjećati, doživljavati strah i još mnogo toga. Na primjer, evo samo nekih tehnika, a vi pokušavate samostalno odrediti koju je osobinu psihe socijalni inženjer ovdje koristio:

1. 1. Jedna od zapleta može biti ovakva: prijatelj je izvan grada, trenutno se ne može nazvati - ozbiljan problem, novac je hitno potreban. Traži slanje na broj računa ili bankovne kartice. Neka ne reagiraju svi pozitivno, nego samo određeni postotak ispitanika, haker zna da će tako i biti. Nije ga briga, jer poruke koje je on programirao šalje stroj. Ima onih koji hitno pomažu, a da ne provjere odakle ti SMS-ovi. Uostalom, prijatelj je u nevolji.. A zbog hitnosti mnogi ne provjeravaju izvor.
   2. S istom računicom, prije nekog vremena mnogim ženama je poslao SMS od sina koji je bio u problemima. Naravno, on sam se ne može javiti dok mu majka ne pošalje novac za rješavanje ovog problema. A majke slale, ne zna se gdje i kome. Ne provjeravajući ništa (tako je sin tražio).
   3. Također, u ime prijatelja mame osobne podatke, šalju zlonamjerne linkove s komentarima. Na primjer: „Bok, želiš li se smijati? Slijedite ovu poveznicu i možete poslušati bilo koji telefonski razgovor (ili SMS korespondenciju) koji vas zanima. Ili tako nešto, glavno je da kliknete na link.

U arsenalu društvenih inženjera postoji i opcija kada “rade” za kupca. Mnogi korisnici stavljaju svoje stvari na prodaju, na primjer na Avito. Takav "kupac" traži nešto skuplje (automobile, kuće, itd.), kontaktira pravog prodavača i izjavljuje svoju želju da kupi vašu ne jeftinu stvar. Naravno, prodavač je zadovoljan. Vau, kako brzo, nisam stigao iznijeti kako se sve prodalo. Već u mislima broji svoje prihode. Istina, kupac sa žaljenjem javlja da će stvar moći nazvati tek nakon dva-tri dana. Pa da ovu vrijednu stvar ne biste prodali nekom drugom, on od vas traži da uklonite oglas s Avita i spreman je platiti pola ili čak 75% cijene već danas za jamstvo. „Naravno!“ Mislite: „Sa zadovoljstvom! Neka plati! “Kupac” pita na koju karticu, može vam prebaciti novac. I ovom strancu recite sve detalje kartice. Samo umjesto da steknete njegov novac, gubite svu svoju ušteđevinu. Također može tražiti da mu kažete kod koji će doći na vaš telefon.

Ako govorimo o takvoj osobini kao što je želja da se brzo i bez puno truda obogati, onda je to takav porok, koristeći ga društveni inženjeri mogu izmišljati i izmišljati jako dugo. Uostalom, ljudi sami traže te "avanture" i, čak, spremni su stati na iste grablje. Stoga prevaranti nastavljaju prikazivati: ili poznatu marku koja daje lude darove; zatim tvrtka koja obećava atraktivne popuste; zatim banka koja nudi uzimanje kredita s mršavim postotkom; zatim poslodavac koji će vam pomoći da zaradite laku zaradu na internetu ili negdje drugdje... Samo, da biste dobili bilo što od ovoga, prvo morate dati podatke o kartici... Uostalom, novopečeni poslodavac ili dobra banka moraju prenijeti vam novac negdje ... Oni su prijavili podatke o kartici strancu, možete se oprostiti od njenog sadržaja.

Zašto morate znati o tome?

Nedavno je interes za društveni inženjering postao vrlo velik. To se vidi iz popularnosti ovog zahtjeva na internetu. To znači da će broj hakera i potražnja za programima za zaštitu od njihovih napada samo rasti. I ne samo hakeri, prevaranti bilo koje vrste koriste metode društvenog inženjeringa u svoje svrhe.

Kako biste bili informirani, a zatim naoružani, možete pročitati literaturu na ovu temu:

Društveni inženjering i društveni hakeri. Maksim Kuznjecov, Igor Simdjanov.

Budi oprezan! Ne dopustite da vas zavaraju.

Društveni inženjering koristi znanje iz psihologije i ljudskog faktora. Budite izuzetno oprezni, društveni hakeri vas jako dobro poznaju.

Također bi bilo zanimljivo znati jeste li znali za društveni inženjering i lukave trikove kojima se služe ti ljudi koji stoje iza toga?

S poštovanjem, stranica Ako želite primati nove članke, pretplatite se na naš newsletter.

U ovom članku ćemo se usredotočiti na koncept "društvenog inženjeringa". Ovdje će se razmotriti general. Također ćemo saznati tko je bio utemeljitelj ovog koncepta. Razgovarajmo zasebno o glavnim metodama društvenog inženjeringa koje koriste napadači.

Uvod

Metode koje vam omogućuju ispravljanje ljudskog ponašanja i upravljanje njegovim aktivnostima bez korištenja tehničkog skupa alata čine opći koncept društvenog inženjeringa. Sve metode temelje se na tvrdnji da je ljudski faktor najrazornija slabost svakog sustava. Često se ovaj koncept razmatra na razini nezakonite aktivnosti, kroz koju kriminalac obavlja radnju usmjerenu na dobivanje informacija od subjekta-žrtve na nepošten način. Na primjer, to bi mogla biti neka vrsta manipulacije. Međutim, društveni inženjering ljudi također koriste u legitimnim aktivnostima. Danas se najčešće koristi za pristup resursima s osjetljivim ili osjetljivim informacijama.

Osnivač

Osnivač društvenog inženjeringa je Kevin Mitnick. Međutim, sam koncept došao nam je iz sociologije. Označava opći skup pristupa koje koriste primijenjene društvene. znanosti usmjerene na promjenu organizacijske strukture koja može odrediti ljudsko ponašanje i vršiti kontrolu nad njim. Kevin Mitnick se može smatrati utemeljiteljem ove znanosti, jer je upravo on popularizirao društveno. inženjerstva u prvom desetljeću 21. stoljeća. I sam Kevin je prije bio haker koji se posvetio raznim bazama podataka. Tvrdio je da je ljudski faktor najranjivija točka sustava bilo koje razine složenosti i organizacije.

Ako govorimo o metodama socijalnog inženjeringa kao načinu dobivanja prava (često nezakonitih) na korištenje povjerljivih podataka, onda možemo reći da su one poznate već jako dugo. Međutim, K. Mitnick je bio taj koji je mogao prenijeti punu važnost njihova značenja i osobitosti njihove primjene.

Phishing i nepostojeće veze

Svaka tehnika socijalnog inženjeringa temelji se na prisutnosti kognitivnih distorzija. Pogreške u ponašanju postaju "alat" u rukama vještog inženjera, koji u budućnosti može kreirati napad s ciljem dobivanja važnih podataka. Među metodama društvenog inženjeringa izdvajaju se phishing i nepostojeće veze.

Phishing je online prijevara osmišljena za dobivanje osobnih podataka kao što su korisničko ime i zaporka.

Nepostojeći link – korištenje poveznice koja će primatelja namamiti određenim pogodnostima koje se mogu ostvariti klikom na nju i posjetom određenoj stranici. Najčešće se koriste imena velikih tvrtki, suptilno prilagođavajući njihovo ime. Žrtva će klikom na poveznicu "dobrovoljno" prenijeti svoje osobne podatke napadaču.

Metode koje koriste robne marke, neispravne antiviruse i lažnu lutriju

Društveni inženjering također koristi prijevare s markama, neispravne antivirusne programe i lažne lutrije.

"Prijevara i robne marke" je metoda obmane, koja također spada u phishing dio. To uključuje e-poštu i web-mjesta koja sadrže naziv velike i/ili "naglašene" tvrtke. Poruke se šalju s njihovih stranica uz obavijest o pobjedi u određenom natjecanju. Zatim morate unijeti važne podatke o računu i ukrasti ih. Također, ovaj oblik prijevare može se provesti i putem telefona.

Lažna lutrija - metoda u kojoj se žrtvi šalje poruka s tekstom da je (a) dobio (a) na lutriji. Najčešće je upozorenje maskirano imenima velikih korporacija.

Lažni antivirusi su softverske prijevare. Koristi programe koji izgledaju kao antivirusni programi. Međutim, u stvarnosti dovode do generiranja lažnih obavijesti o određenoj prijetnji. Također pokušavaju namamiti korisnike u područje transakcija.

Vishing, frikanje i izgovor

Govoreći o socijalnom inženjeringu za početnike, treba spomenuti i vishing, phreaking i pretexting.

Vishing je oblik prijevare koji koristi telefonske mreže. Koristi unaprijed snimljene glasovne poruke, čija je svrha rekreirati "službeni poziv" bankarske strukture ili bilo kojeg drugog IVR sustava. Najčešće se od njih traži da unesu korisničko ime i/ili lozinku kako bi potvrdili bilo koju informaciju. Drugim riječima, sustav zahtijeva autentifikaciju od strane korisnika pomoću PIN-ova ili lozinki.

Phreaking je još jedan oblik telefonske prijevare. To je sustav hakiranja koji koristi manipulaciju zvukom i tonsko biranje.

Prettekstiranje je napad koji koristi unaprijed zamišljeni plan, čija je bit predstavljanje drugog subjekta. Izuzetno težak način varanja, jer zahtijeva pažljivu pripremu.

Quid Pro Quo i metoda cestovne jabuke

Teorija socijalnog inženjeringa je višestruka baza podataka koja uključuje i metode obmane i manipulacije, kao i načine rješavanja njih. Glavni zadatak uljeza, u pravilu, je izvući vrijedne informacije.

Ostale vrste prijevara uključuju: quid pro quo, metodu cestovne jabuke, surfanje po ramenu, korištenje otvorenog koda i obrnute društvene mreže. inženjering.

Quid-pro-quo (od lat. - "za ovo") - pokušaj izvlačenja informacija iz tvrtke ili tvrtke. To se događa tako da je kontaktirate telefonom ili slanjem poruka e-poštom. Najčešće se napadači predstavljaju kao zaposlenici njih. podrške, koji prijavljuju prisutnost određenog problema na radnom mjestu zaposlenika. Zatim predlažu načine kako to popraviti, na primjer instaliranjem softvera. Pokazalo se da je softver neispravan i promiče zločin.

"Cestovna jabuka" je metoda napada koja se temelji na ideji trojanskog konja. Njegova je bit u korištenju fizičkog medija i zamjeni informacija. Na primjer, mogu dati memorijsku karticu s određenim "dobrom" koja će privući pozornost žrtve, izazvati želju za otvaranjem i korištenjem datoteke ili slijediti veze navedene u dokumentima flash pogona. Objekt "cestovne jabuke" ispušta se na društvenim mjestima i čeka dok neki subjekt ne provede napadačev plan.

Prikupljanje i traženje informacija iz otvorenih izvora prijevara je u kojoj se prikupljanje podataka temelji na metodama psihologije, sposobnosti uočavanja sitnica i analizi dostupnih podataka, primjerice stranica s društvene mreže. Ovo je prilično nov način društvenog inženjeringa.

Surfanje na ramenima i obrnuti društveni. inženjering

Koncept "surfanja po ramenu" sebe definira kao promatranje subjekta uživo u doslovnom smislu. S ovom vrstom data fishinga napadač odlazi na javna mjesta, poput kafića, zračne luke, željezničke stanice i prati ljude.

Nemojte podcijeniti ovu metodu, jer mnoga istraživanja i studije pokazuju da pažljiva osoba može dobiti puno povjerljivih informacija samo promatranjem.

Društveni inženjering (kao razina sociološkog znanja) je sredstvo za "hvatanje" podataka. Postoje načini za dobivanje podataka kojima će žrtva sama ponuditi napadaču potrebne informacije. Međutim, može poslužiti i na dobrobit društva.

Obrnuti društveni inženjerstvo je još jedna metoda ove znanosti. Korištenje ovog izraza postaje prikladno u slučaju koji smo prethodno spomenuli: žrtva će sama ponuditi napadaču potrebne informacije. Ovu izjavu ne treba shvatiti kao apsurdnu. Činjenica je da subjekti s ovlastima u određenim područjima djelovanja često dobivaju pristup identifikacijskim podacima po vlastitoj odluci. Povjerenje je ovdje osnova.

Važno je zapamtiti! Osoblje podrške nikada neće tražiti od korisnika lozinku, na primjer.

Informacije i zaštita

Osposobljavanje iz socijalnog inženjeringa pojedinac može provoditi kako na temelju osobne inicijative tako i na temelju pogodnosti koje se koriste u posebnim programima osposobljavanja.

Zločinci se mogu služiti raznim vrstama obmane, od manipulacije do lijenosti, lakovjernosti, ljubaznosti korisnika itd. Izuzetno se teško zaštititi od ove vrste napada, jer žrtva nije svjesna da on (ona ) bio prevaren. Razne tvrtke i tvrtke kako bi zaštitile svoje podatke na ovoj razini opasnosti često se angažiraju u evaluaciji općih informacija. Zatim se potrebne mjere zaštite integriraju u sigurnosnu politiku.

Primjeri

Primjer društvenog inženjeringa (njegovog čina) u području globalnih phishing poruka je događaj koji se dogodio 2003. godine. E-poruke su poslane korisnicima eBaya tijekom ove prijevare. Tvrdili su da su im računi blokirani. Za poništavanje blokade bilo je potrebno ponovno unijeti podatke računa. Međutim, pisma su bila lažna. Preveli su na stranicu identičnu službenoj, ali lažnu. Prema procjenama stručnjaka, gubitak nije bio previše značajan (manje od milijun dolara).

Definicija odgovornosti

Korištenje socijalnog inženjeringa u nekim slučajevima može biti kažnjivo. U nizu zemalja, poput Sjedinjenih Američkih Država, izgovor (obmana lažnim predstavljanjem druge osobe) izjednačava se s invazijom na privatnost. Međutim, to može biti kažnjivo po zakonu ako su informacije dobivene tijekom izgovora bile povjerljive sa stajališta subjekta ili organizacije. Snimanje telefonskog razgovora (kao metoda socijalnog inženjeringa) također je propisano zakonom i zahtijeva kaznu od 250.000 dolara ili zatvorsku kaznu do deset godina za pojedince. osobe. Pravne osobe dužne su platiti 500.000 USD; period ostaje isti.