Ako sa naučiť sociálne inžinierstvo. Učebnica sociálneho inžinierstva. Strach podporuje dôveru

Klamstvo je celá technológia, ktorá má názov „sociálne inžinierstvo“. Neodmysliteľnou súčasťou „sociálneho inžinierstva“ sú kvalitné klamstvá, bez ktorých sa v moderných podmienkach nezaobíde ani jeden suchár, začiatočník aj otužilec.

Crackery sú rôzne: hacker počítačovej pracovnej stanice, hacker servera, hacker počítačovej siete, hacker telefónnej siete, cracker ( nositeľa) len mozog atď. - a všetci používajú „sociálne inžinierstvo“ ako pomocný nástroj, alebo len lož, na ktorej je v podstate postavené „sociálne inžinierstvo“ a vlastne väčšina života celého ľudstva.

Ako deti nás učili neklamať. Nikto nikdy. Ako sa však často stáva, život preškrtáva všetky školské hodiny a tvrdohlavo nás vráža do toho, že bez nepravdy, ani tu, ani tam - „Nebudeš klamať, nebudeš žiť.“ Najlepší klamári to prekvapivo niekedy a takmer nikdy nepriznajú. O ďalších tajomstvách umenia klamstva si povieme v tomto článku.

Takmer všetky sféry ľudského života vrátane náboženstva sú presiaknuté klamstvami a nepokojní britskí výskumníci všetkého a všetkého v celom šírom svete a priľahlých galaxiách tiež dodávajú: „Ukazuje sa, že každý človek za svoj život klame asi 88-tisíckrát! ".

V zozname najobľúbenejších klamstiev sú, samozrejme, aj tie vychýrené: „Nie je cesto, teraz som na mizine“, „Som veľmi rád, že ťa vidím“, „Zavoláme ti späť“ a „Ďakujem veľmi pekne, mám sa naozaj veľmi dobre. Páči sa mi to ". Ukazuje sa, že každý klame, každému a zakaždým. Ale niektorí ľudia klamú úžasne, zabávajú ostatných a uľahčujú si život, zatiaľ čo iní - nie tak celkom, pričom prinášajú bolesť a utrpenie všetkým naokolo.

Ako sa teda môžete naučiť jednoducho, bezpečne a krásne „naprášiť si mozog“ ( vešať si rezance na uši, riadiť metelicu, klamať)? V tomto remesle, ako v každom inom, existujú nepísané zákony a tajomstvá.

„Profesor je, samozrejme, lopúch, ale vybavenie je s ním, s ním. ako sa to počúva? »

Veľké a malé klamstvá vyžadujú rovnaký svedomitý prístup

Toto je jedno zo základných pravidiel, ktoré si budúci majster lži musí zapamätať. Každá z vašich lží, bez ohľadu na jej význam, si budete musieť navždy zapamätať a následné klamstvá budú postavené s prihliadnutím na tú predchádzajúcu. Niekomu sa však môže zdať, že si stačí zapamätať len to najzákladnejšie klamstvo a klamstvá v malicherných formalitách nestoja za to, aby sme si ich pripomínali. Takto spravidla horia neskúsení klamári - keď nahromadia kopec klamstiev, zabudnú, kto, kedy a ako si „učesal vlasy“.

Preto sa snažte zapamätať si každé svoje, aj to najmenšie klamstvo. A pretože ľudská pamäť nie je nekonečná a určite si nezapamätáte všetkých svojich „gonilov“, potom z tohto záveru vyplýva hlavné pravidlo: Klamajte čo najmenej, IMHO, len tak môžete dosiahnuť dôveryhodnosť. .

Piesok v očiach, rezance v ušiach

Skutočný majster (vodič) klamstva je ako španielsky toreador, ktorý vytasí meč len v najrozhodujúcejšom momente a zasadí iba 1 ranu. Po celý zvyšok času majstrovsky odvádza pozornosť obete pomocou obratných manipulácií s červeným plášťom. V priebehu vešania rezancov na uši sa používajú podobné metódy a obratné prepínanie pozornosti partnera na iný predmet alebo čas od času zmena témy rozhovoru vás vo všeobecnosti zbaví potreby klamať. Vopred si premyslite svoju stratégiu správania, aby ste nemuseli riadiť žiadnu snehovú búrku. Áno, pozrite, nepreháňajte to, pretože nešikovné používanie mulety môže stáť toreadora celý život!

Ťažko v škole, ľahko v práci

V každom povolaní je praktický výcvik nevyhnutný a v takom povolaní klamára je prax rozhodne nevyhnutná. Ale pretože nie je veľmi humánne cvičiť na živých ľuďoch, budeme cvičiť na sebe. Postavme sa pred zrkadlo a opakujme svoje klamstvá, kým to nezačne vyzerať úplne prirodzene. V ideálnom prípade by sme sa mali presvedčiť o pravdivosti našich klamstiev. Bezchybný podvod je ten, ktorému sme sami verili.

A ja, teda nie ja, a nezmysly nie sú moje

Ak vás začali podozrievať z klamstva, tak najhoršie, čo sa v takejto situácii dá urobiť, je začať sa ospravedlňovať a vymýšľať ďalšie a ďalšie klamstvá. Keď sa dom začal potácať, je potrebné z neho čo najskôr utiecť a nie urýchlene dokončiť výstavbu ďalších poschodí. Preto na akékoľvek obvinenia treba odpovedať urazeným a hrdým tichom, alebo prejsť na inú tému.

Pokiaľ ide o „dobrovoľné odovzdanie sa do análneho zajatia“, takéto odovzdanie sa rovná priamemu výstrelu do chrámu. Často sa vyskytnú okolnosti, keď je pravda pre obe strany rovnako chybná a opačná strana by ju napriek obvineniam z klamstva nechcela počuť, ako samotný klamár. Neustupujte a nevzdávajte sa, ani keď ste doslova pritlačení k stene. Otočte svoju líniu proti dôkazom, logike a zdravému rozumu ( na Kryme nie sú žiadni naši vojaci - to je všetka sebaobrana ľudí).

Len ty, len ja

Môžete premýšľať o stratégii správania na mnoho ťahov dopredu, môžete si vypracovať brilantné herecké schopnosti pri zrkadle a vypracovať pravdivé intonácie rozhovoru, prísť s výhovorkou, poskytnúť si svedkov, únikové cesty a druhú líniu. obrany.

A príbuzní a priatelia môžu stále zistiť pravdu. Nedá sa to vedecky vysvetliť, pretože neveríme typu „Snívalo sa mi vo sne“ alebo „V srdci cítim svoj zadok“ ... „že si sci-fi klamár“. Inými slovami, medzi určitými ľuďmi môže vzniknúť akési psychofyziologické neverbálne (astrálne) spojenie, vďaka ktorému nevedomky pociťujú tie najmenšie zmeny stavu toho druhého. preto je lepšie ani sa nepokúšať klamať príbuzným a priateľom.

Kyberzločinci využívajúci techniky sociálneho inžinierstva si v posledných rokoch osvojili pokročilejšie metódy, ktoré s väčšou pravdepodobnosťou získajú prístup k potrebným informáciám pomocou modernej psychológie zamestnancov podnikov a ľudí vo všeobecnosti. Prvým krokom v boji proti týmto typom trikov je pochopiť taktiku samotných útočníkov. Pozrime sa na osem hlavných prístupov k sociálnemu inžinierstvu.

Úvod

V 90. rokoch zaviedol pojem „sociálne inžinierstvo“ Kevin Mitnick, ikonická osobnosť v oblasti informačnej bezpečnosti, bývalý seriózny hacker. Útočníci však takéto metódy používali dávno predtým, ako sa objavil samotný výraz. Odborníci sú presvedčení, že taktika moderných kyberzločincov je spätá so sledovaním dvoch cieľov: krádeže hesiel, inštalácia malvéru.

Útočníci sa snažia použiť sociálne inžinierstvo pomocou telefónu, e-mailu a webu. Poďme sa zoznámiť s hlavnými metódami, ktoré pomáhajú zločincom získať dôverné informácie, ktoré potrebujú.

Taktika 1. Teória desiatich podaní rúk

Hlavným cieľom útočníka, ktorý používa telefón na sociálne inžinierstvo, je presvedčiť svoju obeť o jednej z dvoch vecí:

1. Obete prijme hovor od zamestnanca spoločnosti;
2. Volá zástupca oprávneného orgánu (napríklad strážca zákona alebo audítor).

Ak si zločinec zadá úlohu zbierať údaje o určitom zamestnancovi, môže najprv kontaktovať svojich kolegov a všetkými možnými spôsobmi sa pokúsiť získať údaje, ktoré potrebuje.

Pamätáte si starú teóriu šiestich podaní rúk? Bezpečnostní experti teda tvrdia, že medzi kyberzločincom a jeho obeťou môže byť iba desať „potrasení rúk“. Odborníci sa domnievajú, že v moderných podmienkach je vždy potrebné mať malú paranoju, pretože nie je známe, čo od vás ten alebo ten zamestnanec chce.

Útočníci zvyčajne kontaktujú sekretárku (alebo niekoho v podobnej pozícii), aby získali informácie o ľuďoch vyššie v hierarchii. Odborníci poznamenávajú, že priateľský tón podvodníkom veľmi pomáha. Kľúč od vás pomaly, ale isto vyzdvihujú zločinci, čo čoskoro vedie k tomu, že zdieľate informácie, ktoré by ste predtým nikdy nezistili.

Taktika 2. Naučte sa firemný jazyk

Ako viete, každé odvetvie má svoje špecifické formulácie. Úlohou útočníka, ktorý sa snaží získať potrebné informácie, je naučiť sa vlastnosti takéhoto jazyka, aby mohol šikovnejšie využívať techniky sociálneho inžinierstva.

Všetky špecifiká spočívajú v štúdiu podnikového jazyka, jeho pojmov a vlastností. Ak kyberzločinec hovorí pre svoje účely známym, známym a zrozumiteľným jazykom, ľahšie získa sebadôveru a dokáže rýchlo získať potrebné informácie.

Taktika 3: Požičajte si hudbu na počkanie počas hovorov

Na úspešný útok potrebujú podvodníci tri zložky: čas, vytrvalosť a trpezlivosť. Kybernetické útoky pomocou sociálneho inžinierstva sa často vykonávajú pomaly a metodicky – nezhromažďujú sa len údaje o správnych ľuďoch, ale aj takzvané „sociálne signály“. Robí sa to s cieľom získať dôveru a zakrúžkovať cieľ okolo prsta. Útočníci môžu napríklad presvedčiť osobu, s ktorou komunikujú, že sú kolegovia.

Jednou z funkcií tohto prístupu je nahrávanie hudby, ktorú spoločnosť používa počas hovorov, v čase, keď volajúci čaká na odpoveď. Zločinec si na takúto hudbu najskôr počká, potom ju nahrá a potom ju využije vo svoj prospech.

Keď teda dôjde k priamemu dialógu s obeťou, útočníci v určitom momente povedia: "Počkajte chvíľu, na druhej linke je hovor." Obeť potom počuje známu hudbu a nepochybuje o tom, že volajúci zastupuje určitú spoločnosť. V podstate ide len o kompetentný psychologický trik.

Taktika 4. Spoofing (zámena) telefónneho čísla

Zločinci často používajú falošné telefónne čísla, aby im pomohli sfalšovať číslo volajúceho. Útočník môže napríklad sedieť vo svojom byte a zavolať záujmovej osobe, no na ID volajúceho sa zobrazí číslo vo vlastníctve spoločnosti, čo vytvorí ilúziu, že podvodník volá pomocou firemného čísla.

Samozrejme, nič netušiaci zamestnanci vo väčšine prípadov odovzdajú citlivé informácie, vrátane hesiel, volajúcemu, ak ID volajúceho patrí ich spoločnosti. Tento prístup tiež pomáha zločincom vyhnúť sa sledovaniu, pretože ak na toto číslo zavoláte späť, budete presmerovaní na internú linku spoločnosti.

Taktika 5: Použitie správ proti vám

Nech už sú titulky aktuálnych správ akékoľvek, útočníci využívajú tieto informácie ako návnadu na spam, phishing a iné podvodné aktivity. Niet divu, že odborníci v poslednom čase zaznamenali nárast počtu spamových e-mailov, ktorých témy sa týkajú prezidentských kampaní a ekonomických kríz.

Príklady zahŕňajú phishingový útok na banku. E-mail hovorí asi takto:

„Vašu banku [názov banky] získava iná banka [názov banky]. Kliknite na tento odkaz, aby ste sa uistili, že vaše bankové informácie sú aktuálne pred uzavretím obchodu.“

Prirodzene, ide o pokus získať informácie, pomocou ktorých môžu podvodníci vstúpiť na váš účet, ukradnúť vám peniaze alebo predať vaše informácie tretej strane.

Taktika 6: Využite dôveru v sociálne platformy

Nie je žiadnym tajomstvom, že Facebook, Myspace a LinkedIn sú veľmi populárne sociálne siete. Podľa odborného výskumu majú ľudia tendenciu dôverovať takýmto platformám. Nedávny incident spear-phishing zameraný na používateľov LinkedIn túto teóriu podporuje.

Mnoho používateľov teda bude dôverovať e-mailu, ak tvrdí, že pochádza z Facebooku. Bežným trikom je tvrdenie, že na sociálnej sieti prebieha údržba, na aktualizáciu informácií musíte „kliknúť sem“. Odborníci preto odporúčajú, aby zamestnanci podnikov zadávali webové adresy manuálne, aby sa vyhli phishingovým odkazom.

Tiež stojí za to mať na pamäti, že stránky veľmi zriedka požiadajú používateľov o zmenu hesla alebo aktualizáciu účtu.

Taktika 7. Typesquatting

Táto škodlivá technika je pozoruhodná tým, že útočníci využívajú ľudský faktor, konkrétne chyby pri zadávaní adresy URL do panela s adresou. Tým, že sa používateľ pomýli len v jednom písmene, môže sa dostať na stránku vytvorenú špeciálne na tento účel útočníkmi.

Kyberzločinci starostlivo pripravili pôdu pre typequatting, takže ich stránka bude ako tá legitímna, ktorú ste pôvodne chceli navštíviť. Chybou pri písaní webovej adresy sa teda ocitnete na kópii legitímnej stránky, ktorej účelom je buď niečo predať, alebo ukradnúť dáta, prípadne šíriť malvér.

Taktika 8: Použitie FUD na ovplyvňovanie akciového trhu

FUD je taktika psychologickej manipulácie používaná v marketingu a propagande vo všeobecnosti, ktorá spočíva v prezentovaní informácií o niečom (najmä o produkte alebo organizácii) tak, aby v publiku zasiala neistotu a pochybnosti o jej kvalitách, a tým vyvolala strach. z toho.

Podľa najnovšieho výskumu spoločnosti Avert môže bezpečnosť a zraniteľnosť produktov a dokonca celých spoločností ovplyvniť akciový trh. Výskumníci napríklad študovali vplyv udalostí ako „Microsoft Patch Tuesday“ na akcie spoločnosti, pričom každý mesiac po zverejnení zraniteľnosti zistili výrazné kolísanie.

Môžete si tiež pripomenúť, ako útočníci v roku 2008 šírili nepravdivé informácie o zdravotnom stave Steva Jobsa, čo viedlo k prudkému poklesu akcií Apple. Toto je najtypickejší príklad použitia FUD na škodlivé účely.

Okrem toho stojí za zmienku použitie e-mailu na implementáciu techniky „pump-and-dump“ (schéma manipulácie výmenného kurzu na akciovom trhu alebo na trhu s kryptomenami s následným kolapsom). V tomto prípade môžu útočníci rozoslať e-maily popisujúce úžasný potenciál akcií, ktoré si vopred kúpili.

Mnohí sa teda budú snažiť tieto akcie čo najskôr kúpiť a tie budú zdražovať.

závery

Kyberzločinci sú často veľmi kreatívni pri používaní sociálneho inžinierstva. Po oboznámení sa s ich metódami môžeme konštatovať, že rôzne psychologické triky útočníkom veľmi pomáhajú pri dosahovaní ich cieľov. Na základe toho stojí za to venovať pozornosť akejkoľvek maličkosti, ktorá môže neúmyselne odhaliť podvodníka, skontrolovať a dvakrát skontrolovať informácie o ľuďoch, ktorí vás kontaktujú, najmä ak sa diskutuje o dôverných informáciách.

Neprehrávaj. Prihláste sa na odber a dostanete odkaz na článok na svoj e-mail.

Od nástupu počítačov a vzostupu internetu programátori tvrdo pracujú na zaistení počítačovej bezpečnosti. Ale ani dnes to nikto nedokázal na 100 %. Predstavme si však, že tento výsledok je predsa len dosiahnutý vďaka najvýkonnejšej kryptografii, vylepšeným bezpečnostným protokolom, spoľahlivému softvéru a ďalším bezpečnostným prvkom. Výsledkom je absolútne zabezpečená sieť a môžeme v nej bezpečne pracovať.

„Nádherné! - hovoríš, - je to vo vreci! ”, Ale budete sa mýliť, pretože to nestačí. prečo? Áno, pretože výhodu akéhokoľvek počítačového systému je možné získať len za účasti používateľov, t.j. z ľudí. A práve táto interakcia medzi počítačom a človekom v sebe nesie vážne nebezpečenstvo a človek je často najslabším článkom v reťazci bezpečnostných opatrení. Navyše, on sám je dôvodom, prečo je bezpečnosť neúčinná.

V informačnom veku je ľahšie manipulovať s ľuďmi, pretože existuje internet a mobilná komunikácia, ktoré vám umožňujú interakciu bez priameho kontaktu. Dokonca existujú špeciálne metódy, ktoré pomáhajú útočníkom „operovať“ ľudí tak, ako chcú. Ich komplex sa nazýva sociálne inžinierstvo a v tomto článku sa pokúsime zistiť, čo to je.

Sociálne inžinierstvo: čo to je a ako sa objavilo?

Je ľahké uhádnuť, že aj ten najsofistikovanejší bezpečnostný systém je zraniteľný, keď ho ovláda osoba, najmä ak je táto osoba dôverčivá, naivná a. A keď dôjde k útoku na počítač (PC), ako obeť môže vystupovať nielen počítač, ale aj osoba, ktorá za ním pracuje.

Je to útok v slangu sociálnych hackerov nazývaný sociálne inžinierstvo. Vo svojej tradičnej podobe to vyzerá ako telefonát, kde sa volajúci vydáva za niekoho iného a chce z účastníka vytiahnuť dôverné informácie, najčastejšie heslá. V našom článku sa však budeme fenoménom sociálneho inžinierstva zaoberať v širšom zmysle, teda akýmikoľvek možnými metódami psychologickej manipulácie, ako je vydieranie, hra na city, klamstvo atď.

V tomto chápaní je sociálne inžinierstvo metódou kontroly konania ľudí bez použitia technických prostriedkov. Najčastejšie je to vnímané ako nelegálny spôsob získavania rôznych cenných informácií. Používa sa hlavne na internete. Ak vás zaujímajú príklady sociálneho inžinierstva, tu je jeden z najvýraznejších:

PRÍKLAD: Útočník chce zistiť heslo z osobného účtu v internetovom bankovníctve osoby. Telefonicky zavolá obeti a predstaví sa ako zamestnanec banky, žiada o heslo, odvolávajúc sa na vážne technické problémy v systéme organizácie. Pre väčšiu presvedčivosť zavolá fiktívne (alebo skutočné) meno zamestnanca, jeho pozíciu a právomoc (ak je to potrebné). Aby obeť uverila, sociálny hacker môže svoj príbeh naplniť hodnovernými detailmi, hrať na city samotnej obete. Keď útočník dostane informácie, stále sa šikovne rozlúči so svojím „klientom“ a potom pomocou hesla zadá svoj osobný účet a ukradne prostriedky.

Napodiv, ale aj v našej dobe existujú ľudia, ktorí na takúto návnadu škúlia a s dôverou hovoria sociálnym hackerom všetko, čo potrebujú. A v arzenáli tých druhých môže byť veľa techník a techník. Budeme o nich tiež hovoriť, ale o niečo neskôr.

Sociálne inžinierstvo je veda (smer), ktorá sa objavila relatívne nedávno. Jeho sociologický význam spočíva v tom, že operuje so špecifickými znalosťami, ktoré usmerňujú, systematizujú a optimalizujú proces vytvárania, modernizácie a uplatňovania nových spoločenských skutočností. V istom zmysle dopĺňa sociologické poznatky a premieňa vedecké poznatky na algoritmy činnosti a správania.

Ľudia používajú sociálne inžinierstvo v určitej forme už od staroveku. Napríklad v starovekom Ríme a starovekom Grécku boli špeciálne vyškolení rétori veľmi rešpektovaní, ktorí boli schopní presvedčiť partnera o jeho „chybe“. Títo ľudia sa zúčastňovali diplomatických rokovaní a riešili štátne problémy. Neskôr sociálne inžinierstvo prijali spravodajské agentúry ako CIA a KGB, ktorých agenti sa úspešne vydávali za kohokoľvek a zisťovali štátne tajomstvá.

Začiatkom 70. rokov sa začali objavovať telefonickí chuligáni, ktorí kvôli vtipu narúšali pokoj rôznych spoločností. Časom si však niekto uvedomil, že ak použijete technický prístup, ľahko získate rôzne dôležité informácie. A koncom 70-tych rokov sa bývalí telefonickí chuligáni zmenili na profesionálnych sociálnych inžinierov (začali ich nazývať syngermi), schopných šikovne manipulovať s ľuďmi, definovať ich komplexy a strachy iba intonáciou.

Keď sa objavili počítače, väčšina spevákov zmenila svoj profil a stali sa sociálnymi hackermi. Teraz sú pojmy „sociálne inžinierstvo“ a „sociálni hackeri“ synonymá. A so silným rozvojom sociálneho inžinierstva sa začali objavovať jeho nové typy a rozšíril sa arzenál techník.

Pozrite si toto krátke video a zistite, ako sociálni hackeri manipulujú s ľuďmi.

Metódy sociálneho inžinierstva

Všetky skutočné príklady sociálneho inžinierstva naznačujú, že sa ľahko prispôsobuje akýmkoľvek podmienkam a akémukoľvek prostrediu a obete sociálnych hackerov spravidla ani netušia, že sa proti nim používa nejaký druh techniky, a ešte viac. neviem kto to robí.

Všetky metódy sociálneho inžinierstva sú založené na . Ide o takzvaný kognitívny základ, podľa ktorého majú ľudia v sociálnom prostredí vždy tendenciu niekomu dôverovať. Medzi hlavné metódy sociálneho inžinierstva patria:

• "Trójsky kôň"
• Pretextovanie
• "Cestné jablko"
• Phishing
• Qui pro quo

Povedzme si o nich podrobnejšie.

"Trójsky kôň"

Pri použití „trójskeho koňa“ sa využíva zvedavosť človeka a jeho túžba mať prospech. Sociálni hackeri pošlú na e-mail obete list, ktorý obsahuje zaujímavú prílohu, napríklad aktualizáciu nejakého programu, šetrič obrazovky s erotickým obsahom, vzrušujúce správy atď. Metóda sa používa na prinútenie používateľa kliknúť na súbor, ktorý môže infikovať počítač vírusom. Často sa v dôsledku toho na obrazovke objavia bannery, ktoré možno zavrieť iba dvoma spôsobmi: preinštalovaním operačného systému alebo zaplatením určitej sumy útočníkom.

Pretextovanie

Pod pojmom „predtextovanie“ sa rozumie úkon, ktorý používateľ vykoná podľa vopred pripravenej zámienky, t.j. scenár. Cieľom je, aby osoba poskytla konkrétne informácie alebo vykonala konkrétnu činnosť. Vo väčšine prípadov sa pretextovanie používa na telefonovanie, aj keď existujú príklady takýchto útokov na Skype, Viber, ICQ a iné instant messenger. Na implementáciu metódy však musí spevák alebo hacker nielen, ale aj vykonať štúdiu objektu vopred - zistiť jeho meno, dátum narodenia, miesto výkonu práce, sumu na účte atď. Pomocou takýchto detailov spevák zvyšuje sebadôveru obete.

"Cestné jablko"

Metóda cestného jablka spočíva v prispôsobení „trójskeho koňa“ a vyžaduje povinné používanie nejakého druhu fyzického pamäťového média. Sociálni hackeri môžu umiestniť bootovateľné flash disky alebo disky manipulované s médiami so zaujímavým a/alebo jedinečným obsahom. Všetko, čo je potrebné, je nenápadne umiestniť „cestovné jablko“ na obeť, napríklad v aute na parkovisku, v taške vo výťahu atď. Alebo môžete toto „ovocie“ nechať na mieste, kde ho obeť s najväčšou pravdepodobnosťou uvidí, a vziať si ho sama.

Phishing

Phishing je veľmi bežný spôsob získavania citlivých informácií. V klasickej verzii ide o „oficiálny“ e-mail (od platobnej služby, banky, vysokopostaveného jednotlivca atď.), vybavený podpismi a pečaťami. Od adresáta sa vyžaduje, aby sledoval odkaz na falošnú stránku (je tu tiež všetko, čo hovorí o „oficiálnosti a spoľahlivosti“ zdroja) a zadal nejaké informácie, napríklad celé meno, adresu bydliska, telefónne číslo, adresy profilov v sociálnych sieťach, bankové číselné karty (a dokonca aj CVV kód!). Keď obeť uverí stránke a zadá údaje, pošle ich podvodníkom a čo sa stane ďalej, je ľahké uhádnuť.

Qui pro quo

Metóda Qui Pro Quo sa používa na zavádzanie malvéru do systémov rôznych spoločností. Sociálni hackeri zavolajú správnu (niekedy akúkoľvek) spoločnosť, predstavia sa ako zamestnanci technickej podpory a vypočúvajú zamestnancov na prípadné technické poruchy v počítačovom systéme. Ak sa vyskytnú poruchy, útočníci ich začnú „opravovať“: požiadajú obeť, aby zadala určitý príkaz, po ktorom bude možné spustiť vírusový softvér.

Vyššie uvedené metódy sociálneho inžinierstva sú v praxi najbežnejšie, existujú však aj iné. Okrem toho existuje aj špeciálny typ sociálneho inžinierstva, ktorý je tiež navrhnutý tak, aby ovplyvňoval osobu a jej činy, ale vykonáva sa podľa úplne iného algoritmu.

Reverzné sociálne inžinierstvo

Reverzné sociálne inžinierstvo a sociálni hackeri, ktorí sa naň špecializujú, budujú svoje aktivity tromi smermi:

• Vytvárajú sa situácie, ktoré nútia ľudí vyhľadať pomoc
• Inzerované sú služby na riešenie problémov (to zahŕňa predbiehanie pomoci skutočných odborníkov)
• Ukazuje sa "pomoc" a vplyv

V prípade tohto typu sociálneho inžinierstva útočníci najskôr študujú osobu alebo skupinu ľudí, ktorých plánujú ovplyvniť. Skúmajú sa ich vášne, záujmy, túžby a potreby a pomocou programov a akýchkoľvek iných metód elektronického ovplyvňovania sa prostredníctvom nich uplatňuje vplyv. Okrem toho musia programy najskôr fungovať bez porúch, aby nespôsobovali obavy, a až potom sa prepnú do škodlivého režimu.

Príklady reverzného sociálneho inžinierstva tiež nie sú nezvyčajné a tu je jeden z nich:

Sociálni hackeri vyvíjajú program pre konkrétnu spoločnosť na základe jej záujmov. Program obsahuje pomaly pôsobiaci vírus - po troch týždňoch sa aktivuje a systém začne zlyhávať. Vedenie kontaktuje vývojárov, aby pomohli problém vyriešiť. Útočníci, ktorí sú pripravení na takýto vývoj udalostí, posielajú svojho „špecialistu“, ktorý „vyriešením problému“ získa prístup k dôverným informáciám. Cieľ bol dosiahnutý.

Na rozdiel od konvenčného sociálneho inžinierstva je spätný chod časovo náročnejší, vyžaduje špeciálne znalosti a zručnosti a používa sa na ovplyvnenie širšieho publika. Ale efekt je úžasný - obeť bez odporu, t.j. na vlastnú žiadosť odhalí hackerom všetky karty.

Akýkoľvek druh sociálneho inžinierstva sa teda takmer vždy používa so zlým úmyslom. Niektorí ľudia, samozrejme, hovoria o jeho výhodách a poukazujú na to, že sa dá použiť na riešenie sociálnych problémov, udržiavanie sociálnej aktivity a dokonca aj na prispôsobenie sociálnych inštitúcií meniacim sa podmienkam. Ale napriek tomu sa najúspešnejšie používa na:

• Oklamať ľudí a získať dôverné informácie
• Manipulácia a vydieranie ľudí
• Destabilizácia práce firiem pre ich následné zničenie
• Krádež databázy
• Finančné podvody
• Competitive Intelligence

To samozrejme nemohlo zostať nepovšimnuté a objavili sa metódy boja proti sociálnemu inžinierstvu.

Ochrana pred sociálnym inžinierstvom

Veľké spoločnosti dnes systematicky vykonávajú všetky druhy testov odolnosti voči sociálnemu inžinierstvu. Takmer nikdy nie sú činy ľudí, ktorí padli pod útokom sociálnych hackerov, úmyselné. Ale práve preto sú nebezpečné, pretože ak je relatívne ľahké brániť sa vonkajšej hrozbe, potom je oveľa ťažšie brániť sa vnútornej.

Na zlepšenie bezpečnosti vedenie spoločnosti vedie špecializované školenia, kontroluje úroveň vedomostí svojich zamestnancov a tiež iniciuje samotnú internú sabotáž, ktorá umožňuje určiť stupeň pripravenosti ľudí na útoky sociálnych hackerov, ich reakciu, svedomitosť a čestnosť. Takže „infikované“ listy je možné posielať na e-mail, kontaktovať cez Skype alebo sociálne siete.

Rovnaká ochrana pred sociálnym inžinierstvom môže byť antropogénna aj technická. V prvom prípade sa pozornosť ľudí upriamuje na bezpečnostné otázky, sprostredkúva sa podstata závažnosti tohto problému a prijímajú sa opatrenia na vštepovanie bezpečnostnej politiky, skúmajú sa a implementujú metódy a činnosti, ktoré zvyšujú ochranu informačnej podpory. Ale to všetko má jednu nevýhodu - všetky tieto metódy sú pasívne a mnohí ľudia jednoducho ignorujú varovania.

Pokiaľ ide o technickú ochranu, patria sem prostriedky, ktoré bránia prístupu k informáciám a ich použitiu. Vzhľadom na to, že e-maily a správy sa stali „najpopulárnejšími“ útokmi sociálnych hackerov na internete, programátori vytvárajú špeciálny softvér, ktorý filtruje všetky prichádzajúce údaje, a to tak pre súkromné ​​poštové schránky, ako aj pre internú poštu. Filtre analyzujú texty prichádzajúcich a odchádzajúcich správ. Je tu však problém - takýto softvér zaťažuje servery, čo môže spomaliť a zraziť systém. Okrem toho nie je možné predvídať všetky varianty písania potenciálne nebezpečných správ. Technológia sa však zlepšuje.

A ak hovoríme konkrétne o prostriedkoch, ktoré bránia použitiu získaných údajov, delia sa na:

• Blokovanie používania informácií všade okrem pracoviska používateľa (autentifikačné údaje sú viazané na elektronické podpisy a sériové čísla komponentov PC, fyzické a IP adresy)
• Blokovanie automatického používania informácií (vrátane známeho Captcha, kde heslo je obrázok alebo jeho zdeformovaná časť)

Oba tieto spôsoby blokujú možnosť automatizácie a posúvajú rovnováhu medzi hodnotou informácie a prácou na jej získaní smerom k práci. Sociálni hackeri preto aj napriek všetkým údajom poskytnutým nič netušiacimi používateľmi čelia vážnym ťažkostiam pri ich praktickej aplikácii.

A pre každého bežného človeka vám na ochranu pred sociálnym inžinierstvom odporúčame zostať ostražití. Keď dostanete e-mail, pozorne si prečítajte text a odkazy, snažte sa pochopiť, čo je v liste, od koho prišiel a prečo. Nezabudnite použiť antivírusy. Ak vám cudzí ľudia volajú z neznámeho čísla, nikdy nezverejňujte svoje osobné údaje, najmä tie, ktoré sa týkajú vašich financií.

Mimochodom, toto video, aj keď stručne, no zaujímavo, hovorí o tom, ako sa chrániť pred sociálnym inžinierstvom.

A na záver vám chceme predstaviť niektoré knihy o sociálnom inžinierstve, a to aj ako oblasti sociologických vedomostí, aby ste v prípade záujmu mohli túto tému spoznať podrobnejšie.

Tieto knihy sú plné praktických rád, ako zvládnuť bežné manipulačné techniky a triky. Dozviete sa tiež o najefektívnejších metódach sociálneho inžinierstva a naučíte sa ich rozpoznať a brániť sa útokom.

Knihy o sociálnom inžinierstve:

• Kevin Mitnick „Duch na webe“
• Kevin Mitnick, William Simon "Umenie invázie"
• Kevin Mitnick, William Simon "Umenie podvodu"
• Chris Kaspersky „Tajná zbraň sociálneho inžinierstva“

Pamätajte, že každý je schopný zvládnuť umenie ovládať činy druhých, ale tieto zručnosti musia byť použité v prospech ľudí. Niekedy je užitočné a pohodlné usmerňovať človeka a tlačiť ho k rozhodnutiam, ktoré sú pre nás prospešné. Oveľa dôležitejšie je však vedieť identifikovať sociálnych hackerov a podvodníkov, aby sa nestali ich obeťou; oveľa dôležitejšie je nebyť jedným z nich. Prajeme vám múdrosť a užitočné životné skúsenosti!

Sociálne inžinierstvo je zvyčajne súbor techník, ktorých cieľom je prinútiť človeka správať sa určitým spôsobom, pretože niekto potrebuje napríklad dať peniaze, poskytnúť tajné informácie alebo niečo podpísať. Na to je zvyčajne potrebné študovať ľudský faktor, reakcie ľudí na požiadavky, sťažnosti, zdroje stresu a pod. Keď poznáme postoje a reakcie väčšiny ľudí, je ľahké od nich získať určité činy.

Ako sociálne inžinierstvo súvisí s podvodmi a ako sa používa na získavanie zakázaných informácií.

Zvážte sociálne inžinierstvo z týchto dvoch hľadísk. Možno ste si všimli, že podvodníci sú vždy obzvlášť aktívni v ekonomických časoch. V tomto veku technológií sa stávajú pripravenejšími a vyškolenejšími. K ich službám patrí psychológia, sociálne inžinierstvo, IT technológie a mnohé ďalšie špeciálne znalosti, ktoré pomáhajú riadiť konanie ľudí. Na naštudovanie všetkých ich trikov samozrejme nebude dosť času, no aj tak je užitočné venovať pozornosť základným princípom trikov a technológií, ktoré používajú, aby nespadli do nastavených sietí.

Akými ľuďmi sa s najväčšou pravdepodobnosťou stanú? Ako byť obeťou ľudí a okolností? ? A čo my? O tom a nielen o tom sme už písali na našej stránke. Teraz stručne o špeciálnej vede – poznatky z ktorej využívajú „pokročilí“ podvodníci – sociálni inžinieri.

Sociálne inžinierstvo ako veda.

Sociálne inžinierstvo je pomerne mladá veda, ktorá zahŕňa poznatky o psychológii ľudí a ich správaní v kritických situáciách. Sociálne inžinierstvo možno nazvať aj „prasiatkom ľudských chýb“, keďže táto veda absorbuje všetko, čo súvisí s ľudským faktorom a jeho využitím.

Takéto poznatky umožňujú predvídať možné varianty správania človeka a navrhovať rôzne situácie tak, aby ho priviedli k určitej reakcii. Reakcia vyprovokovaná podvodníkom – sociálnym inžinierom – vedie človeka k tým činom, ktoré boli pôvodne cieľom podvodníka. Aký by mohol byť jeho účel? Samozrejme, že chcete vypátrať informácie alebo preniknúť na územie niekoho iného alebo len získať svoje peniaze. V tejto súvislosti sa sociálni inžinieri nazývajú aj sociálni hackeri.

Aký je tento sociálny inžinier za človeka?

Táto osoba má a šikovne využíva poznatky zo sociálneho inžinierstva. Ide o „psychológa“ (samozrejme nie profesionála), ktorý berie do úvahy komplexy, slabosti, predsudky, zvyky, reflexy atď. z ľudí.

Kevin Mitnick, ktorý bol predtým sociálnym hackerom a teraz bezpečnostným konzultantom, povedal, že je oveľa jednoduchšie vylákať tie správne informácie pomocou trikov, ako vymýšľať rôzne hackerské programy.

Ako sa chrániť pred „sociálnymi hackermi“?

Môže to byť veľmi ťažké, takmer nemožné, ak o nich nič neviete. A aj keď poznáte ich triky, môžete podľahnúť návnade, pretože sú expertmi na vaše spontánne reakcie, reflexy, automatizmy atď. Buď opatrný!

Takže celkom nedávno, v januári tohto roku, bol internet doslova plný takýchto noviniek:

Výpočet hackerov bol jednoduchý - príjemcovia mailing listu splnia požiadavku podvodníkov v mene vedenia, aby sa vyhli napomenutiu zo strany tohto vedenia. A tak sa aj stalo. Podľa pokynov sociálnych hackerov vykonali bankoví pracovníci belgickej banky Crelan úkony potrebné pre podvodníkov bez dodatočných previerok. Správa od hackerov na e-mail obsahovala žiadosť o urgentné dokončenie transakcie. Vyzeralo to celkom vierohodne, keďže zločinci používali kópie log spoločností a známych domén.

Psychológovia robili podobné experimenty pred situáciou s belgickou bankou. Výskumníci z Anglicka teda posielali správy zamestnancom veľkej korporácie v mene správcu systému ich spoločnosti. Správa obsahovala požiadavku na zaslanie hesiel v súvislosti s plánovanou kontrolou zariadenia. Výsledok bol smutný – väčšina zamestnancov (75 %) sa riadila pokynmi útočníkov.

Ako vidíte, ľudské činy sa dajú naprogramovať celkom jednoducho. Navyše, celkom inteligentní, vzdelaní a vysoko inteligentní ľudia môžu napadnúť návnadu podvodníkov. Nie je tu nič zvláštne, keďže existujú aj iní ľudia, ktorí študujú akcie, automatizmy, reakcie všetkých druhov rôznych ľudí. Vrátane veľmi šikovných.

PRÍKLADY použitia metód sociálneho inžinierstva

Jeden sociálny inžinier opisuje, ako sa dostal do zakázanej oblasti pomocou myslenia ľudí. Ochrankári sú tiež ľudia! Tento človek (sociálny inžinier) odpozoroval, aké odznaky potrebuje zamestnanci firmy, vyrobil si ich pre seba, vytlačil na počítači a so zamestnancami ústavu prešiel zadnými dverami.

Samozrejme, nemal čip dverí, ale použil metódu „vláčika“. Jeho podstata je jednoduchá. Keď sa pred dverami nahromadí hŕba ľudí, nezavrú sa úplne a tí, čo idú vpredu, držia dvere tým, ktorí ho nasledujú. Obvyklá zdvorilosť. Veď podľa odznaku vidia, že aj toto je zamestnanec. Strážcovia vidia kopu ľudí s rovnakými odznakmi a nevenujú im veľkú pozornosť. Navyše na stene nevisí ani oznam veľkými písmenami, ale plagát s upozornením, že každý by si mal prejsť po jednom. V záujme všeobecnej bezpečnosti nemôžete podržať dvere tomu, kto kráča za nimi! Ale pokiaľ to neurobí spoločnosť známych? Kto z tejto firmy povie jednému z ľudí: "A ty prosím choď von a vráť sa dnu s kľúčom (čipom), lebo ťa nepoznám." Pravdepodobnosť tohto je veľmi malá. Ale to je presne to, čo musíte urobiť.

Ukazuje sa teda, že zamestnanci porušujú bezpečnostné požiadavky so závideniahodnou stálosťou a podvodníci s rovnakou stálosťou používajú vyššie opísané automatizmy. Vždy budú ľudia, ktorí budú nasledovať podvodníkov, bez ohľadu na to, ako veľmi budú varovaní a poučení. Sociálni inžinieri sú si toho dobre vedomí a preto si veľmi nelámu hlavu nad tým, aký trik vymyslieť. Používajú len rovnaké metódy. Automatizmy sa totiž v ľuďoch veľmi nemenia, preto sú to automatizmy. Byť originálny. Nerobte stereotyp! Vždy si dávajte pozor na neočakávané alebo desivé správy. Venujte pozornosť výstražným upozorneniam.

Najpoužívanejšie techniky sociálneho inžinierstva sú založené na ľudských slabostiach, akými sú súcit, strach a túžba rýchlo zbohatnúť. Ak hovoríme o ľútosti, hackeri využívajú túto vlastnosť ľudí rôznymi spôsobmi. Napríklad posielajú správy telefonicky alebo prostredníctvom sociálnych sietí a žiadajú o pomoc v mene vašich priateľov alebo príbuzných.

Základné metódy a techniky sociálneho inžinierstva / sociálneho inžinierstva

Všetky metódy sociálneho inžinierstva sú založené na ľudskom faktore, teda na zvláštnostiach psychiky ľudí: panikáriť, za istých okolností reagovať rovnako, stratiť ostražitosť, unaviť sa, súcitiť, prežívať strach a oveľa viac. Tu sú napríklad len niektoré techniky a vy sa pokúsite nezávisle určiť, ktorú vlastnosť psychiky tu sociálny inžinier použil:

1. 1. Jedna zo zápletiek môže byť takáto: priateľ je mimo mesta, nemôže si teraz zavolať - vážny problém, súrne sú potrebné peniaze. Žiada zaslanie na číslo účtu alebo bankovej karty. Nech nereagujú všetci pozitívne, ale len určité percento opýtaných, hacker vie, že to tak bude. Je mu to jedno, pretože ním naprogramované správy posiela stroj. Sú takí, ktorí súrne pomáhajú bez toho, aby skontrolovali, odkiaľ tieto SMS prichádzajú. Priateľ je predsa v problémoch.. A kvôli urgencii si mnohí zdroj neoveria.
   2. S rovnakým výpočtom pred časom mnohým ženám posielali SMS od ich syna, ktorý sa trápil. On sám sa samozrejme nemôže ozvať, kým mu matka nepošle peniaze na vyriešenie tohto problému. A matky poslali, nevedno kam a komu. Bez toho, aby som niečo prekontroloval (tak sa spýtal syn).
   3. Tiež v mene priateľov lákajú osobné informácie, posielajú škodlivé odkazy s komentármi. Napríklad: „Ahoj, chceš sa smiať? Kliknite na tento odkaz a môžete si vypočuť akýkoľvek telefonický rozhovor (alebo SMS korešpondenciu), ktorý vás zaujíma. Alebo niečo také, hlavné je, že kliknete na odkaz.

V arzenáli sociálnych inžinierov je aj možnosť, keď „pracujú“ pre kupujúceho. Mnoho používateľov dáva svoje veci do predaja, napríklad na Avito. Takýto „kupujúci“ hľadá niečo drahšie (autá, domy atď.), osloví skutočného predajcu a deklaruje svoju túžbu kúpiť vašu nie lacnú vec. Predajca je samozrejme spokojný. Wow, ako rýchlo, nestihol som zverejniť, ako sa všetko predalo. V duchu už počíta svoje príjmy. Pravda, kupujúci s poľutovaním hlási, že si vec bude môcť zavolať až po dvoch-troch dňoch. Aby ste túto cennú vec nepredali niekomu inému, požiada vás o odstránenie reklamy z Avita a je pripravený zaplatiť polovicu alebo dokonca 75% nákladov hneď dnes za záruku. "Samozrejme!" Myslíte si: "S radosťou! Nech zaplatí! „Kupujúci“ sa pýta, na ktorú kartu by vám mohol previesť peniaze. A poviete tomuto cudzincovi všetky podrobnosti o karte. Len namiesto toho, aby ste získali jeho peniaze, prídete o všetky svoje úspory. Môže vás tiež požiadať, aby ste mu povedali kód, ktorý vám príde do telefónu.

Ak hovoríme o takej vlastnosti, ako je túžba rýchlo a bez väčšej námahy zbohatnúť, tak toto je taká neresť, pomocou ktorej sa sociálni inžinieri dokážu vynájsť a vynájsť veľmi dlho. Koniec koncov, ľudia sami vyhľadávajú tieto „dobrodružstvá“ a dokonca sú pripravení šliapnuť na rovnaké hrable. Preto podvodníci naďalej zobrazujú: buď známu značku, ktorá dáva bláznivé darčeky; potom spoločnosť sľubujúca atraktívne zľavy; potom banka ponúkajúca pôžičku s mizerným percentom; potom zamestnávateľ, ktorý vám pomôže zarobiť peniaze na internete alebo inde... Len aby ste niečo z toho dostali, musíte najprv poskytnúť údaje o karte... Veď novopečený zamestnávateľ alebo dobrá banka musí previesť peniaze k vám niekam ... Nahlásili údaje o karte cudziemu človeku, môžete sa rozlúčiť s jej obsahom.

Prečo o tom potrebujete vedieť?

V poslednej dobe je záujem o sociálne inžinierstvo veľmi vysoký. Vidno to z popularity tejto žiadosti na internete. To znamená, že počet hackerov a dopyt po programoch na ochranu pred ich útokmi bude len rásť. A nielen hackeri, podvodníci akéhokoľvek druhu využívajú metódy sociálneho inžinierstva na svoje účely.

Ak chcete byť informovaní a potom ozbrojení, môžete si prečítať literatúru na túto tému:

Sociálne inžinierstvo a sociálni hackeri. Maxim Kuznecov, Igor Simdjanov.

Buď opatrný! Nenechajte sa oklamať.

Sociálne inžinierstvo využíva poznatky psychológie a ľudského faktora. Buďte mimoriadne opatrní, sociálni hackeri vás veľmi dobre poznajú.

Tiež by bolo zaujímavé vedieť, či ste vedeli o sociálnom inžinierstve a prefíkaných trikoch, ktoré používajú ľudia, ktorí za tým stoja?

S pozdravom stránka Ak chcete dostávať nové články, prihláste sa na odber noviniek.

V tomto článku sa zameriame na pojem „sociálne inžinierstvo“. Tu sa bude brať do úvahy generál.Dozvieme sa aj o tom, kto bol zakladateľom tohto konceptu. Hovorme oddelene o hlavných metódach sociálneho inžinierstva, ktoré používajú útočníci.

Úvod

Metódy, ktoré umožňujú korigovať ľudské správanie a riadiť jeho aktivity bez použitia technickej sady nástrojov, tvoria všeobecnú koncepciu sociálneho inžinierstva. Všetky metódy sú založené na tvrdení, že ľudský faktor je najničivejšou slabinou každého systému. Často sa tento pojem posudzuje v rovine protiprávnej činnosti, prostredníctvom ktorej páchateľ vykonáva činnosť zameranú na získanie informácií od subjektu – obete nečestným spôsobom. Môže ísť napríklad o nejaký druh manipulácie. Sociálne inžinierstvo však využívajú aj ľudia v legitímnych aktivitách. Dnes sa najčastejšie používa na prístup k zdrojom s citlivými alebo citlivými informáciami.

Zakladateľ

Zakladateľom sociálneho inžinierstva je Kevin Mitnick. Samotný pojem k nám však prišiel zo sociológie. Označuje všeobecný súbor prístupov používaných v aplikovanej sociálnej oblasti. vedy zamerané na zmenu organizačnej štruktúry, ktorá môže určovať ľudské správanie a vykonávať nad ním kontrolu. Kevina Mitnicka možno považovať za zakladateľa tejto vedy, pretože to bol on, kto popularizoval sociálne veci. strojárstvo v prvej dekáde 21. storočia. Sám Kevin bol predtým hackerom, ktorý sa zaviazal využívať širokú škálu databáz. Tvrdil, že ľudský faktor je najzraniteľnejším bodom systému akejkoľvek úrovne zložitosti a organizácie.

Ak hovoríme o metódach sociálneho inžinierstva ako o spôsobe získania práv (často nezákonných) na používanie dôverných údajov, potom môžeme povedať, že sú známe už veľmi dlho. Bol to však K. Mitnick, ktorý dokázal sprostredkovať plnú dôležitosť ich významu a osobitosti ich aplikácie.

Phishing a neexistujúce odkazy

Akákoľvek technika sociálneho inžinierstva je založená na prítomnosti kognitívnych skreslení. Chyby v správaní sa stávajú „nástrojom“ v rukách šikovného inžiniera, ktorý v budúcnosti dokáže vytvoriť útok zameraný na získanie dôležitých údajov. Medzi metódami sociálneho inžinierstva sa rozlišuje phishing a neexistujúce odkazy.

Phishing je online podvod určený na získanie osobných informácií, ako je používateľské meno a heslo.

Neexistujúci odkaz – použitie odkazu, ktorý bude príjemcu lákať na určité výhody, ktoré je možné získať kliknutím naň a návštevou konkrétnej stránky. Najčastejšie sa používajú názvy veľkých spoločností, pričom sa ich názov jemne upravuje. Obeť kliknutím na odkaz „dobrovoľne“ odovzdá svoje osobné údaje útočníkovi.

Metódy využívajúce značky, chybné antivírusy a falošnú lotériu

Sociálne inžinierstvo tiež využíva podvody so značkami, chybné antivírusy a falošné lotérie.

„Podvody a značky“ je metóda klamania, ktorá tiež patrí do sekcie phishing. To zahŕňa e-maily a webové stránky, ktoré obsahujú názov veľkej a/alebo „propagovanej“ spoločnosti. Z ich stránok sa odosielajú správy s oznámením o víťazstve v určitej súťaži. Ďalej musíte zadať dôležité informácie o účte a ukradnúť ich. Túto formu podvodu je možné vykonať aj cez telefón.

Falošná lotéria – metóda, pri ktorej sa obeti pošle správa s textom, že (a) vyhral (a) lotériu. Najčastejšie je upozornenie maskované pomocou názvov veľkých korporácií.

Falošné antivírusy sú softvérové ​​podvody. Používa programy, ktoré vyzerajú ako antivírusy. V skutočnosti však vedú ku generovaniu falošných upozornení na konkrétnu hrozbu. Snažia sa tiež nalákať používateľov do sféry transakcií.

Vishing, phreaking a pretexting

Keď už hovoríme o sociálnom inžinierstve pre začiatočníkov, mali by sme spomenúť aj vishing, phreaking a pretexting.

Vishing je forma podvodu, ktorá využíva telefónne siete. Používa vopred nahrané hlasové správy, ktorých účelom je znovu vytvoriť „oficiálny hovor“ bankovej štruktúry alebo akéhokoľvek iného IVR systému. Najčastejšie sú požiadaní o zadanie používateľského mena a / alebo hesla na potvrdenie akýchkoľvek informácií. Inými slovami, systém vyžaduje autentizáciu používateľa pomocou PIN alebo hesiel.

Phreaking je ďalšou formou telefónneho podvodu. Ide o hackerský systém využívajúci manipuláciu so zvukom a tónovú voľbu.

Pretexting je útok pomocou vopred vytvoreného plánu, ktorého podstatou je reprezentovať iný subjekt. Mimoriadne náročný spôsob podvádzania, pretože si vyžaduje starostlivú prípravu.

Quid Pro Quo a metóda Road Apple

Teória sociálneho inžinierstva je mnohostranná databáza, ktorá zahŕňa metódy klamania a manipulácie, ako aj spôsoby, ako sa s nimi vysporiadať. Hlavnou úlohou votrelcov je spravidla vyloviť cenné informácie.

Medzi ďalšie typy podvodov patria: quid pro quo, metóda cestného jablka, surfovanie cez rameno, používanie open source a reverzné sociálne médiá. strojárstvo.

Quid-pro-quo (z lat. - „na toto“) - pokus získať informácie od spoločnosti alebo firmy. To sa deje tak, že ju kontaktujete telefonicky alebo zaslaním správ e-mailom. Najčastejšie sa útočníci vydávajú za zamestnancov týchto. podpory, ktoré hlásia prítomnosť konkrétneho problému na pracovisku zamestnanca. Potom navrhnú spôsoby, ako to opraviť, napríklad inštaláciou softvéru. Ukázalo sa, že softvér je chybný a propaguje zločin.

„Cestné jablko“ je metóda útoku, ktorá je založená na myšlienke trójskeho koňa. Jeho podstata spočíva vo využití fyzického média a náhrade informácií. Napríklad môžu poskytnúť pamäťovú kartu s určitým „dobrom“, ktoré upúta pozornosť obete, spôsobí túžbu otvoriť a použiť súbor alebo sledovať odkazy uvedené v dokumentoch jednotky Flash. Objekt „cestné jablko“ je vypustený na sociálne miesta a čaká sa, kým nejaký subjekt zrealizuje útočníkov plán.

Zhromažďovanie a vyhľadávanie informácií z otvorených zdrojov je podvod, pri ktorom je získavanie údajov založené na metódach psychológie, schopnosti všímať si maličkosti a analýzy dostupných údajov, napríklad stránok zo sociálnej siete. Toto je celkom nový spôsob sociálneho inžinierstva.

Ramenné surfovanie a reverzné sociálne. strojárstvo

Pojem „shoulder surfing“ sa definuje ako pozorovanie subjektu naživo v doslovnom zmysle slova. S týmto typom lovu údajov sa útočník dostane na verejné miesta, ako je kaviareň, letisko, železničná stanica, a sleduje ľudí.

Nepodceňujte túto metódu, pretože mnohé prieskumy a štúdie dokazujú, že všímavý človek môže získať množstvo dôverných informácií jednoducho tým, že bude všímavý.

Sociálne inžinierstvo (ako úroveň sociologického poznania) je prostriedkom na „zachytenie“ údajov. Existujú spôsoby, ako získať údaje, pri ktorých obeť sama útočníkovi ponúkne potrebné informácie. Môže však slúžiť aj v prospech spoločnosti.

Obrátené sociálne inžinierstvo je ďalšou metódou tejto vedy. Použitie tohto termínu sa stáva vhodným v prípade, ktorý sme spomenuli vyššie: obeť sama útočníkovi ponúkne potrebné informácie. Toto tvrdenie netreba brať ako absurdné. Faktom je, že subjekty s právomocou v určitých oblastiach činnosti sa k identifikačným údajom dostávajú často na základe vlastného rozhodnutia. Dôvera je tu základ.

Dôležité mať na pamäti! Pracovníci podpory nikdy nebudú od používateľa žiadať napríklad heslo.

Informácie a ochrana

Výcvik sociálneho inžinierstva môže jednotlivec realizovať tak na základe osobnej iniciatívy, ako aj na základe benefitov, ktoré sa využívajú v špeciálnych tréningových programoch.

Zločinci môžu používať širokú škálu typov podvodu, od manipulácie po lenivosť, dôverčivosť, zdvorilosť používateľa atď. Je mimoriadne ťažké chrániť sa pred týmto typom útoku, pretože obeť si neuvedomuje, že ) bol podvedený. Rôzne firmy a spoločnosti na ochranu svojich údajov na tejto úrovni nebezpečenstva sa často zaoberajú vyhodnocovaním všeobecných informácií. Ďalej sú potrebné ochranné opatrenia integrované do bezpečnostnej politiky.

Príklady

Príkladom sociálneho inžinierstva (jeho činu) v oblasti globálnych phishingových správ je udalosť, ktorá sa stala v roku 2003. Počas tohto podvodu boli používateľom eBay odoslané e-maily. Tvrdili, že im patriace účty boli zablokované. Pre zrušenie blokovania bolo potrebné znova zadať údaje účtu. Listy však boli falošné. Preložili na stránku identickú s oficiálnou, ale falošnú. Podľa odhadov odborníkov nebola strata príliš výrazná (necelý milión dolárov).

Definícia zodpovednosti

Používanie sociálneho inžinierstva môže byť v niektorých prípadoch trestné. V mnohých krajinách, ako napríklad v Spojených štátoch, sa pretexting (klamanie vydávaním sa za inú osobu) prirovnáva k narušeniu súkromia. To však môže byť trestné zo zákona, ak informácie získané počas pretextovania boli z pohľadu subjektu alebo organizácie dôverné. Nahrávanie telefonického rozhovoru (ako metóda sociálneho inžinierstva) je tiež povinné zo zákona a vyžaduje pokutu 250 000 dolárov alebo väzenie až na desať rokov pre jednotlivcov. osôb. Právnické osoby sú povinné zaplatiť 500 000 USD; obdobie zostáva rovnaké.