Sosyal mühendislik nasıl öğrenilir? Sosyal mühendislik üzerine bir ders kitabı. Korku güveni besler

Yalan söylemek, adı "Sosyal Mühendislik" olan bütün bir teknolojidir. Yüksek kaliteli yalanlar, modern koşullarda kullanılmadan hem yeni başlayan hem de sertleştirilmiş tek bir krakerin yapamayacağı "Sosyal Mühendisliğin" ayrılmaz bir parçasıdır.

Bilgisayar korsanları farklıdır: bilgisayar iş istasyonu korsanı, sunucu korsanı, bilgisayar ağı korsanı, telefon ağı korsanı, kırıcı ( taşıyıcı) sadece beyin, vb. - ve hepsi “Sosyal Mühendisliği” yardımcı bir araç olarak veya sadece “Sosyal Mühendisliğin” temel olarak inşa edildiği ve aslında tüm insanlığın yaşamının çoğunun üzerine inşa edildiği bir yalan olarak kullanır.

Çocukken bize yalan söylemememiz öğretildi. Hiç kimse. Bununla birlikte, çoğu zaman olduğu gibi, hayat tüm okul derslerini aşıyor ve inatla bizi hakikat olmadan, ne burada ne de orada - “Yalan söylemeyeceksin, yaşamayacaksın” gerçeğine sokuyor. En iyi yalancılar, şaşırtıcı bir şekilde bazen yalan söyler ve bunu neredeyse asla kabul etmezler. Bu yazıda yalan söyleme sanatının diğer sırlarından bahsedeceğiz.

Din de dahil olmak üzere insan yaşamının neredeyse tüm alanlarına yalanlar nüfuz ediyor ve tüm dünyadaki ve bitişik galaksilerdeki her şeyin ve her şeyin huzursuz İngiliz araştırmacıları şunları da ekliyor: “Görünüşe göre her insan hayatında yaklaşık 88 bin kez yalan söylüyor! ".

En popüler yalanların listesi, elbette, çok yıpranmış olanları içerir: “Hamur yok, şimdi kendim kırdım”, “Seni gördüğüme çok sevindim”, “Sizi arayacağız” ve “Çok teşekkür ederim, gerçekten çok iyiyim. Sevmek ". Herkesin yalan söylediği ortaya çıkıyor, herkese ve her zaman. Ancak bazı insanlar harika bir şekilde yalan söyler, başkalarını eğlendirir ve kendileri için hayatı kolaylaştırırken, diğerleri - tam olarak değil, etrafındaki herkese acı ve ıstırap getirir.

Peki, basit, güvenli ve güzel bir şekilde “beyninizi toz haline getirmeyi” nasıl öğrenebilirsiniz ( kulaklarınıza erişte asın, kar fırtınası yapın, aldatın)? Her işte olduğu gibi bu zanaatta da yazılı olmayan kanunlar ve sırlar vardır.

“Profesör elbette bir dulavratotu, ancak ekipman onunla, onunla birlikte. Nasıl duyulur? »

Büyük ve küçük yalanlar aynı titiz tavrı gerektirir

Bu, yaklaşan yalan ustasının ezberlemesi gereken temel kurallardan biridir. Her yalanınız, anlamı ne olursa olsun, sonsuza kadar hatırlanmak zorunda kalacak ve sonraki yalanlar bir öncekini dikkate alarak inşa edilecektir. Bununla birlikte, bazılarına sadece en temel yalanı hatırlamak yeterli görünebilir ve küçük formalitelerdeki yalanlar hatırlamaya değmez. Kural olarak, deneyimsiz yalancılar böyle yanar - bir yalan dağını yığdıktan sonra, kimin, ne zaman ve nasıl “saçlarını taradıklarını” unuturlar.

Bu nedenle, her birinizi, en küçük yalanlarınızı bile hatırlamaya çalışın. Ve insan hafızası sonsuz olmadığından ve kesinlikle tüm “gonilovo'larınızı” hatırlayamayacağınız için, ana kural şu ​​sonuca varır: Mümkün olduğunca az yalan söyleyin, IMHO, güvenilirliği elde etmenin tek yolu bu .

Gözlerde kum, kulaklarda erişte

Gerçek bir yalan ustası (sürücü), kılıcını yalnızca en belirleyici anda çeken ve yalnızca 1 darbe indiren bir İspanyol boğa güreşçisi gibidir. Geri kalan her zaman, kırmızı pelerin ustaca manipülasyonlarının yardımıyla kurbanın dikkatini ustaca dağıtır. Erişteleri kulaklara asma sırasında da benzer yöntemler kullanılır ve muhatabın dikkatini ustaca başka bir nesneye çevirmek veya zaman zaman konuşmanın konusunu değiştirmek genellikle sizi yalan söyleme ihtiyacından kurtarır. Herhangi bir kar fırtınası sürmek zorunda kalmamak için davranış stratejinizi önceden düşünün. Evet, bakın, aşırıya kaçmayın, çünkü muleta'nın garip kullanımı boğa güreşçisinin bir ömre mal olabilir!

Okulda zor, işte kolay

Herhangi bir meslekte pratik eğitim gereklidir ve yalancı gibi bir meslekte pratik kesinlikle vazgeçilmezdir. Ama yaşayan insanlar üzerinde pratik yapmak pek insancıl olmadığı için kendimiz üzerinde pratik yapacağız. Aynanın karşısında duralım ve tamamen doğal görünmeye başlayana kadar yalanlarımızı tekrarlayalım. İdeal olarak, kendimizi yalanlarımızın doğruluğuna ikna etmeliyiz. Kusursuz aldatma, kendimizin inandığımız aldatmacadır.

Ve ben, o zaman ben değilim ve saçmalık benim değil

Yalan söylediğinizden şüphelenmeye başlarlarsa, böyle bir durumda yapılabilecek en kötü şey, kendi bahanenizi yaratmaya başlamak ve daha fazla yalan icat etmeye başlamaktır. Ev sendelemeye başladığında, mümkün olan en kısa sürede ondan kaçmak ve ek katların yapımını acilen tamamlamamak gerekir. Bu nedenle herhangi bir suçlamaya hakaret ve gururlu bir sessizlikle cevap verilmeli ya da başka bir konuya geçilmelidir.

"Anüs esaretine gönüllü teslim olma" ile ilgili olarak, bu tür bir teslimiyet, tapınakta doğrudan bir atışla eşdeğerdir. Çoğu zaman, gerçeğin her iki taraf için de eşit derecede kusurlu olduğu ve karşı tarafın, yalan söylemekle suçlamalarına rağmen, yalancının kendisi gibi duymak istemediği durumlar vardır. Duvara tam anlamıyla bastırılmış olsanız bile geri adım atmayın ve pes etmeyin. Kanıta, mantığa ve sağduyuya karşı çizginizi çürütün ( Kırım'da birliklerimiz yok - bunların hepsi insanların kendini savunması).

Sadece sen, sadece ben

Önümüzdeki birçok hamle için davranış stratejisi üzerinde düşünebilir, aynanın yanında parlak oyunculuk becerileri geliştirebilir ve konuşmanın doğru tonlamalarını çözebilir, bir bahane bulabilir, kendinize tanıklar, kaçış yolları ve ikinci bir satır sağlayabilirsiniz. savunma.

Ve akrabalar ve arkadaşlar hala gerçeği öğrenebilir. Bilimsel olarak açıklanamaz, çünkü “rüya gördüm” ya da “kıçımı kalbimde hissediyorum” ... “sen bir bilimkurgu yalancısın” tipine inanmıyoruz. Başka bir deyişle, bazı insanlar arasında bilinçsizce birbirlerinin durumundaki en küçük değişiklikleri hissettikleri için bir tür psiko-fizyolojik sözsüz (astral) bağlantı kurulabilir. bu nedenle akraba ve arkadaşlara yalan söylemeye çalışmamak bile tercih edilir.

Son yıllarda, sosyal mühendislik tekniklerini kullanan siber suçlular, işletmelerin çalışanlarının ve genel olarak insanların modern psikolojisini kullanarak gerekli bilgilere erişmeyi daha olası kılan daha gelişmiş yöntemler benimsemiştir. Bu tür hilelere karşı koymanın ilk adımı, saldırganların taktiklerini anlamaktır. Sosyal mühendisliğe yönelik sekiz ana yaklaşıma bakalım.

Tanıtım

90'lı yıllarda, "sosyal mühendislik" kavramı, bilgi güvenliği alanında ikonik bir figür olan ve eski bir ciddi hacker olan Kevin Mitnick tarafından tanıtıldı. Ancak, saldırganlar bu tür yöntemleri terimin kendisi ortaya çıkmadan çok önce kullandılar. Uzmanlar, modern siber suçluların taktiklerinin iki hedefin peşinde koşmaya bağlı olduğuna inanıyor: şifreleri çalmak, kötü amaçlı yazılım yüklemek.

Saldırganlar telefon, e-posta ve Web'i kullanarak sosyal mühendislik uygulamaya çalışıyor. Suçluların ihtiyaç duydukları gizli bilgileri almalarına yardımcı olan ana yöntemleri tanıyalım.

Taktik 1. On el sıkışma teorisi

Sosyal mühendislik için telefon kullanan bir saldırganın asıl amacı, kurbanını iki şeyden birine ikna etmektir:

1. Mağdur, bir şirket çalışanından bir telefon alır;
2. Yetkili bir organın temsilcisi (örneğin, bir kolluk görevlisi veya denetçi) arar.

Bir suçlu, belirli bir çalışan hakkında veri toplama görevini üstlenirse, ihtiyaç duyduğu verileri elde etmek için mümkün olan her şekilde deneyerek önce meslektaşlarıyla iletişime geçebilir.

Eski altı el sıkışma teorisini hatırlıyor musunuz? Bu nedenle güvenlik uzmanları, bir siber suçlu ile kurbanı arasında yalnızca on "el sıkışma" olabileceğini söylüyor. Uzmanlar, şu veya bu çalışanın sizden ne istediği bilinmediğinden, modern koşullarda her zaman biraz paranoyaya sahip olmak gerektiğine inanıyor.

Saldırganlar, hiyerarşide daha üstteki kişiler hakkında bilgi toplamak için genellikle bir sekreterle (veya benzer bir pozisyonda olan biriyle) iletişim kurar. Uzmanlar, arkadaşça bir sesin dolandırıcılara çok yardımcı olduğunu belirtiyor. Yavaş ama emin adımlarla, suçlular sizin için anahtarı alır, bu da kısa sürede daha önce asla keşfedemeyeceğiniz bilgileri paylaşmanıza neden olur.

Taktik 2. Kurumsal dili öğrenin

Bildiğiniz gibi her sektörün kendine özgü formülasyonları vardır. Gerekli bilgileri elde etmeye çalışan bir saldırganın görevi, sosyal mühendislik tekniklerini daha ustaca kullanabilmek için böyle bir dilin özelliklerini öğrenmektir.

Tüm ayrıntılar, kurumsal dilin, terimlerinin ve özelliklerinin incelenmesinde yatmaktadır. Bir siber suçlu, amaçlarına uygun olarak tanıdık, tanıdık ve anlaşılır bir dil konuşursa, daha kolay güven kazanacak ve ihtiyaç duyduğu bilgileri hızla elde edebilecektir.

Taktik 3: Aramalar Sırasında Beklemek için Müzik Ödünç Alın

Başarılı bir saldırı gerçekleştirmek için dolandırıcıların üç bileşene ihtiyacı vardır: zaman, azim ve sabır. Sosyal mühendislik kullanan siber saldırılar genellikle yavaş ve metodik bir şekilde gerçekleştirilir - yalnızca doğru kişilerle ilgili veriler değil, aynı zamanda "sosyal sinyaller" olarak adlandırılan veriler de toplanır. Bu, güven kazanmak ve hedefi parmağınızın etrafında döndürmek için yapılır. Örneğin, saldırganlar iletişim kurdukları kişiyi meslektaş olduklarına ikna edebilirler.

Bu yaklaşımın özelliklerinden biri, arayan kişinin cevap beklediği bir anda, aramalar sırasında şirketin kullandığı müziğin kaydedilmesidir. Suçlu önce bu tür müziği bekler, sonra onu kaydeder ve sonra onu kendi yararına kullanır.

Böylece, kurbanla doğrudan bir diyalog olduğunda, saldırganlar bir noktada şöyle diyor: "Bir dakika, diğer hatta bir çağrı var." Kurban daha sonra tanıdık bir müzik duyar ve arayanın belirli bir şirketi temsil ettiğinden şüphe duymaz. Özünde, bu sadece yetkin bir psikolojik numaradır.

Taktik 4. Bir telefon numarasının yanıltılması (değiştirilmesi)

Suçlular, arayan kişinin numarasını taklit etmelerine yardımcı olmak için genellikle telefon numarası sahtekarlığını kullanır. Örneğin, bir saldırgan dairesinde oturup ilgili bir kişiyi arayabilir, ancak arayan kimliği şirkete ait bir numarayı gösterecek ve bu da dolandırıcının kurumsal bir numara kullanarak aradığı yanılsamasını yaratacaktır.

Elbette, arayan kimliği şirketlerine aitse, şüphelenmeyen çalışanlar çoğu durumda şifreler de dahil olmak üzere hassas bilgileri arayan kişiye verir. Bu yaklaşım aynı zamanda suçluların takip etmekten kaçınmasına da yardımcı olur, sanki bu numarayı geri ararsanız şirketin dahili hattına yönlendirilirsiniz.

Taktik 5: Haberleri Aleyhinize Kullanmak

Güncel haberlerin manşetleri ne olursa olsun, saldırganlar bu bilgileri spam, kimlik avı ve diğer dolandırıcılık faaliyetleri için yem olarak kullanır. Uzmanların son zamanlarda, konuları başkanlık kampanyaları ve ekonomik krizlerle ilgili olan istenmeyen e-postaların sayısında bir artış kaydettiğini belirtmesine şaşmamalı.

Örnekler, bir bankaya yapılan kimlik avı saldırısını içerir. E-posta şöyle bir şey söylüyor:

“Başka bir banka [banka adı] bankanızı [banka adı] alıyor. Anlaşma kapanmadan önce banka bilgilerinizin güncel olduğundan emin olmak için bu bağlantıya tıklayın."

Doğal olarak bu, dolandırıcıların hesabınıza girebileceği, paranızı çalabileceği veya bilgilerinizi üçüncü bir tarafa satabileceği bilgileri edinme girişimidir.

Taktik 6: Sosyal Platformlarda Güveni Arttırın

Facebook, Myspace ve LinkedIn'in son derece popüler sosyal ağlar olduğu bir sır değil. Uzman araştırmalarına göre insanlar bu tür platformlara güvenme eğilimindedir. LinkedIn kullanıcılarını hedef alan yakın tarihli bir hedef odaklı kimlik avı olayı bu teoriyi desteklemektedir.

Bu nedenle, Facebook'tan geldiğini iddia eden birçok kullanıcı bir e-postaya güvenecektir. Yaygın bir hile, sosyal ağın bakımda olduğunu iddia etmektir, bilgileri güncellemek için "buraya tıklamanız" gerekir. Bu nedenle uzmanlar, kimlik avı bağlantılarından kaçınmak için kurum çalışanlarının web adreslerini manuel olarak girmelerini önermektedir.

Ayrıca, sitelerin çok nadiren kullanıcılardan şifrelerini değiştirmelerini veya hesaplarını güncellemelerini isteyeceğini akılda tutmakta fayda var.

Taktik 7. Typesquatting

Bu kötü amaçlı teknik, saldırganların insan faktörünü, yani adres çubuğuna bir URL girerken yapılan hataları kullanması nedeniyle dikkate değerdir. Böylece kullanıcı, sadece bir harf hatası yaparak, saldırganlar tarafından bu amaç için özel olarak oluşturulmuş bir siteye girebilmektedir.

Siber suçlular dikkatli bir şekilde typequatting için zemin hazırlarlar, bu nedenle siteleri, ilk başta ziyaret etmek istediğiniz meşru olana benzer bir kapsüldeki iki bezelye gibi olacaktır. Böylece, bir web adresi yazarken bir hata yaparak, amacı ya bir şey satmak, veri çalmak ya da kötü amaçlı yazılım dağıtmak olan meşru bir sitenin bir kopyasına ulaşırsınız.

Taktik 8: Hisse Senedi Piyasasını Etkilemek İçin FUD Kullanmak

FUD, genel olarak pazarlama ve propagandada kullanılan, bir şey (özellikle bir ürün veya kuruluş) hakkında, izleyicilerde nitelikleri hakkında belirsizlik ve şüphe uyandıracak ve böylece korku yaratacak şekilde bilgi sunmaktan oluşan psikolojik bir manipülasyon taktiğidir. ondan.

Avert'in en son araştırmasına göre, ürünlerin ve hatta tüm şirketlerin güvenliği ve kırılganlığı borsayı etkileyebilir. Örneğin, araştırmacılar, "Salı Microsoft Yaması" gibi olayların şirketin hissesi üzerindeki etkisini incelediler ve bir güvenlik açığı yayınlandıktan sonra her ay belirgin bir dalgalanma buldular.

Ayrıca 2008 yılında saldırganların Steve Jobs'un sağlığı hakkında nasıl yanlış bilgiler yaydığını ve bunun Apple hisselerinde keskin bir düşüşe yol açtığını hatırlayabilirsiniz. Bu, FUD'nin kötü amaçlarla kullanılmasının en tipik örneğidir.

Ek olarak, “pompala ve boşalt” tekniğini (borsada veya kripto para piyasasında döviz kurunu manipüle etmek için bir plan ve ardından bir çöküşle) uygulamak için e-posta kullanımına dikkat etmek önemlidir. Bu durumda saldırganlar, önceden satın aldıkları hisselerin inanılmaz potansiyelini anlatan e-postalar gönderebilirler.

Böylece birçok kişi bu hisseleri bir an önce almaya çalışacak ve fiyatları artacaktır.

sonuçlar

Siber suçlular genellikle sosyal mühendislik kullanımında çok yaratıcıdır. Kendi yöntemlerini öğrendikten sonra, çeşitli psikolojik hilelerin saldırganların hedeflerine ulaşması için çok yardımcı olduğu sonucuna varabiliriz. Buna dayanarak, özellikle gizli bilgiler tartışılıyorsa, istemeden bir dolandırıcıya, sizinle iletişime geçen kişiler hakkındaki bilgileri kontrol edip tekrar kontrol edebilecek herhangi bir küçük şeye dikkat etmeye değer.

Kaybetme. Abone olun ve e-postanızdaki makaleye bir bağlantı alın.

Bilgisayarların ortaya çıkışından ve İnternet'in yükselişinden bu yana, programcılar bilgisayar güvenliğini sağlamak için çok çalışıyorlar. Ama bugün bile kimse bu %100'e ulaşamadı. Ancak yine de en güçlü kriptografi, gelişmiş güvenlik protokolleri, güvenilir yazılımlar ve diğer güvenlik unsurları sayesinde bu sonuca ulaşıldığını düşünelim. Sonuç olarak, kesinlikle güvenli bir ağ elde ederiz ve içinde güvenle çalışabiliriz.

"Müthiş! - diyorsun, - çantada! ”, Ama yanılacaksınız çünkü bu yeterli değil. Niye ya? Evet, çünkü herhangi bir bilgisayar sisteminin faydası ancak kullanıcıların katılımı ile elde edilebilir, yani. insanların. Ve tam olarak bir bilgisayar ile bir kişi arasındaki bu etkileşim ciddi bir tehlike taşır ve bir kişi genellikle güvenlik önlemleri zincirindeki en zayıf halkadır. Dahası, güvenliğin etkisiz olmasının nedeni kendisidir.

Bilgi çağında, insanları manipüle etmek daha kolay hale geldi, çünkü doğrudan temas olmadan etkileşim kurmanıza izin veren İnternet ve mobil iletişim var. Saldırganların insanlar üzerinde istedikleri gibi "işlemesine" yardımcı olan özel yöntemler bile var. Komplekslerine sosyal mühendislik denir ve bu yazıda bunun ne olduğunu bulmaya çalışacağız.

Sosyal mühendislik: nedir ve nasıl ortaya çıktı?

Bir kişi tarafından kontrol edildiğinde, özellikle bu kişi saf, saf ve safsa, en gelişmiş güvenlik sisteminin bile savunmasız olduğunu tahmin etmek kolaydır. Ve bir makineye (PC) saldırı yapıldığında sadece bilgisayara değil, arkasında çalışan kişi de mağdur rolü yapabilmektedir.

Sosyal mühendislik denilen sosyal bilgisayar korsanlarının argosunda bu saldırıdır. Geleneksel biçiminde, arayanın başka biri gibi davrandığı, aboneden gizli bilgileri, çoğu zaman şifreleri almak istediği bir telefon görüşmesine benziyor. Ancak makalemizde sosyal mühendislik fenomenini daha geniş bir anlamda ele alacağız, yani şantaj, duygularla oynama, aldatma vb. gibi olası psikolojik manipülasyon yöntemlerini kastediyoruz.

Bu anlayışta, sosyal mühendislik, insanların eylemlerini teknik araçlar kullanmadan kontrol etme yöntemidir. Çoğu zaman, çeşitli değerli bilgileri elde etmenin yasadışı bir yöntemi olarak algılanır. Genelde internette kullanılır. Sosyal mühendislik örnekleriyle ilgileniyorsanız, işte en çarpıcılarından biri:

ÖRNEK: Bir saldırgan, bir kişinin kişisel İnternet bankacılığı hesabından şifreyi öğrenmek istiyor. Kurbanı telefonla arar ve kendisini banka çalışanı olarak tanıtır, şifre ister, kuruluş sistemindeki ciddi teknik sorunlara atıfta bulunur. Daha fazla inandırıcılık için, çalışanın hayali (veya gerçek) adını, konumunu ve yetkilerini (gerekirse) belirtir. Sosyal hacker, kurbanı inandırmak için hikayesini inandırıcı ayrıntılarla doldurabilir, kurbanın duygularıyla oynayabilir. Saldırgan bilgiyi aldıktan sonra, yine de ustalıkla “müşterisine” veda eder ve ardından kişisel hesabına girmek ve para çalmak için şifreyi kullanır.

İşin garibi, ama zamanımızda bile böyle bir yemi gagalayan ve sosyal bilgisayar korsanlarına ihtiyaç duydukları her şeyi güvenle söyleyen insanlar var. Ve ikincisinin cephaneliğinde birçok teknik ve teknik olabilir. Onlar hakkında da konuşacağız, ama biraz sonra.

Sosyal mühendislik, nispeten yakın zamanda ortaya çıkan bir bilimdir (yön). Sosyolojik önemi, yeni sosyal gerçeklikler yaratma, modernleştirme ve uygulama sürecini yönlendiren, sistematize eden ve optimize eden belirli bilgilerle çalışması gerçeğinde yatmaktadır. Bir anlamda sosyolojik bilgiyi tamamlar, bilimsel bilgiyi aktivite ve davranış algoritmalarına dönüştürür.

İnsanlar eski çağlardan beri sosyal mühendisliği bir şekilde kullanıyorlar. Örneğin, antik Roma ve antik Yunanistan'da, muhataplarını “yanlışlığı” konusunda ikna edebilen özel olarak eğitilmiş retorikçilere çok saygı duyuldu. Bu insanlar diplomatik müzakerelere katıldılar ve devlet sorunlarını çözdüler. Daha sonra, sosyal mühendislik, ajanları başarılı bir şekilde herhangi birinin kimliğine bürünen ve devlet sırlarını öğrenen CIA ve KGB gibi istihbarat teşkilatları tarafından benimsendi.

1970'lerin başında, bir şaka uğruna çeşitli şirketlerin barışını bozan telefon holiganları ortaya çıkmaya başladı. Ancak zamanla birileri, teknik bir yaklaşım kullanırsanız çeşitli önemli bilgileri kolayca alabileceğinizi fark etti. Ve 70'lerin sonunda, eski telefon holiganları, insanları ustaca manipüle edebilen, komplekslerini ve korkularını sadece tonlama ile tanımlayabilen profesyonel toplum mühendislerine (bunlara singer denilmeye başlandı) dönüştü.

Bilgisayarlar ortaya çıktığında, çoğu şarkıcı profillerini değiştirerek sosyal bilgisayar korsanları haline geldi. Artık "sosyal mühendislik" ve "sosyal bilgisayar korsanları" kavramları eş anlamlıdır. Ve sosyal mühendisliğin güçlü gelişimi ile yeni türleri ortaya çıkmaya başladı ve tekniklerin cephaneliği genişledi.

Sosyal bilgisayar korsanlarının insanları nasıl manipüle ettiğini öğrenmek için bu kısa videoyu izleyin.

Sosyal mühendislik yöntemleri

Sosyal mühendisliğin tüm gerçek örnekleri, her koşula ve her ortama kolayca uyum sağladığını ve sosyal bilgisayar korsanlarının kurbanlarının, kural olarak, kendilerine karşı bir tür tekniğin kullanıldığından şüphelenmediğini ve hatta daha da fazlası olduğunu göstermektedir. kimin yaptığını bilmiyorum.

Tüm sosyal mühendislik yöntemleri . Bu, sosyal çevredeki insanların her zaman birine güvenme eğiliminde olduklarına göre bilişsel temeldir. Sosyal mühendisliğin ana yöntemleri arasında şunlar vardır:

• "Truva atı"
• bahane
• "Yol Elma"
• E-dolandırıcılık
• hemen hemen

Onlar hakkında daha ayrıntılı konuşalım.

"Truva atı"

"Truva atı" kullanırken kişinin merakından ve faydalanma arzusundan yararlanılır. Sosyal bilgisayar korsanları, kurbanın e-postasına bazı ilginç ekler içeren bir mektup gönderir, örneğin bir program için yükseltme, erotik içeriğin ekran koruyucusu, heyecan verici haberler vb. Yöntem, kullanıcıyı bilgisayara virüs bulaştırabilecek bir dosyaya tıklamaya zorlamak için kullanılır. Sonuç olarak, genellikle ekranda yalnızca iki şekilde kapatılabilen afişler görünür: işletim sistemini yeniden yükleyerek veya saldırganlara belirli bir miktar ödeyerek.

bahane

"Pretexting" terimi, kullanıcının önceden hazırlanmış bir bahaneye göre gerçekleştirdiği bir eylem anlamına gelir; senaryo. Amaç, bir kişinin belirli bilgileri vermesi veya belirli bir eylemi gerçekleştirmesidir. Skype, Viber, ICQ ve diğer anlık mesajlaşma programlarında bu tür saldırıların örnekleri olmasına rağmen, çoğu durumda telefon görüşmeleri için bahane kullanılır. Ancak yöntemi uygulamak için, bir şarkıcı veya bilgisayar korsanı yalnızca nesneyi önceden incelemekle kalmaz, aynı zamanda adını, doğum tarihini, çalışma yerini, hesaptaki miktarını vb. Şarkıcı, bu tür detayların yardımıyla kurbanın kendine olan güvenini artırıyor.

"Yol Elma"

Yol elması yöntemi, bir "Truva atı" uyarlamasından oluşur ve bir tür fiziksel depolama ortamının zorunlu kullanımını gerektirir. Sosyal bilgisayar korsanları, ilginç ve/veya benzersiz içeriğe sahip medyayla oynanmış önyüklenebilir flash sürücüler veya diskler yerleştirebilir. Gereken tek şey, kurbanın üzerine, örneğin bir otoparkta bir arabada, bir asansörde bir çantada, vb. Gizlice bir "seyahat elması" yerleştirmektir. Veya bu "meyveyi" kurbanın büyük olasılıkla göreceği ve kendisinin alacağı yere bırakabilirsiniz.

E-dolandırıcılık

Kimlik avı, hassas bilgileri elde etmek için çok yaygın bir yöntemdir. Klasik versiyonda, bu, imzalar ve mühürlerle donatılmış “resmi” bir e-postadır (bir ödeme hizmetinden, bir bankadan, yüksek rütbeli bir kişiden vb.). Muhatap, sahte bir siteye giden bir bağlantıyı takip etmelidir (ayrıca kaynağın "resmiliği ve güvenilirliği" hakkında söylenen her şey vardır) ve örneğin tam ad, ev adresi, telefon numarası, profil adresleri gibi bazı bilgileri girmesi gerekir. sosyal ağlarda, banka numara kartlarında (ve hatta bir CVV kodunda!). Siteye güvenip verileri giren kurban, onları dolandırıcılara gönderir ve bundan sonra ne olacağını tahmin etmek kolaydır.

hemen hemen

Qui Pro Quo yöntemi, çeşitli şirketlerin sistemlerine kötü amaçlı yazılım eklemek için kullanılır. Sosyal bilgisayar korsanları, doğru (bazen herhangi bir) şirketi arar, kendilerini teknik destek çalışanı olarak tanıtır ve bilgisayar sistemindeki herhangi bir teknik arıza için çalışanları sorguya çeker. Arızalar varsa, saldırganlar onları "düzeltmeye" başlar: kurbandan belirli bir komut girmesini isterler, ardından virüs yazılımını başlatmak mümkün olur.

Yukarıdaki sosyal mühendislik yöntemleri pratikte en yaygın olanıdır, ancak başkaları da vardır. Ayrıca, bir kişiyi ve eylemlerini etkilemek için tasarlanmış, ancak tamamen farklı bir algoritmaya göre yapılan özel bir sosyal mühendislik türü de vardır.

tersine sosyal mühendislik

Tersine sosyal mühendislik ve bu alanda uzmanlaşan sosyal bilgisayar korsanları, faaliyetlerini üç yönde oluşturur:

• İnsanları yardım aramaya zorlayan durumlar yaratılır.
• Sorun çözme hizmetlerinin reklamı yapılır (bu, gerçek uzmanların yardımından önce olmayı içerir)
• "Yardım" ve etki ortaya çıkıyor

Bu tür bir sosyal mühendislik durumunda, saldırganlar öncelikle etkilemeyi planladıkları kişi veya insan grubunu inceler. Tutkuları, ilgi alanları, arzuları ve ihtiyaçları araştırılır ve etki, programlar ve diğer elektronik etki yöntemlerinin yardımıyla bunlar aracılığıyla uygulanır. Ayrıca, programlar endişe yaratmamak için önce hatasız çalışmalı ve ancak bundan sonra kötü amaçlı moda geçmelidir.

Tersine sosyal mühendislik örnekleri de nadir değildir ve işte onlardan biri:

Sosyal bilgisayar korsanları, ilgi alanlarına göre belirli bir şirket için bir program geliştirir. Program yavaş etkili bir virüs içerir - üç hafta sonra etkinleştirilir ve sistem arızalanmaya başlar. Yönetim, sorunu çözmeye yardımcı olmak için geliştiricilerle iletişim kuruyor. Böyle bir olay gelişimine hazır olan saldırganlar, "sorunu çözen" gizli bilgilere erişim sağlayan "uzmanlarını" gönderir. Hedefe ulaşıldı.

Geleneksel sosyal mühendisliğin aksine, tersine çevirme daha fazla zaman alır, özel bilgi ve beceriler gerektirir ve daha geniş bir kitleyi etkilemek için kullanılır. Ama etkisi inanılmaz - direnişsiz bir kurban, yani. kendi isteğiyle tüm kartları bilgisayar korsanlarına açar.

Bu nedenle, her türlü sosyal mühendislik neredeyse her zaman kötü niyetle kullanılır. Bazı insanlar, elbette, sosyal sorunları çözmek, sosyal aktiviteyi sürdürmek ve hatta sosyal kurumları değişen koşullara uyarlamak için kullanılabileceğini belirterek faydalarından bahseder. Ancak buna rağmen, en başarılı şekilde aşağıdakiler için kullanılır:

• İnsanları aldatmak ve gizli bilgileri elde etmek
• İnsanları manipüle etmek ve şantaj yapmak
• Daha sonraki yıkımları için şirketlerin çalışmalarının istikrarsızlaştırılması
• Veritabanı hırsızlığı
• Finansal dolandırıcılık
• Rekabetci zeka

Doğal olarak, bu farkedilmeden gidemedi ve toplum mühendisliğine karşı koyma yöntemleri ortaya çıktı.

Sosyal mühendisliğe karşı koruma

Günümüzde büyük şirketler toplum mühendisliğine karşı direnç için her türlü testi sistematik olarak yapmaktadırlar. Sosyal bilgisayar korsanlarının saldırısına uğrayan kişilerin eylemleri neredeyse hiçbir zaman kasıtlı değildir. Ancak bu nedenle tehlikelidirler, çünkü dış tehdide karşı savunmak nispeten kolaysa, iç tehdide karşı savunmak çok daha zordur.

Güvenliği artırmak için şirket yönetimi, özel eğitimler yürütür, çalışanlarının bilgi düzeyini kontrol eder ve ayrıca, insanların sosyal bilgisayar korsanlarının saldırılarına karşı hazırlık derecesini, tepkilerini, vicdanlılıklarını ve dürüstlüklerini belirlemenize olanak tanıyan dahili sabotaj başlatır. Böylece “enfekte” mektuplar E-Mail'e gönderilebilir, Skype veya sosyal ağlarda iletişim kurulabilir.

Sosyal mühendisliğe karşı aynı koruma hem antropojenik hem de teknik olabilir. İlk durumda, insanların dikkati güvenlik konularına çekilir, bu sorunun ciddiyetinin özü aktarılır ve bir güvenlik politikasını telkin etmek için önlemler alınır, bilgi desteğinin korunmasını artıran yöntemler ve eylemler incelenir ve uygulanır. Ancak tüm bunların bir dezavantajı var - tüm bu yöntemler pasiftir ve birçok kişi uyarıları görmezden gelir.

Teknik korumaya gelince, buna bilgiye erişimi ve kullanımını engelleyen araçlar da dahildir. E-postaların ve mesajların İnternet'teki sosyal bilgisayar korsanlarının en “popüler” saldırıları haline geldiğini göz önünde bulundurarak, programcılar gelen tüm verileri filtreleyen özel yazılımlar oluşturur ve bu hem özel posta kutuları hem de dahili postalar için geçerlidir. Filtreler, gelen ve giden mesajların metinlerini analiz eder. Ancak burada bir zorluk var - bu tür yazılımlar, sistemi yavaşlatabilecek ve çökertebilecek sunucuları yükler. Ayrıca, potansiyel olarak tehlikeli mesajların yazılmasının tüm çeşitlerini öngörmek imkansızdır. Ancak teknoloji gelişiyor.

Ve özellikle elde edilen verilerin kullanımını engelleyen araçlar hakkında konuşursak, bunlar ayrılır:

• Kullanıcının çalışma yeri dışında her yerde bilgi kullanımının engellenmesi (doğrulama verileri, elektronik imzalara ve PC bileşenlerinin seri numaralarına, fiziksel ve IP adreslerine bağlıdır)
• Bilgilerin otomatik kullanımını engelleme (buna, parolanın bir resim veya bozuk kısmı olduğu bilinen Captcha da dahildir)

Bu yöntemlerin her ikisi de otomasyon olasılığını engeller ve bilginin değeri ile onu elde etme işi arasındaki dengeyi işe doğru kaydırır. Bu nedenle, şüphelenmeyen kullanıcılar tarafından verilen tüm verilerde bile, sosyal bilgisayar korsanları pratik uygulamalarında ciddi zorluklarla karşılaşmaktadır.

Ve herhangi bir sıradan insan için, sosyal mühendislikten korunmak için, sadece uyanık kalmanızı tavsiye ediyoruz. Bir e-posta mektubu alırken, metni ve bağlantıları dikkatlice okuduğunuzdan emin olun, mektubun içinde ne olduğunu, kimden ve neden geldiğini anlamaya çalışın. Antivirüs kullanmayı unutmayın. Bilinmeyen kişiler bilinmeyen bir numaradan ararsa, kişisel verilerinizi, özellikle de mali durumunuzla ilgili olanları asla vermeyin.

Bu arada bu video kısa da olsa ilginç bir şekilde kendinizi sosyal mühendislikten nasıl koruyacağınızı anlatıyor.

Ve son olarak, dilerseniz konuyu daha detaylı bir şekilde tanıyabilmeniz için, sosyolojik bilgi alanı da dahil olmak üzere, toplum mühendisliği ile ilgili kitaplardan bazılarını size tanıtmak istiyoruz.

Bu kitaplar, yaygın manipülatif tekniklerde ve püf noktalarında nasıl ustalaşılacağına dair pratik tavsiyelerle doludur. Ayrıca sosyal mühendisliğin en etkili yöntemlerini öğrenecek ve bunları nasıl tanıyacağınızı ve saldırılara karşı nasıl savunacağınızı öğreneceksiniz.

Sosyal mühendislik ile ilgili kitaplar:

• Kevin Mitnick "Web'deki Hayalet"
• Kevin Mitnick, William Simon "İstila Sanatı"
• Kevin Mitnick, William Simon "Aldatma Sanatı"
• Chris Kaspersky "Sosyal Mühendisliğin Gizli Silahı"

Herkesin başkalarının eylemlerini kontrol etme sanatında ustalaşabileceğini unutmayın, ancak bu beceriler insanların yararına kullanılmalıdır. Bazen bir kişiye rehberlik etmek ve onu bizim için faydalı olan kararlara zorlamak faydalı ve uygundur. Ancak sosyal bilgisayar korsanlarını ve dolandırıcıları tespit edebilmek, onların kurbanı olmamak için çok daha önemlidir; onlardan biri olmamak çok daha önemlidir. Size bilgelik ve faydalı bir yaşam deneyimi diliyoruz!

Genellikle, sosyal mühendislik, bir kişinin, örneğin para vermek, gizli bilgi sağlamak veya bir şey imzalamak için ihtiyaç duyduğu gibi belirli bir şekilde davranmasını amaçlayan bir dizi tekniktir. Bunu yapabilmek için genellikle insan faktörünü, insanların isteklere, şikayetlere, stres kaynaklarına karşı tepkilerini vb. incelemek gerekir. Çoğu insanın tutum ve tepkilerini bilerek, onlardan belirli eylemleri almak kolaydır.

Sosyal mühendisliğin dolandırıcılıkla ilişkisi ve yasaklanmış bilgileri çıkarmak için nasıl kullanıldığı.

Sosyal mühendisliği bu iki bakış açısından düşünün. Dolandırıcıların özellikle ekonomik zamanlarda her zaman aktif olduğunu fark etmişsinizdir. Bu teknoloji çağında, daha hazırlıklı ve eğitimli hale geliyorlar. Hizmetlerinde psikoloji, sosyal mühendislik, BT teknolojileri ve insanların eylemlerini yönetmeye yardımcı olan diğer birçok özel bilgi vardır. Tabii ki, tüm hilelerini incelemek için yeterli zaman olmayacak, ancak yine de belirlenen ağlara düşmemek için kullandıkları hilelerin ve teknolojilerin temel ilkelerine dikkat etmekte fayda var.

Ne tür insanlar olma olasılığı daha yüksektir? İnsanların ve koşulların kurbanı nasıl olunur? ? Bize ne dersin? Bu konuda ve sadece web sitemizde zaten yazdık. Şimdi kısaca özel bir bilim hakkında - bilgi "ileri" dolandırıcılar tarafından kullanılan - sosyal mühendisler.

Bir bilim olarak sosyal mühendislik.

Sosyal mühendislik, insanların psikolojisi ve kritik durumlardaki davranışları hakkında bilgi içeren oldukça genç bir bilimdir. Sosyal mühendislik aynı zamanda "insan hatalarının kumbarası" olarak da adlandırılabilir, çünkü bu bilim insan faktörü ve kullanımı ile ilgili her şeyi emer.

Bu tür bilgi, bir kişinin davranışının olası varyantlarını tahmin etmeyi ve onu belirli bir tepkiye getirmek için çeşitli durumlar tasarlamayı mümkün kılar. Bir sahtekar - bir toplum mühendisi - tarafından kışkırtılan tepki, bir kişiyi, başlangıçta dolandırıcının amacı olan eylemlere yönlendirir. Amacı ne olabilir? Tabii ki, bilgi almak veya başka birinin bölgesine sızmak veya sadece paranızı almak için. Bu bağlamda sosyal mühendislere sosyal hackerlar da denilmektedir.

Bu toplum mühendisi nasıl bir insan?

Bu kişi, sosyal mühendislikten gelen bilgilere sahiptir ve ustaca kullanır. Bu, kompleksleri, zayıflıkları, önyargıları, alışkanlıkları, refleksleri vb. dikkate alan bir "psikolog" (elbette profesyonel değil). insanların.

Eskiden bir sosyal bilgisayar korsanı olan ve şimdi bir güvenlik danışmanı olan Kevin Mitnick, çeşitli bilgisayar korsanlığı programları bulmaktansa doğru bilgileri hilelerle çekmenin çok daha kolay olduğunu söyledi.

Kendinizi "sosyal bilgisayar korsanlarından" nasıl korursunuz?

Onlar hakkında hiçbir şey bilmiyorsanız, çok zor, neredeyse imkansız olabilir. Ve hilelerini bilseniz bile, tuzağa düşebilirsiniz çünkü onlar sizin spontane tepkileriniz, refleksleriniz, otomatizmleriniz vb. konularda uzmandırlar. Dikkat olmak!

Bu nedenle, oldukça yakın bir zamanda, bu yılın Ocak ayında İnternet tam anlamıyla bu tür haberlerle doluydu:

Bilgisayar korsanlarının hesaplanması basitti - posta listesinin alıcıları, bu yönetimin kınamalarını önlemek için dolandırıcıların talebini yönetim adına yerine getirecek. Ve böylece oldu. Sosyal bilgisayar korsanlarının talimatına göre, Belçika bankası Crelan'ın banka çalışanları, dolandırıcılar için gerekli işlemleri ek kontroller yapmadan gerçekleştirdi. Bilgisayar korsanlarından e-postaya gönderilen mesaj, işlemin acilen tamamlanması için bir talep içeriyordu. Suçlular şirket logolarının ve iyi bilinen alan adlarının kopyalarını kullandıkları için oldukça makul görünüyordu.

Psikologlar, Belçika bankası ile durum öncesinde benzer deneyler yaptılar. Böylece İngiltere'den araştırmacılar, büyük bir şirketin çalışanlarına, şirketlerinin sistem yöneticisi adına mesajlar gönderdiler. Mesaj, ekipmanın planlanmış bir kontrolüyle bağlantılı olarak şifrelerin gönderilmesi talebini içeriyordu. Sonuç üzücüydü - çalışanların çoğu (%75) saldırganların talimatlarını izledi.

Gördüğünüz gibi, insan eylemlerinin programlanması oldukça kolaydır. Üstelik oldukça zeki, eğitimli ve son derece zeki insanlar dolandırıcıların tuzağına düşebilir. Her türden farklı insanın eylemlerini, otomatizmlerini, tepkilerini inceleyen başka insanlar olduğu göz önüne alındığında, burada garip bir şey yok. Çok zeki olanlar dahil.

Sosyal mühendislik yöntemlerini kullanma ÖRNEKLERİ

Bir sosyal mühendis, insanların zihniyetlerini kullanarak kısıtlı bir alana nasıl girdiğini anlatıyor. Güvenlik görevlileri de insandır! Bu kişi (toplum mühendisi) şirket çalışanlarının ne tür rozetlere ihtiyacı olduğunu gözlemlemiş, aynısını kendisi için yapmış, bilgisayardan çıktısını almış ve kurum çalışanları ile birlikte arka kapıdan geçmiştir.

Elbette kapı çipi yoktu ama “tren” yöntemini kullandı. Özü basittir. Kapının önünde bir grup insan biriktiğinde tam kapanmaz ve önden gidenler, peşinden gidenler için kapıyı tutar. Her zamanki nezaket. Sonuçta, bunun da bir çalışan olduğunu rozetten görebilirler. Gardiyanlar, aynı rozetlere sahip bir grup insan görür ve onlara fazla dikkat etmezler. Üstelik duvarda büyük harflerle bir duyuru bile değil, herkesin birer birer geçmesi gerektiğini söyleyen bir afiş asılı. Genel güvenlik adına arkadan yürüyene kapıyı tutamazsınız! Ancak, tanıdıklar şirketi bunu yapmazsa? Bu şirketten kim, insanlardan birine: "Ve sen, lütfen dışarı çık ve anahtarınla ​​(chip) içeri gir, çünkü seni tanımıyorum" diyecek. Bunun olasılığı çok küçüktür. Ama yapmanız gereken tam olarak bu.

Bu nedenle, çalışanların kıskanılacak bir sabitlik ile güvenlik gereksinimlerini ihlal ettiği ve aynı sabitlik ile dolandırıcıların yukarıda açıklanan otomatizmleri kullandığı ortaya çıktı. Ne kadar uyarılır ve öğretilirse öğretilsin, dolandırıcıların izinden gidenler her zaman olacaktır. Sosyal mühendisler bunun çok iyi farkındadır ve bu nedenle hangi numarayı bulabilecekleri konusunda fazla kafa yormazlar. Sadece aynı yöntemleri kullanırlar. Ne de olsa insanlardaki otomatizm pek değişmez, bu yüzden otomatizmdir. Kendin ol. Stereotipleştirmeyin! Her zaman beklenmedik veya korkutucu mesajlara karşı dikkatli olun. Uyarı notlarına dikkat edin.

En çok kullanılan sosyal mühendislik teknikleri, acıma, korku ve çabuk zengin olma arzusu gibi insan zayıflıklarına dayanmaktadır. Acıma hakkında konuşursak, bilgisayar korsanları insanların bu özelliğini çeşitli şekillerde kullanırlar. Örneğin, arkadaşlarınız veya akrabalarınız adına telefonla veya sosyal ağlar aracılığıyla yardım isteyen mesajlar gönderirler.

Sosyal mühendislik / toplum mühendisliğinin temel yöntem ve teknikleri

Tüm toplum mühendisliği yöntemleri insan faktörüne, yani insan ruhunun özelliklerine dayanır: panik yapmak, belirli durumlarda aynı şekilde tepki vermek, uyanıklığı kaybetmek, yorulmak, sempati duymak, deneyimlemek. korku ve çok daha fazlası. Örneğin, işte tekniklerden sadece birkaçı ve toplum mühendisinin burada kullandığı psişenin hangi özelliğini bağımsız olarak belirlemeye çalışıyorsunuz:

1. 1. Arsalardan biri şöyle olabilir: bir arkadaş şehir dışında, şu anda kendini arayamıyor - ciddi bir sorun, acilen paraya ihtiyaç var. Hesaba veya banka kartı numarasına gönderilmesini ister. Herkesin olumlu tepki vermesine izin vermeyin, ancak yanıt verenlerin yalnızca belirli bir yüzdesi, hacker bunun böyle olacağını bilir. Umurunda değil, çünkü programladığı mesajlar makine tarafından gönderiliyor. Bu SMS'lerin nereden geldiğine bakmadan acil yardım edenler var. Sonuçta, bir arkadaşın başı belada .. Ve aciliyet nedeniyle çoğu kaynağı kontrol etmiyor.
   2. Aynı hesaplamayla bir süre önce birçok kadına başı dertte olan oğlundan SMS gönderilmişti. Elbette annesi bu sorunu çözmek için para gönderene kadar kendisi geri arayamaz. Ve anneler gönderdi, nereye ve kime olduğu bilinmiyor. Hiçbir şeyi tekrar kontrol etmeden (böylece oğlu sordu).
   3. Ayrıca, arkadaşları adına kişisel bilgileri cezbederler, yorumlarla kötü niyetli bağlantılar gönderirler. Örneğin: “Merhaba, gülmek ister misin? Bu bağlantıyı takip ederek ilginizi çeken herhangi bir telefon görüşmesini (veya SMS yazışmasını) dinleyebilirsiniz. Veya bunun gibi bir şey, asıl mesele linke tıklamanız.

Alıcı için "çalıştıklarında" sosyal mühendislerin cephaneliğinde de bir seçenek var. Birçok kullanıcı, örneğin Avito'da eşyalarını satışa çıkarır. Böyle bir “alıcı” daha pahalı bir şey arıyor (arabalar, evler vb.), Gerçek bir satıcıyla iletişim kuruyor ve ucuz olmayan şeyinizi satın alma arzusunu ilan ediyor. Tabii ki, satıcı mutlu. Vay canına, ne çabuk, her şeyin nasıl satıldığını anlatacak zamanım olmadı. Zaten aklında gelirini sayıyor. Doğru, alıcı üzülerek, şeyi ancak iki veya üç gün sonra arayabileceğini bildiriyor. Peki, bu değerli şeyi başkasına satmayasınız diye, sizden reklamı Avito'dan kaldırmanızı istiyor ve bir garanti için bugün maliyetinin yarısını hatta %75'ini ödemeye hazır. “Elbette!” Diye düşünüyorsunuz, “Zevkle! Bırak ödesin! “Alıcı” hangi karta para transfer edebileceğini sorar. Ve bu yabancıya tüm kart detaylarını anlat. Sadece onun parasını almak yerine tüm birikimlerinizi kaybedersiniz. Ayrıca telefonunuza gelecek kodu söylemenizi de isteyebilir.

Çabucak ve fazla çaba harcamadan zengin olma arzusu gibi bir özellik hakkında konuşursak, o zaman bu, toplum mühendislerinin çok uzun süre icat edip icat edebilecekleri bir ahlaksızlıktır. Ne de olsa, insanlar kendileri bu "maceraları" arıyorlar ve hatta aynı komisyona adım atmaya hazırlar. Bu nedenle, dolandırıcılar tasvir etmeye devam ediyor: ya çılgın hediyeler veren tanınmış bir marka; sonra cazip indirimler vaat eden bir şirket; sonra bir bankanın düşük bir yüzdeyle kredi almayı teklif etmesi; o zaman internette veya başka bir yerde kolay para kazanmanıza yardımcı olacak bir işveren... Sadece bunlardan herhangi birini almak için önce kart bilgilerini sağlamanız gerekir... Sonuçta, yeni kurulmuş bir işveren veya iyi bir bankanın yapması gerekir. sana bir yere para aktar... Kart bilgilerini bir yabancıya bildirdiler, içeriğine veda edebilirsin.

Neden bunu bilmen gerekiyor?

Son zamanlarda sosyal mühendisliğe ilgi çok arttı. Bu, bu talebin İnternet'teki popülaritesinden görülebilir. Bu, bilgisayar korsanlarının sayısının ve saldırılarına karşı koruma sağlayan programlara olan talebin yalnızca artacağı anlamına gelir. Ve sadece bilgisayar korsanları değil, her türden dolandırıcılar kendi amaçları için sosyal mühendislik yöntemlerini kullanırlar.

Bilgilenmek, sonra silahlanmak için bu konuyla ilgili literatürü okuyabilirsiniz:

Sosyal mühendislik ve sosyal hackerlar. Maksim Kuznetsov, İgor Simdyanov.

Dikkat olmak! Kendinizi kandırmayın.

Sosyal mühendislik, psikoloji bilgisini ve insan faktörünü kullanır. Son derece dikkatli olun, sosyal hackerlar sizi çok iyi tanıyor.

Ayrıca toplum mühendisliğini ve onun arkasındaki insanların kullandığı kurnaz hileleri bilip bilmediğinizi bilmek de ilginç olurdu.

Saygılarımla, site Yeni makaleler almak istiyorsanız bültenimize abone olun.

Bu yazımızda “toplum mühendisliği” kavramına odaklanacağız. Burada general ele alınacak ve bu kavramın kurucusunun kim olduğunu da öğreneceğiz. Saldırganlar tarafından kullanılan ana sosyal mühendislik yöntemleri hakkında ayrıca konuşalım.

Tanıtım

Teknik bir araç seti kullanmadan insan davranışını düzeltmenize ve faaliyetlerini yönetmenize izin veren yöntemler, genel sosyal mühendislik kavramını oluşturur. Tüm yöntemler, insan faktörünün herhangi bir sistemin en yıkıcı zayıflığı olduğu iddiasına dayanmaktadır. Genellikle bu kavram, suçlunun özne-kurbandan dürüst olmayan bir şekilde bilgi elde etmeyi amaçlayan bir eylem gerçekleştirdiği yasadışı faaliyet düzeyinde düşünülür. Örneğin, bir tür manipülasyon olabilir. Ancak sosyal mühendislik, insanlar tarafından meşru faaliyetlerde de kullanılmaktadır. Günümüzde en çok hassas veya hassas bilgiler içeren kaynaklara erişmek için kullanılmaktadır.

Kurucu

Sosyal mühendisliğin kurucusu Kevin Mitnick'tir. Ancak kavramın kendisi bize sosyolojiden geldi. Uygulamalı sosyal tarafından kullanılan genel bir yaklaşım kümesini ifade eder. Bilimler, insan davranışını belirleyebilen ve onun üzerinde kontrol uygulayabilen organizasyon yapısını değiştirmeye odaklandı. Kevin Mitnick, sosyalliği popülerleştiren kişi olduğu için bu bilimin kurucusu olarak kabul edilebilir. 21. yüzyılın ilk on yılında mühendislik. Kevin'in kendisi daha önce çok çeşitli veritabanlarına kendini adamış bir bilgisayar korsanıydı. İnsan faktörünün, herhangi bir karmaşıklık ve organizasyon düzeyindeki bir sistemin en savunmasız noktası olduğunu savundu.

Gizli verileri kullanma haklarını elde etmenin (çoğunlukla yasa dışı) bir yolu olarak sosyal mühendislik yöntemlerinden bahsedersek, bunların çok uzun süredir bilindiğini söyleyebiliriz. Ancak, anlamlarının tüm önemini ve uygulamalarının özelliklerini aktarabilen K. Mitnick'ti.

Kimlik avı ve var olmayan bağlantılar

Herhangi bir sosyal mühendislik tekniği, bilişsel çarpıtmaların varlığına dayanır. Davranış hataları, gelecekte önemli verileri elde etmeyi amaçlayan bir saldırı oluşturabilecek yetenekli bir mühendisin elinde bir "araç" haline gelir. Sosyal mühendislik yöntemleri arasında kimlik avı ve var olmayan bağlantılar ayırt edilir.

Kimlik avı, kullanıcı adı ve şifre gibi kişisel bilgileri elde etmek için tasarlanmış çevrimiçi bir dolandırıcılıktır.

Varolmayan bağlantı - alıcıyı, üzerine tıklayarak ve belirli bir siteyi ziyaret ederek elde edilebilecek belirli avantajlarla cezbedecek bir bağlantının kullanılması. Çoğu zaman, büyük şirketlerin adları kullanılır ve adlarında ince ayarlamalar yapılır. Kurban, bağlantıya tıklayarak kişisel verilerini "gönüllü olarak" saldırgana aktaracaktır.

Markalar, kusurlu antivirüsler ve sahte bir piyango kullanan yöntemler

Sosyal mühendislik ayrıca marka dolandırıcılığı, kusurlu antivirüsler ve sahte piyangolar kullanır.

"Dolandırıcılık ve markalar", kimlik avı bölümüne de ait olan bir aldatma yöntemidir. Buna, büyük ve/veya "abartılı" bir şirketin adını içeren e-postalar ve web siteleri dahildir. Belirli bir yarışmada zafer bildirimi ile sayfalarından mesajlar gönderilir. Ardından, önemli hesap bilgilerini girmeniz ve çalmanız gerekir. Ayrıca, bu tür dolandırıcılık telefon üzerinden de gerçekleştirilebilir.

Sahte piyango - kurbana (a) piyangoyu kazandığı (a) metniyle bir mesajın gönderildiği bir yöntem. Çoğu zaman, uyarı büyük şirketlerin adları kullanılarak maskelenir.

Sahte antivirüsler yazılım dolandırıcılığıdır. Antivirüslere benzeyen programlar kullanır. Ancak gerçekte, belirli bir tehdit hakkında yanlış bildirimlerin üretilmesine yol açarlar. Ayrıca kullanıcıları işlemler alanına çekmeye çalışırlar.

Vishing, phreaking ve bahane

Yeni başlayanlar için sosyal mühendislikten bahsetmişken, vishing, phreaking ve bahanelerden de bahsetmeliyiz.

Vishing, telefon ağlarını kullanan bir aldatma biçimidir. Amacı, bankacılık yapısının veya herhangi bir diğer IVR sisteminin "resmi çağrısını" yeniden oluşturmak olan önceden kaydedilmiş sesli mesajları kullanır. Çoğu zaman, herhangi bir bilgiyi doğrulamak için bir kullanıcı adı ve / veya şifre girmeleri istenir. Başka bir deyişle, sistem, kullanıcı tarafından PIN'ler veya şifreler kullanılarak kimlik doğrulaması gerektirir.

Phreaking, telefon dolandırıcılığının başka bir şeklidir. Ses manipülasyonu ve tonlu arama kullanan bir bilgisayar korsanlığı sistemidir.

Bahane, özü başka bir konuyu temsil etmek olan önceden tasarlanmış bir plan kullanan bir saldırıdır. Dikkatli bir hazırlık gerektirdiği için hile yapmanın son derece zor bir yolu.

Quid Pro Quo ve Yol Elma Yöntemi

Sosyal mühendislik teorisi, hem aldatma hem de manipülasyon yöntemlerini ve bunlarla başa çıkma yollarını içeren çok yönlü bir veritabanıdır. Davetsiz misafirlerin ana görevi, kural olarak, değerli bilgileri avlamaktır.

Diğer dolandırıcılık türleri arasında şunlar yer alır: karşılıksız dolandırıcılık, yol elma yöntemi, omuz sörfü, açık kaynak kullanımı ve ters sosyal medya. mühendislik.

Quid-pro-quo (lat. - “bunun için”) - bir şirketten veya firmadan bilgi alma girişimi. Bu, onunla telefonla iletişim kurarak veya e-posta ile mesaj göndererek olur. Çoğu zaman, saldırganlar bunların çalışanları gibi davranır. çalışanın işyerinde belirli bir sorunun varlığını bildiren destek. Ardından, örneğin yazılım yükleyerek bunu düzeltmenin yollarını önerirler. Yazılımın kusurlu olduğu ortaya çıkıyor ve suçu teşvik ediyor.

"Yol elma", Truva atı fikrine dayanan bir saldırı yöntemidir. Özü, fiziksel bir ortamın kullanılmasında ve bilginin ikame edilmesinde yatmaktadır. Örneğin, kurbanın dikkatini çekecek, dosyayı açma ve kullanma arzusuna neden olacak veya flash sürücü belgelerinde belirtilen bağlantıları takip edecek belirli bir "iyi" olan bir hafıza kartı sağlayabilirler. "Yol elması" nesnesi sosyal mekanlara bırakılır ve saldırganın planı bazı özneler tarafından uygulanana kadar beklenir.

Açık kaynaklardan bilgi toplamak ve aramak, veri toplamanın psikoloji yöntemlerine, küçük şeyleri fark etme yeteneğine ve örneğin bir sosyal ağdaki sayfalar gibi mevcut verilerin analizine dayandığı bir aldatmacadır. Bu, sosyal mühendisliğin oldukça yeni bir yoludur.

Omuz sörfü ve ters sosyal. mühendislik

"Omuz sörfü" kavramı, kendisini kelimenin tam anlamıyla öznenin canlı olarak gözlemlenmesi olarak tanımlar. Bu tür veri avcılığı ile saldırgan kafe, havaalanı, tren istasyonu gibi halka açık yerlere giderek insanları takip ediyor.

Bu yöntemi hafife almayın, çünkü birçok anket ve araştırma, dikkatli bir kişinin yalnızca gözlem yaparak çok sayıda gizli bilgi alabileceğini göstermektedir.

Sosyal mühendislik (bir sosyolojik bilgi düzeyi olarak) verileri "yakalamak" için bir araçtır. Kurbanın kendisinin saldırgana gerekli bilgileri sunacağı verileri elde etmenin yolları vardır. Bununla birlikte, toplumun yararına da hizmet edebilir.

ters sosyal mühendislik bu bilimin bir başka yöntemidir. Bu terimin kullanımı yukarıda bahsettiğimiz durumda uygun hale gelir: Kurbanın kendisi saldırgana gerekli bilgileri sunacaktır. Bu açıklama saçma olarak algılanmamalıdır. Gerçek şu ki, belirli faaliyet alanlarında yetkiye sahip özneler, genellikle öznenin kendi kararıyla kimlik verilerine erişim sağlar. Burada güven esastır.

Hatırlamak önemli! Örneğin, destek personeli kullanıcıdan asla parola istemez.

Bilgi ve koruma

Sosyal mühendislik eğitimi, bir birey tarafından hem kişisel inisiyatif bazında hem de özel eğitim programlarında kullanılan faydalar temelinde gerçekleştirilebilir.

Suçlular, manipülasyondan tembelliğe, saflık, kullanıcının nezaketine vb. kadar çok çeşitli aldatma türleri kullanabilirler. ) aldatıldı. Çeşitli firmalar ve şirketler bu tehlike seviyesinde verilerini korumak için genellikle genel bilgilerin değerlendirilmesi ile meşgul olurlar. Ardından, gerekli koruma önlemleri güvenlik politikasına entegre edilir.

Örnekler

Küresel kimlik avı postaları alanındaki bir sosyal mühendislik (eyleminin) örneği, 2003 yılında meydana gelen bir olaydır. Bu dolandırıcılık sırasında eBay kullanıcılarına e-postalar gönderildi. Kendilerine ait hesapların bloke edildiğini iddia ettiler. Engellemeyi iptal etmek için hesap verilerini yeniden girmek gerekiyordu. Ancak mektuplar sahteydi. Resmi sayfayla aynı, ancak sahte bir sayfaya çevrildiler. Uzman tahminlerine göre, kayıp çok önemli değildi (bir milyon dolardan az).

sorumluluğun tanımı

Sosyal mühendislik kullanımı bazı durumlarda cezalandırılabilir. Amerika Birleşik Devletleri gibi bazı ülkelerde, mazeret gösterme (başka bir kişinin kimliğine bürünerek aldatma) mahremiyet ihlali ile eşdeğerdir. Ancak, mazeret sırasında elde edilen bilgilerin kişi veya kuruluş açısından gizli olması durumunda bu durum kanunen cezalandırılabilir. Bir telefon görüşmesinin kaydedilmesi (bir sosyal mühendislik yöntemi olarak) da yasa gereğidir ve bireyler için 250.000 ABD Doları para cezası veya on yıla kadar hapis cezası gerektirir. kişiler. Tüzel kişilerin 500.000 ABD Doları ödemesi gerekir; süre aynı kalır.