Sosyal mühendislik nedir. Sosyal mühendislik: doğru yalan söylemeyi öğrenmek

sosyal mühendislik

sosyal mühendislik teknik araçlar kullanılmadan bilgiye veya bilgi depolama sistemlerine yetkisiz erişim yöntemidir. Diğer bilgisayar korsanları ve krakerler gibi sosyal mühendislerin temel amacı, bilgileri, şifreleri, kredi kartı bilgilerini vb. çalmak için güvenli sistemlere erişim sağlamaktır. Basit hacklemeden temel farkı, bu durumda saldırı nesnesi olarak makinenin değil operatörünün seçilmesidir. Bu nedenle, sosyal mühendisliğin tüm yöntem ve teknikleri, son derece yıkıcı olarak kabul edilen insan faktörünün zayıf yönlerinin kullanımına dayanmaktadır, çünkü saldırgan, örneğin düzenli bir telefon görüşmesi yoluyla veya organizasyona sızarak bilgi alır. çalışanının kisvesi. Bu tür saldırılara karşı korunmak için en yaygın dolandırıcılık türlerinden haberdar olmalı, saldırganların gerçekte ne istediğini anlamalı ve zamanında uygun bir güvenlik politikası oluşturmalısınız.

Hikaye

"Sosyal mühendislik" kavramının nispeten yakın zamanda ortaya çıkmasına rağmen, bir biçimde veya başka bir şekilde insanlar tekniklerini yüzyıllardır kullanmışlardır. Antik Yunan ve Roma'da, muhataplarını bariz yanlışlarına çeşitli şekillerde ikna edebilen insanlara çok saygı duyuldu. Liderler adına konuşarak diplomatik müzakereler yürüttüler. Yalanları, iltifatları ve avantajlı argümanları ustaca kullanarak, genellikle kılıcın yardımı olmadan çözülmesi imkansız görünen sorunları çözdüler. Casuslar arasında toplum mühendisliği her zaman ana silah olmuştur. Başka biri gibi davranan KGB ve CIA ajanları, gizli devlet sırlarını ortaya çıkarabilir. 70'lerin başında, dolandırıcılığın en parlak döneminde, bazı telefon holiganları telekom operatörlerini aradı ve şirketlerin teknik personelinden gizli bilgileri almaya çalıştı. Çeşitli hile deneylerinden sonra, 70'lerin sonunda, korsanlar, eğitimsiz operatörleri manipüle etme tekniklerinde o kadar ustalaşmışlardı ki, onlardan istedikleri hemen hemen her şeyi kolayca öğrenebiliyorlardı.

Sosyal mühendisliğin ilke ve teknikleri

Sosyal mühendislerin kullandığı birkaç yaygın teknik ve saldırı türü vardır. Bu tekniklerin tümü, bilişsel (ayrıca bkz. Bilişsel) önyargılar olarak bilinen insan karar verme özelliklerine dayanmaktadır. Bu önyargılar, her bir vaka için en uygun aldatma stratejisini oluşturmak için çeşitli kombinasyonlarda kullanılır. Ancak tüm bu yöntemlerin ortak bir özelliği, bir kişiyi, kendisi için yararlı olmayan ve bir toplum mühendisi için gerekli olan bazı eylemleri gerçekleştirmeye zorlamak için yanıltıcıdır. İstenen sonucu elde etmek için saldırgan çeşitli taktikler kullanır: başka bir kişinin kimliğine bürünmek, dikkati dağıtmak, psikolojik stresi artırmak vb. Aldatmanın nihai hedefleri de çok çeşitli olabilir.

Sosyal Mühendislik Teknikleri

bahane

Pretexting, önceden hazırlanmış belirli bir senaryoya (bahane) göre gerçekleştirilen bir dizi eylemdir. Bu teknik, telefon, Skype vb. gibi sesli araçların kullanımını içerir. ihtiyacınız olan bilgiyi almak için. Tipik olarak, üçüncü taraf gibi davranarak veya yardıma ihtiyacı olan biri gibi davranarak, saldırgan kurbandan bir parola sağlamasını veya bir kimlik avı web sayfasında oturum açmasını ister ve böylece hedefi gerekli eylemi yapmaya veya belirli bilgileri sağlamaya zorlar. Çoğu durumda, bu teknik, saldırının hedefi hakkında bazı başlangıç ​​verileri gerektirir (örneğin, kişisel veriler: doğum tarihleri, telefon numaraları, hesap numaraları vb.) En yaygın strateji, ilk başta küçük sorgular kullanmak ve bundan bahsetmektir. organizasyondaki gerçek kişilerin isimleri. Daha sonra, konuşma sırasında saldırgan yardıma ihtiyacı olduğunu açıklar (çoğu kişi şüpheli olarak algılanmayan görevleri yerine getirebilecek durumda ve isteklidir). Bir güven ilişkisi kurulduğunda, dolandırıcı daha önemli ve önemli bir şey isteyebilir.

E-dolandırıcılık

"Hesabın yeniden etkinleştirilmesi" talebinde bulunan bir e-posta hizmetinden gönderilen bir kimlik avı e-postası örneği

Kimlik avı (İngilizce kimlik avı, balık avından - balık avından, balık avından), amacı gizli kullanıcı verilerine - oturum açma bilgilerine ve şifrelere erişim sağlamak olan bir tür İnternet dolandırıcılığıdır. Belki de bu, bugüne kadarki en popüler sosyal mühendislik şemasıdır. Hiçbir önemli kişisel veri ihlali, onu takip eden bir kimlik avı e-postası dalgası olmadan tamamlanmış sayılmaz. Kimlik avının amacı, gizli bilgileri yasa dışı olarak elde etmektir. Kimlik avı saldırısının en çarpıcı örneği, mağdura e-posta yoluyla gönderilen ve bir bankadan veya ödeme sisteminden gelen ve belirli bilgilerin veya belirli eylemlerin doğrulanmasını gerektiren resmi bir mektup olarak sahte bir mesajdır. Sebepler en çeşitli olarak adlandırılabilir. Bu, veri kaybı, sistem hatası vb. olabilir. Bu tür e-postalar genellikle, tam olarak resmi sayfaya benzeyen sahte bir web sayfasına bağlantı içerir ve gizli bilgileri girmenizi gerektiren bir form içerir.

Küresel bir kimlik avı dolandırıcılığının en kötü bilinen örneklerinden biri, binlerce eBay kullanıcısının, hesaplarının askıya alındığını ve kilidini açmak için kredi kartı bilgilerini güncellemeleri gerektiğini iddia eden e-postalar aldığı 2003 dolandırıcılığıdır. Bu e-postaların tümü, tam olarak resmi sayfaya benzeyen sahte bir web sayfasına yönlendiren bir bağlantı içeriyordu. Uzmanlara göre, bu aldatmacadan kaynaklanan kayıplar birkaç yüz bin doları buldu.

Phishing saldırısı nasıl anlaşılır?

Neredeyse her gün yeni dolandırıcılıklar ortaya çıkıyor. Çoğu insan, dolandırıcılık mesajlarını kendi kendine ayırt etmeyi öğrenebilir ve bazı özelliklerine aşina olabilir. Kimlik avı iletileri genellikle şunları içerir:

• kullanıcı banka hesaplarını kapatmak gibi taciz edici bilgiler veya tehditler.
• çok az çabayla veya hiç çaba göstermeden büyük nakit ödüller vaat ediyor.
• hayır kurumları adına gönüllü bağış talepleri.
• dil bilgisi, noktalama ve yazım hataları.

Popüler Kimlik Avı Şemaları

En popüler kimlik avı dolandırıcılıkları aşağıda açıklanmıştır.

Tanınmış şirketlerin markalarını kullanarak dolandırıcılık

Bu kimlik avı dolandırıcılıkları, büyük veya tanınmış şirketlerin adlarını içeren sahte e-posta iletileri veya web siteleri kullanır. Mesajlar, şirket tarafından düzenlenen bir yarışmayı kazandığınız için tebrikler, kimlik bilgilerinizi veya şifrenizi acilen değiştirmenizi içerebilir. Teknik destek hizmeti adına benzer dolandırıcılık planları telefon üzerinden de gerçekleştirilebilir.

Sahte piyangolar

Kullanıcı, tanınmış bir şirket tarafından düzenlenen piyangoyu kazandığına dair mesajlar alabilir. Dışarıdan, bu mesajlar, şirketin üst düzey çalışanlarından biri adına gönderilmiş gibi görünebilir.

Sahte antivirüs ve güvenlik yazılımı

IVR veya telefonla kimlik avı

IVR sistemlerinin çalışma prensibi

hemen hemen

Quid pro quo (Latince Quid pro quo - "bunun için"), İngilizce'de "quid pro quo" anlamında yaygın olarak kullanılan bir kısaltmadır. Bu tür bir saldırı, bir saldırganın kurumsal bir telefon kullanarak bir şirkete yaptığı aramayı içerir. Çoğu durumda, saldırgan teknik destek görevlisi gibi davranır ve herhangi bir teknik sorun olup olmadığını sorar. Teknik sorunları "çözme" sürecinde, dolandırıcı, hedefi, bilgisayar korsanının kullanıcının makinesine kötü amaçlı yazılım çalıştırmasına veya yüklemesine izin veren komutları girmeye "zorlar".

Truva atı

Bazen Truva atlarının kullanımı, belirli bilgisayarlara, ağlara veya kaynaklara yönelik planlanmış çok aşamalı bir saldırının yalnızca bir parçasıdır.

Truva Atı Türleri

Truva atları genellikle kötü amaçlar için geliştirilir. Truva atlarının sisteme nasıl sızdığı ve sisteme nasıl zarar verdiğine göre kategorilere ayrıldıkları bir sınıflandırma vardır. 5 ana tip vardır:

• uzaktan erişim
• veri imhası
• yükleyici
• sunucu
• güvenlik programı devre dışı bırakıcı

Hedefler

Bir Truva Atı'nın amacı şunlar olabilir:

• dosya yükleme ve indirme
• sahte web sitelerine, sohbet odalarına veya diğer kayıt sitelerine giden yanlış bağlantıları kopyalamak
• kullanıcının çalışmasına müdahale
• Kaynaklara yetkisiz erişim için kimlik doğrulama bilgileri de dahil olmak üzere değerli veya gizli verilerin çalınması, suç amaçlı kullanılabilecek banka hesaplarıyla ilgili ayrıntıların yakalanması
• virüsler gibi diğer kötü amaçlı yazılımların dağıtımı
• verilerin (bir diskteki verilerin silinmesi veya üzerine yazılması, dosyalarda fark edilmesi zor hasarlar) ve ekipmanın imhası, bilgisayar sistemlerine, ağlara hizmet vermeyi reddetme veya devre dışı bırakma
• e-posta adreslerini toplamak ve bunları spam göndermek için kullanmak
• örneğin, web sitelerini ziyaret etme alışkanlığı gibi, kullanıcıyı gözetlemek ve bilgileri üçüncü taraflara gizlice iletmek
• şifreler ve kredi kartı numaraları gibi bilgileri çalmak için tuş vuruşlarını kaydetme
• anti-virüs programlarının ve güvenlik duvarlarının çalışmasının devre dışı bırakılması veya müdahalesi

Kılık değiştirmek

Birçok Truva atı, bilgisi dışında kullanıcıların bilgisayarlarındadır. Bazen Truva atları Kayıt Defterine kaydedilir ve bu da işletim sisteminin başlangıcında otomatik olarak başlatılmasına yol açar. Truva atları yasal dosyalarla da birleştirilebilir. Bir kullanıcı böyle bir dosyayı açtığında veya bir uygulamayı başlattığında, onunla birlikte Truva Atı da başlatılır.

Truva atı nasıl çalışır?

Truva atları genellikle iki bölümden oluşur: İstemci ve Sunucu. Sunucu, kurban makinede çalışır ve İstemciden gelen bağlantıları dinler. Sunucu çalışırken, İstemciden bağlantı arayan bir veya birden çok bağlantı noktasını izler. Saldırganın Sunucuya bağlanabilmesi için üzerinde çalıştığı makinenin IP adresini bilmesi gerekir. Bazı Truva atları, kurban makinenin IP adresini e-posta veya başka yollarla saldırgana gönderir. Sunucu ile bağlantı kurulur kurulmaz, İstemci ona Sunucunun yürüteceği komutlar gönderebilir. Şu anda NAT teknolojisi sayesinde çoğu bilgisayara harici IP adresi üzerinden erişmek mümkün değil. Bu nedenle, günümüzde birçok Truva atı, saldırganın kurbana bağlanmaya çalışması yerine, bağlantı bağlantılarını kabul etmekten sorumlu olan saldırganın bilgisayarına bağlanmaktadır. Birçok modern Truva atı, kullanıcıların bilgisayarlarındaki güvenlik duvarlarını kolayca atlayabilir.

Açık kaynaklardan bilgi toplama

Sosyal mühendislik tekniklerinin kullanımı sadece psikoloji bilgisini değil, aynı zamanda bir kişi hakkında gerekli bilgileri toplama becerisini de gerektirir. Bu tür bilgileri elde etmenin nispeten yeni bir yolu, açık kaynaklardan, özellikle de sosyal ağlardan toplamaktı.Örneğin, livejournal, Odnoklassniki, Vkontakte gibi siteler, insanların saklamaya bile çalışmadığı çok büyük miktarda veri içeriyor. Kural olarak, kullanıcılar güvenlik sorunlarına gereken önemi vermez, verileri ve bilgileri bir saldırgan tarafından kullanılabilecek serbestçe kullanılabilir bırakır.

Açıklayıcı bir örnek, Eugene Kaspersky'nin oğlunun kaçırılmasının hikayesidir. Soruşturma sırasında suçluların, sosyal ağdaki sayfadaki notlarından gencin günün programını ve rotalarını öğrendiği tespit edildi.

Kullanıcı, bir sosyal ağdaki sayfasındaki bilgilere erişimi kısıtlayarak bile, bunun asla dolandırıcıların eline geçmeyeceğinden emin olamaz. Örneğin, Brezilyalı bir bilgisayar güvenliği araştırmacısı, sosyal mühendislik tekniklerini kullanarak herhangi bir Facebook kullanıcısının 24 saat içinde arkadaşı olmanın mümkün olduğunu gösterdi. Deney sırasında, araştırmacı Nelson Novaes Neto bir "kurban" seçti ve çevresinden bir kişinin - patronunun - sahte bir hesabını yarattı. Neto, önce kurbanın patronunun arkadaşlarına, ardından doğrudan arkadaşlarına arkadaşlık istekleri gönderdi. 7.5 saat sonra araştırmacı “kurban”dan bir arkadaş eklemesi elde etti. Böylece araştırmacı, kullanıcının yalnızca arkadaşlarıyla paylaştığı kişisel bilgilerine erişim sağladı.

yol elması

Bu saldırı yöntemi Truva atının bir uyarlamasıdır ve fiziksel medya kullanımından oluşur. Saldırgan, "enfekte" veya flaşı, ev sahibinin kolayca bulunabileceği bir yere (tuvalet, asansör, park yeri) yerleştirir. Taşıyıcı, resmi olarak taklit edilir ve beraberinde merak uyandırmak için tasarlanmış bir imza eşlik eder. Örneğin, kurumsal bir logo ve şirketin resmi web sitesine bir bağlantı ile donatılmış bir dolandırıcı, "Yönetim ekibinin maaşı" yazısını sağlayarak kusar. Disk asansör katında veya lobide bırakılabilir. Bir çalışan, merakını gidermek için bilmeden bir diski alıp bilgisayara takabilir.

Tersine sosyal mühendislik

Tersine sosyal mühendislik, kurbanın kendisi saldırgana ihtiyaç duyduğu bilgiyi sunduğunda söz edilir. Saçma görünebilir, ancak gerçekte, teknik veya sosyal otorite figürleri genellikle kullanıcı kimliklerini, şifreleri ve diğer hassas kişisel bilgileri, sırf hiç kimse bunların bütünlüğünden şüphe duymadığı için elde eder. Örneğin, yardım masası çalışanları hiçbir zaman kullanıcılardan kimlik veya parola istemez; sorunları çözmek için bu bilgilere ihtiyaç duymazlar. Ancak birçok kullanıcı, sorunların bir an önce çözülmesi için bu hassas bilgileri gönüllü olarak paylaşmaktadır. Saldırganın bunu sormasına bile gerek olmadığı ortaya çıktı.

Aşağıdaki basit senaryo tersine sosyal mühendislik örneğidir. Saldırgan, kurbanla birlikte çalışarak kurbanın bilgisayarındaki bir dosyanın adını değiştirir veya onu farklı bir dizine taşır. Kurban dosyanın eksik olduğunu fark ettiğinde, saldırgan onu düzeltebileceğini iddia eder. İşi daha hızlı tamamlamak veya bilgi kaybı nedeniyle cezadan kaçınmak isteyen mağdur bu teklifi kabul eder. Saldırgan, sorunu çözmenin tek yolunun kurbanın kimlik bilgileriyle oturum açmak olduğunu iddia ediyor. Şimdi kurban, saldırgandan dosyayı kurtarmaya çalışmak için kendi adı altında oturum açmasını istiyor. Saldırgan isteksizce kabul eder ve dosyayı kurtarır, yol boyunca kurbanın kimliğini ve şifresini çalar. Saldırıyı başarıyla gerçekleştirdikten sonra itibarını bile geliştirdi ve bundan sonra diğer meslektaşlarının yardım için ona dönmesi oldukça olası. Bu yaklaşım, normal destek hizmeti prosedürlerine müdahale etmez ve saldırganın yakalanmasını zorlaştırır.

Önemli sosyal mühendisler

Kevin Mitnick

Kevin Mitnick. Dünyaca ünlü hacker ve güvenlik danışmanı

Tarihin en ünlü toplum mühendislerinden biri Kevin Mitnick'tir. Dünyaca ünlü bir bilgisayar korsanı ve güvenlik danışmanı olarak Mitnick, aynı zamanda bilgisayar güvenliği üzerine, öncelikle sosyal mühendislik ve psikolojik manipülasyon tekniklerine odaklanan çok sayıda kitabın yazarıdır. 2002 yılında, yazarlığı altında, sosyal mühendislik kullanımının gerçek hikayelerini anlatan "Aldatma Sanatı" kitabı yayınlandı. Kevin Mitnick, hile yaparak şifre almanın bir güvenlik sistemine girmeye çalışmaktan çok daha kolay olduğunu savundu.

Bedir kardeşler

Mundir, Mushid ve Shadi Badir kardeşler doğuştan kör olmalarına rağmen, 1990'larda İsrail'de toplum mühendisliği ve sahte ses kullanarak birçok büyük dolandırıcılık planını gerçekleştirmeyi başardılar. Bir TV röportajında, "Sadece telefon, elektrik ve dizüstü bilgisayar kullanmayanlar ağ saldırılarına karşı tam sigortalıdır" dediler. Kardeşler, telefon sağlayıcılarının gizli parazit tonlarını duyabildikleri ve deşifre edebildikleri için zaten cezaevine girdiler. Başkasının pahasına yurtdışına uzun aramalar yaptılar, hücresel iletişim sağlayıcılarının bilgisayarlarını parazit tonlarıyla yeniden programladılar.

baş melek

"Phrack" dergisinin kapağı

Ünlü İngilizce çevrimiçi dergi Phrack Magazine için tanınmış bir bilgisayar korsanı ve güvenlik danışmanı olan Archangel, kısa sürede çok sayıda farklı sistem için şifreler elde ederek ve birkaç yüz kurbanı kandırarak sosyal mühendislik tekniklerinin gücünü gösterdi.

Başka

Daha az bilinen sosyal mühendisler Frank Abagnale, David Bannon, Peter Foster ve Stephen Jay Russell'dır.

Sosyal mühendislikten korunmanın yolları

Sosyal mühendislik tekniklerini kullanan saldırganlar, saldırılarını gerçekleştirmek için genellikle kullanıcıların ve kuruluşların çalışanlarının saflığını, tembelliğini, nezaketini ve hatta coşkusunu kullanır. Bu tür saldırılara karşı savunmak kolay değildir, çünkü kurbanları aldatıldıklarından şüphelenmeyebilirler. Sosyal mühendislik saldırganlarının temel olarak diğer saldırganlarla aynı hedefleri vardır: kurban şirketin parasına, bilgisine veya BT kaynaklarına ihtiyaçları vardır. Bu tür saldırılara karşı korunmak için çeşitlerini incelemeli, saldırganın neye ihtiyacı olduğunu anlamalı ve kuruluşa verilebilecek zararı değerlendirmelisiniz. Tüm bu bilgilerle gerekli koruma önlemleri güvenlik politikasına entegre edilebilir.

Tehdit sınıflandırması

E-posta Tehditleri

Birçok çalışan, kurumsal ve özel posta sistemleri aracılığıyla günlük olarak onlarca hatta yüzlerce e-posta almaktadır. Tabii ki, böyle bir yazışma akışıyla, her harfe gereken özeni göstermek imkansızdır. Bu, saldırıları gerçekleştirmeyi çok daha kolay hale getirir. E-posta sistemlerinin çoğu kullanıcısı, bu tür mesajların işlenmesi konusunda sakindir ve bu işi, kağıtları bir klasörden diğerine kaydırmanın elektronik bir analogu olarak algılar. Bir saldırgan postayla basit bir istek gönderdiğinde, kurban genellikle kendi eylemlerini düşünmeden kendisinden isteneni yapar. E-postalar, çalışanları kurumsal ortamın güvenliğini ihlal etmeye teşvik eden köprüler içerebilir. Bu tür bağlantılar her zaman iddia edilen sayfalara yönlendirmez.

Çoğu güvenlik önlemi, yetkisiz kullanıcıların kurumsal kaynaklara erişmesini önlemeyi amaçlar. Bir kullanıcı, bir saldırgan tarafından gönderilen bir köprüye tıklayarak şirket ağına bir Truva atı veya bir virüs indirirse, bu, birçok koruma türünü atlamayı kolaylaştırır. Köprü ayrıca veri talep eden veya yardım sunan pop-up uygulamaları olan bir siteye de işaret edebilir.Diğer dolandırıcılık türlerinde olduğu gibi, kötü niyetli saldırılara karşı korunmanın en etkili yolu, beklenmedik gelen e-postalara karşı şüpheci olmaktır. Bu yaklaşımı bir kuruluş genelinde genişletmek için, güvenlik politikasına aşağıda listelenen öğeleri kapsayan belirli e-posta kullanım yönergeleri dahil edilmelidir.

• Belgelere ekler.
• Belgelerdeki köprüler.
• Şirket içinden kişisel veya kurumsal bilgi talepleri.
• Şirket dışından kişisel veya kurumsal bilgi talepleri.

Anlık mesajlaşma servisinin kullanımıyla ilişkili tehditler

Anında mesajlaşma, veri aktarmanın nispeten yeni bir yoludur, ancak kurumsal kullanıcılar arasında zaten geniş bir popülerlik kazanmıştır. Hız ve kullanım kolaylığı nedeniyle, bu iletişim yöntemi çeşitli saldırılar için geniş fırsatlar sunar: kullanıcılar buna bir telefon bağlantısı gibi davranır ve potansiyel yazılım tehditleriyle ilişkilendirmez. Anlık ileti hizmetinin kullanımına dayanan iki ana saldırı türü, iletinin gövdesindeki kötü amaçlı yazılıma referans ve programın kendisinin teslimidir. Elbette anlık mesajlaşma da bilgi talep etmenin bir yoludur. Anlık mesajlaşma servislerinin özelliklerinden biri de iletişimin resmi olmayan doğasıdır. Kendilerine herhangi bir ad verme yeteneğiyle birleştiğinde, bu, bir saldırganın başka bir kişinin kimliğine bürünmesini çok daha kolay hale getirir ve ilgili tehditlere karşı koruma sağlamak için başarılı bir saldırı başlatma şanslarını önemli ölçüde artırır. Kurumsal bir ortamda anlık mesajlaşma üzerinde güçlü bir kontrole sahip olmak için yerine getirilmesi gereken birkaç gereksinim vardır.

• Anlık mesajlaşma için bir platform seçin.
• Anlık ileti hizmetini dağıtırken belirlediğiniz güvenlik ayarlarını belirleyin.
• Yeni bağlantılar kurmak için ilkeleri tanımlayın
• Parola seçimi için standartlar belirleyin
• Anlık mesajlaşma servisini kullanmak için önerilerde bulunun.

Katmanlı güvenlik modeli

Büyük şirketleri ve çalışanlarını sosyal mühendislik tekniklerini kullanarak dolandırıcılardan korumak için genellikle karmaşık çok seviyeli güvenlik sistemleri kullanılır. Bu tür sistemlerin bazı özellikleri ve sorumlulukları aşağıda listelenmiştir.

• Fiziksel güvenlik. Şirket binalarına ve kurumsal kaynaklara erişimi kısıtlayan engeller. Şirket tesislerinin dışında bulunan çöp konteynerleri gibi şirket kaynaklarının fiziksel olarak korunmadığını unutmayın.
• Veri. İş bilgileri: hesaplar, posta vb. Tehditleri analiz ederken ve veri koruma önlemleri planlarken, kağıt ve elektronik veri taşıyıcılarının ele alınmasına ilişkin ilkelerin belirlenmesi gerekir.
• Uygulamalar Kullanıcılar tarafından çalıştırılan programlar. Ortamınızı korumak için, saldırganların e-posta programlarından, anlık ileti hizmetlerinden ve diğer uygulamalardan nasıl yararlanabileceğini düşünmeniz gerekir.
• Bilgisayarlar. Kuruluşta kullanılan sunucular ve istemci sistemleri. Kurumsal bilgisayarlarda hangi programların kullanılabileceğine ilişkin katı yönergeler tanımlayarak kullanıcıları bilgisayarlarına yapılan doğrudan saldırılara karşı koruyun.
• Dahili ağ. Kurumsal sistemlerin etkileşimde bulunduğu bir ağ. Yerel, küresel veya kablosuz olabilir. Son yıllarda, uzaktan çalışma yöntemlerinin artan popülaritesi nedeniyle, iç ağların sınırları büyük ölçüde keyfi hale geldi. Şirket çalışanlarına herhangi bir ağ ortamında güvenli çalışmayı organize etmek için ne yapmaları gerektiği anlatılmalıdır.
• ağ çevresi. Bir şirketin dahili ağları ile İnternet veya ortak kuruluşların ağları gibi harici ağlar arasındaki sınır.

Bir sorumluluk

Telefon konuşmalarını bahane etme ve kaydetme

Hewlett Packard

Hewlett Packard Corporation'ın başkanı Patricia Dunn, gizli bilgileri sızdırmaktan sorumlu olan şirket çalışanlarını belirlemek için özel bir şirket tuttuğunu söyledi. Daha sonra, şirketin başkanı, çalışmanın bahane ve diğer sosyal mühendislik tekniklerini kullandığını itiraf etti.

notlar

Ayrıca bakınız

Bağlantılar

• SocialWare.com - Özel sosyal mühendislik projesi
• - Sosyal Mühendislik: Temeller. Bölüm I: Hacker Taktikleri

sosyal mühendislik- insanların psikolojisinin özelliklerine dayalı olarak gerekli bilgiye erişim elde etme yöntemi. Sosyal mühendisliğin temel amacı, gizli bilgilere, şifrelere, bankacılık verilerine ve diğer güvenli sistemlere erişim sağlamaktır. Sosyal mühendislik terimi çok uzun zaman önce ortaya çıkmasa da, bu şekilde bilgi edinme yöntemi uzun süredir kullanılmaktadır. Bazı devlet sırlarını elde etmek isteyen CIA ve KGB görevlileri, politikacılar ve milletvekili adayları ve biz kendimiz, bir şey elde etmek istiyorsak çoğu zaman farkına bile varmadan sosyal mühendislik yöntemlerini kullanıyoruz.

Kendinizi sosyal mühendisliğin etkilerinden korumak için nasıl çalıştığını anlamanız gerekir. Temel sosyal mühendislik türlerini ve bunlara karşı korunma yöntemlerini düşünün.

bahane- bu, önceden derlenmiş belirli bir senaryoya göre hazırlanmış bir dizi eylemdir ve bunun sonucunda mağdur bazı bilgiler verebilir veya belirli bir eylemi gerçekleştirebilir. Çoğu zaman, bu tür bir saldırı Skype, telefon vb. gibi sesli araçların kullanımını içerir.

Bu tekniği kullanmak için, saldırganın başlangıçta kurban hakkında bazı verilere sahip olması gerekir (çalışanın adı; pozisyonu; çalıştığı projelerin adı; doğum tarihi). Saldırgan, başlangıçta şirket çalışanlarının adıyla gerçek istekleri kullanır ve güvene girdikten sonra ihtiyaç duyduğu bilgileri alır.

E-dolandırıcılık- Kullanıcıların gizli bilgilerini elde etmeyi amaçlayan İnternet dolandırıcılığı tekniği - çeşitli sistemlerin yetkilendirme verileri. Kimlik avı saldırısının ana türü, bir ödeme sisteminden veya bankadan gelen resmi bir mektup gibi görünen, kurbana gönderilen sahte bir e-postadır. Mektup, kişisel verileri (pin kodları, oturum açma ve şifre vb.) girmek için bir form veya böyle bir formun bulunduğu bir web sayfasına bağlantı içerir. Kurbanın bu tür sayfalara güvenme nedenleri farklı olabilir: hesap engelleme, sistem arızası, veri kaybı vb.

Truva atı- Bu teknik, kullanıcıların merak, korku veya diğer duygularına dayanmaktadır. Saldırgan kurbana e-posta yoluyla bir mektup gönderir, ekinde virüsten koruma yazılımının "güncellenmesi", para kazanmanın anahtarı veya bir çalışanla ilgili kanıtları tehlikeye atmak için bir anahtar bulunur. Aslında, ek, kullanıcı onu bilgisayarında çalıştırdıktan sonra, bir saldırgan tarafından bilgi toplamak veya değiştirmek için kullanılacak kötü amaçlı bir program içerir.

hemen hemen(quid pro quo) – bu teknik, bir saldırganın e-posta veya kurumsal telefon yoluyla bir kullanıcıyla iletişim kurmasını içerir. Saldırgan, örneğin teknik destek çalışanı olarak kendini tanıtabilir ve işyerinde teknik sorunların ortaya çıkması hakkında bilgi verebilir. Kaldırılmaları gerektiğini söylemeye devam ediyor. Böyle bir sorunu "çözme" sürecinde, saldırgan kurbanı belirli komutları yürütmesine veya gerekli yazılımı kurbanın bilgisayarına yüklemesine izin veren eylemler gerçekleştirmeye zorlar.

yol elması- bu yöntem bir Truva atının uyarlamasıdır ve fiziksel ortam (CD, flash sürücüler) kullanmaktan oluşur. Saldırgan genellikle bu tür medyayı şirketin sınırları içindeki halka açık yerlere (otoparklar, kantinler, çalışanların çalışma yerleri, tuvaletler) yerleştirir. Bir çalışanın bu medyaya ilgi duyması için saldırgan, medyaya bir şirket logosu ve bir çeşit imza koyabilir. Örneğin, "satış verileri", "çalışan maaşları", "vergi raporu" ve daha fazlası.

Tersine sosyal mühendislik- bu tür bir saldırı, kurbanın "yardım" için saldırgana başvurmaya zorlanacağı bir durum yaratmayı amaçlar. Örneğin, bir saldırgan "destek hizmetinin" telefon numaralarını ve kişilerini içeren bir mektup gönderebilir ve bir süre sonra kurbanın bilgisayarında geri döndürülebilir sorunlar yaratabilir. Bu durumda kullanıcı saldırganı kendisi arayacak veya e-posta gönderecek ve sorunun “düzeltilmesi” sürecinde saldırgan ihtiyaç duyduğu verileri elde edebilecektir.

Şekil 1 - Temel sosyal mühendislik türleri

karşı önlemler

Sosyal mühendislik yöntemlerine karşı korunmanın temel yolu çalışan eğitimidir. Tüm şirket çalışanları, kişisel bilgilerin ve şirkete ait gizli bilgilerin ifşa edilmesinin tehlikeleri ve ayrıca veri sızıntısının nasıl önleneceği konusunda bilgilendirilmelidir. Ayrıca şirketin her çalışanı, departman ve pozisyona bağlı olarak muhatap ile nasıl ve hangi konularda iletişim kurabileceğiniz, teknik destek hizmeti için hangi bilgilerin sağlanabileceği, şirketin çalışanının nasıl ve ne hakkında bilgi sahibi olabileceği konusunda talimatlara sahip olmalıdır. şirket, başka bir çalışandan bu veya diğer bilgileri almak için rapor vermelidir.

Ek olarak, aşağıdaki kurallar ayırt edilebilir:

• Kullanıcı kimlik bilgileri şirketin mülkiyetindedir.
İşe alım gününde, kendilerine verilen giriş ve şifrelerin başka amaçlarla (web sitelerinde, kişisel posta vb.) kullanılamayacağı, üçüncü şahıslara veya şirketin diğer çalışanlarına aktarılamayacağı tüm çalışanlara açıklanmalıdır. , buna hakkı olmayanlar. Örneğin, çok sık olarak, tatile giderken, bir çalışan izin verilerini iş arkadaşına aktarabilir, böylece yokluğunda bazı işler yapabilir veya belirli verileri görüntüleyebilir.
• Bilgi güvenliği bilgisini artırmaya yönelik şirket çalışanlarının tanıtım ve düzenli eğitimlerinin yapılması gerekmektedir.
Bu tür brifinglerin yapılması, şirket çalışanlarının mevcut sosyal mühendislik yöntemleri hakkında güncel verilere sahip olmalarının yanı sıra bilgi güvenliğinin temel kurallarını da unutmamalarını sağlayacaktır.
• Güvenlik düzenlemelerinin yanı sıra kullanıcının her zaman erişmesi gereken talimatlara sahip olmak zorunludur. Talimatlar, belirli bir durumda çalışanların eylemlerini tanımlamalıdır.
Örneğin, düzenlemeler, üçüncü bir taraf gizli bilgi veya çalışan kimlik bilgileri talep etmeye çalıştığında ne yapılması gerektiğini ve nereye gidileceğini belirleyebilir. Bu tür eylemler, saldırganı hesaplamanıza ve bilgi sızıntısını önlemenize olanak tanır.
• Çalışan bilgisayarlarında her zaman güncel bir anti-virüs yazılımı bulunmalıdır.
Çalışan bilgisayarlarına da bir güvenlik duvarı kurulmalıdır.
• Şirketin kurumsal ağında, saldırıları tespit etmek ve önlemek için sistemlerin kullanılması gerekmektedir.
Ayrıca gizli bilgilerin sızmasını önlemek için sistemlerin kullanılması da gereklidir. Bütün bunlar fitin saldırıları riskini azaltacaktır.
• Tüm çalışanlara ziyaretçilere nasıl davranmaları gerektiği konusunda talimat verilmelidir.
Ziyaretçinin ve refakatçisinin kimliğini belirlemek için net kurallara ihtiyaç vardır. Ziyaretçilere her zaman şirket personelinden biri eşlik etmelidir. Bir çalışan, tanımadığı bir ziyaretçiyle karşılaşırsa, ziyaretçinin bu odada ne amaçla bulunduğunu ve refakatçisinin nerede olduğunu doğru biçimde sormalıdır. Gerekirse, çalışan bilinmeyen ziyaretçileri güvenlik servisine bildirmelidir.
• Sistemde kullanıcı haklarının mümkün olduğunca sınırlandırılması gerekmektedir.
Örneğin, web sitelerine erişimi kısıtlayabilir ve çıkarılabilir medya kullanımını yasaklayabilirsiniz. Sonuçta, bir çalışan bir kimlik avı sitesine giremezse veya bilgisayarında "Trojan" bulunan bir flash sürücü kullanamazsa, kişisel verilerini de kaybedemez.

Yukarıdakilerin tümüne dayanarak, sosyal mühendisliğe karşı korunmanın ana yolunun çalışan eğitimi olduğu sonucuna varabiliriz. Cehaletin mazeret olmadığını bilmek ve hatırlamak önemlidir. Sistemin her kullanıcısı, gizli bilgilerin ifşa edilmesinin tehlikelerinin farkında olmalı ve sızıntıyı önlemeye yardımcı olacak yolları bilmelidir. Önceden uyarılmış, önceden hazırlanmış!

Herhangi bir büyük hatta küçük organizasyonda bilgi güvenliğinde zayıflıklar vardır. Şirketteki tüm bilgisayarların en iyi yazılıma sahip olmasına, tüm çalışanların şifrelerinin en karmaşık olmasına ve tüm bilgisayarların en akıllı yöneticiler tarafından izlenmesine rağmen, yine de zayıf bir nokta bulabilirsiniz. Ve en önemli “zayıf noktalardan” biri de şirkette çalışan, bilgisayar sistemlerine erişimi olan ve az ya da çok organizasyon hakkında bilgi taşıyıcısı olan kişilerdir. Bilgi çalacak veya diğer bir deyişle cracker yapacak olan kişiler sadece insan faktöründen faydalanırlar. Ve toplum mühendisliği denen çeşitli etki yöntemlerini insanlar üzerinde denerler. Bugünkü yazımda bunu ve sıradan kullanıcılar ve kuruluşlar için taşıdığı tehlikeyi anlatmaya çalışacağım.

Önce sosyal mühendisliğin ne olduğunu anlayalım - bu, korsanlar ve bilgisayar korsanları tarafından bilgiye yetkisiz erişim için kullanılan bir terimdir, ancak bilgisayar korsanlığı yazılım atamasının tam tersidir. Amaç hacklemek değil, insanları daha sonra bilgisayar korsanlarının sistemin güvenliğini kırmasına yardımcı olabilecek kırbaç veya diğer bilgileri vermeleri için alt etmektir. Bu tür dolandırıcılık, kuruluşa yapılan telefon görüşmelerini ve gerekli bilgilere sahip olan çalışanları tespit etmeyi ve ardından sisteme erişimde sorun yaşadığı iddia edilen var olmayan bir çalışandan kimliği belirlenen yöneticiyi aramayı içerir.

Sosyal mühendislik, psikoloji ile doğrudan ilişkilidir, ancak onun ayrı bir parçası olarak gelişir. Günümüzde mühendislik yaklaşımı, özellikle bir korsanın belgeleri çalmak için göze çarpmayan çalışması için çok sık kullanılmaktadır. Casuslar ve gizli ajanlar, iz bırakmadan içeri sızmak için bu şekilde eğitilir.

Bir kişi düşünebilir, akıl yürütebilir, şu veya bu sonuca varabilir, ancak sonuçların her zaman gerçek olmadığı, kendi olduğu ve başka birinin ihtiyaç duyduğu gibi dışarıdan empoze edilmediği ortaya çıkabilir. Ancak dolandırıcılara yardımcı olan en ilginç ve en önemli şey, bir kişinin sonuçlarının yanlış olduğunu fark etmeyebilmesidir. Son ana kadar her şeye kendisinin karar verdiğini düşünebilir. Bu özellik, sosyal mühendislik uygulayan kişiler tarafından kullanılır.

Sosyal mühendisliğin amacı bilgi çalmaktır. Buna karışan kişiler, çok fazla dikkat çekmeden bilgileri çalmaya çalışır ve ardından kendi takdirlerine göre elden çıkarır: birincil sahibi satmak veya şantaj yapmak. İstatistiklere göre, genellikle bu tür hilelerin rakip bir şirket tarafından yaptırıldığı ortaya çıkıyor.

Şimdi sosyal mühendisliğin yollarına bakalım.

İnsan hizmet reddi (HDoS)

Bu saldırının özü, bir kişiyi belirli durumlara tepki vermemeye belirsiz bir şekilde zorlamak.

Örneğin, dikkat dağıtmak, bir bağlantı noktasına yapılan bir saldırıyı simüle etmektir. Sistem yöneticisi hatalarla dikkati dağıtır ve bu sırada sunucuya sorunsuz bir şekilde girer ve gerekli bilgileri alır. Ancak yönetici, bu bağlantı noktasında herhangi bir hata olmayacağından emin olabilir ve ardından bir bilgisayar korsanının nüfuzu anında fark edilecektir. Bu yöntemin bütün amacı, bilgisayar korsanının sistem yöneticisinin psikolojisini ve bilgi düzeyini bilmesi gerektiğidir. Bu bilgi olmadan sunucuya sızmak mümkün değildir.

Çağrı yöntemi.

Bu yöntemle, sözde “kurban”a yapılan bir telefon görüşmesi kastedilmektedir. Dolandırıcı, mağduru arar ve doğru yaptığı konuşma ve psikolojik olarak doğru sorulan sorular yardımıyla onu yanlış yönlendirir ve gerekli tüm bilgileri bulur.

Örneğin: bir dolandırıcı arar ve yöneticinin talebi üzerine güvenlik sisteminin işlerliğini kontrol ettiğini bildirir. Ardından şifre ve kullanıcı adı istiyor ve sonrasında ihtiyacı olan tüm bilgiler cebinde.

görsel temas.

En zor yol. Sadece profesyonel olarak eğitilmiş insanlar bununla başa çıkabilir. Bu yöntemin anlamı, mağdura bir yaklaşım bulmanın zorunlu olmasıdır. Yaklaşım bulunduktan sonra, kurbanı memnun etmek, onunla kendini sevdirmek onun yardımıyla mümkün olacak. Ve bundan sonra, kurban gerekli tüm bilgileri düzenleyecek ve ona önemli bir şey söylemediği görünecek. Bunu sadece bir profesyonel yapabilir.

E-posta.

Bu, bilgisayar korsanlarının bilgi elde etmesinin en yaygın yoludur. Çoğu durumda, bilgisayar korsanları kurbana, onu tanıdığı varsayılan bir kişiden bir mektup gönderir. Bu yöntemdeki en zor şey, bu tanıdıkların üslubunu ve yazı stilini kopyalamaktır. Kurban aldatmaya inanıyorsa, burada krakerin ihtiyaç duyabileceği tüm bilgileri çıkarmak zaten mümkündür.

Merhaba sevgili arkadaşlar! Uzun bir süredir güvenlikten veya daha kesin olmak gerekirse, yalnızca bilgisayarlarınızda değil, arkadaşlarınız ve iş arkadaşlarınızla bile depolanan veriler hakkında konuşmadınız. Bugün sosyal mühendislik gibi bir kavramdan bahsedeceğim. Sosyal mühendisliğin ne olduğunu ve kendinizi nasıl uyaracağınızı öğreneceksiniz.

Sosyal mühendislik, insan psikolojik davranışının özelliklerine dayanan bilgi sistemlerine yetkisiz erişim yöntemidir. Herhangi bir bilgisayar korsanı, doğrudan veya dolaylı olarak, korunan bilgilere, şifrelere, banka kartı bilgilerine vb. erişim elde etmekle ilgilenir.

Bu yöntemin temel farkı, saldırı nesnesinin makine değil, kullanıcısı olmasıdır. Sosyal mühendislik yöntemleri insan faktörünün kullanımına dayanmaktadır. Saldırgan, ihtiyaç duyduğu bilgileri telefonda konuşurken veya bir çalışan kılığında ofise girerek elde eder.

bahaneönceden hazırlanmış belirli bir senaryoya karşılık gelen bir dizi eylemdir (bahane). Bu teknikte bilgi almak için sesli araçlar (telefon, Skype) kullanılmaktadır. Üçüncü taraf gibi davranan ve yardıma ihtiyacı varmış gibi davranan dolandırıcı, muhatabı bir şifre sağlamaya veya bir kimlik avı web sayfasına kaydolmaya zorlar ve böylece gerekli bilgileri elde eder.

Bir durum hayal edelim. Yaklaşık altı aydır büyük bir organizasyonda çalışıyorsunuz. Kendini bir şubeden çalışan olarak tanıtan bir kişi tarafından aranıyorsunuz. “Merhaba, adınız veya pozisyonunuz, şirketimizde başvuruları almaya hizmet eden maillere giremiyoruz. Yakın zamanda şehrimizden bir başvuru aldık ve patron böyle bir gözetim için öldürecek, bana postadan şifreyi söyle.

Tabii şimdi isteğini okuduğunuzda şifreyi ilk defa duyduğunuz kişiye vermeniz biraz saçma geliyor. Ama insanlar küçük şeylerle yardım etmeyi sevdikleri için (şifreden 8-16 karakter demek zor değil mi?) Herkes burayı delebilir.

E-dolandırıcılık(balık tutma) - bu tür İnternet dolandırıcılığı, oturum açma bilgilerini ve şifreleri almayı amaçlar. En popüler kimlik avı türü, kurbana resmi bir mektup kisvesi altında, örneğin bir ödeme sisteminden veya bankadan bir e-posta mesajı göndermektir. Mektup, kural olarak, veri kaybı, sistemdeki arızalar hakkında bilgi verir ve bağlantıya tıklayarak gizli bilgilerin girilmesi talebini içerir.

Bağlantı, kurbanı tam olarak resmi web sitesindeki sayfaya benzeyen bir kimlik avı sayfasına yönlendirir. Hazırlıksız bir kişinin bir oltalama saldırısını tanıması zordur, ancak oldukça mümkündür. Bu tür mesajlar, kural olarak, tehditler (örneğin, bir banka hesabının kapatılması hakkında) veya tersine, ücretsiz para ödülü vaadi, bir hayır kurumu adına yardım talepleri hakkında bilgi içerir. Ayrıca, kimlik avı mesajları, gitmeniz istenen adres tarafından tanınabilir.

En popüler kimlik avı saldırıları, tanınmış bir şirketin marka adını kullanan dolandırıcılığı içerir. Tanınmış bir şirket adına, belirli bir tatilde (örneğin) tebrikler ve yarışma hakkında bilgiler içeren e-postalar gönderilir. Yarışmaya katılmak için hesap bilgilerinizi acilen değiştirmeniz gerekmektedir.

Size söyleyeyim, kişisel deneyim. Bana taş atma. Çok uzun zaman önce ilgimi çekti ... ... Evet, evet, kimlik avı. O zamanlar Benim dünyamda oturmak çok modaydı ve bundan faydalandım. Bir keresinde mail.ru'dan para için bir "altın ajan" kurmak için bir teklif gördüm. Al dedikleri zaman düşünürsünüz ama kazandınız dedikleri zaman insanlar hemen yönlendirilir.

Her şeyi tam olarak hatırlamıyorum ama buna benzer bir şeydi.

Bir mesaj yazdı: “Merhaba, İSİM! Mail.RU ekibi sizi tebrik etmekten mutluluk duyar. "Altın Temsilci" ödülünü kazandınız. Her 1000'de bir kullanıcımız ücretsiz olarak alır. Etkinleştirmek için sayfanıza gitmeniz ve Ayarlar'da etkinleştirmeniz gerekir - falan filan.

Peki, teklif hakkında ne düşünüyorsun? Altın Skype ister misiniz sevgili okuyucular? Sadece ayrıntılı talimatları bekleyen gençler olduğu için tüm teknik detaylardan bahsetmiyorum. Ancak My World kullanıcılarının %30'unun bağlantıyı takip ederek kullanıcı adı ve şifresini girdiğini belirtmek gerekir. Bu sadece bir deneme olduğu için bu şifreleri sildim.

gülümseme. Artık cep telefonları çok popüler ve numaranızı bulmak oğlunuz veya kızınızla aynı masada oturan bir okul çocuğu için bile zor olmayacak. Numarayı öğrenen dolandırıcı, kartınızdaki bonus parayı etkinleştirmek için gitmenizi istediği bir kimlik avı bağlantısı gönderir. Doğal olarak kişisel verileri girmek için alanların olduğu yerler. Ayrıca kart bilgilerinizi içeren bir SMS göndermenizi de isteyebilirler.

Normal bir durum gibi görünüyor, ancak yakalama çok yakın.

Qui pro quo (“quid pro quo”), örneğin bir teknik destek hizmeti adına bir dolandırıcıdan gelen aramayı içeren bir saldırı türüdür. Saldırgan, bir çalışana olası teknik sorunlar hakkında soru sorma sürecinde, onu kötü amaçlı yazılım başlatmasına izin veren komutları girmeye zorlar. Açık kaynaklara yerleştirilebilecekler: sosyal ağlar, şirket sunucuları vb.

Örnek için videoyu izleyin:

Size postayla bir dosya (virüs) gönderebilirler, sonra arayıp acil bir belgenin geldiğini ve ona bakmanız gerektiğini söyleyebilirler. Kullanıcı, mektuba eklenmiş bir dosyayı açarak, bilgisayara gizli verilere erişime izin veren kötü amaçlı bir program yükler.

Kendinize ve verilerinize iyi bakın. Yakında görüşürüz!

Sosyal mühendislik yöntemleri - bu makalenin tartışacağı şey, insanların manipülasyonu, kimlik avı ve müşteri tabanlarının çalınması ve daha fazlasıyla ilgili her şey. Bilgi, yazarı olduğu ve kendisine çok teşekkür ettiği Andrey Serikov tarafından bize nazikçe sağlandı.

A.SERİKOV

A.B.BOROVSKİ

SOSYAL HACKING BİLGİ TEKNOLOJİLERİ

giriiş

İnsanoğlunun belirlenen görevleri mükemmel bir şekilde yerine getirme arzusu, modern bilgisayar teknolojisinin gelişmesine yol açmıştır ve insanların çatışan gereksinimlerini karşılama girişimleri, yazılım ürünlerinin geliştirilmesine yol açmıştır. Bu yazılım ürünleri yalnızca donanımı çalışır durumda tutmakla kalmaz, aynı zamanda yönetir.

Bir kişi ve bir bilgisayar hakkındaki bilgilerin geliştirilmesi, temelde yeni bir tür sistemlerin ortaya çıkmasına neden oldu - bir kişinin istikrarlı, işlevsel, çok görevli bir işletim sistemini çalıştıran bir donanım aracı olarak konumlanabileceği "insan-makine". ruh".

Çalışmanın konusu, sosyal mühendislikte insan zaafları, önyargıları ve klişeler yardımıyla insanların manipüle edildiği sosyal programlamanın bir dalı olarak sosyal hacklemenin ele alınmasıdır.

Sosyal mühendislik ve yöntemleri

Bir kişiyi manipüle etme yöntemleri uzun zamandır bilinmektedir, çoğunlukla çeşitli özel hizmetlerin cephaneliğinden sosyal mühendisliğe geldiler.

Bilinen ilk rekabetçi istihbarat vakası, MÖ 6. yüzyıla kadar uzanıyor ve Çin'de, Çinlilerin Roma casusları tarafından hileli bir şekilde çalınan ipek yapma sırrını kaybettiğinde meydana geldi.

Sosyal mühendislik, teknik araçlar kullanılmadan insan faktörünün zayıflıklarının kullanılmasına dayalı olarak insan davranışını manipüle etmek için bir dizi yöntem olarak tanımlanan bir bilimdir.

Birçok uzmana göre, sosyal bilgisayar korsanlığının kullanımı önemli finansal yatırımlar ve bilgisayar teknolojisi hakkında kapsamlı bilgi gerektirmediği ve ayrıca insanların bazı davranışsal eğilimleri olduğu için bilgi güvenliğine en büyük tehdidi oluşturan sosyal mühendislik yöntemleridir. dikkatli kullanım için kullanılabilir.

Ve teknik koruma sistemleri ne kadar geliştirilirse geliştirilsin, insanlar yönetimin gerçekleştiği zayıf yönleri, önyargıları, klişeleri ile insanlar olarak kalacaktır. Bir insan “güvenlik programı” kurmak, bu filtrenin sürekli olarak ayarlanması gerektiğinden, en zor ve her zaman garanti edilmeyen sonuç işidir. Burada, tüm güvenlik uzmanlarının ana sloganı her zamankinden daha fazla geçerli görünüyor: “Güvenlik bir süreçtir, bir sonuç değil”

Sosyal mühendisliğin uygulama alanları:

1. etkisini ve daha sonra kuruluşun tamamen yok olma olasılığını azaltmak için kuruluşun çalışmalarının genel istikrarsızlaştırılması;
2. kuruluşlarda finansal dolandırıcılık;
3. bireylerin kişisel bankacılık verilerine erişmek için phishing ve diğer şifre çalma yöntemleri;
4. müşteri veritabanlarının çalınması;
5. Rekabetci zeka;
6. bu organizasyonun bir şekilde daha sonra imha edilmesi amacıyla organizasyon, güçlü ve zayıf yönleri hakkında genel bilgiler (genellikle akıncı saldırıları için kullanılır);
7. onları kuruluşlarına daha fazla "kaçaklamak" için en umut verici çalışanlar hakkında bilgi;

Sosyal programlama ve sosyal bilgisayar korsanlığı

Sosyal programlama, davranışlarını değiştirmek veya doğru yönde tutmak için bir kişi veya grup üzerinde amaçlı bir etkiyle ilgilenen uygulamalı bir disiplin olarak adlandırılabilir. Böylece, sosyal programcı kendisine insanları yönetme sanatında ustalaşma hedefi koyar. Sosyal programlamanın ana konsepti, birçok durumda insanların eylemlerinin ve şu veya bu dış etkiye tepkilerinin tahmin edilebilir olmasıdır.

Sosyal programlama yöntemleri çekicidir, çünkü ya hiç kimse onları bilmeyecek ya da birisi bir şey tahmin etse bile, böyle bir rakamı sorumlu tutmak çok zordur ve bazı durumlarda insanların davranışlarını “programlamak” mümkündür ve bir kişi ve büyük bir grup. Bu fırsatlar tam olarak sosyal hack kategorisine aittir, çünkü hepsinde insanlar, bir sosyal hacker tarafından yazılmış bir “programa” itaat ediyormuş gibi, bir başkasının iradesini yerine getirir.

Bir kişiyi hackleme ve onu gerekli eylemleri gerçekleştirmesi için programlama fırsatı olarak sosyal bilgisayar korsanlığı, sosyal programlamadan gelir - bu alandaki uzmanların - sosyal bilgisayar korsanlarının - cephanelikten ödünç alınan psikolojik etki tekniklerini ve oyunculuk becerilerini kullandığı uygulamalı bir sosyal mühendislik disiplini özel hizmetlerden.

Sosyal bilgisayar korsanlığı, çoğu durumda bir bilgisayar sisteminin parçası olan bir kişiye saldırı söz konusu olduğunda kullanılır. Saldırıya uğrayan bir bilgisayar sistemi kendi başına mevcut değildir. Önemli bir bileşen içerir - bir kişi. Ve bilgi almak için, bir sosyal bilgisayar korsanının bilgisayarla çalışan bir kişiyi hacklemesi gerekir. Çoğu durumda, bunu yapmak kurbanın bilgisayarına girip şifreyi bu şekilde bulmaya çalışmaktan daha kolaydır.

Sosyal bilgisayar korsanlığında tipik etki algoritması:

Sosyal bilgisayar korsanlarının tüm saldırıları oldukça basit bir şemaya sığar:

1. belirli bir nesne üzerindeki etkinin amacı formüle edilir;
2. maruz kalma için en uygun hedefleri bulmak için nesne hakkında bilgi toplanır;
3. toplanan bilgilere dayanarak, psikologların cazibe dediği bir aşama gerçekleşir. Cazibe (lat. Attrahere - çekmek, çekmek) bir nesneyi etkilemek için gerekli koşulların yaratılmasıdır;
4. sosyal bilgisayar korsanı için gerekli eyleme zorlama;

Zorlama, önceki aşamaların gerçekleştirilmesiyle sağlanır, yani cazibe sağlandıktan sonra, kurban toplum mühendisi için gerekli eylemleri kendisi yapar.

Toplanan bilgilere dayanarak, sosyal bilgisayar korsanları kurbanın psiko- ve sosyotipini doğru bir şekilde tahmin eder, sadece yiyecek, seks vb. ihtiyaçlarını değil, aynı zamanda aşk ihtiyacını, para ihtiyacını, rahatlık ihtiyacını vb. ., vb.

Ve gerçekten, neden her şeyi kolaylaştırabilecekken şu veya bu şirkete girmeye, bilgisayarları, ATM'leri hacklemeye, karmaşık kombinasyonlar düzenlemeye çalışın: kendi özgür iradesiyle para transfer edecek bir kişinin bilinçsizliğine kendinize aşık olun. belirtilen hesap veya her seferinde gerekli bilgileri paylaşır mısınız?

İnsanların eylemlerinin öngörülebilir olduğu ve ayrıca belirli yasalara tabi olduğu gerçeğine dayanarak, sosyal bilgisayar korsanları ve sosyal programcılar, insan bilincinin psikolojisine, davranış programlarına, iç organların titreşimlerine, mantıksal yapıya dayalı hem orijinal çok adımlı hem de basit olumlu ve olumsuz hileler kullanırlar. düşünme, hayal gücü, hafıza, dikkat. Bu yaklaşımlar şunları içerir:

Wood'un jeneratörü - iç organların salınım sıklığı ile aynı frekansta salınımlar üretir, bundan sonra insanların ciddi rahatsızlık ve panik hali hissetmeye başladığı bir rezonans etkisi gözlenir;

kalabalığın coğrafyası üzerindeki etkisi - son derece tehlikeli agresif, büyük insan gruplarının barışçıl dağılması için;

yüksek frekanslı ve düşük frekanslı sesler - paniği ve bunun ters etkisini ve diğer manipülasyonları kışkırtmak için;

sosyal taklit programı - bir kişi eylemlerin doğruluğunu belirler, diğer insanların hangi eylemleri doğru bulduğunu öğrenir;

clackering programı - (sosyal taklit temelinde) izleyicinin gerekli tepkisinin organizasyonu;

kuyruğa alma - (sosyal taklit temelinde) basit ama etkili bir reklam hilesi;

karşılıklı yardım programı - bir kişi, kendisine bir tür iyilik yapan insanlara iyiliği geri ödemeye çalışır. Bu programı gerçekleştirme arzusu, çoğu zaman aklın tüm argümanlarını aşar;

internette sosyal hack

İnternetin ortaya çıkması ve gelişmesiyle - insanlardan ve etkileşimlerinden oluşan sanal bir ortam, bir kişiyi manipüle etme ortamı, gerekli bilgileri elde etmek ve gerekli eylemleri gerçekleştirmek için genişledi. Bugün İnternet dünya çapında bir yayın ortamı, işbirliği, iletişim ortamı ve tüm dünyayı kapsıyor. Sosyal mühendislerin amaçlarına ulaşmak için kullandıkları şey budur.

Bir kişiyi İnternet üzerinden manipüle etmenin yolları:

Modern dünyada, hemen hemen her şirketin sahipleri, İnternet'in bir işi büyütmek için çok etkili ve kullanışlı bir araç olduğunu ve ana görevinin tüm şirketin karını artırmak olduğunu zaten fark ettiler. İstenilen nesneye dikkat çekmeyi, ilgiyi oluşturmayı veya sürdürmeyi ve piyasada tanıtmayı amaçlayan bilgiler olmadan reklamın kullanıldığı bilinmektedir. Yalnızca, reklam pazarının uzun süredir bölünmüş olması nedeniyle, çoğu girişimci için çoğu reklam türü boşa harcanır. İnternet reklamcılığı, medyadaki reklam türlerinden sadece biri değil, daha fazlasıdır, çünkü İnternet reklamcılığının yardımıyla işbirliği ile ilgilenen insanlar kuruluşun web sitesine gelir.

İnternet reklamcılığı, medyadaki reklamlardan farklı olarak, bir reklam şirketini yönetmek için daha birçok seçeneğe ve parametreye sahiptir. Çevrimiçi reklamcılığın en önemli göstergesi, İnternet reklam ücreti yalnızca geçişte düşülür reklam bağlantısındaki ilgili kullanıcı, bu da elbette İnternetteki reklamları medyadaki reklamlardan daha etkili ve daha az maliyetli hale getirir. Bu nedenle, televizyonda veya yazılı medyada reklam verdikten sonra, bunun için tam olarak ödeme yaparlar ve sadece potansiyel müşterileri beklerler, ancak müşteriler reklamlara yanıt verebilir veya vermeyebilir - bunların tümü, üretimin kalitesine ve reklamların televizyon veya gazetelerde sunumuna bağlıdır, ancak reklam bütçesi zaten harcanmış durumdaysa reklam işe yaramazsa boşa gitmiş demektir. Bu tür medya reklamcılığından farklı olarak, çevrimiçi reklamcılık, kitle yanıtını izleme ve çevrimiçi reklamcılığı bütçesi tükenmeden yönetme yeteneğine sahiptir, ayrıca, çevrimiçi reklamcılık, ürünlere olan talep arttığında durdurulabilir ve talep düşmeye başladığında yeniden başlatılabilir.

Başka bir etki yolu, sosyal programlamanın yardımıyla belirli bir proje için anti-reklam oluşturdukları "Forum Öldürme" olarak adlandırılır. Bu durumda sosyal programcı, yalnızca bariz kışkırtıcı eylemlerin yardımıyla, birkaç takma ad kullanırken forumu yok eder ( Takma ad) kendi etrafında lider karşıtı bir grup oluşturmak ve yönetimin davranışlarından memnun olmayan düzenli ziyaretçileri projeye çekmek. Forumdaki bu tür etkinliklerin sonunda, mal veya fikirlerin tanıtılması imkansız hale geliyor. Forum neden orijinal olarak tasarlandı?

Sosyal mühendislik amacıyla bir kişiyi İnternet üzerinden etkileme yöntemlerine:

Kimlik avı, gizli kullanıcı verilerine - oturum açma bilgilerine ve parolalara erişim sağlamak için yapılan bir tür İnternet dolandırıcılığıdır. Bu işlem, popüler markalar adına toplu e-postaların yanı sıra çeşitli hizmetler (Rambler), bankalar veya sosyal ağlar (Facebook) içinde kişisel mesajların gönderilmesiyle gerçekleştirilir. Mektup genellikle gerçek olandan ayırt edilemeyen bir siteye bağlantı içerir. Bir kullanıcı sahte bir sayfaya girdikten sonra, sosyal mühendisler, kullanıcıyı belirli bir siteye erişmek için kullandıkları, hesaplara ve banka hesaplarına erişmelerini sağlayan kullanıcı adını ve şifresini sayfaya girmeye teşvik etmek için çeşitli hileler kullanır.

Kimlik avından daha tehlikeli bir dolandırıcılık biçimi, sözde pharming'dir.

Pharming, kullanıcıları gizlice kimlik avı sitelerine yönlendirmek için bir mekanizmadır. Bir sosyal mühendis, kullanıcıların bilgisayarlarına, bilgisayarda başlatıldıktan sonra, gerekli sitelerden gelen istekleri sahte sitelere yönlendiren özel kötü amaçlı programlar dağıtır. Böylece, saldırının yüksek gizliliği sağlanır ve kullanıcı katılımı en aza indirilir - kullanıcının sosyal mühendisi ilgilendiren siteleri ziyaret etmeye karar vermesini beklemek yeterlidir.

Çözüm

Sosyal mühendislik, sosyolojiden ortaya çıkan ve yeni ("yapay") sosyal gerçeklikler yaratma, modernleştirme ve yeniden üretme sürecini yönlendiren, düzene sokan ve optimize eden bilgilerin toplamı olduğunu iddia eden bir bilimdir. Belli bir şekilde sosyoloji bilimini “bitirir”, bilimsel bilgiyi sosyal kurumların, değerlerin, normların, faaliyet algoritmalarının, ilişkilerin, davranışların vb. modellerine, projelerine ve yapılarına dönüştürme aşamasında tamamlar.

Sosyal mühendislik nispeten genç bir bilim olmasına rağmen toplumda meydana gelen süreçlere büyük zarar vermektedir.

Bu yıkıcı bilimin etkisinden korunmanın en basit yöntemleri şöyle adlandırılabilir:

İnsanların dikkatini güvenlik konularına çekmek.

Kullanıcıların sorunun ciddiyetinin farkında olması ve sistemin güvenlik politikasının benimsenmesi.

Edebiyat

1. R. Petersen Linux: Tam Kılavuz: Per. İngilizceden. - 3 - ed. - K.: BHV Yayın Grubu, 2000. - 800 s.

2. Evinizdeki Grodnev İnternet'ten. - M.: "RIPOL CLASSIC", 2001. -480 s.

3. M. V. Kuznetsov Sosyal mühendislik ve sosyal bilgisayar korsanlığı. SPb.: BHV-Petersburg, 2007. - 368 s.: hasta.