Làm thế nào để học kỹ thuật xã hội. Giáo trình Kỹ thuật xã hội. Sự sợ hãi thúc đẩy sự tin tưởng

Nói dối là một công nghệ tổng thể được gọi là "Kỹ thuật xã hội". Nói dối chất lượng cao là một phần không thể thiếu của "Kỹ thuật xã hội", mà trong điều kiện hiện đại, không có một tên trộm nào, cả người mới bắt đầu và người khó tính, có thể làm được.

Crackers thì khác nhau: cracker máy trạm máy tính, cracker máy chủ, cracker mạng máy tính, cracker mạng điện thoại, cracker ( người chăn nuôi) chỉ là một bộ não, v.v. - và tất cả đều sử dụng "Kỹ thuật xã hội" như một công cụ phụ trợ, hoặc chỉ là một lời nói dối, về cơ bản "Kỹ thuật xã hội" được xây dựng, và trên thực tế, là phần lớn cuộc sống của cả nhân loại.

Khi còn nhỏ, chúng tôi đã được dạy rằng bạn không thể nói dối. Không có ai bao giờ. Tuy nhiên, như thường lệ, cuộc sống bỏ qua tất cả các bài học ở trường và cố chấp chọc cho chúng ta một thực tế rằng không có dối trá, không phải ở đây và không phải ở đây - "Bạn sẽ không nói dối, bạn sẽ không sống." Những kẻ nói dối giỏi nhất nói dối, đáng ngạc nhiên, đôi khi và hầu như không bao giờ thừa nhận điều đó. Chúng ta sẽ nói về những bí mật khác của nghệ thuật nói dối trong bài viết này.

Hầu như tất cả các lĩnh vực của cuộc sống con người, bao gồm cả tôn giáo, đều tràn ngập sự dối trá, và các nhà nghiên cứu người Anh không ngừng nghỉ về mọi thứ và mọi người trên toàn thế giới và các thiên hà lân cận cũng nói thêm: “Hóa ra mỗi người nói dối khoảng 88 nghìn lần trong đời! ".

Tất nhiên, danh sách những lời nói dối phổ biến nhất bao gồm: "Không sao cả, tôi bây giờ là chính mình", "Tôi rất vui được gặp bạn", "Chúng tôi sẽ gọi lại cho bạn" và "Cảm ơn bạn rất nhiều, tôi thực sự rất tốt. Như ". Nó chỉ ra rằng tất cả mọi người đang nói dối, với mọi người và mọi lúc. Nhưng một số lại nói dối một cách tuyệt vời, làm hài lòng người khác và khiến cuộc sống của họ trở nên dễ dàng hơn, trong khi những người khác - không hoàn toàn như vậy, trong khi lại mang đến nỗi đau và sự đau khổ cho mọi người xung quanh.

Vì vậy, làm thế nào bạn có thể học cách đơn giản, an toàn và đẹp đẽ để "đánh thức trí não của bạn" ( treo mì trên tai, lái một trận bão, lừa dối)? Nghề thủ công này, giống như bất kỳ nghề nào khác, có luật bất thành văn và bí mật của riêng nó.

“Giáo sư, tất nhiên, là một kẻ ngớ ngẩn, nhưng trang thiết bị ở với ông ấy, với ông ấy. Làm thế nào bạn có thể nghe thấy? "

Những lời nói dối lớn và nhỏ đều đòi hỏi một thái độ cẩn trọng như nhau.

Đây là một trong những quy tắc cơ bản mà bậc thầy nói dối sắp tới phải thuộc lòng. Mỗi lời nói dối của bạn, bất kể ý nghĩa của nó là gì, sẽ phải được ghi nhớ mãi mãi và những lời nói dối tiếp theo sẽ được tính đến lần trước. Tuy nhiên, đối với một số người, dường như chỉ cần nhớ lời nói dối cơ bản nhất là đủ, và lời nói dối về những thủ tục nhỏ nhặt thì không đáng nhớ. Đây là cách, như một quy luật, những kẻ nói dối thiếu kinh nghiệm bị đốt cháy, - sau khi chất đống lời nói dối, sau đó họ quên mất ai, khi nào và bằng cách nào họ đã "chải đầu".

Đó là lý do tại sao hãy cố gắng ghi nhớ mọi lời nói dối của chính bạn, dù là nhỏ nhất,. Và bởi vì trí nhớ của con người không phải là vô hạn và bạn chắc chắn sẽ không thể nhớ hết "gonilov" của mình, nên từ đây kết luận theo quy tắc cơ bản: Nói dối càng hiếm càng tốt, IMHO đây là cách duy nhất để đạt được sự chính đáng.

Cát trong mắt, mì trong tai

Một bậc thầy (tay đua) dối trá thực sự giống như một vận động viên đấu bò người Tây Ban Nha, người chỉ rút kiếm vào thời điểm quyết định nhất và chỉ tung ra một đòn duy nhất. Tất cả thời gian còn lại, anh ta khéo léo đánh lạc hướng nạn nhân với sự trợ giúp của những thao tác khéo léo với chiếc áo choàng đỏ. Trong quá trình treo giò, họ sử dụng các phương pháp tương tự, và khéo léo chuyển sự chú ý của người đối thoại sang đối tượng khác hoặc thỉnh thoảng thay đổi chủ đề của cuộc trò chuyện thường giúp bạn không phải nói dối. Hãy suy nghĩ trước về chiến lược hành vi của bạn để bạn không phải xua đuổi bất kỳ trận bão tuyết nào. Nhưng đừng lạm dụng nó, bởi vì việc sử dụng một cách vụng về của một chiếc muleta có thể khiến một người đấu bò phải trả giá bằng mạng sống!

Khó ở trường, dễ đi làm

Thực hành là cần thiết trong bất kỳ ngành nghề nào, và trong một nghề như một kẻ dối trá, thực hành chắc chắn là không thể thiếu. Nhưng vì thực hành trên người sống không nhân văn lắm, nên chúng tôi sẽ thực hành trên chính mình. Hãy đứng trước gương và lặp lại những lời nói dối của chúng ta cho đến khi nó trông hoàn toàn tự nhiên. Tốt nhất, chúng ta nên thuyết phục bản thân về sự thật của những lời nói dối của chúng ta. Một sự lừa dối hoàn hảo là một sự lừa dối mà chính chúng ta đã tin vào.

Và tôi, sau đó không phải tôi, và điều vô nghĩa không phải là của tôi

Nếu bạn bị nghi ngờ là nói dối, thì điều tồi tệ nhất có thể làm trong tình huống như vậy là bắt đầu bào chữa và bắt đầu phát minh ra những lời nói dối mới. Khi nhà đã bắt đầu ngổn ngang thì cần phải giải tỏa càng sớm càng tốt, không nên gấp rút xây thêm tầng. Đó là lý do tại sao mọi lời buộc tội phải được trả lời bằng sự im lặng đầy xúc phạm và tự hào, nếu không hãy chuyển sang một chủ đề khác.

Đối với việc "tự nguyện đầu hàng trước sự giam cầm qua đường hậu môn", sự đầu hàng như vậy tương đương với một phát súng trực tiếp vào đền thờ. Thông thường, có những trường hợp khi sự thật đều có sai sót như nhau đối với cả hai bên và bên đối lập, mặc dù bị buộc tội nói dối, giống như chính người nói dối, sẽ không muốn nghe điều đó. Đừng lùi bước hoặc bỏ cuộc, ngay cả khi bạn bị đẩy vào tường theo đúng nghĩa đen. Uốn cong đường lối của bạn chống lại bằng chứng, logic và lẽ thường ( không có quân đội của chúng tôi ở Crimea, đó là sự tự vệ của tất cả mọi người).

Chỉ bạn, vâng chỉ tôi

Bạn có thể suy nghĩ về một chiến lược hành vi cho nhiều bước tiến về phía trước, bạn có thể rèn luyện kỹ năng diễn xuất tuyệt vời gần gương và tìm ra ngữ điệu trung thực của một cuộc trò chuyện, đưa ra lời bào chữa, cung cấp cho mình nhân chứng, lối thoát và dòng thứ hai phòng thủ.

Và người thân, bạn bè vẫn có thể tìm ra sự thật. Điều này không phù hợp với một lời giải thích khoa học, bởi vì chúng tôi không tin vào kiểu "Tôi đã mơ trong một giấc mơ" hoặc "Tôi cảm thấy mông của tôi bằng trái tim của tôi" ... "rằng bạn là một kẻ nói dối hư cấu." Nói cách khác, giữa một số người có thể thiết lập một loại kết nối tâm sinh lý không lời (thể xác), nhờ đó họ cảm nhận được những thay đổi nhỏ nhất trong trạng thái của nhau một cách vô thức. đó là lý do tại sao không nên cố gắng nói dối gia đình và bạn bè.

Trong những năm gần đây, tội phạm mạng sử dụng các kỹ thuật xã hội đã áp dụng các phương pháp tiên tiến hơn giúp chúng có nhiều khả năng tiếp cận thông tin chúng cần hơn bằng cách sử dụng tâm lý hiện đại của nhân viên doanh nghiệp và mọi người nói chung. Bước đầu tiên để chống lại loại thủ đoạn này là hiểu rõ chiến thuật của kẻ tấn công. Hãy xem xét tám cách tiếp cận cơ bản đối với kỹ thuật xã hội.

Giới thiệu

Vào những năm 90, khái niệm "kỹ thuật xã hội" được đặt ra bởi Kevin Mitnick, một nhân vật mang tính biểu tượng trong lĩnh vực bảo mật thông tin, một cựu hacker nghiêm túc. Tuy nhiên, những kẻ tấn công đã sử dụng các phương pháp như vậy rất lâu trước khi thuật ngữ này xuất hiện. Các chuyên gia tin chắc rằng chiến thuật của tội phạm mạng hiện đại gắn liền với việc theo đuổi hai mục tiêu: đánh cắp mật khẩu, cài đặt phần mềm độc hại.

Những kẻ tấn công cố gắng áp dụng kỹ thuật xã hội bằng cách sử dụng điện thoại, email và Web. Hãy cùng làm quen với các phương pháp chính giúp bọn tội phạm có được thông tin bí mật mà chúng cần.

Chiến thuật 1. Lý thuyết mười cái bắt tay

Mục tiêu chính của kẻ tấn công mạng xã hội là thuyết phục nạn nhân của họ về một trong hai điều:

1. Nạn nhân được gọi bởi một nhân viên công ty;
2. Đại diện của cơ quan có thẩm quyền (ví dụ, nhân viên thực thi pháp luật hoặc kiểm toán viên) gọi.

Nếu một tên tội phạm đặt cho mình nhiệm vụ thu thập dữ liệu về một nhân viên nào đó, trước tiên hắn có thể liên hệ với đồng nghiệp của mình, cố gắng bằng mọi cách có thể để trích xuất dữ liệu mà hắn cần.

Bạn có nhớ lý thuyết sáu cái bắt tay cũ không? Vì vậy, các chuyên gia bảo mật cho rằng chỉ có thể có mười "cái bắt tay" giữa tội phạm mạng và nạn nhân của hắn. Các chuyên gia tin rằng trong điều kiện hiện đại, bạn luôn cần phải có một chút hoang tưởng, vì không biết nhân viên này hay nhân viên kia muốn gì ở bạn.

Những kẻ tấn công thường liên hệ với một thư ký (hoặc một người tương tự) để thu thập thông tin về những người cao hơn trong hệ thống phân cấp. Các chuyên gia chỉ ra rằng giọng điệu thân thiện giúp ích cho những kẻ lừa đảo theo nhiều cách. Chậm nhưng chắc chắn, bọn tội phạm đang tìm ra chìa khóa cho bạn, điều này sớm dẫn đến việc bạn chia sẻ thông tin mà trước đây bạn chưa bao giờ phát hiện ra.

Chiến thuật 2. Học ngôn ngữ doanh nghiệp

Như bạn đã biết, mỗi ngành đều có cách diễn đạt cụ thể. Nhiệm vụ của kẻ tấn công cố gắng có được thông tin cần thiết là nghiên cứu các đặc thù của một ngôn ngữ như vậy để sử dụng một cách thuần thục hơn các kỹ thuật của kỹ thuật xã hội.

Tất cả tính cụ thể nằm trong việc nghiên cứu ngôn ngữ doanh nghiệp, các thuật ngữ và tính năng của nó. Nếu tội phạm mạng nói bằng một ngôn ngữ quen thuộc, gần gũi và dễ hiểu cho mục đích của mình, anh ta sẽ dễ dàng có được sự tự tin và có thể nhanh chóng lấy được thông tin mà anh ta cần.

Chiến thuật 3: Mượn nhạc để chờ cuộc gọi

Để thực hiện một cuộc tấn công thành công, những kẻ lừa đảo cần ba yếu tố: thời gian, sự bền bỉ và kiên nhẫn. Các cuộc tấn công mạng sử dụng kỹ thuật xã hội thường được tiến hành từ từ và có phương pháp - không chỉ thu thập dữ liệu về đúng người, mà còn cả cái gọi là "tín hiệu xã hội". Điều này được thực hiện để có được sự tin tưởng và vòng tròn mục tiêu. Ví dụ, những kẻ tấn công có thể thuyết phục người mà họ đang giao tiếp rằng họ là đồng nghiệp.

Một trong những tính năng của cách tiếp cận này là ghi âm nhạc mà công ty sử dụng trong các cuộc gọi, trong khi người gọi đang mong đợi câu trả lời. Đầu tiên kẻ phạm tội đợi bản nhạc như vậy, sau đó ghi âm lại, và sau đó sử dụng nó để có lợi cho mình.

Vì vậy, khi đối thoại trực tiếp với nạn nhân, những kẻ tấn công tại một số điểm nói: "Chờ một chút, cuộc gọi ở một đường dây khác." Sau đó nạn nhân nghe thấy tiếng nhạc quen thuộc và không nghi ngờ gì người gọi đại diện cho một công ty nào đó. Thực chất đây chỉ là một thủ thuật tâm lý thông minh.

Chiến thuật 4. Giả mạo số điện thoại

Tội phạm thường sử dụng giả mạo số điện thoại để giả mạo số của người gọi. Ví dụ: kẻ tấn công có thể ngồi trong căn hộ của mình và gọi cho một người quan tâm, nhưng ID người gọi sẽ hiển thị số của công ty, điều này sẽ tạo ra ảo giác rằng kẻ lừa đảo đang gọi bằng số của công ty.

Tất nhiên, những nhân viên không nghi ngờ trong hầu hết các trường hợp sẽ chuyển thông tin bí mật, bao gồm cả mật khẩu, cho người gọi nếu ID người gọi thuộc về công ty của họ. Cách làm này cũng giúp tội phạm tránh bị theo dõi, vì nếu bạn gọi lại vào số này, bạn sẽ được chuyển đến đường dây nội bộ của công ty.

Chiến thuật 5. Sử dụng tin tức chống lại bạn

Dù là tiêu đề của tin tức hiện tại, những kẻ tấn công sử dụng thông tin này làm mồi nhử cho thư rác, lừa đảo và các hoạt động gian lận khác. Không phải là không có gì khi các chuyên gia gần đây đã ghi nhận sự gia tăng số lượng thư rác, các chủ đề liên quan đến các chiến dịch tổng thống và các cuộc khủng hoảng kinh tế.

Ví dụ bao gồm một cuộc tấn công lừa đảo chống lại một ngân hàng. Email có nội dung như sau:

“Một ngân hàng khác [tên ngân hàng] đang mua lại ngân hàng [tên ngân hàng] của bạn. Nhấp vào liên kết này để đảm bảo rằng thông tin ngân hàng của bạn được cập nhật trước khi giao dịch kết thúc. "

Đương nhiên, đây là một nỗ lực nhằm lấy thông tin mà những kẻ lừa đảo có thể vào tài khoản của bạn, lấy cắp tiền của bạn hoặc bán thông tin của bạn cho bên thứ ba.

Chiến thuật 6. Tận dụng niềm tin vào các nền tảng xã hội

Không có gì bí mật khi Facebook, Myspace và LinkedIn là những trang mạng xã hội cực kỳ phổ biến. Theo nghiên cứu của các chuyên gia, mọi người có xu hướng tin tưởng vào các nền tảng như vậy. Sự cố lừa đảo gần đây nhắm vào người dùng LinkedIn ủng hộ lý thuyết này.

Do đó, nhiều người dùng sẽ tin tưởng vào một email nếu nó được cho là của Facebook. Một thủ thuật phổ biến là để khẳng định mạng xã hội đang bảo trì, bạn phải “bấm vào đây” để cập nhật thông tin. Đó là lý do tại sao các chuyên gia khuyến nghị nhân viên công ty nhập địa chỉ web theo cách thủ công để tránh các liên kết lừa đảo.

Cũng cần lưu ý rằng trong một số trường hợp hiếm hoi, các trang web gửi cho người dùng yêu cầu thay đổi mật khẩu hoặc cập nhật tài khoản của họ.

Chiến thuật 7. Lời khuyên

Kỹ thuật độc hại này đáng chú ý vì tội phạm mạng khai thác yếu tố con người, cụ thể là lỗi khi nhập URL vào thanh địa chỉ. Do đó, chỉ cần một chữ cái mắc lỗi, người dùng có thể truy cập vào một trang web được tạo riêng cho mục đích này bởi tội phạm mạng.

Tội phạm mạng cẩn thận tạo tiền đề cho việc sắp chữ, do đó, trang web của chúng sẽ giống như hai hạt đậu trong một cái vỏ tương tự như trang hợp pháp mà bạn muốn truy cập ban đầu. Do đó, nếu bạn mắc lỗi chính tả của địa chỉ web, bạn sẽ được đưa đến một bản sao của một trang web hợp pháp, mục đích của việc này là bán thứ gì đó, ăn cắp dữ liệu hoặc phát tán phần mềm độc hại.

Chiến thuật 8: Sử dụng FUD để tác động đến thị trường chứng khoán

FUD là một chiến thuật thao túng tâm lý được sử dụng trong tiếp thị và tuyên truyền nói chung, bao gồm việc trình bày thông tin về một cái gì đó (cụ thể là một sản phẩm hoặc một tổ chức) theo cách để gây ra sự không chắc chắn và nghi ngờ về phẩm chất của nó ở khán giả và do đó gây ra sợ hãi về nó.

Theo nghiên cứu mới nhất của Avert, tính bảo mật và tính dễ bị tổn thương của các sản phẩm và thậm chí toàn bộ công ty có thể ảnh hưởng đến thị trường chứng khoán. Ví dụ, các nhà nghiên cứu đã nghiên cứu tác động của các sự kiện như Bản vá thứ ba của Microsoft lên cổ phiếu của công ty, tìm ra sự biến động đáng chú ý mỗi tháng sau khi lỗ hổng bảo mật được phát hành.

Bạn cũng có thể nhớ cách những kẻ tấn công vào năm 2008 đã lan truyền thông tin sai lệch về sức khỏe của Steve Jobs, dẫn đến việc cổ phiếu Apple giảm mạnh. Đây là cách sử dụng FUD độc hại phổ biến nhất.

Ngoài ra, cần lưu ý việc sử dụng e-mail để thực hiện kỹ thuật pump-and-dump (một kế hoạch thao túng tỷ giá hối đoái trên thị trường chứng khoán hoặc thị trường tiền điện tử, kéo theo đó là sự sụp đổ). Trong trường hợp này, những kẻ tấn công có thể gửi email mô tả tiềm năng to lớn của các cổ phiếu mà chúng đã mua trước.

Vì vậy, nhiều người sẽ cố gắng mua số cổ phiếu này càng sớm càng tốt, và chúng sẽ tăng giá trị.

kết luận

Tội phạm mạng thường cực kỳ tháo vát trong việc sử dụng các kỹ thuật xã hội. Sau khi xem xét các phương pháp của họ, chúng tôi có thể kết luận rằng các thủ thuật tâm lý khác nhau rất hữu ích để những kẻ tấn công đạt được mục đích của họ. Dựa trên điều này, điều đáng chú ý là bất kỳ điều nhỏ nào có thể vô tình đưa ra kẻ lừa đảo, hãy kiểm tra và kiểm tra kỹ thông tin về những người liên hệ với bạn, đặc biệt nếu thông tin bí mật đang được thảo luận.

Đừng để mất nó.Đăng ký và nhận một liên kết đến bài viết trong thư của bạn.

Kể từ khi máy tính ra đời và bắt đầu phát triển Internet, các lập trình viên đã nỗ lực hết sức để đảm bảo an ninh cho máy tính. Nhưng ngay cả ngày nay, vẫn chưa có ai thành công trong việc đạt được điều này 100%. Tuy nhiên, hãy tưởng tượng rằng kết quả này vẫn đạt được nhờ vào mật mã mạnh nhất, giao thức bảo mật cao cấp, phần mềm đáng tin cậy và các yếu tố bảo mật khác. Kết quả là chúng tôi có được một mạng an toàn tuyệt đối và chúng tôi có thể làm việc trong đó một cách an toàn.

“Hoàn hảo! - bạn nói, - nó ở trong túi! ”, nhưng bạn sẽ sai, bởi vì điều này là chưa đủ. Tại sao? Bởi vì lợi ích từ bất kỳ hệ thống máy tính nào chỉ có thể thu được khi có sự tham gia của người dùng, tức là của người. Và chính sự tương tác này giữa máy tính và con người mang một mối nguy hiểm nghiêm trọng, và một người thường trở thành mắt xích yếu nhất trong chuỗi các biện pháp bảo mật. Bên cạnh đó, chính anh cũng là nguyên nhân khiến việc bảo mật kém hiệu quả.

Trong thời đại thông tin, việc thao túng con người trở nên dễ dàng hơn, vì có Internet và truyền thông di động, cho phép bạn tương tác mà không cần tiếp xúc trực tiếp. Thậm chí, có những phương pháp đặc biệt giúp những kẻ tấn công “vận hành” mọi người theo cách chúng muốn. Phức hợp của chúng được gọi là kỹ thuật xã hội, và trong bài viết này, chúng tôi sẽ cố gắng tìm hiểu xem nó là gì.

Kỹ thuật xã hội: nó là gì và nó ra đời như thế nào?

Có thể dễ dàng đoán rằng ngay cả hệ thống an ninh tinh vi nhất cũng dễ bị tổn thương khi nó được điều khiển bởi một người, đặc biệt nếu người này cả tin, ngây thơ và. Và khi một cuộc tấn công được thực hiện trên một máy tính (PC), nạn nhân của nó không chỉ có thể là máy tính mà còn có thể là người đứng sau nó.

Đó là cuộc tấn công này trong tiếng lóng của hacker xã hội được gọi là kỹ thuật xã hội. Trong hình thức truyền thống, nó giống như một cuộc gọi điện thoại, trong đó người gọi giả danh người khác, muốn lấy thông tin bí mật từ thuê bao, thường là mật khẩu. Nhưng trong các bài viết của chúng tôi, chúng tôi sẽ xem xét hiện tượng kỹ thuật xã hội theo nghĩa rộng hơn, nghĩa là bằng bất kỳ phương pháp thao túng tâm lý nào có thể xảy ra, chẳng hạn như tống tiền, chơi theo cảm tính, lừa dối, v.v.

Theo cách hiểu này, kỹ thuật xã hội là một phương pháp điều khiển hành động của con người mà không cần sử dụng các phương tiện kỹ thuật. Thông thường, nó được coi là một phương pháp thu thập thông tin có giá trị bất hợp pháp. Nó được sử dụng chủ yếu trên Internet. Nếu bạn quan tâm đến các ví dụ về kỹ thuật xã hội, thì đây là một trong những ví dụ nổi bật nhất:

VÍ DỤ: Kẻ tấn công muốn tìm ra mật khẩu cho tài khoản cá nhân của ngân hàng Internet từ một người. Anh ta gọi điện thoại cho nạn nhân và tự giới thiệu là nhân viên ngân hàng, hỏi mật khẩu, viện lý do sự cố kỹ thuật nghiêm trọng trong hệ thống của tổ chức. Để có sức thuyết phục cao hơn, anh ta đặt tên hư cấu (hoặc biết trước là có thật) của nhân viên, chức vụ và quyền hạn của anh ta (nếu cần). Để khiến nạn nhân tin tưởng, hacker xã hội có thể lấp đầy câu chuyện của mình bằng những chi tiết đáng tin cậy, đánh vào cảm xúc của nạn nhân. Sau khi kẻ tấn công nhận được thông tin, anh ta vẫn thành thạo nói lời tạm biệt với "khách hàng" của mình, và sau đó sử dụng mật khẩu để vào tài khoản cá nhân của mình và đánh cắp tiền.

Thật kỳ lạ, nhưng ngay cả trong thời đại của chúng ta, vẫn có những người mắc bẫy như vậy và tin tưởng nói với hacker xã hội mọi thứ họ cần. Và trong kho vũ khí của sau này có thể có nhiều kỹ thuật và kỹ thuật. Chúng tôi cũng sẽ nói về chúng, nhưng một chút sau.

Kỹ thuật xã hội là một khoa học (hướng) đã xuất hiện tương đối gần đây. Ý nghĩa xã hội học của nó nằm ở chỗ nó hoạt động với những kiến ​​thức cụ thể hướng dẫn, hệ thống hóa và tối ưu hóa quá trình tạo ra, hiện đại hóa và áp dụng thực tế xã hội mới. Theo một nghĩa nào đó, nó bổ sung cho kiến ​​thức xã hội học, biến kiến ​​thức khoa học thành các thuật toán cho hoạt động và hành vi.

Trong một số hình thức, con người đã sử dụng kỹ thuật xã hội từ thời cổ đại. Ví dụ, ở La Mã cổ đại và Hy Lạp cổ đại, những nhà tiên tri được đào tạo đặc biệt rất được kính trọng, có khả năng thuyết phục người đối thoại về cái “sai” của mình. Những người này đã tham gia vào các cuộc đàm phán ngoại giao và giải quyết các vấn đề của bang. Sau đó, kỹ thuật xã hội đã được áp dụng bởi các cơ quan tình báo như CIA và KGB, các đặc vụ của họ đã đóng giả thành công bất kỳ ai và đánh cắp bí mật quốc gia.

Đến đầu những năm 1970, các vụ côn đồ qua điện thoại bắt đầu xuất hiện, phá vỡ sự yên bình của nhiều công ty chỉ vì một trò đùa. Nhưng theo thời gian, ai đó nhận ra rằng nếu bạn sử dụng phương pháp kỹ thuật, bạn có thể dễ dàng nhận được nhiều loại thông tin quan trọng. Và vào cuối những năm 70, những kẻ côn đồ qua điện thoại trước đây đã trở thành những kỹ sư xã hội chuyên nghiệp (họ bắt đầu được gọi là những kẻ thâm nhập), có khả năng thao túng mọi người một cách khéo léo, xác định sự phức tạp và nỗi sợ hãi của họ chỉ bằng ngữ điệu của họ.

Khi máy tính xuất hiện, hầu hết các ca sĩ đều thay đổi hồ sơ, trở thành hacker mạng xã hội. Bây giờ các khái niệm "kỹ thuật xã hội" và "tin tặc xã hội" là đồng nghĩa với nhau. Và với sự phát triển mạnh mẽ của kỹ thuật xã hội, các loại hình mới của nó bắt đầu xuất hiện và kho phương pháp được mở rộng.

Hãy xem đoạn video ngắn này để biết các hacker xã hội thao túng mọi người như thế nào.

Kỹ thuật xây dựng xã hội

Tất cả các ví dụ thực tế về kỹ thuật xã hội chỉ ra rằng nó có thể dễ dàng thích ứng với mọi điều kiện và môi trường bất kỳ và nạn nhân của tin tặc xã hội, theo quy luật, thậm chí không nghi ngờ rằng một số loại kỹ thuật đang được sử dụng để chống lại họ, và thậm chí còn hơn thế nữa không biết ai làm điều đó.

Tất cả các phương pháp kỹ thuật xã hội đều dựa trên. Đây là cái gọi là cơ sở nhận thức, theo đó mọi người trong môi trường xã hội luôn có xu hướng tin tưởng ai đó. Trong số các phương pháp chính của kỹ thuật xã hội là:

• "Con ngựa thành Troy"
• Pretext
• "Đường táo"
• Lừa đảo
• Qwi pro quo

Hãy cho bạn biết thêm về họ.

"Con ngựa thành Troy"

Khi sử dụng "con ngựa thành Troy", sự tò mò của một người và mong muốn có được lợi nhuận của anh ta bị lợi dụng. Tin tặc xã hội gửi một bức thư đến E-Mail của nạn nhân có chứa một số tệp đính kèm thú vị, ví dụ: bản nâng cấp cho một chương trình, trình bảo vệ màn hình của nội dung khiêu dâm, tin tức hấp dẫn, v.v. Phương pháp này được sử dụng để buộc người dùng nhấp vào một tệp có thể lây nhiễm vi rút vào máy tính. Thông thường, các biểu ngữ xuất hiện trên màn hình, chỉ có thể được đóng lại bằng hai cách: cài đặt lại hệ điều hành hoặc trả cho tội phạm mạng một số tiền nhất định.

Pretext

Thuật ngữ "nhắn tin trước" có nghĩa là một hành động mà người dùng thực hiện trên một văn bản trước đã được chuẩn bị trước đó, tức là kịch bản. Mục đích là để một người đưa ra thông tin cụ thể hoặc thực hiện một hành động cụ thể. Trong hầu hết các trường hợp, tính năng nhắn tin trước được sử dụng cho các cuộc gọi điện thoại, mặc dù có những ví dụ về các cuộc tấn công tương tự vào Skype, Viber, ICQ và các trình nhắn tin khác. Nhưng để thực hiện phương pháp này, ca sĩ hay hacker không chỉ phải nghiên cứu trước đối tượng - tìm hiểu tên, ngày sinh, nơi làm việc, số tiền trên tài khoản, v.v. Với sự trợ giúp của các chi tiết như vậy, ca sĩ làm tăng lòng tin của nạn nhân vào bản thân.

"Đường táo"

Phương pháp táo đường bao gồm sự thích nghi của "con ngựa thành Troy" và yêu cầu bắt buộc phải sử dụng một số loại phương tiện vận chuyển thông tin vật lý. Tin tặc mạng xã hội có thể tạo ổ đĩa flash có khả năng khởi động hoặc đĩa được làm giả để làm phương tiện truyền thông với nội dung thú vị và / hoặc độc đáo. Tất cả những gì cần thiết là đặt một “quả táo du lịch” lên nạn nhân một cách kín đáo, chẳng hạn như trong ô tô ở bãi đậu xe, trong túi xách trong thang máy, v.v. Hoặc bạn có thể đơn giản để “trái cây” này ở nơi mà nạn nhân rất có thể sẽ nhìn thấy nó và tự lấy nó.

Lừa đảo

Lừa đảo là một phương pháp rất phổ biến để lấy thông tin bí mật. Trong phiên bản cổ điển, đây là email "chính thức" (từ dịch vụ thanh toán, ngân hàng, cá nhân cấp cao, v.v.), được ký và đóng dấu. Người nhận địa chỉ được yêu cầu theo liên kết đến trang web giả mạo (cũng có tất cả mọi thứ nói về "tính chính thức và độ tin cậy" của tài nguyên) và nhập một số thông tin, ví dụ: họ tên, địa chỉ nhà, số điện thoại, địa chỉ của hồ sơ trong mạng xã hội, thẻ số ngân hàng (và thậm chí là mã CVV!). Sau khi tin tưởng trang web và nhập dữ liệu, nạn nhân sẽ gửi chúng cho những kẻ lừa đảo, và điều gì xảy ra tiếp theo rất dễ đoán.

Qwi pro quo

Phương pháp Qi Pro Quo được sử dụng để đưa phần mềm độc hại vào hệ thống của nhiều công ty khác nhau. Các hacker xã hội gọi đến quyền (đôi khi là bất kỳ) công ty, tự giới thiệu là nhân viên hỗ trợ kỹ thuật và phỏng vấn nhân viên về bất kỳ trục trặc kỹ thuật nào trong hệ thống máy tính. Nếu có trục trặc, những kẻ tấn công bắt đầu "sửa chữa" chúng: chúng yêu cầu nạn nhân nhập một lệnh cụ thể, sau đó có thể khởi chạy phần mềm vi-rút.

Các phương pháp kỹ thuật xã hội ở trên được tìm thấy trong thực tế thường xuyên nhất, nhưng cũng có những phương pháp khác. Ngoài ra, còn có một loại kỹ thuật xã hội đặc biệt, cũng được thiết kế để tác động đến một người và hành động của người đó, nhưng được thực hiện theo một thuật toán hoàn toàn khác.

Kỹ thuật xã hội đảo ngược

Kỹ thuật xã hội ngược và tin tặc xã hội chuyên về nó tổ chức các hoạt động của họ theo ba hướng:

• Các tình huống được tạo ra buộc mọi người phải tìm kiếm sự giúp đỡ
• Các dịch vụ giải quyết vấn đề được quảng cáo (điều này cũng bao gồm việc nhận được trợ giúp từ các chuyên gia thực sự)
• Cung cấp "trợ giúp" và tác động

Trong trường hợp của loại kỹ thuật xã hội này, những kẻ tấn công ban đầu nghiên cứu người hoặc nhóm người mà chúng định gây ảnh hưởng. Niềm đam mê, sở thích, mong muốn và nhu cầu của họ được điều tra và ảnh hưởng được thực hiện một cách chính xác thông qua chúng với sự trợ giúp của các chương trình và bất kỳ phương pháp ảnh hưởng điện tử nào khác. Hơn nữa, các chương trình trước tiên phải hoạt động mà không có lỗi, để không gây ra nỗi sợ hãi, và chỉ sau đó chuyển sang chế độ độc hại.

Ví dụ về kỹ thuật xã hội ngược cũng không phải là hiếm, và đây là một trong số chúng:

Tin tặc xã hội phát triển một chương trình cho một công ty cụ thể dựa trên lợi ích của nó. Chương trình có chứa một loại vi-rút hoạt động chậm - sau ba tuần, nó được kích hoạt và hệ thống bắt đầu hoạt động sai. Hướng dẫn đang yêu cầu các nhà phát triển giúp khắc phục sự cố. Được chuẩn bị cho sự phát triển của các sự kiện như vậy, những kẻ tấn công cử "chuyên gia" của họ, người "giải quyết vấn đề", có quyền truy cập vào thông tin bí mật. Mục tiêu đã đạt được.

Không giống như kỹ thuật xã hội thông thường, kỹ thuật đảo ngược sử dụng nhiều lao động hơn, đòi hỏi kiến ​​thức và kỹ năng cụ thể và được sử dụng để tác động đến nhiều đối tượng hơn. Nhưng hiệu quả của nó thật đáng kinh ngạc - một sự hy sinh mà không có sự phản kháng, tức là ý chí tự do của mình để lộ tất cả các thẻ của mình cho tin tặc.

Do đó, bất kỳ hình thức kỹ thuật xã hội nào hầu như luôn được sử dụng với mục đích xấu. Tất nhiên, một số người nói về lợi ích của nó, chỉ ra rằng với sự trợ giúp của nó, có thể giải quyết các vấn đề xã hội, duy trì hoạt động xã hội và thậm chí thích nghi các thể chế xã hội với các điều kiện thay đổi. Nhưng, bất chấp điều này, nó được sử dụng thành công nhất cho:

• Lừa đảo mọi người và lấy thông tin bí mật
• Thao túng và tống tiền mọi người
• Phá hủy công việc của các công ty để phá hủy sau này của họ
• Trộm cắp cơ sở dữ liệu
• Gian lận tài chính
• Trí tuệ cạnh tranh

Đương nhiên, điều này không thể không được chú ý, và các phương pháp chống lại kỹ thuật xã hội đã xuất hiện.

Bảo vệ kỹ thuật xã hội

Ngày nay, các công ty lớn tiến hành tất cả các loại thử nghiệm về khả năng chống lại kỹ thuật xã hội một cách có hệ thống. Hầu như không bao giờ hành động của những người bị hacker tấn công mạng xã hội là có chủ đích. Nhưng vì vậy chúng rất nguy hiểm, bởi vì nếu chống lại mối đe dọa từ bên ngoài tương đối dễ dàng, thì việc chống lại mối đe dọa bên trong sẽ khó hơn nhiều.

Để cải thiện bảo mật, ban quản lý các công ty tiến hành các khóa đào tạo chuyên biệt, theo dõi mức độ hiểu biết của nhân viên và cũng tự khởi xướng phá hoại nội bộ, giúp thiết lập mức độ sẵn sàng của mọi người đối với các cuộc tấn công bởi tin tặc xã hội, phản ứng, sự tận tâm của họ và trung thực. Ví dụ, họ có thể gửi thư "bị nhiễm" tới E-Mail, thực hiện liên lạc trên Skype hoặc mạng xã hội.

Sự bảo vệ giống nhau khỏi kỹ thuật xã hội có thể là do con người và kỹ thuật. Trong trường hợp đầu tiên, sự chú ý của mọi người đến các vấn đề bảo mật, bản chất mức độ nghiêm trọng của vấn đề này được truyền đạt và các biện pháp được thực hiện để đưa ra chính sách bảo mật, các phương pháp và hành động được nghiên cứu và thực hiện để tăng cường bảo vệ thông tin hỗ trợ. Nhưng tất cả những điều này đều có một nhược điểm - tất cả các phương pháp này đều thụ động và nhiều người chỉ đơn giản là bỏ qua các cảnh báo.

Đối với bảo vệ kỹ thuật, điều này bao gồm các phương tiện cản trở quyền truy cập thông tin và việc sử dụng thông tin. Cho rằng email và tin nhắn đã trở thành những cuộc tấn công "phổ biến" nhất của tin tặc mạng xã hội trên Internet, các lập trình viên tạo ra phần mềm đặc biệt để lọc tất cả dữ liệu gửi đến, cả trong hộp thư riêng và thư nội bộ. Bộ lọc phân tích văn bản của các tin nhắn đến và đi. Nhưng có một khó khăn ở đây - phần mềm như vậy tải các máy chủ, điều này có thể làm chậm và đánh sập hệ thống. Ngoài ra, không thể lường trước được tất cả các biến thể trong cách viết các thông điệp có khả năng gây nguy hiểm. Tuy nhiên, công nghệ đang được cải thiện.

Và nếu chúng ta nói cụ thể về các phương tiện ngăn cản việc sử dụng dữ liệu thu được, chúng được chia thành:

• Chặn việc sử dụng thông tin ở mọi nơi, ngoại trừ nơi làm việc của người dùng (dữ liệu xác thực được gắn với chữ ký điện tử và số sê-ri của các thành phần PC, địa chỉ vật lý và IP)
• Chặn việc sử dụng thông tin tự động (điều này bao gồm Captcha quen thuộc, trong đó mật khẩu là một hình ảnh hoặc một phần bị bóp méo của nó)

Cả hai phương pháp này đều chặn khả năng tự động hóa và thay đổi sự cân bằng giữa giá trị của thông tin và công việc thu thập thông tin theo hướng làm việc. Do đó, ngay cả với tất cả dữ liệu được cung cấp bởi những người dùng không nghi ngờ, các hacker xã hội vẫn phải đối mặt với những khó khăn nghiêm trọng trong quá trình ứng dụng thực tế của chúng.

Và đối với bất kỳ người bình thường nào để được bảo vệ khỏi kỹ thuật xã hội, chúng tôi khuyên bạn chỉ cần duy trì cảnh giác. Khi nhận được một bức thư qua e-mail, hãy nhớ đọc kỹ văn bản và các đường dẫn liên kết, cố gắng hiểu nội dung trong bức thư, nó đến từ ai và tại sao. Đừng quên sử dụng phần mềm chống vi-rút. Nếu người lạ gọi từ một số lạ, đừng bao giờ cung cấp dữ liệu cá nhân của bạn, đặc biệt là những dữ liệu liên quan đến tài chính của bạn.

Nhân tiện, video này, mặc dù ngắn gọn, nhưng thú vị kể về cách bảo vệ bạn khỏi kỹ thuật xã hội.

Và, cuối cùng, chúng tôi muốn giới thiệu với bạn một số cuốn sách về kỹ thuật xã hội, bao gồm cả lĩnh vực kiến ​​thức xã hội học, để nếu bạn muốn, bạn có thể làm quen với chủ đề này một cách chi tiết hơn.

Những cuốn sách này cung cấp nhiều hướng dẫn thực tế về cách làm chủ các kỹ thuật và kỹ thuật thao tác phổ biến. Bạn cũng sẽ tìm hiểu về các kỹ thuật xây dựng xã hội hiệu quả nhất và học cách nhận ra chúng và phòng thủ trước các cuộc tấn công.

Sách Kỹ thuật Xã hội:

• Kevin Mitnick "Bóng ma trên mạng"
• Kevin Mitnick, William Simon "Nghệ thuật xâm lược"
• Kevin Mitnick, William Simon "Nghệ thuật lừa dối"
• Chris Kaspersky "Vũ khí bí mật của kỹ thuật xã hội"

Hãy nhớ rằng mọi người đều có khả năng làm chủ nghệ thuật điều khiển hành động của người khác, nhưng những kỹ năng này phải được sử dụng vì lợi ích của con người. Đôi khi việc hướng dẫn một người và thúc đẩy họ hướng tới các giải pháp có lợi cho chúng ta là rất hữu ích và thuận tiện. Nhưng điều quan trọng hơn nhiều là có thể xác định được các tin tặc và kẻ lừa đảo trên mạng xã hội để không trở thành con mồi của chúng; điều quan trọng hơn là không phải là một trong số họ. Chúc các bạn thông thái và có kinh nghiệm sống hữu ích!

Thông thường, kỹ thuật xã hội được gọi là một tập hợp các kỹ thuật nhằm làm cho một người cư xử theo một cách nhất định, vì điều đó là cần thiết cho ai đó, chẳng hạn như đưa tiền, cung cấp thông tin bí mật hoặc ký một cái gì đó. Để làm được điều này, thông thường cần phải nghiên cứu yếu tố con người, phản ứng của con người đối với các yêu cầu, phàn nàn, nguồn gốc của căng thẳng, v.v. Biết được thái độ và phản ứng của hầu hết mọi người, bạn sẽ dễ dàng khiến họ làm những việc nhất định.

Kỹ thuật xã hội có liên quan đến gian lận như thế nào và nó được sử dụng như thế nào để trích xuất thông tin cấm kỵ.

Hãy xem xét kỹ thuật xã hội từ hai khía cạnh này. Bạn có thể nhận thấy rằng trong thời buổi kinh tế, những kẻ lừa đảo luôn đặc biệt tích cực. Trong thời đại công nghệ này, họ đang chuẩn bị và đào tạo nhiều hơn. Về tâm lý học dịch vụ, kỹ thuật xã hội, công nghệ CNTT và nhiều kiến ​​thức đặc biệt khác giúp quản lý hành động của con người. Tất nhiên, sẽ không có đủ thời gian để nghiên cứu tất cả các thủ thuật của chúng, nhưng vẫn hữu ích nếu chú ý đến các nguyên tắc cơ bản của các thủ thuật và công nghệ chúng sử dụng, để không rơi vào mạng phân tán.

Loại người nào thường trở thành? Làm nạn nhân của con người và hoàn cảnh như thế nào? ? Làm thế nào về chúng tôi? Chúng tôi đã viết về điều này và không chỉ trên trang web của chúng tôi. Bây giờ ngắn gọn về một khoa học đặc biệt - kiến ​​thức mà từ đó được sử dụng bởi những kẻ lừa đảo "tiên tiến" - các kỹ sư xã hội.

Kỹ thuật xã hội với tư cách là một khoa học.

Kỹ thuật xã hội là một ngành khoa học khá trẻ bao gồm kiến ​​thức về tâm lý của con người và hành vi của họ trong các tình huống quan trọng. Kỹ thuật xã hội cũng có thể được gọi là "con heo đất của những sai lầm của con người", vì khoa học này hấp thụ mọi thứ liên quan đến yếu tố con người và việc sử dụng nó.

Những kiến ​​thức như vậy giúp bạn có thể dự đoán các lựa chọn khả thi cho hành vi của một người và xây dựng các tình huống khác nhau để khiến anh ta có một phản ứng nhất định. Một phản ứng do kẻ lừa đảo - một kỹ sư xã hội - kích động, dẫn người ta đến những hành động mà ban đầu là mục đích của kẻ lừa đảo. Mục tiêu của anh ta có thể là gì? Tất nhiên, để tìm hiểu thông tin hoặc để vào lãnh thổ của người khác, hoặc chỉ để lấy tiền của bạn. Về vấn đề này, các kỹ sư xã hội còn được gọi là hacker xã hội.

Kỹ sư xã hội này là người như thế nào?

Đây là người sở hữu và sử dụng khéo léo những kiến ​​thức từ kỹ thuật xã hội. Đây là một "nhà tâm lý học" (tất nhiên không phải là một nhà chuyên nghiệp), tính đến những phức tạp, điểm yếu, định kiến, thói quen, phản xạ, v.v. của người.

Kevin Mitnick, người từng là một hacker xã hội và hiện đang tư vấn về các vấn đề bảo mật, nói rằng việc đánh lừa thông tin cần thiết bằng các mánh khóe dễ dàng hơn nhiều so với việc tạo ra nhiều chương trình hack khác nhau.

Làm thế nào để bảo vệ bạn khỏi "tin tặc xã hội"?

Nó có thể rất khó, gần như là không thể, nếu bạn không biết gì về chúng. Và, ngay cả khi biết các mánh khóe của họ, bạn vẫn có thể mắc bẫy vì họ là chuyên gia trong các phản ứng tự phát, phản xạ, tự động hóa của bạn, v.v. Hãy cẩn thận!

Vì vậy, gần đây hơn, vào tháng Giêng năm nay, Internet tràn ngập những tin tức như vậy theo đúng nghĩa đen:

Tính toán của tin tặc rất đơn giản - những người nhận danh sách gửi thư sẽ thay mặt ban quản lý thực hiện yêu cầu của những kẻ lừa đảo, để tránh bị ban quản lý này khiển trách. Và vì vậy nó đã xảy ra. Theo hướng dẫn của các hacker xã hội, các nhân viên ngân hàng của ngân hàng Bỉ Crelan đã thực hiện các hành động cần thiết đối với những kẻ lừa đảo mà không cần kiểm tra thêm. Một email từ tin tặc yêu cầu hoàn tất giao dịch khẩn cấp. Nó trông khá hợp lý, vì bọn tội phạm đã sử dụng các bản sao của logo công ty và các tên miền nổi tiếng.

Các nhà tâm lý học đã tiến hành các thí nghiệm tương tự trước tình huống xảy ra với ngân hàng Bỉ. Vì vậy, các nhà nghiên cứu từ Anh đã gửi tin nhắn cho nhân viên của một tập đoàn lớn thay mặt cho quản trị viên hệ thống của công ty họ. Tin nhắn chứa yêu cầu gửi mật khẩu liên quan đến việc kiểm tra thiết bị theo lịch trình. Kết quả thật đáng buồn - hầu hết các nhân viên (75%) đều làm theo hướng dẫn của những kẻ tấn công.

Như bạn có thể thấy, các hành động của con người khá dễ dàng để lập trình. Hơn nữa, những người khá thông minh, có học thức và trí tuệ cao có thể rơi vào miếng mồi của những kẻ lừa đảo. Không có gì lạ ở đây, khi xét rằng có những người khác nghiên cứu hành động, tự động hóa, phản ứng của tất cả các loại người. Kể cả những cái rất thông minh.

VÍ DỤ VỀ PHƯƠNG PHÁP KỸ THUẬT XÃ HỘI

Một kỹ sư xã hội mô tả cách anh ta lẻn vào một khu vực kín bằng cách sử dụng định kiến ​​của mọi người. Các lính canh cũng là người! Người này (một kỹ sư xã hội) đã quan sát xem nhân viên của công ty mình cần huy hiệu nào, tự làm huy hiệu bằng cách in ra trên máy tính và đi qua cửa sau cùng với các nhân viên của cơ sở.

Tất nhiên, anh ta không có chip từ cửa, nhưng anh ta đã sử dụng phương pháp "chuyến tàu nhỏ". Bản chất của nó là đơn giản. Khi một đám đông tụ tập trước cửa, nó không đóng lại hoàn toàn và những người ở phía trước giữ cửa cho những người đi theo anh ta. Lịch sự thông thường. Rốt cuộc, họ có thể thấy từ huy hiệu rằng đây cũng là một nhân viên. Các lính canh nhìn thấy một loạt người có cùng một huy hiệu và không để ý đến họ cho lắm. Hơn nữa, trên bức tường bằng chữ lớn thậm chí còn không có một quảng cáo mà chỉ là một tấm áp phích cảnh báo rằng mọi người nhất định phải xem qua một lượt. Đừng giữ cửa phía sau vì lợi ích an toàn chung! Nhưng, một công ty của những người quen biết sẽ làm điều này? Ai từ công ty này sẽ nói với một trong những người: "Còn bạn, làm ơn, hãy ra ngoài và vào lại với chìa khóa (chip) của bạn, bởi vì tôi không biết bạn." Điều này rất khó xảy ra. Nhưng bạn cần phải làm điều đó.

Vì vậy, nó chỉ ra rằng các nhân viên vi phạm các yêu cầu bảo mật với tính nhất quán đáng ghen tị và những kẻ lừa đảo sử dụng các hệ thống tự động được mô tả ở trên với cùng một tính nhất quán. Những người đi theo sự dẫn dắt của những kẻ lừa đảo sẽ luôn như vậy, cho dù có bao nhiêu người đã cảnh báo và dạy dỗ chúng. Các kỹ sư xã hội nhận thức rõ điều này và do đó không bận tâm nhiều đến việc nghĩ ra mẹo nào. Họ chỉ sử dụng các phương pháp giống nhau. Rốt cuộc, cơ chế tự động ở người không thay đổi nhiều, đó là lý do tại sao chúng là cơ chế tự động hóa. Nguyên bản. Đừng rập khuôn! Luôn cảnh giác với những tin nhắn bất ngờ hoặc đáng sợ. Chú ý đến các thông báo cảnh báo.

Các kỹ thuật xây dựng xã hội được sử dụng nhiều nhất dựa trên những điểm yếu của con người như lòng thương hại, sợ hãi và mong muốn làm giàu nhanh chóng. Khi nói đến điều đáng tiếc, tin tặc khai thác đặc điểm này của con người theo nhiều cách khác nhau. Ví dụ, họ gửi tin nhắn qua điện thoại hoặc qua mạng xã hội thay mặt bạn bè hoặc người thân của bạn yêu cầu giúp đỡ.

Các phương pháp và kỹ thuật cơ bản của kỹ sư xã hội / kỹ thuật xã hội

Tất cả các phương pháp kỹ thuật xã hội đều dựa trên yếu tố con người, tức là dựa trên các đặc điểm tâm lý của con người: không chống chọi được với sự hoảng loạn, phản ứng theo cùng một cách trong một số trường hợp nhất định, mất cảnh giác, mệt mỏi, thông cảm, cảm thấy sợ hãi và nhiều hơn thế nữa . Để làm ví dụ, chúng tôi sẽ chỉ đưa ra một số kỹ thuật và bạn cố gắng xác định một cách độc lập đặc điểm của tâm lý mà kỹ sư xã hội đã sử dụng ở đây:

1. 1. Một trong những âm mưu có thể là như thế này: một người bạn đang ở ngoài thị trấn, anh ta không thể gọi cho mình bây giờ - một vấn đề nghiêm trọng, cần tiền gấp. Yêu cầu gửi đến số tài khoản hoặc thẻ ngân hàng. Mặc dù không phải tất cả mọi người đều sẽ phản ứng tích cực, nhưng chỉ một tỷ lệ nhất định trong số những người được hỏi, hacker biết rằng trường hợp này sẽ xảy ra. Điều này không khiến anh bận tâm, vì những tin nhắn do anh lập trình đều do máy gửi. Có những người khẩn cấp giúp đỡ mà không kiểm tra xem những tin nhắn SMS này đến từ đâu. Rốt cuộc, một người bạn đang gặp sự cố .. Và do quá gấp, nhiều người không kiểm tra nguồn.
   2. Với cách tính tương tự, cách đây một thời gian, nhiều chị em được người con trai gặp nạn gửi tin nhắn sms. Bản thân anh ấy, tất nhiên, không thể gọi lại cho đến khi mẹ anh ấy gửi tiền để giải quyết vấn đề này. Và những người mẹ được gửi đi, không ai biết ở đâu và cho ai. Mà không cần kiểm tra lại bất cứ điều gì (như lời người con trai yêu cầu).
   3. Ngoài ra, thay mặt bạn bè, họ thu hút thông tin cá nhân, gửi các liên kết ác ý kèm theo bình luận. Ví dụ: “xin chào, bạn có muốn cười không? Theo liên kết này và bạn sẽ có thể nghe bất kỳ cuộc trò chuyện qua điện thoại nào (hoặc thư từ SMS) mà bạn quan tâm ”. Hoặc những thứ tương tự như vậy, cái chính là bạn nhấp vào liên kết.

Có trong kho vũ khí của các kỹ sư xã hội và tùy chọn khi họ "làm việc" cho người mua. Nhiều người dùng rao bán những thứ của họ, chẳng hạn như trên Avito. “Người mua” như vậy đang tìm kiếm thứ gì đó đắt tiền hơn (ô tô, nhà ở, v.v.), hãy liên hệ với người bán thực sự và tuyên bố rằng anh ta muốn mua thứ không rẻ của bạn. Tất nhiên, người bán là hạnh phúc. Chà, nhanh quá, còn chưa kịp phơi, làm sao mà bán được hết. Anh ấy đã tính toán thu nhập trong đầu. Đúng như vậy, người mua thông báo với sự thất vọng rằng anh ta sẽ có thể nhận hàng chỉ sau hai hoặc ba ngày. Để bạn không bán thứ giá trị này cho người khác, anh ta yêu cầu xóa quảng cáo khỏi Avito và để được đảm bảo sẵn sàng trả một nửa hoặc thậm chí 75% chi phí ngay hôm nay. “Tất nhiên!” - bạn nghĩ, - “Rất hân hạnh! Hãy để anh ta trả tiền! " "Người mua" hỏi anh ta có thể chuyển tiền cho bạn vào thẻ nào. Và bạn cho người lạ này biết tất cả các chi tiết thẻ. Chỉ thay vì lấy được tiền của anh ta, bạn lại mất tất cả tiền tiết kiệm của mình. Anh ấy cũng có thể yêu cầu bạn cho anh ấy biết mã sẽ đến điện thoại của bạn.

Nếu chúng ta nói về một đặc điểm như mong muốn làm giàu nhanh chóng và không cần nỗ lực nhiều, thì đây là một điều trái ngược, đó là cách sử dụng mà các kỹ sư xã hội có thể phát minh và sáng chế trong một thời gian rất dài. Suy cho cùng, bản thân mọi người cũng đang tìm kiếm những “cuộc phiêu lưu” này và thậm chí, sẵn sàng bước lên cùng một cú cào. Vì vậy, những kẻ lừa đảo tiếp tục khắc họa: một thương hiệu nổi tiếng tặng quà điên rồ; sau đó là một công ty hứa hẹn giảm giá hấp dẫn; sau đó ngân hàng đề nghị cho vay với lãi suất thấp; sau đó là nhà tuyển dụng, người sẽ giúp bạn dễ dàng kiếm tiền trên Internet hoặc ở một nơi khác ... Để nhận được thứ gì đó từ điều này, trước tiên bạn cần cung cấp chi tiết thẻ ... Sau cùng, chủ nhân mới hoặc một ngân hàng tốt phải chuyển khoản tiền cho bạn ở đâu đó ... Họ nói chi tiết thẻ cho một người lạ, bạn có thể nói lời tạm biệt với nội dung của nó.

Tại sao bạn cần biết về điều này?

Gần đây, mối quan tâm đến kỹ thuật xã hội đã trở nên rất cao. Điều này có thể được nhìn thấy từ sự phổ biến của yêu cầu này trên Internet. Điều này có nghĩa là số lượng tin tặc và nhu cầu về các chương trình bảo vệ chống lại các cuộc tấn công của chúng sẽ chỉ tăng lên. Và không chỉ tin tặc, những kẻ lừa đảo dưới bất kỳ hình thức nào sử dụng các phương pháp kỹ thuật xã hội cho mục đích riêng của họ.

Để được thông báo có nghĩa là được trang bị vũ khí, bạn có thể đọc tài liệu về chủ đề này:

Kỹ thuật xã hội và Tin tặc xã hội ". Maxim Kuznetsov, Igor Simdyanov.

Hãy cẩn thận! Đừng để bị lừa.

Kỹ thuật xã hội sử dụng kiến ​​thức về tâm lý học và yếu tố con người. Hãy cực kỳ cẩn thận, các hacker xã hội biết rất rõ về bạn.

Cũng sẽ rất thú vị nếu bạn biết về kỹ thuật xã hội và các kỹ thuật xảo quyệt được sử dụng bởi những người đằng sau nó?

Trân trọng, site Nếu bạn muốn nhận các bài viết mới, hãy đăng ký nhận bản tin của chúng tôi.

Trong bài viết này, chúng tôi sẽ tập trung vào khái niệm "kỹ thuật xã hội". Ở đây chúng ta sẽ xem xét về vị tướng, ngoài ra chúng ta sẽ tìm hiểu về ai là người đã sáng lập ra khái niệm này. Chúng ta hãy nói riêng về các phương pháp kỹ thuật xã hội chính được tội phạm mạng sử dụng.

Giới thiệu

Các phương pháp điều chỉnh hành vi của con người và quản lý các hoạt động của anh ta mà không cần sử dụng một bộ công cụ kỹ thuật hình thành khái niệm chung về kỹ thuật xã hội. Tất cả các phương pháp đều dựa trên khẳng định rằng yếu tố con người là điểm yếu có tính hủy diệt lớn nhất của bất kỳ hệ thống nào. Thông thường khái niệm này được xem xét ở cấp độ hoạt động bất hợp pháp, thông qua đó tội phạm thực hiện một hành động nhằm lấy thông tin từ đối tượng - nạn nhân một cách không trung thực. Ví dụ, nó có thể là một kiểu thao tác nhất định. Tuy nhiên, kỹ thuật xã hội cũng được con người sử dụng trong các hoạt động pháp lý. Ngày nay, nó thường được sử dụng để truy cập các nguồn thông tin đã được phân loại hoặc có giá trị.

Người sáng lập

Người sáng lập kỹ thuật xã hội là Kevin Mitnick. Tuy nhiên, chính khái niệm này đã đến với chúng tôi từ xã hội học. Nó biểu thị một tập hợp các phương pháp phổ biến được sử dụng bởi các phương tiện truyền thông xã hội được áp dụng. khoa học tập trung vào việc thay đổi cơ cấu tổ chức có khả năng xác định hành vi của con người và thực hiện quyền kiểm soát đối với nó. Kevin Mitnick có thể được coi là ông tổ của khoa học này, vì chính ông là người đã phổ biến xã hội. kỹ thuật trong thập kỷ đầu tiên của thế kỷ 21. Bản thân Kevin trước đây là một hacker đã xâm nhập vào nhiều loại cơ sở dữ liệu. Ông cho rằng yếu tố con người là điểm dễ bị tổn thương nhất của một hệ thống có bất kỳ mức độ phức tạp và tổ chức nào.

Nếu chúng ta nói về các phương pháp kỹ thuật xã hội như một cách để có được quyền (thường là bất hợp pháp) để sử dụng dữ liệu bí mật, thì chúng ta có thể nói rằng chúng đã được biết đến từ rất lâu. Tuy nhiên, chính K. Mitnik là người đã có thể truyền tải tầm quan trọng của ý nghĩa và các tính năng ứng dụng của chúng.

Liên kết lừa đảo và không tồn tại

Bất kỳ kỹ thuật xây dựng xã hội nào cũng dựa trên sự hiện diện của các biến dạng nhận thức. Lỗi hành vi trở thành một “công cụ” trong tay của một kỹ sư lành nghề, người mà trong tương lai có thể tạo ra một cuộc tấn công nhằm lấy dữ liệu quan trọng. Trong số các phương pháp kỹ thuật xã hội, liên kết lừa đảo và không tồn tại được phân biệt.

Lừa đảo là một trò lừa đảo trực tuyến được thiết kế để lấy thông tin cá nhân, chẳng hạn như tên người dùng và mật khẩu.

Liên kết không tồn tại - việc sử dụng một liên kết sẽ thu hút người nhận với những lợi ích nhất định có thể nhận được bằng cách nhấp vào nó và truy cập một trang web cụ thể. Thông thường, tên của các công ty lớn được sử dụng, tạo ra những điều chỉnh tinh tế cho tên của họ. Nạn nhân, theo liên kết, "tự nguyện" sẽ chuyển dữ liệu cá nhân của mình cho kẻ tấn công.

Phương pháp sử dụng thương hiệu, phần mềm diệt vi-rút bị lỗi và xổ số giả mạo

Kỹ thuật xã hội cũng sử dụng các kỹ thuật gian lận liên quan đến các thương hiệu nổi tiếng, phần mềm chống vi-rút bị lỗi và xổ số giả mạo.

"Gian lận và xây dựng thương hiệu" là một phương pháp đánh lừa cũng thuộc phần lừa đảo. Điều này bao gồm các e-mail và các trang web có chứa tên của một công ty lớn và / hoặc được quảng bá. Tin nhắn được gửi từ các trang của họ với thông báo chiến thắng trong một cuộc thi nhất định. Tiếp theo, bạn cần nhập thông tin tài khoản quan trọng và đánh cắp nó. Ngoài ra, hình thức gian lận này có thể được thực hiện qua điện thoại.

Xổ số gian lận là một phương pháp trong đó một tin nhắn được gửi đến nạn nhân nói rằng (những) người đó đã trúng xổ số. Thông thường, thông báo được che giấu bằng cách sử dụng tên của các tập đoàn lớn.

Antivirus giả là một trò gian lận phần mềm. Nó sử dụng các chương trình bên ngoài tương tự như chương trình chống vi-rút. Tuy nhiên, trên thực tế, chúng dẫn đến việc tạo ra các thông báo sai về một mối đe dọa cụ thể. Họ cũng cố gắng thu hút người dùng vào lĩnh vực giao dịch.

Chúc, viết thư và nhắn tin trước

Nói đến kỹ thuật xã hội cho người mới bắt đầu, cũng cần đề cập đến tính năng hiển thị, tạo phreaking và nhắn tin trước.

Chúc là một hình thức lừa gạt sử dụng mạng điện thoại. Các tin nhắn thoại được ghi âm trước được sử dụng ở đây, mục đích là để tạo lại "cuộc gọi chính thức" của cấu trúc ngân hàng hoặc bất kỳ hệ thống IVR nào khác. Thông thường, họ được yêu cầu nhập tên người dùng và / hoặc mật khẩu để xác nhận bất kỳ thông tin nào. Nói cách khác, hệ thống yêu cầu xác thực người dùng bằng mã PIN hoặc mật khẩu.

Phreaking là một hình thức khác của lừa đảo qua điện thoại. Nó là một hệ thống hack sử dụng các thao tác âm thanh và quay số bằng âm thanh.

Pretext là một cuộc tấn công sử dụng một kế hoạch được tính toán trước, bản chất của nó là phần trình bày của một đối tượng khác. Một phương pháp đánh lừa cực kỳ khó, vì nó đòi hỏi sự chuẩn bị kỹ lưỡng.

Quid-pro-quo và phương pháp "quả táo đường"

Lý thuyết về kỹ thuật xã hội là một cơ sở dữ liệu đa diện bao gồm cả các phương pháp lừa dối và thao túng, và các phương pháp chống lại chúng. Nhiệm vụ chính của những kẻ tấn công, như một quy luật, là thu thập thông tin có giá trị.

Các hình thức lừa đảo khác là: Quid-Pro-Quo, phương pháp "táo của con đường", lướt qua vai, sử dụng các nguồn mở và đảo ngược xã hội. kỹ thuật.

Quid-pro-quo (từ tiếng Latinh - “sau đó cho điều đó”) là một nỗ lực để lấy thông tin từ một công ty hoặc hãng. Điều này xảy ra bằng cách liên lạc với cô ấy qua điện thoại hoặc bằng cách gửi tin nhắn qua e-mail. Thường xuyên hơn không, những kẻ tấn công tự giới thiệu mình là nhân viên công nghệ. hỗ trợ báo cáo sự hiện diện của một vấn đề cụ thể tại nơi làm việc của nhân viên. Sau đó, họ đề xuất các cách khắc phục, chẳng hạn bằng cách cài đặt phần mềm. Phần mềm hóa ra bị lỗi và thúc đẩy tội phạm.

Road Apple là một phương pháp tấn công dựa trên ý tưởng về con ngựa thành Troy. Bản chất của nó nằm ở việc sử dụng một phương tiện vật lý và thay thế thông tin. Ví dụ, họ có thể cung cấp một thẻ nhớ với một "lợi ích" nào đó sẽ thu hút sự chú ý của nạn nhân, khiến anh ta muốn mở và sử dụng tệp, hoặc theo các liên kết được chỉ ra trong các tài liệu của ổ đĩa flash. Đối tượng “táo đường” thả ở các tụ điểm xã hội và nằm chờ thực hiện kế hoạch của đối tượng nào đó.

Thu thập và tìm kiếm thông tin từ các nguồn mở là một trò lừa đảo trong đó việc thu thập dữ liệu dựa trên các phương pháp tâm lý học, khả năng nhận thấy những điều nhỏ nhặt và phân tích dữ liệu có sẵn, chẳng hạn như một trang từ mạng xã hội. Đây là một cách khá mới của kỹ thuật xã hội.

Lướt vai và đảo ngược xã hội kỹ thuật

Lướt qua vai tự định nghĩa là quan sát một đối tượng trực tiếp theo nghĩa đen. Với kiểu khai thác dữ liệu này, kẻ tấn công đi đến những nơi công cộng, chẳng hạn như quán cà phê, sân bay, nhà ga xe lửa và theo dõi mọi người.

Đừng đánh giá thấp phương pháp này, vì nhiều cuộc khảo sát và nghiên cứu cho thấy rằng một người chú ý có thể nhận được nhiều thông tin bí mật chỉ bằng cách quan sát.

Kỹ thuật xã hội (như một cấp độ kiến ​​thức xã hội học) là một phương tiện thu thập dữ liệu. Có nhiều cách để lấy dữ liệu trong đó chính nạn nhân sẽ cung cấp cho kẻ tấn công những thông tin cần thiết. Tuy nhiên, nó cũng có thể phục vụ lợi ích của xã hội.

Đảo ngược xã hội kỹ thuật là một phương pháp khác của khoa học này. Việc sử dụng thuật ngữ này trở nên thích hợp trong trường hợp mà chúng tôi đã đề cập ở trên: chính nạn nhân sẽ cung cấp cho kẻ tấn công những thông tin cần thiết. Đừng coi tuyên bố này là vô lý. Thực tế là các chủ thể được trao quyền hạn trong một số lĩnh vực hoạt động thường có quyền truy cập vào dữ liệu nhận dạng theo quyết định riêng của chủ thể. Niềm tin là nền tảng.

Điều quan trọng cần nhớ! Nhân viên hỗ trợ sẽ không bao giờ hỏi người dùng, ví dụ, mật khẩu.

Thông báo và bảo vệ

Việc đào tạo kỹ sư xã hội có thể được thực hiện bởi một cá nhân cả trên cơ sở sáng kiến ​​của cá nhân và trên cơ sở hỗ trợ được sử dụng trong các chương trình giáo dục đặc biệt.

Tội phạm có thể sử dụng nhiều hình thức lừa gạt khác nhau, từ thao túng và kết thúc bằng sự lười biếng, cả tin, thiếu lịch sự của người dùng, v.v. Rất khó để bảo vệ bản thân khỏi kiểu tấn công này, do nạn nhân không nhận thức được rằng mình. (cô ấy) đã bị lừa dối. Các công ty và công ty khác nhau thường đánh giá thông tin chung để bảo vệ dữ liệu của họ ở mức độ rủi ro này. Tiếp theo, các biện pháp bảo vệ cần thiết được tích hợp vào chính sách bảo mật.

Ví dụ về

Một ví dụ về kỹ thuật xã hội (hành động của nó) trong cách chiến dịch lừa đảo toàn cầu là một sự kiện vào năm 2003. Trong quá trình lừa đảo này, các email đã được gửi đến người dùng eBay. Họ tuyên bố rằng các tài khoản thuộc về họ đã bị khóa. Để hủy chặn, cần nhập lại dữ liệu tài khoản. Tuy nhiên, những bức thư đã được giả mạo. Họ đã dịch sang một trang giống hệt trang chính thức, nhưng giả mạo. Theo ước tính của các chuyên gia, thiệt hại không đáng kể (dưới một triệu đô la).

Định nghĩa về trách nhiệm

Việc sử dụng kỹ thuật xã hội có thể bị trừng phạt trong một số trường hợp. Ví dụ, ở một số quốc gia, Hoa Kỳ, sự ngụy biện (lừa dối bằng cách mạo danh người khác) được coi là xâm phạm quyền riêng tư. Tuy nhiên, điều này có thể bị trừng phạt theo luật nếu thông tin thu được trong quá trình nhắn tin trước được bảo mật theo quan điểm của chủ thể hoặc tổ chức. Ghi âm cuộc trò chuyện qua điện thoại (như một phương pháp kỹ thuật xã hội) cũng được pháp luật quy định và yêu cầu phạt 250.000 đô la hoặc phạt tù lên đến mười năm đối với cá nhân. những người. Các pháp nhân được yêu cầu trả 500.000 đô la; thời hạn vẫn giữ nguyên.