Social engineering definíció. Social engineering módszerek. Egy személy manipulálásának módjai az interneten keresztül

Szociális tervezés

Szociális tervezés az információkhoz vagy információtároló rendszerekhez való jogosulatlan hozzáférési módszer használat nélkül technikai eszközöket. A szociális mérnökök fő célja, más hackerekhez és crackerekhez hasonlóan, hogy hozzáférést kapjanak védett rendszerekhez információk, jelszavak, adatok ellopása érdekében. bankkártyák stb. A fő különbség az egyszerű hackeléstől az, hogy be ebben az esetben Nem a gépet választják a támadás célpontjának, hanem annak kezelőjét. Éppen ezért a társadalommérnökök minden módszere és technikája az emberi tényező gyengeségeinek felhasználásán alapul, ami rendkívül romboló hatású, mivel a támadó például a szokásos módon szerez információkat. telefonbeszélgetés vagy egy szervezetbe beszivárogva egy alkalmazott leple alatt. Az ilyen típusú támadások elleni védelem érdekében tisztában kell lennie a csalás leggyakoribb típusaival, meg kell értenie, mit is akarnak valójában a hackerek, és időben meg kell szerveznie a megfelelő biztonsági szabályzatot.

Sztori

Annak ellenére, hogy a „társadalmi tervezés” fogalma viszonylag nemrégiben jelent meg, az emberek valamilyen formában ősidők óta használták technikáit. Az ókori Görögországban és Rómában nagy becsben tartották azokat az embereket, akik különféle módokon tudták meggyőzni beszélgetőpartnerüket arról, hogy nyilvánvalóan tévedett. A vezetők nevében felszólalva diplomáciai tárgyalásokat folytattak. Ügyesen, hazugságokkal, hízelgésekkel és előnyös érvekkel, gyakran olyan problémákat oldottak meg, amelyeket kard segítsége nélkül lehetetlennek tűnt megoldani. A kémek körében mindig is a social engineering volt a fő fegyver. Egy másik személy megszemélyesítésével a KGB és a CIA ügynökei titkos államtitkokat tudhattak meg. A 70-es évek elején, a phreaking virágkorában néhány telefonhuligán felhívta a távközlési szolgáltatókat, és megpróbálta kideríteni. bizalmas információ cégek műszaki személyzetétől. Különféle trükkökkel végzett kísérletek után a 70-es évek végére a phreakerek annyira tökéletesítették a képzetlen operátorok manipulálásának technikáit, hogy könnyen megtanulhattak tőlük szinte mindent, amit akartak.

A social engineering elvei és technikái

Számos általános technikát és támadástípust használnak a szociális mérnökök. Mindezek a technikák az emberi döntéshozatal kognitív (lásd még Kognitív) torzításként ismert jellemzőin alapulnak. Ezeket az elfogultságokat különféle kombinációkban alkalmazzák az egyes esetekben a legmegfelelőbb megtévesztési stratégia létrehozásához. De ezeknek a módszereknek a közös vonása a félrevezető, azzal a céllal, hogy az embert valamilyen, számára nem előnyös és a társadalommérnök számára szükséges cselekvésre kényszerítsék. A kívánt eredmény elérése érdekében a támadó számos különféle taktikát alkalmaz: megszemélyesít egy másik személyt, eltereli a figyelmet, növeli a pszichológiai feszültséget stb. A megtévesztés végső céljai is nagyon sokfélék lehetnek.

Social engineering technikák

Pretextus

Az ürügy egy meghatározott, előre elkészített forgatókönyv (ürügy) szerint végrehajtott cselekvések összessége. Ez a technika olyan hangeszközök használatát foglalja magában, mint a telefon, Skype stb. a szükséges információk megszerzéséhez. Általában a támadó harmadik félnek kiadva magát, vagy úgy tesz, mintha valakinek segítségre szorulna, jelszót kér az áldozattól, vagy jelentkezzen be egy adathalász weboldalra, ezzel ráveszi a célpontot a kívánt művelet végrehajtására vagy bizonyos információk megadására. A legtöbb esetben ehhez a technikához szükség van néhány kezdeti adatra a támadás célpontjáról (például személyes adatok: születési dátum, telefonszám, számlaszámok stb.). A leggyakoribb stratégia az, hogy először kis lekérdezéseket használnak, és megemlítik a a szervezet valós személyeinek nevei. Később, a beszélgetés során a támadó elmagyarázza, hogy segítségre van szüksége (a legtöbb ember képes és hajlandó is olyan feladatokat végrehajtani, amelyeket nem észlelnek gyanúsnak). A bizalom megteremtése után a csaló valami lényegesebbet és fontosabbat kérhet.

Adathalászat

Példa egy adathalász e-mailre, amelyet innen küldött postai szolgáltatás"fiók újraaktiválásának" kérése

Az adathalászat (angolul phishing, horgászatból - horgászat, horgászat) az internetes csalás egyik fajtája, melynek célja bizalmas felhasználói adatokhoz - bejelentkezési adatokhoz és jelszavakhoz való hozzáférés. Ez ma talán a legnépszerűbb social engineering séma. Egyetlen nagyobb személyes adatszivárgás sem történik meg anélkül, hogy ne követné az adathalász e-mailek hulláma. Az adathalászat célja bizalmas információk illegális megszerzése. Az adathalász támadás legszembetűnőbb példája az áldozatnak küldött üzenet email, és hivatalos levélként hamisítva - banktól ill fizetési rendszer- bizonyos információk ellenőrzésének vagy bizonyos műveletek végrehajtásának megkövetelése. Ennek többféle oka lehet. Ez lehet adatvesztés, rendszerhiba stb. Ezek az e-mailek általában egy hamis weboldalra mutató hivatkozást tartalmaznak, amely pontosan úgy néz ki, mint a hivatalos, és tartalmaz egy űrlapot, amely érzékeny adatok megadását igényli.

A globális adathalász e-mailek egyik leghíresebb példája a 2003-as átverés, amelynek során több ezer eBay-felhasználó kapott e-maileket, amely azt állította, hogy fiókjukat zárolták, és a zárolás feloldásához frissítenie kellett a hitelkártyaadatait. Mindegyik e-mail tartalmazott egy linket, amely egy hamis weboldalra vezetett, amely pontosan úgy nézett ki, mint a hivatalos oldal. A szakértők szerint az átverésből származó veszteségek több százezer dollárt tettek ki.

Hogyan lehet felismerni az adathalász támadást

Szinte minden nap új csalási rendszerek jelennek meg. A legtöbb ember meg tudja tanulni magától felismerni a csaló üzeneteket, ha megismeri néhány megkülönböztető jellemzőjét. Az adathalász üzenetek leggyakrabban a következőket tartalmazzák:

• aggodalmat vagy fenyegetést okozó információk, például a felhasználói bankszámlák bezárása.
• hatalmas pénznyeremények ígérete csekély erőfeszítéssel vagy semmi erőfeszítéssel.
• jótékonysági szervezetek nevében benyújtott önkéntes adománykérés.
• nyelvtani, írásjelek és helyesírási hibák.

Népszerű adathalász rendszerek

Az alábbiakban ismertetjük a legnépszerűbb adathalász csalásokat.

Csalás híres vállalatok márkái használatával

Ezek az adathalász csalások hamis üzeneteket használnak Email vagy nagy vagy jól ismert cégek nevét tartalmazó weboldalak. Az üzenetek tartalmazhatnak gratulációkat a cég által rendezett verseny megnyeréséhez, vagy a hitelesítő adatok vagy a jelszó sürgős megváltoztatásához. Hasonló csalárd rendszerek a szolgáltatás nevében technikai támogatás telefonon is megoldható.

Hamis lottójátékok

A felhasználó olyan üzeneteket kaphat, amelyek jelzik, hogy nyert egy lottón, amelyet egyesek tartottak ismert cég. A felszínen ezek az üzenetek úgy tűnhetnek, mintha egy vezető vállalati alkalmazott nevében küldték volna őket.

Hamis víruskereső és biztonsági programok

IVR vagy telefonos adathalászat

Az IVR rendszerek működési elve

Qui a quo-ról

A Quid pro quo (a latin Quid pro quo szóból – „ez erre”) egy rövidítés, amelyet gyakran használnak angol nyelv a "szolgáltatás a szolgálatért" értelmében. Ez a típus A támadás során egy támadó felhív egy céget egy vállalati telefonon. A legtöbb esetben a támadó technikai támogatási alkalmazottnak adja ki magát, és megkérdezi, van-e valamilyen technikai probléma. A "megoldás" folyamatában technikai problémák, a csaló „kényszeríti” a célpontot, hogy olyan parancsokat adjon meg, amelyek lehetővé teszik a hacker számára, hogy elindítson vagy telepítsen rosszindulatú szoftver a felhasználó gépére.

trójai faló

Néha a trójaiak használata csak része egy bizonyos számítógépek, hálózatok vagy erőforrások ellen tervezett többlépcsős támadásnak.

A trójaiak fajtái

A trójaiakat leggyakrabban rosszindulatú célokra fejlesztik. Van egy besorolás, ahol kategóriákra osztják őket az alapján, hogy a trójaiak hogyan hatolnak be a rendszerbe, és hogyan okoznak kárt benne. 5 fő típusa van:

• távoli hozzáférés
• adatok megsemmisítése
• rakodó
• szerver
• biztonsági program deaktivátor

Gólok

A trójai program célja a következő lehet:

• fájlok feltöltése és letöltése
• hamis webhelyekre, csevegőszobákra vagy más regisztrációs oldalakra vezető hamis linkek másolása
• zavarja a felhasználó munkáját
• értékes adatok vagy titkok ellopása, ideértve a hitelesítési információkat is, forrásokhoz való jogosulatlan hozzáférés céljából, a bankszámlák adatainak megszerzése, amelyek bűncselekményre felhasználhatók
• egyéb rosszindulatú programok, például vírusok terjesztése
• adatok megsemmisülése (lemezen lévő adatok törlése vagy felülírása, nehezen látható fájlsérülés) és berendezések, a szolgáltatás letiltása vagy meghibásodása számítógépes rendszerek, hálózatok
• e-mail címek gyűjtése és spam küldésére való felhasználása
• kémkedni a felhasználó után, és titokban információkat közölni harmadik felekkel, például böngészési szokásokat
• A billentyűleütések naplózása információk, például jelszavak és hitelkártyaszámok ellopásához
• fertőtlenítés vagy a működés megzavarása víruskereső programokés tűzfal

Álca

Sok trójai program a felhasználók tudta nélkül található a számítógépeken. Néha a trójaiakat regisztrálják a rendszerleíró adatbázisban, ami a sajátjukhoz vezet automatikus indítás induláskor operációs rendszer. A trójaiak legitim fájlokkal is kombinálhatók. Amikor a felhasználó megnyit egy ilyen fájlt vagy elindít egy alkalmazást, azzal együtt elindul a trójai.

Hogyan működik a trójai

A trójaiak általában két részből állnak: kliensből és szerverből. A szerver az áldozat gépen fut, és figyeli a kliens kapcsolatait. Amíg a Kiszolgáló fut, egy vagy több portot figyel a kliens kapcsolata érdekében. Ahhoz, hogy a támadó csatlakozhasson a szerverhez, ismernie kell annak a gépnek az IP-címét, amelyen fut. Egyes trójaiak e-mailben vagy más módon elküldik az áldozat gép IP-címét a támadó félnek. Amint létrejön a kapcsolat a Szerverrel, az Ügyfél parancsokat küldhet neki, amelyeket a Szerver végrehajt. Jelenleg a NAT technológiának köszönhetően a legtöbb számítógéphez nem lehet hozzáférni külső IP-címükön keresztül. Ezért manapság sok trójai csatlakozik a támadó számítógépéhez, amely a kapcsolati kapcsolatok fogadásáért felelős, ahelyett, hogy maga a támadó próbálna csatlakozni az áldozathoz. Sok modern trójai könnyen megkerülheti a felhasználói számítógépeken lévő tűzfalakat.

Információgyűjtés nyílt forrásokból

A social engineering technikák használatához nemcsak pszichológiai ismeretekre van szükség, hanem egy személyről információgyűjtésre is szükséges információ. Az ilyen információk megszerzésének viszonylag új módja volt a nyílt forrásokból, főleg a közösségi hálózatokból történő gyűjtés. Például az olyan webhelyek, mint a livejournal, az Odnoklassniki, a Vkontakte, hatalmas mennyiségű adatot tartalmaznak, amelyet az emberek általában nem próbálnak elrejteni. a felhasználók nem fordítanak kellő figyelmet a biztonsági kérdésekre, így a támadó által felhasználható adatok és információk nyilvánosak maradnak.

Szemléltető példa Jevgenyij Kasperszkij fiának elrablásának története. A nyomozás során megállapították, hogy a bűnözők a tinédzser napi beosztását és útvonalait egy közösségi oldalon közzétett bejegyzéseiből ismerték meg.

Még ha korlátozza is a közösségi oldalán található információkhoz való hozzáférést, a felhasználó nem lehet biztos abban, hogy azok soha nem kerülnek csalók kezébe. Például egy brazil kutató a számítógép biztonság megmutatta, hogy social engineering módszerekkel 24 órán belül bármely Facebook-felhasználó barátjává lehet válni. A kísérlet során Nelson Novaes Neto kutató kiválasztott egy „áldozatot”, és hamis fiókot készített egy személyről a környezetéből - a főnökéről. Neto először az áldozat főnökének barátainak küldött baráti kérelmeket, majd közvetlenül a barátainak. 7,5 óra elteltével a kutató megkapta az „áldozatot”, hogy barátként adja hozzá. Így a kutató hozzájutott a felhasználó személyes adataihoz, amelyeket csak barátaival osztott meg.

Út alma

Ez a támadási módszer egy adaptáció trójai faló, és fizikai adathordozók használatából áll. A támadó olyan helyre ülteti a "fertőzöttet" vagy vakut, ahol a hordozó könnyen megtalálható (vécé, lift, parkoló). A médiát meghamisítják, hogy hivatalosnak tűnjön, és egy aláírás kíséri, hogy felkeltse a kíváncsiságot. Például egy csaló elhelyezhet egy vállalati logóval ellátott levelet és a cég hivatalos webhelyére mutató hivatkozást, és „Vezetői fizetések” címkével látja el. A lemez a lift padlóján vagy a hallban hagyható. Egy alkalmazott tudtán kívül felkaphatja a lemezt, és behelyezheti a számítógépbe, hogy kielégítse kíváncsiságát.

Reverse social engineering

Reverse social engineeringről akkor beszélünk, amikor az áldozat maga kínálja fel a támadónak a szükséges információkat. Ez abszurdnak tűnhet, de valójában a technikai vagy szociális szférában felhatalmazással rendelkező egyének gyakran kapnak felhasználói azonosítókat, jelszavakat és más kényes személyes információkat egyszerűen azért, mert senki sem kérdőjelezi meg tisztességüket. Például a támogató személyzet soha nem kér azonosítót vagy jelszót a felhasználóktól; nincs szükségük erre az információra a problémák megoldásához. Sok felhasználó azonban önként adja meg ezeket a bizalmas információkat a problémák gyors megoldása érdekében. Kiderült, hogy a támadónak nem is kell kérdeznie róla.

A fordított social engineering példája a következő egyszerű forgatókönyv. Az áldozattal dolgozó támadó megváltoztatja egy fájl nevét az áldozat számítógépén, vagy áthelyezi egy másik könyvtárba. Amikor az áldozat észreveszi, hogy az akta hiányzik, a támadó azt állítja, hogy mindent meg tud javítani. Ha szeretné gyorsabban elvégezni a munkát, vagy elkerülni az információvesztésért járó büntetést, az áldozat elfogadja ezt az ajánlatot. A támadó azt állítja, hogy a problémát csak az áldozat hitelesítő adataival való bejelentkezéssel lehet megoldani. Most az áldozat arra kéri a támadót, hogy jelentkezzen be az ő neve alatt, hogy megpróbálja visszaállítani a fájlt. A támadó vonakodva beleegyezik, visszaállítja a fájlt, és közben ellopja az áldozat azonosítóját és jelszavát. Miután sikeresen végrehajtotta a támadást, még a hírnevét is javította, és nagyon valószínű, hogy ezután más kollégák is hozzá fordulnak segítségért. Ez a megközelítés nem zavarja a támogatási szolgáltatások nyújtásának szokásos eljárásait, és megnehezíti a támadó elfogását.

Híres szociális mérnökök

Kevin Mitnick

Kevin Mitnick. Világhírű hacker és biztonsági tanácsadó

A történelem egyik leghíresebb társadalommérnöke Kevin Mitnick. Világhírű számítógépes hackerként és biztonsági tanácsadóként Mitnick számos számítógépes biztonságról szóló könyv szerzője is, amelyek főként a társadalmi tervezésnek és az emberekre gyakorolt ​​pszichológiai befolyásolás módszereinek szenteltek. 2002-ben az ő szerzője alatt jelent meg „A megtévesztés művészete” című könyv, amely a social engineering használatának valós történeteit meséli el. Kevin Mitnick azzal érvelt, hogy sokkal könnyebb megtévesztéssel jelszót szerezni, mint egy biztonsági rendszert feltörni.

Badir testvérek

Annak ellenére, hogy a testvérek, Mundir, Mushid és Shadi Badir születésüktől fogva vakok voltak, az 1990-es években több nagy csalást sikerült végrehajtaniuk Izraelben társadalmi manipuláció és hanghamisítás segítségével. Egy tévéinterjúban azt mondták: „Teljesen innen hálózati támadások Csak az van biztosítva, aki nem használ telefont, áramot és laptopot.” A testvérek már börtönben jártak, amiért hallhatták és megfejtették a szolgáltatók titkos zavaró hangjait telefonos kommunikáció. Hosszan telefonáltak külföldön valaki más költségére, miután átprogramozták a mobilszolgáltatók számítógépeit zavaró hangokkal.

Arkangyal

A Phrack magazin borítója

Híres számítógépes hackerés a neves angol nyelvű Phrack Magazine online magazin biztonsági tanácsadója, Archangel bemutatta a social engineering technikák erejét azzal, hogy rövid időn belül rengeteg különböző rendszerből szerzett jelszavakat, megtévesztve több száz áldozatot.

Egyéb

A kevésbé ismert társadalommérnökök közé tartozik Frank Abagnale, David Bannon, Peter Foster és Stephen Jay Russell.

A social engineering elleni védekezés módjai

A social engineering technikákat alkalmazó támadók támadásaik végrehajtásához gyakran kihasználják a felhasználók és a szervezetek alkalmazottainak hiszékenységét, lustaságát, udvariasságát, sőt lelkesedését. Nem könnyű védekezni az ilyen támadások ellen, mert az áldozatok nem biztos, hogy tudatában vannak annak, hogy becsapták őket. A social engineering támadóinak általában ugyanazok a céljai, mint bármely más támadónak: pénzt, információkat vagy az áldozat cég informatikai erőforrásait akarják. Az ilyen támadások elleni védelem érdekében tanulmányoznia kell azok típusait, meg kell értenie, mire van szüksége a támadónak, és fel kell mérnie a szervezetnek okozott károkat. Mindezen információk birtokában a szükséges védelmi intézkedéseket beépítheti biztonsági szabályzatába.

A fenyegetés besorolása

E-mailes fenyegetés

Sok alkalmazott naponta több tucat, sőt több száz e-mailt kap vállalati és magán levelezőrendszereken keresztül. Természetesen egy ilyen levélváltás mellett lehetetlen minden egyes betűre kellő figyelmet fordítani. Ez sokkal könnyebbé teszi a támadások végrehajtását. Az e-mail rendszerek legtöbb felhasználója nyugodtan kezeli az ilyen üzeneteket, és ezt a munkát a papírok egyik mappából a másikba való áthelyezésének elektronikus analógjaként érzékeli. Amikor egy támadó egyszerű kérést küld levélben, áldozata gyakran megteszi, amit kérnek tőle, anélkül, hogy a tetteire gondolna. Az e-mailek hiperhivatkozásokat tartalmazhatnak, amelyek a vállalati biztonság megsértésére csábítják az alkalmazottakat. Az ilyen hivatkozások nem mindig a megadott oldalakra vezetnek.

A legtöbb biztonsági intézkedés célja annak megakadályozása, hogy jogosulatlan felhasználók hozzáférjenek a vállalati erőforrásokhoz. Ha a támadó által küldött hiperhivatkozásra kattintva a felhasználó letölti vállalati hálózat trójai program vagy vírus, ez lehetővé teszi, hogy könnyen megkerüljön sokféle védelmet. A hiperhivatkozás egy olyan webhelyre is mutathat, ahol felugró alkalmazások adatokat kérnek vagy segítséget nyújtanak, mint a legtöbb csalás esetében hatékony mód A rosszindulatú támadások elleni védelem szkeptikusnak kell lennie a váratlanul beérkező levelekkel kapcsolatban. Ennek a megközelítésnek a szervezetében való népszerűsítéséhez a biztonsági szabályzatnak tartalmaznia kell az e-mailek használatára vonatkozó konkrét irányelveket, amelyek a következő elemeket fedik le.

• Mellékletek a dokumentumokhoz.
• Hiperhivatkozások a dokumentumokban.
• Kérések személyes ill vállalati információ a vállalaton belülről fakadnak.
• A vállalaton kívülről származó személyes vagy vállalati adatokra vonatkozó kérések.

Azonnali üzenetküldő szolgáltatások használatával kapcsolatos fenyegetések

Azonnali üzenetküldés - ehhez képest új út adatátvitel, azonban már széles népszerűségre tett szert a vállalati felhasználók körében. A gyorsaság és a könnyű kezelhetőség miatt ez a kommunikációs mód széles lehetőségeket nyit meg a különféle támadások előtt: a felhasználók telefonkapcsolatként kezelik, és nem társítják potenciális szoftverfenyegetésekkel. Az azonnali üzenetküldő szolgáltatások használatán alapuló támadások két fő típusa az, hogy az üzenet szövegében egy hivatkozást jeleznek rosszindulatúés magának a programnak az átadása. Természetesen az azonnali üzenetküldés is az információkérés egyik módja. Az azonnali üzenetküldő szolgáltatások egyik jellemzője a kommunikáció informális jellege. Azzal a képességgel kombinálva, hogy bármilyen nevet adhatnak maguknak, ez sokkal könnyebbé teszi a támadók számára, hogy valaki másnak adja ki magát, és nagymértékben megnöveli annak esélyét, hogy sikeresen végrehajtsanak egy támadást, ha egy vállalat kihasználni kívánja a költségcsökkentési lehetőségeket és egyéb előnyöket Az azonnali üzenetküldés által biztosított, a vállalati biztonsági szabályzatokba be kell építeni a vonatkozó fenyegetésekkel szembeni védelmi mechanizmusokat. Az azonnali üzenetküldés megbízható ellenőrzéséhez vállalati környezet Számos követelménynek kell megfelelni.

• Válasszon egy azonnali üzenetküldő platformot.
• Határozza meg az azonnali üzenetküldő szolgáltatás telepítésekor megadott biztonsági beállításokat.
• Határozza meg az új kapcsolatok kialakításának alapelveit
• Jelszószabványok beállítása
• Tegyen javaslatokat az azonnali üzenetküldő szolgáltatás használatára.

Többszintű biztonsági modell

Őrségért nagy cégekés alkalmazottaik a social engineering technikákat alkalmazó csalóktól, gyakran alkalmaznak összetett többszintű biztonsági rendszereket. Az alábbiakban felsorolunk néhány ilyen rendszer funkciót és felelősséget.

• Fizikai biztonság. Akadályok, amelyek korlátozzák a hozzáférést a vállalati épületekhez és a vállalati erőforrásokhoz. Ne felejtse el, hogy a vállalati erőforrások, például a vállalat területén kívül található szemetes konténerek fizikailag nem védettek.
• Adat. Üzleti információ: Fiókok, levél stb. A fenyegetések elemzésekor és az adatvédelmi intézkedések tervezése során meg kell határozni a papír-, ill. elektronikus média adat.
• Alkalmazások. Felhasználó által futtatott programok. A környezet védelme érdekében mérlegelnie kell, hogyan tudják kihasználni a támadók levelezők, azonnali üzenetküldő szolgáltatások és egyéb alkalmazások.
• Számítógépek. A szervezetben használt szerverek és kliens rendszerek. Megvédi a felhasználókat a számítógépüket ért közvetlen támadásoktól azáltal, hogy szigorú irányelveket határoz meg arra vonatkozóan, hogy milyen programokat lehet használni a vállalati számítógépeken.
• Belső hálózat. A hálózat, amelyen keresztül kölcsönhatásba lépnek vállalati rendszerek. Lehet helyi, globális vagy vezeték nélküli. BAN BEN utóbbi évek A távmunkamódszerek növekvő népszerűsége miatt a belső hálózatok határai jórészt önkényessé váltak. A vállalat alkalmazottait meg kell mondani, mit kell tenniük a biztonságos működés érdekében bármilyen hálózati környezetben.
• Hálózati kerület. A határ a vállalat belső hálózatai és a külső hálózatok között, mint például az internet vagy a partnerszervezetek hálózatai.

Felelősség

Telefonbeszélgetések ürügye és rögzítése

Hewlett-Packard

Patricia Dunn, a vállalat elnöke Hewlett-Packard, arról számolt be, hogy egy magáncéget bérelt fel, hogy azonosítsa azokat a vállalati alkalmazottakat, akik felelősek a bizalmas információk kiszivárogtatásáért. Később a társaság vezetője bevallotta, hogy a kutatás során az ürügy és más social engineering technikák gyakorlatát alkalmazták.

Megjegyzések

Lásd még

Linkek

• SocialWare.ru – Magán szociális tervezési projekt

Szociális tervezés

Szociális tervezés az információkhoz vagy információtároló rendszerekhez való jogosulatlan hozzáférés technikai eszközök használata nélkül szolgáló módszere. A szociális mérnökök fő célja, más hackerekhez és crackerekhez hasonlóan, hogy hozzáférjenek a biztonságos rendszerekhez, hogy információkat, jelszavakat, hitelkártyaadatokat stb. lopjanak el. A fő különbség az egyszerű hackeléshez képest, hogy ebben az esetben nem a gépet, hanem annak kezelőjét választják a támadás célpontjává. Éppen ezért a társadalommérnökök minden módszere és technikája az emberi tényező gyengeségeinek kihasználásán alapul, ami rendkívül destruktívnak számít, hiszen a támadó például rendszeres telefonbeszélgetéssel, vagy egy szervezetbe beszivárogva szerez információkat. alkalmazott álcája. Az ilyen típusú támadások elleni védelem érdekében tisztában kell lennie a csalás leggyakoribb típusaival, meg kell értenie, mit is akarnak valójában a hackerek, és időben meg kell szerveznie a megfelelő biztonsági szabályzatot.

Sztori

Annak ellenére, hogy a „társadalmi tervezés” fogalma viszonylag nemrégiben jelent meg, az emberek valamilyen formában ősidők óta használták technikáit. Az ókori Görögországban és Rómában nagy becsben tartották azokat az embereket, akik különféle módokon tudták meggyőzni beszélgetőpartnerüket arról, hogy nyilvánvalóan tévedett. A vezetők nevében felszólalva diplomáciai tárgyalásokat folytattak. Ügyesen, hazugságokkal, hízelgésekkel és előnyös érvekkel, gyakran olyan problémákat oldottak meg, amelyeket kard segítsége nélkül lehetetlennek tűnt megoldani. A kémek körében mindig is a social engineering volt a fő fegyver. Egy másik személy megszemélyesítésével a KGB és a CIA ügynökei titkos államtitkokat tudhattak meg. A 70-es évek elején, a phreaking virágkorában néhány telefonhuligán felhívta a távközlési szolgáltatókat, és megpróbált bizalmas információkat kiszedni a cég műszaki személyzetéből. Különféle trükkökkel végzett kísérletek után a 70-es évek végére a phreakerek annyira tökéletesítették a képzetlen operátorok manipulálásának technikáit, hogy könnyen megtanulhattak tőlük szinte mindent, amit akartak.

A social engineering elvei és technikái

Számos általános technikát és támadástípust használnak a szociális mérnökök. Mindezek a technikák az emberi döntéshozatal kognitív (lásd még Kognitív) torzításként ismert jellemzőin alapulnak. Ezeket az elfogultságokat különféle kombinációkban alkalmazzák az egyes esetekben a legmegfelelőbb megtévesztési stratégia létrehozásához. De ezeknek a módszereknek a közös vonása a félrevezető, azzal a céllal, hogy az embert valamilyen, számára nem előnyös és a társadalommérnök számára szükséges cselekvésre kényszerítsék. A kívánt eredmény elérése érdekében a támadó számos különféle taktikát alkalmaz: megszemélyesít egy másik személyt, eltereli a figyelmet, növeli a pszichológiai feszültséget stb. A megtévesztés végső céljai is nagyon sokfélék lehetnek.

Social engineering technikák

Pretextus

Az ürügy egy meghatározott, előre elkészített forgatókönyv (ürügy) szerint végrehajtott cselekvések összessége. Ez a technika olyan hangeszközök használatát foglalja magában, mint a telefon, Skype stb. a szükséges információk megszerzéséhez. Általában a támadó harmadik félnek kiadva magát, vagy úgy tesz, mintha valakinek segítségre szorulna, jelszót kér az áldozattól, vagy jelentkezzen be egy adathalász weboldalra, ezzel ráveszi a célpontot a kívánt művelet végrehajtására vagy bizonyos információk megadására. A legtöbb esetben ehhez a technikához szükség van néhány kezdeti adatra a támadás célpontjáról (például személyes adatok: születési dátum, telefonszám, számlaszámok stb.). A leggyakoribb stratégia az, hogy először kis lekérdezéseket használnak, és megemlítik a a szervezet valós személyeinek nevei. Később, a beszélgetés során a támadó elmagyarázza, hogy segítségre van szüksége (a legtöbb ember képes és hajlandó is olyan feladatokat végrehajtani, amelyeket nem észlelnek gyanúsnak). A bizalom megteremtése után a csaló valami lényegesebbet és fontosabbat kérhet.

Adathalászat

Példa egy e-mail szolgáltatástól küldött adathalász e-mailre, amely „fiók-újraaktiválást” kér.

Az adathalászat (angolul phishing, horgászatból - horgászat, horgászat) az internetes csalás egyik fajtája, melynek célja bizalmas felhasználói adatokhoz - bejelentkezési adatokhoz és jelszavakhoz való hozzáférés. Ez ma talán a legnépszerűbb social engineering séma. Egyetlen nagyobb személyes adatszivárgás sem történik meg anélkül, hogy ne követné az adathalász e-mailek hulláma. Az adathalászat célja bizalmas információk illegális megszerzése. Az adathalász támadások legszembetűnőbb példája az áldozatnak e-mailben küldött, hivatalos levélként meghamisított üzenet - banktól vagy fizetési rendszertől -, amely bizonyos információk ellenőrzését vagy bizonyos műveletek elvégzését igényli. Ennek többféle oka lehet. Ez lehet adatvesztés, rendszerhiba stb. Ezek az e-mailek általában egy hamis weboldalra mutató hivatkozást tartalmaznak, amely pontosan úgy néz ki, mint a hivatalos, és tartalmaz egy űrlapot, amely érzékeny adatok megadását igényli.

A globális adathalász e-mailek egyik leghíresebb példája egy 2003-as átverés volt, amelyben több ezer eBay-felhasználó kapott e-maileket, amelyekben azt állították, hogy fiókjukat zárolták, és a zárolás feloldásához frissíteni kell a hitelkártyaadatait. Mindegyik e-mail tartalmazott egy linket, amely egy hamis weboldalra vezetett, amely pontosan úgy nézett ki, mint a hivatalos oldal. A szakértők szerint az átverésből származó veszteségek több százezer dollárt tettek ki.

Hogyan lehet felismerni az adathalász támadást

Szinte minden nap új csalási rendszerek jelennek meg. A legtöbb ember meg tudja tanulni magától felismerni a csaló üzeneteket, ha megismeri néhány megkülönböztető jellemzőjét. Az adathalász üzenetek leggyakrabban a következőket tartalmazzák:

• aggodalmat vagy fenyegetést okozó információk, például a felhasználói bankszámlák bezárása.
• hatalmas pénznyeremények ígérete csekély erőfeszítéssel vagy semmi erőfeszítéssel.
• jótékonysági szervezetek nevében benyújtott önkéntes adománykérés.
• nyelvtani, írásjelek és helyesírási hibák.

Népszerű adathalász rendszerek

Az alábbiakban ismertetjük a legnépszerűbb adathalász csalásokat.

Csalás híres vállalatok márkái használatával

Ezek az adathalász csalások hamis e-maileket vagy nagy vagy jól ismert cégek nevét tartalmazó webhelyeket használnak. Az üzenetek tartalmazhatnak gratulációkat a cég által rendezett verseny megnyeréséhez, vagy a hitelesítő adatok vagy a jelszó sürgős megváltoztatásához. Hasonló csalás a technikai támogatás nevében telefonon is végrehajtható.

Hamis lottójátékok

A felhasználó olyan üzeneteket kaphat, amelyek azt jelzik, hogy nyert egy lottót, amelyet valamely jól ismert cég bonyolított le. A felszínen ezek az üzenetek úgy tűnhetnek, mintha egy vezető vállalati alkalmazott nevében küldték volna őket.

Hamis víruskereső és biztonsági programok

IVR vagy telefonos adathalászat

Az IVR rendszerek működési elve

Qui a quo-ról

A Quid pro quo egy rövidítés, amelyet az angolban gyakran használnak a "quid pro quo" jelentésére. Az ilyen típusú támadások során a támadó felhívja a vállalatot egy vállalati telefonon. A legtöbb esetben a támadó technikai támogatási alkalmazottnak adja ki magát, és megkérdezi, van-e valamilyen technikai probléma. A technikai problémák "megoldása" során a csaló olyan parancsok megadására "kényszeríti" a célpontot, amelyek lehetővé teszik a hacker számára, hogy rosszindulatú szoftvereket futtasson vagy telepítsen a felhasználó gépére.

trójai faló

Néha a trójaiak használata csak része egy bizonyos számítógépek, hálózatok vagy erőforrások ellen tervezett többlépcsős támadásnak.

A trójaiak fajtái

A trójaiakat leggyakrabban rosszindulatú célokra fejlesztik. Van egy besorolás, ahol kategóriákra osztják őket az alapján, hogy a trójaiak hogyan hatolnak be a rendszerbe, és hogyan okoznak kárt benne. 5 fő típusa van:

• távoli hozzáférés
• adatok megsemmisítése
• rakodó
• szerver
• biztonsági program deaktivátor

Gólok

A trójai program célja a következő lehet:

• fájlok feltöltése és letöltése
• hamis webhelyekre, csevegőszobákra vagy más regisztrációs oldalakra vezető hamis linkek másolása
• zavarja a felhasználó munkáját
• értékes adatok vagy titkok ellopása, ideértve a hitelesítési információkat is, forrásokhoz való jogosulatlan hozzáférés céljából, a bankszámlák adatainak megszerzése, amelyek bűncselekményre felhasználhatók
• egyéb rosszindulatú programok, például vírusok terjesztése
• adatok megsemmisítése (lemezen lévő adatok törlése vagy felülírása, nehezen látható fájlok sérülése) és berendezések, számítógépes rendszerek, hálózatok szolgáltatásának letiltása vagy meghibásodása
• e-mail címek gyűjtése és spam küldésére való felhasználása
• kémkedni a felhasználó után, és titokban információkat közölni harmadik felekkel, például böngészési szokásokat
• A billentyűleütések naplózása információk, például jelszavak és hitelkártyaszámok ellopásához
• vírusirtó programok és tűzfalak deaktiválása vagy működésének megzavarása

Álca

Sok trójai program a felhasználók tudta nélkül található a számítógépeken. Néha a trójaiakat regisztrálják a rendszerleíró adatbázisban, ami az operációs rendszer indításakor automatikusan elindul. A trójaiak legitim fájlokkal is kombinálhatók. Amikor a felhasználó megnyit egy ilyen fájlt vagy elindít egy alkalmazást, azzal együtt elindul a trójai.

Hogyan működik a trójai

A trójaiak általában két részből állnak: kliensből és szerverből. A szerver az áldozat gépen fut, és figyeli a kliens kapcsolatait. Amíg a Kiszolgáló fut, egy vagy több portot figyel a kliens kapcsolata érdekében. Ahhoz, hogy a támadó csatlakozhasson a szerverhez, ismernie kell annak a gépnek az IP-címét, amelyen fut. Egyes trójaiak e-mailben vagy más módon elküldik az áldozat gép IP-címét a támadó félnek. Amint létrejön a kapcsolat a Szerverrel, az Ügyfél parancsokat küldhet neki, amelyeket a Szerver végrehajt. Jelenleg a NAT technológiának köszönhetően a legtöbb számítógéphez nem lehet hozzáférni külső IP-címükön keresztül. Ezért manapság sok trójai csatlakozik a támadó számítógépéhez, amely a kapcsolati kapcsolatok fogadásáért felelős, ahelyett, hogy maga a támadó próbálna csatlakozni az áldozathoz. Sok modern trójai könnyen megkerülheti a felhasználói számítógépeken lévő tűzfalakat.

Információgyűjtés nyílt forrásokból

A social engineering technikák használatához nemcsak pszichológiai ismeretekre van szükség, hanem arra is, hogy a szükséges információkat összegyűjtsük egy személyről. Az ilyen információk megszerzésének viszonylag új módja volt a nyílt forrásokból, főleg a közösségi hálózatokból történő gyűjtés. Például az olyan webhelyek, mint a livejournal, az Odnoklassniki, a Vkontakte, hatalmas mennyiségű adatot tartalmaznak, amelyet az emberek általában nem próbálnak elrejteni. a felhasználók nem fordítanak kellő figyelmet a biztonsági kérdésekre, így a támadó által felhasználható adatok és információk nyilvánosak maradnak.

Szemléltető példa Jevgenyij Kasperszkij fiának elrablásának története. A nyomozás során megállapították, hogy a bűnözők a tinédzser napi beosztását és útvonalait egy közösségi oldalon közzétett bejegyzéseiből ismerték meg.

Még ha korlátozza is a közösségi oldalán található információkhoz való hozzáférést, a felhasználó nem lehet biztos abban, hogy azok soha nem kerülnek csalók kezébe. Például egy brazil számítógép-biztonsági kutató kimutatta, hogy 24 órán belül bármely Facebook-felhasználó barátjává lehet válni social engineering technikákkal. A kísérlet során Nelson Novaes Neto kutató kiválasztott egy „áldozatot”, és hamis fiókot készített egy személyről a környezetéből - a főnökéről. Neto először az áldozat főnökének barátainak küldött baráti kérelmeket, majd közvetlenül a barátainak. 7,5 óra elteltével a kutató megkapta az „áldozatot”, hogy barátként adja hozzá. Így a kutató hozzájutott a felhasználó személyes adataihoz, amelyeket csak barátaival osztott meg.

Út alma

Ez a támadási módszer a trójai faló adaptációja, és fizikai adathordozók használatából áll. A támadó olyan helyre ülteti a "fertőzöttet" vagy vakut, ahol a hordozó könnyen megtalálható (vécé, lift, parkoló). A médiát meghamisítják, hogy hivatalosnak tűnjön, és egy aláírás kíséri, hogy felkeltse a kíváncsiságot. Például egy csaló elhelyezhet egy vállalati logóval ellátott levelet és a cég hivatalos webhelyére mutató hivatkozást, és „Vezetői fizetések” címkével látja el. A lemez a lift padlóján vagy a hallban hagyható. Egy alkalmazott tudtán kívül felkaphatja a lemezt, és behelyezheti a számítógépbe, hogy kielégítse kíváncsiságát.

Reverse social engineering

Reverse social engineeringről akkor beszélünk, amikor az áldozat maga kínálja fel a támadónak a szükséges információkat. Ez abszurdnak tűnhet, de valójában a technikai vagy szociális szférában felhatalmazással rendelkező egyének gyakran kapnak felhasználói azonosítókat, jelszavakat és más kényes személyes információkat egyszerűen azért, mert senki sem kérdőjelezi meg tisztességüket. Például a támogató személyzet soha nem kér azonosítót vagy jelszót a felhasználóktól; nincs szükségük erre az információra a problémák megoldásához. Sok felhasználó azonban önként adja meg ezeket a bizalmas információkat a problémák gyors megoldása érdekében. Kiderült, hogy a támadónak nem is kell kérdeznie róla.

A fordított social engineering példája a következő egyszerű forgatókönyv. Az áldozattal dolgozó támadó megváltoztatja egy fájl nevét az áldozat számítógépén, vagy áthelyezi egy másik könyvtárba. Amikor az áldozat észreveszi, hogy az akta hiányzik, a támadó azt állítja, hogy mindent meg tud javítani. Ha szeretné gyorsabban elvégezni a munkát, vagy elkerülni az információvesztésért járó büntetést, az áldozat elfogadja ezt az ajánlatot. A támadó azt állítja, hogy a problémát csak az áldozat hitelesítő adataival való bejelentkezéssel lehet megoldani. Most az áldozat arra kéri a támadót, hogy jelentkezzen be az ő neve alatt, hogy megpróbálja visszaállítani a fájlt. A támadó vonakodva beleegyezik, visszaállítja a fájlt, és közben ellopja az áldozat azonosítóját és jelszavát. Miután sikeresen végrehajtotta a támadást, még a hírnevét is javította, és nagyon valószínű, hogy ezután más kollégák is hozzá fordulnak segítségért. Ez a megközelítés nem zavarja a támogatási szolgáltatások nyújtásának szokásos eljárásait, és megnehezíti a támadó elfogását.

Híres szociális mérnökök

Kevin Mitnick

Kevin Mitnick. Világhírű hacker és biztonsági tanácsadó

A történelem egyik leghíresebb társadalommérnöke Kevin Mitnick. Világhírű számítógépes hackerként és biztonsági tanácsadóként Mitnick számos számítógépes biztonságról szóló könyv szerzője is, amelyek főként a társadalmi tervezésnek és az emberekre gyakorolt ​​pszichológiai befolyásolás módszereinek szenteltek. 2002-ben az ő szerzője alatt jelent meg „A megtévesztés művészete” című könyv, amely a social engineering használatának valós történeteit meséli el. Kevin Mitnick azzal érvelt, hogy sokkal könnyebb megtévesztéssel jelszót szerezni, mint egy biztonsági rendszert feltörni.

Badir testvérek

Annak ellenére, hogy a testvérek, Mundir, Mushid és Shadi Badir születésüktől fogva vakok voltak, az 1990-es években több nagy csalást sikerült végrehajtaniuk Izraelben társadalmi manipuláció és hanghamisítás segítségével. Egy televíziós interjúban azt mondták: "Csak azok vannak teljesen biztosítottak a hálózati támadások ellen, akik nem használnak telefont, áramot és laptopot." A testvérek már börtönben is jártak, amiért hallhatták és megfejtették a telefonszolgáltatók titkos zavaró hangjait. Hosszan telefonáltak külföldön valaki más költségére, miután átprogramozták a mobilszolgáltatók számítógépeit zavaró hangokkal.

Arkangyal

A Phrack magazin borítója

A híres számítógépes hacker és a híres, angol nyelvű "Phrack Magazine" online magazin biztonsági tanácsadója, Archangel bemutatta a social engineering technikák erejét azzal, hogy rövid időn belül rengeteg különböző rendszerből szerzett jelszavakat, több száz áldozatot megtévesztve.

Egyéb

A kevésbé ismert társadalommérnökök közé tartozik Frank Abagnale, David Bannon, Peter Foster és Stephen Jay Russell.

A social engineering elleni védekezés módjai

A social engineering technikákat alkalmazó támadók támadásaik végrehajtásához gyakran kihasználják a felhasználók és a szervezetek alkalmazottainak hiszékenységét, lustaságát, udvariasságát, sőt lelkesedését. Nem könnyű védekezni az ilyen támadások ellen, mert az áldozatok nem biztos, hogy tudatában vannak annak, hogy becsapták őket. A social engineering támadóinak általában ugyanazok a céljai, mint bármely más támadónak: pénzt, információkat vagy az áldozat cég informatikai erőforrásait akarják. Az ilyen támadások elleni védelem érdekében tanulmányoznia kell azok típusait, meg kell értenie, mire van szüksége a támadónak, és fel kell mérnie a szervezetnek okozott károkat. Mindezen információk birtokában a szükséges védelmi intézkedéseket beépítheti biztonsági szabályzatába.

A fenyegetés besorolása

E-mailes fenyegetés

Sok alkalmazott naponta több tucat, sőt több száz e-mailt kap vállalati és magán levelezőrendszereken keresztül. Természetesen egy ilyen levélváltás mellett lehetetlen minden egyes betűre kellő figyelmet fordítani. Ez sokkal könnyebbé teszi a támadások végrehajtását. Az e-mail rendszerek legtöbb felhasználója nyugodtan kezeli az ilyen üzeneteket, és ezt a munkát a papírok egyik mappából a másikba való áthelyezésének elektronikus analógjaként érzékeli. Amikor egy támadó egyszerű kérést küld levélben, áldozata gyakran megteszi, amit kérnek tőle, anélkül, hogy a tetteire gondolna. Az e-mailek hiperhivatkozásokat tartalmazhatnak, amelyek a vállalati biztonság megsértésére csábítják az alkalmazottakat. Az ilyen hivatkozások nem mindig a megadott oldalakra vezetnek.

A legtöbb biztonsági intézkedés célja annak megakadályozása, hogy jogosulatlan felhasználók hozzáférjenek a vállalati erőforrásokhoz. Ha egy támadó által küldött hiperhivatkozásra kattintva a felhasználó egy trójai programot vagy vírust tölt fel a vállalati hálózatra, akkor sokféle védelem megkerülését teszi lehetővé. A hiperhivatkozás egy olyan webhelyre is mutathat, ahol felugró alkalmazásokat kérnek vagy segítséget nyújtanak, mint más típusú csalások esetében, a rosszindulatú támadások elleni védekezés leghatékonyabb módja, ha szkeptikusan fogadja a váratlan bejövő e-maileket. Ennek a megközelítésnek a szervezetében való népszerűsítéséhez a biztonsági szabályzatnak tartalmaznia kell az e-mailek használatára vonatkozó konkrét irányelveket, amelyek a következő elemeket fedik le.

• Mellékletek a dokumentumokhoz.
• Hiperhivatkozások a dokumentumokban.
• Személyes vagy vállalati adatok iránti kérések a vállalaton belülről.
• A vállalaton kívülről származó személyes vagy vállalati adatokra vonatkozó kérések.

Azonnali üzenetküldő szolgáltatások használatával kapcsolatos fenyegetések

Az azonnali üzenetküldés egy viszonylag új adatátviteli módszer, de a vállalati felhasználók körében már nagy népszerűségre tett szert. A gyorsaság és a könnyű kezelhetőség miatt ez a kommunikációs mód széles lehetőségeket nyit meg a különféle támadások előtt: a felhasználók telefonkapcsolatként kezelik, és nem társítják potenciális szoftverfenyegetésekkel. Az azonnali üzenetküldő szolgáltatások használatán alapuló támadások két fő típusa a rosszindulatú programra mutató hivatkozás beillesztése az üzenet törzsébe, illetve magának a programnak a kézbesítése. Természetesen az azonnali üzenetküldés is az információkérés egyik módja. Az azonnali üzenetküldő szolgáltatások egyik jellemzője a kommunikáció informális jellege. Azzal a képességgel kombinálva, hogy bármilyen nevet adhatnak maguknak, ez sokkal könnyebbé teszi a támadók számára, hogy valaki másnak adja ki magát, és nagymértékben megnöveli annak esélyét, hogy sikeresen végrehajtsanak egy támadást, ha egy vállalat kihasználni kívánja a költségcsökkentési lehetőségeket és egyéb előnyöket Az azonnali üzenetküldés által biztosított, a vállalati biztonsági szabályzatokba be kell építeni a vonatkozó fenyegetésekkel szembeni védelmi mechanizmusokat. Az azonnali üzenetküldés megbízható irányításához vállalati környezetben számos követelménynek kell megfelelni.

• Válasszon egy azonnali üzenetküldő platformot.
• Határozza meg az azonnali üzenetküldő szolgáltatás telepítésekor megadott biztonsági beállításokat.
• Határozza meg az új kapcsolatok kialakításának alapelveit
• Jelszószabványok beállítása
• Tegyen javaslatokat az azonnali üzenetküldő szolgáltatás használatára.

Többszintű biztonsági modell

A nagyvállalatok és alkalmazottaik védelmére a social engineering technikákat alkalmazó csalóktól gyakran alkalmaznak összetett, többszintű biztonsági rendszereket. Az alábbiakban felsorolunk néhány ilyen rendszer funkciót és felelősséget.

• Fizikai biztonság. Akadályok, amelyek korlátozzák a hozzáférést a vállalati épületekhez és a vállalati erőforrásokhoz. Ne felejtse el, hogy a vállalati erőforrások, például a vállalat területén kívül található szemetes konténerek fizikailag nem védettek.
• Adat. Üzleti információk: fiókok, levelek stb. A fenyegetések elemzésekor és az adatok védelmét szolgáló intézkedések megtervezésekor meg kell határoznia a papír és elektronikus adathordozók kezelésének elveit.
• Alkalmazások. Felhasználó által futtatott programok. A környezet védelme érdekében mérlegelnie kell, hogy a támadók hogyan tudják kihasználni az e-mail programokat, az azonnali üzenetküldést és más alkalmazásokat.
• Számítógépek. A szervezetben használt szerverek és kliens rendszerek. Megvédi a felhasználókat a számítógépüket ért közvetlen támadásoktól azáltal, hogy szigorú irányelveket határoz meg arra vonatkozóan, hogy milyen programokat lehet használni a vállalati számítógépeken.
• Belső hálózat. Egy hálózat, amelyen keresztül a vállalati rendszerek kölcsönhatásba lépnek. Lehet helyi, globális vagy vezeték nélküli. Az elmúlt években a távmunkamódszerek növekvő népszerűsége miatt a belső hálózatok határai jórészt önkényessé váltak. A vállalat alkalmazottait meg kell mondani, mit kell tenniük a biztonságos működés érdekében bármilyen hálózati környezetben.
• Hálózati kerület. A határ a vállalat belső hálózatai és a külső hálózatok között, mint például az internet vagy a partnerszervezetek hálózatai.

Felelősség

Telefonbeszélgetések ürügye és rögzítése

Hewlett-Packard

Patricia Dunn, a Hewlett Packard Corporation elnöke elmondta, hogy egy magáncéget bérelt fel, hogy azonosítsa azokat a cég alkalmazottait, akik felelősek a bizalmas információk kiszivárogtatásáért. Később a társaság vezetője bevallotta, hogy a kutatás során az ürügy és más social engineering technikák gyakorlatát alkalmazták.

Megjegyzések

Lásd még

Linkek

• SocialWare.ru – Magán szociális tervezési projekt

A hazugság egy egész technológia, amelyet „Társadalommérnökségnek” hívnak. A jó minőségű hazugság a „Társadalommérnökség” szerves részét képezi, amelynek használata nélkül modern körülmények között Egyetlen betörő sem tud boldogulni, akár kezdő, akár gyakorlott.

Különféle hackerek léteznek: számítógépes munkaállomás-hacker, szerverhacker, hacker számítógépes hálózatok, telefon cracker, cracker ( hordár) csak az agy stb. - és mindegyik a „Társadalommérnökséget” vagy egyszerűen csak egy hazugságot használja segédeszközként, amelyre a „Társadalomtechnika”, sőt az egész emberiség életének nagy része alapvetően épül.

Gyerekként azt tanították nekünk, hogy hazudni lehetetlen. Senkit sem érdekel. Azonban, ahogy ez gyakran megtörténik, az élet minden iskolai órát áthúz, és kitartóan rádöbbent bennünket arra, hogy hazugság nélkül nincs se itt, se ott – „Ha nem hazudsz, nem fogsz élni.” A legjobb hazudozók meglepő módon néha és szinte soha nem ismerik be. Ebben a cikkben a hazugság művészetének egyéb titkairól fogunk beszélni.

A hazugság az emberi élet szinte minden területét áthatja, beleértve a vallást is, és a nyugtalan brit kutatók az egész nagyvilágban és a szomszédos galaxisokban is hozzáteszik: „Kiderült, hogy minden ember hozzávetőlegesen több mint 88 ezerszer hazudik élete során! "

A legnépszerűbb hazugságok listáján természetesen megtalálhatóak a jól megkopott hazugságok is: „Nincs pénz, most tönkrementem”, „Nagyon örülök, hogy látlak”, „Visszahívjuk” és "Nagyon köszönöm, nagyon boldog vagyok." mint ". Kiderült, hogy mindenki hazudik, mindenkinek, minden alkalommal. De vannak, akik csodálatosan hazudnak, szórakoztatják a körülöttük lévőket, és megkönnyítik az életüket, míg mások egyáltalán nem hazudnak, fájdalmat és szenvedést okozva mindenki számára.

Szóval hogyan tanulhatod meg egyszerűen, biztonságosan és szépen „púderezni az agyad” ( tésztát akasztani a fülére, hóvihart hajtani, becsapni)? Ennek a mesterségnek, mint minden másnak, megvannak a maga íratlan törvényei és titkai.

„A professzor természetesen egy bögre, de a felszerelés vele van, vele. hogy hallod? »

A kis és nagy hazugságok egyformán alapos hozzáállást igényelnek.

Ez az egyik alapvető szabály, amelyet a hazugság leendő mesterének meg kell jegyeznie. Minden hazugságodat, jelentésétől függetlenül, örökké emlékezni kell, és a következő hazugságokat az előző hazugság figyelembevételével kell felépíteni. Egyesek azonban azt gondolhatják, hogy elég csak a legalapvetőbb hazugságra emlékezni, és a kisebb formalitásokon alapuló hazugság nem méltó a memorizálásra. Általában így égnek a tapasztalatlan hazudozók – ha felhalmoztak egy hegyet hazugságokkal, aztán elfelejtik, ki, mikor és hogyan „fésülködött”.

Ezért törekszel minden hazugságra, még a legkisebbre is. És mert emberi emlékezet nem végtelen, és biztosan nem fog tudni emlékezni minden „gonilovóra”, akkor ebből a következtetésből következik az alapszabály: Hazudj minél kevesebbet, IMHO csak így érheted el a hitelességet.

Homok a szemekben, tészta a fülekben

A hazugság igazi mestere (üldözője) olyan, mint egy spanyol torreádor, aki csak a legdöntőbb pillanatban ránt ki kardot, és csak egy ütést ad le. A fennmaradó időben ügyesen eltereli az áldozat figyelmét vörös köpenyének ügyes manipulációival. A tészta fülre akasztása során hasonló módszereket alkalmaznak, és a beszélgetőpartner figyelmének ügyes átirányítása egy másik tárgyra, vagy a beszédtéma időnkénti megváltoztatása teljesen mentesít a hazudozástól. Gondolja át előre a viselkedési stratégiáját, hogy egyáltalán ne kelljen elűznie a hóvihart. De vigyázz, ne vidd túlzásba, mert a muleta kínos használata az életébe is kerülhet a torreádornak!

Nehéz az iskolában, könnyű a munkahelyen

Bármilyen szakma gyakorlati képzést igényel, és egy olyan szakmában, mint a hazudozó, biztosan nem nélkülözheti a gyakorlatot. De mivel élő embereken gyakorolni nagyon embertelen, magunkon fogunk gyakorolni. Álljunk a tükör elé, és ismételjük a hazugságainkat, amíg teljesen természetesnek nem tűnnek. Ideális esetben meg kell győznünk magunkat hazugságaink igazságáról. A kifogástalan megtévesztés az, amiben mi magunk hiszünk.

És én nem én vagyok, és a hülyeség nem az enyém

Ha hazugság gyanúja merül fel, akkor az a legrosszabb, amit ilyen helyzetben tehet, ha elkezdi igazolni magát, és egyre több új hazugsággal áll elő. Amikor a ház rázkódni kezd, a lehető leghamarabb el kell menekülnie onnan, és nem kell sürgősen további emeleteket hozzáadnia. Ezért kell minden vádakra sértett és büszke hallgatással válaszolnia, vagy át kell térnie egy másik témára.

Ami az „önkéntes átadást az anális fogságnak” illeti, az ilyen átadás egyenértékű a templomba való közvetlen lövéssel. Gyakran vannak olyan körülmények, amikor az igazság egyformán káros mindkét fél számára, és a másik oldal a hazugság vádja ellenére sem akarja hallani. Ne hátrálj meg és ne add fel, még akkor sem, ha a szó szoros értelmében a falhoz nyomnak. Kövesse a vonalat a megerősítés, a logika és a józan ész ellen ( Nincsenek csapataink a Krímben – ez mind az emberek önvédelme).

Csak te, és csak én

Sok lépésre átgondolhatja a viselkedési stratégiát, a tükör közelében gyakorolhatja a briliáns színészi képességeket, gyakorolhatja a beszélgetés igaz intonációit, kifogásokat találhat ki, tanúkat, menekülési útvonalakat és egy második védelmi vonalat biztosíthat magának. .

És a család és a barátok még mindig megtudhatják az igazságot. Ezt nem lehet tudományosan megmagyarázni, mert nem hiszünk olyan dolgokban, mint „megálmodtam” vagy „a szívemben érzem”... „hogy te egy kibaszott sci-fi hazudozó vagy”. Mondjuk úgy, hogy egyes emberek között létrejöhet egyfajta pszichofiziológiai non-verbális (asztrális) kapcsolat, aminek köszönhetően öntudatlanul is érzékelik egymás állapotában a legkisebb módosulásokat is. Éppen ezért jobb, ha meg sem próbál hazudni a családjának és a barátoknak.

Social engineering technikák Az emberi agy egy nagy merevlemez, hatalmas mennyiségű információ tárháza. És mind a tulajdonos, mind bármely más személy felhasználhatja ezeket az információkat. Ahogy mondani szokták, a beszélő áldás a kém számára. Ahhoz, hogy jobban megértse a következők jelentését, legalább a pszichológia alapjait ismernie kell.
A social engineering lehetővé teszi számunkra "használd az eszed" egy másik személyhez folyamodva különféle módokon, és megkapja tőle a szükséges információkat.
Wiki azt mondja: „A társadalmi tervezés az emberi cselekvések irányításának módszere technikai eszközök használata nélkül”

Szociális tervezés- Ez egyfajta fiatal tudomány. Számos módszer és technika létezik az emberi tudat manipulálására. Kevin Mitnicknek igaza volt, amikor azt mondta, hogy néha könnyebb csalni és információkat szerezni, mint feltörni a hozzáférést. Olvassa el a „A megtévesztés művészete” című könyvet, és tetszeni fog.
Létezik reverse social engineering, melynek célja, hogy magától az áldozattól szerezzen adatokat. Segítségével maga az áldozat beszél jelszavairól, adatairól.

Az interneten nincsenek gesztusok, hanglejtések vagy arckifejezések. Minden kommunikáció szöveges üzeneteken alapul. És az Ön sikere egy adott helyzetben attól függ, hogy üzenetei milyen hatással vannak a beszélgetőpartnerre. Milyen technikákkal lehet titkosan manipulálni az ember tudatát?

Provokatív
Szigorúan véve ez trollkodás. Az embert feldühítve a legtöbb esetben kritikátlanul kezeli az információkat. Ebben az állapotban előírhatja vagy megkaphatja a szükséges információkat.

Szerelem
Talán ez a leghatékonyabb technika. A legtöbb esetben ezt használtam)). A szeretet állapotában az ember keveset észlel, és pontosan erre van szüksége a manipulátornak.

Közöny
A manipulátor egy bizonyos témával szembeni közömbösségének hatása létrejön, és a beszélgetőpartner megpróbálja meggyőzni őt, ezáltal csapdába esik, és felfedje a szükséges információkat.

Rohanás
Gyakran adódnak olyan helyzetek, amikor a manipulátor állítólag siet valahova, és folyamatosan céloz rá, ugyanakkor céltudatosan népszerűsíti a számára szükséges információkat.

Gyanú
A gyanakvás módszere némileg hasonlít a közöny módszeréhez. Az első esetben az áldozat az ellenkezőjét bizonyítja, a másodikban az áldozat megpróbálja igazolni „gyanúját”, nem veszi észre, hogy minden információt átad.

Irónia
Hasonló a provokáció technikájához. A manipulátor ironikussá teszi az embert. Ő viszont haragjában nem képes kritikusan értékelni az információkat. Ennek eredményeként egy lyuk képződik a pszichológiai gátban, amelyet a manipulátor kihasznál.

Őszinteség
Amikor egy manipulátor őszinte információkat mond beszélgetőpartnerének, a beszélgetőpartner bizonyos dolgokat tapasztal bizalmi kapcsolat, ami a védőgát gyengülésével jár. Ez rést hoz létre a pszichológiai védekezésben.

A fent leírt technikák nem merítik ki teljesen a social engineeringben rejlő lehetőségeket. Ezekről a technikákról, módszerekről lehet beszélni és beszélni. Miután elolvasta ezeket a technikákat, rá kell jönnie, hogy nem kell mindenki példáját követnie. Tanuld meg uralkodni magadon és a dühödön, és akkor a védekezésed mindig a megfelelő szinten lesz.
A miénk folytatódik. Várd az új cikkeket))

Az elmúlt években a social engineering technikákat használó kiberbűnözők fejlettebb módszereket alkalmaztak, amelyek a vállalati alkalmazottak és általában az emberek modern pszichológiáját felhasználva nagyobb valószínűséggel jutnak hozzá a szükséges információkhoz. Az első lépés az ilyen típusú trükkök leküzdésében az, hogy megértsük a támadók taktikáját. Nézzük meg a social engineering nyolc fő megközelítését.

Bevezetés

A 90-es években a „szociális tervezés” fogalmát Kevin Mitnick, a terület ikonikus alakja alkotta meg. információ biztonság, egykori komoly hacker. A támadók azonban már jóval a kifejezés megjelenése előtt alkalmaztak ilyen módszereket. A szakértők meg vannak győződve arról, hogy a modern kiberbűnözők taktikája két cél eléréséhez kötődik: a jelszavak ellopásához és a rosszindulatú programok telepítéséhez.

A támadók megpróbálnak szociális manipulációt alkalmazni telefonon, e-mailben és az interneten. Ismerkedjünk meg a főbb módszerekkel, amelyek segítségével a bűnözők hozzájuthatnak a szükséges bizalmas információkhoz.

Taktika 1. A tíz kézfogás elmélete

A telefont szociális manipulációra használó támadó fő célja az, hogy meggyőzze áldozatát a két dolog egyikéről:

1. Az áldozat hívást kap a cég alkalmazottjától;
2. Meghatalmazott szerv (például rendvédelmi tiszt vagy könyvvizsgáló) képviselője telefonál.

Ha egy bűnöző azt a feladatot tűzi ki maga elé, hogy adatokat gyűjtsön egy adott alkalmazottról, akkor először kapcsolatba léphet kollégáival, és minden lehetséges módon megpróbálja kinyerni a számára szükséges adatokat.

Emlékszel a hat kézfogás régi elméletére? Nos, a biztonsági szakértők szerint csak tíz „kézfogás” lehet egy kiberbűnöző és áldozata között. A szakértők úgy vélik, hogy a modern körülmények között mindig szükség van egy kis paranoiára, mivel nem tudod, hogy ez vagy az a munkavállaló mit akar tőled.

A támadók általában egy titkárt (vagy egy hasonló pozíciót betöltő személyt) vesznek célba, hogy információkat gyűjtsenek a hierarchiában magasabban lévő személyekről. A szakértők megjegyzik, hogy a barátságos hang nagyban segíti a csalókat. Lassan, de biztosan a bûnözõk veszik fel a kulcsot hozzád, ami hamarosan oda vezet, hogy olyan információkat osztasz meg, amelyeket korábban soha nem árultál volna el.

Taktika 2. Vállalati nyelv tanulása

Mint tudják, minden iparágnak megvan a maga sajátos összetétele. A szükséges információk megszerzésére törekvő támadó feladata egy ilyen nyelv jellemzőinek tanulmányozása, hogy ügyesebben alkalmazhassa a social engineering technikákat.

Minden sajátosság a vállalati nyelv, annak kifejezések és jellemzők tanulmányozásában rejlik. Ha egy kiberbűnöző ismerős, ismerős és érthető nyelvet beszél céljainak megfelelően, könnyebben nyeri el a bizalmat, és gyorsan hozzájuthat a számára szükséges információkhoz.

3. taktika: Kölcsönözz zenét a hívások tartásához hívás közben

A sikeres támadás végrehajtásához a csalóknak három összetevőre van szükségük: időre, kitartásra és türelemre. A social engineering segítségével végrehajtott kibertámadásokat gyakran lassan és módszeresen hajtják végre – nem csak adatgyűjtéssel a megfelelő embereket, hanem az úgynevezett „társadalmi jelek” is. Ez a bizalom elnyerése és a cél megtévesztése érdekében történik. Például a támadók meg tudják győzni a személyt, akivel kommunikálnak, hogy kollégák.

Ennek a megközelítésnek az egyik jellemzője a zene felvétele, amelyet a cég hívás közben használ, miközben a hívó fél válaszra vár. A bûnözõ elõször megvárja az ilyen zenét, majd felveszi, majd a maga hasznára fordítja.

Így, amikor közvetlen párbeszéd folyik az áldozattal, a támadók egy ponton azt mondják: "Várjon egy percet, hívás jön a másik vonalon." Ekkor az áldozat ismerős zenét hall, és nem marad kétsége afelől, hogy a hívó egy bizonyos társaságot képvisel. Lényegében ez csak egy ügyes pszichológiai trükk.

Taktika 4. Telefonszám meghamisítása (helyettesítése).

A bűnözők gyakran hamisítanak telefonszámok, ami segít nekik meghamisítani a hívó számát. Például egy támadó leülhet a lakásában és felhívhat egy érdeklődőt, de megjelenik a hívóazonosító cég tulajdonában van számot, ami azt az illúziót kelti, hogy a csaló céges számot használ.

Természetesen a gyanútlan alkalmazottak a legtöbb esetben bizalmas információkat, köztük jelszavakat adnak át a hívónak, ha a hívóazonosító az ő cégükhöz tartozik. Ez a megközelítés abban is segít, hogy a bűnözők elkerüljék a nyomon követést, mert ha visszahív erre a számra, a rendszer átirányítja a cég belső vonalára.

5. taktika: A hírek felhasználása ellened

Bármi legyen is az aktuális hír, a támadók ezeket az információkat csaliként használják fel spamekhez, adathalászathoz és egyéb csalásokhoz. csalárd tevékenységek. Nem csoda, hogy a szakértők Utóbbi időben megnövekedett a spam e-mailek száma, amelyek témái az elnökválasztási kampányokhoz és a gazdasági válságokhoz kapcsolódnak.

Példa erre egy bank elleni adathalász támadás. Az email valami ilyesmit ír:

„Egy másik bank [bank neve] felvásárolja az Ön bankját [bank neve]. Kattintson erre a linkre, hogy megbizonyosodjon arról, hogy banki adatai frissülnek az ügylet lezárásáig."

Természetesen ez egy kísérlet olyan információk megszerzésére, amelyek segítségével a csalók bejelentkezhetnek az Ön fiókjába, ellophatják a pénzét, vagy eladhatják adatait harmadik félnek.

6. taktika: Használja ki a közösségi platformokba vetett bizalmat

Nem titok, hogy a Facebook, a Myspace és a LinkedIn rendkívül népszerű oldalak közösségi média. Szakértői kutatások szerint az emberek hajlamosak megbízni az ilyen platformokban. A közelmúltban egy LinkedIn-felhasználókat célzó adathalász incidens támogatja ezt az elméletet.

Így sok felhasználó megbízik egy e-mailben, ha azt állítja, hogy a Facebooktól származik. Gyakori technika az, hogy azt állítják, hogy a közösségi hálózat folytat Karbantartás, akkor „ide kell kattintania” az információk frissítéséhez. Éppen ezért a szakértők azt javasolják, hogy a vállalati alkalmazottak manuálisan írják be a webcímeket, hogy elkerüljék az adathalász hivatkozásokat.

Azt is érdemes szem előtt tartani, hogy nagyon ritka esetekben a webhelyek jelszavuk megváltoztatását vagy fiókjuk frissítését kérik a felhasználóktól.

Taktika 7. Typesquatting

Ez a rosszindulatú technika figyelemre méltó, mert a támadók ezt használják emberi tényező, nevezetesen az URL címsorba történő beírása során előforduló hibák. Így a felhasználó egyetlen betű hibájával a támadók által kifejezetten erre a célra készített weboldalra kerülhet.

A kiberbűnözők gondosan előkészítik a terepet a gépelésre, így webhelyük pontosan olyan lesz, mint a legális, amelyet eredetileg meg akart látogatni. Így, ha elgépeli a webcímét, egy legitim webhely másolatára kerül, amelynek célja vagy valami eladása, adatok ellopása, vagy rosszindulatú programok terjesztése.

Taktika 8. FUD használata a tőzsde befolyásolására

A FUD a marketingben és általában a propagandában alkalmazott pszichológiai manipulációs taktika, amely abból áll, hogy valamiről (különösen egy termékről vagy szervezetről) információt adunk meg oly módon, hogy bizonytalanságot és kételyt szít a közönségben annak tulajdonságait illetően, és ezáltal attól való félelem.

Az Avert legfrissebb kutatása szerint a termékek, sőt akár egész cégek biztonsága, sebezhetősége is hatással lehet a tőzsdére. A kutatók például tanulmányozták a Microsoft Patch Tuesday-hoz hasonló események hatását a vállalat részvényeire, és minden hónapban észrevehető ingadozást találtak a sebezhetőségekről szóló információk közzététele után.

Emlékezhet arra is, hogy 2008-ban a támadók hamis információkat terjesztettek Steve Jobs egészségi állapotáról, aminek következtében éles esés Apple részvények. Ez a legjellemzőbb példa arra, hogy a FUD-ot rosszindulatú célokra használják.

Emellett érdemes megjegyezni az e-mailek használatát a „pump-and-dump” technika (a tőzsdei vagy kriptovaluta-piaci árfolyam manipulálására szolgáló séma későbbi összeomlással) megvalósítására. Ebben az esetben a támadók e-maileket küldhetnek, amelyekben leírják az előre megvásárolt részvények elképesztő potenciálját.

Így sokan megpróbálják mielőbb felvásárolni ezeket a részvényeket, és ezek drágulni fognak.

következtetéseket

A kiberbûnözõk gyakran rendkívül kreatívak a társadalmi tervezés során. Módszereiket megismerve megállapíthatjuk, hogy a különféle pszichológiai trükkök nagyban segítik a támadókat céljaik elérésében. Ez alapján érdemes minden olyan apróságra odafigyelni, ami akaratlanul is felfedhet egy csalót, ellenőrizni és kétszer is ellenőrizni az Önnel kapcsolatba lépő személyek adatait, különösen, ha bizalmas információkról van szó.