Metody sociálního inženýrství. Sociální inženýrství

Metody sociálního inženýrství. Sociální inženýrství

Sociální inženýrství

Sociální inženýrství je způsob neoprávněného přístupu k informacím nebo systémům ukládání informací bez použití technických prostředků. Hlavním cílem sociálních inženýrů, stejně jako ostatních hackerů a crackerů, je získat přístup k zabezpečeným systémům za účelem krádeže informací, hesel, informací o kreditních kartách atd. Hlavní rozdíl oproti jednoduchému hackování je v tom, že v tomto případě není za cíl útoku zvolen stroj, ale jeho operátor. Proto jsou všechny metody a techniky sociálních inženýrů založeny na využití slabých stránek lidského faktoru, který je považován za extrémně destruktivní, neboť útočník získává informace například běžným telefonickým rozhovorem nebo infiltrací do organizace spadající pod tzv. převleku svého zaměstnance. Chcete-li se chránit před tímto typem útoku, měli byste si být vědomi nejběžnějších typů podvodů, rozumět tomu, co hackeři skutečně chtějí, a včas zorganizovat vhodnou bezpečnostní politiku.

Příběh

Navzdory skutečnosti, že pojem „sociální inženýrství“ se objevil relativně nedávno, lidé v té či oné podobě používali jeho techniky od nepaměti. Ve starověkém Řecku a Římě byli lidé ve velké úctě, kteří mohli svého partnera různými způsoby přesvědčit, že se zjevně mýlí. Jménem vůdců vedli diplomatická jednání. Dovedně za použití lží, lichotek a výhodných argumentů často řešili problémy, které se zdály neřešitelné bez pomoci meče. Mezi špiony bylo vždy hlavní zbraní sociální inženýrství. Tím, že se agenti KGB a CIA vydávali za jinou osobu, mohli zjistit tajná státní tajemství. Začátkem 70. let, v době rozkvětu phreakingu, volali někteří telefonní chuligáni telekomunikačním operátorům a snažili se získat důvěrné informace z technického personálu společnosti. Po různých experimentech s triky koncem 70. let phreakeři natolik zdokonalili techniky manipulace s nevycvičenými operátory, že se od nich mohli snadno naučit téměř vše, co chtěli.

Principy a techniky sociálního inženýrství

Existuje několik běžných technik a typů útoků, které sociální inženýři používají. Všechny tyto techniky jsou založeny na rysech lidského rozhodování známých jako kognitivní (viz také Kognitivní) zaujatosti. Tyto předsudky se používají v různých kombinacích k vytvoření nejvhodnější strategie klamání v každém konkrétním případě. Společným rysem všech těchto metod je ale zavádějící, s cílem donutit člověka k nějakému jednání, které mu není prospěšné a je pro sociálního inženýra nezbytné. K dosažení požadovaného výsledku využívá útočník řadu různých taktik: vydávání se za jinou osobu, odvádění pozornosti, zvyšování psychického napětí atd. Konečné cíle klamání mohou být také velmi různorodé.

Techniky sociálního inženýrství

Předmluva

Pretexting je soubor akcí prováděných podle konkrétního, předem připraveného scénáře (záminky). Tato technika zahrnuje použití hlasových prostředků, jako je telefon, Skype atd. získat potřebné informace. Útočník obvykle tím, že se vydává za třetí stranu nebo předstírá, že někdo potřebuje pomoc, požádá oběť, aby poskytla heslo nebo se přihlásila na phishingovou webovou stránku, čímž přiměje cíl provést požadovanou akci nebo poskytnout určité informace. Ve většině případů tato technika vyžaduje nějaké počáteční údaje o cíli útoku (například osobní údaje: datum narození, telefonní číslo, čísla účtů atd.) Nejběžnější strategií je nejprve použít malé dotazy a zmínit jména skutečných lidí v organizaci. Později, během rozhovoru, útočník vysvětluje, že potřebuje pomoc (většina lidí je schopna a ochotna provádět úkoly, které nejsou vnímány jako podezřelé). Jakmile se vytvoří důvěra, může podvodník požádat o něco podstatnějšího a důležitějšího.

Phishing

Příklad phishingového e-mailu odeslaného z e-mailové služby požadujícího „opětovnou aktivaci účtu“

Phishing (anglicky phishing, od fishing - fishing, fishing) je druh internetového podvodu, jehož účelem je získat přístup k důvěrným uživatelským datům - přihlašovacím údajům a heslům. Toto je dnes možná nejpopulárnější schéma sociálního inženýrství. Nedojde k jedinému velkému úniku osobních údajů, aniž by ho následovala vlna phishingových e-mailů. Účelem phishingu je nelegální získávání důvěrných informací. Nejvýraznějším příkladem phishingového útoku je zpráva zaslaná oběti e-mailem a falešná jako oficiální dopis – od banky nebo platebního systému – vyžadující ověření určitých informací nebo provedení určitých akcí. Důvodů může být celá řada. Může to být ztráta dat, selhání systému atd. Tyto e-maily obvykle obsahují odkaz na falešnou webovou stránku, která vypadá přesně jako ta oficiální, a obsahuje formulář, který vyžaduje zadání citlivých informací.

Jedním z nejslavnějších příkladů globálních phishingových e-mailů byl podvod z roku 2003, kdy tisíce uživatelů eBay obdržely e-maily s tvrzením, že jejich účet byl uzamčen, a vyžadovali aktualizaci údajů o své kreditní kartě, aby jej odemkli. Všechny tyto e-maily obsahovaly odkaz vedoucí na falešnou webovou stránku, která vypadala přesně jako ta oficiální. Podle odborníků se ztráty z tohoto podvodu vyšplhaly na několik set tisíc dolarů.

Jak rozpoznat phishingový útok

Téměř každý den se objevují nová podvodná schémata. Většina lidí se může naučit rozpoznávat podvodné zprávy sama tím, že se seznámí s některými z jejich charakteristických rysů. Nejčastěji phishingové zprávy obsahují:

  • informace vyvolávající obavy nebo hrozby, jako je uzavření uživatelských bankovních účtů.
  • sliby obrovských peněžních cen s malým nebo žádným úsilím.
  • žádosti o dobrovolné dary jménem charitativních organizací.
  • gramatické, interpunkční a pravopisné chyby.

Populární phishingová schémata

Nejoblíbenější phishingové podvody jsou popsány níže.

Podvody pomocí značek slavných korporací

Tyto phishingové podvody využívají falešné e-maily nebo webové stránky obsahující jména velkých nebo známých společností. Zprávy mohou obsahovat blahopřání k vítězství v soutěži pořádané společností nebo k naléhavé potřebě změnit své přihlašovací údaje nebo heslo. Podobná podvodná schémata jménem technické podpory lze provádět také po telefonu.

Podvodné loterie

Uživatel může dostávat zprávy o tom, že vyhrál loterii, kterou provedla nějaká známá společnost. Na první pohled se tyto zprávy mohou jevit, jako by byly odeslány jménem vedoucího zaměstnance společnosti.

Falešný antivirový a bezpečnostní software
IVR nebo telefonní phishing

Princip činnosti IVR systémů

Qui o quo

Quid pro quo je zkratka běžně používaná v angličtině a znamená „quid pro quo“. Tento typ útoku spočívá v tom, že útočník volá společnosti na firemním telefonu. Ve většině případů se útočník vydává za zaměstnance technické podpory a ptá se, zda se vyskytly nějaké technické problémy. V procesu „řešení“ technických problémů podvodník „nutí“ cíl zadávat příkazy, které umožňují hackerovi spustit nebo nainstalovat škodlivý software na počítač uživatele.

trojský kůň

Někdy je použití trojských koní jen součástí plánovaného vícefázového útoku na určité počítače, sítě nebo zdroje.

Typy trojských koní

Trojské koně jsou nejčastěji vyvíjeny pro škodlivé účely. Existuje klasifikace, ve které jsou rozděleni do kategorií podle toho, jak trojské koně infiltrují systém a způsobí mu škodu. Existuje 5 hlavních typů:

  • vzdálený přístup
  • zničení dat
  • nakladač
  • server
  • deaktivátor bezpečnostních programů

Cíle

Účelem trojského koně může být:

  • nahrávání a stahování souborů
  • kopírování falešných odkazů vedoucích na falešné webové stránky, chatovací místnosti nebo jiné registrační stránky
  • zasahování do práce uživatele
  • krádež cenných údajů nebo tajemství, včetně ověřovacích informací, za účelem neoprávněného přístupu ke zdrojům, získávání údajů o bankovních účtech, které by mohly být použity pro kriminální účely
  • šíření dalšího malwaru, jako jsou viry
  • zničení dat (smazání nebo přepsání dat na disku, špatně viditelné poškození souborů) a zařízení, vyřazení nebo výpadek obsluhy počítačových systémů, sítí
  • shromažďování e-mailových adres a jejich používání k rozesílání spamu
  • špehování uživatele a tajné sdělování informací třetím stranám, jako jsou zvyky při prohlížení
  • Protokolování úhozů za účelem odcizení informací, jako jsou hesla a čísla kreditních karet
  • deaktivace nebo narušení provozu antivirových programů a firewallů

Přestrojení

Mnoho trojských koní je umístěno v počítačích uživatelů bez jejich vědomí. Někdy jsou trojské koně registrovány v registru, což vede k jejich automatickému spuštění při spuštění operačního systému. Trojské koně lze také kombinovat s legitimními soubory. Když uživatel otevře takový soubor nebo spustí aplikaci, trojský kůň se spustí spolu s ním.

Jak funguje Trojan

Trojské koně se obvykle skládají ze dvou částí: klienta a serveru. Server běží na počítači oběti a monitoruje připojení od klienta. Zatímco Server běží, monitoruje port nebo více portů pro připojení od klienta. Aby se útočník mohl připojit k serveru, musí znát IP adresu počítače, na kterém běží. Některé trojské koně odesílají IP adresu počítače oběti útočící straně e-mailem nebo jiným způsobem. Jakmile dojde k připojení k Serveru, Klient mu může posílat příkazy, které Server provede. V současné době je díky technologii NAT nemožné přistupovat k většině počítačů prostřednictvím jejich externí IP adresy. To je důvod, proč se dnes mnoho trojských koní připojuje k počítači útočníka, který je zodpovědný za příjem připojení, místo toho, aby se útočník sám snažil připojit k oběti. Mnoho moderních trojských koní může také snadno obejít firewally na uživatelských počítačích.

Sběr informací z otevřených zdrojů

Využití technik sociálního inženýrství vyžaduje nejen znalosti z psychologie, ale také schopnost sbírat potřebné informace o člověku. Relativně novým způsobem získávání těchto informací bylo jejich shromažďování z otevřených zdrojů, zejména ze sociálních sítí, například stránky jako livejournal, Odnoklassniki, Vkontakte obsahují obrovské množství dat, které se lidé zpravidla nesnaží skrývat. uživatelé nevěnují dostatečnou pozornost bezpečnostním problémům a ponechávají data a informace ve veřejné doméně, které může útočník využít.

Názorným příkladem je příběh o únosu syna Evgenije Kasperského. Během vyšetřování bylo zjištěno, že se zločinci dozvěděli teenagerův denní rozvrh a trasy z jeho příspěvků na stránce sociální sítě.

I omezením přístupu k informacím na své stránce na sociální síti si uživatel nemůže být jistý, že se nikdy nedostanou do rukou podvodníků. Například brazilský výzkumník počítačové bezpečnosti ukázal, že pomocí technik sociálního inženýrství je možné se stát přítelem jakéhokoli uživatele Facebooku do 24 hodin. Během experimentu si výzkumník Nelson Novaes Neto vybral „oběť“ a vytvořil falešný účet osoby z jejího prostředí – jejího šéfa. Neto nejprve rozeslal žádosti o přátelství přátelům přátel šéfa oběti a poté přímo jeho přátelům. Po 7,5 hodinách dostal výzkumník „oběť“, aby si ho přidala jako přítele. Výzkumník tak získal přístup k osobním údajům uživatele, které sdílel pouze se svými přáteli.

Silniční jablko

Tato metoda útoku je adaptací trojského koně a spočívá v použití fyzických médií. Útočník zasadí "nakažené" nebo flash na místo, kde lze nosič snadno najít (toaleta, výtah, parkoviště). Média jsou falešná, aby vypadala oficiálně, a jsou doprovázena podpisem, který má vzbudit zvědavost. Podvodník může například umístit dopis opatřený firemním logem a odkazem na oficiální web společnosti s nápisem „Platy vedoucích pracovníků“. Disk lze ponechat na podlaze výtahu nebo ve vstupní hale. Zaměstnanec může nevědomky zvednout disk a vložit jej do počítače, aby uspokojil svou zvědavost.

Reverzní sociální inženýrství

O reverzním sociálním inženýrství se hovoří, když oběť sama nabídne útočníkovi informace, které potřebuje. Může se to zdát absurdní, ale ve skutečnosti jednotlivci s autoritami v technické nebo sociální sféře často dostávají uživatelská ID, hesla a další citlivé osobní informace jen proto, že nikdo nezpochybňuje jejich integritu. Zaměstnanci podpory například nikdy nepožadují od uživatelů ID nebo heslo; nepotřebují tyto informace k řešení problémů. Mnoho uživatelů však tyto důvěrné informace poskytuje dobrovolně za účelem rychlého vyřešení problémů. Ukazuje se, že útočník se na to ani nemusí ptát.

Příkladem reverzního sociálního inženýrství je následující jednoduchý scénář. Útočník pracující s obětí změní název souboru v počítači oběti nebo jej přesune do jiného adresáře. Když si oběť všimne, že soubor chybí, útočník tvrdí, že může vše opravit. Ve snaze dokončit práci rychleji nebo se vyhnout trestu za ztrátu informací oběť souhlasí s touto nabídkou. Útočník tvrdí, že problém lze vyřešit pouze přihlášením pomocí přihlašovacích údajů oběti. Nyní oběť požádá útočníka, aby se přihlásil pod jejím jménem a pokusil se soubor obnovit. Útočník neochotně souhlasí a obnoví soubor a přitom ukradne ID a heslo oběti. Úspěšným provedením útoku si dokonce vylepšil reputaci a je docela možné, že se na něj poté obrátí o pomoc další kolegové. Tento přístup nenarušuje běžné postupy poskytování podpůrných služeb a komplikuje dopadení útočníka.

Slavní sociální inženýři

Kevin Mitnick

Kevin Mitnick. Světově proslulý hacker a bezpečnostní konzultant

Jedním z nejznámějších sociálních inženýrů v historii je Kevin Mitnick. Jako světoznámý počítačový hacker a bezpečnostní konzultant je Mitnick také autorem mnoha knih o počítačové bezpečnosti, věnovaných především sociálnímu inženýrství a metodám psychologického ovlivňování lidí. V roce 2002 byla pod jeho autorstvím vydána kniha „The Art of Deception“, která vypráví o skutečných příbězích využití sociálního inženýrství. Kevin Mitnick tvrdil, že je mnohem snazší získat heslo podvodem, než se pokoušet hacknout bezpečnostní systém

Bratři Badirové

Navzdory skutečnosti, že bratři Mundir, Mushid a Shadi Badir byli od narození slepí, podařilo se jim v 90. letech v Izraeli provést několik rozsáhlých podvodných schémat pomocí sociálního inženýrství a falšování hlasu. V televizním rozhovoru řekli: "Pouze ti, kteří nepoužívají telefon, elektřinu a notebook, jsou zcela pojištěni proti síťovým útokům." Bratři už byli ve vězení za to, že mohli slyšet a dešifrovat tajné rušivé tóny telefonních operátorů. Prováděli dlouhé hovory do zahraničí na cizí náklady a přeprogramovali počítače mobilních operátorů rušivými tóny.

Archanděl

Obálka časopisu Phrack

Slavný počítačový hacker a bezpečnostní konzultant slavného anglického online magazínu „Phrack Magazine“, Archangel demonstroval sílu technik sociálního inženýrství tím, že v krátkém čase získal hesla z velkého množství různých systémů a oklamal několik stovek obětí.

Ostatní

Mezi méně známé sociální inženýry patří Frank Abagnale, David Bannon, Peter Foster a Stephen Jay Russell.

Způsoby ochrany před sociálním inženýrstvím

K provádění svých útoků útočníci, kteří používají techniky sociálního inženýrství, často využívají důvěřivost, lenost, zdvořilost a dokonce nadšení uživatelů a zaměstnanců organizací. Není snadné se takovým útokům bránit, protože oběti si nemusí být vědomy, že byly podvedeny. Útočníci v oblasti sociálního inženýrství mají obecně stejné cíle jako jakýkoli jiný útočník: chtějí peníze, informace nebo IT zdroje oběti společnosti. Abyste se proti takovým útokům chránili, musíte si prostudovat jejich typy, pochopit, co útočník potřebuje, a posoudit škody, které by mohly organizaci způsobit. Se všemi těmito informacemi můžete integrovat nezbytná ochranná opatření do vaší bezpečnostní politiky.

Klasifikace hrozeb

E-mailové hrozby

Mnoho zaměstnanců dostává každý den desítky a dokonce stovky e-mailů prostřednictvím firemních a soukromých e-mailových systémů. Samozřejmě při takovém toku korespondence není možné věnovat náležitou pozornost každému dopisu. Díky tomu je mnohem snazší provádět útoky. Většina uživatelů e-mailových systémů je při zpracovávání takových zpráv uvolněná a vnímá tuto práci jako elektronickou analogii přesouvání dokumentů z jedné složky do druhé. Když útočník pošle jednoduchou žádost poštou, jeho oběť často udělá to, o co je požádána, aniž by přemýšlela o svých činech. E-maily mohou obsahovat hypertextové odkazy, které lákají zaměstnance k porušení podnikové bezpečnosti. Takové odkazy nevedou vždy na uvedené stránky.

Většina bezpečnostních opatření je zaměřena na zabránění neoprávněným uživatelům v přístupu k podnikovým zdrojům. Pokud uživatel kliknutím na hypertextový odkaz zaslaný útočníkem nahraje do podnikové sítě trojského koně nebo virus, bude snadné obejít mnoho typů ochrany. Hypertextový odkaz může také odkazovat na stránky s vyskakovacími aplikacemi, které žádají o data nebo nabízejí pomoc. Stejně jako u jiných typů podvodů je nejúčinnějším způsobem, jak se chránit před škodlivými útoky, být skeptický k jakýmkoli neočekávaným příchozím e-mailům. Chcete-li tento přístup prosazovat ve vaší organizaci, vaše zásady zabezpečení by měly obsahovat konkrétní pokyny pro používání e-mailu, které pokrývají následující prvky.

  • Přílohy k dokumentům.
  • Hypertextové odkazy v dokumentech.
  • Žádosti o osobní nebo firemní informace pocházející zevnitř společnosti.
  • Žádosti o osobní nebo firemní informace pocházející mimo společnost.

Hrozby spojené s používáním služeb rychlého zasílání zpráv

Instant messaging je relativně nový způsob přenosu dat, ale mezi firemními uživateli si již získal širokou oblibu. Vzhledem k rychlosti a jednoduchosti použití otevírá tento způsob komunikace široké možnosti pro různé útoky: uživatelé s ním nakládají jako s telefonním spojením a nespojují jej s potenciálními softwarovými hrozbami. Dva hlavní typy útoků založených na používání služeb rychlého zasílání zpráv jsou zahrnutí odkazu na škodlivý program do těla zprávy a doručení samotného programu. Zasílání rychlých zpráv je samozřejmě také jedním ze způsobů, jak si vyžádat informace. Jednou z vlastností služeb rychlého zasílání zpráv je neformální povaha komunikace. V kombinaci s možností přiřadit si k sobě libovolné jméno tento faktor značně usnadňuje útočníkovi vydávat se za jinou osobu a výrazně zvyšuje jeho šance na úspěšné provedení útoku, pokud společnost hodlá využít příležitostí ke snížení nákladů a další výhody, které přináší instant messaging, je nutné zahrnout do podnikové bezpečnostní politiky poskytující ochranné mechanismy proti relevantním hrozbám. Chcete-li získat spolehlivou kontrolu nad rychlým zasíláním zpráv v podnikovém prostředí, je třeba splnit několik požadavků.

  • Vyberte si jednu platformu pro rychlé zasílání zpráv.
  • Určete nastavení zabezpečení, která jsou zadána při nasazení služby rychlých zpráv.
  • Stanovit zásady pro navazování nových kontaktů
  • Nastavte standardy hesel
  • Poskytněte doporučení pro používání služby chatu.

Víceúrovňový bezpečnostní model

K ochraně velkých společností a jejich zaměstnanců před podvodníky využívajícími techniky sociálního inženýrství se často používají komplexní víceúrovňové bezpečnostní systémy. Některé funkce a odpovědnosti takových systémů jsou uvedeny níže.

  • Fyzická bezpečnost. Bariéry, které omezují přístup do firemních budov a firemních zdrojů. Nezapomeňte, že firemní zdroje, například kontejnery na odpadky umístěné mimo území společnosti, nejsou fyzicky chráněny.
  • Data. Obchodní informace: účty, pošta atd. Při analýze hrozeb a plánování opatření na ochranu dat musíte určit zásady nakládání s papírovými a elektronickými datovými nosiči.
  • Aplikace. Uživatelem spouštěné programy. Chcete-li chránit své prostředí, musíte zvážit, jak mohou útočníci zneužít e-mailové programy, rychlé zasílání zpráv a další aplikace.
  • Počítače. Servery a klientské systémy používané v organizaci. Chrání uživatele před přímými útoky na jejich počítače tím, že definuje přísná pravidla určující, jaké programy lze na podnikových počítačích používat.
  • Vnitřní síť. Síť, jejímž prostřednictvím podnikové systémy interagují. Může být lokální, globální nebo bezdrátový. V posledních letech se díky rostoucí oblibě metod práce na dálku staly hranice vnitřních sítí do značné míry libovolné. Zaměstnanci společnosti musí být informováni o tom, co musí dělat, aby fungovali bezpečně v jakémkoli síťovém prostředí.
  • Obvod sítě. Hranice mezi interními sítěmi firmy a externími, jako je internet nebo sítě partnerských organizací.

Odpovědnost

Předpisování a nahrávání telefonních hovorů

Hewlett-Packard

Patricia Dunn, prezidentka společnosti Hewlett Packard Corporation, uvedla, že najala soukromou společnost, aby identifikovala zaměstnance společnosti, kteří byli odpovědní za únik důvěrných informací. Později šéf korporace připustil, že během výzkumného procesu byla použita praxe pretextingu a dalších technik sociálního inženýrství.

Poznámky

Viz také

Odkazy

  • SocialWare.ru – Projekt soukromého sociálního inženýrství
  • - Sociální inženýrství: základy. Část I: Hackerská taktika

Dobrý den, drazí přátelé! Už je to dlouho, co jsme s vámi diskutovali o bezpečnosti, přesněji řečeno o datech, která jsou uložena nejen na vašich počítačích, ale dokonce i na vašich přátelích a kolezích. Dnes vám řeknu o takovém konceptu, jako je sociální inženýrství. Dozvíte se, co je sociální inženýrství a jak se chránit.

Sociální inženýrství je metoda neoprávněného přístupu k informačním systémům, která vycházela z charakteristik lidského psychického chování.

Každý hacker, v přímém nebo nepřímém smyslu, má zájem získat přístup k chráněným informacím, heslům, informacím o bankovních kartách atd.

Předmluva je soubor akcí, které odpovídají předem připravenému konkrétnímu scénáři (záminka). K získávání informací využívá tato technika hlasové prostředky (telefon, Skype). Tím, že se podvodník představí jako třetí strana a předstírá, že potřebuje pomoc, nutí partnera, aby poskytl heslo nebo se zaregistroval na phishingové webové stránce a získal tak potřebné informace.

Představme si situaci. Ve velké organizaci pracujete zhruba šest měsíců. Přijmete hovor od člověka, který se představí jako zaměstnanec z nějaké pobočky. „Dobrý den, vaše jméno nebo funkce, nemůžeme se dostat do schránky, která se používá k příjmu žádostí v naší společnosti. Nedávno jsme dostali žádost z našeho města a šéf by za takové nedopatření prostě vraždil, řekni mi heslo na mail.

Samozřejmě, když teď čtete jeho žádost, zdá se vám trochu hloupé dávat heslo osobě, kterou slyšíte poprvé. Ale protože lidé rádi pomáhají s maličkostmi (není pro vás těžké říct 8-16 znaků hesla?), tady se může mýlit kdokoli.

Phishing(fishing) – tento typ internetového podvodu je zaměřen na získání přihlašovacích údajů a hesel. Nejoblíbenějším typem phishingu je zaslání e-mailové zprávy oběti pod rouškou oficiálního dopisu, například z platebního systému nebo banky. Dopis zpravidla informuje o ztrátě dat, o poruchách v systému a obsahuje žádost o zadání důvěrných informací pomocí odkazu.

Odkaz přesměruje oběť na phishingovou stránku, která je přesně podobná stránce na oficiálním webu. Pro netrénovaného člověka je těžké rozpoznat phishingový útok, ale je to docela možné. Takové zprávy zpravidla obsahují informace o hrozbách (například o uzavření bankovního účtu) nebo naopak příslib peněžní odměny zdarma, žádosti o pomoc jménem charitativní organizace. Phishingové zprávy lze také rozpoznat podle adresy, o kterou vás požádají.

Mezi nejoblíbenější phishingové útoky patří podvody využívající značku známé společnosti. Jménem známé společnosti jsou zasílány emaily, které obsahují blahopřání k určitému svátku (například) a informace o soutěži. Chcete-li se zúčastnit soutěže, musíte urychleně změnit informace o svém účtu.

Řeknu vám svou osobní zkušenost. Neházejte po mě kameny 😉 . Bylo to už dávno, kdy jsem se zajímal o... Ano, ano, phishing. V té době bylo velmi módní sedět v mém světě a já jsem toho využil. Jednou jsem viděl nabídku od mail.ru nainstalovat „zlatého agenta“ za peníze. Když vám řeknou, abyste si koupili, myslíte si, ale když vám řeknou, že jste vyhráli, lidé se okamžitě nechají unést.

Nepamatuji si všechno přesně do nejmenších detailů, ale bylo to něco takového.

Napsal zprávu: „Ahoj, JMÉNO! Tým Mail.RU vám s potěšením gratuluje, že jste vyhráli „zlatého agenta“. Každý 1000. uživatel jej obdrží zdarma. Chcete-li ji aktivovat, musíte přejít na svou stránku a aktivovat ji v Nastavení - bla bla bla.“

No, jak se vám líbí nabídka? Chcete zlatý Skype, milí čtenáři? Neřeknu vám o všech technických detailech, protože jsou mladí lidé, kteří jen čekají na podrobné pokyny. Je však třeba poznamenat, že 30 % uživatelů Můj svět sledovalo odkaz a zadalo své uživatelské jméno a heslo. Tato hesla jsem smazal, protože to byl jen experiment.

Smishing. Mobilní telefony jsou nyní velmi oblíbené a zjistit své číslo nebude těžké ani pro školáka, který sedí v jedné lavici s vaším synem nebo dcerou. Když podvodník rozpozná číslo, pošle vám phishingový odkaz, kde vás požádá, abyste šli aktivovat bonusové peníze na vaší kartě. Kde přirozeně existují pole pro zadání osobních údajů. Mohou vás také požádat o zaslání SMS s údaji o vaší kartě.

Vypadá to jako normální situace, ale úlovek je velmi blízko.

Quiz pro quo (“quid pro quo”) je typ útoku, který zahrnuje volání podvodníka, například jménem služby technické podpory. Útočník při dotazování zaměstnance na možné technické problémy jej nutí zadávat příkazy, které mu umožňují spustit škodlivý software. Které lze zveřejňovat na otevřených zdrojích: sociální sítě, firemní servery atd.

Podívejte se na video pro příklad:

Mohou vám poslat soubor (virus) e-mailem, pak vám zavolat a říci, že dorazil urgentní dokument a musíte se na něj podívat. Otevřením souboru připojeného k dopisu si uživatel sám nainstaluje do počítače škodlivý program, který umožňuje přístup k důvěrným datům.

Postarejte se o sebe a svá data. Brzy se uvidíme!

Metody sociálního inženýrství – právě o tom bude řeč v tomto článku, stejně jako o všem, co souvisí s manipulací s lidmi, phishingem a krádežemi klientských databází a dalšími. Andrey Serikov nám laskavě poskytl informace, jejichž autorem je, za což mu velmi děkujeme.

A. SERIKOV

A.B.BOROVSKÝ

INFORMAČNÍ TECHNOLOGIE SOCIÁLNÍHO HACKINGU

Zavedení

Touha lidstva po dokonalém plnění zadaných úkolů posloužila k rozvoji moderní výpočetní techniky a pokusy uspokojit protichůdné požadavky lidí vedly k vývoji softwarových produktů. Tyto softwarové produkty nejen udržují funkčnost hardwaru, ale také jej spravují.

Rozvoj znalostí o člověku a počítači vedl ke vzniku zásadně nového typu systému – „člověk-stroj“, kde člověk může být umístěn jako hardware pracující pod kontrolou stabilního, funkčního, multi-taskingového operačního systému. systém zvaný „psychika“.

Předmětem práce je úvaha o sociálním hackingu jako odvětví sociálního programování, kdy je člověk manipulován pomocí lidských slabostí, předsudků a stereotypů v sociálním inženýrství.

Sociální inženýrství a jeho metody

Metody lidské manipulace jsou známy již dlouhou dobu, do sociálního inženýrství se dostaly především z arzenálu různých zpravodajských služeb.

První známý případ konkurenčního zpravodajství pochází z 6. století př. n. l. a došlo k němu v Číně, kdy Číňané ztratili tajemství výroby hedvábí, které bylo podvodně ukradeno římskými špiony.

Sociální inženýrství je věda, která je definována jako soubor metod manipulace s lidským chováním, založených na využití slabin lidského faktoru, bez použití technických prostředků.

Podle mnoha odborníků představují největší hrozbu pro informační bezpečnost metody sociálního inženýrství, už proto, že využití sociálního hackingu nevyžaduje značné finanční investice a důkladnou znalost výpočetní techniky, a také proto, že lidé mají určité sklony k chování, které mohou být slouží k pečlivé manipulaci.

A bez ohledu na to, jak se systémy technické ochrany zlepší, lidé zůstanou lidmi se svými slabostmi, předsudky, stereotypy, s jejichž pomocí probíhá řízení. Nastavení lidského „bezpečnostního programu“ je nejtěžší úkol a ne vždy vede k zaručeným výsledkům, protože tento filtr je nutné neustále upravovat. Zde zní hlavní motto všech bezpečnostních expertů relevantněji než kdy jindy: „Bezpečnost je proces, nikoli výsledek.“

Oblasti použití sociálního inženýrství:

  1. obecná destabilizace práce organizace s cílem snížit její vliv a možnost následného úplného zničení organizace;
  2. finanční podvody v organizacích;
  3. phishing a další způsoby krádeže hesel za účelem přístupu k osobním bankovním údajům jednotlivců;
  4. krádeže klientských databází;
  5. konkurenční zpravodajství;
  6. obecné informace o organizaci, jejích silných a slabých stránkách, s cílem následně tuto organizaci tak či onak zničit (často používané pro útoky nájezdníků);
  7. informace o nejslibnějších zaměstnancích s cílem je dále „nalákat“ do vaší organizace;

Sociální programování a sociální hacking

Sociální programování lze nazvat aplikovanou disciplínou, která se zabývá cíleným ovlivňováním člověka nebo skupiny lidí za účelem změny nebo udržení jejich chování požadovaným směrem. Sociální programátor si tedy stanoví cíl: ovládnout umění řídit lidi. Základním konceptem sociálního programování je, že jednání mnoha lidí a jejich reakce na ten či onen vnější vliv jsou v mnoha případech předvídatelné.

Metody sociálního programování jsou atraktivní, protože se o nich buď nikdo nikdy nedozví, nebo i když někdo něco tuší, je velmi obtížné postavit takovou postavu před soud a v některých případech je možné „naprogramovat“ chování lidí a jedna osoba a velká skupina. Tyto příležitosti spadají do kategorie sociálního hackingu právě proto, že ve všech z nich lidé provádějí vůli někoho jiného, ​​jako by se podřídili „programu“ napsanému sociálním hackerem.

Sociální hacking jako schopnost hacknout člověka a naprogramovat ho k provádění požadovaných akcí pochází ze sociálního programování - aplikované disciplíny sociálního inženýrství, kde specialisté v této oblasti - sociální hackeři - používají techniky psychologického vlivu a jednání, vypůjčené z arzenálu zpravodajských služeb.

Sociální hacking se používá ve většině případů, pokud jde o napadení osoby, která je součástí počítačového systému. Počítačový systém, který je hacknut, sám o sobě neexistuje. Obsahuje důležitou složku – osobu. A aby získal informace, sociální hacker potřebuje hacknout člověka, který pracuje s počítačem. Ve většině případů je to jednodušší, než se nabourat do počítače oběti ve snaze zjistit heslo.

Typický algoritmus vlivu v sociálním hackingu:

Všechny útoky sociálních hackerů zapadají do jednoho poměrně jednoduchého schématu:

  1. je formulován účel ovlivnění konkrétního objektu;
  2. informace o objektu se shromažďují za účelem odhalení nejvhodnějších cílů vlivu;
  3. Na základě shromážděných informací je implementována fáze, kterou psychologové nazývají přitažlivost. Přitažlivost (z lat. Attrahere - přitahovat, přitahovat) je vytvoření nezbytných podmínek pro ovlivňování předmětu;
  4. donucení sociálního hackera k akci;

Nátlaku je dosaženo provedením předchozích fází, to znamená, že po dosažení přitažlivosti oběť sama podnikne kroky potřebné pro sociálního inženýra.

Na základě shromážděných informací sociální hackeři poměrně přesně předpovídají psycho- a sociotyp oběti, přičemž identifikují nejen potřeby jídla, sexu atd., ale také potřebu lásky, potřebu peněz, potřebu pohodlí atd. atd.

A skutečně, proč se snažit proniknout do té či oné společnosti, hackovat počítače, bankomaty, organizovat složité kombinace, když všechno můžete udělat jednodušeji: zamilovat se do vás člověka, který ze své vůle převede peníze do specifikovaný účet nebo sdílet potřebné peníze pokaždé, když informace?

Na základě skutečnosti, že jednání lidí je předvídatelné a také podléhá určitým zákonitostem, sociální hackeři a sociální programátoři využívají jak originální vícekrokové, tak jednoduché pozitivní a negativní techniky vycházející z psychologie lidského vědomí, programy chování, vibrace vnitřních orgánů, plnit své úkoly logické myšlení, představivost, paměť, pozornost. Tyto techniky zahrnují:

Dřevo generátor - generuje oscilace stejné frekvence jako frekvence oscilací vnitřních orgánů, po kterých je pozorován rezonanční efekt, v důsledku čehož lidé začínají pociťovat vážné nepohodlí a stav paniky;

dopad na geografii davu - pro pokojné rozpuštění extrémně nebezpečných agresivních, velkých skupin lidí;

vysokofrekvenční a nízkofrekvenční zvuky - vyvolat paniku a její zpětný efekt, stejně jako další manipulace;

program sociální imitace - člověk určuje správnost jednání tím, že zjišťuje, jaké jednání ostatní lidé považují za správné;

claqueringový program - (založený na sociálním napodobování) organizace potřebné reakce publika;

tvorba front - (založený na sociálním napodobování) jednoduchý, ale účinný reklamní tah;

program vzájemné pomoci - člověk se snaží oplatit laskavost těm lidem, kteří mu udělali nějakou laskavost. Touha splnit tento program často převyšuje všechny rozumy;

Sociální hackování na internetu

S nástupem a rozvojem internetu – virtuálního prostředí skládajícího se z lidí a jejich interakcí, se rozšířilo prostředí pro manipulaci s člověkem za účelem získání potřebných informací a provedení potřebných úkonů. V dnešní době je internet prostředkem celosvětového vysílání, prostředkem pro spolupráci, komunikaci a pokrývá celou zeměkouli. To je přesně to, co sociální inženýři používají k dosažení svých cílů.

Způsoby, jak manipulovat s osobou přes internet:

V moderním světě si již majitelé téměř každé společnosti uvědomili, že internet je velmi efektivním a pohodlným prostředkem pro rozšíření jejich podnikání a jeho hlavním úkolem je zvyšovat zisky celé společnosti. Je známo, že bez informací zaměřených na upoutání pozornosti k požadovanému předmětu, vyvolání nebo udržení zájmu o něj a jeho propagaci na trhu se využívá reklama. Jen díky tomu, že reklamní trh je dlouhodobě rozdělený, jsou většina typů reklamy pro většinu podnikatelů vyhozené peníze. Internetová reklama není jen jedním z typů reklamy v médiích, je něčím víc, protože pomocí internetové reklamy přicházejí na web organizace zájemci o spolupráci.

Internetová reklama má na rozdíl od reklamy v médiích mnohem více možností a parametrů pro řízení reklamní společnosti. Nejdůležitějším ukazatelem internetové reklamy je to Poplatky za internetovou reklamu jsou strženy pouze při konverzi zainteresovaný uživatel prostřednictvím reklamního odkazu, což samozřejmě činí reklamu na internetu efektivnější a méně nákladnou než reklama v médiích. Po podání reklamy v televizi nebo v tištěných médiích ji tedy zaplatí v plné výši a jednoduše čekají na potenciální klienty, ale klienti mohou na reklamu reagovat nebo ne - vše závisí na kvalitě výroby a prezentace reklamy v televizi nebo novinách , rozpočet na reklamu však byl již vyčerpán v případě Pokud reklama nefungovala, byla promarněna. Na rozdíl od takovéto mediální reklamy má internetová reklama schopnost sledovat odezvu publika a řídit internetovou reklamu před utracením jejího rozpočtu, navíc internetová reklama může být pozastavena, když se poptávka po produktech zvýší, a znovu se spustí, když poptávka začne klesat.

Další metodou ovlivňování je tzv. „Killing of Forums“, kdy za pomoci sociálního programování vytvářejí antireklamu na konkrétní projekt. V tomto případě sociální programátor s pomocí zjevných provokativních akcí zničí fórum sám pomocí několika pseudonymů ( přezdívka) vytvořit kolem sebe anti-leaderskou skupinu a přilákat do projektu pravidelné návštěvníky, kteří nejsou spokojeni s chováním administrativy. Na konci takových akcí je nemožné propagovat produkty nebo nápady na fóru. K tomu bylo fórum původně vyvinuto.

K metodám ovlivňování člověka přes internet za účelem sociálního inženýrství:

Phishing je druh internetového podvodu, jehož cílem je získat přístup k důvěrným uživatelským datům – přihlašovacím údajům a heslům. Tohoto provozu je dosaženo hromadným rozesíláním e-mailů jménem oblíbených značek, ale i osobními zprávami v rámci různých služeb (Rambler), bank nebo v rámci sociálních sítí (Facebook). Dopis často obsahuje odkaz na webovou stránku, která je navenek k nerozeznání od té skutečné. Poté, co se uživatel dostane na falešnou stránku, sociální inženýři pomocí různých technik povzbudí uživatele, aby na stránce zadal své přihlašovací jméno a heslo, které používá pro přístup na konkrétní stránku, což mu umožňuje získat přístup k účtům a bankovním účtům.

Nebezpečnějším typem podvodu než phishing je tzv. pharming.

Pharming je mechanismus pro skryté přesměrování uživatelů na phishingové stránky. Sociální inženýr distribuuje do počítačů uživatelů speciální škodlivé programy, které po spuštění na počítači přesměrovávají požadavky z potřebných stránek na falešné. Útok je tedy vysoce tajný a účast uživatele je minimalizována - stačí počkat, až se uživatel rozhodne navštívit stránky, které sociálního inženýra zajímají.

Závěr

Sociální inženýrství je věda, která vzešla ze sociologie a tvrdí, že je souborem znalostí, které řídí, uspořádávají a optimalizují proces vytváření, modernizace a reprodukce nových („umělých“) sociálních realit. Určitým způsobem „dotváří“ sociologickou vědu, završuje ji ve fázi přeměny vědeckých poznatků na modely, projekty a návrhy společenských institucí, hodnot, norem, algoritmů činnosti, vztahů, chování atd.

Navzdory skutečnosti, že sociální inženýrství je relativně mladá věda, působí velké škody na procesech, které se vyskytují ve společnosti.

Nejjednodušší metody ochrany před účinky této destruktivní vědy jsou:

Upozorňování lidí na otázky bezpečnosti.

Uživatelé chápou závažnost problému a akceptují zásady zabezpečení systému.

Literatura

1. R. Petersen Linux: Kompletní průvodce: přel. z angličtiny — 3. vyd. - K.: BHV Publishing Group, 2000. – 800 s.

2. Z internetu Grodnev u vás doma. - M.: “RIPOL CLASSIC”, 2001. -480 s.

3. M. V. Kuzněcov Sociální inženýrství a sociální hacking. Petrohrad: BHV-Petersburg, 2007. - 368 s.: ill.

Sociální inženýrství- způsob získávání potřebného přístupu k informacím, vycházející z charakteristik lidské psychologie. Hlavním cílem sociálního inženýrství je získat přístup k důvěrným informacím, heslům, bankovním údajům a dalším chráněným systémům. I když se pojem sociální inženýrství objevil ne tak dávno, metoda získávání informací tímto způsobem se používá již poměrně dlouho. Zaměstnanci CIA a KGB, kteří chtějí získat nějaká státní tajemství, politici a kandidáti do parlamentu a my sami, pokud chceme něco získat, často aniž bychom si to uvědomovali, používáme metody sociálního inženýrství.

Abyste se ochránili před účinky sociálního inženýrství, musíte pochopit, jak funguje. Podívejme se na hlavní typy sociálního inženýrství a způsoby ochrany proti nim.

Předmluva- jedná se o soubor akcí vypracovaných podle konkrétního, předem sestaveného scénáře, v jehož důsledku může oběť sdělit nějaké informace nebo provést určitou akci. Nejčastěji tento typ útoku zahrnuje použití hlasových prostředků, jako je Skype, telefon atd.

Pro použití této techniky musí mít útočník zpočátku nějaké údaje o oběti (jméno zaměstnance; pozice; název projektů, se kterými pracuje; datum narození). Útočník zpočátku používá reálné dotazy se jmény zaměstnanců společnosti a po získání důvěry získá potřebné informace.

Phishing– technika internetového podvodu zaměřená na získání důvěrných uživatelských informací – autorizační údaje různých systémů. Hlavním typem phishingového útoku je falešný e-mail odeslaný oběti, který vypadá jako oficiální dopis od zpracovatele plateb nebo banky. Dopis obsahuje formulář pro zadání osobních údajů (PIN kódy, přihlašovací jméno a heslo atd.) nebo odkaz na webovou stránku, kde se takový formulář nachází. Důvody důvěry oběti v takové stránky mohou být různé: zablokování účtu, selhání systému, ztráta dat atd.

trojský kůň– Tato technika je založena na zvědavosti, strachu nebo jiných emocích uživatelů. Útočník pošle oběti e-mailem dopis, jehož příloha obsahuje antivirovou „aktualizaci“, klíč k výhře nebo usvědčující důkazy o zaměstnanci. Příloha ve skutečnosti obsahuje škodlivý program, který poté, co jej uživatel spustí na svém počítači, bude útočníkem shromažďovat nebo měnit informace.

Qui o quo(quid pro quo) – tato technika spočívá v tom, že útočník kontaktuje uživatele prostřednictvím e-mailu nebo firemního telefonu. Útočník se může představit např. jako pracovník technické podpory a informovat o výskytu technických problémů na pracovišti. Dále informuje o nutnosti jejich odstranění. V procesu „řešení“ takového problému útočník nutí oběť, aby podnikla kroky, které útočníkovi umožní provést určité příkazy nebo nainstalovat potřebný software do počítače oběti.

Silniční jablko– tato metoda je adaptací trojského koně a spočívá v použití fyzických médií (CD, flash disky). Útočník obvykle umisťuje taková média na veřejná místa v areálu firmy (parkoviště, jídelny, pracoviště zaměstnanců, toalety). Aby se zaměstnanec o toto médium začal zajímat, může útočník umístit na médium logo společnosti a nějaký druh podpisu. Například „údaje o prodeji“, „platy zaměstnanců“, „daňová zpráva“ a další.

Reverzní sociální inženýrství- tento typ útoku je zaměřen na vytvoření situace, ve které bude oběť nucena obrátit se na útočníka s žádostí o „pomoc“. Útočník může například poslat dopis s telefonními čísly a kontakty na „službu podpory“ a po nějaké době způsobit v počítači oběti vratné problémy. V takovém případě uživatel zavolá nebo pošle e-mail útočníkovi sám a v procesu „opravy“ problému bude útočník schopen získat data, která potřebuje.


Obrázek 1 – Hlavní typy sociálního inženýrství

Protiopatření

Hlavním způsobem ochrany před metodami sociálního inženýrství je školení zaměstnanců. Všichni zaměstnanci společnosti by měli být varováni před nebezpečím zveřejnění osobních údajů a důvěrných informací společnosti a také způsoby, jak zabránit úniku dat. Kromě toho musí mít každý zaměstnanec společnosti, v závislosti na oddělení a pozici, pokyny, jak a o jakých tématech může komunikovat s účastníkem jednání, jaké informace lze poskytnout službě technické podpory, jak a co musí zaměstnanec společnosti sdělit získat tyto informace nebo jiné informace od jiného zaměstnance.

Kromě toho lze rozlišovat následující pravidla:

  • Uživatelské přihlašovací údaje jsou majetkem společnosti.
    • V den přijetí do zaměstnání musí být všem zaměstnancům vysvětleno, že přihlašovací jména a hesla, která jim byla vydána, nelze použít pro jiné účely (na webových stránkách, pro osobní poštu atd.), převést na třetí osoby nebo jiné zaměstnance společnosti. společnosti, kteří na to nemají právo. Například velmi často může zaměstnanec při odjezdu na dovolenou předat své autorizační údaje svému kolegovi, aby mohl v době jeho nepřítomnosti vykonávat nějakou práci nebo si některá data prohlížet.
  • Pro zaměstnance firem je nutné provádět vstupní a pravidelná školení zaměřená na zvýšení znalostí o informační bezpečnosti.
    • Provádění takových instruktáží umožní zaměstnancům firem mít aktuální informace o existujících metodách sociálního inženýrství a také nezapomenout na základní pravidla bezpečnosti informací.
  • Je povinné mít bezpečnostní předpisy a také pokyny, ke kterým musí mít uživatel vždy přístup. Pokyny by měly popisovat jednání zaměstnanců, pokud nastane konkrétní situace.
    • Předpisy mohou například specifikovat, co je třeba udělat a kam se obrátit, pokud se třetí strana pokusí vyžádat si důvěrné informace nebo pověření zaměstnance. Takové akce vám umožní identifikovat útočníka a zabránit úniku informací.
  • Počítače zaměstnanců by měly mít vždy aktuální antivirový software.
    • Firewall musí být také nainstalován na počítačích zaměstnanců.
  • V podnikové síti je nutné využívat systémy detekce a prevence útoků.
    • Je také nutné používat systémy zabraňující úniku důvěrných informací. To vše sníží riziko fytických útoků.
  • Všichni zaměstnanci musí být poučeni, jak se chovat k návštěvám.
    • Pro zjištění identity návštěvníka a jeho doprovázení jsou potřeba jasná pravidla. Návštěvníky musí vždy doprovázet některý ze zaměstnanců společnosti. Setká-li se zaměstnanec s jemu neznámou návštěvou, musí se správnou formou dotázat, za jakým účelem se návštěvník v této místnosti nachází a kam je eskortován. V případě potřeby musí zaměstnanec neznámé návštěvníky nahlásit bezpečnostní službě.
  • Je nutné co nejvíce omezit uživatelská práva v systému.
    • Můžete například omezit přístup k webovým stránkám a zakázat používání vyměnitelných médií. Pokud se totiž zaměstnanec nemůže dostat na phishingovou stránku nebo použít flash disk s programem trojského koně na svém počítači, pak také nebude moci ztratit osobní data.

Na základě všeho výše uvedeného můžeme dojít k závěru: hlavním způsobem ochrany před sociálním inženýrstvím je školení zaměstnanců. Je třeba vědět a pamatovat si, že neznalost neomlouvá. Každý uživatel systému by si měl být vědom nebezpečí prozrazení důvěrných informací a znát způsoby, jak zabránit úniku. Forewarned is forearmed!

V tomto článku se budeme věnovat pojmu „sociální inženýrství“. Zde se podíváme na ty obecné Dozvíme se také o tom, kdo byl zakladatelem tohoto konceptu. Promluvme si samostatně o hlavních metodách sociálního inženýrství, které útočníci používají.

Zavedení

Metody, které umožňují korigovat lidské chování a řídit jeho aktivity bez použití technické sady nástrojů, tvoří obecný koncept sociálního inženýrství. Všechny metody jsou založeny na tvrzení, že lidský faktor je nejničivější slabinou každého systému. Často je tento pojem posuzován v rovině nezákonné činnosti, jejímž prostřednictvím se zločinec dopouští jednání směřujícího k získání informací od oběti-subjektu nečestnými prostředky. Může jít například o určitý typ manipulace. Sociální inženýrství však využívají i lidé v legitimních činnostech. Dnes se nejčastěji používá pro přístup ke zdrojům s utajovanými nebo cennými informacemi.

Zakladatel

Zakladatelem sociálního inženýrství je Kevin Mitnick. Samotný pojem k nám však přišel ze sociologie. Označuje obecný soubor přístupů používaných aplikovanými sociálními médii. vědy zaměřené na změnu organizační struktury schopné určovat lidské chování a vykonávat nad ním kontrolu. Kevin Mitnick lze považovat za zakladatele této vědy, protože to byl on, kdo popularizoval sociální média. strojírenství v prvním desetiletí 21. století. Kevin sám byl dříve hackerem a zaměřoval se na širokou škálu databází. Tvrdil, že lidský faktor je nejzranitelnějším bodem systému jakékoli úrovně složitosti a organizace.

Hovoříme-li o metodách sociálního inženýrství jako o způsobu získání (zpravidla nelegálních) práv na používání důvěrných dat, pak lze říci, že jsou známy již velmi dlouho. Byl to však K. Mitnik, kdo dokázal zprostředkovat důležitost jejich významu a rysů aplikace.

Phishing a neexistující odkazy

Jakákoli technika sociálního inženýrství je založena na přítomnosti kognitivních zkreslení. Chyby v chování se stávají „zbraní“ v rukou šikovného inženýra, který v budoucnu dokáže vytvořit útok zaměřený na získání důležitých dat. Mezi metody sociálního inženýrství patří phishing a neexistující odkazy.

Phishing je internetový podvod určený k získání osobních údajů, jako je přihlašovací jméno a heslo.

Neexistující odkaz – použití odkazu, který bude příjemce lákat na určité výhody, které lze získat kliknutím na něj a návštěvou konkrétní stránky. Nejčastěji používají názvy velkých společností, přičemž jejich názvy provádějí jemné úpravy. Oběť kliknutím na odkaz „dobrovolně“ předá své osobní údaje útočníkovi.

Metody využívající značky, vadné antiviry a podvodné loterie

Sociální inženýrství také využívá podvodné metody využívající známé značky, vadné antiviry a falešné loterie.

„Podvod a značky“ je metoda klamání, která také patří do sekce phishing. To zahrnuje e-maily a webové stránky, které obsahují název velké a/nebo „propagované“ společnosti. Z jejich stránek se odesílají zprávy upozorňující na vaše vítězství v konkrétní soutěži. Dále musíte zadat důležité informace o účtu a ukrást je. Tuto formu podvodu lze provést i po telefonu.

Falešná loterie je metoda, při které je oběti zaslána zpráva s textem o tom, že vyhrála v loterii. Nejčastěji je oznámení maskováno pomocí jmen velkých korporací.

Falešné antiviry jsou softwarové podvody. Používá programy, které vypadají jako antiviry. Ve skutečnosti však vedou ke generování falešných upozornění na konkrétní hrozbu. Snaží se také přilákat uživatele do transakční sféry.

Vishing, phreaking a pretexting

Když se mluví o sociálním inženýrství pro začátečníky, stojí za zmínku také vishing, phreaking a pretexting.

Vishing je forma klamu, která využívá telefonní sítě. Využívá předem nahrané hlasové zprávy, jejichž účelem je znovu vytvořit „oficiální hovor“ bankovní struktury nebo jakéhokoli jiného IVR systému. Nejčastěji jste požádáni o zadání přihlašovacího jména a/nebo hesla za účelem potvrzení jakýchkoli informací. Jinými slovy, systém vyžaduje, aby se uživatel autentizoval pomocí PIN kódů nebo hesel.

Phreaking je další forma telefonního podvodu. Jedná se o hackerský systém využívající manipulaci se zvukem a tónovou volbu.

Pretexting je útok pomocí předem promyšleného plánu, jehož podstatou je předložit jej jinému subjektu. Extrémně obtížná metoda klamání, protože vyžaduje pečlivou přípravu.

Quid-pro-quo a metoda „silničního jablka“.

Teorie sociálního inženýrství je mnohostranná databáze, která zahrnuje jak metody klamání a manipulace, tak způsoby, jak s nimi bojovat. Hlavním úkolem útočníků je zpravidla získat cenné informace.

Mezi další typy podvodů patří: quid-pro-quo, metoda „road apple“, surfování přes rameno, používání otevřených zdrojů a reverzní sociální média. inženýrství.

Quid-pro-quo (z latiny - „toto pro toto“) je pokus získat informace od společnosti nebo firmy. To se děje tak, že ji kontaktujete telefonicky nebo zasláním zpráv e-mailem. Nejčastěji se útočníci představují jako technický personál. podpora, která hlásí přítomnost konkrétního problému na pracovišti zaměstnance. Následně navrhují způsoby, jak to odstranit, například instalací softwaru. Ukázalo se, že software je vadný a přispívá k rozvoji zločinu.

Road apple je metoda útoku, která je založena na myšlence trojského koně. Jeho podstata spočívá ve využití fyzických médií a substituci informací. Mohou například poskytnout paměťovou kartu s určitým „dobrem“, které přitáhne pozornost oběti, přiměje je otevřít a použít soubor nebo sledovat odkazy uvedené v dokumentech flash disku. Objekt „silniční jablko“ je shozen na sociálních místech a čeká, dokud nějaká entita nezavede útočníkův plán.

Shromažďování a vyhledávání informací z otevřených zdrojů je podvod, při kterém je získávání dat založeno na psychologických metodách, schopnosti všímat si maličkostí a analýze dostupných dat, například stránek ze sociální sítě. Jedná se o poměrně novou metodu sociálního inženýrství.

Ramenní surfování a reverzní sociální. inženýrství

Pojem „shoulder surfing“ se definuje jako doslova živé sledování předmětu. S tímto typem dolování dat se útočník dostane na veřejná místa, například do kavárny, na letiště, na nádraží a sleduje lidi.

Tuto metodu není radno podceňovat, neboť mnohé průzkumy a studie dokazují, že všímavý člověk může získat mnoho důvěrných informací pouhou všímavostí.

Sociální inženýrství (jako úroveň sociologických znalostí) je prostředkem k „zachytávání“ dat. Existují způsoby, jak získat data, kdy oběť sama nabídne útočníkovi potřebné informace. Může však sloužit i ku prospěchu společnosti.

Reverzní sociální Inženýrství je další metodou této vědy. Použití tohoto termínu se stává vhodným v případě, který jsme uvedli výše: oběť sama nabídne útočníkovi potřebné informace. Toto tvrzení by nemělo být považováno za absurdní. Faktem je, že subjekty obdařené autoritou v určitých oblastech činnosti často získávají přístup k identifikačním údajům podle vlastního uvážení subjektu. Základem je zde důvěra.

Důležité si pamatovat! Zaměstnanci podpory nikdy nepožádají uživatele například o heslo.

Povědomí a ochrana

Výcvik sociálního inženýrství může jednotlivec provádět jak na základě osobní iniciativy, tak na základě příruček, které se používají ve speciálních vzdělávacích programech.

Zločinci mohou používat širokou škálu typů podvodů, od manipulace po lenost, důvěřivost, uživatelskou laskavost atd. Je extrémně obtížné se před tímto typem útoku chránit, což je způsobeno tím, že si oběť neuvědomuje, že ) byl podveden. Různé firmy a společnosti často vyhodnocují obecné informace, aby chránily svá data na této úrovni nebezpečí. Dále jsou nezbytná ochranná opatření integrována do bezpečnostní politiky.

Příklady

Příkladem sociálního inženýrství (jeho činu) v oblasti globálních phishingových mailingů je událost, ke které došlo v roce 2003. Během tohoto podvodu byly uživatelům eBay zaslány e-maily. Tvrdili, že účty, které jim patří, byly zablokovány. Chcete-li zrušit blokování, museli jste znovu zadat informace o svém účtu. Dopisy však byly falešné. Přesměrovali na stránku identickou s oficiální, ale falešnou. Podle odborných odhadů nebyla ztráta příliš výrazná (necelý milion dolarů).

Definice odpovědnosti

Sociální inženýrství může být v některých případech trestné. V řadě zemí, jako jsou Spojené státy americké, je pretexting (klamání vydáváním se za jinou osobu) přirovnáván k narušení soukromí. To však může být zákonem postižitelné, pokud informace získané během pretextingu byly z hlediska subjektu nebo organizace důvěrné. Nahrávání telefonického rozhovoru (jako metoda sociálního inženýrství) je také stanoveno zákonem a vyžaduje zaplacení pokuty ve výši 250 000 $ nebo odnětí svobody až na deset let pro jednotlivce. osob Subjekty jsou povinny zaplatit 500 000 USD; termín zůstává stejný.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru