Бұл мақалада біз «әлеуметтік инженерия» ұғымына назар аударамыз. Мұнда терминнің жалпы анықтамасы қарастырылады. Бұл концепцияның негізін қалаушы кім екенін де білеміз. Шабуылдаушылар қолданатын әлеуметтік инженерияның негізгі әдістері туралы бөлек сөйлесейік.
Кіріспе
Адамның мінез-құлқын түзетуге және оның қызметін техникалық құралдар жиынтығын қолданбай басқаруға мүмкіндік беретін әдістер әлеуметтік инженерияның жалпы түсінігін құрайды. Барлық әдістер адам факторы кез келген жүйенің ең жойқын әлсіздігі болып табылады деген тұжырымға негізделген. Көбінесе бұл ұғым құқыққа қарсы әрекет деңгейінде қарастырылады, ол арқылы қылмыскер жәбірленуші субъектіден адал емес жолмен ақпарат алуға бағытталған әрекетті жасайды. Мысалы, бұл қандай да бір манипуляция болуы мүмкін. Дегенмен, әлеуметтік инженерияны адамдар заңды әрекеттерде де пайдаланады. Бүгінгі күні ол құпия немесе құпия ақпараты бар ресурстарға қол жеткізу үшін жиі пайдаланылады.
Негізгі
Әлеуметтік инженерияның негізін салушы – Кевин Митник. Дегенмен, ұғымның өзі бізге әлеуметтанудан келді. Ол қолданбалы әлеуметтік қолданатын тәсілдер жиынтығын білдіреді. ғылымдар адамның мінез-құлқын анықтай алатын және оны бақылауды жүзеге асыра алатын ұйымдық құрылымды өзгертуге бағытталған. Кевин Митникті осы ғылымның негізін салушы деп санауға болады, өйткені ол әлеуметтік ғылымды танымал еткен. 21 ғасырдың бірінші онжылдығында инженерия. Кевиннің өзі бұрын көптеген мәліметтер базасына заңсыз енген хакер болған. Ол адам факторы күрделілік пен ұйымның кез келген деңгейіндегі жүйенің ең осал жері екенін дәлелдеді.
Құпия деректерді пайдалануға құқықтарды алу тәсілі ретінде (көбінесе заңсыз) әлеуметтік инженерия әдістері туралы айтатын болсақ, олар өте ұзақ уақыт бойы белгілі деп айта аламыз. Алайда олардың мағынасы мен қолданылу ерекшеліктерінің маңыздылығын жеткізе білген К. Митник болды.
Фишинг және жоқ сілтемелер
Әлеуметтік инженерияның кез келген әдістемесі когнитивті бұрмалаулардың болуына негізделген. Мінез-құлық қателері болашақта маңызды деректерді алуға бағытталған шабуыл жасай алатын білікті инженердің қолында «құралға» айналады. Әлеуметтік инженерия әдістерінің ішінде фишинг және жоқ сілтемелер ерекшеленеді.
Фишинг – пайдаланушы аты мен құпия сөз сияқты жеке ақпаратты алуға арналған онлайн алаяқтық.
Сілтеме жоқ - алушыны белгілі бір нәрсеге тартатын сілтемені пайдалануоны басу және белгілі бір сайтқа кіру арқылы алуға болатын артықшылықтар. Көбінесе ірі компаниялардың атаулары олардың атына нәзік түзетулер енгізеді. Жәбірленуші сілтемені басу арқылы өзінің жеке деректерін шабуылдаушыға "ерікті түрде" жібереді.
Брендтерді, ақаулы антивирустарды және жалған лотереяны пайдалану әдістері
Әлеуметтік инженерия сонымен қатар брендтік алаяқтықтарды, ақаулы антивирустарды және жалған лотереяларды пайдаланады.
"Алаяқтық және брендтер" - алдау әдісі, ол да фишинг бөліміне жатады. Бұған ірі және/немесе «артық» компанияның атын қамтитын электрондық пошталар мен веб-сайттар кіреді. Хабарламалар олардың парақшаларынан белгілі бір жарыста жеңіске жеткені туралы хабарлама жіберіледі. Әрі қарай, сіз маңызды тіркелгі ақпаратын енгізіп, оны ұрлауыңыз керек. Сондай-ақ, алаяқтықтың бұл түрін телефон арқылы жасауға болады.
Жалған лотерея – жәбірленушіге (а) лотереяны ұтып алғаны туралы мәтіні бар хабарлама жіберілетін әдіс. Көбінесе ескерту ірі корпорациялардың атаулары арқылы жасырылады.
Жалған антивирустар бағдарламалық жасақтаманың алаяқтары болып табылады. Ол антивирустарға ұқсайтын бағдарламаларды пайдаланады. Алайда, шын мәнінде, олар белгілі бір қауіп туралы жалған хабарламалардың пайда болуына әкеледі. Олар сондай-ақ пайдаланушыларды транзакциялар саласына тартуға тырысады.
Көңіл көтеру, ренжіту және сылтау
Жаңадан бастаушыларға арналған әлеуметтік инженерия туралы айта отырып, біз сондай-ақ вишинг, фрекинг және сылтау туралы айтуымыз керек.
Вишинг - телефон желілерін пайдаланатын алдаудың бір түрі. Ол алдын ала жазылған дауыстық хабарламаларды пайдаланады, олардың мақсаты банк құрылымының немесе кез келген басқа IVR жүйесінің «ресми қоңырауын» қайта құру болып табылады. Көбінесе олардан кез келген ақпаратты растау үшін пайдаланушы атын және/немесе құпия сөзді енгізу сұралады. Басқаша айтқанда, жүйе пайдаланушының PIN кодтарын немесе құпия сөздерді пайдаланып аутентификациясын талап етеді.
Фрекинг - телефон алаяқтығының тағы бір түрі. Бұл дыбыстық манипуляция мен теруді пайдаланатын бұзу жүйесі.
Сырттау – бұл алдын ала ойластырылған жоспарды қолданатын шабуыл, оның мәні басқа тақырыпты көрсету. Мұқият дайындықты қажет ететін алдаудың өте қиын жолы.
Quid Pro Quo және Road Apple әдісі
Әлеуметтік инженерия теориясы алдау мен айла-шарғы жасау әдістерін, сондай-ақ олармен күресу жолдарын қамтитын көп қырлы деректер қоры болып табылады. Зиянкестердің негізгі міндеті, әдетте, құнды ақпаратты аулау.
Алаяқтықтың басқа түрлері мыналарды қамтиды: quid pro quo, жол алмасы, иық серфингі, ашық бастапқы код және кері әлеуметтік медиа. инженерия.
Quid-pro-quo (латын тілінен – «осы үшін») – компаниядан немесе фирмадан ақпаратты алу әрекеті. Бұл оған телефон арқылы хабарласу немесе электрондық пошта арқылы хабарлама жіберу арқылы болады. Көбінесе шабуылдаушыларқызметкер болып көріну. қолдау көрсету, ол қызметкердің жұмыс орнында белгілі бір мәселенің болуы туралы хабарлайды. Содан кейін олар оны түзету жолдарын ұсынады, мысалы, бағдарламалық құралды орнату арқылы. Бағдарламалық құрал ақаулы болып шықты және қылмысты насихаттайды.
The Road Apple – трояндық ат идеясына негізделген шабуыл әдісі. Оның мәні физикалық ортаны пайдалануда және ақпаратты ауыстыруда жатыр. Мысалы, олар жәбірленушінің назарын аударатын, файлды ашуға және пайдалануға немесе флэш-дискінің құжаттарында көрсетілген сілтемелерді орындағысы келетін белгілі бір «жақсы» жад картасын бере алады. "Жол алмасы" нысаны әлеуметтік орындарға тасталады және кейбір субъект бұзушының жоспарын орындағанша күтеді.
Ашық көздерден ақпаратты жинау және іздеу - бұл алаяқтық, онда деректерді алу психология әдістеріне, ұсақ-түйектерді байқай білуге және қолжетімді деректерді талдауға негізделген, мысалы, әлеуметтік желідегі беттер. Бұл әлеуметтік инженерияның жаңа тәсілі.
Иықпен серфинг және кері әлеуметтік. инженерия
"Иықпен серфинг" ұғымы өзін тікелей мағынада нысанды тікелей эфирде көру деп анықтайды. Деректерді аулаудың бұл түрімен шабуылдаушы кафе, әуежай, теміржол вокзалы сияқты қоғамдық орындарға барып, адамдардың соңынан ереді.
Бұл әдісті бағаламаңыз, өйткені көптеген сауалнамалар мен зерттеулер мұқият адам көптеген құпияларды ала алатынын көрсетеді.жай ғана бақылау арқылы ақпарат.
Әлеуметтік инженерия (әлеуметтанулық білім деңгейі ретінде) мәліметтерді «ұстап алу» құралы болып табылады. Жәбірленушінің өзі шабуылдаушыға қажетті ақпаратты ұсынатын деректерді алудың жолдары бар. Дегенмен, ол қоғамның игілігіне де қызмет ете алады.
Кері әлеуметтік инженерия бұл ғылымның тағы бір әдісі. Бұл терминді қолдану біз жоғарыда айтқан жағдайда орынды болады: жәбірленушінің өзі шабуылдаушыға қажетті ақпаратты ұсынады. Бұл мәлімдеме абсурд деп қабылданбауы керек. Белгілі бір қызмет салаларында өкілеттігі бар субъектілер сәйкестендіру деректеріне көбінесе субъектінің өз шешімімен қол жеткізеді. Мұндағы негіз - сенім.
Есте сақтау маңызды! Қолдау көрсету қызметкерлері ешқашан пайдаланушыдан құпия сөз сұрамайды, мысалы.
Ақпарат және қорғау
Әлеуметтік инженерия бойынша оқытуды адам жеке бастамасы негізінде немесе арнайы оқу бағдарламаларында қолданылатын жеңілдіктер негізінде жасай алады.
Қылмыскерлер айла-шарғы жасаудан бастап жалқаулыққа, сенгіштікке, пайдаланушының сыпайылығына, т.б. дейін алуан түрлі алдау түрлерін қолдана алады. Жәбірленушінің жеткіліксіздігінен өзіңізді шабуылдың мұндай түрінен қорғау өте қиын. оның) алдағанын білу. Әртүрлі фирмалар мен компаниялар өздерінің деректерін осы қауіп деңгейінде қорғау үшін жалпы ақпаратты бағалаумен жиі айналысады. Келесі қадам - қажетті біріктіруқауіпсіздік саясатының кепілдіктері.
Мысалдар
Ғаламдық фишингтік хабарламалар саласындағы әлеуметтік инженерия (оның актісі) мысалы 2003 жылы орын алған оқиға болып табылады. Бұл алаяқтық кезінде eBay пайдаланушыларына электрондық хаттар жіберілді. Олар өздеріне тиесілі аккаунттардың бұғатталғанын алға тартты. Блоктауды болдырмау үшін есептік жазба деректерін қайта енгізу қажет болды. Алайда хаттар жалған болып шықты. Олар ресми бетке ұқсас, бірақ жалған бетке аударды. Сарапшылардың бағалауы бойынша, шығын онша маңызды емес (миллион доллардан аз).
Жауапкершіліктің анықтамасы
Әлеуметтік инженерияны пайдалану кейбір жағдайларда жазалануы мүмкін. Бірқатар елдерде, мысалы, Америка Құрама Штаттарында, сылтау (басқа адамның кейпін көрсету арқылы алдау) жеке өмірге қол сұғумен теңестіріледі. Алайда, егер сылтау кезінде алынған ақпарат субъект немесе ұйым тұрғысынан құпия болса, бұл заң бойынша жазалануы мүмкін. Телефонмен сөйлесуді (әлеуметтік инженерия әдісі ретінде) жазу да заңмен талап етіледі және жеке тұлғалар үшін 250 000 доллар көлемінде айыппұл салуды немесе он жылға дейін бас бостандығынан айыруды талап етеді. тұлғалар. Заңды тұлғалар 500 000 доллар төлеуге міндетті; соңғы мерзім өзгеріссіз қалады.
