Sociální inženýrství je. Sociální inženýrství

Sociální inženýrství je často považováno za nelegální způsob získávání informací, ale není to tak úplně pravda. Pokud vezmeme v úvahu moderní profesionální sociální inženýrství, pak je rozsah jeho použití zcela legitimní - například pomáhá dosáhnout původně nedosažitelného výsledku nebo „programu“ vykonávat pozitivní a užitečné akce konkrétní osobu nebo skupinu lidí. Samozřejmě se dnes sociální inženýrství často využívá na internetu k získávání citlivých informací nebo informací, které mají velkou hodnotu. Moderní sociální inženýři však využívají své dovednosti ke zlepšení výsledků v podnikání a životě [ ] . Technici Všechny techniky sociálního inženýrství jsou založeny na kognitivních distorzích. Tyto chyby v chování využívají sociální inženýři k vytváření útoků zaměřených na získání důvěrná informace, často se souhlasem oběti. [ ] Ano, jeden z jednoduché příklady je situace, kdy osoba vstoupí do budovy společnosti a na informační pult vyvěsí úředně vyhlížející oznámení o změně tel. podpora Poskytovatel internetu. Když zaměstnanci společnosti zavolají na toto číslo, může útočník požadovat osobní hesla a ID, aby získal přístup k důvěrným informacím. [ ] Phishing Phishing (anglicky phishing, od fishing - fishing, fishing) je druh internetového podvodu, jehož účelem je získat přístup k důvěrným uživatelským datům - přihlašovacím údajům a heslům. Toto je dnes nejpopulárnější schéma sociálního inženýrství. Nedojde k jedinému velkému úniku osobních údajů, aniž by mu předcházela vlna phishingových e-mailů. Nejvýraznějším příkladem phishingového útoku je zpráva zaslaná oběti prostřednictvím e-mailem a padělaný jako oficiální dopis - od banky nebo platebního systému - požadující ověření určitých informací nebo provedení určitých akcí. Důvodů může být celá řada. Může to být ztráta dat, selhání systému atd. Tyto e-maily obvykle obsahují odkaz na falešnou webovou stránku, která vypadá přesně jako ta oficiální a obsahuje formulář vyžadující zadání citlivých informací. Populární phishingová schémata Nejoblíbenější phishingové podvody jsou popsány níže. Neexistující odkazy Útok, který spočívá v odeslání e-mailu s lákavým důvodem k návštěvě stránky a přímým odkazem na ni, který se pouze podobá očekávané stránce, například www.PayPai.com. I když to vypadá, že jde o odkaz na PayPal, málokdo si všimne, že písmeno „l“ bylo nahrazeno „i“. Oběti se tedy při kliknutí na odkaz zobrazí stránka, která je co nejvíce totožná s očekávanou stránkou a při zadání údajů o kreditní kartě jsou tyto informace okamžitě odeslány útočníkovi. Jedním z nejznámějších příkladů globálních phishingových e-mailů byl podvod z roku 2003, kdy tisíce uživatelů eBay obdržely e-maily s tvrzením, že jejich účet byl uzamčen a že potřebují aktualizovat informace o svém účtu, aby jej odemkli. kreditní karty. Všechny tyto e-maily obsahovaly odkaz vedoucí na falešnou webovou stránku, která vypadala přesně jako ta oficiální. Podle odborníků však ztráty z tohoto podvodu činily necelý milion dolarů (několik set tisíc). Podvody pomocí značek slavných korporací Tyto phishingové podvody využívají falešné e-maily nebo webové stránky obsahující jména velkých nebo známých společností. Zprávy mohou obsahovat blahopřání k vítězství v soutěži pořádané společností nebo že je naléhavě nutné změnit vaše přihlašovací údaje nebo heslo. Podobná podvodná schémata jménem služby technická podpora lze provést i telefonicky. Podvodné loterie Uživatel může obdržet zprávy uvádějící, že vyhrál loterii, kterou provedla nějaká známá společnost. Na první pohled se tyto zprávy mohou jevit, jako by byly odeslány jménem vysoce postaveného zaměstnance společnosti. Falešné antivirové a bezpečnostní programy IVR nebo telefonní phishing Telefonní phreaking Phone phreaking je termín popisující experimentování a hackování. telefonní systémy pomocí manipulace se zvukem s tónovou volbou. Tato technika se objevila na konci 50. let v Americe. Společnost Bell Telephone Corporation, která tehdy pokrývala téměř celé území USA, používala tónovou volbu k přenosu různých servisních signálů. Nadšenci, kteří se pokusili replikovat některé z těchto signálů, byli schopni volat zdarma, organizovat konferenční hovory a spravovat telefonní síť. Předmluva Pretexting je útok, při kterém se útočník vydává za jinou osobu a podle předem připraveného scénáře vyloví důvěrné informace. Tento útok vyžaduje náležitou přípravu, jako jsou: datum narození, daňové identifikační číslo, číslo pasu nebo poslední číslice účtu, aby nevzbudilo podezření u oběti. Obvykle se provádí telefonicky nebo e-mailem. Quid o quo "Silniční jablko" Tato metoda útoku je adaptací trojského koně a spočívá v použití fyzických médií. Útočník na místa zasadí „infikovaná“ paměťová média veřejný přístup kde lze tato média snadno najít, jako jsou toalety, parkoviště, bufety nebo pracoviště cílového zaměstnance. Média jsou navržena jako oficiální pro napadenou společnost nebo jsou doplněna podpisem, který má vyvolat zvědavost. Útočník může například umístit zprávu s firemním logem a odkazem na oficiální web společnosti a označit ji jako „Platy vedoucích pracovníků“. Disk lze ponechat na podlaze výtahu nebo ve vstupní hale. Zaměstnanec může nevědomky zvednout disk a vložit jej do počítače, aby uspokojil svou zvědavost. Sběr informací z otevřených zdrojů Využití technik sociálního inženýrství vyžaduje nejen znalosti z psychologie, ale také schopnost sbírat potřebné informace o člověku. Relativně novým způsobem získávání takových informací byl jejich sběr z otevřené zdroje, především ze sociálních sítí. Například stránky jako livejournal, Odnoklassniki, VKontakte obsahují obrovské množství dat, které se lidé nesnaží skrývat. Uživatelé zpravidla nevěnují dostatečnou pozornost bezpečnostním problémům a ponechávají data a informace ve veřejné doméně, které může útočník využít. Názorným příkladem je příběh o únosu syna Evgenije Kasperského. Během vyšetřování bylo zjištěno, že se zločinci dozvěděli teenagerův denní rozvrh a trasy z jeho příspěvků na stránce sociální sítě. Ani omezením přístupu k informacím na své stránce na sociální síti si uživatel nemůže být jistý, že se nikdy nedostanou do rukou podvodníků. Například brazilský výzkumník počítačové bezpečnosti ukázal, že pomocí technik sociálního inženýrství je možné se stát přítelem jakéhokoli uživatele Facebooku do 24 hodin. Během experimentu si výzkumník Nelson Novaes Neto vybral oběť a vytvořil falešný účetčlověk z jejího okolí – její šéf. Neto nejprve rozeslal žádosti o přátelství přátelům přátel šéfa oběti a poté přímo jeho přátelům. Po 7,5 hodinách výzkumník přiměl oběť, aby si ji přidala jako přítele. Výzkumník tak získal přístup k osobním údajům uživatele, které sdílel pouze se svými přáteli. Ramenní surfování Ramenní surfování ramenní surfování) zahrnuje sledování osobních údajů oběti přes rameno. Tento typ útoku je běžný na veřejných místech, jako jsou kavárny, obchodní centra, na letištích, nádražích i ve veřejné dopravě. Příkladem reverzního sociálního inženýrství je následující jednoduchý scénář. Útočník spolupracující s obětí změní název souboru na jejím počítači nebo jej přesune do jiného adresáře. Když si oběť všimne, že soubor chybí, útočník tvrdí, že může vše opravit. Ve snaze dokončit práci rychleji nebo se vyhnout trestu za ztrátu informací oběť souhlasí s touto nabídkou. Útočník tvrdí, že problém lze vyřešit pouze přihlášením pomocí přihlašovacích údajů oběti. Nyní oběť požádá útočníka, aby se přihlásil pod jejím jménem a pokusil se soubor obnovit. Útočník neochotně souhlasí a obnoví soubor a přitom ukradne ID a heslo oběti. Úspěšným provedením útoku si dokonce vylepšil reputaci a je docela možné, že se na něj poté obrátí o pomoc další kolegové. Tento přístup nenarušuje běžné postupy poskytování podpůrných služeb a komplikuje dopadení útočníka. Slavní sociální inženýři Bratři Badirové Navzdory skutečnosti, že bratři Badirové, Mushid a Shadi Badirovi, byli od narození slepí, podařilo se jim v 90. letech v Izraeli provést několik velkých podvodných schémat pomocí sociálního inženýrství a falšování hlasu. V televizním rozhovoru řekli: "Pouze ti, kteří nepoužívají telefon, elektřinu a notebook, jsou zcela pojištěni proti síťovým útokům." Bratři již byli ve vězení za to, že byli schopni slyšet a dešifrovat tajné rušivé tóny [ neznámý termín ] poskytovatelé telefonická komunikace. Prováděli dlouhé hovory do zahraničí na cizí náklady a přeprogramovali počítače poskytovatelů rušivými tóny mobilní komunikace. Archanděl Přílohy k dokumentům. Hypertextové odkazy v dokumentech. Žádosti o osobní nebo firemní informace pocházející zevnitř společnosti. Žádosti o osobní nebo firemní informace pocházející mimo společnost. Hrozby spojené s používáním služeb rychlého zasílání zpráv Instant messaging - srovnatelně nová cesta přenos dat, ale mezi firemními uživateli si již získal velkou oblibu. Vzhledem k rychlosti a jednoduchosti použití otevírá tento způsob komunikace široké možnosti pro různé útoky: uživatelé s ním nakládají jako s telefonním spojením a nespojují jej s potenciálními softwarovými hrozbami. Dva hlavní typy útoků založených na používání služeb rychlého zasílání zpráv jsou zahrnutí odkazu na škodlivý program do těla zprávy a doručení samotného programu. Zasílání rychlých zpráv je samozřejmě také jedním ze způsobů, jak si vyžádat informace. Jednou z vlastností služeb rychlého zasílání zpráv je neformální povaha komunikace. V kombinaci s možností přiřadit si k sobě libovolné jméno tento faktor značně usnadňuje útočníkovi vydávat se za jinou osobu a výrazně zvyšuje jeho šance na úspěšné provedení útoku. Pokud má společnost v úmyslu využít úspor nákladů a dalších výhod, které poskytuje instant messaging, je nutné zabudovat firemní bezpečnostní politiky na ochranu před těmito hrozbami. Chcete-li získat spolehlivou kontrolu nad rychlým zasíláním zpráv v podnikovém prostředí, musí být splněno několik požadavků. [ ] Vyberte si jednu platformu pro rychlé zasílání zpráv. Určete nastavení zabezpečení, která jsou zadána při nasazení služby rychlých zpráv. Stanovit zásady pro navazování nových kontaktů Nastavte standardy hesel Poskytněte doporučení pro používání služby chatu. Základní ochranné metody Odborníci na sociální inženýrství identifikují následující hlavní ochranné metody pro organizace: vytvoření promyšlené politiky klasifikace dat, která rozpozná ty zdánlivě neškodné typy dat, které mohou vést k důležitým poznatkům; zajištění ochrany informací o zákaznících prostřednictvím šifrování dat nebo používání řízení přístupu; školení zaměstnanců v dovednostech rozpoznat sociálního inženýra a projevit podezření při komunikaci s lidmi, které osobně neznají; zákaz zaměstnancům sdílet hesla nebo používat běžná hesla; zákaz poskytovat informace z tajného oddělení komukoli, kdo není osobně znám nebo není žádným způsobem potvrzen; používání zvláštních potvrzovacích postupů pro každého, kdo žádá o přístup k citlivým informacím; Víceúrovňový bezpečnostní model K ochraně velkých společností a jejich zaměstnanců před podvodníky využívajícími techniky sociálního inženýrství se často používají komplexní víceúrovňové bezpečnostní systémy. Některé funkce a odpovědnosti takových systémů jsou uvedeny níže. Fyzická bezpečnost. Bariéry omezující přístup do firemních budov a firemní zdroje. Nezapomeňte, že zdroje společnosti, například kontejnery na odpadky umístěné mimo území společnosti, nejsou fyzicky chráněny. Data. Obchodní informace: Účty, pošta atd. Při analýze hrozeb a plánování opatření na ochranu dat je nutné stanovit zásady pro nakládání s papírem a elektronická média data. Aplikace. Uživatelem spouštěné programy. Chcete-li chránit své prostředí, musíte zvážit, jak mohou útočníci zneužít e-mailové programy, rychlé zasílání zpráv a další aplikace. Počítače. Servery a klientské systémy používané v organizaci. Ochrana uživatelů před přímými útoky na jejich počítače definováním přísných pokynů, které určují, jaké programy lze na podnikových počítačích používat. Vnitřní síť. Síť, jejímž prostřednictvím podnikové systémy interagují. Může být lokální, globální nebo bezdrátový. V posledních letech se díky rostoucí oblibě metod práce na dálku stávají hranice vnitřních sítí do značné míry libovolné. Zaměstnancům společnosti je třeba říci, co by měli pro organizaci dělat. bezpečná práce v jakémkoli síťovém prostředí. Obvod sítě. Hranice mezi interními sítěmi firmy a externími, jako je internet nebo sítě partnerských organizací.

Neztrať to. Přihlaste se k odběru a obdržíte odkaz na článek na svůj e-mail.

Od nástupu počítačů a počátku rozvoje internetu se programátoři ze všech sil snažili zajistit počítačovou bezpečnost. Ale ani dnes se to nikomu nepodařilo na 100 %. Představme si však, že tohoto výsledku bylo přesto dosaženo díky výkonné kryptografii, vylepšeným bezpečnostním protokolům, spolehlivému softwaru a dalším bezpečnostním prvkům. V důsledku toho dostaneme absolutně zabezpečená síť a můžeme v něm bezpečně pracovat.

"Báječné! – řeknete „je to v pytli!“, ale budete se mýlit, protože to nestačí. Proč? Ano, protože výhody jakéhokoli počítačového systému lze získat pouze za účasti uživatelů, tzn. lidí. A právě tato interakce mezi počítačem a člověkem s sebou nese vážné nebezpečí a člověk se často ukazuje jako nejslabší článek v řetězu bezpečnostních opatření. Navíc on sám je důvodem, proč je zabezpečení neúčinné.

V informačním věku je snazší manipulovat s lidmi, protože existuje internet a mobilní připojení, které umožňují interakci bez přímého kontaktu. Existují dokonce speciální metody, které útočníkům pomáhají „operovat“ s lidmi tak, jak chtějí. Jejich komplex se nazývá sociální inženýrství a v tomto článku se pokusíme zjistit, co to je.

Sociální inženýrství: co to je a jak se objevilo?

Je snadné uhodnout, že i ten nejsofistikovanější bezpečnostní systém je zranitelný, když je ovládán osobou, zvláště pokud je tato osoba důvěřivá, naivní atd. A když dojde k útoku na stroj (PC), obětí může být nejen počítač, ale i osoba, která na něm pracuje.

Tomuto druhu útoku se ve slangu sociálních hackerů říká sociální inženýrství. Ve své tradiční podobě to vypadá jako telefonní hovor, kdy se volající vydává za někoho jiného a chce z účastníka vytáhnout důvěrné informace, nejčastěji hesla. V našich článcích se ale budeme fenoménem sociálního inženýrství zabývat v širším smyslu, tedy jakýmkoliv možné metody psychologické manipulace, jako je vydírání, hraní na city, podvod atd.

V tomto chápání je sociální inženýrství metodou kontroly jednání lidí bez použití technických prostředků. Nejčastěji je to vnímáno jako nelegální způsob získávání různých cenných informací. Používá se především na internetu. Pokud vás zajímají příklady sociálního inženýrství, zde je jeden z nejvýraznějších:

PŘÍKLAD: Útočník chce zjistit heslo k osobnímu účtu internetového bankovnictví osoby. Telefonicky zavolá oběti a představí se jako zaměstnanec banky s žádostí o heslo s odkazem na vážné technické problémy v systému organizace. Pro větší přesvědčivost pojmenuje fiktivní (nebo předem zjištěné skutečné) jméno zaměstnance, jeho pozici a pravomoci (v případě potřeby). Aby oběť uvěřila, může sociální hacker naplnit svůj příběh věrohodnými detaily a hrát na city samotné oběti. Poté, co útočník informace obdrží, se stále obratně rozloučí se svým „klientem“ a poté se pomocí hesla přihlásí Osobní oblast a krádeže finančních prostředků.

Kupodivu i v naší době existují lidé, kteří na takovou návnadu naletí a sociálním hackerům s důvěrou říkají vše, co potřebují. A v arzenálu těch druhých může být mnoho technik a technik. Také vám o nich povíme, ale o něco později.

Sociální inženýrství je věda (směr), která se objevila relativně nedávno. Jeho sociologický význam spočívá v tom, že operuje se specifickými znalostmi, které řídí, systematizují a optimalizují proces tvorby, modernizace a aplikace nových společenských skutečností. V jistém smyslu doplňuje sociologické poznatky, převádí vědecké poznatky do algoritmů činnosti a chování.

Lidé používají sociální inženýrství v určité formě již od starověku. Například ve starém Římě a Starověké Řecko speciálně vyškolení rétorici, kteří byli schopni přesvědčit svého partnera, že se „mýlí“, byli vysoce respektováni. Tito lidé se účastnili diplomatických jednání a řešili státní problémy. Později sociální inženýrství přijaly zpravodajské agentury jako CIA a KGB, jejichž agenti se úspěšně vydávali za kohokoli a zjišťovali státní tajemství.

Počátkem 70. let se začali objevovat telefonní chuligáni, kteří ze srandy rušili klid různých společností. Postupem času ale někdo pochopil, že když použijete technický přístup, můžete se docela snadno odlišit důležitá informace. A koncem 70. let se z bývalých telefonních chuligánů stali profesionální sociální inženýři (začali se jim říkat zpěváci), schopní mistrně manipulovat s lidmi, určovat jejich komplexy a strachy pouhou intonací.

Když se objevily počítače, většina zpěváků změnila svůj profil a stali se sociálními hackery. Nyní jsou pojmy „sociální inženýrství“ a „sociální hackeři“ synonyma. A s mohutným rozvojem sociálního inženýrství se začaly objevovat nové typy a rozšiřoval se arzenál technik.

Podívejte se na toto krátké video a uvidíte, jak sociální hackeři manipulují lidmi.

Metody sociálního inženýrství

Všechny skutečné příklady sociálního inženýrství naznačují, že se snadno přizpůsobí jakýmkoli podmínkám a jakékoli situaci a oběti sociálních hackerů zpravidla ani netuší, že je proti nim používána nějaká technika, tím méně vědí, kdo to dělá. .

Všechny metody sociálního inženýrství jsou založeny na . Jde o tzv. kognitivní základ, podle kterého mají lidé v sociálním prostředí vždy tendenci někomu důvěřovat. Mezi hlavní metody sociálního inženýrství patří:

• "Trojský kůň"
• Předmluva
• "Silniční jablko"
• Phishing
• Qui o quo

Pojďme si o nich říct více.

"Trojský kůň"

Použitím " trojský kůň„Je zneužívána zvědavost člověka a jeho touha mít prospěch. Sociální hackeři pošlou na e-mail oběti dopis obsahující nějakou zajímavou přílohu, například upgrade nějakého programu, spořič obrazovky s erotickým obsahem, vzrušující zprávy atd. Metoda se používá k přinucení uživatele kliknout na soubor, který může infikovat počítač virem. Často se v důsledku toho na obrazovce objeví bannery, které lze zavřít pouze dvěma způsoby: přeinstalací operačního systému nebo zaplacením určité částky útočníkům.

Předmluva

Pod pojmem „pretexting“ se rozumí akce, kterou uživatel provádí na základě předem připravené záminky, tzn. skript. Cílem je, aby osoba poskytla konkrétní informace nebo provedla konkrétní akci. Ve většině případů se pretextování používá během telefonních hovorů, i když existují příklady podobných útoků na Skype, Viber, ICQ a další instant messengery. Ale k implementaci metody musí zpěvák nebo hacker nejen provést průzkum objektu předem - zjistit jeho jméno, datum narození, místo práce, částku na účtu atd. Pomocí takových detailů zpěvák zvyšuje sebevědomí oběti.

"Silniční jablko"

Metoda silničního jablka spočívá v přizpůsobení „trojského koně“ a vyžaduje povinné použití nějakého druhu fyzického paměťového média. Sociální hackeři mohou pěstovat spouštěcí flash disky nebo disky padělané jako média se zajímavým a/nebo jedinečným obsahem. Vše, co je potřeba, je nenápadně umístit „silniční jablko“ na oběť, například v autě na parkovišti, v tašce ve výtahu atd. Nebo můžete toto „ovoce“ jednoduše nechat tam, kde je oběť pravděpodobně uvidí, a vzít si je sama.

Phishing

Phishing je velmi běžná metoda pro získávání důvěrných informací. V klasické verzi se jedná o „oficiální“ e-mail (od platební služby, banky, vysoce postavené osoby atd.), opatřený podpisy a pečetěmi. Příjemce je povinen sledovat odkaz na falešnou webovou stránku (tam je také vše, co hovoří o „oficiálnosti a spolehlivosti“ zdroje) a zadat některé informace, například celé jméno, adresu bydliště, telefonní číslo, profil na sociální síti. adresy, číslo bankovní karta(a dokonce i CVV kód!). Poté, co oběť důvěřovala stránce a zadala data, je odešle podvodníkům a co se stane dál, lze snadno uhodnout.

Qui o quo

Metoda Qui Pro Quo se používá k zavádění malwaru do systémů různých společností. Sociální hackeři zavolají požadované (někdy jakékoli) společnosti, představí se jako zaměstnanci technické podpory a povedou rozhovory se zaměstnanci ohledně jakýchkoli technických problémů v počítačovém systému. Pokud dojde k poruchám, útočníci je začnou „eliminovat“: požádají oběť, aby zadala určitý příkaz, po kterém je možné spustit virový software.

Nejčastěji se v praxi setkáváme s výše uvedenými metodami sociálního inženýrství, existují však i další. Kromě toho existuje také speciální typ sociálního inženýrství, které je také navrženo tak, aby ovlivňovalo člověka a jeho činy, ale provádí se podle zcela jiného algoritmu.

Reverzní sociální inženýrství

Reverzní sociální inženýrství a sociální hackeři, kteří se na něj specializují, budují své aktivity ve třech směrech:

• Vznikají situace, které nutí lidi vyhledat pomoc
• Inzerované jsou služby řešení problémů (včetně předběžné pomoci od skutečných specialistů)
• Existuje „pomoc“ a vliv

V případě tohoto typu sociálního inženýrství útočníci zpočátku studují osobu nebo skupinu lidí, které plánují ovlivnit. Zkoumají se jejich vášně, zájmy, touhy a potřeby a prostřednictvím programů a jakýchkoliv jiných metod elektronického ovlivňování se prostřednictvím nich uplatňuje vliv. Kromě toho musí programy nejprve fungovat bez poruch, aby nezpůsobovaly obavy, a teprve potom se přepnout do škodlivého režimu.

Příklady reverzního sociálního inženýrství také nejsou neobvyklé a zde je jeden z nich:

Sociální hackeři vyvíjejí program pro konkrétní společnost na základě jejích zájmů. Program obsahuje pomalu působící virus - po třech týdnech se aktivuje a systém začne selhávat. Vedení kontaktuje vývojáře, aby pomohli problém vyřešit. Útočníci, kteří jsou na takový vývoj událostí připraveni, vysílají svého „specialistu“, který při „řešení problému“ získá přístup k důvěrným informacím. Cíle bylo dosaženo.

Na rozdíl od konvenčního sociálního inženýrství je reverzní inženýrství pracnější, vyžaduje speciální znalosti a dovednosti a používá se k ovlivnění širšího publika. Ale efekt, který to vyvolává, je úžasný – obětování bez odporu, tzn. z vlastní vůle odhalí hackerům všechny své karty.

Jakýkoli typ sociálního inženýrství je tedy téměř vždy používán se zlým úmyslem. Někteří lidé samozřejmě mluví o jeho výhodách a poukazují na to, že může být použit k řešení sociálních problémů, udržení společenské aktivity a dokonce i přizpůsobení sociálních institucí měnícím se podmínkám. Ale navzdory tomu se nejúspěšněji používá pro:

• Klamání lidí a získávání důvěrných informací
• Manipulace a vydírání lidí
• Destabilizace práce firem pro jejich následné zničení
• Krádež databáze
• Finanční podvody
• Soutěžní inteligence

To přirozeně nemohlo zůstat bez povšimnutí a objevily se metody, jak čelit sociálnímu inženýrství.

Ochrana před sociálním inženýrstvím

Velké společnosti dnes systematicky provádějí nejrůznější testy odolnosti vůči sociálnímu inženýrství. Téměř nikdy, činy lidí, kteří se stanou terčem útoku sociálních hackerů, jsou záměrné. Ale právě to je činí nebezpečnými, protože zatímco je relativně snadné se bránit vnější hrozbě, je mnohem obtížnější bránit se vnitřní.

Vedení společnosti pro zvýšení bezpečnosti provádí specializovaná školení, sleduje úroveň znalostí svých zaměstnanců a také iniciuje samotné interní sabotáže, což umožňuje zjistit míru připravenosti lidí na útoky sociálních hackerů, jejich reakci, integritu a čestnost. . Takto lze „nakažené“ dopisy posílat na e-mail, navazovat kontakty na Skype nebo sociálních sítích.

Samotná ochrana před sociálním inženýrstvím může být buď antropogenní, nebo technická. V prvním případě je pozornost lidí upřena na bezpečnostní otázky, je sdělena závažnost tohoto problému a jsou přijímána opatření k zavedení bezpečnostních politik, studují se a implementují metody a akce, které zvyšují ochranu. informační podpora. To vše má ale jednu nevýhodu – všechny tyto metody jsou pasivní a mnoho lidí varování jednoduše ignoruje.

Pokud jde o technickou ochranu, pak sem patří prostředky, které znesnadňují přístup k informacím a jejich využití. Vzhledem k tomu, že „nejoblíbenějšími“ útoky sociálních hackerů na internetu jsou e-maily a zprávy, programátoři vytvářejí speciální software, který filtruje všechna příchozí data, a to platí jak pro soukromé poštovní schránky a vnitřní pošta. Filtry analyzují texty příchozích a odchozích zpráv. Ale je tu potíž - toto software zatěžuje servery, což může zpomalit a narušit systém. Kromě toho není možné zajistit všechny varianty v psaní potenciálně nebezpečných zpráv. Technologie se však zlepšuje.

A pokud mluvíme konkrétně o prostředcích, které brání použití získaných dat, dělí se na:

• Blokování používání informací všude kromě pracoviště uživatele (autentizační údaje jsou vázány na elektronické podpisy A sériová čísla PC komponenty, fyzické a IP adresy)
• Blokování automatického používání informací (včetně známého Captcha, kde heslo je obrázek nebo jeho zkreslená část)

Obě tyto metody blokují možnost automatizace a posouvají rovnováhu mezi hodnotou informace a prací na jejím získání směrem k práci. Proto i přes všechna data poskytnutá nic netušícími uživateli čelí sociální hackeři vážným problémům při jejich praktickém použití.

A na ochranu před sociálním inženýrstvím doporučujeme každému obyčejnému člověku, aby zůstal ostražitý. Když dostanete dopis e-mailem, pozorně si přečtěte text a odkazy, snažte se pochopit, co je v dopise, od koho přišel a proč. Nezapomeňte používat antivirový software. Pokud vám neznámí lidé volají z neznámého čísla, nikdy nesdělujte své osobní údaje, zejména ty, které se týkají vašich financí.

Mimochodem, toto video, sice stručně, ale zajímavě, mluví o tom, jak se chránit před sociálním inženýrstvím.

A nakonec vám chceme představit některé z knih o sociálním inženýrství, a to i jako oboru sociologických znalostí, abyste se s tímto tématem mohli, pokud budete chtít, seznámit podrobněji.

Tyto knihy obsahují mnoho praktických doporučení, jak zvládnout běžné manipulativní techniky a techniky. Dozvíte se také o nejúčinnějších metodách sociálního inženýrství a naučíte se, jak je rozpoznat a chránit se před útoky.

Knihy o sociálním inženýrství:

• Kevin Mitnick "Duch v síti"
• Kevin Mitnick, William Simon "Umění invaze"
• Kevin Mitnick, William Simon "Umění klamu"
• Chris Kaspersky „Tajná zbraň sociálního inženýrství“

Pamatujte, že každý může zvládnout umění řídit činy druhých, ale tyto dovednosti musí být využívány ve prospěch lidí. Někdy je užitečné a pohodlné vést člověka a tlačit ho k rozhodnutím, která jsou pro nás přínosná. Mnohem důležitější je ale umět identifikovat sociální hackery a podvodníky, abyste se nestali jejich obětí; mnohem důležitější je nebýt jedním z nich. Přejeme vám moudrost a užitečné životní zkušenosti!

Sociální inženýrství je typicky soubor technik, jejichž cílem je přimět člověka, aby se choval určitým způsobem, protože to někdo potřebuje, například dává peníze, poskytuje tajné informace nebo něco podepisuje. K tomu je obvykle nutné studovat lidský faktor, reakce lidí na žádosti, stížnosti, zdroje stresu atd. Znáte-li postoje a reakce většiny lidí, není těžké je přimět k určitým věcem.

Jak sociální inženýrství souvisí s podvody a jak se využívá k získávání zakázaných informací.

Podívejme se na sociální inženýrství z těchto dvou pohledů. Možná jste si všimli, že v ekonomických časech jsou podvodníci vždy obzvláště aktivní. V našem věku technologií jsou stále více připraveni a vyškoleni. Využívají psychologii, sociální inženýrství, IT technologie a mnoho dalších speciálních znalostí, které pomáhají řídit jednání lidí. Samozřejmě nebude dost času na prostudování všech jejich triků, ale i tak je užitečné věnovat pozornost základním principům triků a technologií, které používají, abyste nespadli do pastí, které nastražili.

Jakými lidmi se s největší pravděpodobností stanou? Jak se stát obětí lidí a okolností? ? A co my? O tom a mnohem více jsme na našem webu již psali. Nyní si stručně promluvme o speciální vědě – znalosti, z níž využívají „pokročilí“ podvodníci – sociální inženýři.

Sociální inženýrství jako věda.

Sociální inženýrství je poměrně mladá věda, která zahrnuje znalosti o psychologii lidí a jejich chování v kritických situacích. Sociální inženýrství lze také nazvat „prasátkem lidských chyb“, protože tato věda absorbuje vše, co souvisí s lidským faktorem a jeho využitím.

Takové znalosti nám umožňují předvídat možné varianty lidského chování a designu různé situace aby vyvolal určitou reakci. Reakce vyvolaná podvodníkem – sociálním inženýrem – vede člověka k činům, které byly původně cílem podvodníka. Co by mohlo být jeho cílem? Samozřejmě zjistit informace nebo proniknout na území někoho jiného nebo jednoduše získat své peníze. V tomto ohledu se sociálním inženýrům říká také sociální hackeři.

Jaký je tento sociální inženýr?

Je to člověk, který má a dovedně využívá znalosti ze sociálního inženýrství. Je to „psycholog“ (samozřejmě ne profesionál), který bere v úvahu komplexy, slabosti, předsudky, zvyky, reflexy atd. lidí.

Kevin Mitnick, který býval sociálním hackerem a nyní konzultuje bezpečnostní otázky, řekl, že je mnohem jednodušší vylákat potřebné informace pomocí triků, než vymýšlet různé programy za vloupání.

Jak se chránit před „sociálními hackery“?

To může být velmi obtížné, téměř nemožné, pokud o nich nic nevíte. A i když znáte jejich triky, můžete na návnadu napadnout, protože jsou odborníky na vaše spontánní reakce, reflexy, automatismy a tak dále. Buď opatrný!

Takže ještě nedávno, v lednu tohoto roku, byl internet doslova plný následujících novinek:

Výpočet hackerů byl jednoduchý – příjemci mailing listu by jménem vedení splnili požadavek podvodníků, aby se vyhnuli napomenutí tohoto vedení. A tak se také stalo. Podle pokynů sociálních hackerů provedli bankovní zaměstnanci belgické banky Crelan úkony požadované podvodníky bez dodatečných kontrol. E-mailová zpráva od hackerů obsahovala žádost o urychlené dokončení transakce. Vypadalo to docela věrohodně, protože zločinci používali kopie firemních log a známých domén.

Podobné experimenty prováděli psychologové před situací s belgickou bankou. Výzkumníci z Anglie tedy vyslali zaměstnance velká korporace zprávy jménem správce systému jejich společností. Zpráva obsahovala požadavek na zaslání hesel v souvislosti s plánovanou kontrolou zařízení. Výsledek byl tristní – většina zaměstnanců (75 %) se řídila pokyny útočníků.

Jak vidíme, lidské jednání je celkem snadno naprogramováno. Navíc docela chytří, vzdělaní a vysoce inteligentní lidé mohou napadnout podvodníkům. Není zde nic divného, ​​vezmeme-li v úvahu, že existují další lidé, kteří studují akce, automatismy a reakce nejrůznějších lidí. Včetně velmi chytrých.

PŘÍKLADY použití metod sociálního inženýrství

Jeden sociální inženýr popisuje, jak se vplížil na místo s uzavřený přístup pomocí stereotypů myšlení lidí. Ochranka jsou taky lidi! Tento muž (sociální inženýr) pozoroval, jaké mají odznaky zaměstnanci firmy, kterou chtěl, vyrobil si stejné, vytiskl je na počítači a spolu se zaměstnanci podniku vyšel zadními dveřmi.

Samozřejmě neměl čip na dveře, ale použil metodu „vlaku“. Jeho podstata je jednoduchá. Když se před dveřmi nahromadí skupina lidí, nezavřou se úplně a ti, kteří jdou vepředu, podrží dveře těm, kteří následují. Společná zdvořilost. Ostatně z odznaku je vidět, že jde také o zaměstnance. Strážci vidí hromadu lidí se stejnými odznaky a nevěnují jim velkou pozornost. Navíc pověšení na zeď velkými písmeny není ani oznámení, ale plakát s upozorněním, že každý musí projít po jednom. Nemůžete podržet dveře někomu, kdo jde za vámi obecné zabezpečení! Ale udělá to skupina přátel? Kdo z této společnosti řekne jednomu z lidí: "Prosím, jděte ven a vraťte se se svým klíčem (čipem), protože vás neznám." Pravděpodobnost, že se tak stane, je velmi nízká. Ale takhle to musíte udělat.

Ukazuje se tedy, že zaměstnanci porušují bezpečnostní požadavky se záviděníhodnou důsledností a podvodníci používají výše popsané automatismy se stejnou důsledností. Vždy budou lidé, kteří budou následovat podvodníky, bez ohledu na to, jak moc jsou varováni a učeni. Sociální inženýři to dobře vědí, a proto si nelámou hlavu nad tím, jaký trik vymyslet. Jednoduše používají stejné metody. Koneckonců, automatismy lidí se příliš nemění, proto jsou automatismy. Být originální. Nemyslete stereotypně! Vždy si dávejte pozor na neočekávané nebo děsivé zprávy. Věnujte pozornost výstražným upozorněním.

Nejpoužívanější techniky sociálního inženýrství jsou založeny na lidských slabostech, jako je lítost, strach a touha rychle zbohatnout. Pokud mluvíme o lítosti, pak hackeři tuto vlastnost lidí využívají nejvíce různé způsoby. Například posílají zprávy po telefonu nebo prostřednictvím sociálních sítí a žádají o pomoc jménem vašich přátel nebo příbuzných.

Základní metody a techniky sociálních inženýrů / sociálního inženýrství

Všechny metody sociálního inženýrství jsou založeny na lidském faktoru, tedy na vlastnostech lidské psychiky: propadnutí panice, za určitých okolností stejně reagovat, ztráta ostražitosti, únava, empatie, prožívání strachu a mnoho dalšího. . Jako příklad uvedeme jen několik technik a vy se pokuste sami určit, jakou mentální vlastnost zde sociální inženýr použil:

1. 1. Jedna ze zápletek by mohla být taková: přítel je mimo město, nemůže si teď zavolat - je to vážný problém, peníze jsou naléhavě potřeba. Požaduje zaslání na číslo vašeho účtu nebo bankovní karty. I když ne všichni budou reagovat pozitivně, ale jen určité procento respondentů, hacker ví, že se tak stane. To mu nevadí, protože jím naprogramované zprávy posílá stroj. Jsou tací, kteří naléhavě pomáhají, aniž by kontrolovali, odkud tyto SMS pocházejí. Kamarád je přece v průšvihu.. A kvůli naléhavosti si mnozí zdroj neověří.
   2. Se stejným výpočtem byly před časem mnoha ženám poslány SMS zprávy od jejich syna, který měl potíže. On sám se samozřejmě nemůže ozvat, dokud mu matka nepošle peníze na vyřešení tohoto problému. A maminky to poslaly, nikdo neví kam a komu. Bez dvojité kontroly čehokoli (jak se ptal můj syn).
   3. Také jménem přátel kradou osobní údaje a posílají škodlivé odkazy s komentáři. Například: „Hele, chceš se smát? Klikněte na tento odkaz a můžete si poslechnout jakoukoli telefonickou konverzaci (nebo SMS korespondenci), která vás zajímá.“ Nebo tak nějak, hlavní je, že kliknete na odkaz.

V arzenálu sociálních inženýrů je také možnost, když „pracují“ pro kupujícího. Mnoho uživatelů nabízí své položky k prodeji, například na Avito. Takový „kupující“ hledá něco dražšího (auta, domy atd.), kontaktuje skutečného prodejce a deklaruje přání koupit váš drahý předmět. Prodejce má samozřejmě radost. Páni, jak rychle, nestihl jsem ukázat, jak se všechno prodalo. V duchu už počítá svůj příjem. Pravda, kupující se smutkem hlásí, že si zboží bude moci vyzvednout až za dva až tři dny. Abyste tuto cennou položku neprodali někomu jinému, požádá o odstranění reklamy z Avita a, aby bylo zaručeno, je připraven zaplatit polovinu nebo dokonce 75% nákladů hned dnes. "Samozřejmě!", pomyslíte si, "S radostí! Ať zaplatí!" „Kupující“ se ptá, kterou kartu by mohl použít k převodu peněz k vám. A řeknete tomuto cizinci všechny podrobnosti o kartě. Jen místo toho, abyste získali jeho peníze, přijdete o všechny své úspory. Může vás také požádat, abyste mu sdělili kód, který vám bude zaslán na váš telefon.

Pokud se budeme bavit o takové vlastnosti, jako je touha rychle a bez větší námahy zbohatnout, pak se jedná o neřest, kterou mohou sociální inženýři vymýšlet a vymýšlet velmi dlouho. Koneckonců, lidé sami tato „dobrodružství“ vyhledávají a jsou dokonce připraveni šlápnout na stejné hrábě. Proto podvodníci dál předstírají: pak známá značka dávání bláznivých dárků; pak společnost slibující lákavé slevy; pak banka nabízející půjčku s mizivou úrokovou sazbou; pak zaměstnavatel, který vám pomůže snadno vydělat peníze na internetu nebo jinde... Jen, abyste z toho něco dostali, musíte nejprve poskytnout údaje o kartě... Přece by měl převést nový zaměstnavatel nebo dobrá banka peníze vám někde... Údaje o kartě dali neznámé osobě, s jejím obsahem se můžete rozloučit.

Proč o tom potřebujete vědět?

V poslední době je zájem o sociální inženýrství velmi vysoký. To je zřejmé z popularity této žádosti na internetu. To znamená, že počet hackerů a poptávka po programech na ochranu před jejich útoky bude jen růst. A nejen hackeři, podvodníci jakéhokoli druhu používají metody sociálního inženýrství pro své účely.

Chcete-li být informováni, a tedy vyzbrojeni, můžete si přečíst literaturu na toto téma:

Sociální inženýrství a sociální hackeři." Maxim Kuzněcov, Igor Simdjanov.

Buď opatrný! Nenechte se oklamat.

Sociální inženýrství využívá znalosti psychologie a lidského faktoru. Buďte extrémně opatrní, sociální hackeři vás velmi dobře znají.

Bylo by také zajímavé vědět, zda jste věděli o sociálním inženýrství a mazaných technikách, které používají lidé, kteří za ním stojí?

S pozdravem web Pokud chcete dostávat nové články, přihlaste se k odběru našeho newsletteru.

Sociální inženýrství- způsob získávání potřebného přístupu k informacím, vycházející z charakteristik lidské psychologie. Hlavním cílem sociálního inženýrství je získat přístup k důvěrným informacím, heslům, bankovním údajům a dalším chráněným systémům. I když se pojem sociální inženýrství objevil ne tak dávno, metoda získávání informací tímto způsobem se používá již poměrně dlouho. Zaměstnanci CIA a KGB, kteří chtějí získat nějaká státní tajemství, politici a kandidáti do parlamentu a my sami, pokud chceme něco získat, často aniž bychom si to uvědomovali, používáme metody sociálního inženýrství.

Abyste se ochránili před účinky sociálního inženýrství, musíte pochopit, jak funguje. Podívejme se na hlavní typy sociálního inženýrství a způsoby ochrany proti nim.

Předmluva- jedná se o soubor akcí vypracovaných podle konkrétního, předem sestaveného scénáře, v jehož důsledku může oběť sdělit nějaké informace nebo provést určitou akci. Častěji tenhle typÚtok zahrnuje použití hlasových prostředků, jako je Skype, telefon atd.

Pro použití této techniky musí mít útočník zpočátku nějaké údaje o oběti (jméno zaměstnance; pozice; název projektů, se kterými pracuje; datum narození). Útočník zpočátku využívá reálné dotazy se jmény zaměstnanců firmy a po získání důvěry získá potřebné informace.

Phishing– technika internetového podvodu zaměřená na získání důvěrných uživatelských informací – autorizační údaje různých systémů. Hlavním typem phishingového útoku je falešný e-mail odeslaný oběti, který vypadá jako oficiální dopis od platební systém nebo banka. Dopis obsahuje formulář pro zadání osobních údajů (PIN kódy, přihlašovací jméno a heslo atd.) nebo odkaz na webovou stránku, kde se takový formulář nachází. Důvody důvěry oběti v takové stránky mohou být různé: zablokování účtu, selhání systému, ztráta dat atd.

trojský kůň– Tato technika je založena na zvědavosti, strachu nebo jiných emocích uživatelů. Útočník pošle oběti e-mailem dopis, jehož příloha obsahuje antivirovou „aktualizaci“, klíč k výhře nebo usvědčující důkazy o zaměstnanci. Příloha ve skutečnosti obsahuje škodlivý program, který poté, co jej uživatel spustí na svém počítači, použije útočník ke sběru nebo změně informací.

Qui o quo(quid pro quo) – tato technika spočívá v tom, že útočník kontaktuje uživatele prostřednictvím e-mailu nebo firemního telefonu. Útočník se může představit např. jako pracovník technické podpory a informovat o výskytu technických problémů na pracovišti. Dále informuje o nutnosti jejich odstranění. V procesu „řešení“ takového problému útočník nutí oběť, aby podnikla kroky, které útočníkovi umožní provést určité příkazy nebo nainstalovat potřebný software do počítače oběti.

Silniční jablko– tato metoda je adaptací trojského koně a spočívá v použití fyzických médií (CD, flash disky). Útočník obvykle umisťuje taková média na veřejná místa v areálu firmy (parkoviště, jídelny, pracoviště zaměstnanců, toalety). Aby se zaměstnanec o toto médium začal zajímat, může útočník umístit na médium logo společnosti a nějaký druh podpisu. Například „údaje o prodeji“, „platy zaměstnanců“, „daňová zpráva“ a další.

Reverzní sociální inženýrství- tento typ útoku je zaměřen na vytvoření situace, ve které bude oběť nucena obrátit se na útočníka s žádostí o „pomoc“. Útočník může například poslat dopis s telefonními čísly a kontakty na „službu podpory“ a po nějaké době způsobit v počítači oběti vratné problémy. V tomto případě uživatel zavolá nebo pošle e-mail útočníkovi sám a v procesu „opravy“ problému bude útočník schopen získat data, která potřebuje.

Obrázek 1 – Hlavní typy sociálního inženýrství

Protiopatření

Hlavním způsobem ochrany před metodami sociálního inženýrství je školení zaměstnanců. Všichni zaměstnanci společnosti by měli být varováni před nebezpečím zveřejnění osobních údajů a důvěrných informací společnosti a také způsoby, jak zabránit úniku dat. Kromě toho by každý zaměstnanec společnosti, v závislosti na oddělení a pozici, měl mít pokyny, jak a o jakých tématech může komunikovat s partnerem, jaké informace lze poskytnout službě technické podpory, jak a co musí zaměstnanec společnosti sdělit přijímat tyto informace nebo jiné informace od jiného zaměstnance.

Kromě toho lze rozlišovat následující pravidla:

• Uživatelské přihlašovací údaje jsou majetkem společnosti.
V den přijetí do zaměstnání musí být všem zaměstnancům vysvětleno, že přihlašovací jména a hesla, která jim byla vydána, nelze použít pro jiné účely (na webových stránkách, pro osobní poštu atd.), převést na třetí osoby nebo jiné zaměstnance společnosti. společnosti, kteří na to nemají právo. Například velmi často může zaměstnanec při odjezdu na dovolenou předat své autorizační údaje svému kolegovi, aby mohl v době jeho nepřítomnosti vykonávat nějakou práci nebo si některá data prohlížet.
• Pro zaměstnance firem je nutné provádět vstupní a pravidelná školení zaměřená na zvýšení znalostí o informační bezpečnosti.
Provádění takových instruktáží umožní zaměstnancům společnosti mít aktuální informace o stávajících metodách sociálního inženýrství a také nezapomenout na základní pravidla pro informační bezpečnost.
• Je povinné mít bezpečnostní předpisy a také pokyny, ke kterým musí mít uživatel vždy přístup. Pokyny by měly popisovat jednání zaměstnanců, pokud nastane konkrétní situace.
Předpisy mohou například specifikovat, co je třeba udělat a kam se obrátit, pokud se třetí strana pokusí vyžádat si důvěrné informace nebo pověření zaměstnance. Takové akce vám umožní identifikovat útočníka a zabránit úniku informací.
• Počítače zaměstnanců by měly mít vždy aktuální antivirový software.
Firewall musí být také nainstalován na počítačích zaměstnanců.
• V firemní síť společnost potřebuje používat systémy detekce a prevence útoků.
Je také nutné používat systémy zabraňující úniku důvěrných informací. To vše sníží riziko fytických útoků.
• Všichni zaměstnanci musí být poučeni, jak se chovat k návštěvám.
Pro zjištění identity návštěvníka a jeho doprovázení jsou potřeba jasná pravidla. Návštěvníky musí vždy doprovázet některý ze zaměstnanců společnosti. Setká-li se zaměstnanec s jemu neznámou návštěvou, musí se správnou formou dotázat, za jakým účelem se návštěvník v této místnosti nachází a kam je eskortován. V případě potřeby musí zaměstnanec neznámé návštěvníky nahlásit bezpečnostní službě.
• Je nutné co nejvíce omezit uživatelská práva v systému.
Můžete například omezit přístup k webovým stránkám a zakázat jejich používání vyměnitelné médium. Pokud se totiž zaměstnanec nemůže dostat na phishingovou stránku nebo použít flash disk s „ trojský kůň“, pak také nebude moci ztratit osobní údaje.

Na základě všeho výše uvedeného můžeme dojít k závěru: hlavním způsobem ochrany před sociálním inženýrstvím je školení zaměstnanců. Je třeba vědět a pamatovat si, že neznalost neomlouvá. Každý uživatel systému by si měl být vědom nebezpečí prozrazení důvěrných informací a znát způsoby, jak zabránit úniku. Forewarned is forearmed!

Metody sociálního inženýrství – přesně o tom bude řeč v tomto článku, stejně jako o všem, co souvisí s manipulací s lidmi, phishingem a krádežemi klientských databází a dalšími. Andrey Serikov nám laskavě poskytl informace, jejichž autorem je, za což mu velmi děkujeme.

A. SERIKOV

A.B.BOROVSKÝ

INFORMAČNÍ TECHNOLOGIE SOCIÁLNÍHO HACKINGU

Úvod

Touha lidstva po dokonalém plnění zadaných úkolů sloužila k rozvoji moderní výpočetní techniky a snahy uspokojit protichůdné požadavky lidí vedly k vývoji softwarových produktů. Data softwarových produktů nejen podporovat výkon Hardware, ale také to zvládnout.

Rozvoj znalostí o člověku a počítači vedl ke vzniku zásadně nového typu systému – „člověk-stroj“, kde člověk může být umístěn jako Hardware, běžící stabilní, funkční, multitasking operační systém nazývané „psychika“.

Předmětem práce je úvaha o sociálním hackingu jako odvětví sociálního programování, kdy je člověk manipulován pomocí lidských slabostí, předsudků a stereotypů v sociálním inženýrství.

Sociální inženýrství a jeho metody

Metody lidské manipulace jsou známy již dlouhou dobu, do sociálního inženýrství se dostaly především z arzenálu různých zpravodajských služeb.

První známý případ konkurenčního zpravodajství pochází z 6. století př. n. l. a došlo k němu v Číně, kdy Číňané ztratili tajemství výroby hedvábí, které bylo podvodně ukradeno římskými špiony.

Sociální inženýrství je věda, která je definována jako soubor metod manipulace s lidským chováním, založených na využití slabin lidského faktoru, bez použití technických prostředků.

Podle mnoha odborníků představují největší hrozbu pro informační bezpečnost metody sociálního inženýrství, už jen proto, že použití sociálního hackingu nevyžaduje značné finanční investice a důkladné znalosti počítačová technologie a také proto, že lidé mají určité sklony k chování, které lze využít k opatrné manipulaci.

A bez ohledu na to, jak moc se zlepšujeme technické systémy ochrany, lidé zůstanou lidmi se svými slabostmi, předsudky, stereotypy, s jejichž pomocí probíhá řízení. Nastavení lidského „bezpečnostního programu“ je nejtěžší úkol a ne vždy vede k zaručeným výsledkům, protože tento filtr je nutné neustále upravovat. Zde zní hlavní motto všech bezpečnostních expertů relevantněji než kdy jindy: „Bezpečnost je proces, nikoli výsledek.“

Oblasti použití sociálního inženýrství:

1. obecná destabilizace práce organizace s cílem snížit její vliv a možnost následného úplného zničení organizace;
2. finanční podvody v organizacích;
3. phishing a další způsoby krádeže hesel za účelem přístupu k osobním bankovním údajům jednotlivců;
4. krádeže klientských databází;
5. soutěžní inteligence;
6. obecné informace o organizaci, jejích silných a slabých stránkách, s cílem následně tuto organizaci tak či onak zničit (často používané pro útoky nájezdníků);
7. informace o nejslibnějších zaměstnancích s cílem je dále „nalákat“ do vaší organizace;

Sociální programování a sociální hacking

Sociální programování lze nazvat aplikovanou disciplínou, která se zabývá cíleným ovlivňováním člověka nebo skupiny lidí za účelem změny nebo udržení jejich chování požadovaným směrem. Sociální programátor si tedy stanoví cíl: ovládnout umění řídit lidi. Základním konceptem sociálního programování je, že jednání mnoha lidí a jejich reakce na ten či onen vnější vliv jsou v mnoha případech předvídatelné.

Metody sociálního programování jsou atraktivní, protože se o nich buď nikdo nikdy nedozví, nebo i když někdo něco tuší, je velmi obtížné postavit takovou postavu před soud a v některých případech je možné „naprogramovat“ chování lidí a jedna osoba a velká skupina. Tyto příležitosti spadají do kategorie sociálního hackingu právě proto, že ve všech z nich lidé provádějí vůli někoho jiného, ​​jako by se podřídili „programu“ napsanému sociálním hackerem.

Sociální hacking jako možnost hacknutí člověka a jeho naprogramování, aby se zavázal nezbytné akce pochází ze sociálního programování - aplikované disciplíny sociálního inženýrství, kde specialisté v této oblasti - sociální hackeři - používají techniky psychologického vlivu a jednání vypůjčené z arzenálu zpravodajských služeb.

Sociální hacking se používá ve většině případů, pokud jde o napadení osoby, která je součástí počítačového systému. Počítačový systém, který je hacknutý, sám o sobě neexistuje. Obsahuje důležitou složku – osobu. A aby získal informace, sociální hacker potřebuje hacknout člověka, který pracuje s počítačem. Ve většině případů je to jednodušší, než se nabourat do počítače oběti ve snaze zjistit heslo.

Typický algoritmus vlivu v sociálním hackingu:

Všechny útoky sociálních hackerů zapadají do jednoho poměrně jednoduchého schématu:

1. je formulován účel ovlivnění konkrétního objektu;
2. informace o objektu se shromažďují za účelem odhalení nejvhodnějších cílů vlivu;
3. Na základě shromážděných informací je implementována fáze, kterou psychologové nazývají přitažlivost. Přitažlivost (z lat. Attrahere - přitahovat, přitahovat) je vytvoření nezbytných podmínek pro ovlivňování předmětu;
4. nutit sociálního hackera k akci;

Nátlaku je dosaženo provedením předchozích fází, to znamená, že po dosažení přitažlivosti oběť sama podnikne kroky potřebné pro sociálního inženýra.

Na základě shromážděných informací sociální hackeři poměrně přesně předpovídají psycho- a sociotyp oběti, přičemž identifikují nejen potřeby jídla, sexu atd., ale také potřebu lásky, potřebu peněz, potřebu pohodlí atd. ., atd.

A skutečně, proč se snažit proniknout do té či oné společnosti, hackovat počítače, bankomaty, organizovat složité kombinace, když všechno můžete udělat jednodušeji: zamilovat se do vás člověka, který ze své vůle převede peníze do specifikovaný účet nebo sdílet potřebné peníze pokaždé, když informace?

Na základě skutečnosti, že jednání lidí je předvídatelné a také podléhá určitým zákonům, sociální hackeři a sociální programátoři používají jak originální vícekrokové, tak jednoduché pozitivní a negativní techniky založené na psychologii lidského vědomí, behaviorálních programech, vibracích vnitřních orgánů, logice myšlení, představivost, paměť, pozornost. Tyto techniky zahrnují:

Dřevo generátor - generuje oscilace stejné frekvence jako frekvence oscilací vnitřních orgánů, po kterých je pozorován rezonanční efekt, v důsledku čehož lidé začínají pociťovat vážné nepohodlí a stav paniky;

dopad na geografii davu - pro mírové rozpuštění extrémně nebezpečných agresivních, velké skupiny lidí;

vysokofrekvenční a nízkofrekvenční zvuky - vyvolat paniku a její zpětný efekt, stejně jako další manipulace;

program sociální imitace - člověk určuje správnost jednání tím, že zjišťuje, jaké jednání ostatní lidé považují za správné;

claqueringový program - (založený na sociálním napodobování) organizace potřebné reakce publika;

tvorba front - (založený na sociálním napodobování) jednoduchý, ale účinný reklamní tah;

program vzájemné pomoci - člověk se snaží oplatit laskavost těm lidem, kteří mu udělali nějakou laskavost. Touha splnit tento program často převyšuje všechny rozumy;

Sociální hackování na internetu

S nástupem a rozvojem internetu – virtuálního prostředí skládajícího se z lidí a jejich interakcí, se rozšířilo prostředí pro manipulaci s člověkem za účelem získání potřebných informací a provedení potřebných úkonů. V dnešní době je internet prostředkem celosvětového vysílání, prostředkem pro spolupráci, komunikaci a pokrývá celou zeměkouli. To je přesně to, co sociální inženýři používají k dosažení svých cílů.

Způsoby, jak manipulovat s osobou přes internet:

V moderní svět majitelé snad každé firmy již pochopili, že internet je velmi efektivním a pohodlným prostředkem pro rozšiřování jejich podnikání a jeho hlavním úkolem je zvyšovat zisky celé firmy. Je známo, že bez informací zaměřených na upoutání pozornosti k požadovanému předmětu, vyvolání nebo udržení zájmu o něj a jeho propagaci na trhu se využívá reklama. Jen díky tomu, že reklamní trh je dlouhodobě rozdělený, jsou většina typů reklamy pro většinu podnikatelů vyhozené peníze. Internetová reklama není jen jedním z typů reklamy v médiích, je něčím víc, protože pomocí internetové reklamy přicházejí na web organizace zájemci o spolupráci.

Internetová reklama má na rozdíl od reklamy v médiích mnohem více možností a parametrů pro řízení reklamní společnosti. Nejdůležitějším ukazatelem internetové reklamy je to Poplatky za internetovou reklamu jsou strženy pouze při přechodu zainteresovaný uživatel prostřednictvím reklamního odkazu, což samozřejmě činí reklamu na internetu efektivnější a méně nákladnou než reklama v médiích. Tedy reklamou v televizi nebo in tištěné publikace, zaplatí to v plné výši a jen čekají na potenciální klienty, ale klienti mohou reagovat na inzerci nebo ne - vše závisí na kvalitě výroby a prezentace reklamy v televizi nebo novinách, nicméně rozpočet na reklamu je již vyčerpán a pokud reklama nefungovala, je zbytečná. Na rozdíl od takové mediální reklamy má internetová reklama schopnost sledovat odezvu publika a řídit internetovou reklamu ještě před vyčerpáním rozpočtu; internetová reklama může být navíc pozastavena, když se poptávka po produktech zvýší, a znovu se spustí, když poptávka začne klesat.

Další metodou ovlivňování je tzv. „Killing of Forums“, kdy za pomoci sociálního programování vytvářejí antireklamu na konkrétní projekt. Sociální programátor v v tomto případě, pouze pomocí zjevných provokativních akcí, ničí fórum pomocí několika pseudonymů ( přezdívka) vytvořit kolem sebe anti-leaderskou skupinu a přilákat do projektu pravidelné návštěvníky, kteří nejsou spokojeni s chováním administrativy. Na konci takových akcí je nemožné propagovat produkty nebo nápady na fóru. K tomu bylo fórum původně vyvinuto.

Metody ovlivňování člověka přes internet za účelem sociálního inženýrství:

Phishing je druh internetového podvodu, jehož cílem je získat přístup k důvěrným uživatelským datům – přihlašovacím údajům a heslům. Této operace je dosaženo prostřednictvím hromadné pošty e-maily jménem populárních značek, stejně jako osobní zprávy uvnitř různé služby(Rambler), banky nebo uvnitř sociální sítě(Facebook). Dopis často obsahuje odkaz na webovou stránku, která je navenek k nerozeznání od té skutečné. Poté, co se uživatel dostane na falešnou stránku, sociální inženýři pomocí různých technik povzbudí uživatele, aby na stránce zadal své přihlašovací jméno a heslo, které používá pro přístup na konkrétní stránku, což mu umožňuje získat přístup k účtům a bankovním účtům.

Nebezpečnějším typem podvodu než phishing je tzv. pharming.

Pharming je mechanismus pro skryté přesměrování uživatelů na phishingové stránky. Sociální inženýr distribuuje speciální zprávy do počítačů uživatelů. malware, které po spuštění na počítači přesměrovávají požadavky z potřebných stránek na falešné. Útok je tedy vysoce tajný a účast uživatele je minimalizována - stačí počkat, až se uživatel rozhodne navštívit stránky, které sociálního inženýra zajímají.

Závěr

Sociální inženýrství je věda, která vzešla ze sociologie a tvrdí, že je souborem znalostí, které řídí, uspořádávají a optimalizují proces vytváření, modernizace a reprodukce nových („umělých“) sociálních realit. Určitým způsobem „dotváří“ sociologickou vědu, završuje ji ve fázi přeměny vědeckých poznatků na modely, projekty a návrhy společenských institucí, hodnot, norem, algoritmů činnosti, vztahů, chování atd.

Navzdory skutečnosti, že sociální inženýrství je relativně mladá věda, působí velké škody na procesech, které se vyskytují ve společnosti.

Nejjednodušší metody ochrany před účinky této destruktivní vědy jsou:

Upozorňování lidí na otázky bezpečnosti.

Uživatelé chápou závažnost problému a akceptují zásady zabezpečení systému.

Literatura

1. R. Petersen Linux: Kompletní průvodce: za z angličtiny — 3. vyd. - K.: BHV Publishing Group, 2000. – 800 s.

2. Z internetu Grodnev u vás doma. - M.: “RIPOL CLASSIC”, 2001. -480 s.

3. M. V. Kuzněcov Sociální inženýrství a sociální hacking. Petrohrad: BHV-Petersburg, 2007. - 368 s.: ill.