Društveni inženjering je. Socijalni inženjering

Društveni inženjering često se smatra ilegalnom metodom dobivanja informacija, no to nije posve točno. Ako uzmemo u obzir suvremeni profesionalni socijalni inženjering, onda je opseg njegove primjene sasvim legitiman - na primjer, pomaže u postizanju inicijalno nedostižnog rezultata, ili "programira" za izvođenje pozitivnih i korisne akcije određena osoba ili grupa ljudi. Naravno, danas se društveni inženjering često koristi na internetu za dobivanje osjetljivih informacija ili informacija velike vrijednosti. Ali moderni društveni inženjeri koriste svoje vještine kako bi poboljšali rezultate u poslu i životu [ ] . tehničari Sve tehnike socijalnog inženjeringa temelje se na kognitivnim iskrivljenjima. Te pogreške u ponašanju koriste društveni inženjeri za stvaranje napada s ciljem dobivanja povjerljive informacije, često uz pristanak žrtve. [ ] Da, jedan od jednostavni primjeri je situacija u kojoj osoba uđe u zgradu tvrtke i na informacijskom pultu izvjesi službenu obavijest o promjeni telefona Podrška Internet provider. Kada zaposlenici tvrtke pozovu ovaj broj, napadač može zatražiti osobne lozinke i ID kako bi dobio pristup povjerljivim informacijama. [ ] Krađa identiteta Phishing (engleski phishing, od fishing - ribolov, pecanje) je vrsta internetske prijevare, čija je svrha dobiti pristup povjerljivim korisničkim podacima - prijavama i lozinkama. Ovo je danas najpopularnija shema društvenog inženjeringa. Niti jedno veće curenje osobnih podataka ne dogodi se bez prethodnog vala phishing e-pošte. Najupečatljiviji primjer phishing napada je poruka poslana žrtvi putem e-pošta i krivotvoren kao službeni dopis - iz banke ili platnog sustava - koji zahtijeva provjeru određenih informacija ili izvođenje određenih radnji. Razlozi mogu biti razni. To može biti gubitak podataka, kvar sustava itd. Ove e-poruke obično sadrže poveznicu na lažnu web stranicu koja izgleda točno kao službena i sadrži obrazac koji od vas zahtijeva da unesete osjetljive podatke. Popularne phishing sheme Najpopularnije phishing prijevare opisane su u nastavku. Nepostojeće poveznice Napad koji se sastoji od slanja e-pošte s primamljivim razlogom za posjet stranici i izravnom poveznicom na nju, koja samo podsjeća na očekivanu stranicu, na primjer, www.PayPai.com. Iako se čini kao da je riječ o poveznici na PayPal, malo tko će primijetiti da je slovo "l" zamijenjeno slovom "i". Tako će prilikom klika na poveznicu žrtva vidjeti stranicu koja je maksimalno identična očekivanoj, a prilikom unosa podataka o kreditnoj kartici ti se podaci odmah šalju napadaču. Jedan od najpoznatijih primjera globalne phishing e-pošte bila je prijevara iz 2003. u kojoj su tisuće korisnika eBaya primile e-poštu u kojoj se tvrdilo da je njihov račun zaključan i da moraju ažurirati podatke o svom računu kako bi ga otključali. kreditne kartice. Svi ti e-mailovi sadržavali su poveznicu koja je vodila do lažne web stranice koja je izgledala točno kao službena. Međutim, prema procjenama stručnjaka, gubici od ove prijevare iznosili su manje od milijun dolara (nekoliko stotina tisuća). Prijevara korištenjem robnih marki poznatih korporacija Ove phishing prijevare koriste lažnu e-poštu ili web stranice koje sadrže imena velikih ili dobro poznatih tvrtki. Poruke mogu sadržavati čestitke na pobjedi na natjecanju koje je organizirala tvrtka ili da postoji hitna potreba za promjenom vjerodajnica ili lozinke. Slične prijevarne sheme u ime usluge tehnička podrška može i telefonom. Lažne lutrije Korisnik može primiti poruku da je dobio na lutriji koju provodi neka poznata tvrtka. Na površini, te se poruke mogu činiti kao da su poslane u ime visokopozicioniranog korporativnog zaposlenika. Lažni antivirusni i sigurnosni programi IVR ili telefonski phishing Telefonska frika Phone phreaking je pojam koji opisuje eksperimentiranje i hakiranje. telefonski sustavi korištenjem manipulacije zvukom s tonskim biranjem. Ova tehnika se pojavila u kasnim 50-ima u Americi. Bell Telephone Corporation, koja je tada pokrivala gotovo cijeli teritorij SAD-a, koristila je tonsko biranje za prijenos različitih signala usluga. Entuzijasti koji su pokušali replicirati neke od ovih signala mogli su besplatno telefonirati, organizirati konferencijske pozive i upravljati telefonskom mrežom. Pretekstiranje Pretexting je napad u kojem se napadač pretvara da je druga osoba i prema unaprijed pripremljenom scenariju izvlači povjerljive informacije. Ovaj napad zahtijeva odgovarajuću pripremu, kao što su: rođendan, porezni broj, broj putovnice ili zadnje znamenke računa, kako ne bi izazvali sumnju kod žrtve. Obično se radi putem telefona ili e-pošte. Quit about quo "Cestovna jabuka" Ova metoda napada je adaptacija trojanskog konja i sastoji se od korištenja fizičkih medija. Napadač postavlja "zaražene" medije za pohranu na mjesta javni pristup gdje se ovi mediji mogu lako pronaći, kao što su zahodi, parkirališta, kafeterije ili radno mjesto ciljanog zaposlenika. Medij je dizajniran kao službeni za tvrtku koja se napada ili je popraćen potpisom koji ima za cilj pobuditi znatiželju. Na primjer, napadač može podmetnuti poruku s logotipom tvrtke i poveznicom na službenu web stranicu tvrtke, označivši je "Plaće rukovoditelja". Disk se može ostaviti na katu dizala ili u predvorju. Zaposlenik može nesvjesno uzeti disk i umetnuti ga u računalo kako bi zadovoljio svoju znatiželju. Prikupljanje informacija iz otvorenih izvora Korištenje tehnika socijalnog inženjeringa zahtijeva ne samo poznavanje psihologije, već i sposobnost prikupljanja potrebnih informacija o osobi. Relativno nov način dobivanja takvih informacija bilo je njihovo prikupljanje iz otvoreni izvori, uglavnom s društvenih mreža. Na primjer, stranice kao što su livejournal, Odnoklassniki, VKontakte sadrže ogromnu količinu podataka koje ljudi ne pokušavaju sakriti. Korisnici u pravilu ne obraćaju dovoljno pozornosti na sigurnosna pitanja, ostavljajući podatke i informacije u javnoj domeni koje napadači mogu koristiti. Ilustrativan primjer je priča o otmici sina Jevgenija Kasperskog. Tijekom istrage utvrđeno je da su kriminalci saznali dnevni raspored i rute tinejdžera iz njegovih objava na stranici na društvenoj mreži. Čak i ograničavanjem pristupa informacijama na svojoj stranici na društvenoj mreži, korisnik ne može biti siguran da nikada neće pasti u ruke prevarantima. Na primjer, brazilski istraživač računalne sigurnosti pokazao je da je moguće postati prijatelj bilo kojeg korisnika Facebooka u roku od 24 sata koristeći tehnike društvenog inženjeringa. Tijekom eksperimenta, istraživač Nelson Novaes Neto odabrao je žrtvu i stvorio lažni profil osoba iz njezine okoline – njezin šef. Neto je prvo slao zahtjeve za prijateljstvo prijateljima prijatelja šefa žrtve, a zatim izravno svojim prijateljima. Nakon 7,5 sati, istraživač je natjerao žrtvu da ga doda kao prijatelja. Tako je istraživač dobio pristup osobnim podacima korisnika, koje je dijelio samo sa svojim prijateljima. Surfanje s ramena Surfanje s ramena surfanje na ramenu) uključuje promatranje osobnih podataka žrtve preko ramena. Ova vrsta napada uobičajena je na javnim mjestima kao što su kafići, trgovački centri, zračnim lukama, željezničkim kolodvorima, kao i u javnom prijevozu. Primjer obrnutog društvenog inženjeringa je sljedeći jednostavan scenarij. Napadač koji radi zajedno sa žrtvom mijenja naziv datoteke na njezinom računalu ili je premješta u drugi direktorij. Kada žrtva primijeti da datoteka nedostaje, napadač tvrdi da može sve popraviti. U želji da brže završi posao ili izbjegne kaznu za gubitak podataka, žrtva pristaje na ovu ponudu. Napadač tvrdi da se problem može riješiti samo prijavom s vjerodajnicama žrtve. Sada žrtva traži od napadača da se prijavi pod njezinim imenom kako bi pokušao vratiti datoteku. Napadač nevoljko pristaje i vraća datoteku, a pritom krade žrtvin ID i lozinku. Uspješno izvevši napad, čak je i poboljšao svoju reputaciju, a vrlo je moguće da će mu se nakon ovoga za pomoć obratiti i drugi kolege. Ovakav pristup ne ometa uobičajene postupke pružanja usluga podrške i komplicira hvatanje napadača. Poznati društveni inženjeri Braća Badir Unatoč činjenici da su braća Badir, Mushid i Shadi Badir, bili slijepi od rođenja, uspjeli su izvesti nekoliko velikih prijevara u Izraelu 1990-ih, koristeći društveni inženjering i lažiranje glasa. U televizijskom intervjuu rekli su: “Samo oni koji ne koriste telefon, struju i prijenosno računalo potpuno su osigurani od mrežnih napada.” Braća su već bila u zatvoru jer su uspjela čuti i dešifrirati tajne interferencijske tonove [ nepoznat pojam ] pružatelji usluga telefonska komunikacija. Obavljali su duge razgovore u inozemstvu o tuđem trošku, reprogramirajući računala pružatelja usluga smetnjama mobilna komunikacija. Arhanđeo Prilozi uz dokumente. Hiperveze u dokumentima. Zahtjevi za osobnim ili korporativnim podacima koji dolaze iz tvrtke. Zahtjevi za osobnim ili korporativnim podacima koji potječu izvan tvrtke. Prijetnje povezane s korištenjem usluga razmjene izravnih poruka Instant poruke - usporedno novi put prijenos podataka, ali je već stekao veliku popularnost među korporativnim korisnicima. Zbog brzine i jednostavnosti korištenja ovaj način komunikacije otvara široke mogućnosti za različite napade: korisnici ga tretiraju kao telefonsku vezu i ne povezuju ga s potencijalnim softverskim prijetnjama. Dvije glavne vrste napada koji se temelje na korištenju usluga razmjene trenutnih poruka su uključivanje poveznice na zlonamjerni program u tijelu poruke i isporuka samog programa. Naravno, razmjena izravnih poruka također je jedan od načina traženja informacija. Jedna od značajki usluga razmjene trenutnih poruka je neformalna priroda komunikacije. U kombinaciji sa sposobnošću da sebi dodijelite bilo koje ime, ovaj čimbenik napadaču uvelike olakšava oponašanje druge osobe i značajno povećava njegove šanse za uspješnu izvedbu napada. Ako tvrtka namjerava iskoristiti uštedu troškova i druge pogodnosti koje pruža razmjena trenutnih poruka, potrebno je ugraditi korporativne sigurnosne politike za zaštitu od ovih prijetnji. Za postizanje pouzdane kontrole nad razmjenom trenutnih poruka u poslovnom okruženju potrebno je ispuniti nekoliko zahtjeva. [ ] Odaberite jednu platformu za izravnu razmjenu poruka. Odredite sigurnosne postavke koje su navedene prilikom postavljanja usluge razmjene izravnih poruka. Odrediti principe za uspostavljanje novih kontakata Postavite standarde lozinki Dajte preporuke za korištenje usluge izravnih poruka. Osnovne metode zaštite Stručnjaci za društveni inženjering identificiraju sljedeće glavne zaštitne metode za organizacije: razvijanje promišljene politike klasifikacije podataka koja prepoznaje one naizgled bezazlene vrste podataka koji mogu dovesti do važnih uvida; osiguravanje zaštite podataka o klijentima šifriranjem podataka ili korištenjem kontrola pristupa; obučavanje zaposlenika u vještinama prepoznavanja socijalnog inženjera i sumnjičavosti u komunikaciji s osobama koje osobno ne poznaju; zabranjivanje osoblju dijeljenja zaporki ili korištenja uobičajenih; zabrana davanja podataka iz tajnog odjela bilo kome tko nije osobno poznat ili nije na bilo koji način potvrđen; korištenje posebnih postupaka potvrde za svakoga tko traži pristup osjetljivim informacijama; Sigurnosni model s više razina Kako bi se velike tvrtke i njihovi zaposlenici zaštitili od prevaranata koji koriste tehnike socijalnog inženjeringa, često se koriste složeni sigurnosni sustavi na više razina. Neke od značajki i odgovornosti takvih sustava navedene su u nastavku. Fizičko osiguranje. Barijere koje ograničavaju pristup zgradama poduzeća i korporativni resursi. Ne zaboravite da resursi tvrtke, na primjer kontejneri za smeće koji se nalaze izvan teritorija tvrtke, nisu fizički zaštićeni. Podaci. Poslovni podaci: Računi, pošte i sl. Prilikom analize prijetnji i planiranja mjera zaštite podataka potrebno je odrediti principe postupanja s papirom i elektronski mediji podaci. Prijave. Programi koje pokreću korisnici. Kako biste zaštitili svoje okruženje, morate razmotriti kako napadači mogu iskoristiti programe za e-poštu, razmjenu trenutnih poruka i druge aplikacije. Računala. Poslužitelji i klijentski sustavi koji se koriste u organizaciji. Zaštita korisnika od izravnih napada na njihova računala definiranjem strogih smjernica koje određuju koji se programi mogu koristiti na korporativnim računalima. Interna mreža. Mreža kroz koju korporativni sustavi međusobno djeluju. Može biti lokalna, globalna ili bežična. Posljednjih godina, zbog sve veće popularnosti metoda rada na daljinu, granice internih mreža postale su uglavnom proizvoljne. Zaposlenicima poduzeća treba reći što trebaju učiniti za organizaciju. siguran rad u bilo kojem mrežnom okruženju. Mrežni perimetar. Granica između unutarnjih mreža tvrtke i vanjskih, poput Interneta ili mreža partnerskih organizacija.

Nemoj to izgubiti. Pretplatite se i primite poveznicu na članak na svoju e-poštu.

Od pojave računala i početka razvoja interneta programeri su svim silama nastojali osigurati sigurnost računala. Ali to ni danas nitko nije uspio postići 100%. Međutim, zamislimo da je ovaj rezultat ipak postignut zahvaljujući snažnoj kriptografiji, poboljšanim sigurnosnim protokolima, pouzdanom softveru i drugim sigurnosnim elementima. Kao rezultat toga, dobivamo apsolutno sigurna mreža, i možemo sigurno raditi u njemu.

„Predivno! – reći ćete „u torbi je!“, ali nećete biti u pravu, jer to nije dovoljno. Zašto? Da, jer se dobrobiti bilo kojeg računalnog sustava mogu dobiti samo uz sudjelovanje korisnika, tj. od ljudi. A upravo ta interakcija između računala i osobe nosi ozbiljnu opasnost, a osoba se često pokaže kao najslabija karika u lancu sigurnosnih mjera. Štoviše, on sam je razlog zašto je sigurnost neučinkovita.

U informacijsko doba postalo je lakše manipulirati ljudima, jer postoji Internet i mobilna veza, koji omogućuju interakciju bez izravnog kontakta. Postoje čak i posebne metode koje pomažu napadačima da "operiraju" s ljudima na način na koji žele. Njihov kompleks naziva se društvenim inženjeringom, au ovom ćemo članku pokušati otkriti što je to.

Društveni inženjering: što je to i kako se pojavio?

Lako je pogoditi da je čak i najsofisticiraniji sigurnosni sustav ranjiv kada ga kontrolira osoba, pogotovo ako je ta osoba lakovjerna, naivna itd. A kada se napad izvrši na stroj (PC), žrtva može biti ne samo računalo, već i osoba koja radi na njemu.

Ova vrsta napada se u žargonu društvenih hakera naziva društveni inženjering. U svom tradicionalnom obliku izgleda kao telefonski poziv, gdje se pozivatelj pretvara da je netko drugi, želeći od pretplatnika izvući povjerljive podatke, najčešće lozinke. Ali u našim člancima razmotrit ćemo fenomen društvenog inženjeringa u širem smislu, podrazumijevajući pod njim bilo koji moguće metode psihološke manipulacije, kao što su ucjene, igranje osjećajima, prijevara i sl.

U tom shvaćanju, društveni inženjering je metoda kontrole ljudskih postupaka bez upotrebe tehničkih sredstava. Najčešće se to doživljava kao ilegalna metoda dobivanja raznih vrijednih informacija. Koristi se uglavnom na internetu. Ako vas zanimaju primjeri društvenog inženjeringa, evo jednog od najupečatljivijih:

PRIMJER: Napadač želi saznati lozinku za nečiji osobni račun internetskog bankarstva. Telefonom zove žrtvu i predstavlja se kao zaposlenik banke, tražeći lozinku, navodeći ozbiljne tehničke probleme u sustavu organizacije. Za veću uvjerljivost, on imenuje fiktivno (ili unaprijed utvrđeno pravo) ime zaposlenika, njegov položaj i ovlasti (ako je potrebno). Da bi žrtva povjerovala, društveni haker može ispuniti svoju priču uvjerljivim detaljima i igrati se na osjećaje same žrtve. Nakon što je napadač primio informaciju, još uvijek se vješto oprašta sa svojim “klijentom”, a zatim se koristi lozinkom za prijavu Osobni prostor i krađu sredstava.

Začudo, čak iu naše vrijeme postoje ljudi koji nasjedaju na takav mamac i s povjerenjem govore društvenim hakerima sve što im je potrebno. A u arsenalu potonjeg može biti mnogo tehnika i tehnika. Također ćemo vam reći o njima, ali malo kasnije.

Društveni inženjering je znanost (smjer) koja se pojavila relativno nedavno. Njegov sociološki značaj leži u činjenici da operira specifičnim znanjima koja usmjeravaju, sistematiziraju i optimiziraju proces stvaranja, modernizacije i primjene novih društvenih stvarnosti. U određenom smislu nadopunjuje sociološko znanje, pretvarajući znanstveno znanje u algoritme aktivnosti i ponašanja.

Ljudi koriste društveni inženjering u nekom obliku od davnina. Na primjer, u starom Rimu i Drevna grčka posebno školovani retoričari koji su bili u stanju uvjeriti sugovornika da je “u krivu” bili su vrlo poštovani. Ti su ljudi sudjelovali u diplomatskim pregovorima i rješavali državne probleme. Kasnije su društveni inženjering prihvatile obavještajne agencije poput CIA-e i KGB-a, čiji su agenti uspješno lažirali bilo koga i otkrivali državne tajne.

Početkom 1970-ih počeli su se pojavljivati ​​telefonski huligani koji su šale radi remetili mir raznih tvrtki. Ali s vremenom je netko shvatio da ako koristite tehnički pristup, vrlo lako možete postići drugačije važna informacija. A do kraja 70-ih bivši telefonski huligani pretvorili su se u profesionalne društvene inženjere (počeli su ih zvati pjevači), sposobni majstorski manipulirati ljudima, određujući njihove komplekse i strahove samo intonacijom.

Kada su se pojavila računala, većina pjevača promijenila je profil i postala društveni haker. Sada su pojmovi "društveni inženjering" i "društveni hakeri" sinonimi. A sa snažnim razvojem društvenog inženjeringa, počele su se pojavljivati ​​nove vrste i proširiti arsenal tehnika.

Pogledajte ovaj kratki video kako biste vidjeli kako društveni hakeri manipuliraju ljudima.

Metode društvenog inženjeringa

Svi stvarni primjeri društvenog inženjeringa pokazuju da se on lako prilagođava svim uvjetima i svakoj situaciji, a žrtve društvenih hakera u pravilu niti ne slute da se protiv njih koristi neka tehnika, a još manje znaju tko to radi .

Sve metode društvenog inženjeringa temelje se na . Riječ je o tzv. kognitivnoj osnovi, prema kojoj ljudi u društvenom okruženju uvijek teže nekome vjerovati. Među glavnim metodama socijalnog inženjeringa su:

• "Trojanski konj"
• Pretekstiranje
• "Cestovna jabuka"
• Krađa identiteta
• Što o čemu

Recimo vam više o njima.

"Trojanski konj"

Korištenje " trojanski konj“Iskorištava se čovjekova znatiželja i želja za dobrobiti. Društveni hakeri šalju pismo na e-mail žrtve s nekim zanimljivim privitkom, primjerice, nadogradnjom nekog programa, čuvarom zaslona s erotskim sadržajem, uzbudljivim vijestima itd. Metoda se koristi za prisiljavanje korisnika da klikne na datoteku koja može zaraziti računalo virusom. Često se zbog toga na ekranu pojave natpisi koji se mogu zatvoriti samo na dva načina: ponovnom instalacijom operativnog sustava ili plaćanjem određenog iznosa napadačima.

Pretekstiranje

Pojam “pretexting” označava radnju koju korisnik izvodi na temelju prethodno pripremljenog izgovora, tj. skripta. Cilj je da osoba pruži određene informacije ili izvrši određenu radnju. U većini slučajeva, pretexting se koristi tijekom telefonskih poziva, iako postoje primjeri sličnih napada na Skype, Viber, ICQ i druge instant messengere. Ali da bi implementirao metodu, pjevač ili haker ne mora samo unaprijed istražiti predmet - saznati njegovo ime, datum rođenja, mjesto rada, iznos na računu itd. Uz pomoć takvih detalja, pjevač povećava povjerenje žrtve u sebe.

"Cestovna jabuka"

Metoda cestovne jabuke sastoji se od prilagodbe "trojanskog konja" i zahtijeva obaveznu upotrebu neke vrste fizičkog medija za pohranu. Društveni hakeri mogu podmetnuti bljesak diskovi za podizanje sustava ili diskovi krivotvoreni kao mediji sa zanimljivim i/ili jedinstvenim sadržajem. Sve što je potrebno je žrtvi diskretno prisloniti “jabuku puta” npr. u automobilu na parkiralištu, u torbi u liftu i sl. Ili možete jednostavno ostaviti ovo "voće" gdje će ga žrtva vjerojatno vidjeti i uzeti ga sama.

Krađa identiteta

Phishing je vrlo česta metoda za dobivanje povjerljivih informacija. U klasičnoj verziji, to je “službeni” e-mail (platnog servisa, banke, visokopozicionirane osobe i sl.), opremljen potpisima i pečatima. Primatelj je dužan slijediti poveznicu na lažnu web stranicu (tu je i sve što govori o "službenosti i pouzdanosti" resursa) i unijeti neke podatke, na primjer, puno ime, kućnu adresu, telefonski broj, profil na društvenoj mreži adrese, broj bankovna kartica(pa čak i CVV kod!). Nakon što je povjerovala stranici i unijela podatke, žrtva ih šalje prevarantima, a što se dalje događa lako je pogoditi.

Što o čemu

Metoda Qui Pro Quo koristi se za uvođenje malwarea u sustave raznih tvrtki. Društveni hakeri nazovu željenu (ponekad i bilo koju) tvrtku, predstave se kao zaposlenici tehničke podrške i ispitaju zaposlenike za eventualne tehničke probleme u računalnom sustavu. Ako postoje kvarovi, napadači ih počinju "eliminirati": traže od žrtve da unese određenu naredbu, nakon čega postaje moguće pokrenuti virusni softver.

Navedene metode socijalnog inženjeringa najčešće se susreću u praksi, no postoje i druge. Osim toga, postoji i posebna vrsta socijalnog inženjeringa, koja je također osmišljena da utječe na osobu i njezine postupke, ali se radi prema potpuno drugačijem algoritmu.

Obrnuti društveni inženjering

Obrnuti društveni inženjering i društveni hakeri specijalizirani za njega grade svoje aktivnosti u tri smjera:

• Stvaraju se situacije koje tjeraju ljude da traže pomoć
• Oglašavaju se usluge rješavanja problema (ovo također uključuje prethodnu pomoć pravih stručnjaka)
• Postoji "pomoć" i utjecaj

U slučaju ove vrste društvenog inženjeringa, napadači prvo proučavaju osobu ili skupinu ljudi na koje planiraju utjecati. Istražuju se njihove strasti, interesi, želje i potrebe te se preko njih vrši utjecaj uz pomoć programa i bilo kojih drugih metoda elektroničkog utjecaja. Štoviše, programi prvo moraju raditi bez kvarova kako ne bi izazvali zabrinutost, a tek onda se prebaciti u zlonamjerni način rada.

Primjeri obrnutog društvenog inženjeringa također nisu neuobičajeni, a evo jednog od njih:

Društveni hakeri razvijaju program za određenu tvrtku na temelju njezinih interesa. Program sadrži sporodjelujući virus - nakon tri tjedna on se aktivira, a sustav počinje kvariti. Uprava kontaktira programere kako bi pomogli u rješavanju problema. Pripremljeni na takav razvoj događaja, napadači šalju svog “specijalista” koji, dok “rješava problem”, dobiva pristup povjerljivim informacijama. Cilj je postignut.

Za razliku od konvencionalnog društvenog inženjeringa, obrnuti inženjering je radno intenzivniji, zahtijeva posebna znanja i vještine, a koristi se za utjecaj na širu publiku. Ali učinak koji proizvodi je nevjerojatan - žrtva bez otpora, tj. svojom voljom hakerima otkriva sve svoje karte.

Stoga se bilo koja vrsta društvenog inženjeringa gotovo uvijek koristi sa zlom namjerom. Neki ljudi, naravno, govore o njegovim dobrobitima, ističući da se njime mogu rješavati društveni problemi, održati društvena aktivnost, pa čak i prilagoditi društvene institucije promjenjivim uvjetima. Ali unatoč tome, najuspješnije se koristi za:

• Obmanjivanje ljudi i dobivanje povjerljivih podataka
• Manipuliranje i ucjenjivanje ljudima
• Destabiliziranje rada poduzeća radi njihovog kasnijeg uništenja
• Krađa baze podataka
• Financijska prijevara
• Konkurentna inteligencija

Naravno, to nije moglo proći nezapaženo i pojavile su se metode za suzbijanje društvenog inženjeringa.

Zaštita od socijalnog inženjeringa

Danas velike tvrtke sustavno provode sve vrste testova otpornosti na društveni inženjering. Gotovo nikada, postupci ljudi koji se nađu na udaru društvenih hakera nisu namjerni. Ali to je ono što ih čini opasnima, jer iako je relativno lako obraniti se od vanjske prijetnje, puno je teže obraniti se od unutarnje.

Kako bi se povećala sigurnost, menadžment tvrtke provodi specijaliziranu obuku, prati razinu znanja svojih zaposlenika, a također i sam pokreće internu sabotažu, čime se može utvrditi stupanj spremnosti ljudi na napade društvenih hakera, njihovu reakciju, integritet i poštenje . Tako se “zaražena” pisma mogu slati na e-mail, kontakti se mogu uspostavljati na Skypeu ili društvenim mrežama.

Sama zaštita od društvenog inženjeringa može biti antropogena ili tehnička. U prvom slučaju, skreće se pozornost ljudi na sigurnosna pitanja, prenosi se ozbiljnost ovog problema i poduzimaju se mjere za uvođenje sigurnosnih politika, proučavaju se i provode metode i radnje koje povećavaju zaštitu informacijska podrška. Ali sve to ima jedan nedostatak – sve te metode su pasivne, a mnogi ljudi jednostavno ignoriraju upozorenja.

Što se tiče tehnička zaštita, onda tu spadaju sredstva koja onemogućuju pristup informacijama i njihovo korištenje. S obzirom da su “najpopularniji” napadi društvenih hakera na internetu e-mailovi i poruke, programeri stvaraju poseban softver koji filtrira sve pristigle podatke, a to se odnosi i na privatne poštanski sandučići, te interna pošta. Filtri analiziraju tekstove dolaznih i odlaznih poruka. Ali tu postoji poteškoća - ovo softver opterećuje poslužitelje, što može usporiti i poremetiti rad sustava. Osim toga, nemoguće je predvidjeti sve varijante pisanja potencijalno opasnih poruka. Međutim, tehnologija se poboljšava.

A ako govorimo konkretno o sredstvima koja sprječavaju korištenje dobivenih podataka, ona se dijele na:

• Blokiranje korištenja informacija svugdje osim na radnom mjestu korisnika (podaci za autentifikaciju vezani su uz elektronički potpisi I serijski brojevi PC komponente, fizičke i IP adrese)
• Blokiranje automatske upotrebe informacija (ovo uključuje poznati Captcha, gdje je lozinka slika ili njen iskrivljeni dio)

Obje ove metode blokiraju mogućnost automatizacije i pomiču ravnotežu između vrijednosti informacija i rada na njihovom dobivanju prema poslu. Stoga, čak i uz sve podatke koje su dali nesumnjivi korisnici, društveni hakeri suočavaju se s ozbiljnim poteškoćama u njihovoj praktičnoj upotrebi.

A kako bismo se zaštitili od društvenog inženjeringa, savjetujemo svakoj običnoj osobi da jednostavno ostane na oprezu. Kada primite pismo e-poštom, pažljivo pročitajte tekst i linkove, pokušajte razumjeti što je u pismu, od koga je stiglo i zašto. Ne zaboravite koristiti antivirusni softver. Ako nepoznati ljudi zovu s nepoznatog broja, nikada ne dajte svoje osobne podatke, posebno one koji se odnose na vaše financije.

Usput, ovaj video, iako kratko, ali zanimljivo, govori o tome kako se zaštititi od društvenog inženjeringa.

I na kraju, želimo vam predstaviti neke od knjiga o socijalnom inženjeringu, pa tako i kao području sociološkog znanja, kako biste se, ako želite, mogli detaljnije upoznati s temom.

Ove knjige sadrže mnoge praktične preporuke o tome kako svladati uobičajene manipulativne tehnike i tehnike. Upoznat ćete i najučinkovitije metode socijalnog inženjeringa te naučiti kako ih prepoznati i zaštititi se od napada.

Knjige o društvenom inženjeringu:

• Kevin Mitnick "Duh u mreži"
• Kevin Mitnick, William Simon "Umijeće invazije"
• Kevin Mitnick, William Simon "Umijeće obmane"
• Chris Kaspersky "Tajno oružje društvenog inženjeringa"

Zapamtite da svatko može ovladati umijećem upravljanja postupcima drugih, ali te se vještine moraju koristiti za dobrobit ljudi. Ponekad je voditi osobu i gurati je prema odlukama koje su nama korisne korisno i zgodno. Ali mnogo je važnije znati identificirati društvene hakere i prevarante kako ne bi postali njihova žrtva; puno je važnije ne biti sam jedan od njih. Želimo vam mudrost i korisno životno iskustvo!

Tipično, društveni inženjering je skup tehnika čiji je cilj natjerati osobu da se ponaša na određeni način jer je to nekome potrebno, na primjer, davanje novca, davanje tajnih informacija ili potpisivanje nečega. Da bi se to postiglo, obično je potrebno proučiti ljudski faktor, reakcije ljudi na zahtjeve, pritužbe, izvore stresa itd. Poznavajući stavove i reakcije većine ljudi, nije ih teško natjerati na neke stvari.

Kako je društveni inženjering povezan s prijevarom i kako se koristi za dobivanje zabranjenih informacija.

Pogledajmo društveni inženjering iz ove dvije perspektive. Možda ste primijetili da su u gospodarskom vremenu prevaranti uvijek posebno aktivni. U naše doba tehnologije, oni postaju sve spremniji i uvježbaniji. Oni koriste psihologiju, društveni inženjering, IT tehnologiju i mnoga druga posebna znanja koja pomažu u upravljanju ljudskim postupcima. Naravno, neće biti dovoljno vremena za proučavanje svih njihovih trikova, ali je ipak korisno obratiti pažnju na osnovne principe trikova i tehnologija koje koriste kako ne biste upali u zamke koje postavljaju.

Kakvi će ljudi najvjerojatnije postati? Kako biti žrtva ljudi i okolnosti? ? Što je s nama? O tome i više smo već pisali na našim stranicama. Sada ćemo ukratko govoriti o posebnoj znanosti - znanje iz koje koriste "napredni" prevaranti - društveni inženjeri.

Društveni inženjering kao znanost.

Socijalni inženjering je prilično mlada znanost koja uključuje poznavanje psihologije ljudi i njihova ponašanja u kritičnim situacijama. Društveni inženjering možemo nazvati i “kasicom ljudskih pogrešaka”, budući da ova znanost apsorbira sve što je vezano uz ljudski faktor i njegovu upotrebu.

Takvo znanje omogućuje nam predviđanje mogućih opcija za ljudsko ponašanje i dizajn raznim situacijama kako bi se izazvala određena reakcija. Reakcija koju izaziva prevarant - društveni inženjer - dovodi osobu do onih radnji koje su izvorno bile cilj prevaranta. Što bi mogao biti njegov cilj? Naravno, da biste saznali informacije ili prodrli na tuđi teritorij ili jednostavno došli do svog novca. U tom smislu, društveni inženjeri se također nazivaju društvenim hakerima.

Kakva je osoba ovaj društveni inženjer?

Riječ je o osobi koja posjeduje i vješto koristi znanja iz socijalnog inženjeringa. Ovo je “psiholog” (ne profesionalac, naravno), koji uzima u obzir komplekse, slabosti, predrasude, navike, reflekse itd. od ljudi.

Kevin Mitnick, koji je nekada bio društveni haker, a sada savjetuje o sigurnosnim pitanjima, rekao je da je puno lakše izmamiti potrebne informacije uz pomoć trikova nego izmišljati razne programe za provalu.

Kako se zaštititi od “društvenih hakera”?

To može biti vrlo teško, gotovo nemoguće, ako ne znate ništa o njima. A, čak i znajući njihove trikove, možete pasti na mamac, jer oni su stručnjaci za vaše spontane reakcije, reflekse, automatizme i tako dalje. Budi oprezan!

Tako je nedavno, u siječnju ove godine, internet doslovno bio pun sljedećih vijesti:

Računica hakera bila je jednostavna - primatelji mailing liste ispunit će zahtjev prevaranata u ime uprave kako bi izbjegli opomenu ove uprave. Tako se i dogodilo. Prema uputama društvenih hakera, bankarski službenici belgijske banke Crelan izvršili su radnje koje su zahtijevali prevaranti bez dodatnih provjera. E-poruka hakera sadržavala je zahtjev za hitno dovršenje transakcije. Izgledalo je prilično uvjerljivo, jer su kriminalci koristili kopije logotipa tvrtki i poznatih domena.

Psiholozi su provodili slične eksperimente prije situacije s belgijskom bankom. Tako su istraživači iz Engleske poslali zaposlenike velika korporacija poruke u ime Administrator sustava njihove tvrtke. Poruka je sadržavala zahtjev za slanje lozinki u vezi s planiranom provjerom opreme. Rezultat je bio tužan - većina zaposlenika (75%) slijedila je upute napadača.

Kao što vidimo, ljudske radnje se vrlo lako programiraju. Štoviše, prilično pametni, obrazovani i visoko inteligentni ljudi mogu pasti na prevarante. Nema tu ništa čudno, s obzirom na to da postoje i drugi ljudi koji proučavaju postupke, automatizme i reakcije raznoraznih ljudi. Uključujući i one vrlo pametne.

PRIMJERI korištenja metoda društvenog inženjeringa

Jedan socijalni inženjer opisuje kako se ušuljao u mjesto sa zatvoreni pristup korištenje stereotipa razmišljanja ljudi. I zaštitari su ljudi! Taj čovjek (socijalni inženjer) promatrao je kakve bedževe imaju zaposlenici željene tvrtke, napravio si je isti, isprintao na računalu i izašao na stražnja vrata zajedno sa zaposlenicima ustanove.

Naravno, nije imao čip za vrata, ali je koristio metodu "vlaka". Njegova suština je jednostavna. Kada se skupina ljudi skupi ispred vrata, ona se ne zatvore do kraja i oni koji idu ispred drže vrata onima koji slijede. Uobičajena ljubaznost. Uostalom, po bedžu vide da se radi i o djelatniku. Čuvari vide hrpu ljudi s istim značkama i ne obraćaju puno pozornosti na njih. Štoviše, na zidu velikim slovima nije čak ni najava, već plakat koji upozorava da svi moraju proći jedan po jedan. Ne možete pridržati vrata nekome tko hoda iza vas opća sigurnost! Ali hoće li to učiniti grupa prijatelja? Tko će iz ove tvrtke nekome od ljudi reći: “Molim te izađi i vrati se sa svojim ključem (čipom) jer te ne poznajem.” Vjerojatnost da se to dogodi vrlo je mala. Ali ovako to trebate učiniti.

Tako ispada da zaposlenici sa zavidnom dosljednošću krše sigurnosne zahtjeve, a prevaranti jednako dosljedno koriste gore opisane automatizme. Uvijek će biti ljudi koji će slijediti trag prevaranata, koliko god ih upozoravali i poučavali. Društveni inženjeri to dobro znaju i stoga ne brinu previše o tome koji će trik smisliti. Jednostavno koriste iste metode. Uostalom, ljudski automatizmi se ne mijenjaju puno, zato su automatizmi. Budite originalni. Ne razmišljajte stereotipno! Uvijek budite oprezni s neočekivanim ili zastrašujućim porukama. Obratite pozornost na upozorenja.

Najčešće korištene tehnike socijalnog inženjeringa temelje se na ljudskim slabostima kao što su sažaljenje, strah i želja za brzim bogaćenjem. Ako govorimo o sažaljenju, hakeri najviše koriste ovu osobinu ljudi različiti putevi. Na primjer, šalju poruke telefonom ili putem društvenih mreža tražeći pomoć u ime vaših prijatelja ili rodbine.

Osnovne metode i tehnike društvenih inženjera / društveni inženjering

Sve metode socijalnog inženjeringa temelje se na ljudskom faktoru, odnosno na karakteristikama ljudske psihe: prepuštanje panici, isto reagiranje u određenim okolnostima, gubitak budnosti, umor, suosjećanje, doživljavanje straha i još mnogo toga. . Kao primjer, navest ćemo samo nekoliko tehnika, a vi pokušajte sami utvrditi koju mentalnu osobinu je socijalni inženjer ovdje koristio:

1. 1. Jedan od zapleta mogao bi biti ovakav: prijatelj je izvan grada, sada se ne može nazvati - to je ozbiljan problem, novac je hitno potreban. Traži da ga pošaljete na broj računa ili bankovne kartice. Iako neće svi reagirati pozitivno, već samo određeni postotak ispitanika, haker zna da će se to dogoditi. To mu ne smeta, jer poruke koje je on programirao šalje stroj. Ima onih koji hitno pomažu bez provjere odakle dolaze ti SMS-ovi. Ipak je prijatelj u nevolji.. A zbog hitnosti mnogi ne provjeravaju izvor.
   2. S istom računicom prije nekog vremena mnoge su žene dobile SMS poruke od sina koji je u nevolji. On sam se, naravno, ne može javiti dok mu majka ne pošalje novac za rješavanje ovog problema. I poslale majke, ne zna se ni kuda ni kome. Bez duple provjere bilo čega (kao što je moj sin tražio).
   3. Također, u ime prijatelja kradu osobne podatke i šalju zlonamjerne poveznice s komentarima. Na primjer: “hej, želiš li se smijati? Pratite ovaj link i možete poslušati bilo koji telefonski razgovor (ili SMS dopisivanje) koji vas zanima.” Ili tako nešto, glavno da klikneš na link.

U arsenalu društvenih inženjera postoji i opcija kada "rade" za kupca. Mnogi korisnici stavljaju svoje artikle na prodaju, na primjer na Avitu. Takav “kupac” traži nešto skuplje (automobile, kuće itd.), kontaktira pravog prodavača i izjavljuje da želi kupiti vašu skupu stvar. Naravno, prodavač je zadovoljan. Vau, kako brzo, nisam imao vremena pokazati kako se sve prodalo. U mislima već računa svoje prihode. Istina, kupac žalosno javlja da će artikl moći preuzeti tek za dva-tri dana. Pa, kako ne biste prodali ovu vrijednu stvar nekom drugom, on traži uklanjanje oglasa iz Avita i, da jamči, spreman je odmah danas platiti pola ili čak 75% cijene. “Naravno!”, mislite, “Sa zadovoljstvom! Neka plati!” “Kupac” pita kojom karticom može prebaciti novac vama. I kažeš ovom strancu sve podatke o kartici. Samo umjesto da dobijete njegov novac, vi gubite svu svoju ušteđevinu. Također vas može zamoliti da mu kažete kod koji će vam biti poslan na telefon.

Ako govorimo o takvoj osobini kao što je želja da se brzo i bez puno truda obogatite, onda je to porok koji društveni inženjeri mogu izmišljati i izmišljati jako dugo. Uostalom, ljudi sami traže te "avanture" i čak su spremni stati na iste grablje. Zato se prevaranti i dalje pretvaraju: onda poznata marka davanje ludih darova; zatim tvrtka koja obećava primamljive popuste; zatim banka koja nudi uzimanje kredita uz mizernu kamatu; zatim poslodavca koji će vam pomoći da zaradite laku zaradu na internetu ili negdje drugdje... Samo, da biste nešto dobili od ovoga, morate prvo dati podatke o kartici... Uostalom, novi poslodavac ili dobra banka trebaju prebaciti novac vam negdje... Dali su podatke o kartici nepoznatoj osobi, možete se pozdraviti sa sadržajem.

Zašto trebate znati za ovo?

Nedavno je interes za društveni inženjering postao vrlo velik. To je vidljivo iz popularnosti ovog zahtjeva u Internetu. To znači da će broj hakera i potražnja za programima za zaštitu od njihovih napada samo rasti. I ne samo hakeri, prevaranti bilo koje vrste koriste metode društvenog inženjeringa za svoje potrebe.

Kako biste bili informirani, a time i naoružani, možete pročitati literaturu na ovu temu:

Društveni inženjering i društveni hakeri." Maksim Kuznjecov, Igor Simdjanov.

Budi oprezan! Ne dajte se prevariti.

Socijalni inženjering koristi znanje psihologije i ljudskih faktora. Budite izuzetno oprezni, društveni hakeri vas jako dobro poznaju.

Također bi bilo zanimljivo znati jeste li znali za društveni inženjering i lukave tehnike koje koriste oni ljudi koji stoje iza njega?

S poštovanjem, web stranica Ako želite primati nove članke, pretplatite se na naš newsletter.

Socijalni inženjering- metoda dobivanja potrebnog pristupa informacijama, koja se temelji na karakteristikama ljudske psihologije. Glavni cilj društvenog inženjeringa je dobiti pristup povjerljivim informacijama, lozinkama, bankovnim podacima i drugim zaštićenim sustavima. Iako se pojam društveni inženjering pojavio ne tako davno, metoda dobivanja informacija na ovaj način koristi se već dosta dugo. Zaposlenici CIA-e i KGB-a koji se žele dokopati nekih državnih tajni, političari i kandidati za Sabor, a i mi sami, ako želimo nešto dobiti, često i nesvjesni toga, koristimo se metodama društvenog inženjeringa.

Kako biste se zaštitili od učinaka društvenog inženjeringa, morate razumjeti kako on funkcionira. Pogledajmo glavne vrste društvenog inženjeringa i metode zaštite od njih.

Pretekstiranje- ovo je skup radnji razrađenih prema određenom, unaprijed sastavljenom scenariju, kao rezultat kojih žrtva može dati neke informacije ili izvršiti određenu radnju. Češće ovaj tip Napad uključuje korištenje glasovnih sredstava kao što su Skype, telefon itd.

Da bi koristio ovu tehniku, napadač inicijalno mora imati neke podatke o žrtvi (ime zaposlenika; pozicija; naziv projekata na kojima radi; datum rođenja). Napadač u početku koristi stvarne upite s imenima zaposlenika tvrtke i nakon što zadobije povjerenje dolazi do informacija koje su mu potrebne.

Krađa identiteta– tehnika internetske prijevare s ciljem dobivanja povjerljivih podataka o korisniku – autorizacijskih podataka različitih sustava. Glavna vrsta phishing napada je lažna e-pošta poslana žrtvi koja izgleda kao službeno pismo od sustav plaćanja ili banka. Pismo sadrži obrazac za unos osobnih podataka (PIN kodovi, prijava i lozinka i dr.) ili poveznicu na web stranicu na kojoj se nalazi takav obrazac. Razlozi povjerenja žrtve u takve stranice mogu biti različiti: blokiranje računa, kvar sustava, gubitak podataka itd.

trojanski konj– Ova tehnika temelji se na znatiželji, strahu ili drugim emocijama korisnika. Napadač šalje pismo žrtvi putem e-pošte, čiji privitak sadrži antivirusni "update", ključ za osvajanje novca ili inkriminirajući dokaz o zaposleniku. Naime, privitak sadrži maliciozni program, koji će, nakon što ga korisnik pokrene na svom računalu, koristiti napadaču za prikupljanje ili promjenu podataka.

Što o čemu(quid pro quo) – ova tehnika uključuje kontaktiranje napadača s korisnikom putem e-pošte ili službenog telefona. Napadač se može predstaviti, na primjer, kao zaposlenik tehničke podrške i obavijestiti o pojavi tehničkih problema na radnom mjestu. Nadalje obavještava o potrebi njihovog uklanjanja. U procesu "rješavanja" takvog problema, napadač tjera žrtvu da poduzme radnje koje napadaču omogućuju izvršavanje određenih naredbi ili instaliranje potrebnog softvera na žrtvino računalo.

Cestovna jabuka– ova metoda je prilagodba trojanskog konja i sastoji se od korištenja fizičkih medija (CD-ovi, flash diskovi). Napadač takve medije najčešće postavlja na javna mjesta u krugu poduzeća (parkirališta, kantine, radna mjesta zaposlenika, toaleti). Kako bi se zaposlenik zainteresirao za ovaj medij, napadač može na medij staviti logo tvrtke i neku vrstu potpisa. Na primjer, "podaci o prodaji", "plaće zaposlenika", "porezno izvješće" i drugo.

Obrnuti društveni inženjering- ova vrsta napada ima za cilj stvoriti situaciju u kojoj će žrtva biti prisiljena obratiti se napadaču za „pomoć“. Na primjer, napadač može poslati pismo s telefonskim brojevima i kontaktima "službe podrške" i nakon nekog vremena stvoriti reverzibilne probleme u žrtvinom računalu. U tom slučaju korisnik će sam nazvati ili poslati e-mail napadaču, au procesu “rješavanja” problema napadač će moći doći do podataka koji su mu potrebni.

Slika 1 – Glavne vrste društvenog inženjeringa

Protumjere

Glavni način zaštite od metoda socijalnog inženjeringa je obuka zaposlenika. Sve zaposlenike tvrtke treba upozoriti na opasnosti od otkrivanja osobnih podataka i povjerljivih informacija tvrtke, kao i na načine sprječavanja curenja podataka. Osim toga, svaki zaposlenik tvrtke, ovisno o odjelu i radnom mjestu, trebao bi imati upute kako i o kojim temama se može komunicirati sa sugovornikom, koje informacije se mogu dati službi tehničke podrške, kako i što zaposlenik tvrtke mora komunicirati primiti tu informaciju ili drugu informaciju od drugog zaposlenika.

Osim toga, mogu se razlikovati sljedeća pravila:

• Korisničke vjerodajnice vlasništvo su tvrtke.
Na dan prijema u radni odnos potrebno je objasniti svim zaposlenicima da se logini i lozinke koje su im izdane ne mogu koristiti u druge svrhe (na web stranicama, za osobnu poštu i sl.), prenositi trećim osobama ili drugim zaposlenicima društva, koji na to nemaju pravo. Na primjer, vrlo često zaposlenik prilikom odlaska na godišnji odmor može prenijeti svoje autorizacijske podatke svom kolegi kako bi ovaj mogao obavljati neki posao ili pregledavati određene podatke za vrijeme njegove odsutnosti.
• Potrebno je provoditi uvodne i redovite edukacije zaposlenika poduzeća s ciljem povećanja znanja o informacijskoj sigurnosti.
Provođenje takvih brifinga omogućit će zaposlenicima tvrtke da imaju ažurne informacije o postojećim metodama društvenog inženjeringa, a također da ne zaborave osnovna pravila za sigurnost informacija.
• Obavezno je posjedovanje sigurnosnih propisa, kao i uputa kojima korisnik uvijek mora imati pristup. Upute bi trebale opisati postupke zaposlenika ako se pojavi određena situacija.
Na primjer, propisi mogu odrediti što treba učiniti i kamo ići ako treća strana pokuša zatražiti povjerljive podatke ili vjerodajnice zaposlenika. Takve radnje omogućit će vam da identificirate napadača i spriječite curenje informacija.
• Računala zaposlenika trebaju uvijek imati ažuran antivirusni softver.
Vatrozid mora biti instaliran i na računala zaposlenika.
• U korporativna mreža tvrtka treba koristiti sustave za otkrivanje i prevenciju napada.
Također je potrebno koristiti sustave za sprječavanje curenja povjerljivih informacija. Sve to će smanjiti rizik od fitičkih napada.
• Svi djelatnici moraju dobiti upute o ponašanju prema posjetiteljima.
Potrebna su jasna pravila za utvrđivanje identiteta posjetitelja i njegovu pratnju. Posjetitelji uvijek moraju biti u pratnji jednog od zaposlenika tvrtke. Ako zaposlenik susretne njemu nepoznatog posjetitelja, dužan se u ispravnom obliku raspitati s kojom se svrhom posjetitelj nalazi u ovoj prostoriji i kamo se prati. Po potrebi zaposlenik mora prijaviti nepoznate posjetitelje zaštitarskoj službi.
• Potrebno je maksimalno ograničiti prava korisnika u sustavu.
Na primjer, možete ograničiti pristup web stranicama i zabraniti korištenje prijenosni medij. Uostalom, ako zaposlenik ne može doći do web-mjesta za krađu identiteta ili koristiti flash pogon s " trojanski konj”, tada također neće moći izgubiti osobne podatke.

Na temelju svega navedenog možemo zaključiti: glavni način zaštite od socijalnog inženjeringa je obuka zaposlenika. Potrebno je znati i zapamtiti da neznanje nije izgovor. Svaki korisnik sustava trebao bi biti svjestan opasnosti od otkrivanja povjerljivih informacija i znati načine kako spriječiti curenje. Upozoren je unaprijed naoružan!

Metode društvenog inženjeringa – upravo o tome će biti riječi u ovom članku, kao io svemu vezanom uz manipulaciju ljudima, phishing i krađu baza podataka klijenata i još mnogo toga. Andrey Serikov nam je ljubazno ustupio podatke čiji je on autor, na čemu mu se zahvaljujemo.

A. SERIKOV

A.B.BOROVSKY

INFORMACIJSKE TEHNOLOGIJE DRUŠTVENOG HAKIRANJA

Uvod

Želja čovječanstva da postigne savršeno ispunjavanje dodijeljenih zadataka poslužila je razvoju moderne računalne tehnologije, a pokušaji da se zadovolje sukobljeni zahtjevi ljudi doveli su do razvoja softverskih proizvoda. Podaci softverski proizvodi ne samo podrška performansama hardver, ali i njime upravljati.

Razvoj znanja o čovjeku i računalu doveo je do pojave fundamentalno nove vrste sustava - "čovjeka-stroja", gdje se osoba može pozicionirati kao hardver, stabilan, funkcionalan, multitasking operacijski sustav nazvan "psiha".

Predmet rada je razmatranje socijalnog hakiranja kao grane društvenog programiranja, gdje se osobom manipulira uz pomoć ljudskih slabosti, predrasuda i stereotipa u društvenom inženjeringu.

Društveni inženjering i njegove metode

Metode manipulacije ljudima poznate su odavno, uglavnom su u društveni inženjering stigle iz arsenala raznih obavještajnih službi.

Prvi poznati slučaj konkurentske inteligencije datira iz 6. stoljeća prije Krista i dogodio se u Kini, kada su Kinezi izgubili tajnu izrade svile, koju su na prijevaru ukrali rimski špijuni.

Društveni inženjering je znanost koja se definira kao skup metoda za manipuliranje ljudskim ponašanjem, temeljen na korištenju slabosti ljudskog faktora, bez upotrebe tehničkih sredstava.

Prema mnogim stručnjacima, najveću prijetnju informacijskoj sigurnosti predstavljaju metode socijalnog inženjeringa, već samo zato što uporaba društvenog hakiranja ne zahtijeva značajna financijska ulaganja i temeljito znanje računalna tehnologija, a također i zato što ljudi imaju određene sklonosti u ponašanju koje se mogu koristiti za opreznu manipulaciju.

I koliko god se poboljšali tehnički sustavi zaštite, ljudi će ostati ljudi sa svojim slabostima, predrasudama, stereotipima, uz pomoć kojih se odvija upravljanje. Postavljanje ljudskog “sigurnosnog programa” je najteži zadatak i ne dovodi uvijek do zajamčenih rezultata, budući da se ovaj filter mora stalno prilagođavati. Ovdje glavni moto svih sigurnosnih stručnjaka zvuči relevantnije nego ikad: “Sigurnost je proces, a ne rezultat.”

Područja primjene socijalnog inženjeringa:

1. opća destabilizacija rada organizacije radi smanjenja njezina utjecaja i mogućnosti naknadne potpune destrukcije organizacije;
2. financijske prijevare u organizacijama;
3. phishing i druge metode krađe lozinki radi pristupa osobnim bankovnim podacima pojedinaca;
4. krađa baza podataka klijenata;
5. konkurentna inteligencija;
6. opće informacije o organizaciji, njezinim jakim i slabim stranama, s ciljem naknadnog uništenja ove organizacije na ovaj ili onaj način (često se koristi za napadače);
7. informacije o najperspektivnijim zaposlenicima s ciljem da ih dodatno „privučete“ u svoju organizaciju;

Društveno programiranje i društveno hakiranje

Društveno programiranje možemo nazvati primijenjenom disciplinom koja se bavi ciljanim utjecajem na osobu ili skupinu ljudi kako bi se njihovo ponašanje promijenilo ili održalo u željenom smjeru. Stoga si društveni programer postavlja cilj: ovladati umijećem upravljanja ljudima. Osnovni koncept društvenog programiranja je da su postupci mnogih ljudi i njihove reakcije na jedan ili drugi vanjski utjecaj u mnogim slučajevima predvidljivi.

Metode društvenog programiranja su atraktivne jer ili nitko nikada neće znati za njih, ili čak i ako netko nešto nasluti, vrlo je teško takvu figuru privesti pravdi, au nekim slučajevima je moguće "programirati" ponašanje ljudi, a jedna osoba i velika grupa. Ove prilike spadaju u kategoriju društvenog hakiranja upravo zato što u svima njima ljudi provode tuđu volju, kao da se pokoravaju nekom “programu” kojeg je napisao društveni haker.

Društveno hakiranje kao mogućnost hakiranja osobe i programiranja na obvezu potrebne radnje dolazi iz društvenog programiranja - primijenjene discipline društvenog inženjeringa, gdje stručnjaci za ovo područje - društveni hakeri - koriste tehnike psihološkog utjecaja i djelovanja posuđene iz arsenala obavještajnih službi.

Društveno hakiranje se u većini slučajeva koristi kada se radi o napadu na osobu koja je dio računalnog sustava. Računalni sustav, koji je hakiran, ne postoji sam po sebi. Sadrži važnu komponentu - osobu. A da bi dobio informacije, društveni haker mora hakirati osobu koja radi s računalom. U većini slučajeva to je lakše učiniti nego provaliti u žrtvino računalo u pokušaju da saznate lozinku.

Tipični algoritam utjecaja u društvenom hakiranju:

Svi napadi društvenih hakera uklapaju se u jednu prilično jednostavnu shemu:

1. formulira se svrha utjecaja na određeni objekt;
2. informacije o objektu prikupljaju se kako bi se otkrile najprikladnije mete utjecaja;
3. Na temelju prikupljenih informacija provodi se faza koju psiholozi nazivaju privlačnost. Atrakcija (od latinskog Attrahere - privući, privući) je stvaranje potrebnih uvjeta za utjecaj na objekt;
4. prisiljavanje društvenog hakera na akciju;

Prisila se ostvaruje izvođenjem prethodnih faza, odnosno nakon ostvarene privlačnosti žrtva sama poduzima radnje potrebne socijalnom inženjeru.

Na temelju prikupljenih informacija, društveni hakeri prilično precizno predviđaju psiho- i sociotip žrtve, identificirajući ne samo potrebe za hranom, seksom itd., već i potrebu za ljubavlju, potrebu za novcem, potrebu za utjehom itd. ., itd.

I doista, zašto pokušavati prodrijeti u ovu ili onu tvrtku, hakirati računala, bankomate, organizirati složene kombinacije, kad sve možete lakše: natjerati osobu da se zaljubi u vas, koja će svojom voljom prebaciti novac na određeni račun ili podijeliti potrebne informacije svaki put?

Na temelju činjenice da su postupci ljudi predvidljivi i također podložni određenim zakonima, društveni hakeri i društveni programeri koriste kako izvorne više koraka, tako i jednostavne pozitivne i negativne tehnike temeljene na psihologiji ljudske svijesti, programima ponašanja, vibracijama unutarnjih organa, logičnim razmišljanje, mašta, pamćenje, pažnja. Ove tehnike uključuju:

Wood generator - generira oscilacije iste frekvencije kao i frekvencija oscilacija unutarnjih organa, nakon čega se opaža učinak rezonancije, zbog čega ljudi počinju osjećati jaku nelagodu i stanje panike;

utjecaj na geografiju gomile - za mirno raspuštanje izrazito opasnih agresivnih, velike skupine od ljudi;

visokofrekventni i niskofrekventni zvukovi - za izazivanje panike i njezin obrnuti učinak, kao i druge manipulacije;

program društvene imitacije - osoba utvrđuje ispravnost postupaka otkrivajući koje postupke drugi ljudi smatraju ispravnima;

klakerski program - (temeljen na društvenoj imitaciji) organizacija potrebne reakcije publike;

formiranje redova - (na temelju društvenog oponašanja) jednostavan, ali učinkovit reklamni potez;

program uzajamne pomoći - osoba nastoji uzvratiti dobrotu onim ljudima koji su joj učinili neku dobrotu. Želja da se ispuni ovaj program često nadilazi svaki razum;

Društveno hakiranje na internetu

Pojavom i razvojem interneta - virtualnog okruženja koje se sastoji od ljudi i njihovih interakcija, proširilo se okruženje za manipulaciju osobom radi dobivanja potrebnih informacija i obavljanja potrebnih radnji. U današnje vrijeme Internet je sredstvo svjetskog emitiranja, medij za suradnju, komunikaciju i pokriva cijeli svijet. Upravo to koriste društveni inženjeri za postizanje svojih ciljeva.

Načini manipulacije osobom putem interneta:

U moderni svijet vlasnici gotovo svake tvrtke već su shvatili da je internet vrlo učinkovito i zgodno sredstvo za širenje njihovog poslovanja i da mu je glavna zadaća povećati profit cijele tvrtke. Poznato je da se bez informacija kojima je cilj privući pozornost na željeni objekt, izazvati ili održati interes za njega i promovirati ga na tržištu, koristi oglašavanje. Samo, zbog činjenice da je tržište oglašavanja odavno podijeljeno, većina vrsta oglašavanja za većinu poduzetnika je bačen novac. Internet oglašavanje nije samo jedna od vrsta oglašavanja u medijima, ono je nešto više, budući da uz pomoć internet oglašavanja na web stranicu organizacije dolaze ljudi zainteresirani za suradnju.

Internet oglašavanje, za razliku od oglašavanja u medijima, ima puno više mogućnosti i parametara za upravljanje oglašivačkom tvrtkom. Najvažniji pokazatelj internetskog oglašavanja je taj Naknade za oglašavanje na internetu terete se samo kada se prebacite zainteresiranog korisnika putem oglasnog linka, što naravno oglašavanje na Internetu čini učinkovitijim i jeftinijim od oglašavanja u medijima. Dakle oglašavanjem na televiziji ili in tiskane publikacije, plaćaju ga u cijelosti i samo čekaju potencijalne klijente, no klijenti se mogu odazvati na oglašavanje ili ne - sve ovisi o kvaliteti produkcije i prezentacije oglašavanja na televiziji ili novinama, međutim, proračun za oglašavanje je već potrošen i ako oglašavanje nije uspjelo, uzalud je izgubljeno. Za razliku od takvog medijskog oglašavanja, internetsko oglašavanje ima mogućnost praćenja odgovora publike i upravljanja internetskim oglašavanjem prije nego što se potroši proračun; štoviše, internetsko oglašavanje može se obustaviti kada se potražnja za proizvodima poveća i nastaviti kada potražnja počne padati.

Druga metoda utjecaja je takozvano “ubijanje foruma” gdje se uz pomoć društvenog programiranja stvara antireklama za određeni projekt. Društveni programer u u ovom slučaju, uz pomoć očiglednih provokativnih radnji, uništava forum koristeći nekoliko pseudonima ( nadimak) stvoriti oko sebe anti-lidersku skupinu i privući stalne posjetitelje na projekt koji su nezadovoljni ponašanjem administracije. Na kraju takvih događanja postaje nemoguće promovirati proizvode ili ideje na forumu. To je ono za što je forum izvorno razvijen.

Metode utjecaja na osobu putem interneta u svrhu društvenog inženjeringa:

Phishing je vrsta internetske prijevare s ciljem dobivanja pristupa povjerljivim korisničkim podacima – prijavama i lozinkama. Ova operacija se postiže masovnim slanjem elektronička pošta u ime popularnih brendova, kao i osobne poruke unutar razne usluge(Rambler), banke ili unutra društvene mreže(Facebook). Pismo često sadrži poveznicu na web stranicu koja se izvana ne razlikuje od prave. Nakon što korisnik dospijeva na lažnu stranicu, društveni inženjeri različitim tehnikama potiču korisnika da na stranici unese svoju login i lozinku kojom pristupa određenoj stranici, čime dolazi do računa i bankovnih računa.

Opasnija vrsta prijevare od phishinga je takozvani pharming.

Pharming je mehanizam za tajno preusmjeravanje korisnika na stranice za krađu identiteta. Društveni inženjer distribuira posebne poruke računalima korisnika. malware, koji nakon pokretanja na računalu preusmjeravaju zahtjeve s potrebnih stranica na lažne. Dakle, napad je visoko tajan, a sudjelovanje korisnika je minimalizirano - dovoljno je pričekati dok korisnik ne odluči posjetiti stranice koje zanimaju društvenog inženjera.

Zaključak

Društveni inženjering je znanost proizašla iz sociologije i tvrdi da je tijelo znanja koje vodi, sređuje i optimizira proces stvaranja, modernizacije i reprodukcije novih („umjetnih“) društvenih stvarnosti. Ona na određeni način “zaokružuje” sociološku znanost, zaokružuje je u fazi pretvaranja znanstvenih spoznaja u modele, projekte i dizajne društvenih institucija, vrijednosti, normi, algoritama djelovanja, odnosa, ponašanja itd.

Unatoč činjenici da je društveni inženjering relativno mlada znanost, ono nanosi veliku štetu procesima koji se odvijaju u društvu.

Najjednostavnije metode zaštite od djelovanja ove destruktivne znanosti su:

Skretanje pozornosti ljudi na sigurnosna pitanja.

Korisnici koji shvaćaju ozbiljnost problema i prihvaćaju sigurnosnu politiku sustava.

Književnost

1. R. Petersen Linux: Kompletan vodič: po. s engleskog — 3. izd. - K.: BHV Publishing Group, 2000. – 800 str.

2. Od Grodnev Internet u vašem domu. - M.: “RIPOL CLASSIC”, 2001. -480 str.

3. M. V. Kuznetsov Društveni inženjering i društveno hakiranje. St. Petersburg: BHV-Petersburg, 2007. - 368 str.: ilustr.