Ijtimoiy muhandislik. Ijtimoiy muhandislik

Uni yo'qotmang. Obuna bo'ling va pochtangizdagi maqolaga havolani oling.

Kompyuterlar paydo bo'lgandan va Internet rivoji boshlanganidan beri dasturchilar kompyuter xavfsizligini ta'minlash uchun bor kuchlarini sarfladilar. Ammo bugungi kunda ham hech kim bu 100% ga erisha olmadi. Biroq, tasavvur qilaylik, bu natijaga hali ham eng kuchli kriptografiya, kuchaytirilgan xavfsizlik protokollari, ishonchli dasturiy ta'minot va boshqa xavfsizlik elementlari tufayli erishiladi. Natijada, biz mutlaqo olamiz xavfsiz tarmoq, va biz unda xavfsiz ishlashimiz mumkin.

"Mukammal! - siz aytasiz, - bu sumkada! ”, Lekin siz xato qilasiz, chunki bu etarli emas. Nega? Chunki har qanday kompyuter tizimidan foyda faqat foydalanuvchilar ishtirokida olinishi mumkin, ya'ni. odamlarning. Va aynan kompyuter va odam o'rtasidagi o'zaro ta'sir jiddiy xavf tug'diradi va inson ko'pincha xavfsizlik choralari zanjiridagi eng zaif bo'g'in bo'lib chiqadi. Bundan tashqari, uning o'zi xavfsizlikning samarasiz bo'lishiga sababchi.

Axborot asrida odamlarni manipulyatsiya qilish osonroq bo'ldi, chunki Internet va mobil aloqa mavjud bo'lib, ular to'g'ridan-to'g'ri aloqa qilmasdan muloqot qilish imkonini beradi. Hatto tajovuzkorlarga odamlarni o'zlari xohlagan tarzda "ishlash"ga yordam beradigan maxsus usullar mavjud. Ularning kompleksi ijtimoiy muhandislik deb ataladi va ushbu maqolada biz bu nima ekanligini aniqlashga harakat qilamiz.

Ijtimoiy muhandislik: bu nima va u qanday paydo bo'lgan?

Hatto eng murakkab xavfsizlik tizimi ham inson tomonidan boshqariladigan bo'lsa, zaif bo'lishini taxmin qilish oson, ayniqsa bu odam ishonuvchan, sodda va agar bo'lsa. Mashinaga (ShK) hujum qilinganda esa, uning qurboni nafaqat kompyuter, balki uning ortida ishlaydigan odam ham bo'lishi mumkin.

Ijtimoiy muhandislik deb ataladigan ijtimoiy xaker jargonidagi ushbu hujum. An'anaviy shaklda bu telefon qo'ng'irog'iga o'xshaydi, bu erda qo'ng'iroq qiluvchi abonentdan maxfiy ma'lumotlarni, ko'pincha parollarni olishni xohlaydigan boshqa birovga o'xshaydi. Ammo bizning maqolalarimizda biz ijtimoiy muhandislik hodisasini kengroq ma'noda ko'rib chiqamiz, ya'ni u orqali har qanday mumkin bo'lgan psixologik manipulyatsiya usullari, masalan, shantaj, his-tuyg'ular bilan o'ynash, aldash va hokazo.

Ushbu tushunchada ijtimoiy muhandislik - bu texnik vositalardan foydalanmasdan odamlarning harakatlarini boshqarish usuli. Ko'pincha bu turli xil qimmatli ma'lumotlarni olishning noqonuniy usuli sifatida qabul qilinadi. U asosan Internetda qo'llaniladi. Agar siz ijtimoiy muhandislik misollariga qiziqsangiz, bu erda eng ajoyiblaridan biri:

MISOL: Buzg'unchi shaxsdan Internet-bankning shaxsiy hisobi parolini bilmoqchi. U jabrlanuvchiga telefon orqali qo‘ng‘iroq qiladi va o‘zini bank xodimi sifatida tanishtiradi, tashkilot tizimidagi jiddiy texnik nosozliklarni aytib, parol so‘raydi. Ko'proq ishontirish uchun u xodimning xayoliy (yoki oldindan ma'lum bo'lgan haqiqiy) ismini, uning lavozimini va vakolatini (agar kerak bo'lsa) chaqiradi. Jabrlanuvchini ishontirish uchun ijtimoiy xaker o'z hikoyasini ishonchli tafsilotlar bilan to'ldirishi, jabrlanuvchining his-tuyg'ularini o'ynashi mumkin. Tajovuzkor ma'lumotni olgandan so'ng, u hali ham ustalik bilan "mijoz" bilan xayrlashadi va keyin kirish uchun paroldan foydalanadi. Shaxsiy kabinet va mablag'larni o'g'irlash.

G'alati, lekin bizning davrimizda ham shunday o'ljalarga tushib qolgan va ijtimoiy xakerlarga o'zlariga kerak bo'lgan hamma narsani ishonch bilan aytib beradigan odamlar bor. Va ikkinchisining arsenalida ko'plab texnika va texnikalar bo'lishi mumkin. Biz ular haqida ham gaplashamiz, lekin birozdan keyin.

Ijtimoiy muhandislik nisbatan yaqinda paydo bo'lgan fan (yo'nalish). Uning sotsiologik ahamiyati shundan iboratki, u yangi ijtimoiy voqeliklarni yaratish, modernizatsiya qilish va qo‘llash jarayonini boshqaradigan, tizimlashtiradigan va optimallashtiradigan aniq bilimlar bilan ishlaydi. U qaysidir ma’noda sotsiologik bilimlarni to‘ldiradi, ilmiy bilimlarni faoliyat va xulq-atvor algoritmlariga aylantiradi.

Qaysidir shaklda odamlar qadim zamonlardan beri ijtimoiy muhandislikdan foydalanganlar. Masalan, Qadimgi Rimda va Qadimgi Gretsiya suhbatdoshini o'zining "noto'g'ri"ligiga ishontira oladigan juda hurmatli maxsus tayyorlangan ritoriklar. Bu odamlar diplomatik muzokaralarda qatnashib, davlat muammolarini hal qilishdi. Keyinchalik, ijtimoiy muhandislik Markaziy razvedka boshqarmasi va KGB kabi razvedka idoralari tomonidan qabul qilindi, ularning agentlari kimnidir taqlid qilib, davlat sirlarini ochib beradi.

1970-yillarning boshlariga kelib, hazil uchun turli kompaniyalar tinchligini buzadigan telefon bezorilari paydo bo'la boshladi. Ammo vaqt o'tishi bilan kimdir texnik yondashuvdan foydalansangiz, osongina boshqacha bo'lishingiz mumkinligini tushundi muhim ma'lumotlar... Va 70-yillarning oxiriga kelib, sobiq telefon bezorilari odamlarni mohirona boshqarishga, ularning komplekslari va qo'rquvlarini faqat intonatsiyalari bilan aniqlashga qodir bo'lgan professional ijtimoiy muhandislarga aylandilar (ularni ingerlar deb atashdi.

Kompyuterlar paydo bo'lgach, qo'shiqchilarning aksariyati o'z profillarini o'zgartirib, ijtimoiy xakerga aylanishdi. Endilikda "ijtimoiy muhandislik" va "ijtimoiy xakerlar" tushunchalari sinonimdir. Ijtimoiy muhandislikning kuchli rivojlanishi bilan uning yangi turlari paydo bo'la boshladi va usullar arsenali kengaydi.

Ijtimoiy xakerlar odamlarni qanday manipulyatsiya qilishini ko'rish uchun ushbu qisqa videoni tomosha qiling.

Ijtimoiy muhandislik texnikasi

Ijtimoiy muhandislikning barcha haqiqiy misollari shuni ko'rsatadiki, u har qanday sharoitga va har qanday muhitga osongina moslasha oladi va ijtimoiy xakerlar qurbonlari, qoida tariqasida, ularga qarshi qandaydir texnika qo'llanilayotganidan shubhalanmaydilar va bundan ham ko'proq ular buni kim qilishini bilmayman.

Barcha ijtimoiy muhandislik usullari asoslanadi. Bu kognitiv asos deb ataladi, unga ko'ra ijtimoiy muhitdagi odamlar doimo kimgadir ishonishadi. Ijtimoiy muhandislikning asosiy usullari orasida:

  • "Troyan oti"
  • Bahona
  • "Yo'l olma"
  • Fishing
  • Qwi pro quo

Keling, ular haqida ko'proq gapiraylik.

"Troyan oti"

"Troya oti" dan foydalanishda odamning qiziquvchanligi va foyda olish istagidan foydalaniladi. Ijtimoiy xakerlar jabrlanuvchining elektron pochtasiga qiziqarli ilova, masalan, dasturni yangilash, erotik kontentning ekran saqlovchisi, qiziqarli yangiliklar va boshqalarni o'z ichiga olgan xat yuborishadi. Usul foydalanuvchini kompyuterni virus bilan yuqtirishi mumkin bo'lgan faylni bosishga majburlash uchun ishlatiladi. Ko'pincha, natijada ekranda bannerlar paydo bo'ladi, ular faqat ikkita usulda yopilishi mumkin: operatsion tizimni qayta o'rnatish yoki kiber jinoyatchilarga ma'lum miqdorni to'lash.

Bahona

"Oldindan matnli xabar yuborish" atamasi foydalanuvchining oldindan tayyorlangan matn bo'yicha bajaradigan harakatini anglatadi, ya'ni. stsenariy. Maqsad, odamning aniq ma'lumot berish yoki muayyan harakatni amalga oshirishdir. Ko'pgina hollarda, Skype, Viber, ICQ va boshqa messenjerlarga o'xshash hujumlar misollari mavjud bo'lsa-da, telefon qo'ng'iroqlari uchun oldindan matnli xabarlar qo'llaniladi. Ammo usulni amalga oshirish uchun qo'shiqchi yoki xaker nafaqat ob'ektni o'rganishi, balki ob'ektni oldindan o'rganishi kerak - uning nomini, tug'ilgan sanasini, ish joyini, hisobdagi summani va hokazolarni bilib olishi kerak. Bunday tafsilotlar yordamida qo'shiqchi jabrlanuvchining o'ziga bo'lgan ishonchini oshiradi.

"Yo'l olma"

Yo'l olma usuli "Troyan oti" ni moslashtirishdan iborat bo'lib, qandaydir jismoniy ma'lumot tashuvchisidan majburiy foydalanishni talab qiladi. Ijtimoiy xakerlar qusishlari mumkin yuklanadigan USB drayvlar yoki qiziqarli va/yoki noyob kontent bilan qalbakilashtirilgan disklar. Zarur bo'lgan narsa - jabrlanuvchiga ehtiyotkorlik bilan "sayohat olma" ni qo'yish, masalan, to'xtash joyidagi mashinada, liftdagi sumkada va hokazo. Yoki bu "meva" ni jabrlanuvchi ko'rishi va o'zi olishi mumkin bo'lgan joyda qoldirishingiz mumkin.

Fishing

Fishing - maxfiy ma'lumotlarni olishning juda keng tarqalgan usuli. Klassik versiyada bu "rasmiy" elektron pochta (to'lov xizmatidan, bankdan, yuqori martabali shaxsdan va boshqalardan), imzolangan va muhrlangan. Qabul qiluvchidan soxta saytga havola bo'lishi kerak (resursning "rasmiyligi va ishonchliligi" haqida hamma narsa aytilgan) va ba'zi ma'lumotlarni, masalan, to'liq ism, uy manzili, telefon raqami, profillar manzillarini kiritishi kerak. ijtimoiy tarmoqlarda, raqam bank kartasi(va hatto CVV kodi!). Saytga ishonib, ma'lumotlarni kiritgandan so'ng, jabrlanuvchi uni firibgarlarga yuboradi va keyin nima bo'lishini taxmin qilish oson.

Qwi pro quo

Qi Pro Quo usuli turli kompaniyalar tizimlariga zararli dasturlarni kiritish uchun ishlatiladi. Ijtimoiy xakerlar kerakli (ba'zan istalgan) kompaniyaga qo'ng'iroq qiladilar, o'zlarini texnik yordam xodimlari sifatida tanishtiradilar va kompyuter tizimidagi har qanday texnik nosozliklar uchun xodimlarni so'rashadi. Agar nosozliklar bo'lsa, tajovuzkorlar ularni "tuzatish" ni boshlaydilar: ular jabrlanuvchidan ma'lum bir buyruqni kiritishni so'rashadi, shundan so'ng virus dasturini ishga tushirish mumkin bo'ladi.

Ijtimoiy muhandislikning yuqoridagi usullari amalda ko'pincha topiladi, ammo boshqalar ham bor. Bundan tashqari, ijtimoiy muhandislikning alohida turi ham mavjud bo'lib, u ham insonga va uning harakatlariga ta'sir qilish uchun mo'ljallangan, ammo butunlay boshqacha algoritm bo'yicha amalga oshiriladi.

Teskari ijtimoiy muhandislik

Teskari ijtimoiy muhandislik va unga ixtisoslashgan ijtimoiy xakerlar o'z faoliyatini uchta yo'nalishda tashkil qiladi:

  • Odamlarni yordam so'rashga majbur qiladigan vaziyatlar yaratiladi
  • Muammoni hal qilish bo'yicha xizmatlar reklama qilinadi (shuningdek, haqiqiy mutaxassislardan yordam olish ham kiradi)
  • "Yordam" va ta'sir ko'rsatadi

Ushbu turdagi ijtimoiy muhandislik holatida tajovuzkorlar dastlab o'zlari ta'sir qilmoqchi bo'lgan shaxs yoki odamlar guruhini o'rganadilar. Ularning ehtiroslari, qiziqishlari, istaklari va ehtiyojlari o'rganiladi va ta'sir aynan ular orqali dasturlar va boshqa elektron ta'sir usullari yordamida amalga oshiriladi. Bundan tashqari, qo'rquvga olib kelmaslik uchun dasturlar birinchi navbatda nosozliklarsiz ishlashi kerak va shundan keyingina zararli rejimga o'tadi.

Teskari ijtimoiy muhandislik misollari ham kam uchraydi va ulardan biri:

Ijtimoiy xakerlar ma'lum bir kompaniya uchun uning manfaatlaridan kelib chiqqan holda dastur ishlab chiqadilar. Dasturda kechiktirilgan ta'sir virusi mavjud - uch haftadan so'ng u faollashadi va tizim noto'g'ri ishlay boshlaydi. Qo'llanma ishlab chiquvchilardan muammoni hal qilishda yordam berishlarini so'ramoqda. Voqealarning bunday rivojlanishiga tayyor bo'lgan hujumchilar o'zlarining "mutaxassislarini" yuboradilar, ular "muammoni hal qilish" orqali maxfiy ma'lumotlarga kirish huquqiga ega bo'ladilar. Maqsadga erishildi.

An'anaviy ijtimoiy muhandislikdan farqli o'laroq, teskari muhandislik ko'proq mehnat talab qiladi, aniq bilim va ko'nikmalarni talab qiladi va kengroq auditoriyaga ta'sir qilish uchun ishlatiladi. Ammo uning ta'siri ajoyib - qarshiliksiz qurbonlik, ya'ni. o'z ixtiyori bilan barcha kartalarini xakerlarga ochib beradi.

Shunday qilib, ijtimoiy muhandislikning har qanday shakli deyarli har doim yomon niyat bilan qo'llaniladi. Ba'zilar, albatta, uning afzalliklari haqida gapirib, uning yordami bilan ijtimoiy muammolarni hal qilish, ijtimoiy faollikni saqlash va hatto ijtimoiy institutlarni o'zgaruvchan sharoitlarga moslashtirish mumkinligini ta'kidlaydilar. Ammo, shunga qaramay, u eng muvaffaqiyatli qo'llaniladi:

  • Odamlarni aldash va maxfiy ma'lumotlarni olish
  • Odamlarni manipulyatsiya qilish va shantaj qilish
  • Keyinchalik ularni yo'q qilish uchun kompaniyalarning ishini beqarorlashtirish
  • Ma'lumotlar bazalarini o'g'irlash
  • Moliyaviy firibgarlik
  • Raqobatbardosh razvedka

Tabiiyki, bu e'tibordan chetda qola olmadi va ijtimoiy muhandislikka qarshi kurash usullari paydo bo'ldi.

Ijtimoiy muhandislik muhofazasi

Bugungi kunda yirik kompaniyalar tizimli ravishda o'tkazmoqda barcha turdagi testlar ijtimoiy muhandislikka qarshilik bo'yicha. Ijtimoiy xakerlar tomonidan hujumga uchragan odamlarning harakatlari deyarli hech qachon qasddan amalga oshirilmaydi. Ammo ular xavflidir, chunki tashqi tahdiddan himoyalanish nisbatan oson bo'lsa, ichki tahdiddan himoyalanish ancha qiyin.

Xavfsizlikni yaxshilash uchun kompaniyalar rahbariyati maxsus treninglar o'tkazadi, o'z xodimlarining bilim darajasini nazorat qiladi, shuningdek, odamlarning ijtimoiy xakerlar hujumlariga tayyorlik darajasini, ularning reaktsiyasini, vijdonini aniqlash imkonini beradigan ichki sabotajni boshlaydi. va halollik. Misol uchun, ular E-Mailga "infektsiyalangan" xatlarni yuborishlari, Skype yoki ijtimoiy tarmoqlarda aloqa o'rnatishlari mumkin.

Ijtimoiy muhandislikdan xuddi shunday himoya ham antropogen, ham texnik bo'lishi mumkin. Birinchi holda, odamlarning e'tibori xavfsizlik masalalariga qaratiladi, muammoning jiddiyligi mohiyati tushuntiriladi va xavfsizlik siyosatini singdirish choralari ko'riladi, himoyani oshiradigan usullar va harakatlar o'rganiladi va amalga oshiriladi. axborotni qo'llab-quvvatlash... Ammo bularning barchasi bitta kamchilikka ega - bu usullarning barchasi passiv va ko'p odamlar ogohlantirishlarga e'tibor bermaydilar.

kelsak texnik himoya, keyin bu ma'lumotlarga kirish va undan foydalanishni qiyinlashtiradigan vositalarni o'z ichiga oladi. Internetdagi ijtimoiy xakerlarning eng "mashhur" hujumlari elektron pochta va xabarlar ekanligini hisobga olsak, dasturchilar barcha kiruvchi ma'lumotlarni filtrlaydigan maxsus dasturiy ta'minotni yaratadilar va bu shaxsiy pochta qutilariga ham, ichki pochtalarga ham tegishli. Filtrlar kiruvchi va chiquvchi xabarlar matnlarini tahlil qiladi. Ammo bu erda qiyinchilik bor - bunday dasturiy ta'minot serverlarni yuklaydi, bu tizimni sekinlashtirishi va tushirishi mumkin. Bundan tashqari, potentsial xavfli xabarlarni yozishda barcha o'zgarishlarni tasavvur qilish mumkin emas. Biroq, texnologiya yaxshilanmoqda.

Va agar olingan ma'lumotlardan foydalanishga to'sqinlik qiladigan vositalar haqida aniq gapiradigan bo'lsak, ular quyidagilarga bo'linadi:

  • Foydalanuvchining ish joyidan tashqari hamma joyda ma'lumotlardan foydalanishni bloklash (autentifikatsiya ma'lumotlari elektron imzolar va seriya raqamlari Kompyuter komponentlari, jismoniy va IP manzillari)
  • Ma'lumotdan avtomatik foydalanishni blokirovka qilish (bu tanish Captcha-ni o'z ichiga oladi, bu erda parol rasm yoki uning buzilgan qismidir)

Ushbu ikkala usul ham avtomatlashtirish imkoniyatini bloklaydi va ma'lumotlarning qiymati va uni olish ishi o'rtasidagi muvozanatni ish yo'nalishi bo'yicha o'zgartiradi. Shuning uchun, hatto bexabar foydalanuvchilar tomonidan taqdim etilgan barcha ma'lumotlar bilan ham, ijtimoiy xakerlar ularni amaliy qo'llashda jiddiy qiyinchiliklarga duch kelishadi.

Va har qanday oddiy odamni ijtimoiy muhandislikdan himoya qilish uchun sizga shunchaki hushyor bo'lishni maslahat beramiz. Elektron pochta orqali xat olayotganda, matn va havolalarni diqqat bilan o'qib chiqing, xatda nima borligini, kimdan va nima uchun kelganini tushunishga harakat qiling. Antivirus dasturidan foydalanishni unutmang. Agar notanish odamlar notanish raqamdan qo'ng'iroq qilsalar, hech qachon shaxsiy ma'lumotlaringizni, ayniqsa moliya bilan bog'liq ma'lumotlarni bermang.

Aytgancha, ushbu video qisqacha bo'lsa-da, lekin qiziqarli tarzda o'zingizni ijtimoiy muhandislikdan qanday himoya qilish haqida gapiradi.

Va nihoyat, biz sizni ijtimoiy muhandislik bo'yicha, jumladan, sotsiologik bilimlar sohasi sifatidagi ba'zi kitoblar bilan tanishtirmoqchimiz, agar xohlasangiz, mavzu bilan batafsilroq tanishishingiz mumkin.

Ushbu kitoblarda umumiy manipulyatsiya usullari va usullarini o'zlashtirish bo'yicha ko'plab amaliy ko'rsatmalar mavjud. Shuningdek, siz eng samarali ijtimoiy muhandislik texnikasi haqida bilib olasiz va ularni tanib olishni va hujumlardan himoya qilishni o'rganasiz.

Ijtimoiy muhandislik bo'yicha kitoblar:

  • Kevin Mitnik "Tarmoqdagi sharpa"
  • Kevin Mitnik, Uilyam Saymon "Bosqinchilik san'ati"
  • Kevin Mitnik, Uilyam Saymon "Aldash san'ati"
  • Kris Kasperskiy "Ijtimoiy muhandislikning maxfiy quroli"

Esda tutingki, har bir kishi boshqalarning harakatlarini boshqarish san'atini egallashga qodir, ammo bu ko'nikmalar odamlarning manfaati uchun ishlatilishi kerak. Ba'zan odamni yo'naltirish va uni biz uchun foydali bo'lgan echimlarga undash foydali va qulaydir. Ammo ularning qurboniga aylanmaslik uchun ijtimoiy xakerlar va firibgarlarni aniqlay olish muhimroqdir; o'zingiz ulardan biri bo'lmaslik juda muhim. Sizga donolik va foydali hayotiy tajriba tilaymiz!

Odatda, ijtimoiy muhandislik odamni ma'lum bir tarzda tutishga qaratilgan texnikalar to'plami deb ataladi, chunki kimdir, masalan, pul berish, maxfiy ma'lumotlarni taqdim etish yoki biror narsaga imzo qo'yish uchun zarurdir. Buning uchun odatda inson omilini, odamlarning murojaatlari, shikoyatlari, stress manbalari va boshqalarni o'rganish kerak. Aksariyat odamlarning munosabati va reaktsiyalarini bilib, ularni muayyan narsalarni qilishga undash oson.

Ijtimoiy muhandislik firibgarlik bilan qanday bog'liq va undan tabu ma'lumotlarini olish uchun qanday foydalaniladi.

Ijtimoiy muhandislikni ushbu ikki nuqtai nazardan ko'rib chiqing. Iqtisodiy davrda firibgarlar doimo faollashganini payqagandirsiz. Ushbu texnologiya asrida ular ko'proq tayyorlanib, o'qitiladi. Ularning xizmatida psixologiya, ijtimoiy muhandislik, IT texnologiyalari va boshqa ko'plab maxsus bilimlar odamlarning harakatlarini boshqarishga yordam beradi. Albatta, ularning barcha hiyla-nayranglarini o'rganish uchun vaqt etarli bo'lmaydi, lekin tarqatilgan tarmoqlarga tushib qolmaslik uchun hali ham fokuslarning asosiy tamoyillari va ular ishlatadigan texnologiyalarga e'tibor berish foydalidir.

Ko'pincha qanday odamlar bo'lishadi? Qanday qilib odamlar va vaziyatlarning qurboni bo'lish kerak? ? Biz-chi? Biz bu haqda nafaqat veb-saytimizda yozganmiz. Endi qisqacha maxsus fan - bilimlardan "ilg'or" firibgarlar - ijtimoiy muhandislar foydalanadi.

Ijtimoiy muhandislik fan sifatida.

Ijtimoiy muhandislik - bu odamlar psixologiyasi va tanqidiy vaziyatlarda ularning xatti-harakatlari haqidagi bilimlarni o'z ichiga olgan juda yosh fan. Ijtimoiy muhandislikni "inson xatolarining cho'chqachilik banki" deb ham atash mumkin, chunki bu fan inson omili va undan foydalanish bilan bog'liq bo'lgan barcha narsalarni o'z ichiga oladi.

Bunday bilimlar odamning xulq-atvorining mumkin bo'lgan variantlarini bashorat qilish va uni ma'lum bir reaktsiyaga undash uchun turli vaziyatlarni qurish imkonini beradi. Firibgar - ijtimoiy muhandis tomonidan qo'zg'atilgan reaktsiya odamni dastlab firibgarning maqsadi bo'lgan harakatlarga olib keladi. Uning maqsadi nima bo'lishi mumkin? Albatta, ma'lumot olish yoki birovning hududiga kirish yoki shunchaki pulingizni olish uchun. Shu munosabat bilan ijtimoiy muhandislarni ijtimoiy xakerlar deb ham atashadi.

Bu ijtimoiy muhandis qanday odam?

Bu ijtimoiy muhandislik bilimlariga ega bo'lgan va undan mohirona foydalanadigan odam. Bu komplekslar, zaif tomonlar, noto'g'ri qarashlar, odatlar, reflekslar va boshqalarni hisobga olgan holda "psixolog" (professional emas, albatta). odamlarning.

Ilgari ijtimoiy xaker bo‘lgan va hozirda xavfsizlik masalalari bo‘yicha maslahatchi Kevin Mitnik o‘ylab ko‘rishdan ko‘ra, kerakli ma’lumotlarni hiyla-nayranglar bilan aldash ancha oson ekanligini izohladi. turli dasturlar xakerlik orqali.

O'zingizni "ijtimoiy xakerlar" dan qanday himoya qilish kerak?

Agar ular haqida hech narsa bilmasangiz, bu juda qiyin, deyarli imkonsiz bo'lishi mumkin. Va, hatto ularning hiyla-nayranglarini bilsangiz ham, siz o'ljaga tushishingiz mumkin, chunki ular sizning spontan reaktsiyalaringiz, reflekslaringiz, avtomatizmlaringiz va boshqalar bo'yicha mutaxassislardir. Ehtiyot bo'ling!

Shunday qilib, yaqinda, joriy yilning yanvar oyida Internet tom ma'noda shunday yangiliklarga to'la edi:


Xakerlarning hisobi oddiy edi – pochta ro‘yxatini oluvchilar ushbu rahbariyat tomonidan tanbeh olmaslik uchun firibgarlarning iltimosini rahbariyat nomidan bajaradilar. Va shunday bo'ldi. Ijtimoiy xakerlarning ko‘rsatmalariga ko‘ra, Belgiyaning Crelan bankining bank xodimlari qo‘shimcha tekshiruvlarsiz firibgarlar uchun zarur bo‘lgan harakatlarni amalga oshirgan. Xakerlarning elektron pochta xabarida tranzaksiyani zudlik bilan yakunlash talab qilingan. Jinoyatchilar kompaniya logotiplari va taniqli domenlarning nusxalaridan foydalanganliklari uchun bu juda ishonarli ko'rinardi.

Belgiya banki bilan bog'liq vaziyatdan oldin psixologlar shunga o'xshash tajribalarni o'tkazdilar. Shunday qilib, Angliyadan tadqiqotchilar xodimlarni yuborishdi yirik korporatsiya nomidan xabarlar tizim administratori ularning kompaniyasi. Xabarda rejalashtirilgan uskunani tekshirish bilan bog'liq parollarni yuborish so'rovi mavjud edi. Natija achinarli bo'ldi - xodimlarning aksariyati (75%) hujumchilarning ko'rsatmalariga amal qilishdi.

Ko'rib turganingizdek, inson harakatlarini dasturlash juda oson. Bundan tashqari, juda aqlli, o'qimishli va yuqori intellektli odamlar firibgarlarning o'ljasiga tushishlari mumkin. Har qanday odamlarning harakatlarini, avtomatizmlarini, reaktsiyalarini o'rganadigan boshqa odamlar borligini hisobga olsak, bu erda g'alati narsa yo'q. Shu jumladan juda aqlli.

IJTIMOIY MUHHENDISLIK USULLARIDAN FOYDALANISHGA NAMALLAR

Ijtimoiy muhandislardan biri qanday qilib bir joyga kirib qolganini tasvirlab beradi yopiq kirish odamlarning fikrlash stereotiplaridan foydalanish. Soqchilar ham odamlar! Bu kishi (ijtimoiy muhandis) kompaniya xodimlariga qanday ko‘krak nishonlari kerakligini kuzatdi, uni kompyuterda chop etib, o‘zi uchun yasab oldi va muassasa xodimlari bilan orqa eshikdan o‘tib ketdi.

Albatta, uning eshiklaridan chip yo'q edi, lekin u "kichik poezd" usulini qo'lladi. Uning mohiyati oddiy. Eshik oldida olomon to'planib qolsa, u to'liq yopilmaydi va olddagilar unga ergashganlar uchun eshikni ushlab turadilar. Oddiy xushmuomalalik. Axir, ular ko'krak nishonidan bu ham xodim ekanligini ko'rishlari mumkin. Soqchilar bir xil nishonli bir to‘da odamlarni ko‘rib, ularga unchalik e’tibor bermaydilar. Va devorda katta harflar bilan hatto reklama ham osilgan emas, balki hamma bir vaqtning o'zida bittadan o'tishi kerakligi haqida ogohlantiruvchi plakat. Umumiy xavfsizlik uchun eshikni orqada tutmang! Ammo, tanishlar kompaniyasi buni qiladimi? Bu kompaniyadan kim odamlardan biriga: "Siz, iltimos, tashqariga chiqing va kalitingiz (chip) bilan yana kiring, chunki men sizni tanimayman". Bu juda dargumon. Lekin buni qilish kerak.

Shunday qilib, ma'lum bo'lishicha, xodimlar xavfsizlik talablarini havas qiladigan mustahkamlik bilan buzadilar va firibgarlar yuqorida tavsiflangan avtomatizmlardan bir xil mustahkamlik bilan foydalanadilar. Qanchalik ogohlantirib, o‘rgatgan bo‘lmasin, tovlamachilarning yo‘liga ergashgan insonlar doim shunday bo‘ladi. Ijtimoiy muhandislar buni yaxshi bilishadi va shuning uchun qanday nayrangni o'ylab topish haqida ko'p tashvishlanmaydilar. Ular faqat bir xil usullardan foydalanadilar. Axir, odamlarda avtomatizmlar ko'p o'zgarmaydi, shuning uchun ular avtomatizmdir. Original bo'ling. Stereotipik bo'lmang! Har doim kutilmagan yoki qo'rqinchli xabarlardan ehtiyot bo'ling. Ogohlantirish xabarlariga e'tibor bering.

Ijtimoiy muhandislarning eng ko'p qo'llaniladigan usullari insonning achinish, qo'rquv va tezda boyib ketish istagi kabi zaif tomonlariga asoslanadi. Agar biz achinish haqida gapiradigan bo'lsak, unda xakerlar odamlarning bu xususiyatidan ko'proq foydalanadilar turli yo'llar bilan... Masalan, ular telefon orqali yoki ijtimoiy tarmoqlar orqali do'stlaringiz yoki qarindoshlaringiz nomidan yordam so'rab xabarlar yuborishadi.

Ijtimoiy muhandislarning asosiy usullari va usullari / ijtimoiy muhandislik

Ijtimoiy injeneriyaning barcha usullari inson omiliga, ya'ni inson psixikasining o'ziga xos xususiyatlariga asoslanadi: vahima qo'yish, muayyan sharoitlarda bir xil munosabatda bo'lish, hushyorlikni yo'qotish, charchash, hamdardlik, qo'rquvni his qilish va boshqalar. Misol tariqasida, biz bir nechta texnikani keltiramiz va siz bu erda ijtimoiy muhandis psixikaning qaysi xususiyatidan foydalanganligini mustaqil ravishda aniqlashga harakat qilasiz:

    1. Syujetlardan biri shunday bo'lishi mumkin: do'sti shahar tashqarisida, u hozir o'zini chaqira olmaydi - jiddiy muammo, zudlik bilan pul kerak. Hisob yoki bank kartasi raqamiga yuborishni so'raydi. Hamma ham ijobiy munosabatda bo'lmasa ham, respondentlarning ma'lum bir foizigina shunday bo'lishini xaker biladi. Bu uni bezovta qilmaydi, chunki u tomonidan dasturlashtirilgan xabarlar mashina tomonidan yuboriladi. Bu smslar qayerdan kelganini tekshirmasdan zudlik bilan yordam beradiganlar bor. Axir, do'st muammoga duch keldi .. Va shoshilinchlik tufayli ko'pchilik manbani tekshirmaydi.
    2. Xuddi shu hisob-kitob bilan, bir muncha vaqt oldin, muammoga duch kelgan o'g'lidan ko'plab ayollarga SMS yuborilgan. Uning o'zi, albatta, onasi bu muammoni hal qilish uchun pul yubormaguncha qo'ng'iroq qila olmaydi. Va onalar yuborilgan, hech kim qaerga va kimga bilmaydi. Hech narsani qayta tekshirmasdan (o'g'li so'raganidek).
    3. Bundan tashqari, do'stlar nomidan ular shaxsiy ma'lumotlarni jalb qiladilar, sharhlar bilan zararli havolalarni yuboradilar. Masalan: “Salom, kulishni xohlaysizmi? Ushbu havolaga o'ting va siz o'zingizni qiziqtirgan har qanday telefon suhbatini (yoki SMS-xabarni) tinglashingiz mumkin bo'ladi. Yoki shunga o'xshash narsa, asosiysi siz havolani bosishingizdir.

Ijtimoiy muhandislar arsenalida va ular xaridor uchun "ishlash" imkoniyati mavjud. Ko'pgina foydalanuvchilar o'z narsalarni sotuvga qo'yishdi, masalan, Avito-da. Bunday "xaridor" qimmatroq narsani (mashinalar, uylar va boshqalar) qidiradi, haqiqiy sotuvchi bilan bog'lanadi va arzon bo'lmagan narsangizni sotib olish istagini bildiradi. Albatta, sotuvchi xursand. Voy, qanchalik tez, hamma narsa sotilganini oshkor qilishga ulgurmadi. U allaqachon xayolida daromad hisoblamoqda. To‘g‘ri, xaridor ikki-uch kundan keyin buyumni olib qo‘yishini xafa qilib aytadi. Xo'sh, siz ushbu qimmatbaho narsani boshqa birovga sotmasligingiz uchun u Avito-dan reklamani olib tashlashni so'raydi va kafolat uchun bugungi kunda narxning yarmi yoki hatto 75 foizini to'lashga tayyor. "Albatta!" - deb o'ylaysiz, - "Xursandchilik bilan! U to'lasin! ” "Xaridor" sizga qaysi kartaga pul o'tkazishi mumkinligini so'raydi. Va siz bu notanish odamga kartaning barcha tafsilotlarini aytib berasiz. Faqat uning pulini olish o'rniga, siz barcha jamg'armalaringizni yo'qotasiz. Shuningdek, u sizdan telefoningizga keladigan kodni aytishingizni so'rashi mumkin.

Agar biz tez va ko'p harakat qilmasdan boyib ketish istagi kabi xususiyat haqida gapiradigan bo'lsak, unda bu ijtimoiy muhandislar uzoq vaqt davomida ixtiro qilishlari va ixtiro qilishlari mumkin bo'lgan illatdir. Axir, odamlarning o'zi bu "sarguzashtlarni" qidirmoqda va hatto bir xil rakega qadam qo'yishga tayyor. Shuning uchun, firibgarlar tasvirlashda davom etmoqdalar: aqldan ozgan sovg'alar beradigan taniqli brend; keyin jozibali chegirmalarni va'da qiladigan kompaniya; keyin bank arzimagan foiz bilan kredit olishni taklif qiladi; keyin internetda yoki boshqa joyda oson pul ishlashga yordam beradigan ish beruvchi... Shunchaki bundan biror narsa olish uchun avvalo karta ma'lumotlarini taqdim etishingiz kerak... Axir, yangi ochilgan ish beruvchi yoki yaxshi bank sizga biror joyga pul o'tkazing ... Ular karta ma'lumotlarini notanish odamga aytishdi, siz uning mazmuni bilan xayrlashishingiz mumkin.

Nega bu haqda bilishingiz kerak?

So'nggi paytlarda ijtimoiy muhandislikka qiziqish juda yuqori bo'ldi. Bu mashhurlikdan ko'rinib turibdi ushbu so'rovdan Internetda. Bu shuni anglatadiki, xakerlar soni va ularning hujumlaridan himoya qilish uchun dasturlarga bo'lgan talab faqat o'sib boradi. Va nafaqat xakerlar, har qanday turdagi firibgarlar ijtimoiy muhandislik usullaridan o'z maqsadlari uchun foydalanadilar.

Xabardor bo'lish qurolli degan ma'noni anglatadi, siz ushbu mavzu bo'yicha adabiyotlarni o'qishingiz mumkin:

Ijtimoiy muhandislik va ijtimoiy xakerlar ". Maksim Kuznetsov, Igor Simdyanov.

Ehtiyot bo'ling! Aldanmang.

Ijtimoiy muhandislik psixologiya va inson omili haqidagi bilimlardan foydalanadi. Juda ehtiyot bo'ling, ijtimoiy xakerlar sizni juda yaxshi bilishadi.

Ijtimoiy muhandislik va uning ortidagi odamlar tomonidan qo'llaniladigan ayyorlik usullari haqida bilganmisiz, bilish ham qiziq bo'lar edi?

Hurmat bilan, sayt Agar siz yangi maqolalarni olishni istasangiz, bizning axborot byulletenimizga obuna bo'ling.

Ijtimoiy muhandislik- inson psixologiyasining o'ziga xos xususiyatlaridan kelib chiqqan holda kerakli ma'lumotlarga kirish usuli. Ijtimoiy muhandislikning asosiy maqsadi - maxfiy ma'lumotlar, parollar, bank ma'lumotlari va boshqa xavfsiz tizimlarga kirish. Ijtimoiy muhandislik atamasi yaqinda paydo bo'lgan bo'lsa-da, ma'lumotni shu tarzda olish usuli ancha vaqtdan beri qo'llanilgan. Ba'zi davlat sirlarini qo'lga olishni xohlaydigan Markaziy razvedka boshqarmasi va KGB zobitlari, siyosatchilar va deputatlikka nomzodlar va biz o'zimiz, agar biror narsa olishni istasak, ko'pincha buni sezmasdan, ijtimoiy muhandislik usullaridan foydalanamiz.

O'zingizni ijtimoiy muhandislik ta'siridan himoya qilish uchun siz uning qanday ishlashini tushunishingiz kerak. Keling, ijtimoiy muhandislikning asosiy turlarini va ulardan himoyalanish usullarini ko'rib chiqaylik.

Bahona- Bu ma'lum, oldindan tuzilgan stsenariy bo'yicha ishlab chiqilgan harakatlar to'plami bo'lib, natijada jabrlanuvchi har qanday ma'lumot berishi yoki muayyan harakatni amalga oshirishi mumkin. Hammasidan ko'proq berilgan ko'rinish hujum Skype, telefon va boshqalar kabi ovozli vositalardan foydalanishni o'z ichiga oladi.

Ushbu usuldan foydalanish uchun tajovuzkor dastlab jabrlanuvchi haqida ba'zi ma'lumotlarga ega bo'lishi kerak (xodimning ismi; lavozimi; u ishlaydigan loyihalarning nomi; tug'ilgan sanasi). Buzg'unchi dastlab kompaniya xodimlarining ismlari bilan haqiqiy so'rovlardan foydalanadi va ishonchni qozongandan so'ng, o'ziga kerakli ma'lumotlarni oladi.

Fishing- foydalanuvchilarning maxfiy ma'lumotlarini olishga qaratilgan Internet-firibgarlik texnikasi - turli tizimlarning avtorizatsiya ma'lumotlari. Fishing hujumlarining asosiy turi jabrlanuvchiga yuborilgan soxta elektron pochta bo'lib, u rasmiy xatga o'xshaydi to'lov tizimi yoki bank. Maktubda shaxsiy ma'lumotlarni kiritish uchun shakl (pin-kodlar, login va parol va boshqalar) yoki bunday shakl joylashgan veb-sahifaga havola mavjud. Jabrlanuvchiga bunday sahifalarga ishonishning sabablari boshqacha bo'lishi mumkin: hisobni bloklash, tizimning buzilishi, ma'lumotlar yo'qolishi va boshqalar.

Troyan oti- Ushbu uslub foydalanuvchilarning qiziqishi, qo'rquvi yoki boshqa his-tuyg'ulariga asoslangan. Buzg'unchi jabrlanuvchiga elektron pochta orqali xat yuboradi, uning ilovasida antivirusning "yangilanishi", pul daromadining kaliti yoki xodimga nisbatan buzilgan ma'lumotlar mavjud. Aslida, ilovada zararli dastur mavjud bo'lib, foydalanuvchi uni kompyuterida ishga tushirgandan so'ng, tajovuzkor tomonidan ma'lumotlarni to'plash yoki o'zgartirish uchun ishlatiladi.

Qwi pro quo(quid pro quo) - bu texnika tajovuzkorning foydalanuvchi bilan elektron pochta yoki korporativ telefon orqali bog'lanishini o'z ichiga oladi. Hujumchi o'zini, masalan, texnik yordam xodimi sifatida tanishtirishi va ish joyidagi texnik muammolar haqida xabar berishi mumkin. Keyin ularni bartaraf etish zarurligi haqida xabar beradi. Bunday muammoni "hal qilish" jarayonida hujumchi jabrlanuvchini tajovuzkorga ma'lum buyruqlarni bajarish yoki jabrlanuvchining kompyuteriga kerakli dasturiy ta'minotni o'rnatish imkonini beradigan harakatlarni bajarishga undaydi.

Sayohat olma- Bu usul troyan otining moslashuvi bo'lib, jismoniy vositalardan (CD, flesh-disklar) foydalanishdan iborat. Hujumchi odatda bunday ommaviy axborot vositalarini kompaniya hududidagi jamoat joylariga (to'xtash joylari, oshxonalar, xodimlarning ish joylari, hojatxonalar) tashlaydi. Xodimning ushbu ommaviy axborot vositalariga qiziqishi uchun tajovuzkor ommaviy axborot vositalariga kompaniya logotipi va qandaydir imzo qo'yishi mumkin. Masalan, "savdo ma'lumotlari", "xodimlarning ish haqi", "soliq hisoboti" va boshqalar.

Teskari ijtimoiy muhandislik- bu turdagi hujum jabrlanuvchi “yordam” so‘rab hujumchiga murojaat qilishga majbur bo‘ladigan vaziyatni yaratishga qaratilgan. Misol uchun, tajovuzkor "qo'llab-quvvatlash xizmati" ning telefon raqamlari va kontaktlari bilan elektron pochta xabarini yuborishi va bir muncha vaqt o'tgach, jabrlanuvchining kompyuterida qayta tiklanadigan muammolarni yaratishi mumkin. Bunda foydalanuvchi tajovuzkorga o‘zi qo‘ng‘iroq qiladi yoki elektron pochta orqali xabar yuboradi va muammoni “tuzatish” jarayonida tajovuzkor o‘ziga kerakli ma’lumotlarni olish imkoniyatiga ega bo‘ladi.


1-rasm - Ijtimoiy muhandislikning asosiy turlari

Qarshi choralar

Ijtimoiy muhandislik amaliyotiga qarshi asosiy himoya xodimlarni o'qitishdir. Kompaniyaning barcha xodimlari shaxsiy ma'lumotlar va kompaniyaning maxfiy ma'lumotlarini oshkor qilish xavfi, shuningdek, ma'lumotlar sizib chiqishining oldini olish usullari haqida ogohlantirilishi kerak. Bundan tashqari, kompaniyaning har bir xodimi, bo'limi va lavozimiga qarab, suhbatdosh bilan qanday va qanday mavzularda muloqot qilish mumkinligi, texnik yordam xizmati uchun qanday ma'lumotlarni taqdim etishi mumkinligi, qanday va qanday bo'lishi kerakligi haqida ko'rsatmalarga ega bo'lishi kerak. kompaniya bu yoki boshqa ma'lumotni boshqa xodimdan olish uchun hisobot berishi kerak.

Bundan tashqari, quyidagi qoidalarni ajratib ko'rsatish mumkin:

  • Foydalanuvchi hisob ma'lumotlari kompaniyaning mulki hisoblanadi.
    • Ishga qabul qilingan kuni barcha xodimlarga ularga berilgan login va parollardan boshqa maqsadlarda (veb-saytlarda, shaxsiy pochta uchun va h.k.) foydalanish mumkin emasligi, uchinchi shaxslarga yoki boshqa xodimlarga berilishi mumkin emasligi tushuntirilishi kerak. bunday qilish huquqiga ega bo'lmagan kompaniya. Masalan, ko'pincha ta'tilga chiqayotganda, xodim o'z vakolati ma'lumotlarini hamkasbiga o'tkazishi mumkin, shunda u yo'qligida ba'zi ishlarni bajarishi yoki ma'lum ma'lumotlarni ko'rishi mumkin.
  • Kompaniya xodimlari uchun axborot xavfsizligi bo'yicha bilimlarni oshirishga qaratilgan kirish va muntazam treninglar o'tkazish kerak.
    • Bunday brifinglarni o'tkazish kompaniya xodimlariga ijtimoiy muhandislikning mavjud usullari bo'yicha dolzarb ma'lumotlarga ega bo'lish, shuningdek, axborot xavfsizligining asosiy qoidalarini unutmaslik imkonini beradi.
  • Xavfsizlik qoidalariga, shuningdek foydalanuvchi har doim foydalanishi kerak bo'lgan ko'rsatmalarga ega bo'lishi shart. Ko'rsatmalar muayyan vaziyat yuzaga kelganda xodimlarning harakatlarini tavsiflashi kerak.
    • Masalan, reglamentda siz uchinchi tomon maxfiy ma'lumotlar yoki xodimlarning ishonch ma'lumotlarini so'rashga harakat qilganda nima qilish kerakligini va qaerga borishni belgilashingiz mumkin. Bunday harakatlar tajovuzkorni aniqlash va ma'lumotlarning sizib chiqishini oldini olish imkonini beradi.
  • Xodimlarning kompyuterlarida doimo yangilangan antivirus dasturlari bo'lishi kerak.
    • Xodimlarning kompyuterlarida xavfsizlik devori ham o'rnatilgan bo'lishi kerak.
  • Kompaniyaning korporativ tarmog'ida hujumlarni aniqlash va oldini olish tizimlaridan foydalanish kerak.
    • Shuningdek, maxfiy ma'lumotlarning chiqib ketishining oldini olish uchun tizimlardan foydalanish kerak. Bularning barchasi fitik hujumlar xavfini kamaytiradi.
  • Barcha xodimlarga tashrif buyuruvchilar bilan qanday munosabatda bo'lish kerakligi ko'rsatilishi kerak.
    • Mehmon va uning hamrohligini aniqlash uchun aniq qoidalar kerak. Tashrif buyuruvchilarga har doim kompaniyadan kimdir hamroh bo'lishi kerak. Agar xodim o'ziga noma'lum mehmonni uchratib qolsa, u to'g'ri shaklda tashrif buyuruvchi bu xonada nima maqsadda ekanligini va uning eskorti qayerda ekanligini so'rashi kerak. Agar kerak bo'lsa, xodim xavfsizlik xizmatiga noma'lum tashrif buyuruvchi haqida xabar berishi kerak.
  • Tizimdagi foydalanuvchi huquqlarini imkon qadar cheklash kerak.
    • Masalan, siz veb-saytlarga kirishni cheklashingiz va olinadigan mediadan foydalanishni taqiqlashingiz mumkin. Axir, agar xodim fishing saytiga kira olmasa yoki kompyuterida troyan dasturi bilan flesh-diskdan foydalanmasa, u shaxsiy ma'lumotlarini ham yo'qota olmaydi.

Yuqorida aytilganlarning barchasiga asoslanib, biz ijtimoiy muhandislikdan himoyalanishning asosiy usuli xodimlarni tayyorlashdir degan xulosaga kelishimiz mumkin. Shuni bilish va yodda tutish kerakki, jaholat javobgarlikdan ozod qilmaydi. Tizimning har bir foydalanuvchisi maxfiy ma'lumotlarni oshkor qilish xavfidan xabardor bo'lishi va sizib chiqishining oldini olishga qanday yordam berishni bilishi kerak. Oldindan ogohlantirilgan - qurollangan!

Ijtimoiy muhandislik usullari - bu maqolada, shuningdek, insonning manipulyatsiyasi, fishing va mijozlar bazalarini o'g'irlash va boshqalar bilan bog'liq bo'lgan narsalar haqida bo'ladi. Ma'lumotni bizga muallifi Andrey Serikov taqdim etdi, buning uchun unga katta rahmat.

A. SERIKOV

A.B.BOROVSKIY

IJTIMOIY HACKING AXBOROT TEXNOLOGIYALARI

Kirish

Insoniyatning qo‘yilgan vazifalarni mukammal bajarishga intilishi zamonaviy kompyuter texnikasining rivojlanishiga xizmat qildi, odamlarning bir-biriga zid bo‘lgan talablarini qondirishga urinishlar esa dasturiy mahsulotlarning rivojlanishiga olib keldi. Ushbu dasturiy mahsulotlar nafaqat ishlashni qo'llab-quvvatlaydi apparat balki uni boshqaradi.

Inson va kompyuter haqidagi bilimlarning rivojlanishi printsipial jihatdan yangi turdagi tizimlarning - "odam-mashina" ning paydo bo'lishiga olib keldi, bunda odam barqaror, funktsional, ko'p vazifali operatsion tizim boshqaruvi ostida ishlaydigan apparat qurilmasi sifatida joylashishi mumkin. "psixika" deb ataladi.

Ishning mavzusi - ijtimoiy xakerlikni ijtimoiy dasturlashning bir tarmog'i sifatida ko'rib chiqish, bu erda odam ijtimoiy muhandislikdagi inson zaif tomonlari, noto'g'ri qarashlari va stereotiplari yordamida manipulyatsiya qilinadi.

Ijtimoiy muhandislik va uning usullari

Insonni manipulyatsiya qilish usullari uzoq vaqtdan beri ma'lum bo'lib, ular asosan ijtimoiy muhandislikka turli xil maxsus xizmatlarning arsenalidan kelgan.

Raqobatbardosh razvedkaning birinchi ma'lum bo'lgan holati miloddan avvalgi VI asrda Xitoyda paydo bo'lgan, o'shanda xitoyliklar Rim josuslari tomonidan aldangan ipak yasash sirini yo'qotgan.

Ijtimoiy muhandislik - bu texnik vositalardan foydalanmasdan, inson omilining zaif tomonlaridan foydalanishga asoslangan inson xatti-harakatlarini manipulyatsiya qilish usullari to'plami sifatida tavsiflangan fan.

Ko'pgina ekspertlarning fikriga ko'ra, ijtimoiy xakerlikdan foydalanish katta moliyaviy investitsiyalar va kompyuter texnologiyalarini puxta bilishni talab qilmasa, shuningdek, odamlarning xulq-atvor tendentsiyalariga ega bo'lganligi sababli, axborot xavfsizligiga eng katta tahdid aynan ijtimoiy muhandislik usullaridir. ehtiyotkorlik bilan manipulyatsiya qilish uchun foydalaning.

Va ular qanday yaxshilanishidan qat'iy nazar texnik tizimlar himoya qilish, odamlar o'zlarining zaif tomonlari, noto'g'ri qarashlari, stereotiplari bilan odamlar bo'lib qoladilar, ular yordamida boshqaruv amalga oshiriladi. Insonning "xavfsizlik dasturi" ni o'rnatish eng qiyin va har doim ham kafolatlangan natijalarga olib kelmaydi, chunki bu filtr doimiy ravishda sozlanishi kerak. Bu erda barcha xavfsizlik mutaxassislarining asosiy shiori har qachongidan ham dolzarbroq: "Xavfsizlik - bu natija emas, balki jarayondir".

Ijtimoiy muhandislikni qo'llash sohalari:

  1. tashkilotning ta'sirini kamaytirish va keyinchalik tashkilotni butunlay yo'q qilish ehtimolini kamaytirish uchun uning ishini umumiy beqarorlashtirish;
  2. tashkilotlarda moliyaviy firibgarlik;
  3. fishing va jismoniy shaxslarning shaxsiy bank ma'lumotlariga kirish uchun parollarni o'g'irlashning boshqa usullari;
  4. mijozlarning ma'lumotlar bazalarini o'g'irlash;
  5. raqobatbardosh aql;
  6. tashkilot haqida, uning kuchli va zaif tomonlari to'g'risida umumiy ma'lumot, bu tashkilotni keyinchalik u yoki bu tarzda yo'q qilish maqsadida (ko'pincha reydlar hujumlari uchun ishlatiladi);
  7. tashkilotingizga keyingi "jalb" qilish maqsadida eng istiqbolli xodimlar to'g'risida ma'lumot;

Ijtimoiy dasturlash va ijtimoiy xakerlik

Ijtimoiy dasturlashni amaliy intizom deb atash mumkin, bu odam yoki bir guruh odamlarning xatti-harakatlarini o'zgartirish yoki to'g'ri yo'nalishda ushlab turish uchun ularga maqsadli ta'sir qilish bilan shug'ullanadi. Shunday qilib, ijtimoiy dasturchi o'z oldiga maqsad qo'yadi: odamlarni boshqarish san'atini egallash. Ijtimoiy dasturlashning asosiy kontseptsiyasi shundan iboratki, odamlarning ko'plab harakatlari va ularning u yoki bu tashqi ta'sirga bo'lgan munosabati ko'p hollarda oldindan aytib bo'ladi.

Ijtimoiy dasturlash usullari jozibali, chunki ular haqida hech kim hech qachon bilmaydi yoki kimdir biror narsa haqida taxmin qilsa ham, bunday odamni jinoiy javobgarlikka tortish juda qiyin, shuningdek, ba'zi hollarda odamlarning xatti-harakatlarini "dasturlash" mumkin. va bir kishi va katta guruh. Bu imkoniyatlar ijtimoiy xakerlik toifasiga kiradi, chunki ularning barchasida odamlar xuddi ijtimoiy xaker tomonidan yozilgan "dastur"ga bo'ysunish kabi birovning xohish-irodasini bajaradilar.

Ijtimoiy xakerlik - bu odamni buzish va uni amalga oshirish uchun dasturlash imkoniyati zarur harakatlar ijtimoiy dasturlashdan - ijtimoiy muhandislikning amaliy intizomidan kelib chiqadi, bu erda ushbu soha mutaxassislari - ijtimoiy xakerlar maxsus xizmatlar arsenalidan olingan psixologik ta'sir usullari va aktyorlik mahoratidan foydalanadilar.

Ijtimoiy xakerlik ko'p hollarda kompyuter tizimining bir qismi bo'lgan shaxsga hujum qilishda qo'llaniladi. Buzilgan kompyuter tizimi o'z-o'zidan mavjud emas. U muhim komponentni o'z ichiga oladi - inson. Ma'lumot olish uchun esa ijtimoiy xaker kompyuter bilan ishlaydigan odamni buzishi kerak. Ko'pgina hollarda, jabrlanuvchining kompyuterini buzishdan ko'ra buni qilish osonroq bo'ladi, shu bilan parolni topishga harakat qiladi.

Ijtimoiy xakerliklarga ta'sir qilishning odatiy algoritmi:

Ijtimoiy xakerlarning barcha hujumlari bitta oddiy sxemaga to'g'ri keladi:

  1. muayyan ob'ektga ta'sir qilish maqsadi shakllantiriladi;
  2. ob'ekt haqida ma'lumotlar eng qulay ta'sir nishonlarini topish uchun to'planadi;
  3. to'plangan ma'lumotlar asosida psixologlar jalb deb ataydigan bosqich amalga oshiriladi. Attraktsion (lot. Attrahere — oʻziga tortmoq, oʻziga tortmoq) — biror narsaga taʼsir qilish uchun zarur shart-sharoitlarni yaratish;
  4. ijtimoiy xaker uchun zarur bo'lgan harakatga majburlash;

Majburlash oldingi bosqichlarni bajarish orqali erishiladi, ya'ni jalb qilish erishilgandan so'ng, jabrlanuvchining o'zi ijtimoiy muhandis uchun zarur bo'lgan harakatlarni amalga oshiradi.

Yig'ilgan ma'lumotlarga asoslanib, ijtimoiy xakerlar jabrlanuvchining psixo-sotsiotipini juda aniq bashorat qilishadi, bu nafaqat oziq-ovqat, jinsiy aloqa va boshqalarga bo'lgan ehtiyojni, balki sevgiga bo'lgan ehtiyojni, pulga bo'lgan ehtiyojni, qulaylik va hokazolarni aniqlaydi. .

Va haqiqatan ham, nima uchun ma'lum bir kompaniyaga kirishga, kompyuterlarni, bankomatlarni buzishga, murakkab kombinatsiyalarni tashkil etishga harakat qilish kerak, agar siz hamma narsani osonlashtirasiz: o'z xohishiga ko'ra ko'rsatilgan hisob raqamiga pul o'tkazadigan odam hushidan ketib, o'zingizni sevib qolasiz. yoki har safar kerakli ma'lumotlarni baham ko'rasizmi?

Odamlarning xatti-harakatlari oldindan aytib bo'ladigan, shuningdek, ma'lum qonunlarga bo'ysunishidan kelib chiqqan holda, ijtimoiy xakerlar va ijtimoiy dasturchilar inson ongining psixologiyasiga, xatti-harakatlar dasturlariga, ichki organlarning tebranishlariga asoslangan oddiy ko'p harakatlar va oddiy ijobiy va salbiy usullardan foydalanadilar. ularning vazifalari.mantiqiy fikrlash, tasavvur, xotira, diqqat. Ushbu texnikalar quyidagilarni o'z ichiga oladi:

Yog'och generatori - ichki organlarning tebranish chastotasi bilan bir xil chastotali tebranishlarni hosil qiladi, shundan so'ng rezonans effekti kuzatiladi, buning natijasida odamlar qattiq noqulaylik va tashvish his qila boshlaydi;

olomon geografiyasiga ta'siri - o'ta xavfli tajovuzkorlarni tinch yo'l bilan tarqatish uchun, katta guruhlar odamlardan;

yuqori chastotali va past chastotali tovushlar - vahima va uning teskari ta'sirini qo'zg'atish, shuningdek, boshqa manipulyatsiyalar;

ijtimoiy taqlid dasturi - shaxs harakatlarning to'g'riligini belgilaydi, boshqa odamlar tomonidan qanday harakatlar to'g'ri deb hisoblanishini aniqlaydi;

claque dasturi - (ijtimoiy taqlid asosida) tomoshabinlarning zarur reaktsiyasini tashkil etish;

navbat - (ijtimoiy taqlid asosida) oddiy, ammo samarali reklama harakati;

o'zaro yordam dasturi - inson o'ziga yaxshilik qilgan odamlarni yaxshilik bilan qaytarishga intiladi. Ushbu dasturni bajarish istagi ko'pincha aqlning barcha dalillaridan oshib ketadi;

Internetda ijtimoiy xakerlik

Internetning paydo bo'lishi va rivojlanishi bilan odamlar va ularning o'zaro ta'siridan iborat virtual muhit, odamni manipulyatsiya qilish, kerakli ma'lumotlarni olish va zarur harakatlarni amalga oshirish uchun muhit kengaydi. Bugungi kunda Internet butun dunyo bo'ylab radioeshittirish vositasi, hamkorlik, aloqa vositasidir va butun dunyoni qamrab oladi. Bu ijtimoiy muhandislar o'z maqsadlariga erishish uchun foydalanadilar.

Internet orqali odamni manipulyatsiya qilish usullari:

V zamonaviy dunyo deyarli har bir kompaniyaning egalari Internet biznesni kengaytirish uchun juda samarali va qulay vosita ekanligini va uning asosiy vazifasi butun kompaniyaning daromadini oshirish ekanligini allaqachon anglab yetgan. Ma'lumki, reklama istalgan ob'ektga e'tiborni jalb qilish, unga qiziqishni shakllantirish yoki qo'llab-quvvatlash va uni bozorda ilgari surish uchun ma'lumotsiz foydalaniladi. Faqat reklama bozori uzoq vaqtdan beri bo'linib ketganligi sababli, aksariyat tadbirkorlar uchun reklamaning aksariyat turlari pulni behuda sarflaydi. Internet-reklama ommaviy axborot vositalaridagi reklama turlaridan biri emas, u yana bir narsa, chunki Internet-reklama yordamida hamkorlikka qiziqqan odamlar tashkilot veb-saytiga kirishadi.

Internet-reklama, ommaviy axborot vositalaridagi reklamadan farqli o'laroq, reklama kompaniyasini boshqarishning ko'plab variantlari va parametrlariga ega. Onlayn reklamaning eng muhim ko'rsatkichi bu Internet-reklama to'lovlari faqat o'tish paytida debet qilinadi reklama havolasi orqali qiziqqan foydalanuvchi, bu albatta Internetdagi reklamani ommaviy axborot vositalaridagi reklamadan ko'ra samaraliroq va arzonroq qiladi. Shunday qilib, televidenieda yoki ichkarida reklama yuborish orqali bosma ommaviy axborot vositalari, u to'liq to'lanadi va faqat potentsial mijozlarni kutmoqda, lekin mijozlar reklamaga javob berishlari mumkin yoki yo'q - barchasi televizor yoki gazetalarda reklamani ishlab chiqarish va etkazib berish sifatiga bog'liq, ammo reklama uchun byudjet allaqachon sarflangan va agar reklama ish bermadi, behuda ketdi. Ommaviy axborot vositalaridagi bunday reklamadan farqli o'laroq, onlayn reklama auditoriyaning javobini kuzatish va byudjet sarflanishidan oldin onlayn reklamani boshqarish qobiliyatiga ega, bundan tashqari, onlayn reklama to'xtatilishi mumkin - mahsulotlarga talab ortib, qayta boshlanganda - talab pasayganda.

Ta'sir qilishning yana bir usuli "Forumlarni o'ldirish" deb ataladi, bu erda ular ijtimoiy dasturlash yordamida u yoki bu loyiha uchun antireklama yaratadilar. Ijtimoiy dasturchi bu holat, faqat ochiq-oydin provokatsion harakatlar yordamida bir nechta taxalluslardan foydalangan holda forumni yo'q qiladi ( taxallus) uning atrofida yetakchiga qarshi guruh yaratish va ma’muriyatning xatti-harakatlaridan norozi bo‘lgan doimiy tashrif buyuruvchilarni loyihaga jalb qilish. Bunday tadbirlar oxirida forumda mahsulot yoki g'oyalarni ilgari surish imkonsiz bo'lib qoladi. Nima uchun forum dastlab ishlab chiqilgan.

Ijtimoiy muhandislik maqsadida Internet orqali odamga ta'sir qilish usullariga:

Fishing - foydalanuvchining maxfiy ma'lumotlariga - login va parollarga kirishga qaratilgan Internetdagi firibgarlikning bir turi. Ushbu operatsiyaga ommaviy pochta jo'natmalari orqali erishiladi elektron pochta xabarlari mashhur brendlar nomidan, shuningdek, turli xizmatlar (Rambler), banklar yoki ijtimoiy tarmoqlar (Facebook) ichidagi shaxsiy xabarlar. Maktubda ko'pincha tashqi tomondan haqiqiydan farq qilmaydigan saytga havola mavjud. Foydalanuvchi soxta sahifaga kirgandan so‘ng, ijtimoiy muhandislar foydalanuvchini sahifaga o‘z foydalanuvchi nomi va parolini kiritishga undash uchun turli hiyla-nayranglardan foydalanadi, u ma’lum bir saytga kirish uchun foydalanadi, bu esa unga hisob va bank hisoblariga kirish imkonini beradi.

Firibgarlikning fishingdan ko'ra xavfliroq turi bu farmatsevtika deb ataladigan narsa.

Pharming - bu foydalanuvchilarni fishing saytlariga yashirin tarzda yo'naltirish mexanizmi. Ijtimoiy muhandis foydalanuvchilarning kompyuterlariga maxsus zararli dasturlarni tarqatadi, ular kompyuterda ishga tushirilgandan so'ng, kerakli saytlarning so'rovlarini soxta saytlarga yo'naltiradi. Shunday qilib, hujumning yuqori yashirinligi ta'minlanadi va foydalanuvchi ishtiroki minimallashtiriladi - foydalanuvchi ijtimoiy muhandisni qiziqtirgan saytlarga tashrif buyurishga qaror qilguncha kutish kifoya.

Xulosa

Ijtimoiy muhandislik sotsiologiyadan vujudga kelgan va yangi ("sun'iy") ijtimoiy voqelikni yaratish, modernizatsiya qilish va qayta ishlab chiqarish jarayonini boshqaradigan, tartibga soluvchi va optimallashtiruvchi bilimlar to'plami ekanligini da'vo qiladigan fandir. U ma'lum bir tarzda sotsiologiya fanini "to'ldiradi", ilmiy bilimlarni ijtimoiy institutlarning modellari, loyihalari va tuzilmalari, qadriyatlari, me'yorlari, faoliyat algoritmlari, munosabatlari, xatti-harakatlari va boshqalarga aylantirish bosqichida yakunlaydi.

Ijtimoiy muhandislik nisbatan yosh fan bo'lishiga qaramay, jamiyatda sodir bo'layotgan jarayonlarga juda katta zarar etkazadi.

Ushbu halokatli fanning ta'siridan himoya qilishning eng oddiy usullari quyidagilardir:

Odamlarning e'tiborini xavfsizlik masalalariga jalb qilish.

Foydalanuvchilarning muammoning jiddiyligidan xabardorligi va tizim xavfsizligi siyosatini qabul qilish.

Adabiyot

1.R. Petersen Linux: To'liq qo'llanma: boshiga. ingliz tilidan - 3 - tahrir. - K .: BHV nashriyot guruhi, 2000. - 800 b.

2. Grodnev internetidan uyingizda. - M .: "RIPOL CLASSIC", 2001. -480 b.

3. MV Kuznetsov Ijtimoiy muhandislik va ijtimoiy xakerlik. SPb .: BHV-Peterburg, 2007 .-- 368 b.: kasal.