Sa artikulong ito ay bibigyan natin ng pansin ang konsepto ng "social engineering". Ang pangkalahatang kahulugan ng termino ay isasaalang-alang dito. Malalaman din natin kung sino ang nagtatag ng konseptong ito. Pag-usapan natin nang hiwalay ang tungkol sa mga pangunahing pamamaraan ng social engineering na ginagamit ng mga umaatake.
Introduction
Mga pamamaraan na nagbibigay-daan sa iyong iwasto ang pag-uugali ng isang tao at pamahalaan ang kanyang mga aktibidad nang hindi gumagamit ng isang teknikal na hanay ng mga tool ang bumubuo sa pangkalahatang konsepto ng social engineering. Ang lahat ng mga pamamaraan ay batay sa assertion na ang kadahilanan ng tao ay ang pinaka mapanirang kahinaan ng anumang sistema. Kadalasan ang konseptong ito ay isinasaalang-alang sa antas ng ilegal na aktibidad, kung saan ang kriminal ay nagsasagawa ng isang aksyon na naglalayong makakuha ng impormasyon mula sa paksa-biktima sa hindi tapat na paraan. Halimbawa, maaaring ito ay isang uri ng pagmamanipula. Gayunpaman, ang social engineering ay ginagamit din ng mga tao sa mga lehitimong aktibidad. Sa ngayon, ito ay madalas na ginagamit upang i-access ang mga mapagkukunan na may sensitibo o sensitibong impormasyon.
Founder
Ang nagtatag ng social engineering ay si Kevin Mitnick. Gayunpaman, ang konsepto mismo ay dumating sa amin mula sa sosyolohiya. Ito ay tumutukoy sa isang pangkalahatang hanay ng mga diskarte na ginagamit ng inilapat na panlipunan. ang mga agham na nakatuon sa pagbabago ng istruktura ng organisasyon na maaaring matukoy ang pag-uugali ng tao at kontrolin ito. Si Kevin Mitnick ay maaaring ituring na tagapagtatag ng agham na ito, dahil siya ang nagpasikat sa panlipunan. engineering sa unang dekada ng ika-21 siglo. Si Kevin mismo ay dati nang isang hacker na ilegal na pumasok sa iba't ibang uri ng mga database. Ipinangatuwiran niya na ang kadahilanan ng tao ay ang pinaka-mahina na punto ng isang sistema ng anumang antas ng pagiging kumplikado at organisasyon.
Kung pag-uusapan natin ang mga pamamaraan ng social engineering bilang isang paraan upang makakuha ng mga karapatan (kadalasang ilegal) na gumamit ng kumpidensyal na data, masasabi nating matagal na itong kilala. Gayunpaman, si K. Mitnick ang nakapagbigay ng kahalagahan ng kanilang kahulugan at mga kakaibang aplikasyon.
Phishing at mga hindi umiiral na link
Anumang pamamaraan ng social engineering ay batay sa pagkakaroon ng mga cognitive distortion. Ang mga pagkakamali sa pag-uugali ay nagiging isang "tool" sa mga kamay ng isang bihasang inhinyero, na sa hinaharap ay maaaring lumikha ng isang pag-atake na naglalayong makakuha ng mahalagang data. Sa mga pamamaraan ng social engineering, nakikilala ang phishing at mga hindi umiiral na link.
Ang Phishing ay isang online scam na idinisenyo upang makakuha ng personal na impormasyon gaya ng username at password.
Non-existent na link - gamit ang isang link na hihikayat sa tatanggap na may ilangmga benepisyo na maaaring makuha sa pamamagitan ng pag-click dito at pagbisita sa isang partikular na site. Kadalasan, ginagamit ang mga pangalan ng malalaking kumpanya, na gumagawa ng mga banayad na pagsasaayos sa kanilang pangalan. Ang biktima, sa pamamagitan ng pag-click sa link, ay "kusang-loob" na ililipat ang kanilang personal na data sa umaatake.
Mga pamamaraan gamit ang mga brand, may sira na antivirus at pekeng lottery
Gumagamit din ang social engineering ng mga brand name scam, may sira na antivirus at pekeng lottery.
"Pandaraya at mga tatak" - isang paraan ng panlilinlang, na kabilang din sa seksyon ng phishing. Kabilang dito ang mga email at website na naglalaman ng pangalan ng isang malaki at/o "hyped" na kumpanya. Ang mga mensahe ay ipinapadala mula sa kanilang mga pahina na may abiso ng tagumpay sa isang tiyak na kumpetisyon. Susunod, kailangan mong magpasok ng mahalagang impormasyon ng account at nakawin ito. Gayundin, ang paraan ng pandaraya na ito ay maaaring isagawa sa pamamagitan ng telepono.
Fake lottery - isang paraan kung saan ipinapadala ang isang mensahe sa biktima na may text na siya (a) nanalo (a) sa lottery. Kadalasan, naka-mask ang alerto gamit ang mga pangalan ng malalaking korporasyon.
Ang mga pekeng antivirus ay mga scam sa software. Gumagamit ito ng mga program na mukhang mga antivirus. Gayunpaman, sa katotohanan, humahantong sila sa pagbuo ng mga maling abiso tungkol sa isang partikular na banta. Sinusubukan din nilang akitin ang mga user sa larangan ng mga transaksyon.
Vishing, phreaking at pretexting
Habang pinag-uusapan ang social engineering para sa mga nagsisimula, dapat din nating banggitin ang vishing, phreaking at pretexting.
Ang Vishing ay isang paraan ng panlilinlang na gumagamit ng mga network ng telepono. Gumagamit ito ng mga pre-record na voice message, ang layunin nito ay muling likhain ang "opisyal na tawag" ng istruktura ng pagbabangko o anumang iba pang sistema ng IVR. Kadalasan, hinihiling sa kanila na magpasok ng isang username at / o password upang kumpirmahin ang anumang impormasyon. Sa madaling salita, ang system ay nangangailangan ng pagpapatunay ng user gamit ang mga PIN code o password.
Ang Phreaking ay isa pang anyo ng scam sa telepono. Ito ay isang sistema ng pag-hack gamit ang pagmamanipula ng tunog at pag-dial ng tono.
Ang Pretexting ay isang pag-atake gamit ang isang pinaghandaang plano, na ang esensya nito ay kumakatawan sa isa pang paksa. Isang napakahirap na paraan upang mandaya, dahil nangangailangan ito ng maingat na paghahanda.
Quid Pro Quo at ang Road Apple Method
Ang teorya ng social engineering ay isang multifaceted database na kinabibilangan ng parehong paraan ng panlilinlang at pagmamanipula, pati na rin ang mga paraan upang harapin ang mga ito. Ang pangunahing gawain ng mga nanghihimasok, bilang panuntunan, ay manghuli ng mahalagang impormasyon.
Iba pang uri ng mga scam ay kinabibilangan ng: quid pro quo, road apple, shoulder surfing, open source at reverse social media. engineering.
Quid-pro-quo (mula sa Latin - “para dito”) - isang pagtatangkang kumuha ng impormasyon mula sa isang kumpanya o firm. Nangyayari ito sa pamamagitan ng pakikipag-ugnayan sa kanya sa pamamagitan ng telepono o sa pamamagitan ng pagpapadala ng mga mensahe sa pamamagitan ng e-mail. Kadalasan, mga umaatakemagpanggap na empleyado. suporta, na nag-uulat ng pagkakaroon ng isang partikular na problema sa lugar ng trabaho ng empleyado. Pagkatapos ay nagmumungkahi sila ng mga paraan upang ayusin ito, halimbawa sa pamamagitan ng pag-install ng software. Ang software ay lumalabas na may depekto at nagpo-promote ng krimen.
Ang Road Apple ay isang paraan ng pag-atake na batay sa ideya ng isang Trojan horse. Ang kakanyahan nito ay nakasalalay sa paggamit ng isang pisikal na daluyan at ang pagpapalit ng impormasyon. Halimbawa, maaari silang magbigay ng isang memory card na may isang tiyak na "mabuti" na maakit ang atensyon ng biktima, maging sanhi ng pagnanais na buksan at gamitin ang file o sundin ang mga link na ipinahiwatig sa mga dokumento ng flash drive. Ang bagay na "road apple" ay ibinaba sa mga sosyal na lugar at hinintay hanggang sa maipatupad ng ilang paksa ang plano ng nanghihimasok.
Ang pagkolekta at paghahanap ng impormasyon mula sa mga open source ay isang scam kung saan ang pagkuha ng data ay batay sa mga pamamaraan ng sikolohiya, ang kakayahang mapansin ang maliliit na bagay at ang pagsusuri ng magagamit na data, halimbawa, mga pahina mula sa isang social network. Ito ay medyo bagong paraan ng social engineering.
Shoulder surfing at reverse social. engineering
Ang konsepto ng "shoulder surfing" ay tumutukoy sa sarili nito bilang panonood ng isang paksa nang live sa literal na kahulugan. Sa ganitong uri ng data fishing, ang umaatake ay pumupunta sa mga pampublikong lugar, gaya ng cafe, airport, istasyon ng tren at sumusunod sa mga tao.
Huwag maliitin ang pamamaraang ito, dahil ipinapakita ng maraming survey at pag-aaral na ang isang taong matulungin ay maaaring makatanggap ng maraming kumpidensyalimpormasyon sa pamamagitan lamang ng pagiging mapagmasid.
Ang Social engineering (bilang isang antas ng kaalamang sosyolohikal) ay isang paraan upang “kumuha” ng data. May mga paraan upang makakuha ng data kung saan ang biktima mismo ang mag-aalok sa umaatake ng kinakailangang impormasyon. Gayunpaman, maaari rin itong magsilbi sa kabutihan ng lipunan.
Reverse social ang engineering ay isa pang paraan ng agham na ito. Ang paggamit ng terminong ito ay nagiging angkop sa kaso na binanggit namin sa itaas: ang biktima mismo ang mag-aalok sa umaatake ng kinakailangang impormasyon. Ang pahayag na ito ay hindi dapat ituring na walang katotohanan. Ang katotohanan ay ang mga paksa na pinagkalooban ng awtoridad sa ilang mga lugar ng aktibidad ay kadalasang nakakakuha ng access sa data ng pagkakakilanlan sa sariling desisyon ng paksa. Ang batayan dito ay tiwala.
Mahalagang tandaan! Ang kawani ng suporta ay hindi kailanman hihingi sa user ng password, halimbawa.
Impormasyon at proteksyon
Ang pagsasanay sa social engineering ay maaaring gawin ng indibidwal batay sa personal na inisyatiba o batay sa mga benepisyong ginagamit sa mga espesyal na programa sa pagsasanay.
Maaaring gumamit ang mga kriminal ng iba't ibang uri ng panlilinlang, mula sa pagmamanipula hanggang sa katamaran, pagiging mapaniwalain, kagandahang-loob ng gumagamit, atbp. Napakahirap na protektahan ang iyong sarili mula sa ganitong uri ng pag-atake, dahil sa kakulangan ng biktima kamalayan na siya) niloko. Ang iba't ibang mga kumpanya at kumpanya upang protektahan ang kanilang data sa antas ng panganib na ito ay madalas na nakikibahagi sa pagsusuri ng pangkalahatang impormasyon. Ang susunod na hakbang ay upang isama ang kinakailanganmga pananggalang sa patakaran sa seguridad.
Mga Halimbawa
Ang isang halimbawa ng social engineering (ang gawa nito) sa larangan ng global phishing mailing ay isang kaganapan na naganap noong 2003. Ang mga email ay ipinadala sa mga gumagamit ng eBay sa panahon ng scam na ito. Sinabi nila na ang mga account na pag-aari nila ay na-block. Upang kanselahin ang pagharang, kinakailangang muling ipasok ang data ng account. Gayunpaman, ang mga liham ay peke. Nagsalin sila sa isang page na kapareho ng opisyal, ngunit peke. Ayon sa mga pagtatantya ng eksperto, ang pagkawala ay hindi masyadong malaki (mas mababa sa isang milyong dolyar).
Kahulugan ng responsibilidad
Ang paggamit ng social engineering ay maaaring may parusa sa ilang mga kaso. Sa ilang bansa, gaya ng United States, ang pagkukunwari (panlilinlang sa pamamagitan ng pagpapanggap bilang ibang tao) ay tinutumbasan ng pagsalakay sa privacy. Gayunpaman, ito ay maaaring parusahan ng batas kung ang impormasyong nakuha sa panahon ng pagkukunwari ay kumpidensyal mula sa punto ng view ng paksa o organisasyon. Ang pagre-record ng pag-uusap sa telepono (bilang paraan ng social engineering) ay kinakailangan din ng batas at nangangailangan ng multa na $250,000 o pagkakulong ng hanggang sampung taon para sa mga indibidwal. mga tao. Ang mga legal na entity ay kinakailangang magbayad ng $500,000; ang deadline ay nananatiling pareho.
