Sociální inženýrství: koncept, zakladatel, metody a příklady
V tomto článku budeme věnovat pozornost pojmu "sociální inženýrství". Zde bude bráno v úvahu obecná definice termínu. Dále se dozvídáme, kdo byl zakladatelem tohoto konceptu. Samostatně řečme o základních metodách sociálního inženýrství, které používají vetřelci.
Obsah
Úvod
Metody, které vám umožňují napravit lidské chování a řídit jeho činnosti bez použití technického souboru nástrojů, tvoří obecnou koncepci sociálního inženýrství. Všechny metody jsou založeny na tvrzení, že lidský faktor je nejničivější slabostí každého systému. Často se tento pojem považuje za úroveň nezákonné činnosti, kterou je trestný čin spáchán zločincem, jehož cílem je získání informací od oběti za nečestnými prostředky. Například to může být určitý druh manipulace. Sociální inženýrství však člověk používá v zákonné činnosti. Dnes je nejčastěji používán pro přístup k zdrojům se soukromými nebo hodnotnými informacemi.
Zakladatel
Zakladatelem sociálního inženýrství je Kevin Mitnick. Samotná koncepce však přišla od sociologie. Označuje společný soubor přístupů používaných aplikovanými společnostmi. vědy zaměřené na změnu organizační struktury, schopné určit lidské chování a ovládat ho. Kevin Mitnick může být považován za předka této vědy, neboť on byl ten, kdo popularizoval společenskou. inženýrství v první dekádě XXI. století. Kevin sám byl hacker, který se dopustil nezákonné proniknutí v široké škále databází. Argumentoval tím, že lidský faktor je nejzranitelnějším místem systému jakékoliv úrovně složitosti a organizace.
Když mluvíme o metodách sociálního inženýrství jako o způsobu získání práv (častěji nelegálních) pro používání důvěrných údajů, pak můžeme říci, že jsou již dlouho známy. Nicméně K. Mitnick byl schopen vysvětlit význam jejich významu a uplatnění.
Phishing a neexistující odkazy
Jakákoli technika sociálního inženýrství je založena na přítomnosti kognitivních deformací. Behaviorální chyby se stanou "nástrojem" v rukou zkušeného inženýra, který v budoucnu může vytvořit útok zaměřený na získání důležitých dat. Mezi metody sociálního inženýrství existují phishingové a neexistující vazby.
Phishing - internetový podvod, určený k získání osobních údajů, například o přihlašování a hesle.
Neexistující odkaz je použití odkazu, který přiláká příjemce s určitými výhodami, které můžete získat tím, že procházíte přes něj a navštěvujete konkrétní stránku. Nejčastěji se používají názvy velkých firem a zavádějí v jejich názve zanedbatelné opravy. Oběť po kliknutí na odkaz "dobrovolně" předá své osobní údaje útočníkovi.
Metody používající značky, defektní antivirové a padělané loterie
Ve společenském inženýrství také používají metody podvodu s použitím známých značek, defektních antivirových prostředků a falešné loterie.
"Podvod a značky" je metoda podvodu, která platí i pro část phishingu. Patří sem e-maily a webové stránky, které obsahují název velké a / nebo "propagované" společnosti. Ze svých stránek jsou zasílány zprávy s oznámením o vítězství v určité soutěži. Dále musíte zadat důležité informace o účtu a ukrást ho. Takéto formy podvodu lze provádět i telefonicky.
Podzemní loterie je způsob, kterým je obětem zaslána zpráva s textem, že (a) vyhrál (a) loterii. Nejčastěji se oznamuje maskováním názvů velkých společností.
Falešné antivirové programy jsou podvody na software. Programy, které vypadají podobně jako antivirové programy, se zde používají. V praxi však vedou k generování falešných oznámení o určité hrozbě. Také se snaží přilákat uživatele do rozsahu transakcí.
Viking, phreaking a pre-textování
Když mluvíme o sociálním inženýrství pro začátečníky, stojí za zmínku také o vishing, phreaking a pre-textování.
Vashing je forma podvodu, která využívá telefonní sítě. Používají se zde předem nahrané hlasové zprávy, jejichž účelem je znovu vytvořit "oficiální volání" bankovní struktury nebo jakéhokoli jiného systému IVR. Nejčastěji se požaduje zadání přihlašovacího jména a / nebo hesla pro potvrzení všech informací. Jinými slovy, systém vyžaduje ověření uživatelem pomocí kódů PIN nebo hesel.
Phreakování je další formou telefonického podvodu. Jedná se o hackerský systém s použitím zvukových manipulací a tónové volby.
Pre-textování je útok pomocí předem koncipovaného plánu, jehož podstata spočívá v podání jiné entity. Extrémně složitá metoda podvodu, protože vyžaduje pečlivou přípravu.
Quid-pro-quo a metoda "road apple"
Teorie sociálního inženýrství je mnohostranná databáze, která zahrnuje jak metody podvodu a manipulace, tak způsoby, jak s nimi vypořádat. Hlavním úkolem vetřelců je zpravidla vykopávat cenné informace.
Mezi další typy podvodů patří: Quid-pro-Quo, metoda "road apple", rameno surfování, využití otevřených zdrojů a reverzní sociální. inženýrství.
Quid-pro-quo (z latiny - "pak pro to") je pokus o získání informací od firmy nebo firmy. K tomu dochází tím, že se na ně obrátite telefonicky nebo zasíláním zpráv e-mailem. Nejčastěji se zdá, že útočníci jsou zaměstnanci těchto osob. podpora, která hlásí přítomnost konkrétního problému na pracovišti zaměstnance. Dále navrhnou způsoby, jak ho odstranit, například instalací softwaru. Software se ukázal být vadný a podporuje zločin.
"Silniční jablko" je způsob útoku, který je založen na myšlence trojského koně. Jeho podstatou je použití fyzického média a nahrazení informací. Například si mohou vybavit paměťovou kartu s určitým "dobrem", který přiláká pozornost oběti, vyvolá touhu otevřít a používat soubor nebo sledovat odkazy uvedené v dokumentech USB flash disku. Objekt "silničního jablka" je vyhozen na společenských místech a čeká, dokud někdo neuvědomí plán útočníka.
Sběr a získávání informací ze zdrojů s otevřeným zdrojovým kódem je podvod, při němž je získávání dat založeno na metodách psychologie, v schopnosti pozorovat malé věci a analyzovat dostupné údaje, například stránky ze sociální sítě. Je to docela nový způsob sociálního inženýrství.
Rameno surfování a opačné sotva. inženýrství
Pojem "surfování na ramenou" se sám definuje jako pozorování subjektu živého v doslovném smyslu. Při tomto druhu dolování dat jde útočník na veřejná místa, například kavárna, letiště, nádraží a monitoruje lidi.
Nepodceňujte tuto metodu, jelikož mnoho průzkumů a studií ukazuje, že pozorná osoba může dostat spoustu důvěrných informací jednoduše tím, že ukáže pozorování.
Sociální inženýrství (jako úroveň sociologických znalostí) je prostředkem pro "zachycení" dat. Existují způsoby, jak získat údaje, ve kterých sama oběť nabídne útočníkovi potřebné informace. Může však sloužit i veřejnému blahu.
Inverzní soc. Inženýrství je další metodou této vědy. Použití tohoto výrazu se stává vhodným v případě, že jsme se zmínili výše: samotná oběť nabídne útočníkovi potřebné informace. Neberte toto prohlášení za absurdní. Faktem je, že subjekty s pravomocí v určitých sférách činnosti často přistupují k identifikačním údajům podle vlastního rozhodnutí subjektu. Důvěra je zde.
Je důležité si pamatovat! Podporní pracovníci nikdy nepožadují uživateli, například heslo.
Znalost a ochrana
Trénink sociálního inženýrství může být prováděn jednotlivcem jak na základě osobní iniciativy, tak na základě výhod, které se používají ve speciálních vzdělávacích programech.
Zločinci mohou být použity různé typy podvodů, manipulací a dokončovací lenosti, důvěřivosti a User přívětivost t. D. Z tohoto typu útoku je velmi obtížné se bránit kvůli nedostatku informovanosti obětí, že jeho (její) podváděl. Různé firmy a společnosti často vyhodnocují obecné informace k ochraně svých údajů na této úrovni nebezpečí. Dále jsou do bezpečnostní politiky začleněna nezbytná bezpečnostní opatření.
Příklady
Příkladem sociálního inženýrství (jeho jednání) v oblasti metody globálních zásilek phishingu je událost, k níž došlo v roce 2003. V průběhu tohoto podvodného e-mailu uživatelé posílali dopisy na e-mailové adresy. Tvrdili, že účty, které jim patří, byly zablokovány. Chcete-li zámek zrušit, musíte znovu zadat informace o účtu. Nicméně dopisy byly falešné. Převedli na stránku shodnou s oficiální stránkou, ale falešnou. Podle odborných odhadů nebyla ztráta příliš významná (méně než milion dolarů).
Definice odpovědnosti
Pro aplikaci sociálního inženýrství mohou být v některých případech potrestány. V řadě zemí, například v USA, předběžné textování (klamání tím, že se vydává za jinou osobu) se rovná napadení osobního života. To však může být potrestáno zákonem, pokud byly informace získané během předběžného textu důvěrné z hlediska subjektu nebo organizace. Nahrávání telefonického rozhovoru (jako metoda sociálního inženýrství) je také stanoveno zákonem a vyžaduje zaplacení pokuty ve výši 250 000 dolarů nebo uvěznění až na deset let pro osobu. osob. Právnické osoby jsou povinny platit 500 000 dolarů - doba zůstává stejná.
Aplikovaná sociologie
Mobilita je pohyb předmětu v rámci sociálního systému
Kritéria sociálního pokroku: definice nejednoznačného jevu
Antropocentrismus je koncept, v němž je člověk reprezentován jako centrum vesmíru
Sociální stav: funkce a principy
Sociální pokrok: koncept, kritéria a výsledky
Sociální institut: znaky. Příklady sociálních institucí- Sociální psychologie jako věda
Jaká je profesionální úroveň sociálního pracovníka?- Sociologie osobnosti a společnosti
- Předmět ekonomiky
- Genetické inženýrství
- Úrovně sociologických znalostí
- Jaký je lidský genom?
Co je to paradigma: definice, rysy a zajímavé fakty- Sociální zabezpečení
- Jak hackovat agenta
- Sociální systém
- Sociální technologie: definice, typy, nástroje
Experiment je práce myšlenky- Funkce sociálního řízení a identifikace jejich metod v reklamních textech