Sotsiaalne inseneritöö– meetod juurdepääsuks konfidentsiaalsele teabele, paroolidele, pangandus- ja muudele kaitstud andmetele ja süsteemidele.
Küberkurjategijad kasutavad sotsiaalset manipuleerimist sihipäraste rünnakute läbiviimiseks (ründed ettevõtete või valitsusasutuste infrastruktuuri vastu). Nad uurivad eelnevalt hoolikalt organisatsiooni kaitsemehhanisme.

Selle artikli avaldamine portaalis www.. Ei saidi toimetajad ega artikli autor ei vastuta artiklist saadud teabe mittesihipärase kasutamise eest!

Sotsiaalne inseneritöö

Sotsiaalset manipuleerimist peetakse organisatsioonide vastu suunatud rünnakute kõige ohtlikumaks ja hävitavamaks tüübiks. Kuid kahjuks ei pöörata sellele küsimusele infoturbekonverentsidel praktiliselt mingit tähelepanu.

Samal ajal on enamik juhtumeid Interneti venekeelses segmendis välismaistest allikatest ja raamatutest. Ma ei ütle, et RuNetis on selliseid juhtumeid vähe, nad lihtsalt ei räägi neist mingil põhjusel. Otsustasin välja mõelda, kui ohtlik sotsiaalne manipuleerimine tegelikult on, ja hinnata, millised võivad olla selle massilise kasutamise tagajärjed.

Infoturbe ja pentestimise sotsiaalne manipuleerimine on tavaliselt seotud sihipärase rünnakuga konkreetse organisatsiooni vastu. Selles juhtumikogus tahan vaadelda mitmeid näiteid sotsiaalse manipuleerimise kasutamisest, kui “rünnakuid” sooritati massiliselt (valimatult) või massiliselt (teatud piirkonna organisatsioonide vastu).

Defineerime mõisted nii, et kõik saaksid aru, mida ma mõtlen. Artiklis kasutan mõistet "sotsiaalne insener" järgmises tähenduses: "inimlike nõrkuste kasutamisel põhinevate meetodite kogum eesmärgi saavutamiseks." See ei ole alati midagi kriminaalset, kuid sellel on kindlasti negatiivne varjund ja see on seotud pettuse, manipuleerimise ja muu sellisega. Kuid igasugused psühholoogilised nipid poes allahindluse saamiseks ei ole sotsiaalne manipuleerimine.

Selles valdkonnas tegutsen ainult uurijana, ma ei ole loonud ühtegi pahatahtlikku saiti ega faile. Kui keegi sai minult meili saidi lingiga, oli see sait turvaline. Halvim, mis seal juhtuda võib, on Yandex.Metrica loenduri jälgitav kasutaja.

Sotsiaalse inseneri näiteid

Olete ilmselt kuulnud rämpspostist, millesse on manustatud "lõpetatud töö sertifikaate" või lepinguid troojalastega. Te ei üllata raamatupidajaid selliste kirjadega. Või hüpikaknad soovitustega videote vaatamiseks mõeldud pistikprogrammi allalaadimiseks - see on juba igav. Olen välja töötanud mitu vähem ilmne stsenaariumi ja esitan need siin mõtteainena. Loodan, et neist ei saa tegevusjuhiseid, vaid vastupidi, need aitavad muuta Runeti turvalisemaks.

Kinnitatud saatja

Mõnikord ei luba saidi administraatorid jäetuse tõttu registreerimisvormis väljale "Nimi" filtreerimist (näiteks uudiskirja tellimisel või avalduse esitamisel). Nime asemel saate sisestada teksti (mõnikord kilobaiti teksti) ja lingi pahatahtlikule saidile. Sisestage e-posti väljale ohvri aadress. Pärast registreerimist saab see inimene teenuselt kirja: "Tere, kallis..." ja seejärel - meie tekst ja link. Teenuse sõnum on kõige allosas.

Kuidas muuta see massihävitusrelvaks?

Elementaarne. Siin on üks juhtum minu praktikast. 2017. aasta detsembris avastas üks otsingumootoritest võimaluse saata sõnumeid varumeili linkimisvormi kaudu. Enne kui saatsin veaprogrammi raames aruande, oli võimalik saata 150 tuhat sõnumit päevas - oli vaja lihtsalt vormi täitmist veidi automatiseerida.

See nipp võimaldab saata petukirju päris veebisaidi tehnilise toe aadressilt koos kõigi digiallkirjade, krüptimisega ja muuga. Kuid kogu ülemine osa osutub ründaja kirjutatud. Sain ka selliseid kirju, mitte ainult suurtelt firmadelt nagu booking.com või paypal.com, vaid ka vähem tuntud saitidelt.

Ja siin on 2018. aasta aprilli "trend".

Meilid Google Analyticsilt

Ma räägin teile täiesti uuest juhtumist – alates 2018. aasta aprillist. Google Analyticsi meilidest hakkas mitmele minu aadressile saabuma rämpspost. Veidi kaevates leidsin, kuidas see saadetakse.

Sotsiaalse inseneri näiteid. Kinnitatud saatja meetod

"Kuidas seda rakendada?" - ma mõtlesin. Ja siin tuli meelde: pettur võib teha näiteks sellise teksti.

Sotsiaalse inseneri näiteid. Kinnitatud saatja meetod
Sotsiaalse inseneri näiteid. Kinnitatud saatja meetod

Seda paroolide kogumist saab läbi viia mitte ainult sihipäraselt, vaid ka massiliselt, peate lihtsalt veidi automatiseerima Google Analyticsist domeenide kogumise ja nendelt saitidelt pärit meilide sõelumise.

Uudishimu

See meetod, kuidas panna inimene lingil klõpsama, nõuab teatavat ettevalmistust. Võltsfirmale luuakse veebileht ainulaadse nimega, mis tõmbab kohe tähelepanu. Noh, näiteks LLC “ZagibaliVigibali”. Ootame, et otsingumootorid selle indekseeriksid.

Nüüd on meil põhjust selle ettevõtte nimel õnnitlusi saata. Saajad hakkavad kohe seda guugeldama ja leiavad meie veebisaidi üles. Muidugi on parem õnnitlus ise ebatavaliseks muuta, et adressaadid kirja rämpsposti kausta ei tõmbaks. Pärast väikese testi tegemist teenisin hõlpsalt üle tuhande konversiooni.

Võltsitud uudiskirja tellimine

Mis seal kirjas on?

Inimeste meelitamiseks mõnelt foorumilt või saidilt avatud kommentaaridega ei pea te leiutama ahvatlevaid tekste – lihtsalt postitage pilt. Valige lihtsalt midagi atraktiivsemat (mingisugune meem) ja pigistage seda nii, et teksti pole võimalik eristada. Uudishimu paneb kasutajad alati pildil klõpsama. Oma uurimistöös viisin läbi katse ja sain sel primitiivsel viisil umbes 10k üleminekut. Sama pahatahtlikku meetodit kasutati kunagi ka troojalaste edastamiseks LJ (Live Journal) kaudu.

Mis su nimi on?

Kasutaja sundimine makroga faili või isegi dokumenti avama pole nii keeruline, kuigi paljud on kuulnud sellega kaasnevatest ohtudest. Massisõnumite saatmisel suurendab juba ainuüksi inimese nime teadmine tõsiselt eduvõimalusi.

Näiteks saame saata meili tekstiga "Kas see meil on endiselt aktiivne?" või "Palun kirjutage oma veebisaidi aadress." Vähemalt 10–20% juhtudest sisaldab vastus saatja nime (suurtes ettevõtetes on see enam levinud). Ja mõne aja pärast kirjutame "Alena, tere. Mis teie veebisaidil viga on (lisatud foto)?" Või "Boris, tere pärastlõunal. Ma ei saa hinnakirjast aru. Vajan 24. positsiooni. Lisan hinna." Noh, hinnakirjas on banaalne lause “Sisu vaatamiseks luba makrosid...” koos kõigi sellest tulenevate tagajärgedega.

Üldjuhul avatakse ja töödeldakse isiklikult adresseeritud sõnumeid suurusjärgus sagedamini.

Massi intelligentsus

See stsenaarium ei ole niivõrd rünnak, kuivõrd selleks valmistumine. Oletame, et tahame teada saada mõne olulise töötaja – näiteks raamatupidaja või turvateenistuse juhi – nime. Seda on lihtne teha, kui saadate mõnele töötajale, kellel see teave võib olla, järgmise sisuga kirja: „Palun öelge mulle direktori keskmine nimi ja kontoritöö ajakava. Peame saatma kulleri."

Silmade katmiseks palume tööaega, kuid keskmise nime küsimine on nipp, mis võimaldab meil mitte öelda, et me ei tea oma ees- ja perekonnanime. Mõlemad sisalduvad tõenäoliselt ohvri vastuses: täisnimi kirjutatakse enamasti täismahus. Oma uurimistöö käigus sain sel moel kokku koguda enam kui kahe tuhande režissööri nimed.

Kui teil on vaja teada oma ülemuse meili, võite julgelt kirjutada sekretärile: "Tere. Ma pole Andrei Borisovitšiga pikka aega rääkinud, kas tema aadress töötab ikka veel? Ja siis ma ei saanud temalt vastust. Roman Gennadievitš." Sekretär näeb e-kirja, mis on koostatud direktori pärisnime järgi ja sisaldab ettevõtte veebisaiti, ning annab Andrei Borisovitši tegeliku aadressi.

Sotsiaalne inseneritöö — volitamata juurdepääs konfidentsiaalsele teabele isiku teadvusega manipuleerimise teel. Sotsiaalse inseneri meetodid põhinevad psühholoogia eripäradel ja on suunatud inimlike nõrkuste (naiivsus, tähelepanematus, uudishimu, ärihuvid) ärakasutamisele. Sotsiaalsed häkkerid kasutavad neid aktiivselt nii Internetis kui ka väljaspool seda.

Digitehnoloogiate, veebiressursside, arvutite, nutitelefonide osas toimub võrgukasutajate “ajuudu” aga mõnevõrra erinevalt. Petturid paigutavad püüniseid, püüniseid ja muid nippe kõikjal ja igal viisil, sotsiaalvõrgustikesse, mänguportaalidesse, e-posti postkastidesse ja võrguteenustesse. Siin on vaid mõned näited sotsiaalse inseneri meetodite kohta:

Pühadekingiks... Trooja hobune

Olenemata iseloomust, ametist, maksevõimest, ootab iga inimene pühi: uusaasta, 1. mai, 8. märts, sõbrapäev jne, et loomulikult neid tähistada, lõõgastuda, oma hingelist aurat positiivsusega täita. ja samal ajal vahetage oma sõprade ja seltsimeestega õnnitlusi.

Praegu on sotsiaalsed häkkerid eriti aktiivsed. Pühade ja pühade ajal saadavad nad meiliteenuste kontodele postkaarte: säravad, värvilised, muusika ja... ohtliku trooja viirusega. Ohver, kes ei tea sellisest pettusest midagi, olles lõbu või lihtsalt uudishimu eufoorias, klõpsab postkaardil. Samal hetkel nakatab pahavara OS-i ja ootab siis õiget hetke, et varastada registreerimisandmed, maksekaardi number või veebipoe veebileht brauseris võltsiga asendada ja kontolt raha varastada.

Soodne allahindlus ja viirus "laaditud"

Suurepärane näide sotsiaalsest inseneritööst. Soov oma raskelt teenitud raha “kokku hoida” on igati õigustatud ja arusaadav, kuid mõistlikes piirides ja teatud tingimustel. See räägib sellest, et "kõik, mis sädeleb, pole kuld".

Petturid suurimate kaubamärkide, veebipoodide ja teenuste sildi all, sobiva kujundusega, pakuvad ostma kaupu uskumatu allahindlusega ja saavad lisaks ostule kingituse... Koostavad võltsitud uudiskirju, loovad sotsiaalvõrgustikes gruppe ja temaatilised "lõimed" foorumites.

Naiivseid tavainimesi, nagu öeldakse, “juhib” see särav kommertsplakat: kiirustades loevad nad peas kokku, kui palju palgast, ettemaksust alles on jäänud ja klõpsavad lingil “osta”, “mine saidile osta” jne. Pärast seda saavad nad 99 juhul 100-st tasuva ostu asemel arvutisse viiruse või saadavad sotsiaalhäkkeritele tasuta raha.

Mängija annetus +300% vargusoskuste heaks

Võrgumängudes ja üldiselt mitmikmängudes, harvade eranditega, jäävad ellu tugevaimad: need, kellel on tugevam soomus, kahju, tugevam maagia, rohkem tervist, manat jne.

Ja loomulikult soovib iga mängija iga hinna eest hankida neid hinnalisi esemeid oma tegelase, tanki, lennuki ja kes teab veel mille jaoks. Lahingutes või kampaaniates, oma kätega või päris raha eest (annetusfunktsioon) mängu virtuaalses poes. Olla parim, esimene... kes jõuab viimasele arengutasemele.

Petturid teavad nendest "mängijate nõrkustest" ja ahvatlevad mängijaid igal võimalikul viisil omandama väärtuslikke esemeid ja oskusi. Mõnikord raha eest, mõnikord tasuta, kuid see ei muuda kuritahtliku skeemi olemust ja eesmärki. Ahvatlevad pakkumised võltsitud saitidel kõlavad umbes nii: "laadige see rakendus alla", "installige plaaster", "logige mängu sisse, et üksus hankida".

Vastutasuks kauaoodatud boonuse eest varastatakse mängija konto. Kui see on hästi pumbatud, müüvad vargad selle maha või võtavad sealt välja makseinfo (kui on).

Pahavara + sotsiaalne manipuleerimine = plahvatusohtlik pettuse segu

Hoiatusikoonid!

Paljud kasutajad kasutavad hiirt OS-is "autopiloodil": klõpsake siin, siin; avastasin selle, selle, selle. Harva vaatab keegi neist lähemalt failide tüüpi, nende mahtu ja omadusi. Aga asjata. Häkkerid maskeerivad pahavara käivitatavaid faile tavaliste Windowsi kaustade, piltide või usaldusväärsete rakendustena, mis tähendab, et neid ei saa väliselt ega visuaalselt eristada. Kasutaja klõpsab kaustal, selle sisu loomulikult ei avane, sest see pole üldse kaust, vaid .exe laiendiga viiruseinstaller. Ja pahavara tungib "vaikselt" OS-i.

Selliste trikkide kindel "vastumürk" on Total Commanderi failihaldur. Erinevalt integreeritud Windows Explorerist kuvab see kõik faili üksikasjad: tüüp, suurus, loomise kuupäev. Suurimaks võimalikuks ohuks süsteemile on tundmatud failid laiendiga “.scr”, “.vbs”, “.bat”, “.exe”.

Hirm toidab usaldust

1. Kasutaja avab "õuduslugude saidi" ja talle teatatakse kohe kõige ebameeldivamad uudised või isegi uudised: "teie arvuti on nakatunud ohtliku troojalasega", "Teie operatsioonisüsteemis on tuvastatud 10, 20... 30 viirust", "Teie arvutist saadetakse rämpsposti" jne.
2. Ja nad pakuvad kohe (näitage "mure") viirusetõrje installimist ja seega saidil väljendatud turvaprobleemi lahendamist. Ja mis kõige tähtsam, täiesti tasuta.
3. Kui külastajat valdab hirm oma arvuti ees, järgib ta linki ja laadib alla... mitte viirusetõrje, vaid vale viirusetõrje – viirustega täidetud võltsi. Installib ja käivitab – tagajärjed on asjakohased.

• Esiteks ei saa veebisait külastaja arvutit koheselt skannida ja pahavara tuvastada.
• Teiseks levitavad arendajad oma viirusetõrjeid, kas tasulisi või tasuta, oma, see tähendab ametlike veebisaitide kaudu.
• Ja lõpuks, kolmandaks, kui on kahtlusi ja hirme selle suhtes, kas OS on "puhas" või mitte, on parem kontrollida süsteemipartitsiooni olemasolevaga, see tähendab installitud viirusetõrjega.

Kokkuvõtteid tehes

Psühholoogia ja häkkimine käivad tänapäeval käsikäes – inimlike nõrkuste ja tarkvara haavatavuste ärakasutamise tandem. Internetis olles, pühadel ja argipäeviti, päeval või öösel, ja olenemata tujust, peate olema valvas, naiivsuse alla suruma ning eemale peletama ärilise kasu ja millegi "tasuta" impulsid. Sest nagu teate, ainult juustu antakse välja asjata ja ainult hiirelõksus. Looge ainult paroole, hoidke neid kohtades ja jääge meie juurde, sest nagu me teame, pole liiga palju turvalisust.

Ära kaota seda. Liituge ja saate oma e-postiga artikli linki.

Alates arvutite tulekust ja Interneti arengu algusest on programmeerijad püüdnud kõigest väest arvutiturvet tagada. Kuid isegi täna pole kellelgi õnnestunud seda 100% saavutada. Kujutagem aga ette, et see tulemus saavutati siiski tänu võimsale krüptograafiale, täiustatud turvaprotokollidele, usaldusväärsele tarkvarale ja muudele turvaelementidele. Selle tulemusena saame täiesti turvalise võrgu ja saame selles turvaliselt töötada.

"Imeline! – ütlete: "See on kotis!", kuid eksite, sest sellest ei piisa. Miks? Jah, sest mis tahes arvutisüsteemi eeliseid on võimalik saada ainult kasutajate osalusel, s.t. inimesed. Ja just see arvuti ja inimese vaheline suhtlus kannab endas tõsist ohtu ning inimene osutub sageli turvameetmete ahela nõrgimaks lüliks. Pealegi on ta ise põhjus, miks turvalisus on ebatõhus.

Infoajastul on inimestega manipuleerimine muutunud lihtsamaks, sest olemas on internet ja mobiilside, mis võimaldavad suhelda ilma vahetu kontaktita. On isegi spetsiaalseid meetodeid, mis aitavad ründajatel inimestega "opereerida" nii, nagu nad soovivad. Nende kompleksi nimetatakse sotsiaalseks manipuleerimiseks ja selles artiklis proovime välja selgitada, mis see on.

Sotsiaalne insener: mis see on ja kuidas see ilmus?

On lihtne arvata, et isegi kõige keerukam turvasüsteem on haavatav, kui seda juhib inimene, eriti kui see inimene on kergeusklik, naiivne ja... Ja kui rünnatakse masinat (PC), võib ohver olla mitte ainult arvuti, vaid ka inimene, kes sellel töötab.

Sellist rünnakut nimetatakse sotsiaalsete häkkerite slängis sotsiaalseks manipuleerimiseks. Traditsioonilisel kujul näeb see välja nagu telefonikõne, kus helistaja teeskleb kedagi teist, soovides abonendilt konfidentsiaalset teavet, enamasti paroole, hankida. Kuid oma artiklis käsitleme sotsiaalse manipuleerimise fenomeni laiemas tähenduses, mis tähendab selle all kõiki võimalikke psühholoogilise manipuleerimise meetodeid, nagu väljapressimine, tunnetel mängimine, petmine jne.

Selles arusaamas on sotsiaalne inseneritöö meetod inimeste tegevuse kontrollimiseks ilma tehnilisi vahendeid kasutamata. Kõige sagedamini tajutakse seda kui ebaseaduslikku meetodit mitmesuguse väärtusliku teabe hankimiseks. Seda kasutatakse peamiselt Internetis. Kui olete huvitatud sotsiaalse inseneri näidetest, on siin üks silmatorkavamaid:

NÄIDE: Ründaja soovib teada saada inimese isikliku Interneti-pangakonto parooli. Ta helistab kannatanule telefoni teel ja tutvustab end pangatöötajana, küsides parooli, viidates tõsistele tehnilistele probleemidele organisatsiooni süsteemis. Suurema veenvuse huvides nimetab ta töötaja väljamõeldud (või eelnevalt väljaselgitatud tegeliku) nime, ametikoha ja volitused (vajadusel). Et ohver uskuda, saab sotsiaalne häkker täita oma loo usutavate detailidega ja mängida ohvri enda tunnetele. Pärast seda, kui ründaja on teabe kätte saanud, jätab ta endiselt osavalt oma "kliendiga" hüvasti ja kasutab seejärel parooli oma isikliku konto sisenemiseks ja raha varastamiseks.

Kummalisel kombel on isegi meie ajal inimesi, kes satuvad sellisesse söödasse ja räägivad sotsiaalsetele häkkeritele usalduslikult kõike, mida nad vajavad. Ja viimaste arsenalis võib olla palju tehnikaid ja tehnikaid. Me räägime teile ka neist, kuid veidi hiljem.

Sotsiaalne insener on teadus (suund), mis ilmus suhteliselt hiljuti. Selle sotsioloogiline tähtsus seisneb selles, et ta tegutseb spetsiifiliste teadmistega, mis suunavad, süstematiseerivad ja optimeerivad uute sotsiaalsete reaalsuste loomise, kaasajastamise ja rakendamise protsessi. Teatud mõttes täiendab see sotsioloogilisi teadmisi, muutes teaduslikud teadmised tegevus- ja käitumisalgoritmideks.

Inimesed on sotsiaaltehnoloogiat mingil kujul kasutanud iidsetest aegadest saadik. Näiteks Vana-Roomas ja Vana-Kreekas austati kõrgelt spetsiaalselt koolitatud retoorikuid, kes suutsid vestluspartnerit veenda, et ta eksib. Need inimesed osalesid diplomaatilistel läbirääkimistel ja lahendasid riiklikke probleeme. Hiljem võtsid sotsiaalse manipuleerimise omaks sellised luureagentuurid nagu CIA ja KGB, mille agendid kehastasid edukalt kedagi ja selgitasid välja riigisaladusi.

1970. aastate alguseks hakkasid tekkima telefonihuligaanid, kes segasid nalja pärast erinevate firmade rahu. Kuid aja jooksul mõistis keegi, et tehnilist lähenemist kasutades saate üsna hõlpsalt erinevat olulist teavet. Ja 70ndate lõpuks muutusid endistest telefonihuligaanidest professionaalsed sotsiaalinsenerid (neid hakati kutsuma lauljateks), kes suutsid inimestega meisterlikult manipuleerida, määrata nende kompleksid ja hirmud lihtsalt intonatsiooni järgi.

Kui arvutid ilmusid, muutis enamik lauljaid oma profiili, muutudes sotsiaalseteks häkkeriteks. Nüüd on mõisted "sotsiaalne insener" ja "sotsiaalsed häkkerid" sünonüümid. Ja sotsiaalse inseneri jõulise arenguga hakkasid ilmuma uued tüübid ja tehnikate arsenal laienes.

Vaadake seda lühikest videot, et näha, kuidas sotsiaalsed häkkerid inimestega manipuleerivad.

Sotsiaalse inseneri meetodid

Kõik sotsiaalse manipuleerimise tõelised näited näitavad, et see kohandub kergesti mis tahes tingimuste ja olukorraga ning sotsiaalsete häkkerite ohvrid reeglina isegi ei kahtlusta, et nende vastu kasutatakse mingit tehnikat, veel vähem teavad, kes seda teeb. .

Kõik sotsiaalse inseneri meetodid põhinevad . See on nn kognitiivne baas, mille kohaselt kipuvad inimesed sotsiaalses keskkonnas alati kedagi usaldama. Sotsiaalse inseneri peamiste meetodite hulgas on järgmised:

• "Trooja hobune"
• Ettekääne
• "Teeõun"
• Andmepüük
• Qui umbes quo

Räägime teile neist lähemalt.

"Trooja hobune"

“Trooja hobust” kasutades kasutatakse ära inimese uudishimu ja soov kasu saada. Sotsiaalsed häkkerid saadavad ohvri e-kirjale kirja, mis sisaldab mõnda huvitavat manust, näiteks mõne programmi uuendust, erootilise sisuga ekraanisäästjat, põnevaid uudiseid jne. Meetodit kasutatakse selleks, et sundida kasutajat klõpsama failil, mis võib arvuti viirusega nakatada. Sageli ilmuvad seetõttu ekraanile bännerid, mida saab sulgeda vaid kahel viisil: operatsioonisüsteemi uuesti installides või ründajatele teatud summa makstes.

Ettekääne

Mõiste “ettekääne” tähendab toimingut, mida kasutaja sooritab eelnevalt koostatud ettekäände alusel, s.o. stsenaarium. Eesmärk on, et inimene annaks konkreetset teavet või teeks konkreetse toimingu. Enamasti kasutatakse ettekäänet telefonikõnede ajal, kuigi on näiteid sarnastest rünnakutest Skype'i, Viberi, ICQ ja muude kiirsõnumite vastu. Kuid meetodi rakendamiseks ei pea laulja või häkker mitte ainult objekti eelnevalt uurima - uurige välja tema nimi, sünniaeg, töökoht, kontol olev summa jne. Selliste detailide abil suurendab laulja ohvri enesekindlust.

"Teeõun"

Maanteeõuna meetod seisneb “Trooja hobuse” kohandamises ja nõuab mingisuguse füüsilise andmekandja kohustuslikku kasutamist. Sotsiaalsed häkkerid võivad istutada alglaaditavaid välkmäluseadmeid või võltsitud kettaid huvitava ja/või ainulaadse sisuga meediumiteks. Pole vaja muud, kui panna kannatanule diskreetselt “maanteeõun” näiteks autosse parklas, kotti liftis jne. Või võite lihtsalt jätta selle "vilja" sinna, kus ohver seda tõenäoliselt näeb, ja võtta selle ise.

Andmepüük

Andmepüük on väga levinud meetod konfidentsiaalse teabe hankimiseks. Klassikalises versioonis on see "ametlik" e-kiri (makseteenuselt, pangalt, kõrgelt isikult jne), mis on varustatud allkirjade ja pitseriga. Saaja peab järgima linki võltsitud veebisaidile (seal on ka kõik, mis räägib ressursi "ametlikkusest ja usaldusväärsusest") ja sisestama teatud teabe, näiteks täisnime, koduaadressi, telefoninumbri, suhtlusvõrgustiku profiili aadressid, panganumbrikaardid (ja isegi CVV-kood!). Olles saiti usaldanud ja andmed sisestanud, saadab ohver need petturitele ning mis edasi saab, on lihtne aimata.

Qui umbes quo

Qui Pro Quo meetodit kasutatakse pahavara sisseviimiseks erinevate ettevõtete süsteemidesse. Sotsiaalsed häkkerid helistavad soovitud (vahel ükskõik millisele) ettevõttele, tutvustavad end tehnilise toe töötajatena ja küsitlevad töötajaid arvutisüsteemi tehniliste probleemide korral. Kui esineb tõrkeid, hakkavad ründajad neid "kõrvaldama": nad paluvad ohvril sisestada teatud käsu, mille järel on võimalik viirustarkvara käivitada.

Ülaltoodud sotsiaaltehnoloogia meetodeid kohtab praktikas kõige sagedamini, kuid on ka teisi. Lisaks on olemas ka sotsiaalne manipuleerimise eriliik, mis on samuti mõeldud inimese ja tema tegude mõjutamiseks, kuid tehakse hoopis teistsuguse algoritmi järgi.

Reverse social engineering

Reverse social engineering ja sellele spetsialiseerunud sotsiaalsed häkkerid arendavad oma tegevust kolmes suunas:

• Luuakse olukordi, mis sunnivad inimesi abi otsima
• Reklaamitakse probleemilahendusteenuseid (see hõlmab ka tegelike spetsialistide eelnevat abi)
• Seal on "abi" ja mõju

Seda tüüpi sotsiaalse manipuleerimise puhul uurivad ründajad esialgu inimest või inimeste rühma, keda nad kavatsevad mõjutada. Uuritakse nende kirgi, huve, soove ja vajadusi ning nende kaudu avaldatakse mõju programmide ja muude elektrooniliste mõjutamismeetodite abil. Veelgi enam, programmid peavad esmalt töötama tõrgeteta, et mitte tekitada muret, ja alles seejärel lülituda pahatahtlikule režiimile.

Samuti pole haruldased pöördühiskonna manipuleerimise näited ja siin on üks neist:

Sotsiaalsed häkkerid töötavad välja programmi konkreetse ettevõtte jaoks, lähtudes selle huvidest. Programm sisaldab aeglaselt toimivat viirust – kolme nädala pärast aktiveerub see ja süsteem hakkab talitlushäireid tegema. Juhtkond võtab arendajatega ühendust, et aidata probleemi lahendada. Olles sündmuste selliseks arenguks valmis, saadavad ründajad oma "spetsialisti", kes "probleemi lahendades" saab juurdepääsu konfidentsiaalsele teabele. Eesmärk on täidetud.

Erinevalt tavapärasest sotsiaalsest manipuleerimisest on pöördprojekteerimine töömahukam, nõuab eriteadmisi ja -oskusi ning seda kasutatakse laiema publiku mõjutamiseks. Kuid selle tekitatav efekt on hämmastav – ohver ilma vastupanuta, s.t. omal vabal tahtel paljastab häkkeritele kõik oma kaardid.

Seega kasutatakse igasugust sotsiaalset manipuleerimist peaaegu alati pahatahtlikult. Mõned inimesed räägivad muidugi selle eelistest, viidates sellele, et seda saab kasutada sotsiaalsete probleemide lahendamiseks, sotsiaalse aktiivsuse säilitamiseks ja isegi sotsiaalsete institutsioonide kohandamiseks muutuvate tingimustega. Kuid hoolimata sellest kasutatakse seda kõige edukamalt:

• Inimeste petmine ja konfidentsiaalse teabe hankimine
• Inimestega manipuleerimine ja väljapressimine
• Ettevõtete töö destabiliseerimine nende hilisemaks hävitamiseks
• Andmebaasi vargus
• Finantspettus
• Konkurentsivõimeline intelligentsus

Loomulikult ei saanud see märkamata jääda ja ilmusid meetodid sotsiaalse insenerluse vastu võitlemiseks.

Kaitse sotsiaalse manipuleerimise eest

Tänapäeval viivad suured ettevõtted süstemaatiliselt läbi igasuguseid sotsiaalsele manipuleerimisele vastupidavuse teste. Peaaegu mitte kunagi ei ole sotsiaalsete häkkerite rünnaku alla sattunud inimeste tegevus tahtlik. Kuid see teebki need ohtlikuks, sest kuigi välise ohu eest on suhteliselt lihtne kaitsta, on sisemise ohu eest palju keerulisem kaitsta.

Turvalisuse suurendamiseks viib ettevõtte juhtkond läbi erikoolitusi, jälgib oma töötajate teadmiste taset ja algatab ka ise sisemise sabotaaži, mis võimaldab meil määrata inimeste valmisoleku astet sotsiaalsete häkkerite rünnakuteks, nende reaktsiooni, ausust ja ausust. Seega saab “nakatatud” kirju saata e-postile, kontakte võtta Skype’is või sotsiaalvõrgustikes.

Kaitse sotsiaalse manipuleerimise eest ise võib olla kas antropogeenne või tehniline. Esimesel juhul juhitakse inimeste tähelepanu turvaprobleemidele, antakse edasi selle probleemi tõsidus ja võetakse kasutusele meetmed turvapoliitika juurutamiseks, uuritakse ja rakendatakse infoturbe kaitset tõstvaid meetodeid ja tegevusi. Kuid sellel kõigel on üks puudus - kõik need meetodid on passiivsed ja paljud inimesed lihtsalt ignoreerivad hoiatusi.

Mis puudutab tehnilist kaitset, siis see hõlmab vahendeid, mis takistavad teabele juurdepääsu ja selle kasutamist. Arvestades, et sotsiaalsete häkkerite kõige “populaarsemateks” rünnakuteks Internetis on saanud meilid ja sõnumid, loovad programmeerijad spetsiaalset tarkvara, mis filtreerib kõik sissetulevad andmed ja see kehtib nii privaatpostkastide kui ka sisekirjade kohta. Filtrid analüüsivad sissetulevate ja väljaminevate sõnumite tekste. Kuid siin on raskus - selline tarkvara laadib servereid, mis võib süsteemi aeglustada ja häirida. Lisaks on võimatu ette näha kõiki potentsiaalselt ohtlike sõnumite kirjutamise variatsioone. Tehnoloogia aga paraneb.

Ja kui me räägime konkreetselt vahenditest, mis takistavad saadud andmete kasutamist, jagunevad need järgmisteks osadeks:

• Teabe kasutamise blokeerimine kõikjal, välja arvatud kasutaja töökohal (autentimisandmed on seotud elektrooniliste allkirjade ja arvutikomponentide seerianumbrite, füüsiliste ja IP-aadressidega)
• Teabe automaatse kasutamise blokeerimine (sealhulgas tuttav Captcha, kus parooliks on pilt või selle moonutatud osa)

Mõlemad meetodid blokeerivad automatiseerimise võimaluse ja nihutavad tasakaalu teabe väärtuse ja selle hankimise töö vahel töö poole. Seetõttu on sotsiaalsetel häkkeritel isegi kõigi pahaaimamatute kasutajate poolt välja antud andmetel tõsiseid raskusi nende praktilise kasutamisega.

Ja sotsiaalse manipuleerimise eest kaitsmiseks soovitame kõigil tavalistel inimestel lihtsalt valvsad olla. Kui saate kirja meili teel, lugege kindlasti hoolikalt teksti ja linke, proovige aru saada, mis kirjas on, kellelt ja miks. Ärge unustage kasutada viirusetõrjetarkvara. Kui tundmatud inimesed helistavad võõralt numbrilt, ärge kunagi avaldage oma isiklikke andmeid, eriti neid, mis on seotud teie rahaasjadega.

Muide, see video, kuigi lühidalt, kuid huvitaval kombel, räägib sellest, kuidas end sotsiaalse manipuleerimise eest kaitsta.

Ja lõpuks tahame teile tutvustada mõnda raamatut sotsiaalsest inseneritööst, sealhulgas kui sotsioloogiliste teadmiste valdkonnast, et soovi korral saaksite teemaga lähemalt tutvuda.

Need raamatud sisaldavad palju praktilisi soovitusi tavaliste manipuleerimistehnikate ja tehnikate valdamiseks. Samuti saate teada kõige tõhusamatest sotsiaalse manipuleerimise meetoditest ning õppida neid ära tundma ja end rünnakute eest kaitsma.

Raamatud sotsiaalsest manipuleerimisest:

• Kevin Mitnick "Kummitus võrgus"
• Kevin Mitnick, William Simon "Invasiooni kunst"
• Kevin Mitnick, William Simon "Petmise kunst"
• Chris Kaspersky "Sotsiaaltehnoloogia salarelv"

Pidage meeles, et igaüks saab omandada teiste tegude juhtimise kunsti, kuid neid oskusi tuleb kasutada inimeste hüvanguks. Mõnikord on kasulik ja mugav inimese suunamine ja surumine meile kasulike otsuste poole. Kuid palju olulisem on oskus tuvastada sotsiaalseid häkkereid ja petjaid, et mitte sattuda nende ohvriks; Palju olulisem on mitte olla ise üks neist. Soovime teile tarkust ja kasulikku elukogemust!

Selles artiklis pöörame tähelepanu mõistele "sotsiaaltehnoloogia". Siin vaatleme üldisi. Samuti saame teada, kes oli selle kontseptsiooni rajaja. Räägime eraldi peamistest sotsiaalse manipuleerimise meetoditest, mida ründajad kasutavad.

Sissejuhatus

Meetodid, mis võimaldavad inimese käitumist korrigeerida ja tema tegevust juhtida ilma tehnilisi vahendeid kasutamata, moodustavad sotsiaalse inseneri üldkontseptsiooni. Kõik meetodid põhinevad väitel, et inimfaktor on iga süsteemi kõige hävitavam nõrkus. Sageli käsitletakse seda mõistet ebaseadusliku tegevuse tasandil, mille kaudu kurjategija paneb toime toimingu, mille eesmärk on saada ohvrilt-subjektilt teavet ebaausate vahenditega. Näiteks võib see olla teatud tüüpi manipuleerimine. Kuid sotsiaalset manipuleerimist kasutavad inimesed ka seaduslikes tegevustes. Tänapäeval kasutatakse seda kõige sagedamini salastatud või väärtusliku teabega ressurssidele juurdepääsuks.

Asutaja

Sotsiaalse inseneri rajaja on Kevin Mitnick. Mõiste ise tuli aga meieni sotsioloogiast. See tähistab üldist lähenemisviiside kogumit, mida rakenduslik sotsiaalmeedia kasutab. teadused keskendusid organisatsiooni struktuuri muutmisele, mis on võimeline määrama inimkäitumist ja teostama selle üle kontrolli. Kevin Mitnicki võib pidada selle teaduse rajajaks, kuna just tema populariseeris sotsiaalmeediat. inseneritöö 21. sajandi esimesel kümnendil. Kevin ise oli varem häkker, sihiks väga erinevaid andmebaase. Ta väitis, et inimfaktor on mis tahes keerukuse ja organiseerituse tasemega süsteemi kõige haavatavam punkt.

Kui rääkida sotsiaalse inseneri meetoditest kui (tavaliselt ebaseaduslike) õiguste saamise viisist konfidentsiaalsete andmete kasutamiseks, siis võib öelda, et need on tuntud juba väga pikka aega. Kuid just K. Mitnik suutis edasi anda nende tähenduse ja rakenduse tunnuste tähtsust.

Andmepüük ja olematud lingid

Iga sotsiaalse inseneri tehnika põhineb kognitiivsete moonutuste olemasolul. Käitumisvigadest saab “relv” vilunud inseneri käes, kes saab tulevikus luua rünnaku, mille eesmärk on saada olulisi andmeid. Sotsiaalse manipuleerimise meetodid hõlmavad andmepüügi ja olematuid linke.

Andmepüük on Interneti-pettus, mille eesmärk on saada isiklikku teavet, näiteks sisselogimist ja parooli.

Olematu link – lingi kasutamine, mis meelitab adressaati teatud eelistega, mida saab sellel klõpsates ja konkreetset saiti külastades. Enamasti kasutavad nad suurte ettevõtete nimesid, muutes nende nimesid peenelt. Lingil klõpsates edastab ohver "vabatahtlikult" oma isikuandmed ründajale.

Meetodid, mis kasutavad kaubamärke, defektseid viirusetõrjeid ja petturlikke loteriisid

Sotsiaalne manipuleerimine kasutab ka pettusmeetodeid, kasutades tuntud kaubamärke, defektseid viirusetõrjeid ja võltsloteriisid.

"Pettus ja kaubamärgid" on petmismeetod, mis kuulub samuti andmepüügi rubriiki. See hõlmab e-kirju ja veebisaite, mis sisaldavad suure ja/või reklaamitud ettevõtte nime. Nende lehtedelt saadetakse sõnumeid, mis teavitavad teid konkreetse võistluse võidust. Järgmiseks peate sisestama olulise kontoteabe ja varastama selle. Seda pettuse vormi saab läbi viia ka telefoni teel.

Võltsloterii on meetod, mille käigus ohvrile saadetakse sõnum koos tekstiga, mis teatab, et ta võitis loterii. Enamasti varjatakse teatis suurettevõtete nimedega.

Valeviirusetõrjed on tarkvarapettused. See kasutab programme, mis näevad välja nagu viirusetõrjed. Kuid tegelikkuses toovad need kaasa valeteate genereerimise konkreetse ohu kohta. Samuti püüavad nad meelitada kasutajaid tehingute sfääri.

Nägimine, räuskamine ja ettekääne

Algajatele mõeldud sotsiaalsest inseneritööst rääkides tasub mainida ka vishingut, lahmimist ja ettekäände esitamist.

Vishing on pettuse vorm, mis kasutab telefonivõrke. See kasutab eelsalvestatud häälsõnumeid, mille eesmärk on taastada pangastruktuuri või mõne muu IVR-süsteemi "ametlik kõne". Enamasti palutakse teil mis tahes teabe kinnitamiseks sisestada kasutajanimi ja/või parool. Teisisõnu nõuab süsteem kasutajalt PIN-koodide või paroolide abil autentimist.

Helistamine on veel üks telefonipettuse vorm. See on häkkimissüsteem, mis kasutab heliga manipuleerimist ja toonvalimist.

Ettekääne on rünnak, kasutades eelnevalt läbimõeldud plaani, mille sisuks on selle esitamine teisele subjektile. Äärmiselt raske petmismeetod, kuna nõuab hoolikat ettevalmistust.

Quid-pro-quo ja “maanteeõuna” meetod

Sotsiaalse inseneri teooria on mitmetahuline andmebaas, mis sisaldab nii pettuse ja manipuleerimise meetodeid kui ka viise nende vastu võitlemiseks. Ründajate põhiülesanne on reeglina väärtusliku teabe ammutamine.

Muud tüüpi petuskeemid hõlmavad järgmist: quid-pro-quo, "maanteeõuna" meetod, surfamine, avatud allikate kasutamine ja vastupidine sotsiaalmeedia. inseneritöö.

Quid-pro-quo (ladina keelest - "see selleks") on katse hankida teavet ettevõttest või ettevõttest. See juhtub, kui võtate temaga ühendust telefoni teel või saates sõnumeid e-posti teel. Enamasti tutvustavad ründajad end tehniliste töötajatena. tugi, mis teatab konkreetse probleemi olemasolust töötaja töökohal. Seejärel soovitavad nad võimalusi selle kõrvaldamiseks, näiteks installides tarkvara. Tarkvara osutub defektseks ja aitab kaasa kuritegevuse edenemisele.

Road apple on ründemeetod, mis põhineb Trooja hobuse ideel. Selle olemus seisneb füüsilise meedia kasutamises ja teabe asendamises. Näiteks võivad nad anda mälukaardile teatud "hea", mis tõmbab ohvri tähelepanu, tekitab soovi faili avada ja kasutada või järgida mälupulga dokumentides märgitud linke. Objekt "teeõun" visatakse sotsiaalsetesse kohtadesse ja ootab, kuni mõni olem ründaja plaani ellu viib.

Avatud allikatest teabe kogumine ja otsimine on pettus, mille puhul andmete hankimine põhineb psühholoogilistel meetoditel, pisiasjade märkamise oskusel ja olemasolevate andmete, näiteks sotsiaalvõrgustiku lehtede analüüsil. See on üsna uus sotsiaalse manipuleerimise meetod.

Õlas surfamine ja tagurpidi sotsiaalne. inseneritöö

Mõiste "õlasurfamine" määratleb end sõna otseses mõttes subjekti otseülekandena. Seda tüüpi andmekaeve puhul läheb ründaja avalikesse kohtadesse, näiteks kohvikusse, lennujaama, rongijaama ja jälgib inimesi.

Seda meetodit ei maksa alahinnata, sest paljud küsitlused ja uuringud näitavad, et tähelepanelik inimene saab palju konfidentsiaalset teavet lihtsalt tähelepanelikult.

Sotsiaalne insener (kui sotsioloogiliste teadmiste tase) on vahend andmete „püüdmiseks”. Andmete hankimiseks on viise, kus ohver ise pakub ründajale vajalikku teavet. Kuid see võib olla kasulik ka ühiskonnale.

Tagurpidi sotsiaalne Tehnika on selle teaduse teine ​​meetod. Selle termini kasutamine muutub asjakohaseks juhul, mida me eespool mainisime: ohver ise pakub ründajale vajalikku teavet. Seda väidet ei tohiks võtta absurdsena. Fakt on see, et teatud tegevusvaldkondades volitatud subjektid saavad sageli juurdepääsu isikuandmetele oma äranägemise järgi. Siin on aluseks usaldus.

Oluline meeles pidada! Tugipersonal ei küsi kunagi kasutajalt näiteks parooli.

Teadlikkus ja kaitse

Insenertehnilist koolitust saab läbi viia üksikisik nii isiklikul initsiatiivil kui ka spetsiaalsetes koolitusprogrammides kasutatavate juhendite alusel.

Kurjategijad võivad kasutada väga erinevaid pettuse liike, alates manipuleerimisest kuni laiskuse, kergeusklikkuse, kasutajate lahkuse jne. Seda tüüpi rünnakute eest on äärmiselt raske end kaitsta, kuna ohver ei tea, et ta (ta ) on petetud. Erinevad ettevõtted hindavad sageli üldist teavet, et kaitsta oma andmeid sellisel ohutasemel. Järgmisena integreeritakse vajalikud kaitsemeetmed turvapoliitikasse.

Näited

Sotsiaalse manipuleerimise (selle teo) näide ülemaailmsete andmepüügipostituste valdkonnas on sündmus, mis leidis aset 2003. aastal. Selle kelmuse käigus saadeti eBay kasutajatele e-kirju. Nad väitsid, et neile kuuluvad kontod on blokeeritud. Blokeerimise tühistamiseks tuli oma konto andmed uuesti sisestada. Kirjad olid aga võltsitud. Nad suunasid ametliku lehele identsele, kuid võltsitud lehele. Ekspertide hinnangul polnud kahju kuigi märkimisväärne (alla miljoni dollari).

Vastutuse määratlus

Sotsiaalne manipuleerimine võib teatud juhtudel olla karistatav. Paljudes riikides, näiteks Ameerika Ühendriikides, võrdsustatakse ettekääne (teise isikuna esinemise teel petmine) eraelu puutumatuse rikkumisega. See võib aga olla seadusega karistatav, kui ettekäändel saadud teave oli subjekti või organisatsiooni seisukohalt konfidentsiaalne. Telefonivestluse salvestamine (kui sotsiaalse manipuleerimise meetod) on samuti seadusega ette nähtud ja nõuab üksikisikutele rahatrahvi 250 000 dollarit või kuni kümneaastast vangistust. isikud Üksused peavad maksma 500 000 dollarit; tähtaeg jääb samaks.

Sotsiaalse inseneri tehnikad Inimese aju on suur kõvaketas, tohutu hulga teabe hoidla. Ja seda teavet saavad kasutada nii omanik kui ka kõik teised. Nagu öeldakse, on kõneleja spiooni jaoks jumala kingitus. Selleks, et mõistaksite järgneva tähendust, peaksite olema kursis vähemalt psühholoogia põhitõdedega.
Sotsiaalne tehnika võimaldab meil "kasuta oma aju" teist inimest, kasutades erinevaid meetodeid, ja hankida temalt vajalikku teavet.
Wiki ütleb: "Sotsiaalne manipuleerimine on meetod inimtegevuse juhtimiseks ilma tehnilisi vahendeid kasutamata"

Sotsiaalne inseneritöö- See on omamoodi noor teadus. Inimteadvusega manipuleerimiseks on palju meetodeid ja tehnikaid. Kevin Mitnickil oli õigus, kui ta ütles, et mõnikord on lihtsam petta ja teavet hankida, kui sellele juurdepääsu häkkida. Lugege vabal ajal raamatut "Petmise kunst", see meeldib teile.
Olemas vastupidine sotsiaalne manipuleerimine, mis on suunatud ohvri enda andmete hankimisele. Selle abil räägib ohver ise oma paroolidest ja andmetest.

Internetis pole žeste, intonatsiooni ega näoilmeid. Kogu suhtlus põhineb tekstisõnumitel. Ja teie edu antud olukorras sõltub sellest, kuidas teie sõnumid vestluspartnerit mõjutavad. Milliseid tehnikaid saab kasutada inimese teadvusega varjatud manipuleerimiseks?

Provotseerimine
Rangelt võttes on see trollimine. Inimest vihastades suhtub ta enamasti infosse kriitikavabalt. Selles olekus saate vajalikku teavet kehtestada või saada.

Armastus
See on võib-olla kõige tõhusam tehnika. Enamikul juhtudel kasutasin seda)). Armastuse seisundis tajub inimene vähe ja just seda manipulaator vajabki.

Ükskõiksus
Tekib manipulaatori ükskõiksuse mõju teatud teema suhtes ja vestluskaaslane omakorda püüab teda veenda, langedes sellega lõksu ja paljastades teile vajaliku teabe.

Kiirustage
Tihti tekivad olukorrad, kui manipuleerijal on väidetavalt kuhugi jõuda kiire ja vihjab sellele pidevalt, kuid samas propageerib sihikindlalt vajalikku infot.

Kahtlus
Kahtlustamise meetod sarnaneb mõneti ükskõiksuse meetodiga. Esimesel juhul tõestab ohver vastupidist, teisel juhul püüab ohver õigustada "oma kahtlust", mõistmata sellega, et annab kogu teabe.

Iroonia
Sarnaselt provokatsiooni tehnikale. Manipulaator ajab inimese vihaseks, olles irooniline. Ta omakorda ei suuda vihas infot kriitiliselt hinnata. Selle tulemusena tekib psühholoogilisse barjääri auk, mida manipulaator ära kasutab.

Avameelsus
Kui manipulaator räägib vestluskaaslasele ausat teavet, tekib vestluspartneril mingisugune usalduslik suhe, mis tähendab kaitsebarjääri nõrgenemist. See tekitab lünga psühholoogilises kaitses.

Eespool kirjeldatud tehnikad ei ammenda täielikult sotsiaalse inseneri potentsiaali. Nendest tehnikatest ja meetoditest saab rääkida ja rääkida. Pärast nende tehnikate lugemist peaksite mõistma, et te ei pea järgima kõiki. Õppige ennast ja oma viha kontrollima ja siis on teie kaitse alati õigel tasemel.
Meie oma jätkub. Oodake uusi artikleid))