Kejuruteraan sosial: apakah itu dan apa yang penting untuk diketahui? Bidang aplikasi kejuruteraan sosial. Algoritma pengaruh biasa dalam penggodaman sosial

Setiap organisasi besar atau kecil mempunyai kelemahan dalam keselamatan maklumat. Walaupun semua komputer syarikat mempunyai perisian terbaik, semua pekerja mempunyai kata laluan yang paling kuat, dan semua komputer dipantau oleh pentadbir yang paling bijak, anda masih boleh mencari tempat yang lemah. Dan satu, perkara yang paling penting, " titik lemah” ialah orang yang bekerja di sebuah syarikat, mempunyai akses kepada sistem komputer dan, pada tahap yang lebih besar atau lebih kecil, pembawa maklumat tentang organisasi. Orang yang merancang untuk mencuri maklumat, atau dalam kata lain penggodam, hanya mendapat manfaat daripada faktor manusia. Dan pada orang ramai mereka mencuba pelbagai kaedah pengaruh yang dipanggil kejuruteraan sosial. Saya akan cuba membincangkannya hari ini dalam artikel dan tentang bahaya yang ditimbulkannya pengguna biasa, dan untuk organisasi.

Mari kita fahami dahulu apa itu kejuruteraan sosial - ia adalah istilah yang digunakan oleh penggodam dan penggodam akses tidak dibenarkan kepada maklumat, tetapi benar-benar bertentangan dengan menggodam sebutan perisian. Matlamatnya bukan untuk menggodam, tetapi untuk menipu orang supaya mereka sendiri memberikan kata laluan atau maklumat lain yang kemudiannya boleh membantu penggodam melanggar keselamatan sistem. Jenis penipuan ini melibatkan panggilan organisasi melalui telefon dan mengenal pasti pekerja yang mempunyai maklumat yang diperlukan, dan kemudian memanggil pentadbir yang dikenal pasti daripada pekerja yang tidak wujud yang didakwa menghadapi masalah mengakses sistem.

Kejuruteraan sosial berkaitan secara langsung dengan psikologi, tetapi berkembang sebagai bahagian yang berasingan daripadanya. Pada masa kini, pendekatan kejuruteraan sangat kerap digunakan, terutamanya untuk kerja pencuri yang tidak dapat dikesan untuk mencuri dokumen. Kaedah ini digunakan untuk melatih pengintip dan ejen rahsia untuk penembusan rahsia tanpa meninggalkan kesan.

Seseorang boleh berfikir, menaakul, membuat satu kesimpulan atau yang lain, tetapi kesimpulan itu mungkin tidak selalu menjadi nyata, miliknya sendiri, dan tidak dikenakan dari luar, seperti yang diperlukan oleh orang lain. Tetapi perkara yang paling menarik dan perkara utama yang membantu penipu ialah seseorang mungkin tidak menyedari bahawa kesimpulannya adalah palsu. Sehingga saat terakhir dia mungkin berfikir bahawa dia sendiri yang memutuskan segala-galanya. Ciri inilah yang digunakan oleh orang yang mengamalkan kejuruteraan sosial.

Titik kejuruteraan sosial ialah pencurian maklumat. Orang yang melakukan ini cuba mencuri maklumat tanpa perhatian yang tidak wajar, dan kemudian menggunakannya mengikut budi bicara mereka sendiri: menjual atau memeras ugut pemilik asal. Menurut statistik, selalunya ternyata helah sedemikian berlaku atas permintaan syarikat pesaing.

Sekarang mari kita lihat cara kejuruteraan sosial.

Penafian perkhidmatan manusia (HDoS)

Intipati serangan ini adalah untuk secara senyap-senyap memaksa seseorang untuk tidak bertindak balas terhadap situasi tertentu.

Sebagai contoh, mensimulasikan serangan ke atas beberapa pelabuhan berfungsi sebagai gerakan lencongan. Pentadbir sistem terganggu oleh ralat, dan pada masa ini mereka mudah menembusi pelayan dan mengambil maklumat yang mereka perlukan. Tetapi pentadbir boleh memastikan bahawa tiada ralat pada port ini, dan kemudian penembusan penggodam akan disedari serta-merta. Keseluruhan kaedah ini ialah keropok mesti mengetahui psikologi dan tahap pengetahuan pentadbir sistem. Tanpa pengetahuan ini, penembusan ke dalam pelayan tidak mungkin.

Kaedah panggilan.

Kaedah ini bermaksud panggilan telefon yang dipanggil "mangsa". Penipu memanggil mangsa dan, dengan bantuan ucapan yang disampaikan dengan betul dan soalan psikologi yang ditanya dengan betul, mengelirukan dia dan mengetahui semua maklumat yang diperlukan.

Sebagai contoh: seorang penipu memanggil dan mengatakan bahawa, atas permintaan pentadbir, dia sedang menyemak fungsi sistem keselamatan. Kemudian dia meminta kata laluan dan nama pengguna, dan selepas itu semua maklumat yang dia perlukan ada di dalam poketnya.

Kenalan visual.

Cara yang paling sukar. Hanya orang yang terlatih secara profesional boleh mengatasinya. Maksud kaedah ini ialah anda mesti mencari pendekatan kepada mangsa. Sebaik sahaja pendekatan ditemui, ia boleh digunakan untuk menggembirakan mangsa dan mendapatkan kepercayaannya. Dan selepas ini, mangsa sendiri akan memberikan semua maklumat yang diperlukan dan nampaknya dia tidak memberitahu apa-apa yang penting. Hanya seorang profesional yang boleh melakukan ini.

E-mel.

Ini adalah cara paling biasa bagi penggodam untuk mengekstrak maklumat. Dalam kebanyakan kes, penggodam menghantar surat kepada mangsa daripada seseorang yang didakwa mereka kenali. Perkara yang paling sukar tentang kaedah ini ialah meniru cara dan gaya penulisan rakan ini. Jika mangsa percaya dengan penipuan, maka di sini anda sudah boleh mengeluarkan semua maklumat yang mungkin diperlukan oleh penggodam.

Menggunakan teknik Kejuruteraan sosial penjenayah siber untuk tahun lepas telah menggunakan kaedah yang lebih maju yang menjadikannya lebih berkemungkinan mendapat akses kepada maklumat yang diperlukan menggunakan psikologi moden pekerja perusahaan, dan orang ramai secara amnya. Langkah pertama dalam menentang helah jenis ini ialah memahami taktik penyerang itu sendiri. Mari kita lihat lapan pendekatan utama kejuruteraan sosial.

pengenalan

Pada tahun 90-an, konsep "kejuruteraan sosial" dicipta oleh Kevin Mitnick, seorang tokoh ikonik dalam bidang ini. keselamatan maklumat, bekas penggodam yang serius. Walau bagaimanapun, penyerang menggunakan kaedah sedemikian lama sebelum istilah itu sendiri muncul. Pakar yakin bahawa taktik penjenayah siber moden terikat dengan mengejar dua matlamat: mencuri kata laluan dan memasang perisian hasad.

Penyerang cuba menggunakan kejuruteraan sosial menggunakan telefon, e-mel dan Internet. Mari kita berkenalan dengan kaedah utama yang membantu penjenayah mendapatkan maklumat sulit yang mereka perlukan.

Taktik 1. Teori sepuluh jabat tangan

Matlamat utama penyerang menggunakan telefon untuk kejuruteraan sosial adalah untuk meyakinkan mangsanya tentang salah satu daripada dua perkara:

  1. Mangsa menerima panggilan daripada pekerja syarikat;
  2. Wakil badan yang diberi kuasa (contohnya, pegawai penguatkuasa undang-undang atau juruaudit) menghubungi.

Jika seorang penjenayah menetapkan sendiri tugas untuk mengumpul data tentang pekerja tertentu, dia boleh menghubungi rakan sekerjanya terlebih dahulu, cuba dalam setiap cara yang mungkin untuk mengekstrak data yang dia perlukan.

Ingat teori lama enam jabat tangan? Nah, pakar keselamatan mengatakan bahawa hanya boleh ada sepuluh "jabat tangan" antara penjenayah siber dan mangsanya. Pakar percaya bahawa dalam keadaan moden anda sentiasa perlu mengalami sedikit paranoia, kerana anda tidak tahu apa yang pekerja ini mahukan daripada anda.

Penyerang biasanya menyasarkan setiausaha (atau seseorang yang memegang jawatan yang sama) untuk mengumpul maklumat tentang orang yang lebih tinggi dalam hierarki. Pakar ambil perhatian bahawa nada mesra sangat membantu penipu. Perlahan tetapi pasti, penjenayah mengambil kunci kepada anda, yang tidak lama lagi membawa kepada anda berkongsi maklumat yang anda tidak akan pernah dedahkan sebelum ini.

Taktik 2. Mempelajari bahasa korporat

Seperti yang anda tahu, setiap industri mempunyai formulasi khusus tersendiri. Tugas penyerang cuba dapatkan maklumat yang diperlukan, - kaji ciri-ciri bahasa sedemikian untuk lebih mahir menggunakan teknik kejuruteraan sosial.

Semua yang khusus terletak pada belajar bahasa korporat, terma dan cirinya. Jika penjenayah siber bercakap bahasa yang biasa, biasa dan mudah difahami untuk tujuannya, dia akan lebih mudah mendapat kepercayaan dan dapat memperoleh maklumat yang diperlukan dengan cepat.

Taktik 3: Pinjam muzik untuk menahan panggilan semasa panggilan

Untuk melakukan serangan yang berjaya, penipu memerlukan tiga komponen: masa, ketekunan dan kesabaran. Selalunya serangan siber menggunakan kejuruteraan sosial dilakukan secara perlahan dan teratur - bukan sahaja mengumpul data orang yang betul, tetapi juga apa yang dipanggil " isyarat sosial" Ini dilakukan untuk mendapatkan kepercayaan dan memperbodohkan sasaran. Sebagai contoh, penyerang boleh meyakinkan orang yang mereka berkomunikasi bahawa mereka adalah rakan sekerja.

Salah satu ciri pendekatan ini ialah rakaman muzik yang digunakan oleh syarikat semasa panggilan, sementara pemanggil sedang menunggu jawapan. Penjenayah mula-mula menunggu muzik sedemikian, kemudian merekodkannya, dan kemudian menggunakannya untuk kelebihannya.

Oleh itu, apabila terdapat dialog langsung dengan mangsa, penyerang pada satu ketika berkata: "Tunggu sebentar, ada panggilan di talian lain." Kemudian mangsa mendengar muzik biasa dan dibiarkan tanpa keraguan bahawa pemanggil mewakili syarikat tertentu. Pada dasarnya, ini hanyalah helah psikologi yang bijak.

Taktik 4. Penipuan (penggantian) nombor telefon

Penjenayah sering menggunakan spoofing nombor telefon, yang membantu mereka memalsukan nombor pemanggil. Sebagai contoh, penyerang boleh duduk di apartmennya dan menghubungi orang yang berminat, tetapi ID pemanggil akan dipaparkan milik syarikat nombor, yang akan mencipta ilusi bahawa penipu sedang memanggil menggunakan nombor korporat.

Sudah tentu, pekerja yang tidak curiga dalam kebanyakan kes akan memberikan maklumat sensitif, termasuk kata laluan, kepada pemanggil jika ID pemanggil itu milik syarikat mereka. Pendekatan ini juga membantu penjenayah mengelak daripada menjejaki kerana jika anda menghubungi kembali ke nombor ini, anda akan dialihkan ke talian dalaman syarikat.

Taktik 5: Menggunakan berita terhadap anda

Walau apa pun tajuk berita semasa, penyerang menggunakan maklumat ini sebagai umpan untuk spam, pancingan data dan aktiviti penipuan lain. Tidak hairanlah pakar dalam Kebelakangan ini perhatikan peningkatan dalam bilangan e-mel spam, yang topiknya berkaitan dengan kempen presiden dan krisis ekonomi.

Contohnya ialah serangan pancingan data ke atas bank. E-mel mengatakan sesuatu seperti ini:

“Bank lain [nama bank] sedang memperoleh bank anda [nama bank]. Klik pautan ini untuk memastikan maklumat bank anda dikemas kini sehingga perjanjian ditutup."

Sememangnya, ini adalah percubaan untuk mendapatkan maklumat yang dengannya penipu boleh log masuk ke akaun anda, mencuri wang anda atau menjual maklumat anda kepada pihak ketiga.

Taktik 6: Manfaatkan Kepercayaan dalam Platform Sosial

Bukan rahsia lagi bahawa Facebook, Myspace dan LinkedIn adalah laman rangkaian sosial yang sangat popular. Menurut penyelidikan pakar, orang cenderung mempercayai platform sedemikian. Insiden pancingan lembing baru-baru ini yang menyasarkan pengguna LinkedIn menyokong teori ini.

Oleh itu, ramai pengguna akan mempercayai e-mel jika ia mendakwa ia dari Facebook. Teknik biasa ialah mendakwa bahawa rangkaian sosial sedang menjalankan Penyelenggaraan, anda perlu "klik di sini" untuk mengemas kini maklumat. Itulah sebabnya pakar mengesyorkan agar pekerja perusahaan memasukkan alamat web secara manual untuk mengelakkan pautan pancingan data.

Perlu diingat juga bahawa dalam kes yang sangat jarang berlaku, tapak akan menggesa pengguna menukar kata laluan mereka atau mengemas kini akaun mereka.

Taktik 7. Typesquatting

Teknik berniat jahat ini terkenal kerana penyerang menggunakan ralat manusia, iaitu ralat semasa memasukkan URL ke dalam bar alamat. Oleh itu, dengan membuat kesilapan hanya satu huruf, pengguna boleh berakhir di laman web yang dibuat khusus untuk tujuan ini oleh penyerang.

Penjenayah siber berhati-hati menyediakan alasan untuk typosquatting, jadi tapak web mereka akan sama seperti tapak web yang sah yang anda ingin lawati pada asalnya. Oleh itu, jika anda salah mengeja alamat web anda, anda akan mendapat salinan tapak yang sah, yang tujuannya sama ada untuk menjual sesuatu, atau mencuri data, atau mengedarkan perisian hasad.

Taktik 8. Menggunakan FUD untuk mempengaruhi pasaran saham

FUD ialah taktik manipulasi psikologi yang digunakan dalam pemasaran dan propaganda secara umum, yang terdiri daripada menyampaikan maklumat tentang sesuatu (khususnya, produk atau organisasi) sedemikian rupa untuk menyemai ketidakpastian dan keraguan dalam khalayak tentang kualitinya dan dengan itu menyebabkan takut padanya.

Menurut penyelidikan terbaru dari Avert, keselamatan dan kelemahan produk malah keseluruhan syarikat boleh menjejaskan pasaran saham. Sebagai contoh, penyelidik telah mengkaji kesan peristiwa seperti Microsoft Patch Tuesday pada saham syarikat, mencari turun naik yang ketara setiap bulan selepas maklumat tentang kelemahan diterbitkan.

Anda juga boleh ingat bagaimana pada tahun 2008, penyerang menyebarkan maklumat palsu tentang kesihatan Steve Jobs, yang membawa kepada penurunan mendadak dalam saham epal. Ini adalah contoh paling tipikal FUD yang digunakan untuk tujuan jahat.

Di samping itu, perlu diperhatikan penggunaannya E-mel untuk melaksanakan teknik "pump-and-dump" (skim untuk memanipulasi kadar pertukaran di pasaran saham atau di pasaran mata wang kripto dengan kejatuhan seterusnya). Dalam kes ini, penyerang boleh menghantar e-mel yang menerangkan potensi menakjubkan saham yang mereka beli terlebih dahulu.

Oleh itu, ramai yang akan cuba membeli saham ini secepat mungkin, dan harganya akan meningkat.

kesimpulan

Penjenayah siber selalunya sangat kreatif dalam penggunaan kejuruteraan sosial. Setelah membiasakan diri dengan kaedah mereka, kita boleh membuat kesimpulan bahawa pelbagai helah psikologi sangat membantu penyerang mencapai matlamat mereka. Berdasarkan ini, anda harus memberi perhatian kepada sebarang perkara kecil yang secara tidak sengaja boleh mendedahkan penipu, semak dan semak semula maklumat tentang orang yang menghubungi anda, terutamanya jika maklumat sulit dibincangkan.

  • Blog syarikat CROC

    • Seperti yang ditunjukkan oleh amalan dunia penggodaman yang berjaya (sudah tentu berjaya untuk penyerang), kebanyakan masalah berkaitan dengan masalah dengan orang ramai. Untuk menjadi lebih tepat, intinya ialah keupayaan mereka untuk memberikan apa-apa maklumat dan melakukan tindakan yang benar-benar bodoh.

    Saya rasa contoh IT sangat biasa kepada anda, jadi saya akan mengingatkan anda tentang contoh daripada buku "Psikologi Pengaruh": ahli psikologi memanggil jururawat di hospital, dan kemudian memperkenalkan diri mereka sebagai doktor dan memberi arahan untuk memberikan dos yang mematikan. sesuatu bahan kepada pesakit. Kakak itu tahu apa yang dia lakukan, tetapi dalam 95% kes dia mengikut arahan (dia dihentikan di pintu masuk ke wad oleh pembantu ahli psikologi). Lebih-lebih lagi, doktor itu entah bagaimana tidak diberi kuasa. Kenapa adik saya buat begini? Semata-mata kerana dia sudah biasa mematuhi kuasa.

    Mari kita lakukan sekali lagi: dalam contoh, terima kasih kepada kejuruteraan sosial yang cekap 95% daripada hospital sangat terdedah.

    Kaedah tidak menjadi lapuk

    Sistem sentiasa berubah. Perisian dan perkakasan menjadi lebih rumit. Untuk menguasai topik dengan lebih atau kurang yakin dalam pertahanan dan serangan, anda perlu sentiasa memantau semua produk baharu, menjadi yang pertama menonton perkara baharu dan memahami dengan baik keseluruhan latar belakang IT isu tersebut. Ini adalah laluan penggodam klasik, yang dikelilingi oleh aura percintaan. DALAM dunia moden Sebaliknya, penggodam mempunyai dalam kumpulan mereka beberapa pakar sempit yang dilatih dalam teknologi sasaran tertentu, tetapi tugas utama adalah sentiasa untuk menembusi dalam perimeter keselamatan.

    Ini bermakna lambat laun anda berkemungkinan besar memerlukan kejuruteraan sosial. Dan biasanya ia awal, kerana mula-mula terdapat pengumpulan dan penyediaan maklumat, dan kemudian teknologi dan pengetahuan mendalam tentang sistem IT diletakkan di atas.

    Jika syarikat anda mempunyai jabatan keselamatan, kemungkinan besar terdapat paranoid yang memahami berapa banyak data berharga yang mungkin dimiliki oleh pekerja, ditambah dengan orang sinis yang sama sekali tidak mempercayai orang. Pasukan ini menggariskan hak, menulis arahan dan menyelesaikan situasi kritikal dalam amalan. Secara umum, ini membolehkan anda menanamkan beberapa imuniti, tetapi masih tidak memberikan tahap perlindungan yang baik. Apa yang paling tidak menyenangkan ialah dalam kejuruteraan sosial anda tidak boleh "meletakkan tampalan" dan lupa - sebaik sahaja mekanik dikuasai oleh penyerang, mereka akan sentiasa berfungsi, kerana tingkah laku orang pada umumnya tidak banyak berubah.

    Model asas kejuruteraan sosial

    Setiap pekerja dijangka mempunyai tahap kecekapan keselamatan dan tahap akses yang berbeza. Pekerja talian (contohnya, gadis dari penerimaan tetamu) tidak mempunyai akses kepada maklumat kritikal, iaitu, walaupun rampasan akaun mereka dan mendapatkan semua data yang diketahui oleh mereka tidak akan menyebabkan kerosakan serius kepada syarikat. Tetapi data mereka boleh digunakan untuk bergerak ke peringkat seterusnya dalam zon dilindungi. Sebagai contoh, anda boleh mendapatkan nama pekerja dan memanggil peringkat yang lebih tinggi, memperkenalkan diri anda sebagai salah seorang daripada mereka. Dalam kes ini, anda boleh memainkan kuasa (seperti dalam contoh dengan doktor di atas), atau anda hanya boleh bertanya beberapa soalan yang tidak bersalah dan dapatkan sekeping teka-teki. Atau beralih kepada pekerja seterusnya yang lebih berpengetahuan, menggunakan fakta bahawa sudah menjadi kebiasaan dalam pasukan untuk membantu antara satu sama lain, dan tidak menjadi paranoid apabila ditanya tentang beberapa data penting. Walaupun dengan arahan yang ketat, ada kemungkinan bahawa emosi akan sentiasa diutamakan.

    Tidak percaya saya? Bayangkan situasi di mana penyerang menghubungi gadis yang sama dari pusat panggilan beberapa kali seminggu selama sebulan. Dia memperkenalkan dirinya sebagai pekerja, membawa banyak perkara positif, bercakap dengan rancak, menjelaskan beberapa perkara kecil yang terbuka, dan kadang-kadang meminta bantuan kecil. Keizinan yang jelas digantikan dengan fakta bahawa orang itu sering menghubungi. Sepuluh, dua puluh, jika perlu - tiga puluh kali. Sehingga ia menjadi salah satu fenomena kehidupan. Dia milik kita, kerana dia mengetahui pelbagai butiran kerja syarikat dan menelefon sentiasa. Pada kali ke-31, penyerang sekali lagi membuat permintaan kecil, tetapi kali ini untuk data penting. Dan jika perlu, dia memberikan justifikasi yang logik dan munasabah mengapa ini diperlukan dan jenis masalah yang dia hadapi. Sudah tentu, orang biasa akan membantunya.

    Jika anda berfikir bahawa hanya pengguna yang tidak cekap yang terdedah kepada serangan sedemikian, maka buka buku "The Art of Deception", di mana dalam pengenalan Mitnik bercakap tentang bagaimana dia memperkenalkan dirinya sebagai pemaju utama projek itu dan memaksa, seketika, pentadbir sistem untuk memberikan akses istimewa kepada sistem. Perhatikan, seorang lelaki yang sangat memahami apa sebenarnya yang dia lakukan.

    Variasi yang menarik ialah pancingan data IVR perbankan, apabila mangsa serangan menerima surat dengan nombor "pusat pelanggan" pancingan data, di mana mesin penjawab pada beberapa langkah meminta untuk memasukkan butiran kad penting untuk kebenaran.

    Lagi kes istimewa

    Anda boleh menggunakan pancingan data pada sumber yang digunakan oleh sasaran. Atau, sebagai contoh, siarkan perisian hasad pada sumber luaran ini yang menjangkiti mesin syarikat (sebenarnya salah satu vektor serangan utama dalam beberapa tahun kebelakangan ini). Anda boleh memberikan cakera dengan sesuatu yang menarik kepada pekerja (dengan harapan dia akan melancarkan perisian atau menggunakan maklumat daripadanya), anda boleh menggunakan rangkaian sosial untuk mengumpul data (mengenal pasti struktur syarikat) dan berkomunikasi dengan orang tertentu di dalamnya. Terdapat banyak pilihan.

    Ringkasan

    Jadi, kejuruteraan sosial boleh digunakan untuk mengumpul data mengenai sasaran (“Hai! Saya mempunyai nombor jabatan ke-4, tetapi saya terlupa”) dan untuk mendapatkan maklumat terperingkat("Ya, terima kasih. Satu perkara lagi, saya nampaknya ini adalah pelanggan yang mencurigakan. Bolehkah anda beritahu saya nombor kadnya yang digunakan untuk membayar kali terakhir?”), terus mendapat akses kepada sistem: “Jadi, apa sebenarnya yang anda masukkan sekarang? Bolehkah anda mengeja itu. Seven-es adalah seperti dolar-peratus-de-te besar..."). Dan juga untuk mendapatkan perkara yang sebaliknya mustahil untuk diperoleh. Contohnya - jika komputer diputuskan secara fizikal daripada rangkaian, orang yang "diproses" akan dapat menyambungkannya.

    Dalam persiapan untuk kejohanan penggodam terdapat masalah tentang seorang gadis di resepsi yang secara tidak sengaja pergi selama 30 saat. Apa yang anda ada masa untuk lakukan pada masa ini? Letakkan sesuatu pada keretanya? Tidak, masa atau hak pengguna tidak mencukupi. Curi dokumen dari meja atau hantar semua surat kepada diri sendiri? Bukan idea yang baik, anda akan mendapat perhatian. Walaupun hanya duduk di depan komputernya sudah berbahaya kerana kemungkinan kamera tersembunyi di pejabat. Jawapan terbaik adalah dalam bidang interaksi sosial: lekatkan pelekat dengan nombor sokongan teknikal, ajak dia berkencan, dan sebagainya. Anda tidak akan dinilai untuk dating, tetapi ia akan memberi anda banyak data tentang hierarki dalam syarikat dan hal ehwal peribadi pekerja.

    Jadi, kembali kepada program pendidikan. Baca "Seni Penipuan" (anda pasti akan menyukai dialog khusus dari sana), bab tentang kejuruteraan sosial dari buku oleh Denis Feria dengan tajuk yang menyedihkan "Rahsia Penggodam Super", "Psikologi Pengaruh" yang serius, dan sebagai permulaan, penerangan tentang teknik asas. Jika anda tidak mempunyai jabatan keselamatan yang kukuh, selepas membaca ini, maklumkan pengurus anda dan lakukan pentest mudah. Kemungkinan besar anda akan belajar banyak tentang mudah tertipu manusia.

    Cabaran Kesediaan Siber dan Kejuruteraan Sosial

    Kecuali kaedah teknikal pencegahan ancaman sosial(seperti pengenalan platform biasa untuk pemesejan dalam syarikat, pengesahan mandatori kenalan baharu, dan sebagainya) adalah perlu untuk menerangkan kepada pengguna apa sebenarnya yang berlaku semasa serangan sedemikian. Benar, ini tidak berguna jika anda tidak menggabungkan teori dengan amalan, iaitu, dari semasa ke semasa bertindak sebagai penyerang sendiri dan cuba menembusi sistem anda sendiri. Selepas beberapa "latih tubi" dan taklimat, pekerja, menurut sekurang-kurangnya, mereka akan tertanya-tanya sama ada mereka sedang diperiksa semasa membuat panggilan.

    Sudah tentu, untuk menentang ancaman anda perlu "masuk ke dalam kepala" penyerang yang menyerang anda dan belajar berfikir seperti dia. Sebagai sebahagian daripada kejohanan luar talian

    Kejuruteraan sosial

    Kejuruteraan sosial ialah kaedah capaian tanpa kebenaran kepada maklumat atau sistem penyimpanan maklumat tanpa menggunakan cara teknikal. Matlamat utama jurutera sosial, seperti penggodam dan penggodam lain, adalah untuk mendapatkan akses kepada sistem selamat untuk mencuri maklumat, kata laluan, maklumat kad kredit, dsb. Perbezaan utama daripada penggodaman mudah ialah dalam dalam kes ini Bukan mesin yang dipilih sebagai sasaran serangan, tetapi pengendalinya. Itulah sebabnya semua kaedah dan teknik jurutera sosial adalah berdasarkan penggunaan kelemahan faktor manusia, yang dianggap sangat merosakkan, kerana penyerang memperoleh maklumat, contohnya, melalui perbualan telefon biasa atau dengan menyusup ke dalam organisasi di bawah samaran pekerjanya. Untuk melindungi daripada jenis serangan ini, anda harus mengetahui jenis penipuan yang paling biasa, memahami perkara yang sebenarnya diinginkan oleh penggodam dan mengatur dasar keselamatan yang sesuai tepat pada masanya.

    cerita

    Walaupun konsep "kejuruteraan sosial" muncul agak baru-baru ini, orang dalam satu bentuk atau yang lain telah menggunakan tekniknya sejak dahulu lagi. Di Greece Purba dan Rom, orang yang boleh cara yang berbeza meyakinkan lawan bicara anda bahawa dia jelas salah. Bercakap bagi pihak pemimpin, mereka menjalankan rundingan diplomatik. Dengan mahir menggunakan pembohongan, sanjungan dan hujah yang berfaedah, mereka sering menyelesaikan masalah yang kelihatan mustahil untuk diselesaikan tanpa bantuan pedang. Di kalangan pengintip, kejuruteraan sosial sentiasa menjadi senjata utama. Dengan menyamar sebagai orang lain, ejen KGB dan CIA boleh mengetahui rahsia rahsia negara. Pada awal 70-an, semasa zaman kegemilangan phreaking, beberapa samseng telefon menghubungi pengendali telekom dan cuba mengekstrak maklumat sulit daripada kakitangan teknikal syarikat. Selepas pelbagai eksperimen dengan helah, pada penghujung tahun 70-an, phreaker telah menyempurnakan teknik memanipulasi pengendali yang tidak terlatih sehingga mereka boleh belajar dengan mudah daripada mereka hampir semua yang mereka mahukan.

    Prinsip dan teknik kejuruteraan sosial

    Terdapat beberapa teknik dan jenis serangan biasa yang digunakan oleh jurutera sosial. Kesemua teknik ini adalah berdasarkan ciri-ciri pembuatan keputusan manusia yang dikenali sebagai bias kognitif (lihat juga Kognitif). Prasangka ini digunakan dalam pelbagai kombinasi, untuk mencipta strategi penipuan yang paling sesuai dalam setiap kes tertentu. Tetapi ciri umum semua kaedah ini adalah mengelirukan, dengan tujuan untuk memaksa seseorang melakukan beberapa tindakan yang tidak berfaedah kepadanya dan perlu untuk jurutera sosial. Untuk mencapai hasil yang diinginkan, penyerang menggunakan beberapa taktik: menyamar sebagai orang lain, mengganggu perhatian, meningkatkan ketegangan psikologi, dsb. Matlamat utama penipuan juga boleh menjadi sangat pelbagai.

    Teknik kejuruteraan sosial

    berdalih

    Pretexting adalah satu set tindakan yang dilakukan dengan cara tertentu terlebih dahulu. skrip siap(dalih). Teknik ini melibatkan penggunaan alat suara seperti telefon, Skype, dll. untuk mendapatkan maklumat yang diperlukan. Lazimnya, dengan menyamar sebagai pihak ketiga atau berpura-pura bahawa seseorang memerlukan bantuan, penyerang meminta mangsa memberikan kata laluan atau log masuk ke halaman web pancingan data, dengan itu memperdaya sasaran untuk mengambil tindakan yang diingini atau memberikan maklumat tertentu. Dalam kebanyakan kes teknik ini memerlukan beberapa data awal tentang sasaran serangan (contohnya, data peribadi: tarikh lahir, nombor telefon, nombor akaun, dll.) Strategi yang paling biasa ialah menggunakan pertanyaan kecil pada mulanya dan menyebut nama orang sebenar dalam organisasi. Kemudian, semasa perbualan, penyerang menerangkan bahawa dia memerlukan bantuan (kebanyakan orang mampu dan sanggup melakukan tugas yang tidak dianggap mencurigakan). Apabila kepercayaan telah diwujudkan, penipu mungkin meminta sesuatu yang lebih penting dan penting.

    Pancingan data

    Contoh e-mel pancingan data yang dihantar daripada perkhidmatan pos meminta "pengaktifan semula akaun"

    Phishing (pancingan data bahasa Inggeris, dari memancing - memancing, memancing) adalah sejenis penipuan Internet, yang tujuannya adalah untuk mendapatkan akses kepada data pengguna sulit - log masuk dan kata laluan. Ini mungkin skim kejuruteraan sosial yang paling popular hari ini. Tiada satu kebocoran data peribadi utama berlaku tanpa gelombang e-mel pancingan data yang mengikutinya. Tujuan pancingan data ialah resit haram maklumat sulit. Contoh paling ketara serangan pancingan data ialah mesej yang dihantar kepada mangsa melalui e-mel, dan dipalsukan sebagai surat rasmi - daripada bank atau sistem pembayaran - memerlukan pengesahan maklumat tertentu atau prestasi tindakan tertentu. Terdapat pelbagai sebab. Ini mungkin kehilangan data, kegagalan sistem, dll. E-mel ini biasanya mengandungi pautan ke halaman web palsu yang kelihatan sama seperti yang rasmi, dan mengandungi borang yang memerlukan anda memasukkan maklumat sensitif.

    Salah satu yang paling contoh terkenal E-mel pancingan data global boleh dikesan kembali kepada penipuan 2003 di mana beribu-ribu pengguna eBay menerima e-mel yang mendakwa akaun mereka telah dikunci dan memerlukan mengemas kini maklumat kad kredit mereka untuk membuka kuncinya. Semua e-mel ini mengandungi pautan yang membawa kepada halaman web palsu yang kelihatan sama seperti yang rasmi. Menurut pakar, kerugian daripada penipuan ini berjumlah beberapa ratus ribu dolar.

    Bagaimana untuk mengenali serangan pancingan data

    Hampir setiap hari skim penipuan baru muncul. Kebanyakan orang boleh belajar mengenali mesej penipuan sendiri dengan membiasakan diri dengan beberapa ciri yang membezakannya. Selalunya, mesej pancingan data mengandungi:

    • maklumat yang menyebabkan kebimbangan atau ancaman, seperti penutupan akaun bank pengguna.
    • menjanjikan hadiah wang tunai yang besar dengan dengan usaha yang minimum atau tanpa mereka sama sekali.
    • permintaan untuk derma sukarela bagi pihak pertubuhan kebajikan.
    • kesalahan tatabahasa, tanda baca dan ejaan.

    Skim pancingan data yang popular

    Penipuan pancingan data yang paling popular diterangkan di bawah.

    Penipuan menggunakan jenama syarikat terkenal

    Penipuan pancingan data ini menggunakan e-mel atau tapak web palsu yang mengandungi nama syarikat besar atau terkenal. Mesej tersebut mungkin termasuk ucapan tahniah tentang memenangi pertandingan yang diadakan oleh syarikat, atau tentang keperluan mendesak untuk menukar kelayakan atau kata laluan anda. serupa skim penipuan bagi pihak perkhidmatan sokongan teknikal juga boleh dilakukan melalui telefon.

    Loteri penipuan

    Pengguna mungkin menerima mesej yang menunjukkan bahawa dia telah memenangi loteri yang dipegang oleh beberapa orang syarikat yang terkenal. Pada zahirnya, mesej ini mungkin kelihatan seolah-olah dihantar bagi pihak pekerja korporat kanan.

    Antivirus dan program keselamatan palsu
    IVR atau pancingan data telefon

    Prinsip operasi sistem IVR

    Qui tentang quo

    Quid pro quo (dari bahasa Latin Quid pro quo - "ini untuk ini") ialah singkatan yang biasa digunakan dalam Bahasa Inggeris dalam erti kata "perkhidmatan untuk perkhidmatan". Jenis ini serangan melibatkan penyerang menghubungi syarikat melalui telefon korporat. Dalam kebanyakan kes, penyerang menyamar sebagai pekerja sokongan teknikal bertanya sama ada terdapat sebarang masalah teknikal. Dalam proses "penyelesaian" masalah teknikal, penipu "memaksa" sasaran untuk memasukkan arahan yang membolehkan penggodam menjalankan atau memasang perisian berniat jahat pada mesin pengguna.

    Kuda Trojan

    Kadangkala penggunaan Trojan hanyalah sebahagian daripada serangan berbilang peringkat yang dirancang komputer tertentu, rangkaian atau sumber.

    Jenis-jenis Trojan

    Trojan paling kerap dibangunkan untuk tujuan jahat. Terdapat klasifikasi di mana mereka dibahagikan kepada kategori berdasarkan bagaimana Trojan menyusup ke dalam sistem dan menyebabkan kemudaratan kepadanya. Terdapat 5 jenis utama:

    • akses jauh
    • pemusnahan data
    • pemuat
    • pelayan
    • penyahaktif program keselamatan

    Matlamat

    Tujuan program Trojan boleh:

    • memuat naik dan memuat turun fail
    • menyalin pautan palsu yang membawa kepada laman web palsu, bilik sembang atau tapak pendaftaran lain
    • mengganggu kerja pengguna
    • mencuri data nilai atau rahsia, termasuk maklumat pengesahan, untuk akses tanpa kebenaran kepada sumber, mendapatkan butiran akaun bank yang boleh digunakan untuk tujuan jenayah
    • pengedaran perisian hasad lain seperti virus
    • kemusnahan data (memadam atau menimpa data pada cakera, kerosakan yang sukar dilihat pada fail) dan peralatan, melumpuhkan atau kegagalan perkhidmatan sistem komputer, rangkaian
    • mengumpul alamat e-mel dan menggunakannya untuk menghantar spam
    • mengintip pengguna dan menyampaikan maklumat secara rahsia kepada pihak ketiga, seperti tabiat menyemak imbas
    • Mengelog ketukan kekunci untuk mencuri maklumat seperti kata laluan dan nombor kad kredit
    • menyahaktifkan atau mengganggu pengendalian program anti-virus dan tembok api

    menyamar

    Banyak program Trojan terletak pada komputer pengguna tanpa pengetahuan mereka. Kadangkala Trojan didaftarkan dalam Pejabat Pendaftaran, yang membawa kepada mereka permulaan automatik apabila sistem pengendalian bermula. Trojan juga boleh digabungkan dengan fail yang sah. Apabila pengguna membuka fail sedemikian atau melancarkan aplikasi, Trojan dilancarkan bersama-sama dengannya.

    Bagaimana Trojan berfungsi

    Trojan biasanya terdiri daripada dua bahagian: Klien dan Pelayan. Pelayan berjalan pada mesin mangsa dan memantau sambungan daripada Klien. Semasa Pelayan sedang berjalan, ia memantau port atau berbilang port untuk sambungan daripada Klien. Untuk membolehkan penyerang menyambung ke Pelayan, ia mesti mengetahui alamat IP mesin yang ia sedang berjalan. Sesetengah Trojan menghantar alamat IP mesin mangsa kepada pihak yang menyerang melalui e-mel atau beberapa kaedah lain. Sebaik sahaja sambungan kepada Pelayan berlaku, Pelanggan boleh menghantar arahan kepadanya, yang akan dilaksanakan oleh Pelayan. Pada masa ini, terima kasih kepada teknologi NAT, adalah mustahil untuk mengakses kebanyakan komputer melalui alamat IP luaran mereka. Itulah sebabnya ramai Trojan hari ini menyambung ke komputer penyerang, yang bertanggungjawab untuk menerima sambungan sambungan, bukannya penyerang itu sendiri yang cuba menyambung kepada mangsa. Banyak Trojan moden juga boleh memintas tembok api dengan mudah pada komputer pengguna.

    Pengumpulan maklumat daripada sumber terbuka

    Penggunaan teknik kejuruteraan sosial memerlukan bukan sahaja pengetahuan psikologi, tetapi juga keupayaan untuk mengumpul maklumat yang diperlukan tentang seseorang. Cara yang agak baharu untuk mendapatkan maklumat sedemikian ialah pengumpulannya daripada sumber terbuka, terutamanya daripada rangkaian sosial. Contohnya, tapak seperti livejournal, Odnoklassniki, Vkontakte mengandungi sejumlah besar data yang orang tidak cuba sembunyikan. Sebagai peraturan, , pengguna tidak memberikan perhatian yang cukup kepada isu keselamatan, meninggalkan data dan maklumat dalam domain awam yang boleh digunakan oleh penyerang.

    Contoh ilustrasi ialah kisah penculikan anak lelaki Evgeniy Kaspersky. Semasa siasatan, didapati penjenayah mengetahui jadual dan laluan harian remaja itu daripada catatannya di laman rangkaian sosial.

    Walaupun dengan mengehadkan akses kepada maklumat di halaman rangkaian sosialnya, pengguna tidak dapat memastikan bahawa ia tidak akan pernah jatuh ke tangan penipu. Sebagai contoh, seorang penyelidik Brazil mengenai keselamatan komputer menunjukkan bahawa adalah mungkin untuk menjadi rakan mana-mana pengguna Facebook dalam masa 24 jam menggunakan kaedah kejuruteraan sosial. Semasa percubaan, penyelidik Nelson Novaes Neto memilih "mangsa" dan mencipta akaun palsu seseorang dari persekitarannya - bosnya. Neto mula-mula menghantar permintaan rakan kepada rakan rakan bos mangsa, dan kemudian terus kepada rakannya. Selepas 7.5 jam, penyelidik mendapat "mangsa" untuk menambahnya sebagai rakan. Oleh itu, penyelidik mendapat akses kepada maklumat peribadi pengguna, yang dia kongsikan hanya dengan rakan-rakannya.

    Epal jalan raya

    Kaedah serangan ini adalah adaptasi daripada kuda Trojan dan terdiri daripada menggunakan media fizikal. Penyerang menanam "dijangkiti" , atau kilat, di tempat di mana pembawa boleh didapati dengan mudah (tandas, lif, tempat letak kereta). Media dipalsukan untuk kelihatan rasmi, dan disertakan dengan tandatangan yang direka untuk menimbulkan rasa ingin tahu. Sebagai contoh, penipu boleh menanam surat, dilengkapi dengan logo korporat dan pautan ke laman web rasmi syarikat, melabelkannya "Gaji Eksekutif." Cakera boleh ditinggalkan di tingkat lif, atau di lobi. Seorang pekerja mungkin tanpa sedar mengambil cakera dan memasukkannya ke dalam komputer untuk memuaskan rasa ingin tahunya.

    Kejuruteraan sosial songsang

    Kejuruteraan sosial songsang dirujuk apabila mangsa sendiri menawarkan penyerang maklumat yang dia perlukan. Ini mungkin kelihatan tidak masuk akal, tetapi sebenarnya, orang yang mempunyai kuasa dalam bidang teknikal atau sosial sering menerima ID pengguna dan kata laluan dan maklumat penting lain. maklumat peribadi semata-mata kerana tiada siapa yang meragui integriti mereka. Sebagai contoh, kakitangan sokongan tidak pernah meminta pengguna untuk ID atau kata laluan; mereka tidak memerlukan maklumat ini untuk menyelesaikan masalah. Walau bagaimanapun, ramai pengguna secara sukarela memberikan maklumat sulit ini untuk menyelesaikan masalah dengan cepat. Ternyata penyerang tidak perlu bertanya mengenainya.

    Contoh kejuruteraan sosial terbalik ialah senario mudah berikut. Penyerang yang bekerja dengan mangsa menukar nama fail pada komputer mangsa atau mengalihkannya ke direktori lain. Apabila mangsa menyedari fail itu hilang, penyerang mendakwa bahawa dia boleh membetulkan segala-galanya. Mahu menyelesaikan kerja dengan lebih cepat atau mengelakkan hukuman kerana kehilangan maklumat, mangsa bersetuju dengan tawaran ini. Penyerang mendakwa bahawa masalah itu hanya boleh diselesaikan dengan log masuk dengan bukti kelayakan mangsa. Kini mangsa meminta penyerang untuk log masuk di bawah namanya untuk cuba memulihkan fail. Penyerang dengan berat hati bersetuju dan memulihkan fail, dan dalam proses itu mencuri ID dan kata laluan mangsa. Setelah berjaya melakukan serangan itu, dia juga meningkatkan reputasinya, dan kemungkinan besar selepas ini rakan sekerja lain akan meminta bantuan kepadanya. Pendekatan ini tidak mengganggu prosedur biasa untuk menyediakan perkhidmatan sokongan dan merumitkan penangkapan penyerang.

    Jurutera Sosial Terkenal

    Kevin Mitnick

    Kevin Mitnick. Penggodam dan perunding keselamatan terkenal dunia

    Salah seorang jurutera sosial yang paling terkenal dalam sejarah ialah Kevin Mitnick. Sebagai penggodam komputer dan perunding keselamatan yang terkenal di dunia, Mitnick juga merupakan pengarang banyak buku mengenai keselamatan komputer, terutamanya menumpukan kepada kejuruteraan sosial dan kaedah pengaruh psikologi terhadap manusia. Pada tahun 2002, buku "The Art of Deception" diterbitkan di bawah pengarangnya, menceritakan tentang cerita sebenar aplikasi kejuruteraan sosial. Kevin Mitnick berhujah bahawa lebih mudah untuk mendapatkan kata laluan melalui penipuan daripada cuba menggodam sistem keselamatan

    Badir Brothers

    Walaupun adik-beradik Mundir, Mushid dan Shadi Badir buta sejak lahir, mereka berjaya menjalankan beberapa skim penipuan besar di Israel pada 1990-an, menggunakan kejuruteraan sosial dan spoofing suara. Dalam wawancara TV mereka berkata: "Sepenuhnya dari serangan rangkaian Hanya mereka yang tidak menggunakan telefon, elektrik dan komputer riba sahaja yang diinsuranskan.” Saudara-saudara telah pun dipenjara kerana dapat mendengar dan menguraikan nada gangguan rahsia penyedia telefon. Mereka membuat panggilan panjang ke luar negara atas perbelanjaan orang lain, setelah memprogram semula komputer pembekal selular dengan nada gangguan.

    Malaikat Agung

    Muka depan majalah Phrack

    Terkenal penggodam komputer dan perunding keselamatan di majalah dalam talian berbahasa Inggeris yang terkenal "Majalah Phrack", Archangel menunjukkan keupayaan teknik kejuruteraan sosial dengan mendapatkan kata laluan daripada sejumlah besar pelbagai sistem, menipu beberapa ratus mangsa.

    Lain-lain

    Jurutera sosial yang kurang dikenali termasuk Frank Abagnale, David Bannon, Peter Foster dan Stephen Jay Russell.

    Cara untuk melindungi daripada kejuruteraan sosial

    Untuk melakukan serangan mereka, penyerang yang menggunakan teknik kejuruteraan sosial sering mengeksploitasi ketertiban, kemalasan, kesopanan, dan juga keghairahan pengguna dan pekerja organisasi. Bukan mudah untuk bertahan daripada serangan sebegitu kerana mangsa mungkin tidak sedar mereka telah ditipu. Penyerang kejuruteraan sosial umumnya mempunyai matlamat yang sama seperti penyerang lain: mereka mahukan wang, maklumat atau sumber IT syarikat mangsa. Untuk melindungi daripada serangan sedemikian, anda perlu mengkaji jenisnya, memahami perkara yang diperlukan oleh penyerang dan menilai kerosakan yang boleh berlaku kepada organisasi. Dengan semua maklumat ini, anda boleh menyepadukan langkah perlindungan yang diperlukan ke dalam dasar keselamatan anda.

    Klasifikasi ancaman

    Ancaman e-mel

    Ramai pekerja menerima setiap hari melalui korporat dan swasta sistem pos berpuluh malah ratusan e-mel. Sudah tentu, dengan aliran surat-menyurat sedemikian adalah mustahil untuk memberi perhatian yang sewajarnya kepada setiap surat. Ini menjadikannya lebih mudah untuk melakukan serangan. Kebanyakan pengguna sistem e-mel santai tentang memproses mesej sedemikian, menganggap kerja ini sebagai analog elektronik untuk memindahkan kertas dari satu folder ke folder lain. Apabila penyerang menghantar permintaan mudah melalui mel, mangsanya selalunya akan melakukan apa yang diminta tanpa memikirkan tindakannya. E-mel mungkin mengandungi hiperpautan yang menarik pekerja untuk melanggar keselamatan korporat. Pautan sedemikian tidak selalu membawa kepada halaman yang dinyatakan.

    Kebanyakan langkah keselamatan bertujuan untuk menghalang pengguna yang tidak dibenarkan daripada mengakses sumber korporat. Jika, dengan mengklik pada hiperpautan yang dihantar oleh penyerang, pengguna memuat turun rangkaian korporat Program atau virus Trojan, ini akan membolehkan anda memintas pelbagai jenis perlindungan dengan mudah. Hiperpautan juga mungkin menunjuk ke tapak dengan aplikasi pop timbul yang meminta data atau menawarkan bantuan. Seperti jenis penipuan lain, kebanyakan cara yang berkesan perlindungan daripada serangan berniat jahat adalah ragu-ragu tentang sebarang surat masuk yang tidak dijangka. Untuk mempromosikan pendekatan ini di seluruh organisasi anda, dasar keselamatan anda harus menyertakan garis panduan khusus untuk penggunaan e-mel yang merangkumi elemen berikut:

    • Lampiran pada dokumen.
    • Hiperpautan dalam dokumen.
    • Permintaan untuk peribadi atau maklumat korporat berpunca dari dalam syarikat.
    • Permintaan untuk maklumat peribadi atau korporat yang berasal dari luar syarikat.

    Ancaman yang berkaitan dengan menggunakan perkhidmatan pemesejan segera

    Pemesejan segera ialah kaedah pemindahan data yang agak baharu, tetapi ia telah mendapat populariti yang meluas dalam kalangan pengguna korporat. Kerana kelajuan dan kemudahan penggunaannya, kaedah komunikasi ini terbuka peluang yang banyak untuk menjalankan pelbagai serangan: pengguna menganggapnya seperti sambungan telefon dan tidak mengaitkannya dengan ancaman perisian yang berpotensi. Dua jenis serangan utama berdasarkan penggunaan perkhidmatan pemesejan segera ialah kemasukan pautan ke program berniat jahat dalam badan mesej dan penghantaran program itu sendiri. Sudah tentu, pemesejan segera juga merupakan salah satu cara untuk meminta maklumat. Salah satu ciri perkhidmatan pesanan segera ialah sifat komunikasi yang tidak formal. Digabungkan dengan keupayaan untuk memberikan apa-apa nama kepada diri mereka sendiri, ini menjadikannya lebih mudah bagi penyerang untuk menyamar sebagai orang lain dan meningkatkan peluang mereka untuk berjaya melakukan serangan. Jika syarikat berhasrat untuk mengambil kesempatan daripada peluang penjimatan kos dan faedah lain yang disediakan melalui pemesejan segera, adalah perlu untuk dimasukkan dalam polisi Keselamatan korporat menyediakan mekanisme perlindungan terhadap ancaman yang berkaitan. Untuk mendapatkan kawalan yang boleh dipercayai ke atas pemesejan segera dalam persekitaran perusahaan, terdapat beberapa keperluan yang mesti dipenuhi.

    • Pilih satu platform pemesejan segera.
    • Tentukan tetapan keselamatan yang ditentukan semasa menggunakan perkhidmatan pemesejan segera.
    • Tentukan prinsip untuk mewujudkan kenalan baharu
    • Tetapkan piawaian kata laluan
    • Buat cadangan untuk menggunakan perkhidmatan pemesejan segera.

    Model keselamatan pelbagai peringkat

    Untuk pengawal syarikat besar dan pekerja mereka daripada penipu menggunakan teknik kejuruteraan sosial, kompleks sistem pelbagai peringkat keselamatan. Beberapa ciri dan tanggungjawab sistem tersebut disenaraikan di bawah.

    • Sekuriti fizikal. Halangan yang menyekat akses kepada bangunan syarikat dan sumber korporat. Jangan lupa bahawa sumber syarikat, contohnya, bekas sampah yang terletak di luar wilayah syarikat, tidak dilindungi secara fizikal.
    • Data. Maklumat perniagaan: Akaun, surat-menyurat pos dsb. Apabila menganalisis ancaman dan merancang langkah perlindungan data, adalah perlu untuk menentukan prinsip pengendalian kertas dan media data elektronik.
    • Aplikasi. Program yang dikendalikan pengguna. Untuk melindungi persekitaran anda, anda perlu mempertimbangkan cara penyerang boleh mengeksploitasi pengirim surat, perkhidmatan pemesejan segera dan aplikasi lain.
    • Komputer. Pelayan dan sistem pelanggan yang digunakan dalam organisasi. Melindungi pengguna daripada serangan langsung ke atas komputer mereka dengan mentakrifkan garis panduan ketat yang mengawal atur cara yang boleh digunakan pada komputer korporat.
    • Rangkaian dalaman. Rangkaian di mana mereka berinteraksi sistem korporat. Ia boleh menjadi tempatan, global atau tanpa wayar. Dalam tahun-tahun kebelakangan ini, disebabkan peningkatan populariti kaedah kerja jauh, sempadan rangkaian dalaman telah menjadi sewenang-wenangnya. Pekerja syarikat perlu diberitahu apa yang patut mereka lakukan untuk organisasi. kerja selamat dalam mana-mana persekitaran rangkaian.
    • Perimeter rangkaian. Sempadan antara rangkaian dalaman syarikat dan luaran, seperti Internet atau rangkaian organisasi rakan kongsi.

    Tanggungjawab

    Pretexting dan rakaman perbualan telefon

    Hewlett Packard

    Patricia Dunn, Presiden Perbadanan Hewlett Packard, melaporkan bahawa dia mengupah syarikat persendirian untuk mengenal pasti pekerja syarikat yang bertanggungjawab terhadap kebocoran itu maklumat sulit. Kemudian, ketua perbadanan itu mengakui bahawa amalan berpura-pura dan teknik kejuruteraan sosial lain digunakan semasa proses penyelidikan.

    Nota

    lihat juga

    Pautan

    • SocialWare.ru – Projek kejuruteraan sosial swasta
    • - Kejuruteraan sosial: asas. Bahagian I: Taktik Penggodam

    Kaedah kejuruteraan sosial - inilah yang akan dibincangkan dalam artikel ini, serta semua yang berkaitan dengan manipulasi orang, pancingan data dan kecurian pangkalan data pelanggan dan banyak lagi. Andrey Serikov dengan baik hati memberikan kami maklumat, yang mana dia adalah pengarangnya, yang mana kami berterima kasih kepadanya.

    A. SERIKOV

    A.B.BOROVSKY

    TEKNOLOGI MAKLUMAT PENGGODAAN SOSIAL

    pengenalan

    Keinginan manusia untuk mencapai pemenuhan sempurna tugas yang diberikan berfungsi sebagai pembangunan teknologi komputer moden, dan percubaan untuk memenuhi permintaan orang yang bercanggah membawa kepada pembangunan produk perisian. Data produk perisian bukan sahaja menyokong prestasi perkakasan, tetapi juga menguruskannya.

    Perkembangan pengetahuan tentang manusia dan komputer telah membawa kepada kemunculan jenis sistem yang pada asasnya baru - "manusia-mesin", di mana seseorang boleh diletakkan sebagai perkakasan yang beroperasi di bawah kawalan operasi yang stabil, berfungsi, multi-tugas. sistem yang dipanggil "jiwa".

    Subjek kerja adalah pertimbangan penggodaman sosial sebagai cabang pengaturcaraan sosial, di mana seseorang dimanipulasi dengan bantuan kelemahan manusia, prasangka dan stereotaip dalam kejuruteraan sosial.

    Kejuruteraan sosial dan kaedahnya

    Kaedah manipulasi manusia telah diketahui sejak sekian lama; mereka terutamanya datang ke kejuruteraan sosial dari senjata pelbagai perkhidmatan perisikan.

    Kes pertama yang diketahui kecerdasan daya saing bermula pada abad ke-6 SM dan berlaku di China, apabila orang Cina kehilangan rahsia pembuatan sutera, yang dicuri secara curang oleh pengintip Rom.

    Kejuruteraan sosial ialah sains yang ditakrifkan sebagai satu set kaedah untuk memanipulasi tingkah laku manusia, berdasarkan penggunaan kelemahan faktor manusia, tanpa menggunakan cara teknikal.

    Menurut ramai pakar, ancaman terbesar kepada keselamatan maklumat adalah ditimbulkan oleh kaedah kejuruteraan sosial, jika hanya kerana penggunaan penggodaman sosial tidak memerlukan pelaburan kewangan yang ketara dan pengetahuan menyeluruh tentang teknologi komputer, dan juga kerana orang mempunyai kecenderungan tingkah laku tertentu yang boleh digunakan untuk manipulasi yang teliti.

    Dan tidak kira bagaimana sistem perlindungan teknikal bertambah baik, orang akan kekal sebagai orang dengan kelemahan, prasangka, stereotaip mereka, dengan bantuan pengurusan yang dilakukan. Menyediakan "program keselamatan" manusia ialah tugas yang paling sukar dan tidak selalu membawa kepada hasil yang terjamin, kerana penapis ini mesti sentiasa dilaraskan. Di sini, moto utama semua pakar keselamatan terdengar lebih relevan berbanding sebelum ini: "Keselamatan ialah proses, bukan hasil."

    Bidang aplikasi kejuruteraan sosial:

    1. ketidakstabilan umum kerja organisasi untuk mengurangkan pengaruhnya dan kemungkinan kemusnahan lengkap organisasi berikutnya;
    2. penipuan kewangan dalam organisasi;
    3. pancingan data dan kaedah lain untuk mencuri kata laluan untuk mengakses data perbankan peribadi individu;
    4. kecurian pangkalan data pelanggan;
    5. kecerdasan daya saing;
    6. maklumat am tentang organisasi, kekuatannya dan kelemahan, dengan tujuan untuk kemudiannya memusnahkan organisasi ini dalam satu atau lain cara (sering digunakan untuk serangan penceroboh);
    7. maklumat tentang pekerja yang paling menjanjikan dengan tujuan untuk "memikat" lagi mereka kepada organisasi anda;

    Pengaturcaraan sosial dan penggodaman sosial

    Pengaturcaraan sosial boleh dipanggil disiplin terpakai yang berkaitan dengan pengaruh yang disasarkan pada seseorang atau kumpulan orang untuk mengubah atau mengekalkan tingkah laku mereka dalam ke arah yang betul. Oleh itu, pengaturcara sosial menetapkan matlamatnya sendiri: menguasai seni mengurus orang. Konsep asas pengaturcaraan sosial ialah tindakan ramai orang dan reaksi mereka terhadap satu atau satu lagi pengaruh luar dalam banyak kes boleh diramalkan.

    Kaedah pengaturcaraan sosial adalah menarik kerana sama ada tiada siapa yang akan tahu tentang mereka, atau walaupun seseorang meneka tentang sesuatu, sangat sukar untuk membawa tokoh sedemikian ke muka pengadilan, dan dalam beberapa kes adalah mungkin untuk "memprogram" tingkah laku orang, dan satu orang, dan kumpulan besar. Peluang-peluang ini termasuk dalam kategori penggodaman sosial dengan tepat kerana dalam kesemuanya orang melaksanakan kehendak orang lain, seolah-olah mematuhi "program" yang ditulis oleh penggodam sosial.

    Penggodaman sosial sebagai keupayaan untuk menggodam seseorang dan memprogramkannya untuk melakukan tindakan yang diingini datang daripada pengaturcaraan sosial - disiplin kejuruteraan sosial yang diterapkan, di mana pakar dalam bidang ini - penggodam sosial— menggunakan pengaruh psikologi dan teknik lakonan yang dipinjam daripada senjata perkhidmatan perisikan.

    Penggodaman sosial digunakan dalam kebanyakan kes apabila ia datang untuk menyerang seseorang yang merupakan sebahagian daripada sistem komputer. Sistem komputer, yang digodam, tidak wujud dengan sendirinya. Ia mengandungi komponen penting - seseorang. Dan untuk mendapatkan maklumat, penggodam sosial perlu menggodam seseorang yang bekerja dengan komputer. Dalam kebanyakan kes, lebih mudah untuk melakukan ini daripada menggodam komputer mangsa dalam usaha untuk mengetahui kata laluan.

    Algoritma pengaruh biasa dalam penggodaman sosial:

    Semua serangan oleh penggodam sosial sesuai dengan satu skema yang agak mudah:

    1. tujuan mempengaruhi objek tertentu dirumuskan;
    2. maklumat tentang objek dikumpul untuk mengesan sasaran pengaruh yang paling mudah;
    3. Berdasarkan maklumat yang dikumpul, satu peringkat dilaksanakan yang dipanggil oleh ahli psikologi sebagai tarikan. Tarikan (dari bahasa Latin Attrahere - untuk menarik, menarik) adalah ciptaan syarat yang perlu untuk mempengaruhi objek;
    4. memaksa penggodam sosial untuk mengambil tindakan;

    Paksaan dicapai dengan melakukan peringkat sebelumnya, iaitu, selepas daya tarikan dicapai, mangsa sendiri mengambil tindakan yang diperlukan untuk jurutera sosial.

    Berdasarkan maklumat yang dikumpul, penggodam sosial dengan tepat meramalkan psiko- dan sosiotaip mangsa, mengenal pasti bukan sahaja keperluan untuk makanan, seks, dan lain-lain, tetapi juga keperluan untuk cinta, keperluan untuk wang, keperluan untuk keselesaan, dll. ., dan lain-lain.

    Dan sememangnya, mengapa cuba menembusi syarikat ini atau itu, menggodam komputer, ATM, mengatur kombinasi yang kompleks, apabila anda boleh melakukan segala-galanya dengan lebih mudah: membuat seseorang jatuh cinta dengan anda, yang, atas kehendaknya sendiri, akan memindahkan wang ke akaun tertentu atau berkongsi wang yang diperlukan setiap kali maklumat?

    Berdasarkan fakta bahawa tindakan orang ramai boleh diramal dan juga tertakluk kepada undang-undang tertentu, penggodam sosial dan pengaturcara sosial menggunakan kedua-dua pelbagai langkah asal dan teknik positif dan negatif yang mudah berdasarkan psikologi kesedaran manusia, program tingkah laku, getaran organ dalaman, logik. pemikiran, imaginasi, ingatan, perhatian. Teknik-teknik ini termasuk:

    Penjana kayu - menghasilkan ayunan frekuensi yang sama dengan kekerapan ayunan organ dalaman, selepas itu kesan resonans diperhatikan, akibatnya orang mula merasakan ketidakselesaan yang teruk dan keadaan panik;

    kesan ke atas geografi orang ramai - untuk pembubaran secara aman kumpulan besar orang yang agresif dan sangat berbahaya;

    bunyi frekuensi tinggi dan frekuensi rendah - untuk mencetuskan panik dan kesan sebaliknya, serta manipulasi lain;

    program peniruan sosial - seseorang menentukan ketepatan tindakan dengan mengetahui tindakan yang dianggap betul oleh orang lain;

    program claquering - (berdasarkan tiruan sosial) organisasi reaksi yang diperlukan daripada penonton;

    pembentukan baris gilir - (berdasarkan tiruan sosial) langkah pengiklanan yang mudah tetapi berkesan;

    program bantuan bersama - seseorang berusaha untuk membalas budi kepada orang-orang yang telah berbuat baik kepadanya. Keinginan untuk memenuhi program ini selalunya melebihi semua sebab;

    Penggodaman sosial di Internet

    Dengan kemunculan dan perkembangan Internet - persekitaran maya yang terdiri daripada orang dan interaksi mereka, persekitaran untuk memanipulasi seseorang untuk mendapatkan maklumat yang diperlukan dan komited tindakan yang perlu. Pada masa kini, Internet adalah alat penyiaran di seluruh dunia, medium untuk kerjasama, komunikasi dan meliputi keseluruhan Bumi. Inilah yang digunakan oleh jurutera sosial untuk mencapai matlamat mereka.

    Cara untuk memanipulasi seseorang melalui Internet:

    Dalam dunia moden, pemilik hampir setiap syarikat telah menyedari bahawa Internet adalah cara yang sangat berkesan dan mudah untuk mengembangkan perniagaan mereka dan tugas utamanya adalah untuk meningkatkan keuntungan keseluruhan syarikat. Adalah diketahui bahawa tanpa maklumat yang bertujuan untuk menarik perhatian kepada objek yang dikehendaki, menjana atau mengekalkan minat terhadapnya dan mempromosikannya di pasaran, pengiklanan digunakan. Cuma, disebabkan pasaran pengiklanan telah lama dibahagikan, kebanyakan jenis pengiklanan untuk kebanyakan usahawan adalah membazirkan wang. Pengiklanan Internet bukan hanya salah satu jenis pengiklanan di media, ia adalah sesuatu yang lebih, kerana dengan bantuan pengiklanan Internet orang yang berminat untuk bekerjasama datang ke laman web organisasi.

    Pengiklanan internet, tidak seperti pengiklanan di media, mempunyai lebih banyak peluang dan parameter untuk menguruskan syarikat pengiklanan. Penunjuk yang paling penting dalam pengiklanan Internet ialah Yuran pengiklanan Internet didebitkan hanya apabila anda bertukar pengguna yang berminat melalui pautan pengiklanan, yang sudah tentu menjadikan pengiklanan di Internet lebih berkesan dan lebih murah daripada pengiklanan di media. Jadi, setelah menghantar iklan di televisyen atau dalam penerbitan cetak, mereka membayarnya sepenuhnya dan hanya menunggu bakal pelanggan, tetapi pelanggan boleh bertindak balas kepada pengiklanan atau tidak - semuanya bergantung kepada kualiti pengeluaran dan persembahan pengiklanan di televisyen atau akhbar, namun, bajet pengiklanan telah pun dibelanjakan dan jika pengiklanan tidak berfungsi, ia akan menjadi sia-sia. Tidak seperti pengiklanan media sedemikian, pengiklanan Internet mempunyai keupayaan untuk menjejaki sambutan khalayak dan mengurus pengiklanan Internet sebelum belanjawannya dibelanjakan; lebih-lebih lagi, pengiklanan Internet boleh digantung apabila permintaan untuk produk telah meningkat dan diteruskan apabila permintaan mula menurun.

    Kaedah pengaruh lain ialah apa yang dipanggil "Pembunuhan forum" di mana, dengan bantuan pengaturcaraan sosial, mereka mencipta anti-pengiklanan untuk projek tertentu. Dalam kes ini, pengaturcara sosial, dengan bantuan tindakan provokatif yang jelas, memusnahkan forum sahaja, menggunakan beberapa nama samaran ( nama panggilan) untuk mewujudkan kumpulan anti-pemimpin di sekelilingnya, dan menarik pengunjung tetap ke projek yang tidak berpuas hati dengan tingkah laku pentadbiran. Pada penghujung acara sedemikian, menjadi mustahil untuk mempromosikan produk atau idea di forum. Inilah tujuan asalnya forum ini dibangunkan.

    Kaedah mempengaruhi seseorang melalui Internet untuk tujuan kejuruteraan sosial:

    Phishing ialah sejenis penipuan Internet yang bertujuan untuk mendapatkan akses kepada data pengguna sulit - log masuk dan kata laluan. Operasi ini dicapai dengan melaksanakan mel beramai-ramai e-mel bagi pihak jenama popular, serta mesej peribadi di dalamnya pelbagai perkhidmatan(Rambler), bank atau dalam rangkaian sosial(Facebook). Surat itu selalunya mengandungi pautan ke laman web yang secara lahiriah tidak dapat dibezakan daripada yang sebenar. Selepas pengguna mendarat di halaman palsu, jurutera sosial pelbagai teknik menggalakkan pengguna untuk memasukkan log masuk dan kata laluannya pada halaman, yang dia gunakan untuk mengakses tapak tertentu, yang membolehkan dia mendapat akses kepada akaun dan akaun bank.

    Lagi kelihatan berbahaya penipuan daripada pancingan data adalah apa yang dipanggil pharming.

    Pharming ialah mekanisme untuk mengalihkan pengguna secara rahsia ke tapak pancingan data. Jurutera sosial mengedarkan program berniat jahat khas kepada komputer pengguna, yang, setelah dilancarkan pada komputer, mengalihkan permintaan dari tapak yang diperlukan kepada yang palsu. Ini memastikan kerahsiaan tinggi serangan, dan penyertaan pengguna dikekalkan pada tahap minimum - cukup untuk menunggu sehingga pengguna memutuskan untuk melawat kawasan yang diminati jurutera sosial tapak.

    Kesimpulan

    Kejuruteraan sosial ialah sains yang muncul daripada sosiologi dan mendakwa sebagai badan pengetahuan yang membimbing, mengatur dan mengoptimumkan proses mencipta, memodenkan dan menghasilkan semula realiti sosial (“tiruan”) baharu. Dengan cara tertentu, ia "melengkapkan" sains sosiologi, melengkapkannya pada fasa mengubah pengetahuan saintifik menjadi model, projek dan reka bentuk institusi sosial, nilai, norma, algoritma aktiviti, hubungan, tingkah laku, dll.

    Walaupun hakikatnya Kejuruteraan Sosial adalah sains yang agak muda, ia menyebabkan kerosakan besar kepada proses yang berlaku dalam masyarakat.

    Kaedah perlindungan yang paling mudah daripada kesan sains yang merosakkan ini ialah:

    Menarik perhatian orang ramai kepada isu keselamatan.

    Pengguna memahami keseriusan masalah dan menerima dasar keselamatan sistem.

    kesusasteraan

    1. R. Petersen Linux: Panduan Lengkap: per. dari bahasa Inggeris - ed ke-3. - K.: Kumpulan Penerbitan BHV, 2000. – 800 p.

    2. Dari Internet Grodnev di rumah anda. - M.: “RIPOL CLASSIC”, 2001. -480 p.

    3. M. V. Kuznetsov Kejuruteraan sosial dan penggodaman sosial. St. Petersburg: BHV-Petersburg, 2007. - 368 ms: ill.



    ARTIKEL BERKAITAN