Uhandisi wa kijamii: ni nini na ni nini muhimu kujua? Maeneo ya matumizi ya uhandisi wa kijamii. Algorithm ya ushawishi wa kawaida katika udukuzi wa kijamii

Kila shirika kubwa au hata dogo lina udhaifu katika usalama wa habari. Hata kama kompyuta zote za kampuni zina programu bora, wafanyakazi wote wana nywila zenye nguvu zaidi, na kompyuta zote zinafuatiliwa na wasimamizi wenye akili zaidi, bado unaweza kupata doa dhaifu. Na moja, jambo muhimu zaidi, " hatua dhaifu” ni watu wanaofanya kazi katika kampuni, wanaweza kufikia mifumo ya kompyuta na, kwa kiwango kikubwa au kidogo, ni wabebaji wa habari kuhusu shirika. Watu ambao wanapanga kuiba habari, au kwa maneno mengine wadukuzi, wanafaidika tu na sababu ya kibinadamu. Na ni kwa watu kwamba wanajaribu mbinu mbalimbali za ushawishi zinazoitwa uhandisi wa kijamii. Nitajaribu kuzungumza juu yake leo katika makala na kuhusu hatari inayosababisha watumiaji wa kawaida, na kwa mashirika.

Hebu kwanza tuelewe uhandisi wa kijamii ni nini - ni neno linalotumiwa na wadukuzi na wadukuzi kumaanisha ufikiaji usioidhinishwa kwa habari, lakini kinyume kabisa na utapeli wa jina la programu. Lengo si kudukua, bali kuwahadaa watu ili wao wenyewe watoe nywila au taarifa nyingine ambazo baadaye zinaweza kuwasaidia wadukuzi kukiuka usalama wa mfumo. Aina hii ya udanganyifu inahusisha kupiga simu shirika kwa simu na kutambua wale wafanyakazi ambao wana taarifa zinazohitajika, na kisha kupiga simu kwa msimamizi aliyetambuliwa kutoka kwa mfanyakazi ambaye hayupo ambaye anadaiwa kuwa na matatizo ya kufikia mfumo.

Uhandisi wa kijamii unahusiana moja kwa moja na saikolojia, lakini inakua kama sehemu yake tofauti. Siku hizi, mbinu ya uhandisi hutumiwa mara nyingi sana, hasa kwa kazi isiyojulikana ya mwizi kuiba nyaraka. Njia hii hutumiwa kutoa mafunzo kwa wapelelezi na mawakala wa siri kwa kupenya kwa siri bila kuacha athari.

Mtu anaweza kufikiria, kufikiria, kufikia hitimisho moja au lingine, lakini hitimisho haziwezi kuwa za kweli kila wakati, za mtu mwenyewe, na zisizowekwa kutoka nje, kama vile zinahitajika na mtu mwingine. Lakini jambo la kufurahisha zaidi na jambo kuu ambalo husaidia wadanganyifu ni kwamba mtu anaweza asitambue kuwa hitimisho lake ni la uwongo. Hadi wakati wa mwisho anaweza kufikiri kwamba aliamua kila kitu mwenyewe. Ni kipengele hiki ambacho watu wanaotumia uhandisi wa kijamii hutumia.

Hatua ya uhandisi wa kijamii ni wizi wa habari. Watu wanaofanya hivi hujaribu kuiba habari bila umakini usiofaa, na kisha kuitumia kwa hiari yao wenyewe: kuuza au kumsaliti mmiliki wa asili. Kulingana na takwimu, mara nyingi hubadilika kuwa hila kama hizo hufanyika kwa ombi la kampuni inayoshindana.

Sasa hebu tuangalie njia za uhandisi wa kijamii.

Kunyimwa huduma kwa binadamu (HDoS)

Kiini cha shambulio hili ni kumlazimisha mtu kimya kimya asijibu kwa hali fulani.

Kwa mfano, kuiga shambulio kwenye bandari fulani hutumika kama ujanja wa kubadilisha. Msimamizi wa mfumo anapotoshwa na makosa, na kwa wakati huu wao hupenya kwa urahisi seva na kuchukua taarifa wanayohitaji. Lakini msimamizi anaweza kuwa na uhakika kwamba hawezi kuwa na makosa kwenye bandari hii, na kisha kupenya kwa hacker kutaonekana mara moja. Jambo zima la njia hii ni kwamba mpaji lazima ajue saikolojia na kiwango cha maarifa msimamizi wa mfumo. Bila ujuzi huu, kupenya ndani ya seva haiwezekani.

Mbinu ya kupiga simu.

Njia hii ina maana simu anayeitwa "mwathirika". Mlaghai huita mwathirika na, kwa msaada wa hotuba iliyotolewa kwa usahihi na maswali ya kisaikolojia yaliyoulizwa kwa usahihi, anampotosha na kupata habari zote muhimu.

Kwa mfano: scammer wito na kusema kwamba, kwa ombi la msimamizi, yeye ni kuangalia utendaji wa mfumo wa usalama. Kisha anauliza nenosiri na jina la mtumiaji, na baada ya hapo taarifa zote anazohitaji ziko kwenye mfuko wake.

Mawasiliano ya kuona.

Njia ngumu zaidi. Watu waliofunzwa kitaalam tu ndio wanaweza kukabiliana nayo. Hatua ya njia hii ni kwamba lazima utafute mbinu kwa mwathirika. Mara tu mbinu itakapopatikana, itawezekana kuitumia ili kumfurahisha mwathirika na kupata imani yake. Na baada ya hayo, mwathirika mwenyewe ataweka habari zote muhimu na itaonekana kwake kuwa hasemi chochote muhimu. Mtaalamu pekee ndiye anayeweza kufanya hivyo.

Barua pepe.

Hii ndiyo njia ya kawaida kwa wadukuzi kupata taarifa. Mara nyingi, wadukuzi hutuma barua kwa mwathiriwa kutoka kwa mtu wanayedaiwa kumjua. Jambo gumu zaidi kuhusu njia hii ni kunakili namna na mtindo wa uandishi wa rafiki huyu. Ikiwa mhasiriwa anaamini katika udanganyifu, basi hapa unaweza tayari kutoa taarifa zote ambazo hacker anaweza kuhitaji.

Kwa kutumia mbinu uhandisi wa kijamii wahalifu mtandao kwa miaka iliyopita wamepitisha mbinu za hali ya juu zaidi zinazofanya uwezekano wa kupata ufikiaji taarifa muhimu kutumia saikolojia ya kisasa wafanyakazi wa makampuni ya biashara, na watu kwa ujumla. Hatua ya kwanza katika kukabiliana na aina hii ya hila ni kuelewa mbinu za washambuliaji wenyewe. Wacha tuangalie njia nane kuu za uhandisi wa kijamii.

Utangulizi

Katika miaka ya 90, wazo la "uhandisi wa kijamii" liliundwa na Kevin Mitnick, mtu maarufu katika uwanja huo. usalama wa habari, mdukuzi hatari wa zamani. Walakini, washambuliaji walitumia njia kama hizo muda mrefu kabla ya neno lenyewe kuonekana. Wataalamu wana hakika kwamba mbinu za wahalifu wa kisasa wa mtandao zimefungwa kwa kufuata malengo mawili: kuiba nywila na kusakinisha programu hasidi.

Wavamizi hujaribu kutumia uhandisi wa kijamii kwa kutumia simu, barua pepe na mtandao. Hebu tujue njia kuu zinazosaidia wahalifu kupata taarifa za siri wanazohitaji.

Mbinu 1. Nadharia ya kupeana mikono kumi

Kusudi kuu la mshambuliaji anayetumia simu kwa uhandisi wa kijamii ni kumshawishi mwathirika wake kwa moja ya mambo mawili:

  1. Mhasiriwa anapokea simu kutoka kwa mfanyakazi wa kampuni;
  2. Mwakilishi wa shirika lililoidhinishwa (kwa mfano, afisa wa kutekeleza sheria au mkaguzi) anapiga simu.

Ikiwa mhalifu anajiwekea kazi ya kukusanya data kuhusu mfanyakazi fulani, anaweza kwanza kuwasiliana na wenzake, akijaribu kwa kila njia iwezekanavyo kutoa data anayohitaji.

Unakumbuka nadharia ya zamani ya kupeana mikono sita? Wataalamu wa usalama wanasema kwamba kunaweza tu kuwa na "kupeana mikono" kumi kati ya mhalifu wa mtandao na mwathiriwa wake. Wataalamu wanaamini kuwa katika hali ya kisasa daima unahitaji kuwa na paranoia kidogo, kwa kuwa hujui nini hii au mfanyakazi anataka kutoka kwako.

Wavamizi kwa kawaida hulenga katibu (au mtu anayeshikilia wadhifa sawa) kukusanya taarifa kuhusu watu walio juu ya daraja. Wataalam wanakumbuka kuwa sauti ya kirafiki husaidia sana wadanganyifu. Polepole lakini kwa hakika, wahalifu wanachukua ufunguo kwako, ambayo inakuongoza hivi karibuni kushiriki habari ambayo hungewahi kufichua hapo awali.

Mbinu 2. Kujifunza lugha ya ushirika

Kama unavyojua, kila tasnia ina uundaji wake maalum. Kazi ya mshambuliaji anayejaribu kupata taarifa muhimu, - soma sifa za lugha kama hiyo ili kutumia kwa ustadi zaidi mbinu za uhandisi za kijamii.

Maelezo yote yapo katika kusoma lugha ya ushirika, masharti na vipengele vyake. Ikiwa mhalifu wa mtandao anazungumza lugha inayojulikana, inayojulikana na inayoeleweka kwa madhumuni yake, atapata uaminifu kwa urahisi zaidi na kupata habari anayohitaji haraka.

Mbinu ya 3: Azima muziki ili kushikilia simu wakati wa simu

Ili kutekeleza shambulio lililofanikiwa, watapeli wanahitaji vitu vitatu: wakati, uvumilivu na uvumilivu. Mara nyingi mashambulizi ya mtandao kwa kutumia uhandisi wa kijamii hufanywa polepole na kwa utaratibu - kukusanya sio tu data watu sahihi, lakini pia kile kinachoitwa “ ishara za kijamii" Hii inafanywa ili kupata uaminifu na kudanganya walengwa. Kwa mfano, washambuliaji wanaweza kumshawishi mtu wanayewasiliana naye kwamba wao ni wenzake.

Moja ya vipengele vya mbinu hii ni kurekodi muziki ambayo kampuni hutumia wakati wa simu, wakati mpigaji simu anasubiri jibu. Mhalifu kwanza anangoja muziki kama huo, kisha kuurekodi, na kisha kuutumia kwa faida yake.

Kwa hiyo, kunapokuwa na mazungumzo ya moja kwa moja na mhasiriwa, washambuliaji wakati fulani husema: “Ngoja kidogo, kuna simu kwenye laini nyingine.” Kisha mhasiriwa husikia muziki unaojulikana na huachwa bila shaka kwamba mpiga simu anawakilisha kampuni fulani. Kwa asili, hii ni ujanja wa kisaikolojia tu.

Mbinu ya 4. Kuiba (badala) ya nambari ya simu

Wahalifu mara nyingi hutumia udanganyifu namba za simu, ambayo huwasaidia kuharibu nambari ya mpiga simu. Kwa mfano, mshambuliaji anaweza kukaa katika nyumba yake na kumwita mtu anayevutiwa, lakini kitambulisho cha mpigaji kitaonyesha inayomilikiwa na kampuni nambari, ambayo itaunda udanganyifu kwamba mlaghai anapiga simu kwa kutumia nambari ya shirika.

Bila shaka, wafanyakazi wasio na wasiwasi mara nyingi watatoa taarifa nyeti, ikiwa ni pamoja na nenosiri, kwa mpigaji simu ikiwa kitambulisho cha mpigaji simu ni cha kampuni yao. Mbinu hii pia huwasaidia wahalifu kuepuka kufuatilia kwa sababu ukipiga tena nambari hii, utaelekezwa kwenye laini ya ndani ya kampuni.

Mbinu ya 5: Kutumia habari dhidi yako

Vyovyote vile vichwa vya habari vya sasa, wavamizi hutumia maelezo haya kama chambo cha barua taka, hadaa na shughuli zingine za ulaghai. Si ajabu wataalam katika Hivi majuzi kumbuka ongezeko la idadi ya barua pepe za barua taka, mada ambazo zinahusiana na kampeni za urais na migogoro ya kiuchumi.

Mfano unaweza kuwa shambulio la hadaa kwenye benki. Barua pepe inasema kitu kama hiki:

"Benki nyingine [jina la benki] inapata benki yako [jina la benki]. Bofya kiungo hiki ili kuhakikisha kuwa maelezo yako ya benki yamesasishwa hadi ofa itakapofungwa."

Kwa kawaida, hili ni jaribio la kupata maelezo ambayo walaghai wanaweza kuingia katika akaunti yako, kuiba pesa zako, au kuuza taarifa zako kwa mtu mwingine.

Mbinu ya 6: Ongeza Uaminifu katika Mifumo ya Kijamii

Sio siri kuwa Facebook, Myspace na LinkedIn ni tovuti maarufu sana za mitandao ya kijamii. Kulingana na utafiti wa wataalam, watu huwa na imani na majukwaa kama haya. Tukio la hivi majuzi la wizi wa data binafsi lililolenga watumiaji wa LinkedIn linaunga mkono nadharia hii.

Kwa hivyo, watumiaji wengi wataamini barua pepe ikiwa inadai kuwa kutoka kwa Facebook. Mbinu ya kawaida ni kudai kuwa mtandao wa kijamii unafanya Matengenezo, unahitaji "kubofya hapa" ili kusasisha maelezo. Hii ndiyo sababu wataalamu wanapendekeza kwamba wafanyakazi wa biashara waweke anwani za wavuti wao wenyewe ili kuepuka viungo vya kuhadaa.

Inafaa pia kukumbuka kuwa katika hali nadra sana, tovuti zitawahimiza watumiaji kubadilisha nenosiri lao au kusasisha akaunti zao.

Mbinu ya 7. Kuchuja aina

Mbinu hii mbaya inajulikana kwa ukweli kwamba washambuliaji hutumia makosa ya kibinadamu, yaani makosa wakati wa kuingiza URL kwenye bar ya anwani. Kwa hivyo, kwa kufanya makosa ya herufi moja tu, mtumiaji anaweza kuishia kwenye tovuti iliyoundwa mahsusi kwa madhumuni haya na washambuliaji.

Wahalifu wa mtandao huandaa kwa uangalifu mazingira ya kuchapa, ili tovuti yao iwe sawa kabisa na ile halali uliyotaka kutembelea hapo awali. Kwa hivyo, ikiwa utaandika vibaya anwani yako ya wavuti, unaishia kwenye nakala ya tovuti halali, ambayo madhumuni yake ni kuuza kitu, au kuiba data, au kusambaza programu hasidi.

Mbinu 8. Kutumia FUD kuathiri soko la hisa

FUD ni mbinu ya ghiliba ya kisaikolojia inayotumiwa katika uuzaji na uenezi kwa ujumla, ambayo inajumuisha kuwasilisha habari kuhusu kitu (haswa, bidhaa au shirika) kwa njia ya kuzua kutokuwa na uhakika na mashaka kwa hadhira juu ya sifa zake na hivyo kusababisha. hofu yake.

Kulingana na utafiti wa hivi punde kutoka kwa Avert, usalama na udhaifu wa bidhaa na hata makampuni yote yanaweza kuathiri soko la hisa. Kwa mfano, watafiti wamechunguza athari za matukio kama vile Microsoft Patch Tuesday kwenye hisa za kampuni, na kupata mabadiliko yanayoonekana kila mwezi baada ya taarifa kuhusu udhaifu kuchapishwa.

Unaweza pia kukumbuka jinsi mnamo 2008, washambuliaji walieneza habari za uwongo juu ya afya ya Steve Jobs, ambayo ilisababisha kushuka kwa kasi kwa hisa. Apple. Huu ndio mfano wa kawaida wa FUD kutumika kwa madhumuni mabaya.

Kwa kuongeza, ni muhimu kuzingatia matumizi Barua pepe kutekeleza mbinu ya "pampu-na-dampo" (mpango wa kudhibiti kiwango cha ubadilishaji kwenye soko la hisa au kwenye soko la fedha za crypto na kuanguka baadae). Katika hali hii, wavamizi wanaweza kutuma barua pepe zinazoelezea uwezo wa ajabu wa hisa walizonunua mapema.

Kwa hivyo, wengi watajaribu kununua hisa hizi haraka iwezekanavyo, na wataongezeka kwa bei.

hitimisho

Wahalifu wa mtandao mara nyingi huwa wabunifu sana katika matumizi yao ya uhandisi wa kijamii. Kwa kuwa tumezoea mbinu zao, tunaweza kuhitimisha kuwa hila mbalimbali za kisaikolojia husaidia sana washambuliaji kufikia malengo yao. Kulingana na hili, unapaswa kuzingatia jambo lolote dogo ambalo linaweza kufichua mlaghai bila kujua, kuangalia na kukagua mara mbili maelezo kuhusu watu wanaowasiliana nawe, haswa ikiwa habari ya siri inajadiliwa.

  • Blogu ya kampuni ya CROC

    • Kama inavyoonyesha mazoezi ya ulimwengu ya udukuzi uliofanikiwa (kwa mafanikio kwa washambuliaji, bila shaka), shida nyingi zinahusiana haswa na shida na watu. Ili kuwa sahihi zaidi, uhakika ni uwezo wao wa kutoa taarifa yoyote na kufanya vitendo vya kijinga kabisa.

    Nadhani mifano ya IT inafahamika sana kwako, kwa hivyo nitakukumbusha mfano kutoka kwa kitabu "Psychology of Influence": wanasaikolojia waliita wauguzi hospitalini, kisha wakajitambulisha kama daktari na kutoa agizo la kutoa dozi mbaya. ya dutu kwa mgonjwa. Dada huyo alijua anachofanya, lakini katika 95% ya kesi alifuata amri (alisimamishwa kwenye mlango wa wodi na wasaidizi wa mwanasaikolojia). Kwa kuongezea, daktari hata hakuidhinishwa kwa njia fulani. Kwa nini dada yangu alifanya hivi? Kwa sababu tu amezoea kutii mamlaka.

    Wacha tuifanye tena: kwa mfano, shukrani kwa uhandisi wa kijamii wenye uwezo 95% ya hospitali zilikuwa hatarini sana.

    Mbinu haina kuwa kizamani

    Mifumo inabadilika kila wakati. Programu na vifaa vinakuwa ngumu zaidi. Ili uweze kusimamia mada kwa kujilinda na kushambulia, unahitaji kufuatilia kila mara bidhaa zote mpya, kuwa wa kwanza kutazama mambo mapya, na kuelewa vizuri asilia nzima ya IT ya suala hilo. Hii ndio njia ya hacker ya kawaida, ambaye amezungukwa na aura ya mapenzi. KATIKA ulimwengu wa kisasa Badala yake, wadukuzi wana katika kundi lao wataalamu kadhaa finyu waliofunzwa katika teknolojia maalum lengwa, lakini kazi kuu daima ni kupenya ndani ya eneo la usalama.

    Hii inamaanisha kuwa mapema au baadaye utahitaji uhandisi wa kijamii. Na kwa kawaida ni mapema, kwa sababu kwanza kuna ukusanyaji wa habari na maandalizi, na kisha teknolojia na ujuzi wa kina wa mifumo ya IT ni superimposed juu.

    Ikiwa kampuni yako ina idara ya usalama, kuna uwezekano kuwa kuna watu wasio na imani nao ambao wanaelewa ni data ngapi muhimu ambayo wafanyikazi wanaweza kuwa nayo, pamoja na wakosoaji ambao hawana imani kabisa na watu. Timu hii inaainisha haki, huandika maagizo na kufanyia kazi hali ngumu kimazoezi. Kwa ujumla, hii inakuwezesha kuingiza kinga fulani, lakini bado haitoi kiwango cha kutosha cha ulinzi. Kinachochukiza zaidi ni kwamba katika uhandisi wa kijamii huwezi "kuweka kiraka" na kusahau - mara tu mechanics inapodhibitiwa na mshambuliaji, itafanya kazi kila wakati, kwa sababu tabia ya watu kwa ujumla haibadilika sana.

    Mfano wa kimsingi wa uhandisi wa kijamii

    Kila mfanyakazi anatarajiwa kuwa na kiwango tofauti cha uwezo wa usalama na kiwango cha ufikiaji. Wafanyakazi wa mstari (kwa mfano, wasichana kutoka kwa mapokezi) hawana upatikanaji wa taarifa muhimu, yaani, hata kukamata akaunti zao na kupata data zote zinazojulikana kwao hazitasababisha uharibifu mkubwa kwa kampuni. Lakini data yao inaweza kutumika kuhamia hatua inayofuata ndani ya eneo lililolindwa. Kwa mfano, unaweza kupata majina ya wafanyikazi na kupiga simu kwa kiwango cha juu, ukijitambulisha kama mmoja wao. Katika kesi hii, unaweza kucheza mamlaka (kama katika mfano na madaktari hapo juu), au unaweza tu kuuliza maswali kadhaa yasiyo na hatia na kupata kipande cha puzzle. Au endelea kwa mfanyakazi mwenye ujuzi zaidi, kwa kutumia ukweli kwamba ni desturi katika timu kusaidiana, na sio kuwa na wasiwasi unapoulizwa kuhusu idadi ya data muhimu. Hata kwa maagizo madhubuti, kuna nafasi kwamba hisia zitashinda kila wakati.

    Usiniamini? Hebu fikiria hali ambapo mshambuliaji anamwita msichana sawa kutoka kituo cha simu mara kadhaa kwa wiki kwa mwezi. Anajitambulisha kama mfanyakazi, analeta chanya nyingi, anaongea changamfu, anafafanua mambo madogo madogo, na wakati mwingine huomba msaada mdogo. Idhini ya wazi inabadilishwa na ukweli kwamba mtu huita mara nyingi. Kumi, ishirini, ikiwa ni lazima - mara thelathini. Mpaka inakuwa moja ya matukio ya maisha. Yeye ni wetu, kwa sababu anajua maelezo mbalimbali ya kazi ya kampuni na wito mara kwa mara. Kwa mara ya 31, mshambuliaji tena hufanya ombi ndogo, lakini wakati huu kwa data muhimu. Na ikiwa ni lazima, anatoa uhalali wa kimantiki na unaowezekana kwa nini hii inahitajika na ni aina gani ya shida aliyonayo. Bila shaka, mtu wa kawaida atamsaidia.

    Ikiwa unafikiria kuwa watumiaji wasio na uwezo tu ndio wanaoshambuliwa na mashambulio kama haya, basi fungua kitabu "Sanaa ya Udanganyifu", ambapo katika utangulizi Mitnik anazungumza juu ya jinsi alijitambulisha kama msanidi mkuu wa mradi huo na kulazimisha, kwa sekunde moja. msimamizi wa mfumo kutoa ufikiaji wa upendeleo kwa mfumo. Kumbuka, mtu ambaye alielewa kikamilifu nini hasa alikuwa akifanya.

    Tofauti nzuri ni wizi wa IVR wa benki, wakati mwathirika wa shambulio anapokea barua yenye nambari ya "kituo cha mteja" ya hadaa, ambapo mashine ya kujibu kwa hatua fulani inauliza kuingiza maelezo muhimu ya kadi kwa idhini.

    Kesi maalum zaidi

    Unaweza kutumia hadaa kwenye rasilimali ambazo mlengwa anatumia. Au, kwa mfano, chapisha programu hasidi kwenye rasilimali hizi za nje ambazo huambukiza mashine za kampuni (moja ya wabebaji kuu wa shambulio katika miaka ya hivi karibuni, kwa njia). Unaweza kutoa diski na kitu cha kupendeza kwa mfanyakazi (kwa matumaini kwamba atazindua programu au kutumia habari kutoka kwake), unaweza kutumia mitandao ya kijamii kukusanya data (kutambua muundo wa kampuni) na kuwasiliana na watu maalum ndani yake. Kuna mengi ya chaguzi.

    Muhtasari

    Kwa hivyo, uhandisi wa kijamii unaweza kutumika kukusanya data kuhusu lengwa (“Hujambo! Nilikuwa na nambari ya idara ya 4, lakini nilisahau”) na kupata habari zilizoainishwa(“Ndiyo, asante. Jambo moja zaidi, inaonekana kwangu kuwa huyu ni mteja anayetiliwa shaka. Unaweza kuniambia nambari ya kadi yake ambayo alilipia nayo. mara ya mwisho?"), kupata moja kwa moja upatikanaji wa mfumo: "Kwa hiyo, ni nini hasa unaingia sasa? Unaweza kutamka hilo tafadhali. Seven-es ni kama dola-percent-de-te big..."). Na hata kupata vitu ambavyo vinginevyo haiwezekani kupata. Kwa mfano - ikiwa kompyuta imekataliwa kutoka kwa mtandao, mtu "iliyochakatwa" ataweza kuiunganisha.

    Katika maandalizi ya mashindano ya wadukuzi kulikuwa na shida kuhusu msichana kwenye mapokezi ambaye aliondoka kwa sekunde 30 kwa bahati mbaya. Je, ungekuwa na wakati wa kufanya nini wakati huu? Weka kitu kwenye gari lake? Hapana, hakuna wakati wa kutosha au haki za mtumiaji. Kuiba nyaraka kutoka kwa dawati au kutuma barua zote kwako mwenyewe? Sio wazo zuri, utatambuliwa. Hata kukaa tu kwenye kompyuta yake tayari ni hatari kwa sababu ya uwezekano wa kamera iliyofichwa ofisini. Majibu bora yalikuwa katika eneo la mwingiliano wa kijamii: bandika kibandiko na nambari ya usaidizi wa kiufundi, muulize tarehe, na kadhalika. Hutahukumiwa kwa uchumba, lakini itakupa data nyingi juu ya uongozi katika kampuni na maswala ya kibinafsi ya wafanyikazi.

    Kwa hivyo, kurudi kwenye mpango wa elimu. Soma "Sanaa ya Udanganyifu" (bila shaka utapenda mazungumzo mahususi kutoka hapo), sura kuhusu uhandisi wa kijamii kutoka kwa kitabu cha Denis Feria chenye kichwa cha kusikitisha "Siri za Mdukuzi Bora", "Saikolojia ya Ushawishi", "Saikolojia ya Ushawishi", na kwa wanaoanza, maelezo ya mbinu za kimsingi. Ikiwa huna idara ya usalama yenye nguvu, baada ya kusoma hili, mjulishe meneja wako na ufanye pentest rahisi. Uwezekano mkubwa zaidi utajifunza mengi juu ya ushawishi wa kibinadamu.

    Changamoto ya Utayari wa Mtandao na Uhandisi wa Kijamii

    Isipokuwa mbinu za kiufundi kuzuia vitisho vya kijamii(kama vile utangulizi jukwaa la kawaida kwa ujumbe ndani ya kampuni, uthibitishaji wa lazima wa mawasiliano mapya, na kadhalika) ni muhimu kuelezea kwa watumiaji nini hasa hutokea wakati wa mashambulizi hayo. Ukweli, hii haina maana ikiwa hutachanganya nadharia na mazoezi, yaani, mara kwa mara fanya kama mshambuliaji mwenyewe na jaribu kupenya mifumo yako mwenyewe. Baada ya "kuchimba visima" kadhaa na mijadala, wafanyikazi, kulingana na angalau, watashangaa ikiwa wanaangaliwa wakati wa kupiga simu.

    Kwa kweli, ili kukabiliana na tishio unahitaji "kuingia kwenye kichwa" cha mshambuliaji anayekushambulia na ujifunze kufikiria kama yeye. Kama sehemu ya mashindano ya nje ya mtandao

    Uhandisi wa kijamii

    Uhandisi wa kijamii ni njia ya ufikiaji usioidhinishwa wa mifumo ya uhifadhi wa habari au habari bila kutumia njia za kiufundi. Lengo kuu la wahandisi wa kijamii, kama vile wadukuzi na wadukuzi wengine, ni kupata ufikiaji wa mifumo salama ili kuiba taarifa, manenosiri, taarifa za kadi ya mkopo, n.k. Tofauti kuu kutoka kwa utapeli rahisi ni kwamba ndani kwa kesi hii Sio mashine iliyochaguliwa kama shabaha ya shambulio, lakini mwendeshaji wake. Ndio maana njia na mbinu zote za wahandisi wa kijamii zinatokana na utumiaji wa udhaifu wa sababu ya kibinadamu, ambayo inachukuliwa kuwa ya uharibifu sana, kwani mshambuliaji hupata habari, kwa mfano, kupitia mazungumzo ya kawaida ya simu au kwa kupenya shirika chini ya kivuli cha mfanyakazi wake. Ili kujilinda dhidi ya aina hii ya shambulio, unapaswa kufahamu aina nyingi za ulaghai, kuelewa ni nini wavamizi wanataka hasa, na upange sera inayofaa ya usalama kwa wakati ufaao.

    Hadithi

    Licha ya ukweli kwamba dhana ya "uhandisi wa kijamii" ilionekana hivi karibuni, watu kwa namna moja au nyingine wametumia mbinu zake tangu zamani. Katika Ugiriki ya Kale na Roma, watu ambao wangeweza njia tofauti kumshawishi mpatanishi wako kuwa ni wazi amekosea. Wakizungumza kwa niaba ya viongozi hao, walifanya mazungumzo ya kidiplomasia. Kwa ustadi wa kutumia uwongo, kujipendekeza na mabishano yenye faida, mara nyingi walitatua matatizo ambayo yalionekana kuwa magumu kutatuliwa bila msaada wa upanga. Miongoni mwa wapelelezi, uhandisi wa kijamii daima imekuwa silaha kuu. Kwa kuiga mtu mwingine, maajenti wa KGB na CIA wangeweza kujua siri za serikali. Katika miaka ya mapema ya 70, wakati wa enzi ya kupiga kelele, wahuni wengine wa simu waliwaita waendeshaji wa mawasiliano ya simu na kujaribu kutoa habari za siri kutoka kwa wafanyikazi wa kiufundi wa kampuni. Baada ya majaribio mbalimbali ya hila, mwishoni mwa miaka ya 70, wapiga kelele walikuwa wamekamilisha mbinu za kuendesha waendeshaji wasio na ujuzi kwamba wangeweza kujifunza kwa urahisi kutoka kwao karibu kila kitu walichotaka.

    Kanuni na mbinu za uhandisi wa kijamii

    Kuna mbinu na aina kadhaa za kawaida za mashambulizi ambazo wahandisi wa kijamii hutumia. Mbinu hizi zote zinatokana na vipengele vya ufanyaji maamuzi vya binadamu vinavyojulikana kama upendeleo wa utambuzi (ona pia Utambuzi). Ubaguzi huu hutumiwa katika michanganyiko mbalimbali, ili kuunda mkakati sahihi zaidi wa udanganyifu katika kila kesi maalum. Lakini kipengele cha kawaida cha njia hizi zote ni kupotosha, kwa lengo la kulazimisha mtu kufanya hatua fulani ambayo haina manufaa kwake na ni muhimu kwa mhandisi wa kijamii. Ili kufikia matokeo yaliyohitajika, mshambuliaji hutumia idadi ya mbinu mbalimbali: kuiga mtu mwingine, kuvuruga tahadhari, kuongeza mvutano wa kisaikolojia, nk. Malengo ya mwisho ya udanganyifu pia yanaweza kuwa tofauti sana.

    Mbinu za uhandisi wa kijamii

    Kujidai

    Pretexting ni seti ya vitendo vinavyofanywa kwa njia fulani mapema. maandishi tayari(kisingizio). Mbinu hii inahusisha matumizi ya njia za sauti kama vile simu, Skype, nk. ili kupata taarifa muhimu. Kwa kawaida, kwa kujifanya mtu mwingine au kujifanya kuwa mtu fulani anahitaji usaidizi, mshambuliaji humwomba mwathiriwa atoe nenosiri au aingie kwenye ukurasa wa tovuti wa kuhadaa ili kupata maelezo ya kibinafsi, na hivyo kumlaghai mlengwa kuchukua hatua anayotaka au kutoa taarifa fulani. Katika hali nyingi mbinu hii inahitaji data ya awali kuhusu lengo la shambulio (kwa mfano, data ya kibinafsi: tarehe ya kuzaliwa, nambari ya simu, nambari za akaunti, n.k.) Mbinu inayojulikana zaidi ni kutumia maswali madogo mwanzoni na kutaja majina ya watu halisi katika shirika. Baadaye, wakati wa mazungumzo, mshambuliaji anaelezea kwamba anahitaji msaada (watu wengi wanaweza na tayari kufanya kazi ambazo hazionekani kuwa za tuhuma). Baada ya kuaminiwa kumethibitishwa, mlaghai anaweza kuuliza jambo muhimu na muhimu zaidi.

    Hadaa

    Mfano wa barua pepe ya ulaghai iliyotumwa kutoka huduma ya posta kuomba "kuwezesha akaunti tena"

    Ulaghai (hadaa ya Kiingereza, kutoka kwa uvuvi - uvuvi, uvuvi) ni aina ya udanganyifu wa mtandao, madhumuni yake ni kupata data ya siri ya mtumiaji - kuingia na nywila. Huu labda ni mpango maarufu zaidi wa uhandisi wa kijamii leo. Hakuna uvujaji mmoja mkubwa wa data ya kibinafsi hutokea bila wimbi la barua pepe za ulaghai kuifuata. Madhumuni ya kuhadaa ili kupata maelezo ya kibinafsi ni risiti isiyo halali habari za siri. Mfano wa kuvutia zaidi wa shambulio la hadaa ni ujumbe unaotumwa kwa mwathiriwa kupitia barua pepe, na iliyoghushiwa kama barua rasmi - kutoka kwa benki au mfumo wa malipo - inayohitaji uthibitisho wa habari fulani au utendaji wa vitendo fulani. Kunaweza kuwa na sababu mbalimbali. Hii inaweza kuwa kupoteza data, kushindwa kwa mfumo, nk. Barua pepe hizi kwa kawaida huwa na kiungo cha ukurasa wa tovuti bandia unaofanana kabisa na ule rasmi, na huwa na fomu inayokuhitaji uweke taarifa nyeti.

    Moja ya wengi mifano maarufu Barua pepe ya kimataifa ya kuhadaa ili kupata maelezo ya kibinafsi inaweza kufuatiliwa hadi kwenye ulaghai wa 2003 ambapo maelfu ya watumiaji wa eBay walipokea barua pepe wakidai kuwa akaunti yao ilikuwa imefungwa na kuhitaji kusasisha maelezo ya kadi zao za mkopo ili kuifungua. Barua pepe hizi zote zilikuwa na kiungo kinachoelekeza kwenye ukurasa wa tovuti ghushi unaofanana kabisa na ule rasmi. Kulingana na wataalamu, hasara kutoka kwa kashfa hii ilifikia dola laki kadhaa.

    Jinsi ya kutambua shambulio la hadaa

    Karibu kila siku miradi mipya ya ulaghai inaonekana. Watu wengi wanaweza kujifunza kutambua ujumbe wa ulaghai wao wenyewe kwa kufahamiana na baadhi ya vipengele vyao bainishi. Mara nyingi, ujumbe wa hadaa huwa na:

    • taarifa zinazosababisha wasiwasi au vitisho, kama vile kufungwa kwa akaunti za benki za watumiaji.
    • ahadi ya zawadi kubwa ya fedha na kwa juhudi ndogo au bila wao kabisa.
    • maombi ya michango ya hiari kwa niaba ya mashirika ya kutoa misaada.
    • makosa ya kisarufi, uakifishaji na tahajia.

    Mipango maarufu ya hadaa

    Ulaghai maarufu zaidi wa hadaa umeelezewa hapa chini.

    Ulaghai kwa kutumia chapa za mashirika maarufu

    Ulaghai huu wa hadaa hutumia barua pepe au tovuti bandia zilizo na majina ya kampuni kubwa au maarufu. Ujumbe huo unaweza kujumuisha pongezi kwa kushinda shindano linaloshikiliwa na kampuni, au kuhusu hitaji la dharura la kubadilisha kitambulisho au nenosiri lako. Sawa miradi ya ulaghai kwa niaba ya huduma msaada wa kiufundi inaweza pia kufanywa kwa simu.

    Bahati nasibu za ulaghai

    Mtumiaji anaweza kupokea ujumbe unaoonyesha kwamba ameshinda bahati nasibu ambayo ilikuwa inashikiliwa na wengine kampuni inayojulikana. Kwa juu juu, jumbe hizi zinaweza kuonekana kana kwamba zimetumwa kwa niaba ya mfanyakazi mkuu wa shirika.

    Antivirus ya uwongo na programu za usalama
    IVR au wizi wa simu

    Kanuni ya uendeshaji wa mifumo ya IVR

    Qui kuhusu quo

    Quid pro quo (kutoka Kilatini Quid pro quo - "hii kwa hili") ni kifupisho kinachotumiwa sana katika Lugha ya Kiingereza kwa maana ya "huduma kwa ajili ya huduma". Aina hii mashambulizi yanahusisha mshambulizi anayeita kampuni kupitia simu ya kampuni. Mara nyingi, mshambuliaji hujifanya kama mfanyakazi wa usaidizi wa kiufundi akiuliza kama kuna matatizo yoyote ya kiufundi. Katika mchakato wa "kusuluhisha" matatizo ya kiufundi, mlaghai "hulazimisha" lengo kuweka amri zinazomruhusu mdukuzi kuendesha au kusakinisha programu hasidi kwenye mashine ya mtumiaji.

    Farasi wa Trojan

    Wakati mwingine matumizi ya Trojans ni sehemu tu ya shambulio lililopangwa la hatua nyingi kompyuta fulani, mitandao au rasilimali.

    Aina za Trojans

    Trojans mara nyingi hutengenezwa kwa madhumuni mabaya. Kuna uainishaji ambapo zimegawanywa katika kategoria kulingana na jinsi Trojans hujipenyeza kwenye mfumo na kusababisha madhara kwake. Kuna aina 5 kuu:

    • ufikiaji wa mbali
    • uharibifu wa data
    • kipakiaji
    • seva
    • kizuizi cha programu ya usalama

    Malengo

    Madhumuni ya programu ya Trojan inaweza kuwa:

    • kupakia na kupakua faili
    • kunakili viungo vya uwongo vinavyoelekeza kwenye tovuti bandia, vyumba vya mazungumzo au tovuti zingine za usajili
    • kuingilia kazi ya mtumiaji
    • kuiba data ya thamani au siri, ikiwa ni pamoja na taarifa ya uthibitishaji, kwa ufikiaji usioidhinishwa wa rasilimali, kupata maelezo ya akaunti za benki ambazo zinaweza kutumika kwa madhumuni ya uhalifu.
    • usambazaji wa programu hasidi zingine kama vile virusi
    • uharibifu wa data (kufuta au kubatilisha data kwenye diski, uharibifu unaoonekana kwa faili) na vifaa, kuzima au kutofaulu kwa huduma ya mifumo ya kompyuta, mitandao.
    • kukusanya barua pepe na kuzitumia kutuma barua taka
    • kupeleleza mtumiaji na kuwasiliana kwa siri habari na watu wengine, kama vile tabia ya kuvinjari
    • Kuweka vibonye vitufe ili kuiba maelezo kama vile manenosiri na nambari za kadi ya mkopo
    • kuzima au kuingilia kati na uendeshaji wa programu za kupambana na virusi na firewalls

    Kujificha

    Programu nyingi za Trojan ziko kwenye kompyuta za watumiaji bila ujuzi wao. Wakati mwingine Trojans husajiliwa katika Usajili, ambayo inaongoza kwa wao kuanza moja kwa moja wakati mfumo wa uendeshaji unapoanza. Trojans pia inaweza kuunganishwa na faili halali. Mtumiaji anapofungua faili kama hiyo au kuzindua programu, Trojan inazinduliwa pamoja nayo.

    Jinsi Trojan inavyofanya kazi

    Trojans kawaida hujumuisha sehemu mbili: Mteja na Seva. Seva huendesha kwenye mashine ya mwathiriwa na kufuatilia miunganisho kutoka kwa Mteja. Wakati Seva inafanya kazi, inafuatilia mlango au bandari nyingi kwa muunganisho kutoka kwa Mteja. Ili mshambulizi aunganishe kwa Seva, lazima ajue anwani ya IP ya mashine ambayo inaendesha. Baadhi ya Trojans hutuma anwani ya IP ya mashine ya mwathiriwa kwa mhusika anayeshambulia kupitia barua pepe au njia nyingine. Mara tu muunganisho wa Seva unapotokea, Mteja anaweza kutuma amri kwake, ambayo Seva itafanya. Hivi sasa, kutokana na teknolojia ya NAT, haiwezekani kufikia kompyuta nyingi kupitia anwani zao za nje za IP. Ndiyo maana Trojans nyingi leo huunganisha kwenye kompyuta ya mshambuliaji, ambayo ina jukumu la kupokea viunganisho vya uunganisho, badala ya mshambuliaji yenyewe anajaribu kuunganisha kwa mhasiriwa. Trojans nyingi za kisasa zinaweza pia kupita kwa urahisi ngome kwenye kompyuta za watumiaji.

    Mkusanyiko wa habari kutoka kwa vyanzo wazi

    Matumizi ya mbinu za uhandisi wa kijamii hauhitaji ujuzi wa saikolojia tu, bali pia uwezo wa kukusanya taarifa muhimu kuhusu mtu. Njia mpya ya kupata habari kama hiyo ilikuwa ukusanyaji wake kutoka kwa vyanzo wazi, haswa kutoka kwa mitandao ya kijamii.Kwa mfano, tovuti kama vile livejournal, Odnoklassniki, Vkontakte zina idadi kubwa ya data ambayo watu hawajaribu kuficha. watumiaji hawazingatii vya kutosha maswala ya usalama, na kuacha data na habari kwenye kikoa cha umma ambacho kinaweza kutumiwa na mshambuliaji.

    Mfano wa kielelezo ni hadithi ya kutekwa nyara kwa mtoto wa Evgeniy Kaspersky. Wakati wa uchunguzi, ilianzishwa kuwa wahalifu walijifunza ratiba ya kila siku ya kijana na njia kutoka kwa machapisho yake kwenye ukurasa wa mtandao wa kijamii.

    Hata kwa kuzuia ufikiaji wa habari kwenye ukurasa wake wa mtandao wa kijamii, mtumiaji hawezi kuwa na uhakika kwamba haitaanguka kamwe mikononi mwa wadanganyifu. Kwa mfano, mtafiti wa Brazil juu ya usalama wa kompyuta ilionyesha kuwa inawezekana kuwa rafiki wa mtumiaji yeyote wa Facebook ndani ya saa 24 kwa kutumia mbinu za uhandisi wa kijamii. Wakati wa jaribio, mtafiti Nelson Novaes Neto alichagua "mwathirika" na kuunda akaunti fake mtu kutoka kwa mazingira yake - bosi wake. Neto kwanza alituma maombi ya urafiki kwa marafiki wa marafiki wa bosi wa mwathiriwa, na kisha moja kwa moja kwa marafiki zake. Baada ya saa 7.5, mtafiti alipata "mwathirika" wa kumuongeza kama rafiki. Kwa hivyo, mtafiti alipata ufikiaji wa habari za kibinafsi za mtumiaji, ambazo alishiriki tu na marafiki zake.

    apple ya barabara

    Njia hii ya kushambulia ni marekebisho ya farasi wa Trojan na inajumuisha kutumia vyombo vya habari vya kimwili. Mshambulizi hupanda "kuambukizwa" , au flash, mahali ambapo carrier anaweza kupatikana kwa urahisi (chumba cha kupumzika, lifti, kura ya maegesho). Vyombo vya habari vimeghushiwa ili vionekane rasmi, na vinaambatana na saini iliyoundwa kuamsha udadisi. Kwa mfano, mlaghai anaweza kupanda barua, iliyo na nembo ya shirika na kiunga cha tovuti rasmi ya kampuni, akiiandika "Mishahara ya Mtendaji." Diski inaweza kushoto kwenye sakafu ya lifti, au kwenye chumba cha kushawishi. Mfanyakazi anaweza kuchukua diski bila kujua na kuiingiza kwenye kompyuta ili kukidhi udadisi wake.

    Badilisha uhandisi wa kijamii

    Uhandisi wa kubadilisha kijamii unarejelewa wakati mwathiriwa mwenyewe anampa mshambuliaji habari anayohitaji. Hili linaweza kuonekana kuwa la upuuzi, lakini kwa hakika, watu wenye mamlaka katika nyanja ya kiufundi au kijamii mara nyingi hupokea vitambulisho vya mtumiaji na nywila na taarifa nyingine muhimu. habari za kibinafsi kwa sababu tu hakuna anayetilia shaka uadilifu wao. Kwa mfano, wafanyakazi wa usaidizi hawawahi kuwauliza watumiaji kitambulisho au nenosiri; hawahitaji habari hii kutatua matatizo. Walakini, watumiaji wengi hutoa habari hii ya siri kwa hiari ili kutatua shida haraka. Inatokea kwamba mshambuliaji hahitaji hata kuuliza kuhusu hilo.

    Mfano wa uhandisi wa kijamii wa kinyume ni hali ifuatayo rahisi. Mshambulizi anayefanya kazi na mhasiriwa hubadilisha jina la faili kwenye kompyuta ya mwathirika au kuihamisha hadi saraka tofauti. Mhasiriwa anapoona faili haipo, mshambuliaji anadai kwamba anaweza kurekebisha kila kitu. Kutaka kukamilisha kazi haraka au kuepuka adhabu kwa kupoteza habari, mwathirika anakubali ofa hii. Mshambulizi anadai kuwa tatizo linaweza kutatuliwa tu kwa kuingia na stakabadhi za mwathiriwa. Sasa mwathirika anauliza mshambuliaji kuingia chini ya jina lake ili kujaribu kurejesha faili. Mshambulizi anakubali kwa kusita na kurejesha faili, na katika mchakato huo anaiba kitambulisho na nenosiri la mwathirika. Baada ya kufanya shambulio hilo kwa mafanikio, hata aliboresha sifa yake, na inawezekana kabisa kwamba baada ya hii wenzake wengine watamgeukia msaada. Mbinu hii haiingiliani na taratibu za kawaida za kutoa huduma za usaidizi na inaleta ugumu wa kukamata mshambulizi.

    Wahandisi Maarufu wa Jamii

    Kevin Mitnick

    Kevin Mitnick. Mdukuzi maarufu duniani na mshauri wa usalama

    Mmoja wa wahandisi maarufu wa kijamii katika historia ni Kevin Mitnick. Kama mdukuzi wa kompyuta maarufu duniani na mshauri wa usalama, Mitnick pia ni mwandishi wa vitabu vingi kuhusu usalama wa kompyuta, hasa vinavyohusu uhandisi wa kijamii na mbinu za ushawishi wa kisaikolojia kwa watu. Mnamo 2002, kitabu "Sanaa ya Udanganyifu" kilichapishwa chini ya uandishi wake, kikisimulia hadithi za kweli matumizi ya uhandisi wa kijamii. Kevin Mitnick alisema kuwa ni rahisi sana kupata nenosiri kwa udanganyifu kuliko kujaribu kudukua mfumo wa usalama.

    Ndugu wa Badir

    Licha ya ukweli kwamba ndugu Mundir, Mushid na Shadi Badir walikuwa vipofu tangu kuzaliwa, walifanikiwa kutekeleza miradi kadhaa mikubwa ya ulaghai nchini Israeli katika miaka ya 1990, kwa kutumia uhandisi wa kijamii na uporaji wa sauti. Katika mahojiano ya TV walisema: "Kabisa kutoka mashambulizi ya mtandao Ni wale tu ambao hawatumii simu, umeme na kompyuta za mkononi ndio wamekatiwa bima.” Akina ndugu tayari wamefungwa gerezani kwa kuweza kusikia na kufafanua sauti za siri za watoa huduma za simu. Walipiga simu kwa muda mrefu nje ya nchi kwa gharama ya mtu mwingine, baada ya kupanga upya kompyuta za watoa huduma za simu na sauti za kuingiliwa.

    Malaika Mkuu

    Jalada la jarida la Phrack

    Maarufu mdukuzi wa kompyuta na mshauri wa usalama katika jarida maarufu la mtandaoni la lugha ya Kiingereza "Phrack Magazine", Malaika Mkuu alionyesha uwezo wa mbinu za uhandisi wa kijamii kwa kupata nywila kutoka kwa idadi kubwa ya mifumo mbalimbali, kuwahadaa wahasiriwa mia kadhaa.

    Nyingine

    Wahandisi wa kijamii wasiojulikana sana ni pamoja na Frank Abagnale, David Bannon, Peter Foster na Stephen Jay Russell.

    Njia za kulinda dhidi ya uhandisi wa kijamii

    Ili kutekeleza mashambulio yao, wavamizi wanaotumia mbinu za uhandisi wa kijamii mara nyingi hutumia wepesi, uvivu, adabu, na hata shauku ya watumiaji na wafanyikazi wa mashirika. Si rahisi kujitetea dhidi ya mashambulizi hayo kwa sababu waathiriwa wanaweza wasijue kwamba wamedanganywa. Washambuliaji wa uhandisi wa kijamii kwa ujumla wana malengo sawa na mshambuliaji mwingine yeyote: wanataka pesa, maelezo, au rasilimali za TEHAMA za kampuni iliyoathiriwa. Ili kulinda dhidi ya mashambulizi hayo, unahitaji kujifunza aina zao, kuelewa kile mshambuliaji anahitaji na kutathmini uharibifu ambao unaweza kusababishwa na shirika. Ukiwa na maelezo haya yote, unaweza kujumuisha hatua muhimu za ulinzi kwenye sera yako ya usalama.

    Uainishaji wa vitisho

    Vitisho vya barua pepe

    Wafanyakazi wengi hupokea kila siku kupitia ushirika na binafsi mifumo ya posta makumi na hata mamia barua pepe. Kwa kweli, kwa mtiririko kama huo wa mawasiliano haiwezekani kulipa kipaumbele kwa kila barua. Hii inafanya kuwa rahisi zaidi kutekeleza mashambulizi. Watumiaji wengi wa mifumo ya barua-pepe wamepumzika kuhusu kuchakata ujumbe kama huo, wakiona kazi hii kama analogi ya kielektroniki ya kuhamisha karatasi kutoka folda moja hadi nyingine. Mshambulizi anapotuma ombi rahisi kwa njia ya barua, mhasiriwa wake mara nyingi atafanya kile anachoombwa kufanya bila kufikiria juu ya matendo yake. Barua pepe zinaweza kuwa na viungo vinavyoshawishi wafanyikazi kukiuka usalama wa shirika. Viungo kama hivyo sio kila wakati husababisha kurasa zilizotajwa.

    Hatua nyingi za usalama zinalenga kuzuia watumiaji wasioidhinishwa kufikia rasilimali za shirika. Ikiwa, kwa kubofya kiungo kilichotumwa na mshambuliaji, mtumiaji anapakua mtandao wa ushirika Programu ya Trojan au virusi, hii itawawezesha kupita kwa urahisi aina nyingi za ulinzi. Kiungo kiungo kinaweza pia kuelekeza kwenye tovuti iliyo na programu ibukizi zinazoomba data au kutoa usaidizi. Kama ilivyo kwa aina nyingine za ulaghai, wengi njia ya ufanisi ulinzi dhidi ya mashambulizi mabaya ni kuwa na shaka kuhusu barua zozote zisizotarajiwa zinazoingia. Ili kukuza mbinu hii katika shirika lako lote, sera yako ya usalama inapaswa kujumuisha miongozo mahususi ya matumizi ya barua pepe ambayo inashughulikia vipengele vifuatavyo:

    • Viambatisho kwa hati.
    • Viungo katika hati.
    • Maombi ya kibinafsi au habari za ushirika zinazotoka ndani ya kampuni.
    • Maombi ya taarifa za kibinafsi au za shirika zinazotoka nje ya kampuni.

    Vitisho vinavyohusishwa na kutumia huduma za ujumbe wa papo hapo

    Utumaji ujumbe wa papo hapo ni mbinu mpya kiasi ya uhamishaji data, lakini tayari umepata umaarufu mkubwa miongoni mwa watumiaji wa kampuni. Kwa sababu ya kasi yake na urahisi wa matumizi, njia hii ya mawasiliano inafungua fursa nyingi kwa kutekeleza mashambulizi mbalimbali: watumiaji huichukulia kama muunganisho wa simu na hawaihusishi na vitisho vinavyowezekana vya programu. Aina mbili kuu za mashambulizi kulingana na matumizi ya huduma za ujumbe wa papo hapo ni kuingizwa kwa kiungo kwa programu mbaya katika mwili wa ujumbe na utoaji wa programu yenyewe. Bila shaka, ujumbe wa papo hapo pia ni njia mojawapo ya kuomba taarifa. Moja ya vipengele vya huduma za ujumbe wa papo hapo ni hali isiyo rasmi ya mawasiliano. Ikiunganishwa na uwezo wa kujipa jina lolote, hii hurahisisha zaidi mshambuliaji kuiga mtu mwingine na huongeza sana nafasi zao za kutekeleza shambulizi kwa mafanikio. Ikiwa kampuni inakusudia kutumia fursa za kupunguza gharama na manufaa mengine. zinazotolewa na ujumbe wa papo hapo, ni muhimu kujumuisha katika sera za Usalama za shirika kutoa mbinu za ulinzi dhidi ya vitisho vinavyohusika. Ili kupata udhibiti wa kuaminika juu ya utumaji ujumbe wa papo hapo katika mazingira ya biashara, kuna mahitaji kadhaa ambayo lazima yatimizwe.

    • Chagua jukwaa moja la ujumbe wa papo hapo.
    • Amua mipangilio ya usalama ambayo imebainishwa wakati wa kusambaza huduma ya ujumbe wa papo hapo.
    • Amua kanuni za kuanzisha anwani mpya
    • Weka viwango vya nenosiri
    • Toa mapendekezo ya kutumia huduma ya ujumbe wa papo hapo.

    Muundo wa usalama wa ngazi nyingi

    Kwa walinzi makampuni makubwa na wafanyikazi wao kutoka kwa wadanganyifu kwa kutumia mbinu za uhandisi za kijamii, ngumu mifumo ya ngazi nyingi usalama. Baadhi ya vipengele na majukumu ya mifumo hiyo yameorodheshwa hapa chini.

    • Usalama wa kimwili. Vikwazo vinavyozuia upatikanaji wa majengo ya kampuni na rasilimali za ushirika. Usisahau kwamba rasilimali za kampuni, kwa mfano, vyombo vya takataka vilivyo nje ya eneo la kampuni, hazijalindwa kimwili.
    • Data. Taarifa za biashara: Akaunti, mawasiliano ya posta nk Wakati wa kuchambua vitisho na kupanga hatua za ulinzi wa data, ni muhimu kuamua kanuni za kushughulikia karatasi na vyombo vya habari vya data vya elektroniki.
    • Maombi. Programu zinazoendeshwa na mtumiaji. Ili kulinda mazingira yako, unahitaji kuzingatia jinsi washambuliaji wanaweza kutumia watumaji, huduma za ujumbe wa papo hapo na programu zingine.
    • Kompyuta. Seva na mifumo ya mteja inayotumika katika shirika. Hulinda watumiaji dhidi ya mashambulizi ya moja kwa moja kwenye kompyuta zao kwa kufafanua miongozo kali inayosimamia ni programu gani zinaweza kutumika kwenye kompyuta za shirika.
    • Mtandao wa ndani. Mtandao ambao wanaingiliana mifumo ya ushirika. Inaweza kuwa ya ndani, ya kimataifa au isiyo na waya. Katika miaka ya hivi karibuni, kutokana na umaarufu unaoongezeka wa mbinu za kazi za mbali, mipaka ya mitandao ya ndani imekuwa kwa kiasi kikubwa kiholela. Wafanyikazi wa kampuni wanahitaji kuambiwa nini wanapaswa kufanya kwa shirika. kazi salama katika mazingira yoyote ya mtandao.
    • Mzunguko wa mtandao. Mpaka kati mitandao ya ndani kampuni na nje, kama vile mtandao au mitandao ya mashirika washirika.

    Wajibu

    Kuandika maandishi na kurekodi mazungumzo ya simu

    Hewlett-Packard

    Patricia Dunn, Rais wa Shirika Hewlett Packard, aliripoti kuwa aliajiri kampuni binafsi ili kubaini wafanyakazi wa kampuni waliohusika na uvujaji huo habari za siri. Baadaye, mkuu wa shirika hilo alikiri kwamba mazoezi ya uhasibu na mbinu zingine za uhandisi wa kijamii zilitumika wakati wa mchakato wa utafiti.

    Vidokezo

    Angalia pia

    Viungo

    • SocialWare.ru - Mradi wa kibinafsi wa uhandisi wa kijamii
    • - Uhandisi wa kijamii: misingi. Sehemu ya I: Mbinu za Wadukuzi

    Njia za uhandisi wa kijamii - hii ndiyo hasa itajadiliwa katika makala hii, pamoja na kila kitu kinachohusiana na udanganyifu wa watu, ulaghai na wizi wa hifadhidata za mteja na zaidi. Andrey Serikov alitupatia habari kwa fadhili, ambayo yeye ni mwandishi, ambayo tunamshukuru sana.

    A. SERIKOV

    A.B.BOROVSKY

    TEKNOLOJIA ZA HABARI ZA UHAKI WA KIJAMII

    Utangulizi

    Tamaa ya wanadamu kufikia utimilifu kamili wa kazi walizopewa ilitumika kama ukuzaji wa teknolojia ya kisasa ya kompyuta, na majaribio ya kukidhi matakwa yanayokinzana ya watu yalisababisha maendeleo ya bidhaa za programu. Data bidhaa za programu si tu kusaidia utendaji vifaa, lakini pia kuisimamia.

    Ukuaji wa maarifa juu ya mwanadamu na kompyuta umesababisha kuibuka kwa aina mpya ya mfumo - "mashine ya kibinadamu", ambapo mtu anaweza kuwekwa kama vifaa vinavyofanya kazi chini ya udhibiti wa uendeshaji thabiti, wa kufanya kazi na wa kazi nyingi. mfumo unaoitwa "psyche".

    Mada ya kazi hiyo ni uzingatiaji wa utapeli wa kijamii kama tawi la programu ya kijamii, ambapo mtu anadanganywa kwa msaada wa udhaifu wa kibinadamu, chuki na ubaguzi katika uhandisi wa kijamii.

    Uhandisi wa kijamii na njia zake

    Njia za udanganyifu wa kibinadamu zimejulikana kwa muda mrefu; walikuja hasa kwa uhandisi wa kijamii kutoka kwa safu ya huduma mbalimbali za akili.

    Kesi ya kwanza inayojulikana akili ya ushindani ilianza karne ya 6 KK na ilitokea China, wakati Wachina walipoteza siri ya kufanya hariri, ambayo iliibiwa kwa udanganyifu na wapelelezi wa Kirumi.

    Uhandisi wa kijamii ni sayansi ambayo inafafanuliwa kama seti ya njia za kudhibiti tabia ya mwanadamu, kwa kuzingatia utumiaji wa udhaifu wa sababu ya mwanadamu, bila kutumia njia za kiufundi.

    Kulingana na wataalamu wengi, tishio kubwa zaidi kwa usalama wa habari huletwa na njia za uhandisi wa kijamii, ikiwa tu kwa sababu utumiaji wa utapeli wa kijamii hauitaji uwekezaji mkubwa wa kifedha na maarifa kamili ya teknolojia ya kompyuta, na pia kwa sababu watu wana mielekeo fulani ya tabia ambayo inaweza kuwa. kutumika kwa ajili ya uendeshaji makini.

    Na bila kujali jinsi mifumo ya ulinzi wa kiufundi inavyoboresha, watu watabaki kuwa watu na udhaifu wao, ubaguzi, ubaguzi, kwa msaada wa ambayo usimamizi unafanyika. Kuweka "mpango wa usalama" wa kibinadamu ni kazi ngumu zaidi na sio daima husababisha matokeo ya uhakika, kwani chujio hiki lazima kirekebishwe mara kwa mara. Hapa, kauli mbiu kuu ya wataalam wote wa usalama inaonekana kuwa muhimu zaidi kuliko hapo awali: "Usalama ni mchakato, sio matokeo."

    Maeneo ya matumizi ya uhandisi wa kijamii:

    1. uharibifu wa jumla wa kazi ya shirika ili kupunguza ushawishi wake na uwezekano wa uharibifu kamili wa shirika;
    2. udanganyifu wa kifedha katika mashirika;
    3. hadaa na njia zingine za kuiba nywila ili kupata data ya kibinafsi ya benki ya watu binafsi;
    4. wizi wa hifadhidata za mteja;
    5. akili ya ushindani;
    6. habari ya jumla juu ya shirika, nguvu zake na udhaifu, kwa lengo la kuharibu shirika hili kwa njia moja au nyingine (mara nyingi hutumika kwa mashambulizi ya wavamizi);
    7. habari kuhusu wafanyikazi wanaoahidi zaidi kwa lengo la "kuwavutia" zaidi kwa shirika lako;

    Programu za kijamii na utapeli wa kijamii

    Upangaji wa programu za kijamii unaweza kuitwa taaluma inayotumika ambayo inashughulikia ushawishi unaolengwa kwa mtu au kikundi cha watu ili kubadilisha au kudumisha tabia zao katika katika mwelekeo sahihi. Kwa hivyo, programu ya kijamii inajiwekea lengo: kusimamia sanaa ya kusimamia watu. Wazo la msingi la programu za kijamii ni kwamba vitendo vya watu wengi na athari zao kwa ushawishi mmoja au mwingine wa nje mara nyingi hutabirika.

    Njia za programu za kijamii zinavutia kwa sababu hakuna mtu atakayewahi kujua juu yao, au hata ikiwa mtu anakisia juu ya jambo fulani, ni ngumu sana kuleta takwimu kama hiyo kwa haki, na katika hali zingine inawezekana "kupanga" tabia ya watu, na. mtu mmoja, na kundi kubwa. Fursa hizi huanguka katika kitengo cha utapeli wa kijamii haswa kwa sababu katika zote hizo watu hufanya mapenzi ya mtu mwingine, kana kwamba wanatii "mpango" ulioandikwa na mdukuzi wa kijamii.

    Utapeli wa kijamii kama uwezo wa kumteka mtu na kumpanga kufanya vitendo unavyotaka hutoka kwa programu ya kijamii - nidhamu inayotumika ya uhandisi wa kijamii, ambapo wataalam katika uwanja huu - wadukuzi wa kijamii- tumia ushawishi wa kisaikolojia na mbinu za uigizaji zilizokopwa kutoka kwa safu ya huduma za kijasusi.

    Udukuzi wa kijamii hutumiwa mara nyingi linapokuja suala la kushambulia mtu ambaye ni sehemu ya mfumo wa kompyuta. Mfumo wa kompyuta, ambayo imedukuliwa, haipo yenyewe. Ina sehemu muhimu - mtu. Na ili kupata habari, hacker kijamii anahitaji hack mtu ambaye anafanya kazi na kompyuta. Katika hali nyingi, ni rahisi kufanya hivyo kuliko kuingia kwenye kompyuta ya mwathirika ili kujaribu kujua nenosiri.

    Algorithm ya ushawishi wa kawaida katika utapeli wa kijamii:

    Mashambulizi yote ya wadukuzi wa kijamii yanalingana na mpango mmoja rahisi:

    1. madhumuni ya kuathiri kitu fulani yanaundwa;
    2. habari juu ya kitu hukusanywa ili kugundua malengo rahisi zaidi ya ushawishi;
    3. Kulingana na habari iliyokusanywa, hatua inatekelezwa ambayo wanasaikolojia huita kivutio. Kuvutia (kutoka Kilatini Attrahere - kuvutia, kuvutia) ni uumbaji masharti muhimu kushawishi kitu;
    4. kulazimisha hacker kijamii kuchukua hatua;

    Kulazimishwa kunapatikana kwa kufanya hatua za awali, yaani, baada ya mvuto kupatikana, mwathirika mwenyewe huchukua hatua muhimu kwa mhandisi wa kijamii.

    Kulingana na habari iliyokusanywa, watapeli wa kijamii wanatabiri kwa usahihi aina ya kisaikolojia na kijamii ya mwathiriwa, kutambua sio tu mahitaji ya chakula, ngono, nk, lakini pia hitaji la upendo, hitaji la pesa, hitaji la faraja, n.k. ., na kadhalika.

    Na kwa kweli, kwa nini jaribu kupenya hii au kampuni hiyo, kuteka kompyuta, ATM, kuandaa michanganyiko ngumu, wakati unaweza kufanya kila kitu rahisi: kumfanya mtu akupende, ambaye, kwa hiari yake mwenyewe, atahamisha pesa kwa akaunti maalum au kushiriki pesa zinazohitajika kila wakati habari?

    Kulingana na ukweli kwamba vitendo vya watu vinaweza kutabirika na pia chini ya sheria fulani, watapeli wa kijamii na waandaaji wa programu za kijamii hutumia hatua nyingi za asili na mbinu rahisi chanya na hasi kulingana na saikolojia ya ufahamu wa mwanadamu, mipango ya tabia, mitetemo ya viungo vya ndani, mantiki. mawazo, mawazo, kumbukumbu, tahadhari. Mbinu hizi ni pamoja na:

    Jenereta ya kuni - hutoa oscillations ya mzunguko sawa na mzunguko wa oscillations ya viungo vya ndani, baada ya hapo athari ya resonance inaonekana, kama matokeo ambayo watu huanza kujisikia usumbufu mkali na hali ya hofu;

    athari kwenye jiografia ya umati wa watu - kwa utawanyiko wa amani wa watu wenye fujo hatari sana, vikundi vikubwa vya watu;

    sauti za juu-frequency na za chini - kusababisha hofu na athari yake ya nyuma, pamoja na udanganyifu mwingine;

    mpango wa kuiga wa kijamii - mtu huamua usahihi wa vitendo kwa kujua ni hatua gani watu wengine wanaona kuwa sawa;

    mpango wa claquering - (kulingana na kuiga kijamii) shirika la mmenyuko muhimu kutoka kwa watazamaji;

    uundaji wa foleni - (kulingana na kuiga kijamii) hatua rahisi lakini yenye ufanisi ya utangazaji;

    mpango wa usaidizi wa pande zote - mtu hutafuta kulipa fadhili kwa watu hao ambao wamemtendea wema. Tamaa ya kutimiza mpango huu mara nyingi huzidi sababu zote;

    Udukuzi wa kijamii kwenye mtandao

    Pamoja na ujio na maendeleo ya mtandao - mazingira ya kawaida yanayojumuisha watu na mwingiliano wao, mazingira ya kudanganya mtu kupata habari muhimu na kujitolea. vitendo muhimu. Siku hizi, mtandao ni njia ya utangazaji duniani kote, njia ya ushirikiano, mawasiliano na inashughulikia mambo yote Dunia. Hivi ndivyo wahandisi wa kijamii hutumia kufikia malengo yao.

    Njia za kudanganya mtu kupitia mtandao:

    Katika ulimwengu wa kisasa, wamiliki wa karibu kila kampuni tayari wamegundua kuwa mtandao ni njia nzuri sana na rahisi ya kupanua biashara zao na kazi yake kuu ni kuongeza faida ya kampuni nzima. Inajulikana kuwa bila habari inayolenga kuvutia umakini kwa kitu unachotaka, kutoa au kudumisha riba ndani yake na kuikuza kwenye soko, utangazaji hutumiwa. Tu, kutokana na ukweli kwamba soko la matangazo limegawanywa kwa muda mrefu, aina nyingi za matangazo kwa wajasiriamali wengi hupoteza pesa. Matangazo ya mtandao sio moja tu ya aina za matangazo kwenye vyombo vya habari, ni kitu zaidi, kwani kwa usaidizi wa utangazaji wa mtandao watu wanaopenda ushirikiano huja kwenye tovuti ya shirika.

    Utangazaji wa mtandao, tofauti na utangazaji kwenye vyombo vya habari, una fursa nyingi zaidi na vigezo vya kusimamia kampuni ya utangazaji. Kiashiria muhimu zaidi cha utangazaji wa mtandao ni kwamba Ada za utangazaji wa mtandao hutozwa tu unapobadilisha mtumiaji anayevutiwa kupitia kiunga cha utangazaji, ambacho bila shaka hufanya utangazaji kwenye Mtandao kuwa mzuri zaidi na wa gharama ya chini kuliko utangazaji kwenye media. Kwa hivyo, baada ya kuwasilisha tangazo kwenye runinga au katika machapisho ya kuchapisha, wanalipia kikamilifu na kungojea tu wateja watarajiwa, lakini wateja wanaweza kujibu matangazo au la - yote inategemea ubora wa uzalishaji na uwasilishaji wa matangazo kwenye televisheni au magazeti, hata hivyo, bajeti ya matangazo tayari imetumika na ikiwa matangazo hayakufanya kazi, inapotea. Tofauti na utangazaji kama huo wa media, utangazaji wa Mtandao una uwezo wa kufuatilia mwitikio wa hadhira na kudhibiti utangazaji wa Mtandao kabla ya bajeti yake kutumika; zaidi ya hayo, utangazaji wa mtandao unaweza kusimamishwa wakati mahitaji ya bidhaa yameongezeka na kuanza tena mahitaji yanapoanza kupungua.

    Njia nyingine ya ushawishi ni ile inayoitwa "Mauaji ya vikao" ambapo, kwa msaada wa programu za kijamii, huunda matangazo ya kupinga mradi fulani. Katika kesi hii, programu ya kijamii, kwa msaada wa vitendo dhahiri vya uchochezi, huharibu jukwaa peke yake, kwa kutumia majina kadhaa ya bandia ( jina la utani) kuunda kikundi cha kupinga kiongozi karibu na yenyewe, na kuvutia wageni wa mara kwa mara kwenye mradi ambao hawajaridhika na tabia ya utawala. Mwishoni mwa matukio hayo, inakuwa haiwezekani kukuza bidhaa au mawazo kwenye jukwaa. Hivi ndivyo jukwaa liliandaliwa kwa ajili yake.

    Njia za kushawishi mtu kupitia mtandao kwa madhumuni ya uhandisi wa kijamii:

    Hadaa ni aina ya ulaghai wa mtandao unaolenga kupata ufikiaji wa data ya siri ya mtumiaji - kuingia na nywila. Operesheni hii kupatikana kwa kutekeleza utumaji barua nyingi barua pepe kwa niaba ya bidhaa maarufu, pamoja na ujumbe wa kibinafsi ndani huduma mbalimbali(Rambler), benki au ndani mitandao ya kijamii(Facebook). Barua mara nyingi huwa na kiunga cha tovuti ambayo kwa nje haiwezi kutofautishwa na ile halisi. Baada ya mtumiaji kutua kwenye ukurasa bandia, wahandisi wa kijamii mbinu mbalimbali kuhimiza mtumiaji kuingia kuingia kwake na nenosiri kwenye ukurasa, ambayo hutumia kufikia tovuti maalum, ambayo inamruhusu kupata akaunti na akaunti za benki.

    Zaidi kuangalia hatari ulaghai kuliko kuhadaa ili kupata maelezo ya kibinafsi ni ule unaoitwa ulanguzi.

    Dawa ni njia ya kuelekeza watumiaji kwa siri kwenye tovuti za kuhadaa ili kupata maelezo ya kibinafsi. Mhandisi wa kijamii husambaza programu maalum mbaya kwa kompyuta za watumiaji, ambayo, mara moja ilizinduliwa kwenye kompyuta, inaelekeza maombi kutoka kwa tovuti muhimu hadi kwa bandia. Hii inahakikisha usiri wa juu wa shambulio hilo, na ushiriki wa watumiaji huwekwa kwa kiwango cha chini - inatosha kungoja hadi mtumiaji aamue kutembelea maeneo ya kupendeza. mhandisi wa kijamii tovuti.

    Hitimisho

    Uhandisi wa kijamii ni sayansi iliyotokana na sosholojia na inadai kuwa chombo cha maarifa ambacho huongoza, kuweka mpangilio na kuboresha mchakato wa kuunda, kusasisha na kuzalisha hali halisi mpya za kijamii ("bandia"). Kwa njia fulani, "inakamilisha" sayansi ya kijamii, inakamilisha katika hatua ya kubadilisha maarifa ya kisayansi kuwa mifano, miradi na miundo ya taasisi za kijamii, maadili, kanuni, algorithms ya shughuli, uhusiano, tabia, n.k.

    Licha ya ukweli kwamba Uhandisi wa Jamii ni sayansi changa, husababisha uharibifu mkubwa kwa michakato inayotokea katika jamii.

    Njia rahisi zaidi za ulinzi dhidi ya athari za sayansi hii ya uharibifu ni:

    Kuvuta hisia za watu kwenye masuala ya usalama.

    Watumiaji wanaelewa uzito wa tatizo na kukubali sera ya usalama ya mfumo.

    Fasihi

    1. R. Petersen Linux: Mwongozo Kamili: kwa. kutoka kwa Kiingereza - toleo la 3. - K .: BV Publishing Group, 2000. - 800 p.

    2. Kutoka kwenye mtandao wa Grodnev nyumbani kwako. - M.: "RIPOL CLASSIC", 2001. -480 p.

    3. M. V. Kuznetsov Uhandisi wa kijamii na utapeli wa kijamii. St. Petersburg: BV-Petersburg, 2007. - 368 pp.: mgonjwa.



    MAKALA INAYOHUSIANA