In questo articolo presteremo attenzione al concetto di "ingegneria sociale". Sarà qui considerata una definizione generale del termine. Impareremo anche chi è stato il fondatore di questo concetto. Parliamo separatamente dei principali metodi di ingegneria sociale utilizzati dagli aggressori.
Introduzione
I metodi che consentono di correggere il comportamento di una persona e di gestire le sue attività senza l'uso di un insieme tecnico di strumenti costituiscono il concetto generale di ingegneria sociale. Tutti i metodi si basano sull'affermazione che il fattore umano è la debolezza più distruttiva di qualsiasi sistema. Spesso questo concetto viene considerato a livello di attività illecita, attraverso la quale il criminale compie un'azione volta ad ottenere informazioni dal soggetto-vittima in modo disonesto. Ad esempio, potrebbe essere una sorta di manipolazione. Tuttavia, l'ingegneria sociale viene utilizzata anche dagli esseri umani in attività legittime. Ad oggi, viene spesso utilizzato per accedere a risorse con informazioni sensibili o sensibili.
Fondatore
Il fondatore dell'ingegneria sociale è Kevin Mitnick. Tuttavia, il concetto stesso ci è venuto dalla sociologia. Denota un insieme generale di approcci utilizzati dal sociale applicato. le scienze si sono concentrate sul cambiamento della struttura organizzativa che può determinare il comportamento umano ed esercitare il controllo su di esso. Kevin Mitnick può essere considerato il fondatore di questa scienza, poiché è stato lui a rendere popolare il sociale. ingegneria nel primo decennio del 21° secolo. Lo stesso Kevin era in precedenza un hacker entrato illegalmente in un'ampia varietà di database. Ha sostenuto che il fattore umano è il punto più vulnerabile di un sistema di qualsiasi livello di complessità e organizzazione.
Se parliamo di metodi di ingegneria sociale come un modo per ottenere diritti (spesso illegali) di utilizzare dati riservati, possiamo dire che sono noti da molto tempo. Tuttavia, è stato K. Mitnick che ha saputo trasmettere l'importanza del loro significato e le peculiarità di applicazione.
Phishing e link inesistenti
Qualsiasi tecnica di ingegneria sociale si basa sulla presenza di distorsioni cognitive. Gli errori comportamentali diventano uno "strumento" nelle mani di un ingegnere esperto, che in futuro potrà creare un attacco mirato all'ottenimento di dati importanti. Tra i metodi di ingegneria sociale si distinguono phishing e link inesistenti.
Il phishing è una truffa online progettata per ottenere informazioni personali come nome utente e password.
Link inesistente: utilizzo di un collegamento che attirerà il destinatario con certezzavantaggi ottenibili cliccandoci sopra e visitando un sito specifico. Molto spesso vengono utilizzati i nomi di grandi aziende, apportando sottili modifiche al loro nome. La vittima, cliccando sul link, trasferirà "volontariamente" i propri dati personali all'attaccante.
Metodi che utilizzano marchi, antivirus difettosi e una lotteria falsa
L'ingegneria sociale utilizza anche truffe di marca, antivirus difettosi e lotterie false.
"Frodi e marchi" - un metodo di inganno, che appartiene anche alla sezione del phishing. Ciò include e-mail e siti Web che contengono il nome di un'azienda grande e/o "pubblicizzata". I messaggi vengono inviati dalle loro pagine con la notifica della vittoria in una determinata competizione. Successivamente, devi inserire importanti informazioni sull'account e rubarlo. Inoltre, questa forma di frode può essere effettuata per telefono.
Lotteria falsa - un metodo in cui viene inviato un messaggio alla vittima con il testo che (a) ha vinto (a) alla lotteria. Molto spesso, l'avviso viene mascherato utilizzando i nomi di grandi aziende.
Gli antivirus falsi sono truffe software. Utilizza programmi che sembrano antivirus. Tuttavia, in re altà, portano alla generazione di false notifiche su una particolare minaccia. Cercano anche di attirare gli utenti nel regno delle transazioni.
Vishing, phreaking e pretesto
Mentre parliamo di ingegneria sociale per principianti, dovremmo anche menzionare vishing, phreaking e pretexting.
Vishing è una forma di inganno che utilizza le reti telefoniche. Utilizza messaggi vocali preregistrati, il cui scopo è quello di ricreare la "chiamata ufficiale" della struttura bancaria o di qualsiasi altro sistema IVR. Molto spesso, viene loro chiesto di inserire un nome utente e/o una password per confermare qualsiasi informazione. In altre parole, il sistema richiede l'autenticazione da parte dell'utente tramite codici PIN o password.
Phreaking è un' altra forma di truffa telefonica. È un sistema di hacking che utilizza la manipolazione del suono e la composizione a toni.
Il pretesto è un attacco che usa un piano premeditato, la cui essenza è rappresentare un altro soggetto. Un modo estremamente difficile per imbrogliare, poiché richiede un'attenta preparazione.
Quid Pro Quo e il metodo Road Apple
La teoria dell'ingegneria sociale è un database sfaccettato che include sia metodi di inganno e manipolazione, sia modi per affrontarli. Il compito principale degli intrusi, di regola, è di ripescare informazioni preziose.
Altri tipi di truffe includono: quid pro quo, road apple, shoulder surfing, open source e social media inversi. ingegneria.
Quid-pro-quo (dal latino - "per questo") - un tentativo di estrarre informazioni da un'azienda o azienda. Questo avviene contattandola telefonicamente o inviando messaggi via e-mail. Molto spesso, attaccantifingere di essere dipendenti. supporto, che segnalano la presenza di una specifica problematica nell'ambiente di lavoro del dipendente. Quindi suggeriscono modi per risolverlo, ad esempio installando software. Il software risulta essere difettoso e promuove il crimine.
The Road Apple è un metodo di attacco basato sull'idea di un cavallo di Troia. La sua essenza sta nell'uso di un mezzo fisico e nella sostituzione delle informazioni. Ad esempio, possono fornire una scheda di memoria con un certo "buono" che attirerà l'attenzione della vittima, provocherà il desiderio di aprire e utilizzare il file o seguire i collegamenti indicati nei documenti della chiavetta USB. L'oggetto "mela della strada" viene lasciato cadere nei luoghi sociali e aspetta fino a quando il piano dell'intruso non viene implementato da qualche soggetto.
La raccolta e la ricerca di informazioni da fonti aperte è una truffa in cui l'acquisizione dei dati si basa sui metodi della psicologia, sulla capacità di notare piccole cose e sull'analisi dei dati disponibili, ad esempio le pagine di un social network. Questo è un modo abbastanza nuovo di social engineering.
Shoulder surfing e reverse social. ingegneria
Il concetto di "surf a spalla" si definisce come guardare un soggetto dal vivo in senso letterale. Con questo tipo di pesca dei dati, l'attaccante si reca in luoghi pubblici, come un bar, un aeroporto, una stazione ferroviaria e segue le persone.
Non sottovalutare questo metodo, poiché molti sondaggi e studi dimostrano che una persona attenta può ricevere molte informazioni confidenzialiinformazioni semplicemente osservando.
L'ingegneria sociale (come livello di conoscenza sociologica) è un mezzo per "catturare" i dati. Ci sono modi per ottenere dati in cui la vittima stessa offrirà all'attaccante le informazioni necessarie. Tuttavia, può anche servire il bene della società.
Social inverso l'ingegneria è un altro metodo di questa scienza. L'uso di questo termine diventa appropriato nel caso che abbiamo citato sopra: la vittima stessa fornirà all'attaccante le informazioni necessarie. Questa affermazione non deve essere considerata assurda. Il fatto è che i soggetti dotati di autorità in determinati ambiti di attività spesso ottengono l'accesso ai dati identificativi su decisione del soggetto stesso. La base qui è la fiducia.
Importante da ricordare! Il personale di supporto non chiederà mai all'utente una password, ad esempio.
Informazioni e protezione
La formazione in ingegneria sociale può essere svolta dall'individuo sulla base di un'iniziativa personale o sulla base di vantaggi che vengono utilizzati in programmi di formazione speciali.
I criminali possono utilizzare un'ampia varietà di tipi di inganno, che vanno dalla manipolazione alla pigrizia, creduloneria, cortesia dell'utente, ecc. È estremamente difficile proteggersi da questo tipo di attacco, a causa della mancanza di consapevolezza di aver tradito. Diverse aziende e aziende per proteggere i propri dati a questo livello di pericolo sono spesso impegnate nella valutazione di informazioni generali. Il prossimo passo è integrare il necessariosalvaguardie alla politica di sicurezza.
Esempi
Un esempio di ingegneria sociale (il suo atto) nel campo degli invii di phishing globale è un evento verificatosi nel 2003. Le e-mail sono state inviate agli utenti eBay durante questa truffa. Hanno affermato che gli account di loro proprietà erano bloccati. Per annullare il blocco è stato necessario reinserire i dati dell'account. Tuttavia, le lettere erano false. Hanno tradotto in una pagina identica a quella ufficiale, ma falsa. Secondo le stime degli esperti, la perdita non è stata troppo significativa (meno di un milione di dollari).
Definizione di responsabilità
L'uso dell'ingegneria sociale può essere punibile in alcuni casi. In un certo numero di paesi, come gli Stati Uniti, il pretesto (inganno impersonando un' altra persona) è equiparato a un'invasione della privacy. Tuttavia, ciò può essere punito dalla legge se le informazioni ottenute durante il pretesto erano riservate dal punto di vista del soggetto o dell'organizzazione. Anche la registrazione di una conversazione telefonica (come metodo di ingegneria sociale) è richiesta dalla legge e richiede una multa di $ 250.000 o la reclusione fino a dieci anni per gli individui. persone. Le persone giuridiche sono tenute a pagare $ 500.000; la scadenza rimane la stessa.
