ამ სტატიაში ყურადღებას მივაქცევთ "სოციალური ინჟინერიის" კონცეფციას. აქ განიხილება ტერმინის ზოგადი განმარტება. ასევე გავიგებთ, ვინ იყო ამ კონცეფციის ფუძემდებელი. მოდი ცალკე ვისაუბროთ სოციალური ინჟინერიის ძირითად მეთოდებზე, რომლებსაც თავდამსხმელები იყენებენ.
შესავალი
მეთოდები, რომლებიც საშუალებას გაძლევთ შეასწოროთ ადამიანის ქცევა და მართოთ მისი საქმიანობა ტექნიკური ინსტრუმენტების გამოყენების გარეშე, აყალიბებს სოციალური ინჟინერიის ზოგად კონცეფციას. ყველა მეთოდი ემყარება იმ მტკიცებას, რომ ადამიანური ფაქტორი ნებისმიერი სისტემის ყველაზე დამანგრეველი სისუსტეა. ხშირად ეს კონცეფცია განიხილება უკანონო საქმიანობის დონეზე, რომლის მეშვეობითაც დამნაშავე ახორციელებს მოქმედებას, რომელიც მიმართულია სუბიექტ-მსხვერპლისგან ინფორმაციის არაკეთილსინდისიერი გზით მოპოვებაზე. მაგალითად, ეს შეიძლება იყოს რაიმე სახის მანიპულირება. თუმცა, სოციალური ინჟინერია ასევე გამოიყენება ადამიანების მიერ ლეგიტიმურ საქმიანობაში. დღემდე, ის ყველაზე ხშირად გამოიყენება სენსიტიური ან მგრძნობიარე ინფორმაციის მქონე რესურსებზე წვდომისთვის.
დამფუძნებელი
სოციალური ინჟინერიის დამფუძნებელი არის კევინ მიტნიკი. თუმცა, თავად კონცეფცია ჩვენამდე მოვიდა სოციოლოგიიდან. იგი აღნიშნავს მიდგომების ზოგად კომპლექსს, რომელსაც იყენებს გამოყენებითი სოციალური. მეცნიერებები ორიენტირებულია ორგანიზაციული სტრუქტურის შეცვლაზე, რომელსაც შეუძლია განსაზღვროს ადამიანის ქცევა და განახორციელოს მასზე კონტროლი. კევინ მიტნიკი შეიძლება ჩაითვალოს ამ მეცნიერების ფუძემდებლად, რადგან სწორედ მან მოახდინა სოციალური პოპულარიზაცია. ინჟინერია 21-ე საუკუნის პირველ ათწლეულში. თავად კევინი ადრე იყო ჰაკერი, რომელიც უკანონოდ შედიოდა მონაცემთა მრავალფეროვან ბაზაში. ის ამტკიცებდა, რომ ადამიანური ფაქტორი ნებისმიერი დონის სირთულისა და ორგანიზაციის სისტემის ყველაზე დაუცველი წერტილია.
თუ ვსაუბრობთ სოციალური ინჟინერიის მეთოდებზე, როგორც კონფიდენციალური მონაცემების გამოყენების უფლებების (ხშირად უკანონო) მოპოვების საშუალებას, შეგვიძლია ვთქვათ, რომ ისინი ძალიან დიდი ხანია ცნობილია. თუმცა, სწორედ კ. მიტნიკმა შეძლო მათი მნიშვნელობისა და გამოყენების თავისებურებების გადმოცემა.
ფიშინგი და არარსებული ბმულები
სოციალური ინჟინერიის ნებისმიერი ტექნიკა ემყარება კოგნიტური დამახინჯების არსებობას. ქცევითი შეცდომები ხდება "ინსტრუმენტი" გამოცდილი ინჟინრის ხელში, რომელსაც მომავალში შეუძლია შექმნას შეტევა, რომელიც მიმართულია მნიშვნელოვანი მონაცემების მოპოვებაზე. სოციალური ინჟინერიის მეთოდებს შორის გამოირჩევა ფიშინგი და არარსებული ბმულები.
ფიშინგი არის ონლაინ თაღლითობა, რომელიც შექმნილია პერსონალური ინფორმაციის მისაღებად, როგორიცაა მომხმარებლის სახელი და პაროლი.
არარსებული ბმული - ბმულის გამოყენებით, რომელიც მიიზიდავს მიმღებს გარკვეული გზითსარგებელი, რომლის მიღებაც შესაძლებელია მასზე დაწკაპუნებით და კონკრეტული საიტის მონახულებით. ყველაზე ხშირად, მსხვილი კომპანიების სახელები გამოიყენება, რაც მათ სახელში დახვეწილი კორექტირებას ახდენს. მსხვერპლი ბმულზე დაწკაპუნებით „ნებაყოფლობით“გადასცემს თავდამსხმელს თავის პირად მონაცემებს.
ბრენდების, დეფექტური ანტივირუსების და ყალბი ლატარიის გამოყენების მეთოდები
სოციალური ინჟინერია ასევე იყენებს ბრენდის თაღლითობებს, დეფექტურ ანტივირუსებს და ყალბ ლატარიებს.
„თაღლითობა და ბრენდები“- მოტყუების მეთოდი, რომელიც ასევე ფიშინგის განყოფილებას განეკუთვნება. ეს მოიცავს ელ.წერილებს და ვებსაიტებს, რომლებიც შეიცავს დიდი და/ან „აჟკაცირებული“კომპანიის სახელს. მათი გვერდებიდან იგზავნება შეტყობინებები გარკვეულ კონკურსში გამარჯვების შესახებ შეტყობინებით. შემდეგი, თქვენ უნდა შეიყვანოთ ანგარიშის მნიშვნელოვანი ინფორმაცია და მოიპაროთ იგი. ასევე, თაღლითობის ეს ფორმა შეიძლება განხორციელდეს ტელეფონით.
ყალბი ლატარია - მეთოდი, რომლის დროსაც მსხვერპლს ეგზავნება შეტყობინება ტექსტით, რომ მან (ა) მოიგო (ა) ლატარია. ყველაზე ხშირად, გაფრთხილება შენიღბულია მსხვილი კორპორაციების სახელების გამოყენებით.
ყალბი ანტივირუსები პროგრამული თაღლითებია. ის იყენებს პროგრამებს, რომლებიც ჰგავს ანტივირუსებს. თუმცა, რეალურად, ისინი იწვევს ცრუ შეტყობინებების წარმოქმნას კონკრეტული საფრთხის შესახებ. ისინი ასევე ცდილობენ მომხმარებლების მოტყუებას ტრანზაქციების სფეროში.
ვიშინგობა, ჩხუბი და პრეტექსტები
დამწყებთათვის სოციალურ ინჟინერიაზე საუბრისას ასევე უნდა აღვნიშნოთ ვიშინგი, ფრიკინგი და პრეტექსტინგი.
ვიშინგი არის მოტყუების ფორმა, რომელიც იყენებს სატელეფონო ქსელებს. იგი იყენებს წინასწარ ჩაწერილ ხმოვან შეტყობინებებს, რომელთა მიზანია საბანკო სტრუქტურის ან სხვა IVR სისტემის „ოფიციალური ზარის“ხელახლა შექმნა. ყველაზე ხშირად, მათ სთხოვენ შეიყვანონ მომხმარებლის სახელი და/ან პაროლი ნებისმიერი ინფორმაციის დასადასტურებლად. სხვა სიტყვებით რომ ვთქვათ, სისტემა მოითხოვს მომხმარებლის მიერ ავთენტიფიკაციას PIN კოდების ან პაროლების გამოყენებით.
Phreaking არის სატელეფონო თაღლითობის კიდევ ერთი ფორმა. ეს არის ჰაკერული სისტემა, რომელიც იყენებს ხმის მანიპულირებას და ხმოვან აკრეფას.
პრეტექსტირება არის თავდასხმა წინასწარ შემუშავებული გეგმის გამოყენებით, რომლის არსი არის სხვა საგნის წარმოდგენა. ძალიან რთული გზაა მოტყუებისთვის, რადგან ის მოითხოვს ფრთხილად მომზადებას.
Quid Pro Quo და გზის Apple მეთოდი
სოციალური ინჟინერიის თეორია მრავალმხრივი მონაცემთა ბაზაა, რომელიც მოიცავს როგორც მოტყუებისა და მანიპულირების მეთოდებს, ასევე მათთან გამკლავების გზებს. თავდამსხმელთა მთავარი ამოცანა, როგორც წესი, ღირებული ინფორმაციის მოპოვებაა.
სხვა სახის თაღლითობები მოიცავს: quid pro quo, road apple, shoulder surfing, open source და საპირისპირო სოციალური მედია. ინჟინერია.
Quid-pro-quo (ლათინურიდან - "ამისთვის") - კომპანიის ან ფირმისგან ინფორმაციის მოპოვების მცდელობა. ეს ხდება მას ტელეფონით დაკავშირებით ან ელექტრონული ფოსტით შეტყობინებების გაგზავნით. ყველაზე ხშირად, თავდამსხმელებივითომ თანამშრომლები. მხარდაჭერა, რომელიც იტყობინება თანამშრომლის სამუშაო ადგილზე კონკრეტული პრობლემის არსებობაზე. შემდეგ ისინი გვთავაზობენ გამოსწორების გზებს, მაგალითად, პროგრამული უზრუნველყოფის დაყენებით. პროგრამული უზრუნველყოფა აღმოჩნდება დეფექტური და ხელს უწყობს დანაშაულს.
გზა Apple არის თავდასხმის მეთოდი, რომელიც დაფუძნებულია ტროას ცხენის იდეაზე. მისი არსი მდგომარეობს ფიზიკური მედიის გამოყენებაში და ინფორმაციის ჩანაცვლებაში. მაგალითად, მათ შეუძლიათ მიაწოდონ მეხსიერების ბარათი გარკვეული „სიკეთით“, რომელიც მიიპყრობს მსხვერპლის ყურადღებას, გამოიწვევს ფაილის გახსნისა და გამოყენების სურვილს ან მიჰყვება ფლეშ დრაივის დოკუმენტებში მითითებულ ბმულებს. "საგზაო ვაშლის" ობიექტს ყრიან სოციალურ ადგილებში და ელოდება, სანამ შემოჭრის გეგმა რომელიმე სუბიექტს განახორციელებს.
ღია წყაროებიდან ინფორმაციის შეგროვება და ძებნა არის თაღლითობა, რომლის დროსაც მონაცემთა მოპოვება ეფუძნება ფსიქოლოგიის მეთოდებს, წვრილმანების შემჩნევის უნარს და ხელმისაწვდომი მონაცემების ანალიზს, მაგალითად, სოციალური ქსელის გვერდებს. ეს არის სოციალური ინჟინერიის საკმაოდ ახალი გზა.
მხრების სერფინგი და საპირისპირო სოციალური. ინჟინერია
"მხრების სერფინგის" ცნება თავის თავს განსაზღვრავს, როგორც სუბიექტის პირდაპირ ეთერში ყურებას პირდაპირი მნიშვნელობით. ამ ტიპის მონაცემების თევზაობით, თავდამსხმელი მიდის საზოგადოებრივ ადგილებში, როგორიცაა კაფე, აეროპორტი, მატარებლის სადგური და მიჰყვება ხალხს.
არ შეაფასოთ ეს მეთოდი, რადგან ბევრი გამოკითხვა და კვლევა აჩვენებს, რომ ყურადღებიან ადამიანს შეუძლია მიიღოს ბევრი კონფიდენციალურიინფორმაცია უბრალოდ დაკვირვებით.
სოციალური ინჟინერია (როგორც სოციოლოგიური ცოდნის დონე) არის მონაცემთა „დაჭერის“საშუალება. არსებობს მონაცემების მოპოვების გზები, რომლითაც მსხვერპლი თავად შესთავაზებს თავდამსხმელს საჭირო ინფორმაციას. თუმცა, მას ასევე შეუძლია ემსახუროს საზოგადოების სიკეთეს.
უკუ სოციალური ინჟინერია ამ მეცნიერების კიდევ ერთი მეთოდია. ამ ტერმინის გამოყენება შესაბამისი ხდება იმ შემთხვევაში, რაც ზემოთ აღვნიშნეთ: მსხვერპლი თავად შესთავაზებს თავდამსხმელს საჭირო ინფორმაციას. ეს განცხადება აბსურდულად არ უნდა იქნას მიღებული. ფაქტია, რომ სუბიექტები, რომლებსაც აქვთ უფლებამოსილება საქმიანობის გარკვეულ სფეროებში, ხშირად იღებენ წვდომას საიდენტიფიკაციო მონაცემებზე სუბიექტის გადაწყვეტილებით. საფუძველი აქ არის ნდობა.
მნიშვნელოვანია გახსოვდეთ! დამხმარე პერსონალი არასოდეს სთხოვს მომხმარებელს პაროლს, მაგალითად.
ინფორმაცია და დაცვა
სოციალური ინჟინერიის ტრენინგი შეიძლება ჩატარდეს ინდივიდის მიერ ან პირადი ინიციატივის საფუძველზე ან უპირატესობების საფუძველზე, რომლებიც გამოიყენება სპეციალურ სასწავლო პროგრამებში.
კრიმინალებს შეუძლიათ გამოიყენონ მოტყუების მრავალფეროვნება, დაწყებული მანიპულირებიდან სიზარმაცემდე, თავაზიანობამდე, მომხმარებლის თავაზიანობამდე და ა.შ. უკიდურესად რთულია ამ ტიპის თავდასხმისგან თავის დაცვა, მსხვერპლის ნაკლებობის გამო. იმის გაცნობიერება, რომ მან) მოატყუა. სხვადასხვა ფირმა და კომპანია, რათა დაიცვან თავიანთი მონაცემები საფრთხის ამ დონეზე, ხშირად ეწევიან ზოგადი ინფორმაციის შეფასებას. შემდეგი ნაბიჯი არის საჭიროების ინტეგრირებაუსაფრთხოების პოლიტიკის გარანტიები.
მაგალითები
სოციალური ინჟინერიის (მისი აქტის) მაგალითი გლობალური ფიშინგის საფოსტო გზავნილების სფეროში არის მოვლენა, რომელიც მოხდა 2003 წელს. ელ.წერილი გაეგზავნა eBay მომხმარებლებს ამ თაღლითობის დროს. ისინი აცხადებდნენ, რომ მათი კუთვნილი ანგარიშები დაბლოკილია. დაბლოკვის გასაუქმებლად საჭირო იყო ანგარიშის მონაცემების ხელახლა შეყვანა. თუმცა, წერილები ყალბი იყო. მათ თარგმნეს ოფიციალურის იდენტური, მაგრამ ყალბი გვერდი. ექსპერტების შეფასებით, ზარალი არც თუ ისე მნიშვნელოვანი იყო (მილიონ დოლარზე ნაკლები).
პასუხისმგებლობის განმარტება
სოციალური ინჟინერიის გამოყენება ზოგიერთ შემთხვევაში შეიძლება დასჯადი იყოს. რიგ ქვეყნებში, როგორიცაა ამერიკის შეერთებული შტატები, პრეტექსტირება (მოტყუება სხვა პიროვნების განსახიერების გზით) გაიგივებულია პირადი ცხოვრების ხელყოფასთან. თუმცა, ეს შეიძლება ისჯებოდეს კანონით, თუ პრეტექსტის დროს მიღებული ინფორმაცია სუბიექტის ან ორგანიზაციის თვალსაზრისით კონფიდენციალური იყო. სატელეფონო საუბრის ჩაწერა (როგორც სოციალური ინჟინერიის მეთოდი) ასევე სავალდებულოა კანონით და მოითხოვს ჯარიმას 250 000 აშშ დოლარის ოდენობით ან ათ წლამდე თავისუფლების აღკვეთას ფიზიკური პირებისთვის. პირები. იურიდიული პირები ვალდებულნი არიან გადაიხადონ $500 000; ვადა იგივე რჩება.