In dit artikel zullen we aandacht besteden aan het concept van "social engineering". Een algemene definitie van de term zal hier worden beschouwd. We zullen ook leren wie de grondlegger van dit concept was. Laten we het even hebben over de belangrijkste methoden van social engineering die door aanvallers worden gebruikt.
Inleiding
Methoden waarmee u het gedrag van een persoon kunt corrigeren en zijn activiteiten kunt beheren zonder het gebruik van een technische set hulpmiddelen, vormen het algemene concept van social engineering. Alle methoden zijn gebaseerd op de bewering dat de menselijke factor de meest destructieve zwakte van elk systeem is. Vaak wordt dit concept beschouwd op het niveau van illegale activiteit, waarbij de crimineel op een oneerlijke manier een actie uitvoert die erop gericht is informatie van het subject-slachtoffer te verkrijgen. Het kan bijvoorbeeld een vorm van manipulatie zijn. Social engineering wordt echter ook door mensen gebruikt bij legitieme activiteiten. Tot op heden wordt het meestal gebruikt om toegang te krijgen tot bronnen met gevoelige of gevoelige informatie.
Oprichter
De grondlegger van social engineering is Kevin Mitnick. Het concept zelf kwam echter vanuit de sociologie tot ons. Het geeft een algemene reeks benaderingen aan die worden gebruikt door toegepaste sociale media. wetenschappen gericht op het veranderen van de organisatiestructuur die het menselijk gedrag kan bepalen en er controle over kan uitoefenen. Kevin Mitnick kan worden beschouwd als de grondlegger van deze wetenschap, omdat hij het was die het sociale populair maakte. techniek in het eerste decennium van de 21e eeuw. Kevin was vroeger zelf een hacker die illegaal een grote verscheidenheid aan databases binnendrong. Hij betoogde dat de menselijke factor het meest kwetsbare punt is van een systeem van elk niveau van complexiteit en organisatie.
Als we het hebben over social engineering-methoden als een manier om (vaak illegale) rechten te verkrijgen om vertrouwelijke gegevens te gebruiken, kunnen we zeggen dat ze al heel lang bekend zijn. Het was echter K. Mitnick die in staat was om het belang van hun betekenis en eigenaardigheden van toepassing over te brengen.
Phishing en niet-bestaande links
Elke techniek van social engineering is gebaseerd op de aanwezigheid van cognitieve vervormingen. Gedragsfouten worden een "tool" in de handen van een bekwame ingenieur, die in de toekomst een aanval kan uitvoeren die gericht is op het verkrijgen van belangrijke gegevens. Onder social engineering-methoden worden phishing en niet-bestaande links onderscheiden.
Phishing is een online zwendel die is ontworpen om persoonlijke informatie zoals gebruikersnaam en wachtwoord te verkrijgen.
Niet-bestaande link - een link gebruiken die de ontvanger met zeker zal lokkenvoordelen die kunnen worden verkregen door erop te klikken en een specifieke site te bezoeken. Meestal worden de namen van grote bedrijven gebruikt, waardoor hun naam subtiel wordt aangepast. Het slachtoffer zal, door op de link te klikken, zijn persoonlijke gegevens "vrijwillig" overdragen aan de aanvaller.
Methoden met behulp van merken, defecte antivirusprogramma's en een neploterij
Social engineering maakt ook gebruik van oplichting met merknamen, defecte antivirusprogramma's en neploterijen.
"Fraude en merken" - een methode van misleiding, die ook tot de phishing-sectie behoort. Dit omvat e-mails en websites die de naam van een groot en/of "hyped" bedrijf bevatten. Vanaf hun pagina's worden berichten verzonden met een melding van de overwinning in een bepaalde competitie. Vervolgens moet u belangrijke accountinformatie invoeren en stelen. Deze vorm van fraude kan ook telefonisch worden uitgevoerd.
Neploterij - een methode waarbij een bericht naar het slachtoffer wordt gestuurd met de tekst dat hij (a) de loterij heeft gewonnen. Meestal wordt de waarschuwing gemaskeerd met de namen van grote bedrijven.
Nep-antivirussen zijn softwarezwendel. Het gebruikt programma's die op antivirussen lijken. In werkelijkheid leiden ze echter tot het genereren van valse meldingen over een bepaalde dreiging. Ze proberen ook gebruikers naar het gebied van transacties te lokken.
Vishing, phreaking en pretexting
Terwijl we het hebben over social engineering voor beginners, moeten we ook vishing, phreaking en pretexting noemen.
Vishing is een vorm van bedrog waarbij gebruik wordt gemaakt van telefoonnetwerken. Het maakt gebruik van vooraf opgenomen spraakberichten, die tot doel hebben de "officiële oproep" van de bankstructuur of een ander IVR-systeem na te bootsen. Meestal wordt hen gevraagd om een gebruikersnaam en/of wachtwoord in te voeren om de informatie te bevestigen. Met andere woorden, het systeem vereist authenticatie door de gebruiker met behulp van pincodes of wachtwoorden.
Phreaking is een andere vorm van telefonische oplichting. Het is een hacksysteem dat gebruik maakt van geluidsmanipulatie en toonkiezen.
Pretexting is een aanval met een vooropgezet plan, waarvan de essentie is om een ander onderwerp te vertegenwoordigen. Een extreem moeilijke manier om vals te spelen, omdat het een zorgvuldige voorbereiding vereist.
Quid Pro Quo en de Road Apple-methode
De theorie van social engineering is een veelzijdige database die zowel methoden van bedrog en manipulatie omvat, als manieren om ermee om te gaan. De belangrijkste taak van indringers is in de regel om waardevolle informatie eruit te vissen.
Andere vormen van oplichting zijn onder meer: quid pro quo, road apple, schoudersurfen, open source en reverse social media. techniek.
Quid-pro-quo (van het Latijn - "voor dit") - een poging om informatie uit een bedrijf of firma te halen. Dit gebeurt door telefonisch contact met haar op te nemen of door berichten per e-mail te sturen. Meestal aanvallersdoen alsof je werknemer bent. ondersteuning, die de aanwezigheid van een specifiek probleem op de werkplek van de werknemer meldt. Vervolgens stellen ze manieren voor om het probleem op te lossen, bijvoorbeeld door software te installeren. De software blijkt defect te zijn en promoot de misdaad.
The Road Apple is een aanvalsmethode die is gebaseerd op het idee van een Trojaans paard. De essentie ervan ligt in het gebruik van een fysiek medium en de vervanging van informatie. Ze kunnen bijvoorbeeld een geheugenkaart voorzien van een bepaald "goed" dat de aandacht van het slachtoffer zal trekken, de wens zal veroorzaken om het bestand te openen en te gebruiken of de links te volgen die zijn aangegeven in de documenten van de flashdrive. Het object "road apple" wordt op sociale plaatsen neergezet en wacht tot het plan van de indringer door een of ander onderwerp wordt uitgevoerd.
Het verzamelen en zoeken naar informatie uit open bronnen is een oplichterij waarbij het verzamelen van gegevens is gebaseerd op de methoden van psychologie, het vermogen om kleine dingen op te merken en de analyse van beschikbare gegevens, bijvoorbeeld pagina's van een sociaal netwerk. Dit is een vrij nieuwe manier van social engineering.
Schouder surfen en omgekeerd sociaal. techniek
Het concept van 'schoudersurfen' definieert zichzelf als het kijken naar een onderwerp in de letterlijke zin van het woord. Bij dit soort datavissen gaat de aanvaller naar openbare plaatsen, zoals een café, luchthaven, treinstation en volgt hij mensen.
Onderschat deze methode niet, aangezien veel onderzoeken en onderzoeken aantonen dat een attent persoon veel vertrouwelijkheid kan ontvangeninformatie door simpelweg oplettend te zijn.
Social engineering (als een niveau van sociologische kennis) is een middel om gegevens te 'vastleggen'. Er zijn manieren om aan gegevens te komen waarbij het slachtoffer zelf de aanvaller de nodige informatie zal aanbieden. Het kan echter ook het welzijn van de samenleving dienen.
Omgekeerd sociaal engineering is een andere methode van deze wetenschap. Het gebruik van deze term wordt passend in het geval dat we hierboven noemden: het slachtoffer zal de aanvaller zelf de nodige informatie aanbieden. Deze verklaring moet niet als absurd worden opgevat. Feit is dat subjecten met bevoegdheden op bepaalde werkterreinen vaak naar eigen inzicht toegang krijgen tot identificatiegegevens. De basis hier is vertrouwen.
Belangrijk om te onthouden! Ondersteunend personeel zal de gebruiker bijvoorbeeld nooit om een wachtwoord vragen.
Informatie en bescherming
Social engineering-training kan door het individu worden gegeven op basis van persoonlijk initiatief of op basis van voordelen die worden gebruikt in speciale trainingsprogramma's.
Criminelen kunnen een breed scala aan soorten bedrog gebruiken, variërend van manipulatie tot luiheid, goedgelovigheid, beleefdheid van de gebruiker, enz. Het is buitengewoon moeilijk om jezelf tegen dit soort aanvallen te beschermen, omdat het slachtoffer geen bewust dat hij) vals speelde. Verschillende firma's en bedrijven zijn vaak bezig met de evaluatie van algemene informatie om hun gegevens op dit niveau van gevaar te beschermen. De volgende stap is het integreren van de noodzakelijkewaarborgen voor het beveiligingsbeleid.
Voorbeelden
Een voorbeeld van social engineering (zijn act) op het gebied van wereldwijde phishingmailings is een gebeurtenis die plaatsvond in 2003. Tijdens deze zwendel werden e-mails naar eBay-gebruikers gestuurd. Ze beweerden dat de accounts die bij hen hoorden waren geblokkeerd. Om de blokkering op te heffen, was het noodzakelijk om de accountgegevens opnieuw in te voeren. De brieven waren echter vals. Ze vertaalden naar een pagina die identiek was aan de officiële, maar nep. Volgens schattingen van experts was het verlies niet al te groot (minder dan een miljoen dollar).
Definitie van verantwoordelijkheid
Het gebruik van social engineering kan in sommige gevallen strafbaar zijn. In een aantal landen, zoals de Verenigde Staten, wordt voorwendsel (misleiding door zich voor te doen als iemand anders) gelijkgesteld aan een inbreuk op de privacy. Dit kan echter wel strafbaar zijn als de bij het voorwenden verkregen informatie vertrouwelijk was vanuit het oogpunt van het onderwerp of de organisatie. Het opnemen van een telefoongesprek (als social engineering-methode) is ook wettelijk verplicht en vereist een boete van $ 250.000 of een gevangenisstraf van maximaal tien jaar voor individuen. personen. Rechtspersonen moeten $ 500.000 betalen; de deadline blijft hetzelfde.