Bu yazıda "sosial mühəndislik" anlayışına diqqət yetirəcəyik. Burada terminin ümumi tərifi nəzərdən keçiriləcək. Bu konsepsiyanın yaradıcısının kim olduğunu da öyrənəcəyik. Təcavüzkarların istifadə etdiyi sosial mühəndisliyin əsas üsulları haqqında ayrıca danışaq.
Giriş
Texniki alətlər toplusundan istifadə etmədən insanın davranışını düzəltməyə və onun fəaliyyətini idarə etməyə imkan verən üsullar sosial mühəndisliyin ümumi konsepsiyasını təşkil edir. Bütün üsullar insan faktorunun istənilən sistemin ən dağıdıcı zəifliyi olduğu iddiasına əsaslanır. Çox vaxt bu anlayış qeyri-qanuni fəaliyyət səviyyəsində nəzərdən keçirilir, bunun vasitəsilə cinayətkar subyekt-qurbandan vicdansız şəkildə məlumat əldə etməyə yönəlmiş hərəkəti həyata keçirir. Məsələn, bu, bir növ manipulyasiya ola bilər. Bununla belə, sosial mühəndislik insanlar tərəfindən qanuni fəaliyyətlərdə də istifadə olunur. Bu günə qədər o, ən çox həssas və ya həssas məlumatı olan resurslara daxil olmaq üçün istifadə olunur.
Təsisçi
Sosial mühəndisliyin banisi Kevin Mitnikdir. Halbuki konsepsiyanın özü bizə sosiologiyadan gəlib. Tətbiqi sosial tərəfindən istifadə edilən ümumi yanaşmalar toplusunu ifadə edir. elmlər insan davranışını müəyyən edə bilən və ona nəzarəti həyata keçirə bilən təşkilati strukturun dəyişdirilməsinə yönəlmişdir. Kevin Mitnick bu elmin banisi hesab edilə bilər, çünki sosial elmi populyarlaşdıran məhz o idi. 21-ci əsrin ilk onilliyində mühəndislik. Kevin özü əvvəllər müxtəlif verilənlər bazalarına qanunsuz daxil olan haker idi. O, insan faktorunun istənilən mürəkkəblik və təşkilatlanma səviyyəsində sistemin ən həssas nöqtəsi olduğunu müdafiə etdi.
Sosial mühəndislik metodlarından məxfi məlumatlardan istifadə etmək hüquqlarını əldə etmək üçün (çox vaxt qeyri-qanuni) bir yol kimi danışsaq, onların çox uzun müddətdir tanındığını deyə bilərik. Bununla belə, K. Mitnik onların mənasının əhəmiyyətini və tətbiqi xüsusiyyətlərini çatdıra bilmişdir.
Fişinq və mövcud olmayan linklər
Sosial mühəndisliyin istənilən texnikası koqnitiv təhriflərin mövcudluğuna əsaslanır. Davranış səhvləri gələcəkdə mühüm məlumatların əldə edilməsinə yönəlmiş hücum yarada bilən təcrübəli mühəndisin əlində “alət”ə çevrilir. Sosial mühəndislik üsulları arasında fişinq və mövcud olmayan linklər fərqləndirilir.
Fişinq istifadəçi adı və parol kimi şəxsi məlumatları əldə etmək üçün hazırlanmış onlayn fırıldaqdır.
Qeyri-mövcud keçid - alıcını müəyyən şeylərə cəlb edəcək bir keçiddən istifadəüzərinə klikləməklə və müəyyən bir saytı ziyarət etməklə əldə edilə bilən faydalar. Çox vaxt böyük şirkətlərin adlarından istifadə olunur, adlarına incə düzəlişlər edilir. Qurban linkə klikləməklə şəxsi məlumatlarını "könüllü" olaraq təcavüzkara ötürəcək.
Brendlərdən, qüsurlu antiviruslardan və saxta lotereyadan istifadə üsulları
Sosial mühəndislik həmçinin brend fırıldaqlarından, qüsurlu antiviruslardan və saxta lotereyalardan istifadə edir.
"Fırıldaqçılıq və brendlər" - aldatma üsuludur, bu da fişinq bölməsinə aiddir. Buraya böyük və/yaxud "qeyrətli" şirkətin adını ehtiva edən e-poçtlar və vebsaytlar daxildir. Onların səhifələrindən müəyyən müsabiqədə qalibiyyət bildirişi ilə mesajlar göndərilir. Sonra, vacib hesab məlumatlarını daxil etməli və onu oğurlamalısınız. Həmçinin, fırıldaqçılığın bu forması telefonla həyata keçirilə bilər.
Saxta lotereya - qurbana (a) lotereyada qalib gəldiyi mətni ilə mesaj göndərildiyi üsul. Çox vaxt xəbərdarlıq böyük korporasiyaların adları ilə maskalanır.
Saxta antiviruslar proqram fırıldaqlarıdır. Antiviruslara bənzəyən proqramlardan istifadə edir. Bununla belə, reallıqda onlar müəyyən təhlükə haqqında yanlış bildirişlərin yaranmasına gətirib çıxarır. Onlar həmçinin istifadəçiləri əməliyyatlar sahəsinə cəlb etməyə çalışırlar.
Vishing, frikikasiya və bəhanə gətirmək
Başlayanlar üçün sosial mühəndislik haqqında danışarkən, biz vishing, freaking və bəhanə etməyi də qeyd etməliyik.
Vişinq telefon şəbəkələrindən istifadə edən bir aldatma formasıdır. O, əvvəlcədən qeydə alınmış səsli mesajlardan istifadə edir, onların məqsədi bank strukturunun və ya hər hansı digər IVR sisteminin “rəsmi zəngini” yenidən yaratmaqdır. Çox vaxt hər hansı bir məlumatı təsdiqləmək üçün onlardan istifadəçi adı və/və ya parol daxil etmələri xahiş olunur. Başqa sözlə, sistem PİN kodlar və ya parollardan istifadə etməklə istifadəçi tərəfindən autentifikasiya tələb edir.
Freaking telefon dələduzluğunun başqa bir formasıdır. Bu, səs manipulyasiyasından və tonla yığımdan istifadə edən haker sistemidir.
Bəhanəçilik, mahiyyəti başqa bir mövzunu təmsil etmək olan əvvəlcədən düşünülmüş plandan istifadə edilən hücumdur. Diqqətli hazırlıq tələb etdiyi üçün fırıldaq etmək üçün son dərəcə çətin bir yol.
Quid Pro Quo və Yol Apple Metodu
Sosial mühəndislik nəzəriyyəsi həm aldatma və manipulyasiya üsullarını, həm də onlarla mübarizə yollarını özündə birləşdirən çoxşaxəli verilənlər bazasıdır. Təcavüzkarların əsas vəzifəsi, bir qayda olaraq, qiymətli məlumatları əldə etməkdir.
Dələduzluğun digər növləri daxildir: pro quid pro quo, yol alma, çiyin sörfinqi, açıq mənbə və əks sosial media. mühəndislik.
Quid-pro-quo (latınca - "bunun üçün") - şirkət və ya firmadan məlumat çıxarmaq cəhdi. Bu, onunla telefonla əlaqə saxlamaqla və ya e-poçt vasitəsilə mesajlar göndərməklə baş verir. Çox vaxt hücum edənlərözünü işçi kimi göstərmək. işçinin iş yerində müəyyən bir problemin olduğunu bildirən dəstək. Daha sonra onlar bunu düzəltməyin yollarını təklif edirlər, məsələn, proqram təminatı quraşdırmaqla. Proqram təminatının qüsurlu olduğu ortaya çıxdı və cinayəti təbliğ edir.
The Road Apple Troya atı ideyasına əsaslanan hücum üsuludur. Onun mahiyyəti fiziki mühitdən istifadə və məlumatın əvəz edilməsindədir. Məsələn, onlar qurbanın diqqətini cəlb edəcək, faylı açmaq və istifadə etmək arzusuna səbəb olacaq və ya flash sürücünün sənədlərində göstərilən bağlantıları izləyə biləcək müəyyən bir "yaxşı" bir yaddaş kartı təqdim edə bilərlər. "Yol alması" obyekti sosial məkanlara atılır və hansısa subyekt tərəfindən təcavüzkarın planının həyata keçirilməsini gözləyir.
Açıq mənbələrdən məlumat toplamaq və axtarmaq fırıldaqdır, burada məlumatların toplanması psixologiya metodlarına, xırda şeyləri qeyd etmək qabiliyyətinə və mövcud məlumatların, məsələn, sosial şəbəkə səhifələrinin təhlilinə əsaslanır. Bu, sosial mühəndisliyin kifayət qədər yeni üsuludur.
Çiyin sörfinqi və əks sosial. mühəndislik
"Çiyin sörfinqi" anlayışı özünü hərfi mənada bir subyekti canlı izləmək kimi müəyyən edir. Bu tip data balıq ovu ilə təcavüzkar kafe, hava limanı, qatar stansiyası kimi ictimai yerlərə gedir və insanları izləyir.
Bu metodu qiymətləndirməyin, çünki bir çox sorğu və araşdırmalar diqqətli bir insanın çoxlu məxfi məlumat ala biləcəyini göstərir.sadəcə diqqətli olmaqla məlumat.
Sosial mühəndislik (sosioloji bilik səviyyəsi kimi) verilənləri “tutmaq” vasitəsidir. Qurbanın özünün təcavüzkara lazımi məlumatları təqdim edəcəyi məlumat əldə etməyin yolları var. Bununla belə, o, cəmiyyətin xeyrinə də xidmət edə bilər.
Tərs sosial mühəndislik bu elmin başqa bir üsuludur. Bu terminin istifadəsi yuxarıda qeyd etdiyimiz halda məqsədəuyğun olur: qurbanın özü təcavüzkara lazımi məlumatları təqdim edəcəkdir. Bu bəyanat absurd kimi qəbul edilməməlidir. Fakt budur ki, müəyyən fəaliyyət sahələrində səlahiyyətlərə malik olan subyektlər çox vaxt subyektin öz qərarı ilə şəxsiyyət məlumatlarına çıxış əldə edirlər. Burada əsas etibardır.
Yadda saxlamaq vacibdir! Dəstək işçiləri heç vaxt istifadəçidən parol istəməz, məsələn.
Məlumat və qoruma
Sosial mühəndislik təlimi fərdi təşəbbüs əsasında və ya xüsusi təlim proqramlarında istifadə olunan üstünlüklər əsasında fərdi şəkildə həyata keçirilə bilər.
Cinayətkarlar manipulyasiyadan tutmuş tənbəlliyə, inandırıcılığa, istifadəçinin nəzakətliliyinə və s.-ə qədər müxtəlif növ aldatmalardan istifadə edə bilərlər. Qurbanın qeyri-kafiliyi səbəbindən özünüzü bu cür hücumdan qorumaq olduqca çətindir.) aldatdığının fərqindədir. Müxtəlif firma və şirkətlər öz məlumatlarını bu təhlükə səviyyəsində qorumaq üçün çox vaxt ümumi məlumatların qiymətləndirilməsi ilə məşğul olurlar. Növbəti addım zəruri olanları birləşdirməkdirtəhlükəsizlik siyasəti üçün təminatlar.
Nümunələr
Qlobal fişinq poçtları sahəsində sosial mühəndisliyə (onun aktı) nümunə 2003-cü ildə baş vermiş hadisədir. Bu fırıldaq zamanı eBay istifadəçilərinə məktublar göndərilib. Onlar özlərinə məxsus hesabların bloklandığını iddia ediblər. Bloklamanı ləğv etmək üçün hesab məlumatlarını yenidən daxil etmək lazım idi. Lakin məktublar saxta idi. Rəsmi səhifə ilə eyni, lakin saxta bir səhifəyə tərcümə etdilər. Ekspert hesablamalarına görə, itki o qədər də əhəmiyyətli deyildi (bir milyon dollardan az).
Məsuliyyətin tərifi
Sosial mühəndislikdən istifadə bəzi hallarda cəzalandırıla bilər. Bir sıra ölkələrdə, məsələn, ABŞ-da bəhanəçilik (başqa bir şəxs kimi təqdim etməklə aldatma) şəxsi həyatın toxunulmazlığına müdaxilə ilə eyniləşdirilir. Lakin bəhanə zamanı əldə edilən məlumat subyekt və ya təşkilat baxımından məxfi olubsa, bu, qanunla cəzalandırıla bilər. Telefon danışığının qeydə alınması (sosial mühəndislik üsulu kimi) də qanunla tələb olunur və şəxslər üçün 250.000 dollar cərimə və ya on ilə qədər həbs cəzası tələb olunur. şəxslər. Hüquqi şəxslərdən 500.000 ABŞ dolları tələb olunur; son tarix eyni qalır.
