Бул макалада «социалдык инженерия» түшүнүгүнө көңүл бурабыз. Бул жерде терминдин жалпы аныктамасы каралат. Бул концепциянын негиздөөчүсү ким болгондугун да билебиз. Келгиле, чабуулчулар колдонгон социалдык инженериянын негизги ыкмалары жөнүндө өзүнчө сүйлөшөлү.
Кириш
Адамдын жүрүм-турумун оңдоого жана инструменттердин техникалык комплексин колдонбостон анын ишмердүүлүгүн башкарууга мүмкүндүк берүүчү методдор социалдык инженериянын жалпы концепциясын түзөт. Бардык ыкмалар адам фактору ар кандай системанын эң кыйратуучу алсыздыгы деген ырастоого негизделген. Көбүнчө бул түшүнүк мыйзамсыз иш-аракеттин деңгээлинде каралат, бул аркылуу кылмышкер субъект-жабырлануучудан маалымат алууга багытталган иш-аракетти абийирсиз түрдө жүзөгө ашырат. Мисалы, бул кандайдыр бир манипуляция болушу мүмкүн. Бирок, коомдук инженерия да мыйзамдуу иш-аракеттерде адамдар тарабынан колдонулат. Бүгүнкү күнгө чейин, ал көбүнчө купуя же купуя маалыматы бар ресурстарга кирүү үчүн колдонулат.
Негиздөөчү
Социалдык инженериянын негиздөөчүсү - Кевин Митник. Бирок, түшүнүктүн өзү бизге социологиядан келген. Бул прикладдык социалдык тарабынан колдонулган ыкмалардын жалпы жыйындысын билдирет. адамдын жүрүм-турумун аныктай турган жана ага көзөмөл жүргүзө турган уюштуруу структурасын өзгөртүүгө багытталган илимдер. Кевин Митникти бул илимдин негиздөөчүсү деп айтууга болот, анткени ал социалдык илимди жайылткан. 21-кылымдын биринчи он жылдыгында инженердик. Кевин өзү мурда хакер болгон, ал ар кандай маалымат базаларына мыйзамсыз кирген. Ал адам фактору ар кандай деңгээлдеги татаалдыктагы жана уюшкандыктагы системанын эң аялуу жери экенин ырастады.
Эгерде биз купуя маалыматтарды колдонууга укуктарды алуу жолу катары (көбүнчө мыйзамсыз) социалдык инженерия ыкмалары жөнүндө сөз кыла турган болсок, анда алар көптөн бери белгилүү деп айта алабыз. Бирок алардын маанисинин жана колдонулуш өзгөчөлүктөрүнүн маанилүүлүгүн К. Митник бере алган.
Фишинг жана жок шилтемелер
Социалдык инженериянын бардык техникасы когнитивдик бурмалоолордун болушуна негизделген. Жүрүм-турумдагы каталар келечекте маанилүү маалыматтарды алууга багытталган чабуулду түзө турган квалификациялуу инженердин колундагы “куралга” айланат. Социалдык инженерия ыкмаларынын ичинен фишинг жана жок шилтемелер айырмаланат.
Фишинг - бул колдонуучу аты жана сырсөз сыяктуу жеке маалыматты алуу үчүн иштелип чыккан онлайн алдамчылык.
Жок шилтеме - алуучуну белгилүү бир нерселерге азгыра турган шилтемени колдонууаны чыкылдатуу жана белгилүү бир сайтка баруу менен алууга болот артыкчылыктар. Көбүнчө ири компаниялардын аттары колдонулат, алардын атына тымызын оңдоолор киргизилет. Жабырлануучу шилтемени чыкылдатуу менен өзүнүн жеке маалыматтарын чабуулчуга "ыктыярдуу түрдө" өткөрүп берет.
Бренддерди, бузулган антивирустарды жана жасалма лотереяны колдонуу ыкмалары
Социалдык инженерия ошондой эле бренддик шылуундарды, бузулган антивирустарды жана жасалма лотереяларды колдонот.
"Алдамчылык жана бренддер" - алдамчылык ыкмасы, ал дагы фишинг бөлүмүнө кирет. Бул ири жана/же "жүрөктүү" компаниянын атын камтыган электрондук почталарды жана веб-сайттарды камтыйт. Белгилүү бир сынакта жеңишке жеткендиги тууралуу билдирүүлөр алардын баракчаларынан жөнөтүлөт. Андан кийин, сиз маанилүү эсеп маалыматын киргизүү жана аны уурдоо керек. Ошондой эле, алдамчылыктын бул түрү телефон аркылуу да жүргүзүлүшү мүмкүн.
Файк лотерея - жабырлануучуга (а) лотереядан утуп алганы тууралуу билдирүү жөнөтүлгөн ыкма. Көбүнчө эскертүү ири корпорациялардын аттары менен маскаланат.
Файк антивирустар программалык алдамчылык болуп саналат. Ал антивирустарга окшош программаларды колдонот. Бирок, чындыгында, алар белгилүү бир коркунуч жөнүндө жалган билдирүүлөрдүн пайда болушуна алып келет. Алар ошондой эле колдонуучуларды транзакциялар чөйрөсүнө тартууга аракет кылышат.
Кыздоо, шылдыңдоо жана шылтоо
Жаңыдан баштагандар үчүн социалдык инженерия жөнүндө сөз кылып жатып, биз шылдыңдоо, шылдыңдоо жана шылтоо жөнүндө да сөз кылышыбыз керек.
Вишинг телефон тармактарын колдонгон алдамчылыктын бир түрү. Ал алдын ала жазылган үн билдирүүлөрүн колдонот, алардын максаты банк түзүмүнүн же башка IVR системасынын “расмий чалуусун” кайра жаратуу болуп саналат. Көбүнчө алардан кандайдыр бир маалыматты тастыктоо үчүн колдонуучу атын жана/же сырсөздү киргизүү суралат. Башкача айтканда, система PIN коддорду же сырсөздөрдү колдонуу менен колдонуучу тарабынан аутентификацияны талап кылат.
Фрекинг - бул телефон алдамчылыгынын дагы бир түрү. Бул үн менен манипуляцияны жана тон терүүнү колдонгон хакердик система.
Шылтоо – бул алдын ала ойлонулган планды колдонуу менен кол салуу, анын маңызы башка предметти көрсөтүү. Алдоонун өтө татаал жолу, анткени ал кылдат даярдыкты талап кылат.
Quid Pro Quo жана Road Apple ыкмасы
Социалдык инженерия теориясы алдамчылык жана манипуляция ыкмаларын, ошондой эле алар менен күрөшүүнүн жолдорун камтыган көп кырдуу маалымат базасы. Кирүүчүлөрдүн негизги милдети, эреже катары, баалуу маалыматты таап алуу болуп саналат.
Алдамчылыктын башка түрлөрүнө төмөнкүлөр кирет: quid pro quo, жол алмасы, плечо серфинг, ачык булак жана тескери социалдык медиа. инженерия.
Quid-pro-quo (латын тилинен - "бул үчүн") - компаниядан же фирмадан маалымат алуу аракети. Бул аны менен телефон аркылуу байланышуу же электрондук почта аркылуу билдирүүлөрдү жөнөтүү аркылуу болот. Көбүнчө чабуулчуларкызматкер болуп көрүнүү. кызматкердин жумуш ордунда белгилүү бир көйгөй бар экендигин кабарлаган колдоо. Андан кийин алар аны оңдоонун жолдорун сунушташат, мисалы, программалык камсыздоону орнотуу. Программалык камсыздоо бузулуп, кылмышка көмөктөшөт.
The Road Apple – бул троян атынын идеясына негизделген чабуул ыкмасы. Анын маңызы физикалык чөйрөнү колдонууда жана маалыматты алмаштырууда жатат. Мисалы, алар жабырлануучунун көңүлүн буруп, файлды ачуу жана колдонуу каалоосун пайда кылган же флеш-дисктин документтеринде көрсөтүлгөн шилтемелерди аткара турган белгилүү бир "жакшы" менен эстутум картасын бере алат. "Жол алмасы" объектиси социалдык жайларга түшүрүлүп, бузуучунун планы кандайдыр бир субъект тарабынан аткарылмайынча күтүлөт.
Ачык булактардан маалымат чогултуу жана издөө бул алдамчылык, мында маалыматтарды алуу психологиянын ыкмаларына, майда нерселерди байкай билүү жана жеткиликтүү маалыматтарды талдоо, мисалы, социалдык тармактагы баракчалар. Бул социалдык инженериянын жаңы ыкмасы.
Ийнинде серфинг жана тескери социалдык. инженерия
"Ийнинде серфинг" түшүнүгү өзүн түз мааниде субъектти түз эфирде көрүү катары аныктайт. Маалыматты кармоонун бул түрү менен чабуулчу кафе, аэропорт, вокзал сыяктуу коомдук жайларга барып, адамдарды ээрчийт.
Бул ыкманы баалабаңыз, анткени көптөгөн сурамжылоолор жана изилдөөлөр көрсөткөндөй, кунт коюп караган адам көп сырды ала алат.маалымат жөн гана кыраакы болуу менен.
Социалдык инженерия (социологиялык билимдин деңгээли катары) маалыматтарды «каптоо» каражаты болуп саналат. Маалыматтарды алуунун жолдору бар, анда жабырлануучу өзү чабуулчуга керектүү маалыматты сунуштайт. Бирок ал коомдун жыргалчылыгына да кызмат кыла алат.
Тескери социалдык инженерия бул илимдин дагы бир ыкмасы. Бул терминди колдонуу биз жогоруда айтылган учурда ылайыктуу болуп калат: жабырлануучу өзү чабуулчуга керектүү маалыматты сунуштайт. Бул сөздү абсурд катары кабыл албаш керек. Иштин айрым чөйрөлөрүндө ыйгарым укуктарга ээ субъекттер субъекттин өз чечими боюнча идентификациялык маалыматтарга жетүү мүмкүнчүлүгүнө ээ болушат. Бул жерде негиз - ишеним.
Эстеп алуу маанилүү! Колдоо кызматкерлери колдонуучудан сырсөз сурашпайт, мисалы.
Маалымат жана коргоо
Социалдык инженерия боюнча тренинг жеке демилгенин негизинде же атайын окуу программаларында колдонулган артыкчылыктардын негизинде жеке адам тарабынан жүргүзүлүшү мүмкүн.
Кылмышкерлер манипуляциядан баштап жалкоолукка, ишенчээктикке, колдонуучунун сылык мамилесине ж.б. чейин алдамчылыктын ар кандай түрлөрүн колдонушу мүмкүн. Жабырлануучунун жетишсиздигинен улам, кол салуунун мындай түрүнөн өзүңүздү коргоо өтө кыйын. ал) алдаганын билип. Бул коркунуч деңгээлинде өз маалыматтарын коргоо үчүн ар кандай фирмалар жана компаниялар көбүнчө жалпы маалыматты баалоо менен алектенишет. Кийинки кадам зарыл интеграциялоо болуп саналаткоопсуздук саясатына кепилдиктер.
Мисалдар
Глобалдык фишингдик почталар тармагындагы социалдык инженериянын мисалы (анын актысы) 2003-жылы болгон окуя. Бул алдамчылык учурунда eBay колдонуучуларына электрондук каттар жөнөтүлгөн. Алар өздөрүнө тиешелүү эсептер жабылганын айтышкан. Бөгөттөөнү жокко чыгаруу үчүн эсептин маалыматтарын кайра киргизүү керек болчу. Бирок, каттар жасалма болгон. Алар расмий баракчага окшош, бирок фейк деп которулган. Эксперттердин эсеби боюнча, жоготуу анча деле олуттуу эмес (бир миллион доллардан аз).
Жоопкерчиликтин аныктамасы
Социалдык инженерияны колдонуу кээ бир учурларда жазаланышы мүмкүн. Бир катар өлкөлөрдө, мисалы, АКШда шылтоо (башка адамдын кейпин кийүү менен алдоо) жеке жашоого кол салууга теңештирилет. Бирок, эгерде шылтоо учурунда алынган маалымат субъекттин же уюмдун көз карашы боюнча жашыруун болсо, бул мыйзам тарабынан жазаланышы мүмкүн. Телефондук сүйлөшүүнү жаздыруу (социалдык инженерия ыкмасы катары) да мыйзам тарабынан талап кылынат жана жеке адамдар үчүн 250 000 доллар айып пул же он жылга чейин эркинен ажыратуу талап кылынат. адамдар. Юридикалык жактар 500 000 доллар төлөшү керек; акыркы мөөнөт мурдагыдай эле.
