Selles artiklis pöörame tähelepanu mõistele "sotsia altehnoloogia". Siin käsitletakse termini üldist määratlust. Samuti saame teada, kes oli selle kontseptsiooni rajaja. Räägime eraldi peamistest sotsiaalse manipuleerimise meetoditest, mida ründajad kasutavad.
Sissejuhatus
Meetodid, mis võimaldavad korrigeerida inimese käitumist ja juhtida tema tegevust ilma tehnilisi vahendeid kasutamata, moodustavad sotsiaalse inseneri üldkontseptsiooni. Kõik meetodid põhinevad väitel, et inimfaktor on iga süsteemi kõige hävitavam nõrkus. Sageli käsitletakse seda mõistet ebaseadusliku tegevuse tasandil, mille kaudu kurjategija sooritab toimingu, mille eesmärk on saada subjektilt-ohvrilt teavet ebaausal viisil. Näiteks võib see olla mingi manipulatsioon. Kuid sotsiaalset manipuleerimist kasutavad inimesed ka seaduslikes tegevustes. Seni on seda kõige sagedamini kasutatud tundliku või tundliku teabega ressurssidele juurdepääsuks.
Asutaja
Sotsia altehnoloogia asutaja on Kevin Mitnick. Mõiste ise tuli aga meieni sotsioloogiast. See tähistab üldist lähenemisviiside kogumit, mida rakendatakse sotsiaalvaldkonnas. teadused keskendusid organisatsiooni struktuuri muutmisele, mis võib määrata inimese käitumist ja teostada kontrolli selle üle. Kevin Mitnickit võib pidada selle teaduse rajajaks, kuna just tema populariseeris sotsiaalvaldkonda. inseneritöö 21. sajandi esimesel kümnendil. Kevin ise oli varem häkker, kes sisenes ebaseaduslikult väga erinevatesse andmebaasidesse. Ta väitis, et inimfaktor on mis tahes keerukuse ja organiseerituse tasemega süsteemi kõige haavatavam punkt.
Kui me räägime sotsiaalse manipuleerimise meetoditest kui viisist saada õigused (sageli ebaseaduslikud) kasutada konfidentsiaalseid andmeid, siis võib öelda, et need on tuntud juba väga pikka aega. Siiski oli K. Mitnick see, kes suutis edasi anda nende tähenduse tähtsust ja rakenduse iseärasusi.
Andmepüük ja olematud lingid
Iga sotsiaalse manipuleerimise tehnika põhineb kognitiivsete moonutuste olemasolul. Käitumisvigadest saab "tööriist" vilunud inseneri käes, kes saab tulevikus luua rünnaku, mille eesmärk on saada olulisi andmeid. Sotsiaalse manipuleerimise meetodite hulgas eristatakse andmepüüki ja olematuid linke.
Andmepüük on veebipõhine pettus, mille eesmärk on saada isiklikku teavet, nagu kasutajanimi ja parool.
Olematu link – lingi kasutamine, mis meelitab adressaati teatudeeliseid, mida saate sellel klõpsates ja konkreetset saiti külastades. Kõige sagedamini kasutatakse suurettevõtete nimesid, tehes nende nimes peeneid kohandusi. Lingile klõpsates edastab ohver "vabatahtlikult" oma isikuandmed ründajale.
Meetodid, mis kasutavad kaubamärke, defektseid viirusetõrjeid ja võltsloterii
Sotsia altehnoloogia kasutab ka kaubamärgipettusi, defektseid viirusetõrjeid ja võltsloteriisid.
"Pettused ja kaubamärgid" – petmismeetod, mis kuulub samuti andmepüügi rubriiki. See hõlmab e-kirju ja veebisaite, mis sisaldavad suure ja/või "käiva" ettevõtte nime. Nende lehtedelt saadetakse teateid teatud võistluse võidu kohta. Järgmiseks peate sisestama olulise kontoteabe ja varastama selle. Seda pettuse vormi saab läbi viia ka telefoni teel.
Võltsloterii – meetod, mille käigus saadetakse ohvrile teade tekstiga, et ta (a) võitis (a) loterii. Enamasti varjatakse hoiatus suurkorporatsioonide nimedega.
Võltsviirusetõrjed on tarkvarapettused. See kasutab programme, mis näevad välja nagu viirusetõrjed. Kuid tegelikkuses toovad need kaasa valeteate genereerimise konkreetse ohu kohta. Samuti püüavad nad meelitada kasutajaid tehingute valdkonda.
Nägimine, räuskamine ja ettekäände esitamine
Algajatele mõeldud sotsiaalsest manipuleerimisest rääkides peaksime mainima ka viskamist, räuskamist ja ettekäände esitamist.
Vishing on pettuse vorm, mis kasutab telefonivõrke. See kasutab eelsalvestatud häälsõnumeid, mille eesmärk on uuesti luua pangastruktuuri või mõne muu IVR-süsteemi "ametlik kõne". Enamasti palutakse neil mis tahes teabe kinnitamiseks sisestada kasutajanimi ja/või parool. Teisisõnu nõuab süsteem kasutajapoolset autentimist PIN-koodide või paroolide abil.
Phreaking on telefonikelmuse teine vorm. See on häkkimissüsteem, mis kasutab heliga manipuleerimist ja toonvalimist.
Ettekääne on rünnak, mis kasutab ettekavatsetud plaani, mille põhiolemus on teise subjekti esindamine. Äärmiselt keeruline viis petmiseks, kuna see nõuab hoolikat ettevalmistust.
Quid Pro Quo ja Road Apple'i meetod
Sotsiaalse inseneri teooria on mitmetahuline andmebaas, mis sisaldab nii pettuse kui ka manipuleerimise meetodeid ning võimalusi nendega toimetulemiseks. Sissetungijate põhiülesanne on reeglina väärtusliku teabe välja õngitsemine.
Muud petuskeemid on järgmised: quid pro quo, road Apple, õlasurfamine, avatud lähtekoodiga ja vastupidine sotsiaalmeedia. tehnika.
Quid-pro-quo (ladina keelest - "selle jaoks") - katse hankida teavet ettevõttest või ettevõttest. See juhtub temaga telefoni teel ühendust võttes või e-posti teel sõnumeid saates. Enamasti ründajadteesklema, et olete töötajad. tugi, mis teatab konkreetse probleemi olemasolust töötaja töökohal. Seejärel soovitavad nad selle parandamise viise, näiteks installides tarkvara. Tarkvara osutub defektseks ja soodustab kuritegu.
The Road Apple on ründemeetod, mis põhineb Trooja hobuse ideel. Selle olemus seisneb füüsilise meediumi kasutamises ja teabe asendamises. Näiteks võivad nad anda mälukaardile teatud "hüve", mis tõmbab ohvri tähelepanu, põhjustab soovi faili avada ja kasutada või järgida mälupulga dokumentides näidatud linke. "Teeõuna" objekt visatakse sotsiaalsetesse kohtadesse ja oodatakse, kuni mõni subjekt on sissetungija plaani ellu viinud.
Avatud allikatest teabe kogumine ja otsimine on pettus, mille puhul andmete hankimine põhineb psühholoogia meetoditel, oskusel märgata pisiasju ja olemasolevate andmete, näiteks sotsiaalvõrgustiku lehtede analüüsil. See on üsna uus sotsiaalse manipuleerimise viis.
Õlas surfamine ja vastupidine suhtlus. tehnika
Mõte "õlasurfamine" määratleb end kui subjekti otseülekande vaatamist selle otseses tähenduses. Seda tüüpi andmepüügiga läheb ründaja avalikesse kohtadesse, näiteks kohvikusse, lennujaama, rongijaama ja jälgib inimesi.
Ärge alahinnake seda meetodit, sest paljud küsitlused ja uuringud näitavad, et tähelepanelik inimene võib saada palju konfidentsiaalset teavetteavet lihts alt tähelepanelikult.
Sotsia altehnoloogia (kui sotsioloogiliste teadmiste tase) on vahend andmete „püüdmiseks”. Andmete hankimiseks on viise, mille kaudu ohver ise pakub ründajale vajalikku teavet. Siiski võib see teenida ka ühiskonna heaolu.
Reverse social tehnika on selle teaduse teine meetod. Selle termini kasutamine muutub asjakohaseks juhul, mida me eespool mainisime: ohver ise pakub ründajale vajalikku teavet. Seda väidet ei tohiks võtta absurdsena. Fakt on see, et subjektid, kellel on teatud tegevusvaldkondades volitused, saavad sageli juurdepääsu isikuandmetele subjekti enda otsusel. Selle aluseks on usaldus.
Oluline meeles pidada! Tugipersonal ei küsi kunagi kasutaj alt näiteks parooli.
Teave ja kaitse
Sotsia altehnoloogia koolitust saab läbi viia üksikisik kas isikliku initsiatiivi alusel või soodustuste alusel, mida kasutatakse spetsiaalsetes koolitusprogrammides.
Kurjategijad võivad kasutada mitmesuguseid pettuse tüüpe, alates manipuleerimisest kuni laiskuse, kergeusklikkuse, kasutaja viisakuse jneni. Seda tüüpi rünnakute eest on äärmiselt raske end kaitsta, kuna ohver ei ole teadlik teadmine, et ta) pettis. Erinevad ettevõtted ja ettevõtted tegelevad oma andmete kaitsmiseks sellisel ohutasemel sageli üldise teabe hindamisega. Järgmine samm on vajaliku integreerimineturvameetmed.
Näited
Sotsiaalse manipuleerimise (selle teo) näide ülemaailmsete andmepüügipostituste valdkonnas on sündmus, mis leidis aset 2003. aastal. Selle kelmuse käigus saadeti eBay kasutajatele e-kirju. Nad väitsid, et neile kuuluvad kontod on blokeeritud. Blokeerimise tühistamiseks oli vaja konto andmed uuesti sisestada. Kirjad olid aga võltsitud. Need tõlgiti ametliku lehele identseks, kuid võltsitud lehele. Eksperthinnangute kohaselt ei olnud kahju kuigi märkimisväärne (alla miljoni dollari).
vastutuse määratlus
Sotsiaalse manipuleerimise kasutamine võib mõnel juhul olla karistatav. Paljudes riikides, näiteks Ameerika Ühendriikides, võrdsustatakse ettekääne (teise isikuna esinemise teel petmine) eraelu puutumatuse rikkumisega. See võib aga olla seadusega karistatav, kui ettekäändel saadud teave oli subjekti või organisatsiooni seisukoh alt konfidentsiaalne. Telefonivestluse salvestamine (kui sotsiaalse manipuleerimise meetod) on samuti seadusega ette nähtud ja nõuab üksikisikutelt 250 000 dollari suurust rahatrahvi või kuni kümneaastast vangistust. isikud. Juriidilised isikud peavad maksma 500 000 dollarit; tähtaeg jääb samaks.