במאמר זה נשים לב למושג "הנדסה חברתית". הגדרה כללית של המונח תיחשב כאן. נלמד גם מי היה המייסד של המושג הזה. בואו נדבר בנפרד על השיטות העיקריות של הנדסה חברתית המשמשת תוקפים.
מבוא
שיטות המאפשרות לתקן התנהגות של אדם ולנהל את פעילותו ללא שימוש במערך כלים טכני יוצרות את התפיסה הכללית של הנדסה חברתית. כל השיטות מבוססות על הקביעה שהגורם האנושי הוא החולשה ההרסנית ביותר של כל מערכת. לעתים קרובות מושג זה נחשב ברמת פעילות בלתי חוקית, שבאמצעותה העבריין מבצע פעולה שמטרתה לקבל מידע מהנפגע-נפגע בצורה לא ישרה. לדוגמה, זה יכול להיות סוג של מניפולציה. עם זאת, הנדסה חברתית משמשת גם בני אדם בפעילויות לגיטימיות. עד כה, הוא משמש לרוב כדי לגשת למשאבים עם מידע רגיש או רגיש.
מייסד
מייסד ההנדסה החברתית הוא קווין מיטניק. עם זאת, המושג עצמו הגיע אלינו מהסוציולוגיה. זה מציין קבוצה כללית של גישות המשמשות חברתיות יישומיות. מדעים התמקדו בשינוי המבנה הארגוני שיכול לקבוע התנהגות אנושית ולהפעיל עליה שליטה. קווין מיטניק יכול להיחשב למייסד המדע הזה, שכן הוא זה שהפך את החברתי לפופולרי. הנדסה בעשור הראשון של המאה ה-21. קווין עצמו היה בעבר האקר שנכנס באופן בלתי חוקי למגוון רחב של מאגרי מידע. הוא טען שהגורם האנושי הוא הנקודה הפגיעה ביותר במערכת בכל רמה של מורכבות וארגון.
אם אנחנו מדברים על שיטות הנדסה חברתית כדרך להשיג זכויות (לעיתים קרובות לא חוקיות) לשימוש בנתונים חסויים, אפשר לומר שהן ידועות כבר הרבה מאוד זמן. עם זאת, היה זה ק' מיטניק שהצליח להעביר את חשיבות משמעותם ומיוחדות היישום שלהם.
דיוג וקישורים לא קיימים
כל טכניקה של הנדסה חברתית מבוססת על נוכחות של עיוותים קוגניטיביים. טעויות התנהגות הופכות ל"כלי" בידיו של מהנדס מיומן, שבעתיד יוכל ליצור התקפה שמטרתה להשיג נתונים חשובים. בין שיטות הנדסה חברתית, מבחינים דיוג וקישורים שאינם קיימים.
דיוג היא הונאה מקוונת שנועדה להשיג מידע אישי כגון שם משתמש וסיסמה.
קישור לא קיים - שימוש בקישור שיפתה את הנמען בוודאותהטבות שניתן להשיג בלחיצה עליו וביקור באתר ספציפי. לרוב, נעשה שימוש בשמות של חברות גדולות, תוך ביצוע התאמות עדינות בשמם. הקורבן, בלחיצה על הקישור, יעביר "מרצון" את הנתונים האישיים שלו לתוקף.
שיטות באמצעות מותגים, אנטי-וירוסים פגומים והגרלה מזויפת
הנדסה חברתית משתמשת גם בהונאות של שם מותג, אנטי וירוסים פגומים והגרלות מזויפות.
"הונאה ומותגים" - שיטת הונאה, השייכת גם היא למדור התחזות. זה כולל מיילים ואתרים המכילים שם של חברה גדולה ו/או "היפטית". הודעות נשלחות מהעמודים שלהם עם הודעה על ניצחון בתחרות מסוימת. לאחר מכן, עליך להזין פרטי חשבון חשובים ולגנוב אותם. כמו כן, צורה זו של הונאה יכולה להתבצע בטלפון.
הגרלה מזויפת - שיטה שבה נשלחת הודעה לנפגע עם הטקסט שהוא (א) זכה (א) בהגרלה. לרוב, ההתראה מוסווה באמצעות שמות של תאגידים גדולים.
אנטי-וירוס מזויפים הם הונאות תוכנה. הוא משתמש בתוכנות שנראות כמו אנטי וירוסים. עם זאת, במציאות, הם מובילים ליצירת הודעות שווא על איום מסוים. הם גם מנסים לפתות משתמשים לתחום העסקאות.
צפצוף, חרטות ותירוץ
בזמן שאנחנו מדברים על הנדסה חברתית למתחילים, עלינו להזכיר גם וישינג, phreaking ותירוץ.
Vising היא סוג של הונאה המשתמשת ברשתות טלפון. הוא משתמש בהודעות קוליות מוקלטות מראש, שמטרתן ליצור מחדש את "השיחה הרשמית" של המבנה הבנקאי או כל מערכת IVR אחרת. לרוב, הם מתבקשים להזין שם משתמש ו/או סיסמה על מנת לאשר כל מידע. במילים אחרות, המערכת דורשת אימות על ידי המשתמש באמצעות קודי PIN או סיסמאות.
Phreaking היא צורה נוספת של הונאה בטלפון. זוהי מערכת פריצה המשתמשת במניפולציה של סאונד וחיוג צליל.
תירוץ הוא התקפה באמצעות תוכנית מתוכננת מראש, שמהותה היא לייצג נושא אחר. דרך קשה ביותר לרמות, מכיוון שהיא דורשת הכנה קפדנית.
Quid Pro Quo and the Road Apple Method
תאוריית ההנדסה החברתית היא מסד נתונים רב-גוני הכולל גם שיטות של הונאה ומניפולציה, וגם דרכים להתמודד איתן. המשימה העיקרית של פולשים, ככלל, היא לדוג מידע בעל ערך.
סוגים אחרים של הונאות כוללים: quid pro quo, road apple, גלישת כתף, קוד פתוח ומדיה חברתית הפוכה. הנדסה.
Quid-pro-quo (מלטינית - "בשביל זה") - ניסיון לחלץ מידע מחברה או חברה. זה קורה באמצעות פנייה טלפונית או באמצעות שליחת הודעות במייל. לרוב, תוקפיםלהעמיד פנים שהם עובדים. תמיכה, המדווחת על נוכחות של בעיה ספציפית במקום העבודה של העובד. לאחר מכן הם מציעים דרכים לתקן את זה, למשל על ידי התקנת תוכנה. התוכנה מתגלה כפגומה ומקדמת את הפשע.
The Road Apple היא שיטת התקפה שמבוססת על הרעיון של סוס טרויאני. המהות שלו טמונה בשימוש במדיום פיזי ובהחלפת מידע. לדוגמה, הם יכולים לספק כרטיס זיכרון עם "טוב" מסוים שימשוך את תשומת הלב של הקורבן, יגרום לרצון לפתוח ולהשתמש בקובץ או לעקוב אחר הקישורים המצוינים במסמכים של כונן ההבזק. חפץ "תפוח הדרך" מוטל במקומות חברתיים וממתין עד שתוכנית הפולש תיושם על ידי נושא כלשהו.
איסוף וחיפוש מידע ממקורות פתוחים היא הונאה שבה רכישת נתונים מבוססת על שיטות הפסיכולוגיה, היכולת להבחין בדברים קטנים וניתוח נתונים זמינים, למשל, דפים מרשת חברתית. זוהי דרך חדשה למדי של הנדסה חברתית.
גלישת כתפיים וחברתית הפוכה. הנדסה
המושג "גלישת כתפיים" מגדיר את עצמו כצפייה בנושא בשידור חי במובן המילולי. עם סוג זה של דיג נתונים, התוקף הולך למקומות ציבוריים, כגון בית קפה, שדה תעופה, תחנת רכבת ועוקב אחר אנשים.
אל תזלזלו בשיטה זו, שכן סקרים ומחקרים רבים מראים שאדם קשוב יכול לקבל הרבה מידע סודימידע פשוט על ידי התבוננות.
הנדסה חברתית (כרמת ידע סוציולוגי) היא אמצעי "ללכוד" נתונים. ישנן דרכים להשיג נתונים בהם הקורבן בעצמה תציע לתוקף את המידע הדרוש. עם זאת, זה יכול גם לשרת את טובת החברה.
חברתית הפוכה הנדסה היא שיטה נוספת של המדע הזה. השימוש במונח זה הופך למתאים במקרה שהזכרנו לעיל: הקורבן עצמו יציע לתוקף את המידע הדרוש. אין לראות בהצהרה זו אבסורדית. העובדה היא שנבדקים שניחנו בסמכות בתחומי פעילות מסוימים מקבלים לרוב גישה לנתוני זיהוי לפי החלטת הנבדק עצמו. הבסיס כאן הוא אמון.
חשוב לזכור! צוות התמיכה לעולם לא יבקש מהמשתמש סיסמה, למשל.
מידע והגנה
הכשרה להנדסה חברתית יכולה להיעשות על ידי האדם על בסיס יוזמה אישית או על בסיס הטבות המשמשות בתוכניות הכשרה מיוחדות.
פושעים יכולים להשתמש במגוון רחב של סוגי הונאה, החל ממניפולציה ועד עצלות, פתיחות, אדיבות המשתמש וכו'. קשה מאוד להגן על עצמך מפני תקיפה מסוג זה, בשל היעדר הקורבן מודעות לכך שהוא) בגד. חברות וחברות שונות כדי להגן על הנתונים שלהם ברמת סכנה זו עוסקות לעתים קרובות בהערכת מידע כללי. השלב הבא הוא שילוב הדרושאמצעי הגנה למדיניות האבטחה.
דוגמאות
דוגמה להנדסה חברתית (מעשה שלה) בתחום דיוור דיוג גלובלי הוא אירוע שהתרחש ב-2003. מיילים נשלחו למשתמשי eBay במהלך הונאה זו. הם טענו כי החשבונות השייכים להם נחסמו. כדי לבטל את החסימה, היה צורך להזין מחדש את נתוני החשבון. עם זאת, המכתבים היו מזויפים. הם תרגמו לעמוד זהה לזה הרשמי, אבל מזויף. לפי הערכות מומחים, ההפסד לא היה משמעותי מדי (פחות ממיליון דולר).
הגדרת אחריות
השימוש בהנדסה חברתית עשוי להיות עונשי במקרים מסוימים. במספר מדינות, כמו ארצות הברית, תירוצים (הטעיה על ידי התחזות לאדם אחר) משווים לפגיעה בפרטיות. עם זאת, הדבר עשוי להיות עונשי על פי חוק אם המידע שהושג במהלך העילה היה חסוי מנקודת המבט של הנבדק או הארגון. הקלטת שיחת טלפון (כשיטת הנדסה חברתית) מחויבת אף היא על פי חוק ומחייבת קנס בסך 250,000$ או מאסר של עד עשר שנים ליחידים. אנשים. ישויות משפטיות נדרשות לשלם 500,000 דולר; המועד האחרון נשאר זהה.