Ushbu maqolada biz "ijtimoiy muhandislik" tushunchasiga e'tibor qaratamiz. Bu erda atamaning umumiy ta'rifi ko'rib chiqiladi. Ushbu kontseptsiyaning asoschisi kim bo'lganligi haqida ham bilib olamiz. Keling, tajovuzkorlar tomonidan qo'llaniladigan ijtimoiy muhandislikning asosiy usullari haqida alohida gaplashamiz.
Kirish
Insonning xulq-atvorini tuzatish va uning faoliyatini texnik vositalar majmuasidan foydalanmasdan boshqarish imkonini beruvchi usullar ijtimoiy muhandislikning umumiy tushunchasini tashkil qiladi. Barcha usullar inson omili har qanday tizimning eng halokatli zaifligi ekanligi haqidagi ta'kidga asoslanadi. Ko'pincha bu kontseptsiya noqonuniy faoliyat darajasida ko'rib chiqiladi, bu orqali jinoyatchi insofsiz yo'l bilan sub'ektdan jabrlanuvchidan ma'lumot olishga qaratilgan harakatni amalga oshiradi. Misol uchun, bu qandaydir manipulyatsiya bo'lishi mumkin. Biroq, ijtimoiy muhandislik odamlar tomonidan qonuniy faoliyatda ham qo'llaniladi. Bugungi kunga qadar u ko'pincha nozik yoki nozik ma'lumotlarga ega resurslarga kirish uchun ishlatiladi.
Asoschi
Ijtimoiy muhandislik asoschisi - Kevin Mitnik. Biroq, tushunchaning o'zi bizga sotsiologiyadan kelgan. U amaliy ijtimoiy qo'llaniladigan yondashuvlarning umumiy to'plamini bildiradi. fanlar inson xulq-atvorini belgilaydigan va uni nazorat qilishni amalga oshiradigan tashkiliy tuzilmani o'zgartirishga qaratilgan. Kevin Mitnikni ushbu fanning asoschisi deb hisoblash mumkin, chunki u ijtimoiy sohani ommalashtirgan. 21-asrning birinchi o'n yilligida muhandislik. Kevinning o'zi ilgari turli xil ma'lumotlar bazalariga noqonuniy ravishda kirgan xaker edi. Uning ta'kidlashicha, inson omili har qanday murakkablik va tashkiliy darajadagi tizimning eng zaif nuqtasidir.
Agar biz ijtimoiy muhandislik usullari haqida maxfiy ma'lumotlardan foydalanish huquqlarini (ko'pincha noqonuniy) olish usuli haqida gapiradigan bo'lsak, ular juda uzoq vaqtdan beri ma'lum bo'lgan deb aytishimiz mumkin. Biroq, aynan K. Mitnik ularning ma'nosi va qo'llanilishining o'ziga xos xususiyatlarining ahamiyatini etkaza oldi.
Fishing va mavjud boʻlmagan havolalar
Ijtimoiy muhandislikning har qanday texnikasi kognitiv buzilishlar mavjudligiga asoslanadi. Xulq-atvor xatolari kelajakda muhim ma'lumotlarni olishga qaratilgan hujumni yaratishi mumkin bo'lgan malakali muhandis qo'lida "vosita"ga aylanadi. Ijtimoiy muhandislik usullari orasida fishing va mavjud bo'lmagan havolalar ajralib turadi.
Fishing - bu foydalanuvchi nomi va parol kabi shaxsiy ma'lumotlarni olish uchun mo'ljallangan onlayn firibgarlik.
Mavjud boʻlmagan havola – oluvchini maʼlum narsalarga jalb qiladigan havoladan foydalanishustiga bosish va ma'lum bir saytga tashrif buyurish orqali olish mumkin bo'lgan imtiyozlar. Ko'pincha yirik kompaniyalarning nomlaridan foydalaniladi, ularning nomiga nozik tuzatishlar kiritiladi. Jabrlanuvchi havolani bosish orqali shaxsiy ma'lumotlarini tajovuzkorga "ixtiyoriy ravishda" o'tkazadi.
Brendlar, nuqsonli antiviruslar va soxta lotereyadan foydalanish usullari
Ijtimoiy muhandislik shuningdek, brend nomidagi firibgarliklardan, nuqsonli antiviruslardan va soxta lotereyalardan foydalanadi.
"Firibgarlik va brendlar" - aldash usuli bo'lib, u ham fishing bo'limiga tegishli. Bunga yirik va/yoki "xushbo'y" kompaniya nomini o'z ichiga olgan elektron pochta va veb-saytlar kiradi. Xabarlar ularning sahifalaridan ma'lum bir tanlovda g'olib bo'lganligi haqidagi xabar bilan yuboriladi. Keyinchalik, muhim hisob ma'lumotlarini kiritishingiz va uni o'g'irlashingiz kerak. Shuningdek, firibgarlikning ushbu shakli telefon orqali amalga oshirilishi mumkin.
Soxta lotereya - jabrlanuvchiga u (a) (a) lotereyada yutganligi haqidagi xabar yuboriladigan usul. Ko'pincha ogohlantirish yirik korporatsiyalar nomi bilan maskalanadi.
Soxta antiviruslar dasturiy ta'minotning firibgarlaridir. Antiviruslarga o'xshash dasturlardan foydalanadi. Biroq, aslida ular ma'lum bir tahdid haqida noto'g'ri xabarnomalarning paydo bo'lishiga olib keladi. Shuningdek, ular foydalanuvchilarni tranzaktsiyalar sohasiga jalb qilishga harakat qilishadi.
Vishing, janjal va bahona
Yangi boshlanuvchilar uchun ijtimoiy injeneriya haqida gapirar ekanmiz, biz vishing, freaking va badnom qilishni ham eslatib o'tishimiz kerak.
Vishing telefon tarmoqlaridan foydalanadigan aldashning bir turi. U oldindan yozib olingan ovozli xabarlardan foydalanadi, ularning maqsadi bank tuzilmasi yoki boshqa istalgan IVR tizimining “rasmiy qo‘ng‘irog‘ini” qayta yaratishdir. Ko'pincha, har qanday ma'lumotni tasdiqlash uchun ulardan foydalanuvchi nomi va / yoki parolni kiritish so'raladi. Boshqacha qilib aytganda, tizim foydalanuvchi tomonidan PIN kodlar yoki parollar yordamida autentifikatsiyani talab qiladi.
Freaking telefon firibgarligining yana bir koʻrinishidir. Bu ovoz bilan manipulyatsiya va ohangli terishdan foydalanadigan xakerlik tizimi.
Bahona qilish - bu oldindan o'ylangan rejadan foydalangan holda hujum bo'lib, uning mohiyati boshqa mavzuni ifodalashdan iborat. Aldashning nihoyatda qiyin usuli, chunki bu puxta tayyorgarlikni talab qiladi.
Quid Pro Quo va Road Apple usuli
Ijtimoiy muhandislik nazariyasi ko'p qirrali ma'lumotlar bazasi bo'lib, u aldash va manipulyatsiya usullarini, shuningdek, ular bilan kurashish usullarini o'z ichiga oladi. Buzg'unchilarning asosiy vazifasi, qoida tariqasida, qimmatli ma'lumotlarni olishdir.
Boshqa firibgarlik turlariga quyidagilar kiradi: quid pro quo, yoʻl olma, yelkada sörfing, ochiq manba va teskari ijtimoiy media. muhandislik.
Quid-pro-quo (lotin tilidan - "buning uchun") - kompaniya yoki firmadan ma'lumot olishga urinish. Bu u bilan telefon orqali bog'lanish yoki elektron pochta orqali xabarlar yuborish orqali sodir bo'ladi. Ko'pincha hujumchilaro'zini xodim sifatida ko'rsatish. qo'llab-quvvatlash, bu xodimning ish joyida muayyan muammo mavjudligi haqida xabar beradi. Keyin ular, masalan, dasturiy ta'minotni o'rnatish orqali uni tuzatish yo'llarini taklif qilishadi. Dasturiy ta'minot nuqsonli bo'lib chiqdi va jinoyatni rag'batlantiradi.
Road Apple - bu troyan oti g'oyasiga asoslangan hujum usuli. Uning mohiyati jismoniy vositadan foydalanish va axborotni almashtirishdadir. Masalan, ular xotira kartasini jabrlanuvchining e'tiborini tortadigan, faylni ochish va ishlatish istagini keltirib chiqaradigan yoki flesh-disk hujjatlarida ko'rsatilgan havolalarga rioya qiladigan ma'lum bir "yaxshi" bilan ta'minlashi mumkin. "Yo'l olma" ob'ekti ijtimoiy joylarga tashlab yuboriladi va buzg'unchining rejasi biron bir sub'ekt tomonidan amalga oshirilishini kutadi.
Ochiq manbalardan ma'lumot to'plash va qidirish - bu firibgarlik bo'lib, unda ma'lumotlarni yig'ish psixologiya usullari, kichik narsalarni sezish qobiliyati va mavjud ma'lumotlarni tahlil qilish, masalan, ijtimoiy tarmoq sahifalari. Bu ijtimoiy muhandislikning ancha yangi usuli.
Elkada sörfing va teskari ijtimoiy. muhandislik
"Elkada sörfing" tushunchasi o'zini tom ma'noda mavzuni jonli tomosha qilish sifatida belgilaydi. Bu turdagi maʼlumotlarni ovlash bilan tajovuzkor kafe, aeroport, vokzal kabi jamoat joylariga boradi va odamlarni kuzatib boradi.
Ushbu usulni e'tiborsiz qoldirmang, chunki ko'plab so'rovlar va tadqiqotlar shuni ko'rsatadiki, diqqatli odam juda ko'p maxfiy ma'lumotlarni olishi mumkin.ma'lumotni shunchaki kuzatish orqali.
Ijtimoiy muhandislik (sotsiologik bilimlar darajasi sifatida) ma'lumotlarni "qo'lga olish" vositasidir. Jabrlanuvchining o'zi tajovuzkorga kerakli ma'lumotlarni taqdim etadigan ma'lumotlarni olish usullari mavjud. Biroq, u jamiyat farovonligiga ham xizmat qilishi mumkin.
Teskari ijtimoiy muhandislik - bu fanning yana bir usuli. Yuqorida aytib o'tganimizdek, ushbu atamani ishlatish o'rinli bo'ladi: jabrlanuvchining o'zi tajovuzkorga kerakli ma'lumotlarni taqdim etadi. Bu bayonotni bema'ni deb qabul qilmaslik kerak. Gap shundaki, faoliyatning muayyan sohalarida vakolatga ega bo'lgan sub'ektlar ko'pincha sub'ektning o'z qaroriga binoan identifikatsiya ma'lumotlariga kirish huquqiga ega bo'ladilar. Bu erda asos ishonch.
Eslash muhim! Yordam xodimlari hech qachon foydalanuvchidan parol so‘ramaydi, masalan.
Axborot va himoya
Ijtimoiy muhandislik bo'yicha treninglar shaxs tomonidan shaxsiy tashabbus yoki maxsus o'quv dasturlarida qo'llaniladigan imtiyozlar asosida amalga oshirilishi mumkin.
Jinoyatchilar manipulyatsiyadan tortib dangasalik, ishonuvchanlik, foydalanuvchining xushmuomalaligi va h.k. kabi turli xil aldov turlaridan foydalanishi mumkin. Jabrlanuvchining bunday hujumdan oʻzini himoya qilish juda qiyin. u) aldaganligini anglash. Ushbu xavf darajasida o'z ma'lumotlarini himoya qilish uchun turli firmalar va kompaniyalar ko'pincha umumiy ma'lumotlarni baholash bilan shug'ullanadilar. Keyingi qadam kerakli narsalarni birlashtirishdirxavfsizlik siyosati uchun kafolatlar.
Misollar
Global fishing pochtasi sohasidagi ijtimoiy muhandislik (uning harakati) misoli 2003 yilda sodir bo'lgan voqeadir. Ushbu firibgarlik paytida eBay foydalanuvchilariga elektron pochta xabarlari yuborilgan. Ular o'zlariga tegishli hisoblar bloklanganini da'vo qilishdi. Bloklashni bekor qilish uchun hisob ma'lumotlarini qayta kiritish kerak edi. Biroq, xatlar soxta edi. Ular rasmiy sahifa bilan bir xil, ammo soxta sahifaga tarjima qilishdi. Ekspert hisob-kitoblariga ko'ra, yo'qotish unchalik katta bo'lmagan (bir million dollardan kam).
Mas'uliyat ta'rifi
Ijtimoiy muhandislikdan foydalanish ayrim hollarda jazolanishi mumkin. Bir qator mamlakatlarda, masalan, Qo'shma Shtatlarda bahona qilish (o'zini boshqa shaxs sifatida ko'rsatish orqali aldash) shaxsiy hayotga tajovuz qilish bilan tenglashtirilgan. Biroq, agar bahona paytida olingan ma'lumotlar sub'ekt yoki tashkilot nuqtai nazaridan maxfiy bo'lsa, bu qonun bilan jazolanishi mumkin. Telefon suhbatini yozib olish (ijtimoiy muhandislik usuli sifatida) ham qonun talab qiladi va jismoniy shaxslar uchun 250 000 dollar jarima yoki o'n yilgacha qamoq jazosini talab qiladi. shaxslar. Yuridik shaxslar 500 000 AQSh dollari to'lashlari kerak; oxirgi muddat avvalgidek qoladi.
