• مهندسی اجتماعی: مفهوم، بنیانگذار، روش ها و مثال ها

    مجرمان سایبری مهندسی شده اجتماعی در سال های اخیر تکنیک های پیشرفته تری را اتخاذ کرده اند که احتمال دسترسی به آن را افزایش می دهد. اطلاعات لازمبا استفاده از روانشناسی مدرن کارکنان شرکت ها و به طور کلی مردم. اولین قدم در مقابله با این نوع ترفندها، درک تاکتیک های مهاجمان است. بیایید به هشت رویکرد اصلی در مهندسی اجتماعی نگاه کنیم.

    معرفی

    در دهه 90، مفهوم "مهندسی اجتماعی" توسط کوین میتنیک، یک چهره نمادین در زمینه معرفی شد. امنیت اطلاعات، یک هکر جدی سابق. با این حال، مهاجمان مدت ها قبل از ظهور خود این اصطلاح از چنین روش هایی استفاده می کردند. کارشناسان متقاعد شده اند که تاکتیک های مجرمان سایبری مدرن به دنبال دو هدف است: سرقت رمز عبور، نصب بدافزار.

    مهاجمان در تلاش هستند تا مهندسی اجتماعی را با استفاده از تلفن، ایمیل و وب اعمال کنند. بیایید با روش های اصلی که به مجرمان کمک می کند اطلاعات محرمانه مورد نیاز خود را بدست آورند آشنا شویم.

    تاکتیک 1. نظریه ده دست دادن

    هدف اصلی مهاجمی که از تلفن برای مهندسی اجتماعی استفاده می کند این است که قربانی خود را به یکی از دو چیز متقاعد کند:

    1. قربانی یک تماس از یک کارمند شرکت دریافت می کند.
    2. نماینده یک نهاد مجاز تماس می گیرد (مثلاً یک افسر مجری قانون یا یک حسابرس).

    اگر مجرمی وظیفه جمع‌آوری داده‌های مربوط به یک کارمند خاص را بر عهده خود قرار دهد، می‌تواند ابتدا با همکاران خود تماس بگیرد و از هر راه ممکن برای به دست آوردن اطلاعات مورد نیاز خود تلاش کند.

    آیا نظریه قدیمی شش دست دادن را به خاطر دارید؟ بنابراین، کارشناسان امنیتی می گویند که تنها ده "دست دادن" بین یک مجرم سایبری و قربانی او وجود دارد. کارشناسان معتقدند که شرایط مدرنشما همیشه باید کمی پارانویا داشته باشید، زیرا معلوم نیست این یا آن کارمند از شما چه می خواهد.

    مهاجمان معمولاً با منشی (یا شخصی در موقعیت مشابه) تماس می گیرند تا اطلاعاتی در مورد افراد بالاتر در سلسله مراتب جمع آوری کنند. کارشناسان خاطرنشان می کنند که لحن دوستانه به کلاهبرداران کمک زیادی می کند. به آرامی اما مطمئنا، مجرمان کلید را برای شما انتخاب می کنند، که به زودی منجر به این واقعیت می شود که شما اطلاعاتی را به اشتراک می گذارید که قبلا هرگز کشف نمی کردید.

    تاکتیک 2. زبان شرکتی را یاد بگیرید

    همانطور که می دانید هر صنعتی فرمولاسیون خاص خود را دارد. وظیفه مهاجمی که سعی در بدست آوردن آن دارد اطلاعات لازم، - بررسی ویژگی های چنین زبانی به منظور استفاده ماهرانه تر از تکنیک های مهندسی اجتماعی.

    تمام مشخصات در مطالعه زبان شرکت، شرایط و ویژگی های آن نهفته است. اگر یک مجرم سایبری برای اهداف خود به زبانی آشنا، آشنا و قابل فهم صحبت کند، راحت تر اعتماد به نفس پیدا می کند و می تواند به سرعت اطلاعات مورد نیاز خود را به دست آورد.

    تاکتیک 3: موسیقی را قرض بگیرید تا در طول تماس منتظر بمانید

    برای انجام یک حمله موفق، کلاهبرداران به سه جزء نیاز دارند: زمان، پشتکار و صبر. اغلب حملات سایبری با استفاده از مهندسی اجتماعی به آرامی و روش انجام می شود - نه تنها داده ها افراد مناسببلکه به اصطلاح "سیگنال های اجتماعی". این کار به منظور جلب اعتماد و حلقه زدن هدف دور انگشت خود انجام می شود. به عنوان مثال، مهاجمان می توانند فردی را که با او در ارتباط هستند متقاعد کنند که همکار هستند.

    یکی از ویژگی های این رویکرد ضبط موسیقی است که شرکت در هنگام تماس از آن استفاده می کند، در زمانی که تماس گیرنده منتظر پاسخ است. مجرم ابتدا منتظر چنین موسیقی می ماند، سپس آن را ضبط می کند و سپس از آن به نفع خود استفاده می کند.

    بنابراین، هنگامی که گفت و گوی مستقیم با قربانی انجام می شود، مهاجمان در نقطه ای می گویند: "یک دقیقه صبر کنید، تماسی در خط دیگر وجود دارد." سپس قربانی موسیقی آشنا را می شنود و هیچ شکی نمی کند که تماس گیرنده نماینده یک شرکت خاص است. در اصل، این فقط یک ترفند روانشناختی است.

    تاکتیک 4. جعل (تعویض) شماره تلفن

    مجرمان اغلب از جعل استفاده می کنند شماره تلفن ها، که به آنها کمک می کند تا شماره تماس گیرنده را تغییر دهند. به عنوان مثال، یک مهاجم می تواند در آپارتمان خود بنشیند و با شخص مورد علاقه تماس بگیرد، اما شناسه تماس گیرنده یک شماره متعلق به شرکت را نشان می دهد، که این توهم را ایجاد می کند که کلاهبردار با استفاده از یک شماره شرکتی تماس می گیرد.

    البته، اگر شناسه تماس گیرنده متعلق به شرکت آنها باشد، کارمندان ناآگاه در اکثر موارد اطلاعات محرمانه از جمله رمز عبور را به تماس گیرنده تحویل می دهند. این رویکرد همچنین به مجرمان کمک می کند تا از ردیابی خودداری کنند، زیرا اگر با این شماره تماس بگیرید، به خط داخلی شرکت هدایت خواهید شد.

    تاکتیک 5: استفاده از اخبار علیه شما

    عناوین اخبار فعلی هرچه که باشد، مهاجمان از این اطلاعات به عنوان طعمه برای هرزنامه، فیشینگ و سایر فعالیت های کلاهبرداری استفاده می کنند. جای تعجب نیست که کارشناسان اخیراً به افزایش تعداد ایمیل‌های اسپم اشاره کرده‌اند که موضوعات مربوط به کمپین‌های ریاست جمهوری و بحران‌های اقتصادی است.

    به عنوان مثال می توان به حمله فیشینگ به بانک اشاره کرد. ایمیل چیزی شبیه این می گوید:

    «بانک دیگری [نام بانک] در حال خرید بانک [نام بانک] شما است. برای اطمینان از به روز بودن اطلاعات بانکی خود قبل از بسته شدن معامله، روی این پیوند کلیک کنید."

    به طور طبیعی، این تلاشی برای به دست آوردن اطلاعاتی است که با آن کلاهبرداران می توانند به حساب شما وارد شوند، پول شما را سرقت کنند یا اطلاعات شما را به شخص ثالث بفروشند.

    تاکتیک 6: اهرم اعتماد در بسترهای اجتماعی

    بر کسی پوشیده نیست که فیس بوک، مای اسپیس و لینکدین شبکه های اجتماعی بسیار محبوبی هستند. طبق تحقیقات کارشناسان، مردم تمایل دارند به چنین پلتفرم هایی اعتماد کنند. یک حادثه اخیر فیشینگ نیزه ای که کاربران لینکدین را هدف قرار داده است، از این نظریه پشتیبانی می کند.

    بنابراین، بسیاری از کاربران به ایمیلی که ادعا می کنند از فیس بوک است اعتماد خواهند کرد. یک ترفند رایج این است که ادعا کنید شبکه اجتماعی در حال تعمیر است، برای به روز رسانی اطلاعات باید "اینجا را کلیک کنید". به همین دلیل است که کارشناسان توصیه می کنند که کارمندان شرکت ها آدرس های وب را به صورت دستی وارد کنند تا از لینک های فیشینگ جلوگیری کنند.

    همچنین شایان ذکر است که سایت‌ها در موارد بسیار نادر درخواست تغییر رمز عبور یا به‌روزرسانی را برای کاربران ارسال می‌کنند حساب.

    تاکتیک 7. Typesquatting

    این تکنیک مخرب برای این واقعیت قابل توجه است که مهاجمان از عامل انسانی استفاده می کنند، یعنی خطاهایی که هنگام وارد کردن آدرس URL در نوار آدرس. بنابراین، با یک اشتباه فقط یک حرف، کاربر می تواند به سایتی که به طور خاص برای این منظور توسط مهاجمان ایجاد شده است، دسترسی پیدا کند.

    مجرمان سایبری با دقت زمینه را برای تایپ‌سواری آماده می‌کنند، بنابراین سایت آنها مانند دو نخود در یک غلاف شبیه به نخود قانونی خواهد بود که در ابتدا می‌خواستید از آن بازدید کنید. بنابراین، با مرتکب اشتباه در نوشتن یک آدرس وب، در نهایت به یک کپی از یک سایت قانونی می رسید که هدف آن یا فروش چیزی، یا سرقت داده ها، یا توزیع بدافزار است.

    تاکتیک 8: استفاده از FUD برای تأثیرگذاری بر بازار سهام

    FUD یک تاکتیک دستکاری روانشناختی است که در بازاریابی و تبلیغات به طور کلی مورد استفاده قرار می گیرد، که شامل ارائه اطلاعات در مورد چیزی (به ویژه، یک محصول یا سازمان) به گونه ای است که باعث ایجاد عدم اطمینان و شک در مخاطبان در مورد کیفیت آن و در نتیجه ایجاد ترس شود. از آن

    طبق آخرین تحقیقات شرکت Avert، امنیت و آسیب پذیری محصولات و حتی کل شرکت ها می تواند بر بازار سهام تأثیر بگذارد. به عنوان مثال، محققان تأثیر رویدادهایی مانند "Microsoft Patch Tuesday" را بر روی سهام شرکت مطالعه کردند و هر ماه پس از انتشار یک آسیب پذیری، نوسانات قابل توجهی را پیدا کردند.

    همچنین می توانید به یاد بیاورید که چگونه مهاجمان در سال 2008 اطلاعات نادرستی در مورد سلامت استیو جابز منتشر کردند که منجر به کاهش شدید سهام شد. سیب. این نمونه معمولی از FUD است که برای اهداف مخرب استفاده می شود.

    علاوه بر این، شایان ذکر است که استفاده از ایمیل برای اجرای تکنیک "پمپ و تخلیه" (طرحی برای دستکاری نرخ ارز در بازار سهام یا در بازار ارزهای دیجیتال با سقوط بعدی). در این حالت، مهاجمان می‌توانند ایمیل‌هایی را ارسال کنند که پتانسیل شگفت‌انگیز سهامی را که از قبل خریداری کرده‌اند، توصیف کند.

    بنابراین، بسیاری تلاش خواهند کرد تا این سهام را در اسرع وقت خریداری کنند و قیمت آنها افزایش یابد.

    نتیجه گیری

    مجرمان سایبری اغلب در استفاده از مهندسی اجتماعی بسیار خلاق هستند. پس از آشنایی با روش های آنها، می توان نتیجه گرفت که ترفندهای روانی مختلف برای مهاجمان برای رسیدن به اهدافشان بسیار مفید است. بر این اساس، ارزش توجه به هر چیز کوچکی را دارد که می تواند ناخواسته به یک کلاهبردار ارائه دهد، اطلاعات مربوط به افرادی که با شما تماس می گیرند را بررسی و دوباره بررسی کنید، به خصوص اگر اطلاعات محرمانه مورد بحث قرار گیرد.

    در عصر فناوری اطلاعات، مهندسی اجتماعی ارتباط قوی با جرایم سایبری پیدا کرده است، اما در واقع این مفهوم مدت ها پیش ظاهر شد و در ابتدا مفهوم منفی مشخصی نداشت. اگر فکر می کنید که مهندسی اجتماعی یک داستان دیستوپیایی یا یک عمل روانشناختی مشکوک است، پس این مقاله نظر شما را تغییر خواهد داد.

    به چه چیزی می گویند مهندسی اجتماعی؟

    این اصطلاح خود جامعه‌شناختی است و به مجموعه‌ای از رویکردها برای ایجاد چنین شرایطی اشاره می‌کند که تحت آن کنترل رفتار انسان ممکن است. تکنیک های مهندسی اجتماعی تا حدودی از زمان های قدیم توسط مردم استفاده می شده است. در یونان باستان و رم باستانسخنرانان با هنر خاص متقاعدسازی از ارزش بالایی برخوردار بودند، چنین افرادی برای شرکت در مذاکرات دیپلماتیک جذب شدند. فعالیت‌های خدمات ویژه نیز عمدتاً مبتنی بر روش‌های مهندسی اجتماعی است و قرن بیستم کاملاً مملو از نمونه‌هایی است که نشان می‌دهد با دستکاری ماهرانه آگاهی و رفتار انسان می‌توان به چه نتایجی دست یافت. پیشگامان مهندسی اجتماعی به شکلی که امروزه وجود دارد، کلاهبرداران تلفنی در نظر گرفته می شوند که در دهه 70 قرن گذشته ظاهر شدند و این علم به لطف هکر سابق کوین میتنیک که اکنون یک اطلاعات است به عرصه فناوری اطلاعات آمد. مشاور امنیتی و در مورد مسیر خود به عنوان یک مهندس اجتماعی کتاب می نویسد.

    در زمینه جرایم سایبری، مهندسی اجتماعی به روش‌ها و تکنیک‌هایی اطلاق می‌شود که مهاجمان برای به دست آوردن داده‌های لازم یا برای ترغیب قربانی به ارتکاب استفاده می‌کنند. اقدامات لازم. همانطور که کوین میتنیک گفت، آسیب پذیرترین نقطه در هر سیستم امنیتی یک شخص است و مجرمان سایبری به خوبی از این موضوع آگاه هستند. مهندسان اجتماعی روانشناسان خوبی هستند، آنها استادانه برخورد می کنند شخص خاص، به راحتی مورد اعتماد قرار می گیرند، به انواع ترفندها و ترفندها بروید - و همه اینها برای به دست آوردن اطلاعات محرمانه.

    مهندسان اجتماعی چگونه کار می کنند؟

    فیلم "اگر می توانی مرا بگیر" بر اساس کتابی به همین نام، از وقایع زندگی شخص واقعی، فرانک آبگنال. اکنون او متخصص امنیت مستند است، اما در اواسط قرن بیستم، آبگنال چک های جعلی را جعل کرد و به طرز ماهرانه ای به مدت پنج سال از پلیس مخفی شد و به راحتی به افراد مختلفی از خلبان تا پزشک تبدیل شد. این رفتار، ترفند و ظریف است بازی روانینمونه بارز مهندسی اجتماعی است.

    اگر فرانک آبگنال مجبور بود شخصاً با استفاده از ترفندهای روانشناختی و مهارت های بازیگری با افراد تماس بگیرد تا به اهداف خود برسد، امروزه مهاجمان اطلاعات را از راه دور و با استفاده از اینترنت و ارتباط سلولی. در ترفندهای هکرها و معمولی آمده است کاربران کامپیوترو کارمندان شرکت های بزرگ که در مسائل امنیت اطلاعات به خوبی مسلط هستند. خطر اصلی این است که قربانی به طور داوطلبانه اطلاعات لازم را ارائه می دهد، بدون اینکه حتی گمان کند که با اقدامات خود به مجرم کمک می کند.

    دستکاری افکار و اعمال به دلیل تحریفات شناختی - انحرافات در ادراک، تفکر و رفتار ما امکان پذیر می شود. این خطاها می تواند ناشی از کلیشه ها، وضعیت عاطفی یا اخلاقی، تأثیر جامعه، انحرافات در مغز باشد. تحت تأثیر یک یا چند عامل، در مرحله تجزیه و تحلیل اطلاعات دریافتی شکستی رخ می دهد که در نتیجه می توانیم قضاوت غیرمنطقی داشته باشیم، وقایع را به اشتباه تفسیر کنیم یا اقدامات غیر منطقی انجام دهیم. مهندسان اجتماعی با آگاهی از چنین ویژگی های کار تفکر انسان، موقعیت هایی را ایجاد می کنند که در آن قربانی به احتمال زیاد عمل مورد نظر را انجام می دهد و همانطور که تمرین نشان می دهد، تحریف های شناختی قوی تر از ما هستند.

    نمونه هایی از مهندسی اجتماعی

    مهاجمان برای رسیدن به اهداف خود از کنجکاوی انسانی، خیرخواهی، ادب، تنبلی، ساده لوحی و سایر موارد سوء استفاده می کنند. کیفیت های مختلف. حمله به یک شخص (همانطور که هکرها آن را مهندسی اجتماعی می‌نامند) می‌تواند بر اساس سناریوهای زیادی انجام شود، اما چندین مورد از رایج‌ترین تکنیک‌های مورد استفاده مهاجمان وجود دارد.

    فیشینگ این روش به دلیل بی توجهی کاربران موثر است. قربانی ایمیلی از یک وب سایت، سازمان یا حتی یک فرد معروف دریافت می کند که با کلیک روی پیوند، درخواست انجام اقدامات مشخص شده را دارد. اغلب آنها از شما می خواهند که وارد شوید. شخصی بدون اینکه حتی به فرستنده پیام و آدرس سایت نگاه کند به سایت مراجعه می کند و نام کاربری و رمز عبور خود را وارد می کند و کلاهبرداران به این ترتیب داده های لازم برای هک را دریافت می کنند و پس از آن هرگونه اقدامی را در صفحه قربانی انجام می دهند.

    تروجان. این ویروسی است که نام خود را از اصل عملکرد، شبیه به اسب تروا از اسطوره یونان باستان گرفته است. کاربر یک برنامه یا حتی یک عکس را دانلود می کند و تحت پوشش یک فایل بی ضرر، ویروسی وارد رایانه قربانی می شود که با کمک آن مهاجمان داده ها را سرقت می کنند. گاهی اوقات زمانی که شخصی روی یک لینک کنجکاو کلیک می کند، وب سایت های مشکوک یا ایمیل های مشکوک را باز می کند، این دانلود به طور خودکار انجام می شود. چرا این نوع سرقت اطلاعات را مهندسی اجتماعی می نامند؟ زیرا سازندگان ویروس به خوبی می دانند که چگونه بدافزار را پنهان کنند تا مطمئن شوید که روی لینک سمت راست کلیک کرده یا فایل را دانلود کنید.

    Qui pro quo. از کلمه لاتین quid pro quo که به معنی "این برای این" است. این نوع کلاهبرداری بر اساس پیش فرض کار می کند. مهاجم به عنوان یک کارمند خدمات ظاهر می شود پشتیبانی فنیو برای رفع مشکلاتی که در سیستم یا رایانه یک کاربر خاص ایجاد شده است ، پیشنهاد می کند ، اگرچه در واقع هیچ مشکلی در عملکرد نرم افزار وجود ندارد. قربانی به وجود نقص هایی که توسط "متخصص" به او گزارش شده است اعتقاد دارد و با خوشحالی داده های لازم را ارائه می دهد یا اقدامات دیکته شده توسط کلاهبردار را انجام می دهد.

    مهندسی اجتماعی معکوس

    این نام نوع حمله ای است که قربانی خود به مهاجم مراجعه می کند و اطلاعات لازم را در اختیار او قرار می دهد. این را می توان از چند طریق به دست آورد:

    • پیاده سازی نرم افزار ویژه. در ابتدا، برنامه یا سیستم به درستی کار می کند، اما پس از آن شکست می خورد و نیاز به مداخله یک متخصص دارد. البته شرایط به گونه ای تنظیم شده است که متخصصی که برای کمک به او مراجعه می کنند معلوم می شود یک هکر اجتماعی است. با تنظیم کار نرم افزار، کلاهبردار دستکاری های لازم برای هک را انجام می دهد. گاهی اوقات اطلاعات مورد نیاز شما به دست نمی آید کار مستقیمبا کامپیوتر، اما از طریق ارتباط با کاربر، که به منظور تعمیر سریع تجهیزات، آماده ارائه هرگونه اطلاعات محرمانه به استاد است. بعداً، وقتی یک هک کشف شد، مهندس اجتماعی پشت نقاب یک دستیار می‌تواند فراتر از هر سوء ظنی باقی بماند، که مهندسی اجتماعی را به ابزاری بسیار سودآور تبدیل می‌کند.
    • تبلیغات. مهاجمان می توانند خدمات خود را به عنوان تبلیغ کنند استادان کامپیوتریا سایر حرفه ای ها قربانی خودش به سمت ترقه می رود و مجرم نه تنها از نظر فنی کار می کند، بلکه از طریق ارتباط با مشتری خود اطلاعات را نیز به دست می آورد.
    • کمک. مهندس اجتماعی ممکن است عمداً جزو کسانی باشد که در صورت شکست به آنها کمک می‌کنند و گاهی اوقات کلاهبردار نوعی دستکاری را از قبل انجام می‌دهد که قربانی را مجبور می‌کند به دنبال دستیار باشد. در این حالت، هکر در نقش مثبت ظاهر می شود و فرد مورد حمله از خدمات ارائه شده سپاسگزار می ماند.

    چگونه از خود محافظت کنیم؟

    اولین دفاع در برابر مهندسی اجتماعی، شک و هوشیاری منطقی است. همیشه به نشانی نامه ها و آدرس سایتی که قرار است برخی از اطلاعات شخصی را در آن وارد کنید توجه کنید. نه تنها کارمندان شرکت و افراد مشهور قربانی مجرمان سایبری می شوند، بلکه کاربران عادی نیز قربانی می شوند - یک کلاهبردار ممکن است نیاز به دسترسی به صفحه شما در یک شبکه اجتماعی داشته باشد یا کیف پول الکترونیکی. اگر شخصی که ادعا می کند کارمند یک سازمان یا وب سایت است با شما تماس گرفت، به یاد داشته باشید که برای دستکاری حساب شما، به عنوان یک قاعده، او نیازی به دانستن اطلاعات محرمانه ندارد - خودتان آن را فاش نکنید. درخواست برای ارائه هر گونه اطلاعات شخصی، مانند اطلاعات گذرنامه، باید به شما هشدار دهد - برای شناسایی یک فرد، اغلب آنها فقط به آخرین رقم برخی از داده ها نیاز دارند و نه کل چیز.

    با اطلاعات مهم در مقابل کار نکنید غریبه ها. کلاهبرداران می توانند از به اصطلاح موج سواری شانه استفاده کنند، نوعی مهندسی اجتماعی زمانی که اطلاعات از روی شانه قربانی به سرقت می رود. مقدار قابل توجهی از داده های مهم در حالی که قربانی ناآگاه روی رایانه خود کار می کرد روی صفحه جاسوسی شد.

    به سایت های مشکوک مراجعه نکنید و فایل های مشکوک را دانلود نکنید، زیرا یکی از بیشترین بهترین یاورانمهندسی اجتماعی کنجکاوی ماست. در هر شرایطی، وقتی با شما تماس می گیرند، برای شما نامه می نویسند، خدماتی ارائه می دهند، یا مثلا فلش مموری را پرت می کنند، از خود بپرسید که آیا می دانید کجا، چرا و چرا؟ اگر نه، پس با یک مورد اعتماد مشورت کنید فرد آگاهدر غیر این صورت، این وضعیت را نادیده بگیرید، اما هرگز اطلاعات مهم را بدون دلیل موجه فاش نکنید.

    مهندسی اجتماعی - راهی برای دسترسی به اطلاعات محرمانه، رمزهای عبور، بانکداری و سایر داده ها و سیستم های محافظت شده.
    مجرمان سایبری از مهندسی اجتماعی برای انجام حملات هدفمند (حمله به زیرساخت های شرکت ها یا سازمان های دولتی) استفاده می کنند. آنها از قبل ابزارهای حفاظتی این سازمان را به دقت مطالعه می کنند.

    انتشار این مقاله در پورتال www.

    مهندسی اجتماعی

    اعتقاد بر این است که مهندسی اجتماعی خطرناک ترین و مخرب ترین نوع حمله به سازمان ها است. اما متاسفانه در کنفرانس های امنیت اطلاعات عملا به این موضوع توجه نمی شود.

    در عین حال، بیشتر موارد در بخش روسی زبان اینترنت از منابع و کتاب های خارجی ذکر شده است. من نمی گویم که چنین مواردی در Runet کم است، اما به دلایلی آنها فقط در مورد آنها صحبت نمی کنند. تصمیم گرفتم بفهمم مهندسی اجتماعی در واقعیت چقدر خطرناک است و بفهمم که استفاده گسترده از آن چه پیامدهایی می تواند داشته باشد.

    مهندسی اجتماعی در امنیت اطلاعات و تست نفوذ معمولاً با یک حمله هدفمند به یک سازمان خاص همراه است. در این انتخاب از موارد، من می خواهم چندین نمونه از استفاده از مهندسی اجتماعی را در نظر بگیرم، زمانی که "حملات" به طور انبوه (بی رویه) یا با هدف انبوه (بر سازمان ها در یک زمینه خاص) انجام می شد.

    بیایید مفاهیم را تعریف کنیم تا برای همه روشن شود که منظور من چیست. در مقاله از اصطلاح "مهندسی اجتماعی" به معنای زیر استفاده خواهم کرد: "مجموعه ای از روش ها برای رسیدن به یک هدف، بر اساس استفاده از ضعف های انسانی". این همیشه چیزی مجرمانه نیست، اما قطعاً بار منفی دارد و با کلاهبرداری، دستکاری و مانند آن همراه است. اما انواع ترفندهای روانشناختی برای از بین بردن تخفیف در یک فروشگاه مهندسی اجتماعی نیستند.

    در این زمینه، من فقط به عنوان یک محقق عمل می کنم، هیچ سایت و فایل مخربی ایجاد نکردم. اگر کسی نامه ای از من با پیوند به سایت دریافت کرد، پس این سایت امن بود. بدترین چیزی که ممکن است در آنجا اتفاق بیفتد ردیابی کاربر توسط شمارنده Yandex.Metrica است.

    نمونه هایی از مهندسی اجتماعی

    مطمئناً در مورد هرزنامه هایی با "گواهی نامه های انجام شده کار" یا قراردادهایی که تروجان ها در آنها تعبیه شده است شنیده اید. دیگر حسابداران را با چنین پست هایی شگفت زده نخواهید کرد. یا پنجره های پاپ آپ با "توصیه ها" برای دانلود یک افزونه برای تماشای فیلم - این در حال حاضر خسته کننده است. من چندین سناریوی کمتر بدیهی ایجاد کرده ام و آنها را در اینجا به عنوان خوراکی برای فکر ارائه می کنم. امیدوارم که آنها راهنمای عمل نشوند، بلکه برعکس، به ایمن تر شدن Runet کمک کنند.

    فرستنده تایید شده

    گاهی اوقات، به دلیل یک نادیده گرفته شده، مدیران سایت فیلتر کردن قسمت "نام" را در فرم ثبت نام فعال نمی کنند (به عنوان مثال، هنگام عضویت در خبرنامه یا هنگام ارسال برنامه). به جای نام، می توانید متن (گاهی اوقات کیلوبایت متن) و پیوندی به یک سایت مخرب وارد کنید. آدرس قربانی را در قسمت ایمیل وارد کنید. پس از ثبت نام، این شخص نامه ای از سرویس دریافت می کند: "سلام، عزیزم ..."، و سپس - متن ما و یک لینک. پیام سرویس در پایین صفحه خواهد بود.

    چگونه آن را به یک سلاح کشتار جمعی تبدیل کنیم؟

    ابتدایی. در اینجا یک نمونه از تمرین من است. در دسامبر 2017، یکی از موتورهای جستجو امکان ارسال پیام را از طریق پیوند یک ایمیل یدکی کشف کرد. قبل از ارسال گزارش جایزه اشکال، امکان ارسال 150000 پیام در روز وجود داشت - فقط لازم بود فرم پر کردن کمی خودکار شود.

    این ترفند به شما این امکان را می دهد که ایمیل های تقلبی را از آدرس پشتیبانی واقعی سایت با تمامی امضاهای دیجیتال، رمزگذاری و غیره ارسال کنید. اما معلوم می شود که کل قسمت بالایی توسط یک مهاجم نوشته شده است. من هم چنین نامه هایی دریافت کردم و نه تنها از شرکت های بزرگی مانند booking.com یا paypal.com، بلکه از سایت های کمتر معروف نیز دریافت کردم.

    و در اینجا "روند" آوریل 2018 است.

    ایمیل های گوگل آنالیتیکس

    من در مورد یک مورد کاملاً جدید به شما خواهم گفت - برای آوریل 2018. با ایمیل گوگلهرزنامه تجزیه و تحلیل شروع به آمدن به چندین آدرس من شد. بعد از کمی حفاری، روش ارسال آن را پیدا کردم.


    نمونه هایی از مهندسی اجتماعی روش "فرستنده تایید شده".

    "چگونه آن را اعمال کنیم؟" فکر کردم و این چیزی است که به ذهنم خطور کرد: یک کلاهبردار می تواند مثلاً چنین متنی بسازد.


    نمونه هایی از مهندسی اجتماعی روش "فرستنده تایید شده".
    نمونه هایی از مهندسی اجتماعی روش "فرستنده تایید شده".

    چنین مجموعه ای از رمزهای عبور را می توان نه تنها به صورت هدفمند، بلکه به صورت انبوه نیز انجام داد، فقط باید فرآیند جمع آوری دامنه ها را کمی با خودکار انجام دهید. تجزیه و تحلیل ترافیک گوگلو تجزیه ایمیل های این سایت ها.

    کنجکاوی

    این روش برای واداشتن شخص به کلیک بر روی یک پیوند نیاز به آمادگی دارد. یک وب سایت شرکت جعلی با نامی منحصر به فرد ایجاد می شود که بلافاصله توجه را به خود جلب می کند. خوب، به عنوان مثال، LLC "ZagibaliVygibali". منتظر می ماند تا موتورهای جستجو آن را فهرست کنند.


    اکنون دلیلی برای ارسال تبریک از طرف این شرکت پیدا می کنیم. گیرندگان بلافاصله شروع به جستجو در گوگل کرده و سایت ما را پیدا می کنند. البته بهتر است که خود تبریک غیرعادی باشد تا گیرندگان نامه را داخل پوشه اسپم نبرند. با کمی تست به راحتی بیش از هزار کلیک کردم.

    اشتراک خبرنامه جعلی

    و اونجا چی نوشته؟

    برای فریب دادن افراد از برخی انجمن ها یا سایت ها با نظرات باز، نیازی به اختراع متون فریبنده ندارید - فقط یک عکس ارسال کنید. فقط چیزی جذاب تر (نوعی میم) انتخاب کنید و فشار دهید تا تشخیص متن غیرممکن باشد. کنجکاوی همیشه باعث می شود کاربران روی عکس کلیک کنند. در تحقیقاتم، آزمایشی انجام دادم و حدود 10 هزار انتقال به این روش ابتدایی دریافت کردم. تروجان ها یک بار از طریق LJ (livejournal) به همین روش تحویل داده می شدند.


    اسم شما چیست؟

    وادار کردن کاربر برای باز کردن یک فایل یا حتی یک سند با ماکرو چندان دشوار نیست، حتی اگر بسیاری از خطرات در کمین آن شنیده باشند. با ارسال انبوه، حتی دانستن نام یک شخص به طور جدی شانس موفقیت را افزایش می دهد.

    برای مثال می توانیم ایمیلی با متن "آیا این ایمیل هنوز فعال است؟" ارسال کنیم. یا "لطفا آدرس سایت خود را بنویسید." در پاسخ حداقل در 10-20 درصد موارد نام فرستنده می آید (این در شرکت های بزرگ بیشتر دیده می شود). و بعد از مدتی می نویسیم "آلنا، سلام. سایت شما چیست (عکس پیوست شده است)؟" یا «بوریس، ظهر بخیر. من اصلا نمیتونم با قیمتش کنار بیام من به جایگاه 24 نیاز دارم. قیمت رو ضمیمه میکنم خوب، در لیست قیمت - عبارت پیش پا افتاده "برای مشاهده محتویات، ماکروها را فعال کنید ..."، با تمام عواقب بعدی.

    به طور کلی، پیام‌هایی که شخصاً آدرس‌دهی می‌شوند، مرتباً بیشتر باز و پردازش می‌شوند.

    هوش جمعی

    این سناریو نه آنقدر یک حمله است که یک آماده سازی برای آن است. فرض کنید می‌خواهیم نام چند فرد مهم مانند حسابدار یا رئیس حراست را بدانیم. اگر به یکی از کارمندانی که ممکن است این اطلاعات را داشته باشد نامه ای با محتوای زیر بفرستید، انجام این کار آسان است: «لطفاً نام میانی مدیر و برنامه دفتر را به من بگویید. ما باید یک پیک بفرستیم."

    زمان کار را می‌پرسیم تا چشم‌هایمان را تار کنیم و درخواست نام خانوادگی ترفندی است که به ما اجازه می‌دهد از اینکه اسم و فامیل را نمی‌دانیم، رد نکنیم. هر دو، به احتمال زیاد، در پاسخ قربانی وجود دارد: نام کامل اغلب به طور کامل نوشته می شود. در طول مطالعه موفق به جمع آوری نام بیش از دو هزار کارگردان به این روش شدم.

    اگر نیاز به اطلاع از نامه مقامات دارید، می توانید با خیال راحت به منشی بنویسید: "سلام. مدت زیادی است که با آندری بوریسوویچ صحبت نکرده اید، آیا آدرس او هنوز کار می کند؟ و من جوابی از او نگرفتم. رومن گنادیویچ. منشی ایمیلی را می بیند که بر اساس نام واقعی مدیر و حاوی وب سایت شرکت ساخته شده است و آدرس واقعی آندری بوریسوویچ را می دهد.

    در این مقاله به مفهوم «مهندسی اجتماعی» می پردازیم. در اینجا کلیات مورد توجه قرار خواهد گرفت و همچنین خواهیم آموخت که چه کسی بنیانگذار این مفهوم بوده است. بیایید به طور جداگانه در مورد روش های اصلی مهندسی اجتماعی که توسط مهاجمان استفاده می شود صحبت کنیم.

    معرفی

    روش هایی که به شما امکان می دهد رفتار انسان را اصلاح کنید و فعالیت های او را بدون استفاده از مجموعه ای فنی از ابزارها مدیریت کنید، مفهوم کلی مهندسی اجتماعی را تشکیل می دهد. همه روش ها بر این ادعا استوار است که عامل انسانی مخرب ترین نقطه ضعف هر سیستمی است. غالبا این مفهومدر سطح فعالیت غیرقانونی در نظر گرفته می شود که از طریق آن مجرم اقدامی را با هدف به دست آوردن اطلاعات از سوژه قربانی به روشی غیر صادقانه انجام می دهد. به عنوان مثال، این می تواند نوعی دستکاری باشد. با این حال، مهندسی اجتماعی نیز توسط انسان ها در فعالیت های مشروع استفاده می شود. امروزه بیشتر برای دسترسی به منابعی با اطلاعات حساس یا حساس استفاده می شود.

    موسس

    بنیانگذار مهندسی اجتماعی کوین میتنیک است. با این حال، خود این مفهوم از جامعه شناسی به ما رسید. این مجموعه کلی از رویکردهای مورد استفاده توسط اجتماعی کاربردی را نشان می دهد. تمرکز علوم بر تغییر ساختار سازمانی است که می تواند رفتار انسان را تعیین کند و بر آن کنترل اعمال کند. کوین میتنیک را می توان بنیانگذار این علم دانست، زیرا او بود که علوم اجتماعی را رواج داد. مهندسی در دهه اول قرن بیست و یکم خود کوین قبلاً یک هکر بود که به طیف گسترده ای از پایگاه های داده متعهد بود. او استدلال کرد که عامل انسانی آسیب پذیرترین نقطه یک سیستم با هر سطح از پیچیدگی و سازمان است.

    اگر در مورد روش های مهندسی اجتماعی به عنوان راهی برای به دست آوردن حقوق (اغلب غیرقانونی) برای استفاده از داده های محرمانه صحبت کنیم، می توان گفت که آنها برای مدت بسیار طولانی شناخته شده اند. با این حال، این K. Mitnick بود که توانست اهمیت کامل معنای آنها و ویژگی های کاربرد آنها را منتقل کند.

    فیشینگ و پیوندهای موجود نیست

    هر تکنیک مهندسی اجتماعی مبتنی بر وجود تحریفات شناختی است. خطاهای رفتاری تبدیل به یک "ابزار" در دستان یک مهندس ماهر می شود که در آینده می تواند حمله ای را با هدف به دست آوردن داده های مهم ایجاد کند. در بین روش های مهندسی اجتماعی، فیشینگ و پیوندهای غیر موجود متمایز می شوند.

    فیشینگ یک کلاهبرداری آنلاین است که برای به دست آوردن اطلاعات شخصی مانند نام کاربری و رمز عبور طراحی شده است.

    پیوند ناموجود - استفاده از پیوندی که گیرنده را با مزایای خاصی جذب می کند که می توان با کلیک بر روی آن و بازدید از یک سایت خاص به دست آورد. اغلب از نام شرکت‌های بزرگ استفاده می‌شود و تغییرات ظریفی در نام آنها ایجاد می‌شود. قربانی با کلیک بر روی لینک، اطلاعات شخصی خود را "داوطلبانه" به مهاجم منتقل می کند.

    روش های استفاده از مارک ها، آنتی ویروس های معیوب و قرعه کشی جعلی

    مهندسی اجتماعی همچنین از کلاهبرداری با نام تجاری، آنتی ویروس های معیوب و قرعه کشی های جعلی استفاده می کند.

    «تقلب و برندها» یک روش فریب است که آن هم متعلق به بخش فیشینگ است. این شامل ایمیل‌ها و وب‌سایت‌هایی می‌شود که حاوی نام یک شرکت بزرگ و/یا «هایپ» هستند. پیام هایی از صفحات آنها با اطلاع از پیروزی در یک مسابقه خاص ارسال می شود. در مرحله بعد، باید اطلاعات مهم حساب را وارد کرده و آن را سرقت کنید. همچنین فرم داده شدهکلاهبرداری را می توان از طریق تلفن انجام داد.

    قرعه کشی جعلی - روشی که در آن پیامی با این متن برای قربانی ارسال می شود که او (الف) در قرعه کشی برنده شده است. بیشتر اوقات، هشدار با استفاده از نام شرکت های بزرگ پوشانده می شود.

    آنتی ویروس های دروغین کلاهبرداری های نرم افزاری هستند. از برنامه هایی استفاده می کند که شبیه آنتی ویروس هستند. با این حال، در واقعیت، آنها منجر به تولید اعلان‌های نادرست در مورد یک تهدید خاص می‌شوند. آنها همچنین سعی می کنند کاربران را به حوزه تراکنش ها جذب کنند.

    ویشینگ، فحش دادن و بهانه جویی

    وقتی صحبت از مهندسی اجتماعی برای مبتدیان شد، باید به ویشینگ، فریاک و بهانه‌گیری نیز اشاره کنیم.

    Vishing نوعی فریب است که استفاده می کند شبکه های تلفن. اینجا، از قبل ضبط شده است پیام های صوتی، که هدف آن بازآفرینی «تماس رسمی» ساختار بانکی یا هر سیستم تلفن گویا دیگری است. اغلب از آنها خواسته می شود که یک نام کاربری و / یا رمز عبور را وارد کنند تا هر گونه اطلاعات را تأیید کنند. به عبارت دیگر، سیستم نیاز به احراز هویت توسط کاربر با استفاده از پین یا رمز عبور دارد.

    Phreaking شکل دیگری از کلاهبرداری تلفنی است. این یک سیستم هک با استفاده از دستکاری صدا و شماره گیری صدا است.

    بهانه سازی حمله ای است با استفاده از یک طرح از پیش تعیین شده، که ماهیت آن نشان دادن موضوع دیگری است. یک راه بسیار دشوار برای تقلب، زیرا نیاز به آماده سازی دقیق دارد.

    Quid Pro Quo و روش Apple Road

    نظریه مهندسی اجتماعی یک پایگاه داده چند وجهی است که شامل هر دو روش فریب و دستکاری و همچنین راه های مقابله با آنها می شود. وظیفه اصلی مزاحمان، به عنوان یک قاعده، به دست آوردن اطلاعات ارزشمند است.

    انواع دیگر کلاهبرداری ها عبارتند از: quid pro quo، روش سیب جاده ای، گشت و گذار در شانه، استفاده از منبع باز و رسانه های اجتماعی معکوس. مهندسی.

    Quid-pro-quo (از زبان لاتین - "برای این") - تلاش برای گرفتن اطلاعات از یک شرکت یا شرکت. این از طریق تماس تلفنی با او یا ارسال پیام به او اتفاق می افتد پست الکترونیک. بیشتر اوقات، مهاجمان خود را به عنوان کارمندان آنها نشان می دهند. پشتیبانی، که وجود یک مشکل خاص در محل کار کارمند را گزارش می کند. سپس راه هایی را برای رفع آن پیشنهاد می کنند، مثلاً با ایجاد نرم افزار. معلوم می شود که نرم افزار معیوب است و جرم را ترویج می کند.

    "سیب جاده" یک روش حمله است که بر اساس ایده یک اسب تروا است. ماهیت آن استفاده است حامل فیزیکیو تغییر اطلاعات به عنوان مثال، آنها می توانند یک کارت حافظه با "خوب" خاصی ارائه دهند که توجه قربانی را به خود جلب کند، تمایل به باز کردن و استفاده از فایل را ایجاد کند یا پیوندهای مشخص شده در اسناد فلش درایو را دنبال کند. شیء "سیب جاده" به داخل رها شده است مکان های اجتماعیو صبر کنید تا یک سوژه نقشه مهاجم را اجرا کند.

    جمع آوری و جستجوی اطلاعات از منابع باز کلاهبرداری است که در آن جمع آوری داده ها بر اساس روش های روانشناسی، توانایی توجه به چیزهای کوچک و تجزیه و تحلیل داده های موجود، به عنوان مثال، صفحات از یک شبکه اجتماعی است. این کافی است راه جدیدمهندسی اجتماعی.

    موج سواری شانه و معکوس اجتماعی. مهندسی

    مفهوم "سرفینگ شانه" خود را به عنوان مشاهده زنده سوژه در معنای تحت اللفظی تعریف می کند. با این نوع ماهیگیری داده ها، مهاجم به مکان های عمومی مانند کافه، فرودگاه، ایستگاه قطار می رود و افراد را تعقیب می کند.

    نباید دست کم گرفت این روش، همانطور که بسیاری از بررسی ها و مطالعات نشان می دهد که یک فرد توجه می تواند مقدار زیادی دریافت کند اطلاعات محرمانهفقط مراقب بودن

    مهندسی اجتماعی (به عنوان سطحی از دانش جامعه شناختی) وسیله ای برای "گرفتن" داده ها است. راه هایی برای به دست آوردن داده هایی وجود دارد که در آن قربانی خودش اطلاعات لازم را به مهاجم ارائه می دهد. با این حال، می تواند به نفع جامعه نیز باشد.

    اجتماعی معکوس مهندسی یکی دیگر از روش های این علم است. استفاده از این اصطلاح در موردی که در بالا ذکر کردیم مناسب می شود: خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. این بیانیه را نباید پوچ تلقی کرد. واقعیت این است که افراد دارای اقتدار در زمینه های خاصی از فعالیت، اغلب با تصمیم خود سوژه به داده های شناسایی دسترسی پیدا می کنند. در اینجا اعتماد اساس است.

    مهم به یاد داشته باشید! به عنوان مثال، کارکنان پشتیبانی هرگز از کاربر رمز عبور نمی خواهند.

    اطلاعات و حفاظت

    آموزش مهندسی اجتماعی می تواند توسط یک فرد هم بر اساس ابتکار شخصی و هم بر اساس مزایایی که در برنامه های آموزشی ویژه استفاده می شود انجام شود.

    مجرمان می توانند از انواع مختلفی از فریب استفاده کنند، از دستکاری گرفته تا تنبلی، زودباوری، حسن نیت کاربر و غیره. محافظت از خود در برابر این نوع حمله بسیار دشوار است، که به دلیل عدم آگاهی قربانی از اینکه او (او) فریب خورد. شرکت ها و شرکت های مختلف برای محافظت از داده های خود در این سطح از خطر اغلب درگیر ارزیابی اطلاعات عمومی هستند. در مرحله بعد، اقدامات حفاظتی لازم در سیاست امنیتی ادغام می شود.

    مثال ها

    نمونه ای از مهندسی اجتماعی (عمل آن) در زمینه پست های فیشینگ جهانی رویدادی است که در سال 2003 رخ داد. در طی این کلاهبرداری، ایمیل‌هایی برای کاربران eBay ارسال شد آدرس ایمیل. آنها مدعی شدند که حساب های متعلق به آنها مسدود شده است. برای لغو مسدود کردن، لازم بود اطلاعات حساب را دوباره وارد کنید. با این حال، نامه ها جعلی بود. آنها به صفحه ای مشابه با صفحه رسمی، اما جعلی ترجمه کردند. بر اساس برآوردهای کارشناسان، ضرر چندان قابل توجهی نبود (کمتر از یک میلیون دلار).

    تعریف مسئولیت

    استفاده از مهندسی اجتماعی ممکن است در برخی موارد مجازات داشته باشد. در تعدادی از کشورها، به عنوان مثال، ایالات متحده، بهانه جویی (فریب با جعل هویت شخص دیگری) با تهاجم به زندگی شخصی. با این حال، در صورتی که اطلاعات به دست آمده در حین بهانه سازی از نظر موضوع یا سازمان محرمانه باشد، ممکن است مجازات قانونی داشته باشد. در حال ضبط مکالمه تلفنی(به عنوان یک روش مهندسی اجتماعی) نیز توسط قانون پیش بینی شده است و برای افراد 250000 دلار جریمه یا تا ده سال حبس را می طلبد. افراد اشخاص حقوقی ملزم به پرداخت 500000 دلار هستند. دوره ثابت می ماند

    روش‌های مهندسی اجتماعی - این همان چیزی است که در این مقاله و همچنین همه چیز مربوط به دستکاری افراد، فیشینگ و سرقت پایگاه‌های مشتریان و موارد دیگر مورد بحث قرار خواهد گرفت. این اطلاعات توسط آندری سریکوف، نویسنده آن، با مهربانی در اختیار ما قرار گرفت، که با تشکر فراوان از او.

    A.Serikov

    A.B.BOROVSKY

    فن آوری های اطلاعاتی هک اجتماعی

    معرفی

    تمایل بشر برای دستیابی به انجام کامل وظایف تعیین شده منجر به توسعه فناوری رایانه مدرن شده است و تلاش برای برآوردن نیازهای متناقض مردم منجر به توسعه محصولات نرم افزاری شده است. داده ها محصولات نرم افزارینه تنها سخت افزار را در حال اجرا نگه دارید، بلکه آن را نیز مدیریت کنید.

    توسعه دانش در مورد یک شخص و یک کامپیوتر منجر به ظهور نوع جدیدی از سیستم ها - "انسان-ماشین" شده است که در آن فرد می تواند به عنوان موقعیت قرار گیرد. سخت افزاراجرای پایدار، کاربردی، چند وظیفه ای سیستم عاملبه نام "روان".

    موضوع کار در نظر گرفتن هک اجتماعی به عنوان شاخه ای از برنامه نویسی اجتماعی است که در آن انسان ها به کمک ضعف ها، تعصبات و کلیشه های انسانی در مهندسی اجتماعی دستکاری می شوند.

    مهندسی اجتماعی و روش های آن

    روش های دستکاری یک شخص مدت هاست که شناخته شده است، آنها عمدتاً از زرادخانه خدمات ویژه مختلف به مهندسی اجتماعی رسیده اند.

    اولین مورد شناخته شده هوش رقابتی به قرن ششم قبل از میلاد برمی گردد و در چین رخ داد، زمانی که چینی ها راز ساخت ابریشم را که توسط جاسوسان رومی به سرقت رفته بود از دست دادند.

    مهندسی اجتماعی علمی است که به عنوان مجموعه ای از روش ها برای دستکاری رفتار انسان بر اساس استفاده از نقاط ضعف عامل انسانی بدون استفاده از ابزار فنی تعریف می شود.

    به عقیده بسیاری از کارشناسان، بزرگترین تهدید برای امنیت اطلاعات دقیقاً روش های مهندسی اجتماعی است، البته فقط به این دلیل که استفاده از هک اجتماعی نیازی به سرمایه گذاری مالی قابل توجه و دانش کامل ندارد. فناوری رایانهو همچنین به این دلیل که افراد دارای برخی تمایلات رفتاری هستند که می توان از آنها برای دستکاری دقیق استفاده کرد.

    و مهم نیست که چقدر بهبود یافته است سیستم های فنیحفاظت، مردم با نقاط ضعف، تعصبات، کلیشه های خود که مدیریت با کمک آنها صورت می گیرد، انسان باقی می مانند. راه اندازی یک "برنامه امنیتی" انسانی دشوارترین و نه همیشه تضمینی ترین کار است، زیرا این فیلتر باید دائماً تنظیم شود. در اینجا، بیش از هر زمان دیگری، شعار اصلی همه کارشناسان امنیتی مرتبط به نظر می رسد: "امنیت یک فرآیند است، نه یک نتیجه".

    زمینه های کاربرد مهندسی اجتماعی:

    1. بی ثباتی عمومی کار سازمان به منظور کاهش نفوذ آن و احتمال نابودی کامل بعدی سازمان.
    2. کلاهبرداری مالی در سازمان ها؛
    3. فیشینگ و سایر روش‌های سرقت رمز عبور به منظور دسترسی به داده‌های بانکی شخصی افراد؛
    4. سرقت پایگاه داده های مشتری؛
    5. هوش رقابتی؛
    6. اطلاعات کلی در مورد سازمان، نقاط قوت آن و نقاط ضعف، با هدف تخریب بعدی این سازمان به یک روش (اغلب برای حملات مهاجم استفاده می شود).
    7. اطلاعاتی در مورد امیدوارترین کارمندان به منظور "جلوگیری" بیشتر آنها در سازمان خود؛

    برنامه نویسی اجتماعی و هک اجتماعی

    برنامه نویسی اجتماعی را می توان رشته ای کاربردی نامید که با تأثیر هدفمند بر یک فرد یا گروهی از افراد به منظور تغییر یا حفظ رفتار آنها در جهت درست سروکار دارد. بنابراین، برنامه نویس اجتماعی هدف خود را تسلط بر هنر مدیریت افراد قرار می دهد. مفهوم اصلی برنامه‌ریزی اجتماعی این است که بسیاری از کنش‌های افراد و واکنش‌های آنها به این یا آن تأثیر خارجی در بسیاری از موارد قابل پیش‌بینی است.

    روش‌های برنامه‌ریزی اجتماعی جذاب هستند، زیرا یا هیچ‌کس هرگز در مورد آن‌ها نمی‌داند، یا حتی اگر کسی چیزی را حدس بزند، پاسخگو نگه داشتن چنین شخصیتی بسیار دشوار است و در برخی موارد می‌توان رفتار افراد را «برنامه‌نویسی» کرد. شخص و یک گروه بزرگ این فرصت‌ها دقیقاً به این دلیل به دسته هک اجتماعی تعلق دارند که در همه آنها افراد به اراده شخص دیگری عمل می‌کنند، گویی از "برنامه" نوشته شده توسط یک هکر اجتماعی اطاعت می‌کنند.

    هک اجتماعی به عنوان فرصتی برای هک کردن یک فرد و برنامه ریزی او برای انجام اقدامات لازم از برنامه نویسی اجتماعی - یک رشته کاربردی مهندسی اجتماعی است که در آن متخصصان در این زمینه - هکرهای اجتماعی - از تکنیک های تأثیر روانی و مهارت های بازیگری وام گرفته شده از زرادخانه استفاده می کنند. از خدمات ویژه

    هک اجتماعی در بیشتر موارد برای حمله به شخصی که بخشی از یک سیستم کامپیوتری است استفاده می شود. سیستم کامپیوتری، که هک می شود، به خودی خود وجود ندارد. این شامل یک جزء مهم است - یک شخص. و برای به دست آوردن اطلاعات، یک هکر اجتماعی باید فردی را که با رایانه کار می کند هک کند. در بیشتر موارد، انجام این کار آسان تر از هک کردن رایانه قربانی است و سعی در یافتن رمز عبور از این طریق است.

    الگوریتم معمولی نفوذ در هک اجتماعی:

    همه حملات هکرهای اجتماعی در یک طرح نسبتا ساده قرار می گیرند:

    1. هدف از تأثیر بر یک شی خاص فرموله شده است.
    2. اطلاعات مربوط به جسم به منظور یافتن راحت ترین اهداف برای قرار گرفتن در معرض جمع آوری می شود.
    3. مستقر اطلاعات جمع آوری شدهمرحله ای تحقق می یابد که روانشناسان آن را جذب می نامند. جاذبه (از lat. Attrahere - جذب کردن، جذب کردن) ایجاد شرایط لازم برای تأثیرگذاری بر یک شی است.
    4. اجبار به اقدام لازم برای هکر اجتماعی؛

    اجبار با انجام مراحل قبل حاصل می شود، یعنی پس از حصول جاذبه، خود قربانی اقدامات لازم برای مهندس اجتماعی را انجام می دهد.

    بر اساس اطلاعات جمع‌آوری‌شده، هکرهای اجتماعی به طور دقیق نوع روانی و اجتماعی قربانی را پیش‌بینی می‌کنند و نه تنها نیاز به غذا، رابطه جنسی و غیره، بلکه نیاز به عشق، نیاز به پول، نیاز به راحتی و غیره را نیز شناسایی می‌کنند. .، و غیره.

    و واقعاً، چرا سعی کنید به این یا آن شرکت نفوذ کنید، رایانه ها، دستگاه های خودپرداز را هک کنید، ترکیبات پیچیده ای را سازماندهی کنید، زمانی که می توانید همه چیز را آسان تر کنید: عاشق خود شوید تا فردی که به میل خود آزادانه پول را به یک نفر منتقل می کند. حساب مشخص شده یا هر بار اطلاعات لازم را به اشتراک بگذارید؟

    هکرهای اجتماعی و برنامه نویسان اجتماعی بر اساس این واقعیت که اعمال افراد قابل پیش بینی است و همچنین تابع قوانین خاصی است، هم از ترفندهای چند مرحله ای اصلی و هم از ترفندهای ساده مثبت و منفی مبتنی بر روانشناسی هوشیاری انسان، برنامه های رفتاری، ارتعاشات اندام های داخلی، منطقی استفاده می کنند. تفکر، تخیل، حافظه، توجه. این رویکردها عبارتند از:

    مولد چوب - نوساناتی با همان فرکانس فرکانس نوسانات اندام های داخلی ایجاد می کند، پس از آن یک اثر رزونانس مشاهده می شود، در نتیجه افراد شروع به احساس ناراحتی شدید و حالت وحشت می کنند.

    تأثیر بر جغرافیای جمعیت - برای انحلال مسالمت آمیز تهاجمی بسیار خطرناک، گروه های بزرگاز مردم؛

    صداهای با فرکانس بالا و فرکانس پایین - برای تحریک وحشت و آن اثر معکوسو همچنین دستکاری های دیگر؛

    برنامه تقلید اجتماعی - شخص صحت اقدامات را تعیین می کند و متوجه می شود که چه اقداماتی را افراد دیگر صحیح می دانند.

    برنامه کلاکرینگ - (بر اساس تقلید اجتماعی) سازماندهی واکنش لازم مخاطبان؛

    صف بندی - (بر اساس تقلید اجتماعی) یک ترفند تبلیغاتی ساده اما مؤثر.

    برنامه کمک متقابل - شخص به دنبال جبران خیر به افرادی است که به او نوعی خیر انجام داده اند. تمایل به انجام این برنامه اغلب از همه استدلال های عقلی فراتر می رود.

    هک اجتماعی در اینترنت

    با ظهور و توسعه اینترنت - یک محیط مجازی متشکل از افراد و تعاملات آنها، محیط برای دستکاری یک فرد برای به دست آوردن اطلاعات لازم و انجام اقدامات لازم گسترش یافته است. امروزه اینترنت یک رسانه پخش جهانی است، رسانه ای برای همکاری، ارتباط و پوشش کل زمین. این همان چیزی است که مهندسان اجتماعی برای رسیدن به اهداف خود از آن استفاده می کنند.

    راه های دستکاری یک شخص از طریق اینترنت:

    در دنیای مدرن، صاحبان تقریباً هر شرکتی قبلاً متوجه شده اند که اینترنت ابزار بسیار مؤثر و مناسبی برای گسترش یک تجارت است و وظیفه اصلی آن افزایش سود کل شرکت است. مشخص است که تبلیغات بدون اطلاعات با هدف جلب توجه به شی مورد نظر، ایجاد یا حفظ علاقه به آن و تبلیغ آن در بازار استفاده می شود. تنها، با توجه به این واقعیت که بازار تبلیغات مدت هاست تقسیم شده است، اکثر انواع تبلیغات برای اکثر کارآفرینان پول هدر می رود. تبلیغات اینترنتی فقط یکی از انواع تبلیغات در رسانه نیست، چیزی بیشتر است، زیرا با کمک تبلیغات اینترنتی افراد علاقه مند به همکاری به سایت سازمان مراجعه می کنند.

    تبلیغات اینترنتی بر خلاف تبلیغات در رسانه ها، گزینه ها و پارامترهای بسیار بیشتری برای مدیریت یک شرکت تبلیغاتی دارد. اکثر شاخص مهمتبلیغات اینترنتی همین است هزینه تبلیغات اینترنتی فقط در صورت انتقال کسر می شودکاربر علاقه مند بر روی لینک آگهی، که البته باعث می شود تبلیغات در اینترنت موثرتر و کم هزینه تر از تبلیغات در رسانه ها باشد. بنابراین، با تبلیغ در تلویزیون یا رسانه های چاپی، آنها هزینه آن را به طور کامل پرداخت می کنند و فقط منتظر مشتریان بالقوه هستند، اما مشتریان می توانند به تبلیغات پاسخ دهند یا نه - همه اینها به کیفیت تولید و ارائه تبلیغات در تلویزیون یا روزنامه ها بستگی دارد. اما بودجه تبلیغات قبلاً در این مورد هزینه شده است که اگر تبلیغات کار نمی کرد هدر می رفت. برخلاف چنین تبلیغات رسانه‌ای، تبلیغات آنلاین توانایی ردیابی پاسخ مخاطبان و مدیریت تبلیغات آنلاین را قبل از اتمام بودجه آن دارد، علاوه بر این، تبلیغات آنلاین می‌تواند زمانی که تقاضا برای محصولات افزایش یافته است متوقف شود و زمانی که تقاضا شروع به کاهش می‌کند از سر گرفته شود.

    یکی دیگر از راه های نفوذ، به اصطلاح "کشتن انجمن" است که در آن با کمک برنامه های اجتماعی، ضد تبلیغات برای یک پروژه خاص ایجاد می کنند. برنامه نویس اجتماعی در این موردتنها با کمک اقدامات تحریک آمیز آشکار، انجمن را تخریب می کند، در حالی که از چندین نام مستعار استفاده می کند ( نام مستعار) برای ایجاد یک گروه ضد رهبر در اطراف خود و جذب بازدیدکنندگان دائمی از پروژه که از رفتار مدیریت ناراضی هستند. در پایان چنین رویدادهایی در انجمن، تبلیغ کالا یا ایده غیرممکن می شود. چرا انجمن در ابتدا طراحی شد؟

    به روش های تأثیرگذاری بر شخص از طریق اینترنت برای اهداف مهندسی اجتماعی:

    فیشینگ نوعی کلاهبرداری اینترنتی به منظور دسترسی به اطلاعات محرمانه کاربر - لاگین و رمز عبور است. این عملیاتبه دست آمده از طریق ارسال های انبوه ایمیل هااز طرف مارک های محبوب، و همچنین پیام های خصوصی در داخل خدمات مختلف(رامبلر)، بانک ها یا داخل شبکه های اجتماعی(فیس بوک). نامه اغلب حاوی پیوندی به یک سایت است که ظاهراً از سایت واقعی قابل تشخیص نیست. پس از اینکه کاربر در یک صفحه جعلی قرار گرفت، مهندسان اجتماعی از تکنیک‌های مختلفی استفاده می‌کنند تا کاربر را تشویق کنند که نام کاربری و رمز عبور خود را در صفحه وارد کند، که از آن برای دسترسی به یک سایت خاص استفاده می‌کند که به آنها امکان دسترسی به حساب‌ها و حساب‌های بانکی را می‌دهد.

    بیشتر نمای خطرناککلاهبرداری از فیشینگ، به اصطلاح Pharming است.

    Pharming مکانیزمی است برای هدایت مخفیانه کاربران به سایت های فیشینگ. یک مهندس اجتماعی ویژه رایانه های کاربران را توزیع می کند بد افزار، که پس از راه اندازی در رایانه، درخواست ها را از سایت های لازم به سایت های جعلی هدایت می کند. بنابراین، رازداری بالای حمله تضمین می شود و مشارکت کاربر به حداقل می رسد - کافی است منتظر بمانید تا کاربر تصمیم بگیرد از سایت های مورد علاقه مهندس اجتماعی بازدید کند.

    نتیجه

    مهندسی اجتماعی علمی برخاسته از جامعه شناسی است و ادعا می کند که کلیت دانشی است که فرآیند ایجاد، نوسازی و بازتولید واقعیت های اجتماعی جدید ("مصنوعی") را هدایت، نظم می دهد و بهینه می کند. به روشی معین، علم جامعه شناسی را "تمام" می کند، آن را در مرحله تبدیل دانش علمی به مدل ها، پروژه ها و ساختارهای نهادهای اجتماعی، ارزش ها، هنجارها، الگوریتم های فعالیت، روابط، رفتار و غیره تکمیل می کند.

    علیرغم اینکه مهندسی اجتماعی یک علم نسبتاً جوان است، آسیب زیادی به فرآیندهایی که در جامعه می گذرد وارد می کند.

    ساده ترین روش های محافظت در برابر تأثیر این علم مخرب را می توان نام برد:

    جلب توجه مردم به مسائل امنیتی

    آگاهی کاربران از جدی بودن مشکل و اتخاذ سیاست امنیتی سیستم.

    ادبیات

    1. R. Petersen Linux: راهنمای کامل: مطابق. از انگلیسی. - 3 - ویرایش. - K .: BHV Publishing Group, 2000. - 800 p.

    2. از Grodnev اینترنت در خانه شما. - M .: "RIPOL CLASSIC"، 2001. -480 p.

    3. M. V. Kuznetsov مهندسی اجتماعی و هک اجتماعی. SPb.: BHV-Petersburg, 2007. - 368 p.: ill.

    بیشتر بخوانید: