• Sosyal mühendislik. Sosyal mühendislik üzerine bir ders kitabı. Sosyal mühendislik uygulamaları

    sosyal mühendislik

    sosyal mühendislik teknik araçlar kullanılmadan bilgi veya bilgi depolama sistemlerine yetkisiz erişim yöntemidir. Diğer bilgisayar korsanları ve korsanlar gibi toplum mühendislerinin temel amacı, bilgileri, şifreleri, kredi kartı bilgilerini vb. çalmak için güvenli sistemlere erişim sağlamaktır. Basit bilgisayar korsanlığından temel farkı, bu durumda saldırı nesnesi olarak makinenin değil, operatörünün seçilmesidir. Bu nedenle, sosyal mühendisliğin tüm yöntem ve teknikleri, son derece yıkıcı olarak kabul edilen insan faktörünün zayıflıklarının kullanımına dayanmaktadır, çünkü saldırgan, örneğin normal bir telefon görüşmesi yoluyla veya organizasyona sızarak bilgi alır. çalışanının kılığında. Bu tür saldırılara karşı korunmak için en yaygın dolandırıcılık türlerinin farkında olmanız, saldırganların gerçekte ne istediğini anlamanız ve zamanında uygun bir güvenlik politikası oluşturmanız gerekir.

    Hikaye

    "Sosyal mühendislik" kavramının nispeten yakın zamanda ortaya çıkmasına rağmen, insanlar şu ya da bu şekilde onun tekniklerini yüzyıllardır kullandılar. Antik Yunanistan ve Roma'da, muhatabı bariz yanlışlığına çeşitli şekillerde ikna edebilen insanlara büyük saygı duyulurdu. Liderler adına konuşarak diplomatik müzakereler yürüttüler. Yalanları, dalkavuklukları ve avantajlı argümanları ustaca kullanarak, genellikle kılıcın yardımı olmadan çözülmesi imkansız görünen sorunları çözdüler. Casuslar arasında toplum mühendisliği her zaman ana silah olmuştur. Başka bir kişi gibi davranan KGB ve CIA ajanları, gizli devlet sırlarını ortaya çıkarabilir. 70'lerin başında, phreaking'in en parlak döneminde, bazı telefon holiganları telekom operatörlerini aradı ve şirketlerin teknik personelinden gizli bilgileri almaya çalıştı. Hilelerle yapılan çeşitli deneylerden sonra, 70'lerin sonunda phreaker'lar, hazırlıksız operatörleri manipüle etme tekniklerinde o kadar ustalaştılar ki, onlardan istedikleri neredeyse her şeyi kolayca öğrenebildiler.

    Toplum mühendisliğinin ilke ve teknikleri

    Toplum mühendislerinin kullandığı çeşitli yaygın teknikler ve saldırı türleri vardır. Bu tekniklerin tümü, bilişsel (ayrıca bkz. Bilişsel) önyargılar olarak bilinen insan karar verme özelliklerine dayanmaktadır. Bu önyargılar, her bir vaka için en uygun aldatma stratejisini oluşturmak için çeşitli kombinasyonlarda kullanılır. Ancak tüm bu yöntemlerin ortak özelliği yanıltıcı olması, insanı kendisine faydası olmayan ve bir toplum mühendisi için gerekli olan bir eylemi yapmaya zorlamak. Saldırgan, istenen sonuca ulaşmak için bir dizi farklı taktik kullanır: başka bir kişinin kimliğine bürünmek, dikkati dağıtmak, psikolojik stresi artırmak vb. Aldatmanın nihai hedefleri de çok çeşitli olabilir.

    Sosyal Mühendislik Teknikleri

    bahane

    Pretexting, önceden hazırlanmış belirli bir senaryoya (bahane) göre gerçekleştirilen bir dizi eylemdir. Bu teknik, telefon, Skype vb. ses araçlarının kullanımını içerir. ihtiyacınız olan bilgileri almak için. Tipik olarak, üçüncü taraf kılığına giren veya yardıma ihtiyacı olan biri gibi davranan saldırgan, kurbandan bir şifre sağlamasını veya bir kimlik avı web sayfasında oturum açmasını ister, böylece hedefi gerekli eylemi yapmaya veya belirli bilgileri sağlamaya zorlar. Çoğu durumda, bu teknik, saldırının hedefi hakkında bazı başlangıç ​​verilerini gerektirir (örneğin, kişisel veriler: doğum tarihleri, telefon numaraları, hesap numaraları vb.) En yaygın strateji, ilk başta küçük sorgular kullanmak ve bunlardan bahsetmektir. organizasyondaki gerçek kişilerin isimleri. Daha sonra görüşme sırasında saldırgan yardıma ihtiyacı olduğunu açıklar (çoğu insan şüpheli olarak algılanmayan görevleri yerine getirebilir ve yapmaya isteklidir). Bir güven ilişkisi kurulduğunda, dolandırıcı daha önemli ve önemli bir şey isteyebilir.

    E-dolandırıcılık

    "Hesap yeniden etkinleştirme" talebinde bulunan bir e-posta hizmetinden gönderilen bir kimlik avı e-postası örneği

    Kimlik avı (İngilizce kimlik avı, balık tutma - balık tutma, balık tutma), amacı gizli kullanıcı verilerine - oturum açma bilgilerine ve şifrelere - erişmek olan bir tür İnternet dolandırıcılığıdır. Belki de bu, bugüne kadarki en popüler sosyal mühendislik planıdır. Hiçbir büyük kişisel veri ihlali, onu takip eden bir kimlik avı e-postası dalgası olmadan tamamlanmış sayılmaz. Kimlik avının amacı, gizli bilgileri yasa dışı bir şekilde elde etmektir. Bir kimlik avı saldırısının en çarpıcı örneği, kurbana e-posta ile gönderilen ve bir bankadan veya ödeme sisteminden gelen ve belirli bilgilerin veya belirli eylemlerin doğrulanmasını gerektiren resmi bir mektup olarak sahte bir mesajdır. Sebepler en çeşitli olarak adlandırılabilir. Bu veri kaybı, sistem arızası vb. olabilir. Bu tür e-postalar genellikle, resmi sayfaya tıpatıp benzeyen ve gizli bilgileri girmenizi gerektiren bir form içeren sahte bir web sayfasına bağlantı içerir.

    Küresel bir kimlik avı dolandırıcılığının en kötü şöhretli örneklerinden biri, binlerce eBay kullanıcısının hesaplarının askıya alındığını ve hesabın kilidini açmak için kredi kartı bilgilerinin güncellenmesi gerektiğini iddia eden e-postalar aldığı 2003 dolandırıcılığıdır. Bu e-postaların tümü, tıpkı resmi sayfaya benzeyen sahte bir web sayfasına yönlendiren bir bağlantı içeriyordu. Uzmanlara göre, bu dolandırıcılıktan kaynaklanan kayıplar birkaç yüz bin doları buldu.

    Kimlik avı saldırısı nasıl anlaşılır?

    Neredeyse her gün yeni dolandırıcılıklar ortaya çıkıyor. Çoğu kişi, dolandırıcılık mesajlarını ayırt edici özelliklerinden bazılarına aşina olarak kendi başlarına tanımayı öğrenebilir. Kimlik Avı iletileri çoğunlukla şunları içerir:

    • kullanıcı banka hesaplarını kapatmak gibi taciz edici bilgiler veya tehditler.
    • çok az çabayla veya hiç çaba harcamadan büyük nakit ödüller vaat ediyor.
    • hayır kurumları adına gönüllü bağış talepleri.
    • gramer, noktalama ve imla hataları.

    Popüler Kimlik Avı Düzenleri

    En popüler kimlik avı dolandırıcılıkları aşağıda açıklanmıştır.

    Tanınmış şirketlerin markalarını kullanarak dolandırıcılık

    Bu kimlik avı dolandırıcılıkları, büyük veya tanınmış şirketlerin adlarını içeren sahte e-posta mesajları veya web siteleri kullanır. Mesajlar, şirket tarafından düzenlenen bir yarışmayı kazandığınız için tebrikler, kimlik bilgilerinizi veya şifrenizi acilen değiştirmeniz gerektiğini içerebilir. Teknik destek hizmeti adına benzer dolandırıcılık işlemleri telefon üzerinden de gerçekleştirilebilmektedir.

    Sahte piyangolar

    Kullanıcı, bazı tanınmış şirketler tarafından düzenlenen piyangoyu kazandığını belirten mesajlar alabilir. Dışarıdan, bu mesajlar şirketin üst düzey çalışanlarından biri adına gönderilmiş gibi görünebilir.

    Sahte antivirüs ve güvenlik yazılımı
    IVR veya telefonla kimlik avı

    IVR sistemlerinin çalışma prensibi

    qui pro quo

    Quid pro quo (Latince Quid pro quo - "bunun için"), İngilizce'de "quid pro quo" anlamında yaygın olarak kullanılan bir kısaltmadır. Bu saldırı türü, bir saldırganın şirket telefonunu kullanarak bir şirketi aramasını içerir. Çoğu durumda, saldırgan herhangi bir teknik sorun olup olmadığını soran bir teknik destek görevlisi gibi davranır. Dolandırıcı, teknik sorunları "çözme" sürecinde, hedefi, bilgisayar korsanının kullanıcının makinesinde kötü amaçlı yazılım çalıştırmasına veya yüklemesine izin veren komutlar girmeye "zorlar".

    Truva atı

    Bazen Truva atlarının kullanımı, belirli bilgisayarlara, ağlara veya kaynaklara yönelik planlanmış çok aşamalı bir saldırının yalnızca bir parçasıdır.

    Truva atı türleri

    Truva atları çoğunlukla kötü amaçlı amaçlar için geliştirilir. Truva atlarının sisteme nasıl sızıp zarar verdiğine göre kategorilere ayrıldığı bir sınıflandırma vardır. 5 ana tip vardır:

    • uzaktan erişim
    • veri imhası
    • yükleyici
    • sunucu
    • güvenlik programı devre dışı bırakıcı

    Hedefler

    Bir Trojan'ın amacı şunlar olabilir:

    • dosya yükleme ve indirme
    • sahte web sitelerine, sohbet odalarına veya diğer kayıt sitelerine yönlendiren yanlış bağlantıları kopyalamak
    • kullanıcının çalışmasına müdahale
    • kaynaklara yetkisiz erişim için kimlik doğrulama bilgileri dahil olmak üzere değerli veya gizli verileri çalmak, suç amacıyla kullanılabilecek banka hesaplarıyla ilgili ayrıntıları araştırmak
    • virüsler gibi diğer kötü amaçlı yazılımların dağıtımı
    • verilerin ve ekipmanın imhası (bir diskteki verilerin silinmesi veya üzerine yazılması, dosyalarda fark edilmesi zor hasar) ve ekipmanın imhası, bilgisayar sistemlerini, ağları devre dışı bırakma veya hizmet vermeyi reddetme
    • e-posta adreslerini toplamak ve bunları spam göndermek için kullanmak
    • kullanıcıyı gözetlemek ve örneğin web sitelerini ziyaret etme alışkanlığı gibi bilgileri üçüncü şahıslara gizlice iletmek
    • şifreler ve kredi kartı numaraları gibi bilgileri çalmak için tuş vuruşlarını kaydetme
    • anti-virüs programlarının ve güvenlik duvarlarının çalışmasını devre dışı bırakma veya engelleme

    Kılık değiştirmek

    Pek çok Truva atı, kullanıcıların bilgisayarlarında bilgisi dışında bulunur. Bazen Truva atları, işletim sisteminin başlangıcında otomatik olarak başlatılmasına yol açan Kayıt Defterine kaydedilir. Truva atları yasal dosyalarla da birleştirilebilir. Bir kullanıcı böyle bir dosyayı açtığında veya bir uygulamayı başlattığında, onunla birlikte Trojan da başlatılır.

    Trojan nasıl çalışır?

    Truva atları genellikle iki bölümden oluşur: İstemci ve Sunucu. Sunucu, kurban makinede çalışır ve İstemciden gelen bağlantıları dinler. Sunucu çalışırken, İstemciden bağlantı arayan bir bağlantı noktasını veya birden çok bağlantı noktasını izler. Bir saldırganın Sunucuya bağlanabilmesi için üzerinde çalıştığı makinenin IP adresini bilmesi gerekir. Bazı Truva atları, kurban makinenin IP adresini e-posta veya başka bir yöntemle saldırgana gönderir. Sunucu ile bağlantı kurulur kurulmaz İstemci, Sunucunun yürüteceği komutları kendisine gönderebilir. Şu anda, NAT teknolojisi sayesinde, çoğu bilgisayara harici IP adreslerinden erişmek imkansızdır. Bu nedenle, günümüzde birçok Truva atı, saldırganın kurbana bağlanmaya çalışması yerine, saldırganın bağlantı bağlantılarını kabul etmekten sorumlu olan bilgisayarına bağlanmaktadır. Birçok modern Truva atı, kullanıcıların bilgisayarlarındaki güvenlik duvarlarını da kolayca atlayabilir.

    Açık kaynaklardan bilgi toplama

    Sosyal mühendislik tekniklerinin kullanımı sadece psikoloji bilgisini değil, aynı zamanda bir kişi hakkında gerekli bilgileri toplama becerisini de gerektirir. Bu tür bilgileri elde etmenin nispeten yeni bir yolu, onu açık kaynaklardan, özellikle sosyal ağlardan toplamaktı.Örneğin, livejournal, Odnoklassniki, Vkontakte gibi siteler, insanların saklamaya bile çalışmadığı çok büyük miktarda veri içerir. kural , kullanıcılar güvenlik sorunlarına gereken özeni göstermezler ve bir saldırgan tarafından kullanılabilecek veri ve bilgileri serbestçe kullanılabilir bırakırlar.

    Açıklayıcı bir örnek, Eugene Kaspersky'nin oğlunun kaçırılmasının hikayesidir. Soruşturma sırasında, suçluların gencin sosyal ağdaki sayfadaki notlarından günün programını ve güzergâhlarını öğrendikleri belirlendi.

    Kullanıcı, bir sosyal ağdaki sayfalarındaki bilgilere erişimi kısıtlasa bile, bilgilerin asla dolandırıcıların eline geçmeyeceğinden emin olamaz. Örneğin, Brezilyalı bir bilgisayar güvenliği araştırmacısı, sosyal mühendislik tekniklerini kullanarak herhangi bir Facebook kullanıcısının 24 saat içinde arkadaşı olmanın mümkün olduğunu gösterdi. Deney sırasında, araştırmacı Nelson Novaes Neto bir "kurban" seçti ve çevresinden bir kişinin, yani patronunun sahte bir hesabını oluşturdu. Önce Neto, kurbanın patronunun arkadaşlarının arkadaşlarına ve ardından doğrudan arkadaşlarına arkadaşlık istekleri gönderdi. 7.5 saat sonra, araştırmacı “kurban”dan bir arkadaş ekleme elde etti. Böylece araştırmacı, kullanıcının yalnızca arkadaşlarıyla paylaştığı kişisel bilgilerine erişim sağlamıştır.

    yol elması

    Bu saldırı yöntemi, Truva atının bir uyarlamasıdır ve fiziksel ortamların kullanılmasından oluşur. Saldırgan, "enfekte" veya flaşı, ana bilgisayarın kolayca bulunabileceği bir yere (tuvalet, asansör, otopark) yerleştirir. Taşıyıcı, resmiymiş gibi sahte ve beraberinde merak uyandırmak için tasarlanmış bir imza eşlik ediyor. Örneğin, bir dolandırıcı, kurumsal bir logo ve şirketin resmi web sitesine bir bağlantı ile "Yönetim ekibinin maaşı" yazısını sağlayarak kusabilir. Disk asansör katında veya lobide bırakılabilir. Bir çalışan, merakını gidermek için bilmeden bir disketi alıp bir bilgisayara takabilir.

    Tersine sosyal mühendislik

    Tersine sosyal mühendislikten, kurbanın kendisi saldırgana ihtiyaç duyduğu bilgileri sunduğunda bahsedilir. Saçma görünebilir, ancak gerçekte, teknik veya sosyal yetkililer genellikle kullanıcı kimliklerini ve parolaları ve diğer hassas kişisel bilgileri sırf kimsenin dürüstlüğünden şüphe duymadığı için alır. Örneğin, yardım masası çalışanları asla kullanıcılardan kimlik veya parola istemez; sorunları çözmek için bu bilgilere ihtiyaçları yoktur. Ancak birçok kullanıcı, sorunların bir an önce çözülmesi için bu hassas bilgileri gönüllü olarak paylaşmaktadır. Görünüşe göre saldırganın bunu sormasına bile gerek yok.

    Tersine sosyal mühendisliğin bir örneği aşağıdaki basit senaryodur. Saldırgan, kurbanla birlikte çalışarak kurbanın bilgisayarındaki bir dosyanın adını değiştirir veya farklı bir dizine taşır. Kurban dosyanın eksik olduğunu fark ettiğinde, saldırgan dosyayı düzeltebileceğini iddia eder. İşi daha hızlı tamamlamak veya bilgi kaybı nedeniyle cezadan kaçınmak isteyen mağdur bu teklifi kabul eder. Saldırgan, sorunu çözmenin tek yolunun kurbanın kimlik bilgileriyle oturum açmak olduğunu iddia ediyor. Şimdi kurban, saldırgandan dosyayı kurtarmayı denemek için kendi adıyla oturum açmasını istiyor. Saldırgan isteksizce kabul eder ve dosyayı kurtarır, yol boyunca kurbanın kimliğini ve parolasını çalar. Saldırıyı başarıyla gerçekleştirdikten sonra itibarını bile artırdı ve bundan sonra diğer meslektaşlarının ondan yardım istemesi oldukça olası. Bu yaklaşım, normal destek hizmeti prosedürlerine müdahale etmez ve saldırganın yakalanmasını zorlaştırır.

    Önemli toplum mühendisleri

    kevin mitnick

    Kevin Mitnick. Dünyaca ünlü hacker ve güvenlik danışmanı

    Tarihin en ünlü toplum mühendislerinden biri Kevin Mitnick'tir. Dünyaca ünlü bir bilgisayar korsanı ve güvenlik danışmanı olan Mitnick, aynı zamanda bilgisayar güvenliği üzerine, öncelikle sosyal mühendislik ve psikolojik manipülasyon tekniklerine odaklanan çok sayıda kitabın da yazarıdır. 2002 yılında, yazarlığı altında, sosyal mühendisliğin kullanımına ilişkin gerçek hikayeleri anlatan "The Art of Deception" kitabı yayınlandı. Kevin Mitnick, bir güvenlik sistemine girmeye çalışmaktansa hile yaparak şifre almanın çok daha kolay olduğunu savundu.

    Bedir kardeşler

    Mundir, Mushid ve Shadi Badir kardeşler doğuştan kör olmalarına rağmen, 1990'larda İsrail'de sosyal mühendislik ve ses sahteciliği kullanarak birçok büyük dolandırıcılık planını gerçekleştirmeyi başardılar. Bir TV röportajında, "Sadece telefon, elektrik ve dizüstü bilgisayar kullanmayanlar ağ saldırılarına karşı tam sigortalıdır" dediler. Kardeşler, telefon operatörlerinin gizli müdahale tonlarını duyup deşifre edebildikleri için çoktan cezaevine girdiler. Yurtdışında uzun aramalar yaptılar, cep telefonu iletişim sağlayıcılarının bilgisayarlarını parazit tonlarıyla yeniden programladılar.

    başmelek

    "Phrack" dergisinin kapağı

    Tanınmış bir bilgisayar korsanı ve İngilizce yayınlanan ünlü bir çevrimiçi dergi olan Phrack Magazine'in güvenlik danışmanı olan Archangel, kısa sürede çok sayıda farklı sistemden şifreler alarak yüzlerce kurbanı kandırarak sosyal mühendislik tekniklerinin gücünü gösterdi. .

    Diğer

    Daha az bilinen toplum mühendisleri Frank Abagnale, David Bannon, Peter Foster ve Stephen Jay Russell'dır.

    Sosyal mühendisliğe karşı korunma yolları

    Sosyal mühendislik tekniklerini kullanan saldırganlar, saldırılarını gerçekleştirmek için çoğu zaman kurum kullanıcılarının ve çalışanlarının saflığını, tembelliğini, nezaketini ve hatta coşkusunu kullanır. Bu tür saldırılara karşı savunma yapmak kolay değildir çünkü kurbanları aldatıldıklarından şüphelenmeyebilirler. Sosyal mühendislik saldırganları temelde diğer saldırganlarla aynı hedeflere sahiptir: kurban şirketin parasına, bilgisine veya BT kaynaklarına ihtiyaç duyarlar. Bu tür saldırılara karşı korunmak için çeşitlerini incelemeniz, saldırganın neye ihtiyacı olduğunu anlamanız ve kuruma verebileceği zararı değerlendirmeniz gerekir. Tüm bu bilgiler ile gerekli koruma önlemleri güvenlik politikasına entegre edilebilir.

    Tehdit sınıflandırması

    E-posta Tehditleri

    Kurumsal ve özel mail sistemleri üzerinden birçok çalışana günlük onlarca hatta yüzlerce e-mail gelmektedir. Elbette böyle bir yazışma akışıyla her mektuba gereken önemi vermek imkansızdır. Bu, saldırıları gerçekleştirmeyi çok daha kolaylaştırır. E-posta sistemlerinin çoğu kullanıcısı, bu işi kağıtları bir klasörden diğerine kaydırmanın elektronik bir benzeri olarak algılayarak, bu tür mesajların işlenmesi konusunda sakindir. Saldırgan postayla basit bir istek gönderdiğinde, kurban genellikle eylemlerini düşünmeden kendilerinden isteneni yapar. E-postalar, çalışanları kurumsal ortamın güvenliğini ihlal etmeye teşvik eden köprüler içerebilir. Bu tür bağlantılar her zaman hak talebinde bulunulan sayfalara yönlendirmez.

    Çoğu güvenlik önlemi, yetkisiz kullanıcıların kurumsal kaynaklara erişmesini engellemeyi amaçlar. Bir kullanıcı, bir saldırgan tarafından gönderilen bir hiper bağlantıya tıklayarak şirket ağına bir Truva atı veya bir virüs indirirse, bu, birçok koruma türünü atlamayı kolaylaştırır. Köprü ayrıca veri talep eden veya yardım sunan pop-up uygulamaları olan bir siteye işaret edebilir.Diğer dolandırıcılık türlerinde olduğu gibi, kötü niyetli saldırılara karşı korunmanın en etkili yolu, beklenmedik gelen e-postalara karşı şüpheci olmaktır. Bu yaklaşımı bir kuruluş genelinde yaygınlaştırmak için, aşağıda listelenen unsurları kapsayan güvenlik politikasına belirli e-posta kullanım yönergeleri dahil edilmelidir.

    • Belgelere ekler.
    • Belgelerdeki köprüler.
    • Şirket içinden gelen kişisel veya kurumsal bilgi talepleri.
    • Şirket dışından kişisel veya kurumsal bilgi talepleri.

    Sohbet servisinin kullanımıyla ilgili tehditler

    Anlık mesajlaşma, veri aktarmanın nispeten yeni bir yoludur, ancak kurumsal kullanıcılar arasında şimdiden geniş bir popülerlik kazanmıştır. Hızı ve kullanım kolaylığı nedeniyle, bu iletişim yöntemi çeşitli saldırılar için geniş fırsatlar sunar: kullanıcılar bunu bir telefon bağlantısı gibi ele alır ve olası yazılım tehditleriyle ilişkilendirmez. Anlık mesajlaşma hizmetinin kullanımına dayalı iki ana saldırı türü, mesajın gövdesindeki kötü amaçlı yazılıma atıfta bulunulması ve programın kendisinin iletilmesidir. Elbette anlık mesajlaşma da bilgi istemenin bir yoludur. Anlık mesajlaşma servislerinin özelliklerinden biri de iletişimin resmi olmayan doğasıdır. Kendilerine herhangi bir isim verme yeteneği ile birleştiğinde, bu, bir saldırganın başka bir kişinin kimliğine bürünmesini çok daha kolaylaştırır ve ilgili tehditlere karşı koruma sağlamak için güvenlik politikaları mekanizmalarına başarılı bir saldırı başlatma şanslarını önemli ölçüde artırır. Kurumsal bir ortamda anlık mesajlaşma üzerinde güçlü bir kontrole sahip olmak için karşılanması gereken birkaç gereksinim vardır.

    • Anlık mesajlaşma için bir platform seçin.
    • Anlık ileti hizmetini dağıtırken belirlediğiniz güvenlik ayarlarını belirleyin.
    • Yeni bağlantılar kurmak için ilkeleri tanımlayın
    • Parola seçimi için standartlar belirleyin
    • Sohbet servisini kullanmak için önerilerde bulunun.

    katmanlı güvenlik modeli

    Büyük şirketleri ve çalışanlarını sosyal mühendislik tekniklerini kullanan dolandırıcılardan korumak için genellikle karmaşık çok düzeyli güvenlik sistemleri kullanılır. Bu tür sistemlerin bazı özellikleri ve sorumlulukları aşağıda listelenmiştir.

    • Fiziksel güvenlik. Şirket binalarına ve şirket kaynaklarına erişimi kısıtlayan engeller. Şirket tesislerinin dışında bulunan çöp konteynırları gibi şirket kaynaklarının fiziksel olarak korunmadığını unutmayın.
    • Veri. İş bilgileri: hesaplar, posta vb. Tehditleri analiz ederken ve veri korumaya yönelik önlemleri planlarken, kağıt ve elektronik veri taşıyıcılarını ele alma ilkelerini belirlemek gerekir.
    • Uygulamalar. Kullanıcılar tarafından çalıştırılan programlar. Ortamınızı korumak için, saldırganların e-posta programlarını, anlık mesajlaşma servislerini ve diğer uygulamaları nasıl istismar edebileceğini düşünmeniz gerekir.
    • bilgisayarlar. Kuruluşta kullanılan sunucular ve istemci sistemleri. Kurumsal bilgisayarlarda hangi programların kullanılabileceğine ilişkin katı yönergeler tanımlayarak kullanıcıları bilgisayarlarına yönelik doğrudan saldırılardan koruyun.
    • Dahili ağ. Kurumsal sistemlerin etkileşime girdiği bir ağ. Yerel, küresel veya kablosuz olabilir. Son yıllarda, uzaktan çalışma yöntemlerinin artan popülaritesi nedeniyle, dahili ağların sınırları büyük ölçüde keyfi hale geldi. Şirket çalışanlarına, herhangi bir ağ ortamında güvenli çalışmayı organize etmek için ne yapmaları gerektiği açıklanmalıdır.
    • ağ çevresi. Bir şirketin dahili ağları ile İnternet veya ortak kuruluşların ağları gibi harici ağlar arasındaki sınır.

    Sorumluluk

    Telefon görüşmelerini bahane etme ve kaydetme

    Hewlett Packard

    Hewlett Packard Corporation'ın başkanı Patricia Dunn, gizli bilgileri sızdırmaktan sorumlu olan şirket çalışanlarını belirlemek için özel bir şirket tuttuğunu söyledi. Daha sonra, şirketin başkanı çalışmanın bahane uydurma ve diğer sosyal mühendislik tekniklerini kullandığını kabul etti.

    notlar

    Ayrıca bakınız

    Bağlantılar

    • SocialWare.com - Özel toplum mühendisliği projesi

    sosyal mühendislik - insan bilincinin manipülasyonu yoluyla gizli bilgilere yetkisiz erişim. Sosyal mühendislik yöntemleri, psikolojinin özelliklerine dayanır ve insan zayıflıklarından (saflık, dikkatsizlik, merak, ticari çıkarlar) yararlanmayı amaçlar. Hem internette hem de dışında sosyal bilgisayar korsanları tarafından aktif olarak kullanılırlar.

    Bununla birlikte, dijital teknolojiler, web kaynakları, bilgisayarlar, akıllı telefonlar ile ilgili olarak, ağ kullanıcılarının "beyin sisi" biraz farklıdır. Dolandırıcılar, sosyal ağlarda, oyun portallarında, e-posta gelen kutularında ve çevrimiçi hizmetlerde her yerde ve herhangi bir şekilde "tuzaklar", "tuzaklar" ve diğer hileler kurarlar. İşte sosyal mühendislik yöntemlerinden sadece birkaç örnek:

    Tatil hediyesi olarak ... bir Truva atı

    Karakteri, mesleği, maddi durumu ne olursa olsun, herkes tatilleri bekliyor: Yeni Yıl, 1 Mayıs, 8 Mart, Sevgililer Günü vb. yol boyunca, yoldaşlarınızla tebrik alışverişinde bulunun.

    Bu noktada, sosyal bilgisayar korsanları özellikle aktiftir. Tatil öncesi ve resmi tatillerde, posta hizmeti hesaplarına kartpostallar gönderirler: parlak, renkli, müzik eşliğinde ve... tehlikeli bir Trojan virüsü. Kurban, böyle bir aldatmaca hakkında hiçbir şey bilmeden, eğlencenin coşkusu içinde ya da sadece merak içinde, kartpostalı tıklar. Aynı zamanda, kötü amaçlı yazılım işletim sistemine bulaşır ve ardından kayıt verilerini, ödeme kartı numarasını çalmak veya bir tarayıcıdaki çevrimiçi mağazanın web sayfasını sahte bir sayfayla değiştirmek ve siteden para çalmak için doğru anı bekler. hesap.

    Uygun indirim ve virüs "yüke"

    Harika bir toplum mühendisliği örneği. Zor kazanılan parayı "kurtarma" arzusu oldukça haklı ve anlaşılır, ancak makul sınırlar içinde ve belirli koşullar altında. "Parıldayan her şey altın değildir" ile ilgili.

    En büyük markaların, çevrimiçi mağazaların ve hizmetlerin kisvesi altındaki dolandırıcılar, uygun tasarımla, inanılmaz bir indirimle mal satın almayı teklif ediyor ve satın almanın yanı sıra bir hediye alıyorlar ... Sahte postalar yapıyorlar, sosyal ağlarda gruplar oluşturuyorlar forumlarda ağlar ve tematik "dallar".

    Naif kasaba halkı, dedikleri gibi, bu parlak ticari afişe "yönlendirilir": maaştan, avans ödemesinden ne kadar kaldığını aceleyle yeniden hesaplarlar ve "satın al", "satın almak için siteye git" bağlantısını tıklarlar. vesaire. Bundan sonra, 100 vakadan 99'unda karlı bir satın alma yerine bilgisayarlarına virüs bulaşıyor veya sosyal korsanlara ücretsiz olarak para gönderiyorlar.

    Oyuncu Bağışı +%300 hırsızlık becerileri

    Çevrimiçi oyunlarda ve genel olarak çok oyunculu oyunlarda, nadir istisnalar dışında, en güçlü olan hayatta kalır: kim daha güçlü zırha, hasara, daha güçlü sihire, daha fazla sağlığa, daha fazla manaya vb. sahipse.

    Ve tabii ki, her oyuncu İran, tank, uçak ve Tanrı bilir başka neler için bu değerli eserleri almak ister. Savaşlarda veya kampanyalarda, kişisel olarak veya sanal oyun mağazasında gerçek parayla (bağış işlevi). En iyi olmak, ilk olmak... son gelişim düzeyine ulaşmak.

    Dolandırıcılar, bu "oyun zayıflıklarının" farkındadır ve mümkün olan her şekilde oyuncuları değerli eserler ve beceriler kazanmaya teşvik eder. Bazen para karşılığında, bazen bedava ama bu hain planın özünü ve amacını değiştirmiyor. Sahte sitelerdeki cazip teklifler şuna benzer: "bu uygulamayı indir", "yamayı yükle", "öğeyi almak için oyuna gir".


    Uzun zamandır beklenen bir bonus yerine bir oyuncunun hesabı çalındı. Mükemmel bir şekilde "pompalanırsa", kaçıranlar onu satar veya (varsa) ödeme verilerini ondan alır.

    Kötü amaçlı yazılım + sosyal mühendislik = bir sinsilik karışımı

    Dikkat Simgeleri!

    Birçok kullanıcı işletim sisteminde fareyi "otomatik pilotta" kullanır: burayı, burayı tıklayın; bunu, bunu, bunu keşfetti. İçlerinden birinin dosya türlerine, hacimlerine ve özelliklerine yakından bakması nadirdir. Ama boşuna. Bilgisayar korsanları, kötü amaçlı yürütülebilir dosyaları normal Windows klasörleri, resimler veya güvenilir uygulamalar olarak gizler, böylece onları görsel olarak ayırt edemezsiniz. Kullanıcı klasörü tıklar, içeriği elbette açılmaz çünkü bu hiç bir klasör değil, .exe uzantılı bir virüs yükleyicisidir. Ve kötü amaçlı yazılım "sessizce" işletim sistemine girer.

    Bu tür hileler için gerçek "panzehir", Total Commander dosya yöneticisidir. Tümleşik Windows Gezgini'nin aksine, bir dosyanın tüm ayrıntılarını görüntüler: tür, boyut, oluşturma tarihi. Sistem için en büyük potansiyel tehlike, ".scr", ".vbs", ".bat", ".exe" uzantılarına sahip bilinmeyen dosyalardır.

    Korku güveni besler

    1. Kullanıcı bir "korku sitesi" açar ve en tatsız haberler, hatta haberler hakkında hemen bilgilendirilir: "PC'nize en tehlikeli truva atı bulaştı", "İşletim sisteminizde 10, 20 ... 30 virüs bulundu ”, “Bilgisayarınızdan spam gönderiliyor” vb.
    2. Ve hemen bir antivirüs yüklemeyi ("dikkat" göstermeyi) teklif ederler ve bu nedenle sitede dile getirilen güvenlik sorununu çözerler. Ve en önemlisi, tamamen ücretsiz.
    3. Bir ziyaretçi bilgisayarı için korkudan bunalırsa, bağlantıyı takip eder ve indirir ... yalnızca bir antivirüs değil, sahte bir antivirüs - virüslerle doldurulmuş sahte. Yüklemeler ve başlatmalar - sonuçlar uygundur.

    • İlk olarak, bir web sitesi bir ziyaretçinin bilgisayarını göz açıp kapayıncaya kadar kontrol edemez ve kötü amaçlı yazılım tespit edemez.
    • İkincisi, geliştiriciler antivirüslerini ücretli veya ücretsiz olarak kendi siteleri aracılığıyla dağıtırlar, yani resmi siteler.
    • Ve son olarak, üçüncü olarak, "temiz" bir işletim sistemi hakkında şüpheler ve korkular varsa, sistem bölümünü mevcut olanla, yani kurulu antivirüs ile kontrol etmek daha iyidir.

    Özetliyor

    Bugün psikoloji ve bilgisayar korsanlığı el ele gidiyor - insan zayıflıklarından ve yazılım açıklarından yararlanmanın bir ikilisi. İnternette, tatillerde ve hafta içi günlerde, gece veya gündüz ve hangi ruh halinde olursa olsun uyanık olmak, saflığı bastırmak, ticari kazanç ve "bedava" bir şey sezgilerini uzaklaştırmak zorunludur. Çünkü bildiğiniz gibi sadece peynir bedavaya ve sadece fare kapanı içinde dağıtılıyor. Sadece şifreler oluşturun, onları yerlerde saklayın ve bizimle kalın, çünkü bildiğiniz gibi çok fazla güvenlik diye bir şey yok.

    Sosyal mühendislik yöntemleri - bu makalenin yanı sıra insanların manipülasyonu, kimlik avı ve müşteri tabanlarının çalınması ve daha fazlası ile ilgili her şeyin tartışılacağı şey budur. Bilgiler, yazarı olduğu ve kendisine çok teşekkür ettiği Andrey Serikov tarafından bize nazikçe sağlandı.

    A.SERİKOV

    A.B.BOROVSKY

    SOSYAL HACKING BİLGİ TEKNOLOJİLERİ

    giriiş

    İnsanoğlunun belirlenen görevleri mükemmel bir şekilde yerine getirme arzusu, modern bilgisayar teknolojisinin gelişmesine yol açmış ve insanların çelişen gereksinimlerini karşılama girişimleri, yazılım ürünlerinin geliştirilmesine yol açmıştır. Bu yazılım ürünleri, donanımı çalışır durumda tutmakla kalmaz, aynı zamanda yönetir.

    Bir kişi ve bir bilgisayar hakkındaki bilginin geliştirilmesi, temelde yeni bir sistem türünün ortaya çıkmasına yol açtı - "insan-makine"; ruh".

    Çalışmanın konusu, sosyal mühendislikte insan zayıflıkları, ön yargıları ve kalıpyargıları yardımıyla insanın manipüle edildiği sosyal programlamanın bir dalı olarak sosyal hacklemenin ele alınmasıdır.

    Sosyal mühendislik ve yöntemleri

    Bir kişiyi manipüle etme yöntemleri uzun zamandır biliniyor, esas olarak çeşitli özel hizmetlerin cephaneliğinden sosyal mühendisliğe geldiler.

    Bilinen ilk rekabetçi istihbarat vakası, MÖ 6. yüzyıla kadar uzanıyor ve Çin'de, Çinlilerin Romalı casuslar tarafından hileyle çalınan ipek yapma sırrını kaybetmesiyle meydana geldi.

    Sosyal mühendislik, teknik araçlar kullanılmadan, insan faktörünün zayıflıklarının kullanılmasına dayanan, insan davranışını manipüle etmeye yönelik bir dizi yöntem olarak tanımlanan bir bilim dalıdır.

    Pek çok uzmana göre, bilgi güvenliğine yönelik en büyük tehdit, tam olarak sosyal mühendislik yöntemleridir, çünkü sosyal korsanlığın kullanımı önemli finansal yatırımlar ve kapsamlı bilgisayar teknolojisi bilgisi gerektirmez ve ayrıca insanların bazı davranışsal eğilimleri olabilir. dikkatli kullanım için kullanılmalıdır.

    Ve teknik koruma sistemleri ne kadar iyileştirilirse geliştirilsin, insanlar zayıf yönleri, önyargıları, klişeleri olan, hangi yönetimin gerçekleştiği yardımıyla insan olarak kalacaklardır. Bir insan "güvenlik programı" oluşturmak, bu filtrenin sürekli olarak ayarlanması gerektiğinden işin en zor ve her zaman garanti edilmeyen sonucudur. Burada, tüm güvenlik uzmanlarının ana sloganı her zamankinden daha alakalı geliyor: "Güvenlik bir sonuç değil, bir süreçtir"

    Sosyal mühendisliğin uygulama alanları:

    1. etkisini ve daha sonra örgütün tamamen yok edilmesi olasılığını azaltmak için kuruluşun çalışmasının genel istikrarsızlaştırılması;
    2. kuruluşlarda finansal dolandırıcılık;
    3. bireylerin kişisel bankacılık verilerine erişmek için kimlik avı ve diğer parola çalma yöntemleri;
    4. müşteri veritabanlarının çalınması;
    5. Rekabetci zeka;
    6. bu organizasyonun şu ya da bu şekilde daha sonra imha edilmesi amacıyla organizasyon, güçlü ve zayıf yönleri hakkında genel bilgiler (genellikle akıncı saldırıları için kullanılır);
    7. en çok umut vadeden çalışanlar hakkında onları kendi kuruluşlarına daha fazla "kaçak olarak sokmak" için bilgi;

    Sosyal programlama ve sosyal hackleme

    Sosyal programlama, davranışlarını doğru yönde değiştirmek veya sürdürmek için bir kişi veya grup üzerinde amaçlı etki ile ilgilenen uygulamalı bir disiplin olarak adlandırılabilir. Böylece, sosyal programcı, insanları yönetme sanatında ustalaşma hedefini belirler. Sosyal programlamanın ana konsepti, insanların eylemlerinin çoğunun ve şu veya bu dış etkiye tepkilerinin çoğu durumda tahmin edilebilir olmasıdır.

    Sosyal programlama yöntemleri çekicidir, çünkü ya hiç kimse onlar hakkında bir şey bilmeyecektir ya da birisi bir şeyi tahmin etse bile, böyle bir figürü sorumlu tutmak çok zordur ve bazı durumlarda insanların davranışlarını "programlamak" mümkündür ve biri kişi ve büyük bir grup. Bu fırsatlar, tam olarak sosyal korsanlık kategorisine aittir, çünkü hepsinde insanlar, sanki bir sosyal korsan tarafından yazılmış bir "programa" uyuyormuş gibi, başka birinin iradesini yerine getirir.

    Bir kişiyi hackleme ve onu gerekli eylemleri gerçekleştirmesi için programlama fırsatı olarak sosyal hackleme, bu alandaki uzmanların - sosyal hackerların - psikolojik etki tekniklerini ve cephanelikten ödünç alınan oyunculuk becerilerini kullandıkları uygulamalı bir sosyal mühendislik disiplini olan sosyal programlamadan gelir. özel hizmetlerden.

    Bir bilgisayar sisteminin parçası olan bir kişiye saldırı söz konusu olduğunda çoğu durumda sosyal bilgisayar korsanlığı kullanılır. Saldırıya uğrayan bir bilgisayar sistemi kendi başına mevcut değildir. Önemli bir bileşen içerir - bir kişi. Ve bilgi almak için, bir sosyal bilgisayar korsanının bilgisayarla çalışan bir kişiyi hacklemesi gerekir. Çoğu durumda, bunu yapmak, kurbanın bilgisayarına girip şifreyi bu şekilde bulmaya çalışmaktan daha kolaydır.

    Sosyal bilgisayar korsanlığında tipik etki algoritması:

    Sosyal korsanların tüm saldırıları, oldukça basit bir şemaya uyar:

    1. belirli bir nesne üzerindeki etkinin amacı formüle edilir;
    2. maruz kalma için en uygun hedefleri bulmak için nesne hakkında bilgi toplanır;
    3. toplanan bilgilere dayanarak, psikologların çekim dediği bir aşama gerçekleştirilir. Cazibe (lat. Attrahere'den - çekmek, çekmek), bir nesneyi etkilemek için gerekli koşulların yaratılmasıdır;
    4. sosyal hacker için gerekli eyleme zorlama;

    Zorlama, önceki aşamalar gerçekleştirilerek sağlanır, yani çekim sağlandıktan sonra, toplum mühendisi için gerekli eylemleri kurbanın kendisi yapar.

    Toplanan bilgilere dayanarak, sosyal bilgisayar korsanları kurbanın psiko- ve sosyotipini doğru bir şekilde tahmin ederek yalnızca yemek, seks vb. ihtiyaçlarını değil, aynı zamanda aşk ihtiyacını, para ihtiyacını, rahatlık ihtiyacını vb. ., vesaire.

    Ve gerçekten, her şeyi kolaylaştırabilecekken neden şu veya bu şirkete girmeye, bilgisayarları, ATM'leri hacklemeye, karmaşık kombinasyonlar düzenlemeye çalışalım: kendi özgür iradesiyle bir başkasına para aktaracak bir kişinin bilinçsizliğine kendinize aşık olun. Belirtilen hesap veya her seferinde gerekli bilgileri paylaşmak?

    İnsanların eylemlerinin öngörülebilir olduğu ve aynı zamanda belirli yasalara tabi olduğu gerçeğine dayanarak, sosyal korsanlar ve sosyal programcılar hem orijinal çok adımlı hem de insan bilinci psikolojisine, davranış programlarına, iç organların titreşimlerine, mantıksal temellere dayanan basit pozitif ve negatif hileler kullanırlar. düşünme, hayal gücü, hafıza, dikkat. Bu yaklaşımlar şunları içerir:

    Ahşap jeneratör - iç organların salınım frekansı ile aynı frekansta salınımlar üretir, ardından bir rezonans etkisi gözlemlenir, bunun sonucunda insanlar şiddetli rahatsızlık ve panik durumu hissetmeye başlar;

    kalabalığın coğrafyası üzerindeki etki - son derece tehlikeli saldırgan, büyük insan gruplarının barışçıl bir şekilde dağılması için;

    yüksek frekanslı ve düşük frekanslı sesler - paniği ve bunun ters etkisini ve diğer manipülasyonları kışkırtmak için;

    sosyal taklit programı - bir kişi, diğer insanların hangi eylemleri doğru bulduğunu öğrenerek eylemlerin doğruluğunu belirler;

    gürültü programı - (sosyal taklide dayalı olarak) seyircinin gerekli tepkisinin organizasyonu;

    kuyruğa alma - (sosyal taklide dayalı) basit ama etkili bir reklam hilesi;

    karşılıklı yardım programı - bir kişi, kendisine bir tür iyilik yapan insanlara iyiliğin karşılığını vermeye çalışır. Bu programı yerine getirme arzusu çoğu zaman tüm akıl argümanlarını aşar;

    İnternette sosyal hackleme

    İnternetin ortaya çıkışı ve gelişmesiyle - insanlardan ve onların etkileşimlerinden oluşan sanal bir ortam, bir kişiyi manipüle etme ortamı, gerekli bilgileri elde etmek ve gerekli eylemleri gerçekleştirmek için genişledi. Bugün, İnternet dünya çapında bir yayın ortamı, bir işbirliği, iletişim ortamı ve tüm dünyayı kapsıyor. Toplum mühendislerinin amaçlarına ulaşmak için kullandıkları şey budur.

    Bir kişiyi İnternet üzerinden manipüle etmenin yolları:

    Modern dünyada, hemen hemen her şirketin sahipleri, İnternet'in bir işi büyütmek için çok etkili ve kullanışlı bir araç olduğunu ve ana görevinin tüm şirketin karını artırmak olduğunu çoktan anladılar. İstenilen nesneye dikkat çekmeyi, ilgiyi oluşturmayı veya sürdürmeyi ve piyasada tanıtmayı amaçlayan bilgiler olmadan reklamın kullanıldığı bilinmektedir. Ancak, reklam pazarının uzun süredir bölünmüş olması nedeniyle, çoğu girişimci için çoğu reklam türü boşa harcanmaktadır. İnternet reklamcılığı, medyadaki reklam türlerinden sadece biri değil, daha fazlasıdır, çünkü İnternet reklamcılığının yardımıyla işbirliği yapmak isteyen kişiler kuruluşun web sitesine gelir.

    İnternet reklamcılığı, medyadaki reklamlardan farklı olarak, bir reklam şirketini yönetmek için daha birçok seçeneğe ve parametreye sahiptir. Çevrimiçi reklamcılığın en önemli göstergesi, İnternet reklam ücreti sadece geçişte kesilir Bu, elbette internette reklam vermeyi medyada reklam yapmaktan daha etkili ve daha az maliyetli hale getirir. Bu nedenle, televizyonda veya yazılı basında reklam verdikten sonra, bunun için tam olarak ödeme yaparlar ve sadece potansiyel müşterileri beklerler, ancak müşteriler reklama yanıt verebilir veya vermeyebilir - bunların tümü, reklamın televizyon veya gazetelerde üretiminin ve sunumunun kalitesine bağlıdır. ancak reklamın işe yaramaması, boşa gitmesi durumunda reklam bütçesi zaten harcanmıştır. Bu tür medya reklamcılığından farklı olarak, çevrimiçi reklamcılık, hedef kitlenin tepkisini takip etme ve bütçesi tükenmeden çevrimiçi reklamcılığı yönetme yeteneğine sahiptir, ayrıca, çevrimiçi reklamcılık, ürünlere olan talep arttığında duraklatılabilir ve talep düşmeye başladığında kaldığı yerden devam edebilir.

    Başka bir etkileme yolu, sosyal programlamanın yardımıyla belirli bir proje için anti-reklam oluşturdukları sözde "Forum Öldürme" dir. Bu durumda sosyal programcı, yalnızca bariz kışkırtıcı eylemlerin yardımıyla, birkaç takma ad kullanarak forumu yok eder ( Takma ad) etrafında lider karşıtı bir grup oluşturmak ve yönetimin davranışından memnun olmayan projeye düzenli ziyaretçiler çekmek. Forumda bu tür olayların sonunda mal veya fikir tanıtımı yapmak imkansız hale gelir. Forum başlangıçta neden tasarlandı?

    Sosyal mühendislik amacıyla bir kişiyi internet üzerinden etkileme yöntemlerine:

    Kimlik avı, gizli kullanıcı verilerine - oturum açma bilgileri ve parolalar - erişim elde etmek için yapılan bir tür İnternet dolandırıcılığıdır. Bu işlem, çeşitli hizmetler (Rambler), bankalar veya sosyal ağlar (Facebook) içindeki kişisel mesajların yanı sıra popüler markalar adına toplu e-posta gönderimleri gerçekleştirilerek gerçekleştirilir. Mektup genellikle dışarıdan bakıldığında gerçek siteden ayırt edilemeyen bir siteye bağlantı içerir. Bir kullanıcı sahte bir sayfaya geldikten sonra, sosyal mühendisler, kullanıcıyı belirli bir siteye erişmek için kullandıkları, hesaplara ve banka hesaplarına erişmelerini sağlayan sayfada kullanıcı adını ve şifresini girmeye teşvik etmek için çeşitli teknikler kullanır.

    Kimlik avından daha tehlikeli bir dolandırıcılık biçimi, sözde pharming'dir.

    Pharming, kullanıcıları gizlice kimlik avı sitelerine yönlendirmek için kullanılan bir mekanizmadır. Bir toplum mühendisi, bilgisayarda başlatıldıktan sonra istekleri gerekli sitelerden sahte sitelere yönlendiren özel kötü niyetli programları kullanıcıların bilgisayarlarına dağıtır. Böylece saldırının yüksek gizliliği sağlanır ve kullanıcı katılımı en aza indirilir - kullanıcının sosyal mühendisin ilgilendiği siteleri ziyaret etmeye karar vermesini beklemek yeterlidir.

    Çözüm

    Sosyal mühendislik, sosyolojiden ortaya çıkan ve yeni ("yapay") sosyal gerçeklikler yaratma, modernleştirme ve yeniden üretme sürecini yönlendiren, düzene sokan ve optimize eden bir bilgi bütünü olduğunu iddia eden bir bilimdir. Belli bir şekilde, sosyolojik bilimi "bitirir", bilimsel bilgiyi sosyal kurumların modellerine, projelerine ve yapılarına, değerlere, normlara, faaliyet algoritmalarına, ilişkilere, davranışa vb. dönüştürme aşamasında tamamlar.

    Sosyal mühendislik nispeten genç bir bilim olmasına rağmen toplumda meydana gelen süreçlere büyük zararlar vermektedir.

    Bu yıkıcı bilimin etkisinden korunmanın en basit yöntemleri şöyle adlandırılabilir:

    İnsanların dikkatini güvenlik konularına çekmek.

    Kullanıcıların sorunun ciddiyeti konusunda farkındalığı ve sistemin güvenlik politikasının benimsenmesi.

    Edebiyat

    1. R. Petersen Linux: Eksiksiz Kılavuz: Per. İngilizceden. - 3 - ed. - K.: BHV Yayın Grubu, 2000. - 800 s.

    2. Grodnev İnternetten evinizde. - M .: "RIPOL KLASİK", 2001. -480 s.

    3. M. V. Kuznetsov Sosyal mühendislik ve sosyal hackleme. SPb.: BHV-Petersburg, 2007. - 368 s.: hasta.

    Bu yazımızda “sosyal mühendislik” kavramı üzerinde duracağız. Burada genel ele alınacak, bu kavramın kurucusunun kim olduğunu da öğreneceğiz. Saldırganlar tarafından kullanılan ana sosyal mühendislik yöntemleri hakkında ayrı ayrı konuşalım.

    giriiş

    Teknik bir araç seti kullanmadan insan davranışını düzeltmenize ve faaliyetlerini yönetmenize izin veren yöntemler, genel sosyal mühendislik kavramını oluşturur. Tüm yöntemler, insan faktörünün herhangi bir sistemin en yıkıcı zayıflığı olduğu iddiasına dayanmaktadır. Genellikle bu kavram, suçlunun özne-kurbandan dürüst olmayan bir şekilde bilgi elde etmeyi amaçlayan bir eylemi gerçekleştirdiği yasadışı faaliyet düzeyinde düşünülür. Örneğin, bir tür manipülasyon olabilir. Bununla birlikte, sosyal mühendislik insanlar tarafından meşru faaliyetlerde de kullanılmaktadır. Günümüzde en çok hassas veya hassas bilgiler içeren kaynaklara erişmek için kullanılmaktadır.

    Kurucu

    Sosyal mühendisliğin kurucusu Kevin Mitnick'tir. Ancak kavramın kendisi bize sosyolojiden geldi. Uygulamalı sosyal tarafından kullanılan genel bir yaklaşımlar dizisini ifade eder. insan davranışını belirleyebilen ve üzerinde kontrol uygulayabilen organizasyon yapısını değiştirmeye odaklanan bilimler. Kevin Mitnick, sosyal olanı popülerleştirdiği için bu bilimin kurucusu olarak kabul edilebilir. 21. yüzyılın ilk on yılında mühendislik. Kevin'in kendisi daha önce çok çeşitli veritabanlarına kendini adamış bir bilgisayar korsanıydı. İnsan faktörünün, herhangi bir karmaşıklık ve organizasyon seviyesindeki bir sistemin en savunmasız noktası olduğunu savundu.

    Gizli verileri kullanmak için (genellikle yasa dışı) haklar elde etmenin bir yolu olarak toplum mühendisliği yöntemlerinden bahsedersek, o zaman bunların çok uzun zamandır bilindiğini söyleyebiliriz. Bununla birlikte, anlamlarının tüm önemini ve uygulamalarının özelliklerini aktarabilen K. Mitnick'ti.

    Kimlik avı ve var olmayan bağlantılar

    Herhangi bir sosyal mühendislik tekniği, bilişsel çarpıtmaların varlığına dayanır. Davranışsal hatalar, gelecekte önemli verileri elde etmeyi amaçlayan bir saldırı oluşturabilecek yetenekli bir mühendisin elinde bir "araç" haline gelir. Sosyal mühendislik yöntemleri arasında kimlik avı ve var olmayan bağlantılar ayırt edilir.

    Kimlik avı, kullanıcı adı ve parola gibi kişisel bilgileri elde etmek için tasarlanmış çevrimiçi bir dolandırıcılıktır.

    Var olmayan bağlantı - alıcıyı, üzerine tıklayarak ve belirli bir siteyi ziyaret ederek elde edilebilecek belirli avantajlarla cezbedecek bir bağlantının kullanılması. Çoğu zaman, adlarında ince ayarlamalar yaparak büyük şirketlerin adları kullanılır. Kurban, bağlantıya tıklayarak kişisel verilerini "gönüllü olarak" saldırgana aktaracaktır.

    Markaları, kusurlu antivirüsleri ve sahte piyangoyu kullanan yöntemler

    Sosyal mühendislik ayrıca marka dolandırıcılıklarını, kusurlu antivirüsleri ve sahte piyangoları kullanır.

    "Dolandırıcılık ve markalar", yine kimlik avı bölümüne ait olan bir aldatma yöntemidir. Bu, büyük ve/veya "abartılı" bir şirketin adını içeren e-postaları ve web sitelerini içerir. Sayfalarından belirli bir yarışmada zafer bildirimi içeren mesajlar gönderilir. Ardından, önemli hesap bilgilerini girmeniz ve çalmanız gerekir. Ayrıca, bu tür bir dolandırıcılık telefon üzerinden gerçekleştirilebilir.

    Sahte piyango - kurbana piyangoyu (a) kazandığını (a) belirten bir mesajın gönderildiği bir yöntem. Çoğu zaman, uyarı büyük şirketlerin adları kullanılarak gizlenir.

    Sahte antivirüsler, yazılım dolandırıcılığıdır. Antivirüs gibi görünen programlar kullanır. Ancak gerçekte, belirli bir tehdit hakkında yanlış bildirimlerin üretilmesine yol açarlar. Ayrıca kullanıcıları işlem alanına çekmeye çalışırlar.

    Vishing, phreaking ve bahane

    Yeni başlayanlar için toplum mühendisliğinden bahsetmişken, aynı zamanda iftira, dolandırıcılık ve bahane uydurmaktan da bahsetmeliyiz.

    Vishing, telefon ağlarını kullanan bir aldatma biçimidir. Amacı, bankacılık yapısının veya başka herhangi bir IVR sisteminin "resmi çağrısını" yeniden oluşturmak olan önceden kaydedilmiş sesli mesajları kullanır. Çoğu zaman, herhangi bir bilgiyi doğrulamak için bir kullanıcı adı ve / veya şifre girmeleri istenir. Başka bir deyişle, sistem kullanıcı tarafından PIN'ler veya parolalar kullanılarak kimlik doğrulaması yapılmasını gerektirir.

    Phreaking, başka bir telefon dolandırıcılığı biçimidir. Ses manipülasyonu ve tonlu arama kullanan bir bilgisayar korsanlığı sistemidir.

    Pretexting, özü başka bir konuyu temsil etmek olan önceden tasarlanmış bir planı kullanan bir saldırıdır. Dikkatli bir hazırlık gerektirdiği için hile yapmanın son derece zor bir yolu.

    Quid Pro Quo ve Yol Elma Yöntemi

    Sosyal mühendislik teorisi, hem aldatma hem de manipülasyon yöntemlerini ve bunlarla başa çıkma yollarını içeren çok yönlü bir veri tabanıdır. Davetsiz misafirlerin ana görevi, kural olarak, değerli bilgileri ortaya çıkarmaktır.

    Diğer dolandırıcılık türleri şunları içerir: karşılıksız ödeme, yol elması yöntemi, omuz sörfü, açık kaynak kullanımı ve ters sosyal medya. mühendislik.

    Quid-pro-quo (lat. - "bunun için") - bir şirketten veya firmadan bilgi alma girişimi. Bu, onunla telefonla iletişim kurarak veya e-posta ile mesaj göndererek olur. Saldırganlar çoğu zaman kendilerini onların çalışanları gibi gösterir. çalışanın işyerinde belirli bir sorunun varlığını bildiren destek. Ardından, örneğin yazılım yükleyerek sorunu çözmenin yollarını önerirler. Yazılımın kusurlu olduğu ortaya çıkıyor ve suçu teşvik ediyor.

    "Yol elması", Truva atı fikrine dayanan bir saldırı yöntemidir. Özü, fiziksel bir ortamın kullanılmasında ve bilginin ikame edilmesinde yatmaktadır. Örneğin, kurbanın dikkatini çekecek, dosyayı açıp kullanma isteği uyandıracak veya flash sürücünün belgelerinde belirtilen bağlantıları takip edecek belirli bir "mal" içeren bir hafıza kartı sağlayabilirler. "Yol elması" nesnesi sosyal ortamlarda bırakılır ve saldırganın planı bir özne tarafından uygulanana kadar beklenir.

    Açık kaynaklardan bilgi toplamak ve aramak, veri toplamanın psikoloji yöntemlerine, küçük şeyleri fark etme yeteneğine ve örneğin bir sosyal ağdaki sayfalar gibi mevcut verilerin analizine dayandığı bir aldatmacadır. Bu oldukça yeni bir toplum mühendisliği yöntemidir.

    Omuz sörfü ve ters sosyal. mühendislik

    "Omuz sörfü" kavramı, öznenin gerçek anlamda canlı olarak gözlemlenmesi olarak kendini tanımlar. Bu tür veri avcılığı ile saldırgan kafe, havaalanı, tren istasyonu gibi halka açık yerlere gider ve insanları takip eder.

    Bu yöntemi hafife almayın, çünkü birçok anket ve araştırma, dikkatli bir kişinin yalnızca gözlemci olarak pek çok gizli bilgiyi elde edebileceğini göstermektedir.

    Sosyal mühendislik (bir sosyolojik bilgi düzeyi olarak), verileri "yakalamak" için bir araçtır. Kurbanın saldırgana gerekli bilgileri sunacağı verileri elde etmenin yolları vardır. Ancak aynı zamanda toplum yararına da hizmet edebilir.

    Ters sosyal mühendislik bu bilimin başka bir yöntemidir. Bu terimin kullanımı yukarıda belirttiğimiz durumda uygun hale gelir: saldırgana gerekli bilgileri kurbanın kendisi verecektir. Bu ifade saçma olarak alınmamalıdır. Gerçek şu ki, belirli faaliyet alanlarında yetkiye sahip özneler, genellikle öznenin kendi kararıyla tanımlama verilerine erişebilir. Burada güven esastır.

    Hatırlamak önemlidir! Örneğin, destek personeli asla kullanıcıdan parola istemez.

    Bilgi ve koruma

    Sosyal mühendislik eğitimi, hem kişisel inisiyatif temelinde hem de özel eğitim programlarında kullanılan faydalar temelinde bir kişi tarafından gerçekleştirilebilir.

    Suçlular, manipülasyondan tembelliğe, saflığa, kullanıcının nezaketine vb. kadar çok çeşitli aldatma türleri kullanabilirler. Kurbanın farkında olmamasından kaynaklanan bu tür saldırılardan kendinizi korumak son derece zordur. (o) aldatıldı. Çeşitli firma ve şirketler bu tehlike seviyesindeki verilerini korumak için genellikle genel bilgilerin değerlendirilmesi ile meşgul olurlar. Ardından, gerekli koruma önlemleri güvenlik politikasına entegre edilir.

    örnekler

    Küresel kimlik avı postaları alanındaki sosyal mühendisliğin (eyleminin) bir örneği, 2003 yılında meydana gelen bir olaydır. Bu dolandırıcılık sırasında eBay kullanıcılarına e-postalar gönderildi. Kendilerine ait hesapların bloke edildiğini iddia ettiler. Engellemeyi iptal etmek için hesap verilerini yeniden girmek gerekiyordu. Ancak mektuplar sahteydi. Resmi sayfayla aynı, ancak sahte bir sayfaya tercüme ettiler. Uzman tahminlerine göre, kayıp çok önemli değildi (bir milyon dolardan az).

    sorumluluğun tanımı

    Sosyal mühendisliğin kullanımı bazı durumlarda cezalandırılabilir. Amerika Birleşik Devletleri gibi bazı ülkelerde, bahane (başka bir kişinin kimliğine bürünerek aldatma) mahremiyet ihlali ile eşittir. Ancak bu durum, bahane ile elde edilen bilgilerin özne veya kuruluş açısından gizli olması durumunda kanunen cezalandırılabilir. Bir telefon görüşmesini kaydetmek (bir sosyal mühendislik yöntemi olarak) da kanunen zorunludur ve 250.000 ABD doları para cezası veya bireyler için on yıla kadar hapis cezası gerektirir. kişiler. Tüzel kişilerin 500.000 $ ödemesi gerekmektedir; süre aynı kalır.

    Devamını oku: