• Sosyal mühendislik: kavram, kurucu, yöntemler ve örnekler

    Sosyal mühendislik ürünü siber suçlular, son yıllarda erişim elde etme olasılığını artıran daha gelişmiş teknikler benimsedi. gerekli bilgi işletmelerin çalışanlarının ve genel olarak insanların modern psikolojisini kullanmak. Bu tür hilelere karşı koymanın ilk adımı, saldırganların taktiklerini bizzat anlamaktır. Sosyal mühendisliğin sekiz ana yaklaşımına bakalım.

    giriiş

    90'lı yıllarda "sosyal mühendislik" kavramı, sosyal bilimler alanında ikonik bir figür olan Kevin Mitnick tarafından tanıtıldı. bilgi Güvenliği, eski bir ciddi düzey bilgisayar korsanı. Ancak, saldırganlar bu tür yöntemleri terimin kendisi ortaya çıkmadan çok önce kullandı. Uzmanlar, modern siber suçluların taktiklerinin iki hedef peşinde koşmaya bağlı olduğuna inanıyor: şifreleri çalmak, kötü amaçlı yazılım yüklemek.

    Saldırganlar telefon, e-posta ve Web'i kullanarak sosyal mühendislik uygulamaya çalışıyor. Suçluların ihtiyaç duydukları gizli bilgileri elde etmelerine yardımcı olan ana yöntemlerle tanışalım.

    Taktik 1. On el sıkışma teorisi

    Telefonu toplum mühendisliği için kullanan bir saldırganın asıl amacı, kurbanını iki şeyden birine ikna etmektir:

    1. Kurban, bir şirket çalışanından bir telefon alır;
    2. Yetkili bir kuruluşun temsilcisi (örneğin, bir kolluk görevlisi veya bir denetçi) arar.

    Bir suçlu, belirli bir çalışan hakkında veri toplama görevini üstlenirse, ihtiyaç duyduğu verileri elde etmek için mümkün olan her yolu deneyerek önce meslektaşlarıyla iletişime geçebilir.

    Altı el sıkışmanın eski teorisini hatırlıyor musun? Dolayısıyla güvenlik uzmanları, bir siber suçlu ile kurbanı arasında yalnızca on "tokalaşma" olabileceğini söylüyor. Uzmanlar buna inanıyor modern koşullarşu ya da bu çalışanın senden ne istediğini bilmediğin için her zaman biraz paranoyaya ihtiyacın var.

    Saldırganlar, hiyerarşide daha yüksek kişiler hakkında bilgi toplamak için genellikle bir sekreterle (veya benzer pozisyonda olan biriyle) iletişim kurar. Uzmanlar, dostça bir ses tonunun dolandırıcılara çok yardımcı olduğunu belirtiyor. Yavaş ama emin adımlarla, suçlular sizin anahtarınızı alır, bu da çok geçmeden daha önce asla keşfedemeyeceğiniz bilgileri paylaşmanıza yol açar.

    Taktik 2. Kurumsal dili öğrenin

    Bildiğiniz gibi her sektörün kendine özgü formülasyonları vardır. Elde etmeye çalışan bir saldırganın görevi gerekli bilgi, - sosyal mühendislik tekniklerini daha ustaca kullanmak için böyle bir dilin özelliklerini incelemek.

    Tüm ayrıntılar, kurumsal dilin, şartlarının ve özelliklerinin incelenmesinde yatmaktadır. Bir siber suçlu, amaçları doğrultusunda tanıdık, tanıdık ve anlaşılır bir dil konuşursa, daha kolay güven kazanacak ve ihtiyaç duyduğu bilgileri hızla elde edebilecektir.

    Taktik 3: Aramalar Sırasında Beklemek İçin Müzik Ödünç Alın

    Başarılı bir saldırı gerçekleştirmek için dolandırıcıların üç bileşene ihtiyacı vardır: zaman, azim ve sabır. Genellikle sosyal mühendislik kullanan siber saldırılar yavaş ve metodik olarak gerçekleştirilir - yalnızca veriler değil doğru insanlar ama aynı zamanda sözde "sosyal sinyaller". Bu, güven kazanmak ve hedefi parmağınızın etrafında daire içine almak için yapılır. Örneğin, saldırganlar iletişim kurdukları kişiyi iş arkadaşları olduklarına ikna edebilirler.

    Bu yaklaşımın özelliklerinden biri, şirketin aramalar sırasında kullandığı müziği, arayan kişinin cevap beklediği bir anda kaydetmesidir. Suçlu, bu müziği önce bekler, sonra kaydeder ve sonra kendi lehine kullanır.

    Böylece mağdurla doğrudan diyalog kurulduğunda saldırganlar bir noktada "Dur bir dakika diğer hatta arama var" diyorlar. Kurban daha sonra tanıdık bir müzik duyar ve arayanın belirli bir şirketi temsil ettiğinden şüphe duymaz. Özünde, bu sadece yetkin bir psikolojik numaradır.

    Taktik 4. Bir telefon numarasının sahtekarlığı (ikame)

    Suçlular genellikle kimlik sahtekarlığı kullanır telefon numaraları, arayanın numarasını değiştirmelerine yardımcı olur. Örneğin, bir saldırgan dairesinde oturup ilgili kişiyi arayabilir, ancak arayan kimliği şirkete ait bir numara gösterecek ve bu da dolandırıcının bir şirket numarası kullanarak aradığı yanılsamasını yaratacaktır.

    Elbette, arayan kimliği şirketlerine aitse, şüphelenmeyen çalışanlar çoğu durumda parolalar dahil hassas bilgileri arayana teslim edecektir. Bu yaklaşım aynı zamanda suçluların takipten kaçınmasına da yardımcı olur, çünkü bu numarayı geri ararsanız şirketin dahili hattına yönlendirileceksiniz.

    Taktik 5: Haberleri Aleyhinize Kullanmak

    Güncel haberlerin başlıkları ne olursa olsun, saldırganlar bu bilgileri spam, kimlik avı ve diğer dolandırıcılık faaliyetleri için yem olarak kullanır. Uzmanların son zamanlarda, konuları cumhurbaşkanlığı kampanyaları ve ekonomik krizlerle ilgili olan spam e-postaların sayısında bir artış olduğunu fark etmelerine şaşmamalı.

    Örnekler arasında bir bankaya yapılan kimlik avı saldırısı yer alır. E-posta şöyle bir şey söylüyor:

    "Başka bir banka [banka adı] sizin bankanızı [banka adı] satın alıyor." Anlaşma kapatılmadan önce banka bilgilerinizin güncel olduğundan emin olmak için bu bağlantıya tıklayın."

    Doğal olarak, bu, dolandırıcıların hesabınıza girebileceği, paranızı çalabileceği veya bilgilerinizi üçüncü bir tarafa satabileceği bilgileri elde etme girişimidir.

    Taktik 6: Sosyal Platformlarda Güveni Artırın

    Facebook, Myspace ve LinkedIn'in son derece popüler sosyal ağlar olduğu bir sır değil. Uzman araştırmalarına göre insanlar bu tür platformlara güvenme eğiliminde. Yakın zamanda LinkedIn kullanıcılarını hedef alan bir kimlik avı olayı bu teoriyi desteklemektedir.

    Bu nedenle, birçok kullanıcı, Facebook'tan geldiğini iddia eden bir e-postaya güvenecektir. Yaygın bir hile, sosyal ağın bakımda olduğunu iddia etmektir, bilgileri güncellemek için "burayı tıklamanız" gerekir. Bu nedenle uzmanlar, kimlik avı bağlantılarından kaçınmak için işletme çalışanlarının web adreslerini manuel olarak girmelerini önermektedir.

    Ayrıca, sitelerin çok nadir durumlarda kullanıcılara parolalarını değiştirme veya güncelleme isteği gönderdiğini de unutmamak gerekir. hesap.

    Taktik 7. Diz Çömelme

    Bu kötü amaçlı teknik, saldırganların insan faktörünü, yani bir URL adresini girerken hataları kullanması açısından dikkate değerdir. adres çubuğu. Böylece kullanıcı sadece bir harf hatası yaparak saldırganlar tarafından bu amaç için özel olarak oluşturulmuş bir siteye girebilmektedir.

    Siber suçlular, dizgi için zemini dikkatli bir şekilde hazırlar, böylece siteleri, başlangıçta ziyaret etmek istediğiniz yasal olana benzer bir bakladaki iki bezelye gibi olacaktır. Bu nedenle, bir web adresi yazarken hata yaparak, amacı bir şey satmak veya veri çalmak veya kötü amaçlı yazılım dağıtmak olan meşru bir sitenin kopyasına ulaşırsınız.

    Taktik 8: Hisse Senedi Piyasasını Etkilemek İçin FUD Kullanmak

    FUD, genel olarak pazarlama ve propagandada kullanılan psikolojik bir manipülasyon taktiğidir ve bir şey (özellikle bir ürün veya kuruluş) hakkında, izleyicilerde nitelikleri hakkında belirsizlik ve şüphe uyandıracak ve böylece korkuya neden olacak şekilde bilgi sunmaktan oluşur. onun

    Avert'in son araştırmasına göre, ürünlerin ve hatta tüm şirketlerin güvenliği ve savunmasızlığı borsayı etkileyebilir. Örneğin araştırmacılar, "Salı günü Microsoft Yaması" gibi olayların şirket hisseleri üzerindeki etkisini incelediler ve bir güvenlik açığı yayınlandıktan sonra her ay belirgin bir dalgalanma buldular.

    Ayrıca, 2008'deki saldırganların Steve Jobs'un sağlığı hakkında hisse senetlerinde keskin bir düşüşe yol açan yanlış bilgileri nasıl yaydıklarını da hatırlayabilirsiniz. Elma. Bu, FUD'nin kötü amaçlarla kullanılmasının en tipik örneğidir.

    Ek olarak, "pompala ve boşalt" tekniğini (borsadaki veya kripto para piyasasındaki döviz kurunu müteakip bir çöküşle manipüle etmek için bir plan) uygulamak için e-posta kullanımına dikkat çekmeye değer. Bu durumda saldırganlar, önceden satın aldıkları hisselerin inanılmaz potansiyelini açıklayan e-postalar gönderebilirler.

    Böylece birçok kişi bir an önce bu hisseleri almaya çalışacak ve fiyatları yükselecektir.

    sonuçlar

    Siber suçlular, sosyal mühendislik kullanımlarında genellikle çok yaratıcıdır. Yöntemlerine aşina olduktan sonra, saldırganların hedeflerine ulaşmaları için çeşitli psikolojik hilelerin çok yardımcı olduğu sonucuna varabiliriz. Buna dayanarak, özellikle gizli bilgiler tartışılıyorsa, istemeden bir dolandırıcıya verebilecek, sizinle iletişim kuran kişiler hakkında bilgileri kontrol edip tekrar kontrol edebilecek herhangi bir küçük şeye dikkat etmeye değer.

    Bilgi teknolojisi çağında, sosyal mühendislik siber suçla güçlü bir bağlantı kazanmıştır, ancak aslında bu kavram uzun zaman önce ortaya çıkmıştır ve başlangıçta belirgin bir olumsuz çağrışım yapmamıştır. Sosyal mühendisliğin distopik bir kurgu ya da şüpheli bir psikolojik uygulama olduğunu düşünüyorsanız, bu makale fikrinizi değiştirecektir.

    Neye toplum mühendisliği denir?

    Terimin kendisi sosyolojiktir ve insan davranışını kontrol etmenin mümkün olduğu bu tür koşulları yaratmaya yönelik bir dizi yaklaşımı ifade eder. Bir dereceye kadar, sosyal mühendislik teknikleri eski zamanlardan beri insanlar tarafından kullanılmaktadır. Antik Yunanistan'da ve Antik Romaözel bir ikna sanatına sahip konuşmacılara çok değer verilirdi, bu tür insanlar diplomatik müzakerelere katılmaya çekilirdi. Özel servislerin faaliyetleri de büyük ölçüde toplum mühendisliği yöntemlerine dayanmaktadır ve 20. yüzyıl, insan bilincinin ve davranışının ustaca manipüle edilmesiyle hangi sonuçların elde edilebileceğinin örnekleriyle tamamen doludur. Bugün var olduğu haliyle toplum mühendisliğinin öncüleri, geçen yüzyılın 70'lerinde ortaya çıkan telefon dolandırıcıları olarak kabul ediliyor ve bu bilim, şimdi bir bilgi olan eski hacker Kevin Mitnick sayesinde bilgi teknolojisi alanına geldi. güvenlik danışmanı ve bir toplum mühendisi olarak izlediği yol hakkında kitaplar yazıyor.

    Siber suç alanında sosyal mühendislik, saldırganların gerekli verileri elde etmek veya mağduru suç işlemeye teşvik etmek için kullandıkları yöntem ve teknikleri ifade eder. gerekli işlemler. Kevin Mitnick'in dediği gibi, herhangi bir güvenlik sistemindeki en savunmasız nokta insandır ve siber suçlular bunun gayet iyi farkındadır. Toplum mühendisleri iyi psikologlardır, ustalıkla yaklaşırlar. Belirli kişi, kolayca güvene kapılır, her türlü numaraya ve numaraya gidin - ve tüm bunlar gizli bilgileri elde etmek için.

    Toplum mühendisleri nasıl çalışır?

    Aynı adlı kitaptan uyarlanan "Catch Me If You Can" filmi, hayatındaki olayları anlatıyor. gerçek kişi Frank Abagnale. Artık belgesel güvenliği konusunda uzmandır, ancak yirminci yüzyılın ortalarında Abagnale sahte çekler düzenledi ve beş yıl boyunca polisten ustaca saklanarak pilottan doktora kolayca farklı insanlara dönüştü. Bu davranış, hileler ve ince psikolojik oyun toplum mühendisliğinin en iyi örneğidir.

    Frank Abagnale, hedeflerine ulaşmak için psikolojik hileler ve oyunculuk becerileri kullanarak insanlarla kişisel olarak iletişim kurmak zorunda kaldıysa, bugün saldırganlar interneti kullanarak uzaktan bilgi alıyor ve hücresel iletişim. Bilgisayar korsanlarının hileleri rastlamak ve sıradan bilgisayar kullanıcıları ve bilgi güvenliği konularında bilgili büyük şirketlerin çalışanları. Asıl tehlike, mağdurun eylemleriyle suçluya yardım ettiğinden şüphelenmeden gerekli bilgileri gönüllü olarak sağlamasıdır.

    Düşüncelerin ve eylemlerin manipüle edilmesi, bilişsel çarpıtmalar - algımızdaki, düşüncemizdeki ve davranışlarımızdaki sapmalar nedeniyle mümkün hale gelir. Bu hatalara kalıp yargılar, duygusal veya ahlaki durum, toplumun etkisi, beyindeki sapmalar neden olabilir. Bir veya daha fazla faktörün etkisi altında, alınan bilgileri analiz etme aşamasında bir başarısızlık meydana gelir ve bunun sonucunda mantıksız bir yargıya varabilir, olayları yanlış yorumlayabilir veya mantıksız eylemlerde bulunabiliriz. İnsan düşüncesinin çalışmasının bu tür özelliklerini bilen toplum mühendisleri, kurbanın büyük olasılıkla istenen eylemi gerçekleştireceği durumlar yaratır ve uygulamanın gösterdiği gibi, bilişsel çarpıtmalar bizden daha güçlüdür.

    Sosyal mühendislik örnekleri

    Saldırganlar, hedeflerine ulaşmak için insan merakını, yardımseverliğini, kibarlığını, tembelliğini, saflığını ve diğer birçok şeyi kullanır. farklı nitelikler. Bir kişiye yönelik saldırı (bilgisayar korsanlarının sosyal mühendislik dediği gibi), duruma bağlı olarak birçok senaryoya göre gerçekleştirilebilir, ancak saldırganlar tarafından kullanılan en yaygın tekniklerden birkaçı vardır.

    E-dolandırıcılık. Bu yöntem, kullanıcıların dikkatsizliği nedeniyle etkilidir. Mağdur, tanınmış bir web sitesinden, kuruluştan ve hatta bir kişiden, bağlantıya tıklayarak belirtilen eylemleri gerçekleştirme talebinde bulunan bir e-posta alır. Çoğu zaman sizden oturum açmanızı isterler. Bir kişi, mesajı gönderene ve site adresine bile bakmadan siteye gidip kullanıcı adını ve şifresini girer ve böylece dolandırıcılar, hackleme için gerekli verileri alır ve ardından kurbanın sayfasında herhangi bir işlem gerçekleştirir.

    Truva. Bu, adını eski Yunan efsanesindeki Truva atına benzeyen çalışma prensibinden alan bir virüstür. Bir kullanıcı bir programı veya hatta bir resmi indirir ve zararsız bir dosya kisvesi altında, kurbanın bilgisayarına saldırganların yardımıyla verileri çalan bir virüs girer. Bazen bu indirme, bir kişi meraklı bir bağlantıya tıkladığında, şüpheli web sitelerini veya şüpheli e-postaları açtığında otomatik olarak gerçekleşir. Bu tür veri hırsızlığına neden toplum mühendisliği deniyor? Çünkü virüsün yaratıcıları, doğru bağlantıya tıkladığınızdan veya dosyayı indirdiğinizden emin olmanız için kötü amaçlı yazılımı nasıl gizleyeceklerini çok iyi biliyorlar.

    Qui pro quo. "Bunun için bu" anlamına gelen Latince quid pro quo'dan. Bu tür bir dolandırıcılık, karşılıksız olarak çalışır. Saldırgan bir servis çalışanı kılığında teknik Destek ve aslında yazılımın çalışmasında herhangi bir sorun olmamasına rağmen, belirli bir kullanıcının sisteminde veya bilgisayarında ortaya çıkan sorunları düzeltmeyi teklif eder. Mağdur, kendisine "uzman" tarafından bildirilen arızaların varlığına inanır ve memnuniyetle gerekli verileri sağlar veya dolandırıcı tarafından dikte edilen eylemleri gerçekleştirir.

    Tersine sosyal mühendislik

    Bu, kurbanın kendisinin saldırgana yöneldiği ve ona gerekli bilgileri sağladığı saldırı türünün adıdır. Bu, birkaç yolla elde edilebilir:

    • Özel yazılımın uygulanması. İlk başta program veya sistem düzgün çalışır, ancak daha sonra başarısız olur ve bir uzmanın müdahalesini gerektirir. Elbette durum, yardım için başvurdukları uzmanın bir sosyal korsan olduğu ortaya çıkacak şekilde ayarlanmıştır. Dolandırıcı, yazılımın çalışmasını ayarlayarak, bilgisayar korsanlığı için gerekli manipülasyonları gerçekleştirir. Bazen ihtiyacınız olan bilgiler elde edilmez doğrudan çalışma bir bilgisayarla, ancak ekipmanın hızlı bir şekilde onarılması adına ustaya herhangi bir gizli bilgi vermeye hazır olan kullanıcı ile iletişim yoluyla. Daha sonra, bir hack keşfedildiğinde, asistan maskesinin ardındaki toplum mühendisi tüm şüphelerin ötesinde kalabilir, bu da toplum mühendisliğini çok karlı bir araç haline getirir.
    • reklam. Saldırganlar hizmetlerinin reklamını şu şekilde yapabilir: bilgisayar ustaları veya diğer profesyoneller. Kurban, korsanın kendisine döner ve suçlu, yalnızca teknik olarak çalışmakla kalmaz, aynı zamanda müvekkiliyle iletişim kurarak bilgi toplar.
    • Yardım. Sosyal mühendis, bir başarısızlık durumunda yardım için başvurulacak kişiler arasında kasıtlı olarak yer alabilir ve bazen dolandırıcı, kurbanı bir asistan aramaya zorlayacak bir tür manipülasyonu önceden gerçekleştirir. Bu durumda bilgisayar korsanı olumlu bir rolde görünür ve saldırıya uğrayan kişi verilen hizmet için minnettar kalır.

    Kendinizi nasıl korursunuz?

    Sosyal mühendisliğe karşı ilk savunma, makul şüphecilik ve uyanıklıktır. Her zaman mektupların adresine ve bazı kişisel verileri gireceğiniz sitenin adresine dikkat edin. Siber suçluların kurbanı yalnızca şirket çalışanları ve ünlü kişiler değil, aynı zamanda sıradan kullanıcılar da olur - bir dolandırıcının bir sosyal ağdaki sayfanıza erişmesi gerekebilir veya e-cüzdan. Bir kuruluşun veya web sitesinin çalışanı olduğunu iddia eden bir kişi sizi ararsa, hesabınızı manipüle etmek için kural olarak gizli verileri bilmesi gerekmediğini unutmayın - bunları kendiniz ifşa etmeyin. Pasaport verileri gibi herhangi bir kişisel bilgi sağlama talebi sizi uyarmalıdır - bir bireyin kimliği için, çoğu zaman verilerin tamamını değil, yalnızca bazı verilerin son rakamlarını gerektirirler.

    Önünüzde önemli bilgilerle çalışmayın. yabancı insanlar. Dolandırıcılar, bilgi kurbanın omzu üzerinden çalındığında bir tür sosyal mühendislik olan omuz sörfü denilen yöntemi kullanabilir. Şüphelenmeyen kurban bilgisayarında çalışırken önemli miktarda önemli veri ekranda izlendi.

    Şüpheli sitelere gitmeyin ve şüpheli dosyaları indirmeyin, çünkü en en iyi yardımcılar toplum mühendisliği merakımızdır. Herhangi bir durumda, sizi aradıklarında, size yazdıklarında, bir hizmet sunduklarında veya örneğin bir flash sürücüyü fırlattıklarında kendinize nerede, neden ve neden bilip bilmediğinizi sorun. Değilse, güvenilir ve bilgili kişi Aksi takdirde, bu durumu görmezden gelin, ancak önemli bilgileri asla iyi bir sebep olmadan ifşa etmeyin.

    sosyal mühendislik – gizli bilgilere, parolalara, bankacılık işlemlerine ve diğer korunan veri ve sistemlere erişmenin bir yolu.
    Siber suçlular, hedefli saldırılar (şirketlerin veya devlet kurumlarının altyapısına yönelik saldırılar) gerçekleştirmek için sosyal mühendisliği kullanır. Bu organizasyonu korumanın yollarını önceden dikkatlice incelerler.

    Bu makalenin www portalında yayınlanması.

    sosyal mühendislik

    Toplum mühendisliğinin örgütlere yönelik en tehlikeli ve yıkıcı saldırı türü olduğuna inanılmaktadır. Ancak ne yazık ki bilgi güvenliği konferanslarında bu konuya pratikte dikkat edilmiyor.

    Aynı zamanda, İnternetin Rusça konuşulan bölümündeki vakaların çoğu yabancı kaynaklardan ve kitaplardan alıntılanmıştır. Runet'te bu tür birkaç vaka olduğunu söylemiyorum ama nedense onlar hakkında konuşmuyorlar. Toplum mühendisliğinin gerçekte ne kadar tehlikeli olduğunu anlamaya ve kitlesel kullanımının sonuçlarının ne olabileceğini anlamaya karar verdim.

    Bilgi güvenliği ve sızma testinde sosyal mühendislik genellikle belirli bir kuruluşa yönelik hedefli bir saldırı ile ilişkilendirilir. Bu vaka seçiminde, “saldırıların” kitlesel (ayrım gözetmeden) veya toplu hedefli (belirli bir alandaki kuruluşlara) gerçekleştirildiği sosyal mühendislik kullanımına ilişkin birkaç örneği ele almak istiyorum.

    Kavramları tanımlayalım ki herkes ne demek istediğimi anlasın. Makalede "sosyal mühendislik" terimini şu anlamda kullanacağım: "insan zayıflıklarının kullanımına dayalı, bir hedefe ulaşmak için bir dizi yöntem." Bu her zaman suçlu bir şey değildir, ancak kesinlikle olumsuz bir çağrışımı vardır ve dolandırıcılık, manipülasyon ve benzerleriyle ilişkilendirilir. Ancak bir mağazadaki indirimleri ortadan kaldırmak için yapılan her türlü psikolojik numara, toplum mühendisliği değildir.

    Bu alanda sadece araştırmacı olarak hareket edeceğim, herhangi bir zararlı site ve dosya oluşturmadım. Birisi benden siteye bağlantı içeren bir mektup aldıysa, bu site güvenliydi. Orada olabilecek en kötü şey, kullanıcının Yandex.Metrica sayacı tarafından izlenmesidir.

    Sosyal mühendislik örnekleri

    Elbette "tamamlanmış iş sertifikaları" içeren spam veya Truva atlarının gömülü olduğu sözleşmeleri duymuşsunuzdur. Artık muhasebecileri bu tür postalarla şaşırtmayacaksınız. Veya video izlemek için bir eklenti indirmek için "öneriler" içeren açılır pencereler - bu zaten sıkıcı. Daha az belirgin olan birkaç senaryo geliştirdim ve bunları burada düşünce için yiyecek olarak sunuyorum. Umarım bir eylem rehberi olmazlar, aksine Runet'i daha güvenli hale getirmeye yardımcı olurlar.

    doğrulanmış gönderen

    Bazen, bir gözetim nedeniyle, site yöneticileri kayıt formundaki "Ad" alanının filtrelenmesini etkinleştirmez (örneğin, bir haber bültenine abone olurken veya bir başvuru gönderirken). Ad yerine metin (bazen kilobaytlarca metin) ve kötü amaçlı bir siteye bağlantı ekleyebilirsiniz. E-posta alanına kurbanın adresini girin. Kayıttan sonra, bu kişi hizmetten bir mektup alacak: "Merhaba canım ..." ve ardından - metnimiz ve bir bağlantı. Hizmetten gelen mesaj en altta olacaktır.

    Kitle imha silahına nasıl dönüştürülür?

    İlköğretim İşte benim uygulamamdan bir örnek. Aralık 2017'de, arama motorlarından biri, yedek bir e-postayı bağlama biçiminde mesaj gönderme olasılığını keşfetti. Hata ödül raporunu göndermeden önce günde 150.000 mesaj göndermek mümkündü - sadece form doldurmayı biraz otomatikleştirmek gerekiyordu.

    Bu hile, sitenin gerçek destek adresinden, tamamı dijital imzalı, şifreli vb. sahte e-postalar göndermenizi sağlar. Ancak üst kısmın tamamının bir saldırgan tarafından yazıldığı ortaya çıktı. Sadece booking.com veya paypal.com gibi büyük şirketlerden değil, aynı zamanda daha az bilinen sitelerden de bu tür mektuplar aldım.

    Ve işte Nisan 2018'in “trend” i.

    Google Analytics'ten gelen e-postalar

    Size tamamen yeni bir vakadan bahsedeceğim - Nisan 2018 için. İLE Google posta Birkaç adresime Analytics spam'ı gelmeye başladı. Biraz araştırınca nasıl gönderildiğini buldum.


    Sosyal mühendislik örnekleri. "Doğrulanmış gönderen" yöntemi

    "Nasıl uygulanır?" Düşündüm. Ve aklıma gelen buydu: örneğin bir dolandırıcı böyle bir metin yazabilir.


    Sosyal mühendislik örnekleri. "Doğrulanmış gönderen" yöntemi
    Sosyal mühendislik örnekleri. "Doğrulanmış gönderen" yöntemi

    Böyle bir şifre koleksiyonu yalnızca hedefli değil, aynı zamanda toplu olarak da gerçekleştirilebilir, sadece alan adı toplama sürecini biraz otomatikleştirmeniz gerekir. Google Analytics ve bu sitelerden gelen e-postaları ayrıştırma.

    Merak

    Bir kişinin bir bağlantıya tıklamasını sağlamanın bu yöntemi biraz hazırlık gerektirir. Hemen dikkat çeken benzersiz bir adla sahte bir şirket web sitesi oluşturulur. Örneğin, LLC "ZagibaliVygibali". Arama motorlarının dizine eklemesini bekliyorum.


    Şimdi bu şirket adına tebrikler göndermek için bir neden bulduk. Alıcılar hemen Google'da aramaya ve sitemizi bulmaya başlayacak. Elbette, alıcıların mektubu istenmeyen posta klasörüne atmamaları için tebrikin kendisini alışılmadık hale getirmek daha iyidir. Küçük bir testle kolayca binin üzerinde tıklama aldım.

    Sahte bülten aboneliği

    Ve orada ne yazıyor?

    Bazı forumlardan veya sitelerden insanları açık yorumlarla cezbetmek için çekici metinler icat etmenize gerek yok - sadece bir resim gönderin. Sadece daha çekici bir şey seçin (bir tür mem) ve metni ayırt etmek imkansız olacak şekilde sıkın. Merak, her zaman kullanıcıların resme tıklamasına neden olur. Araştırmamda bir deney yaptım ve bu kadar ilkel bir şekilde yaklaşık 10 bin geçiş aldım. Truva atları bir zamanlar LJ (livejournal) aracılığıyla aynı şekilde teslim ediliyordu.


    Adın ne?

    Bir kullanıcının bir dosyayı veya hatta bir makro içeren bir belgeyi açmasını sağlamak, çoğu kişi pusuda bekleyen tehlikeleri duymuş olsa da o kadar da zor değil. Toplu mailing ile bir kişinin sadece ismini bilmek bile başarı şansını ciddi anlamda arttırmaktadır.

    Örneğin "Bu e-posta hala aktif mi?" şeklinde bir e-posta gönderebiliriz. veya "Lütfen sitenizin adresini yazınız." Cevapta, vakaların en az %10-20'sinde gönderenin adı gelir (bu, büyük şirketlerde daha yaygındır). Ve bir süre sonra “Alena, merhaba” yazıyoruz. Sitenizde neler var (fotoğraf ekli)?” Veya “Boris, iyi günler. Fiyat konusunda hiç anlaşamıyorum. 24. pozisyona ihtiyacım var. Fiyatı ekliyorum. Eh, fiyat listesinde - "İçeriği görüntülemek için makroları etkinleştirin ..." banal ifadesi, sonraki tüm sonuçlarla birlikte.

    Genel olarak, kişisel olarak gönderilen mesajlar çok daha sık açılır ve işlenir.

    Kitle zekası

    Bu senaryo bir saldırıdan çok ona hazırlıktır. Diyelim ki bir muhasebeci veya güvenlik şefi gibi önemli bir kişinin adını bilmek istiyoruz. Bu bilgiye sahip olabilecek çalışanlardan birine aşağıdaki içeriği içeren bir mektup gönderirseniz bunu yapmak kolaydır: “Lütfen bana müdürün ikinci adını ve ofis programını söyleyin. Bir kurye göndermemiz gerekiyor."

    Gözlerimizi bulandırmak için çalışma saatini soruyoruz ve bir soyadı istemek, adını ve soyadını bilmediğimizi vermememizi sağlayan bir numara. Her ikisi de büyük olasılıkla kurbanın yanıtında yer alacaktır: tam ad çoğunlukla tam olarak yazılır. Çalışma süresince iki binden fazla yönetmenin ismini bu şekilde toplamayı başardım.

    Yetkililerin postasını bulmanız gerekiyorsa, sekretere güvenle yazabilirsiniz: “Merhaba. Andrey Borisovich ile uzun süredir konuşmadınız, adresi hala çalışıyor mu? Ve ondan bir cevap alamadım. Roman Gennadieviç. Sekreter, müdürün gerçek adına göre oluşturulmuş ve şirketin web sitesini içeren bir e-posta görür ve Andrey Borisoviç'in gerçek adresini verir.

    Bu yazımızda “sosyal mühendislik” kavramı üzerinde duracağız. Burada genel ele alınacak, bu kavramın kurucusunun kim olduğunu da öğreneceğiz. Saldırganlar tarafından kullanılan ana sosyal mühendislik yöntemleri hakkında ayrı ayrı konuşalım.

    giriiş

    Teknik bir araç seti kullanmadan insan davranışını düzeltmenize ve faaliyetlerini yönetmenize izin veren yöntemler, genel sosyal mühendislik kavramını oluşturur. Tüm yöntemler, insan faktörünün herhangi bir sistemin en yıkıcı zayıflığı olduğu iddiasına dayanmaktadır. Sıklıkla bu kavram suçlunun özne-kurbandan dürüst olmayan bir şekilde bilgi elde etmeyi amaçlayan bir eylemi gerçekleştirdiği yasa dışı faaliyet düzeyinde değerlendirilir. Örneğin, bir tür manipülasyon olabilir. Bununla birlikte, sosyal mühendislik insanlar tarafından meşru faaliyetlerde de kullanılmaktadır. Günümüzde en çok hassas veya hassas bilgiler içeren kaynaklara erişmek için kullanılmaktadır.

    Kurucu

    Sosyal mühendisliğin kurucusu Kevin Mitnick'tir. Ancak kavramın kendisi bize sosyolojiden geldi. Uygulamalı sosyal tarafından kullanılan genel bir yaklaşımlar dizisini ifade eder. insan davranışını belirleyebilen ve üzerinde kontrol uygulayabilen organizasyon yapısını değiştirmeye odaklanan bilimler. Kevin Mitnick, sosyal olanı popülerleştirdiği için bu bilimin kurucusu olarak kabul edilebilir. 21. yüzyılın ilk on yılında mühendislik. Kevin'in kendisi daha önce çok çeşitli veritabanlarına kendini adamış bir bilgisayar korsanıydı. İnsan faktörünün, herhangi bir karmaşıklık ve organizasyon seviyesindeki bir sistemin en savunmasız noktası olduğunu savundu.

    Gizli verileri kullanmak için (genellikle yasa dışı) haklar elde etmenin bir yolu olarak toplum mühendisliği yöntemlerinden bahsedersek, o zaman bunların çok uzun zamandır bilindiğini söyleyebiliriz. Bununla birlikte, anlamlarının tüm önemini ve uygulamalarının özelliklerini aktarabilen K. Mitnick'ti.

    Kimlik avı ve var olmayan bağlantılar

    Herhangi bir sosyal mühendislik tekniği, bilişsel çarpıtmaların varlığına dayanır. Davranışsal hatalar, gelecekte önemli verileri elde etmeyi amaçlayan bir saldırı oluşturabilecek yetenekli bir mühendisin elinde bir "araç" haline gelir. Sosyal mühendislik yöntemleri arasında kimlik avı ve var olmayan bağlantılar ayırt edilir.

    Kimlik avı, kullanıcı adı ve parola gibi kişisel bilgileri elde etmek için tasarlanmış çevrimiçi bir dolandırıcılıktır.

    Var olmayan bağlantı - alıcıyı, üzerine tıklayarak ve belirli bir siteyi ziyaret ederek elde edilebilecek belirli avantajlarla cezbedecek bir bağlantının kullanılması. Çoğu zaman, adlarında ince ayarlamalar yaparak büyük şirketlerin adları kullanılır. Kurban, bağlantıya tıklayarak kişisel verilerini "gönüllü olarak" saldırgana aktaracaktır.

    Markaları, kusurlu antivirüsleri ve sahte piyangoyu kullanan yöntemler

    Sosyal mühendislik ayrıca marka dolandırıcılıklarını, kusurlu antivirüsleri ve sahte piyangoları kullanır.

    "Dolandırıcılık ve markalar", yine kimlik avı bölümüne ait olan bir aldatma yöntemidir. Bu, büyük ve/veya "abartılı" bir şirketin adını içeren e-postaları ve web sitelerini içerir. Sayfalarından belirli bir yarışmada zafer bildirimi içeren mesajlar gönderilir. Ardından, önemli hesap bilgilerini girmeniz ve çalmanız gerekir. Ayrıca verilen form dolandırıcılık telefon üzerinden yapılabilir.

    Sahte piyango - kurbana piyangoyu (a) kazandığını (a) belirten bir mesajın gönderildiği bir yöntem. Çoğu zaman, uyarı büyük şirketlerin adları kullanılarak gizlenir.

    Sahte antivirüsler, yazılım dolandırıcılığıdır. Antivirüs gibi görünen programlar kullanır. Ancak gerçekte, belirli bir tehdit hakkında yanlış bildirimlerin üretilmesine yol açarlar. Ayrıca kullanıcıları işlem alanına çekmeye çalışırlar.

    Vishing, phreaking ve bahane

    Yeni başlayanlar için toplum mühendisliğinden bahsetmişken, aynı zamanda iftira, dolandırıcılık ve bahane uydurmaktan da bahsetmeliyiz.

    Vishing, kullanan bir aldatma şeklidir. telefon ağları. Burada, önceden kaydedilmiş sesli mesajlar, amacı bankacılık yapısının veya başka herhangi bir IVR sisteminin "resmi çağrısını" yeniden oluşturmaktır. Çoğu zaman, herhangi bir bilgiyi doğrulamak için bir kullanıcı adı ve / veya şifre girmeleri istenir. Başka bir deyişle, sistem kullanıcı tarafından PIN'ler veya parolalar kullanılarak kimlik doğrulaması yapılmasını gerektirir.

    Phreaking, başka bir telefon dolandırıcılığı biçimidir. Ses manipülasyonu ve tonlu arama kullanan bir bilgisayar korsanlığı sistemidir.

    Pretexting, özü başka bir konuyu temsil etmek olan önceden tasarlanmış bir planı kullanan bir saldırıdır. Dikkatli bir hazırlık gerektirdiği için hile yapmanın son derece zor bir yolu.

    Quid Pro Quo ve Yol Elma Yöntemi

    Sosyal mühendislik teorisi, hem aldatma hem de manipülasyon yöntemlerini ve bunlarla başa çıkma yollarını içeren çok yönlü bir veri tabanıdır. Davetsiz misafirlerin ana görevi, kural olarak, değerli bilgileri ortaya çıkarmaktır.

    Diğer dolandırıcılık türleri şunları içerir: karşılıksız ödeme, yol elması yöntemi, omuz sörfü, açık kaynak kullanımı ve ters sosyal medya. mühendislik.

    Quid-pro-quo (lat. - "bunun için") - bir şirketten veya firmadan bilgi alma girişimi. Bu, onunla telefonla iletişim kurarak veya şu adrese mesaj göndererek gerçekleşir: e-posta. Saldırganlar çoğu zaman kendilerini onların çalışanları gibi gösterir. çalışanın işyerinde belirli bir sorunun varlığını bildiren destek. Daha sonra, örneğin kurarak onu ortadan kaldırmanın yollarını önerirler. yazılım. Yazılımın kusurlu olduğu ortaya çıkıyor ve suçu teşvik ediyor.

    "Yol elması", Truva atı fikrine dayanan bir saldırı yöntemidir. Onun özü kullanmaktır fiziksel taşıyıcı ve değişen bilgiler. Örneğin, kurbanın dikkatini çekecek, dosyayı açıp kullanma isteği uyandıracak veya flash sürücünün belgelerinde belirtilen bağlantıları takip edecek belirli bir "mal" içeren bir hafıza kartı sağlayabilirler. "Yol elması" nesnesi içine atılır sosyal yerler ve bir denek saldırganın planını uygulayana kadar bekleyin.

    Açık kaynaklardan bilgi toplamak ve aramak, veri toplamanın psikoloji yöntemlerine, küçük şeyleri fark etme yeteneğine ve örneğin bir sosyal ağdaki sayfalar gibi mevcut verilerin analizine dayandığı bir aldatmacadır. Bu yeterli yeni yol sosyal mühendislik.

    Omuz sörfü ve ters sosyal. mühendislik

    "Omuz sörfü" kavramı, öznenin gerçek anlamda canlı olarak gözlemlenmesi olarak kendini tanımlar. Bu tür veri avcılığı ile saldırgan kafe, havaalanı, tren istasyonu gibi halka açık yerlere gider ve insanları takip eder.

    küçümsenmemeli Bu method, birçok araştırma ve çalışmanın gösterdiği gibi, özenli bir kişi çok şey alabilir. kesin bilgi sadece gözlemci olmak.

    Sosyal mühendislik (bir sosyolojik bilgi düzeyi olarak), verileri "yakalamak" için bir araçtır. Kurbanın saldırgana gerekli bilgileri sunacağı verileri elde etmenin yolları vardır. Ancak aynı zamanda toplum yararına da hizmet edebilir.

    Ters sosyal mühendislik bu bilimin başka bir yöntemidir. Bu terimin kullanımı yukarıda belirttiğimiz durumda uygun hale gelir: saldırgana gerekli bilgileri kurbanın kendisi verecektir. Bu ifade saçma olarak alınmamalıdır. Gerçek şu ki, belirli faaliyet alanlarında yetkiye sahip özneler, genellikle öznenin kendi kararıyla tanımlama verilerine erişebilir. Burada güven esastır.

    Hatırlamak önemlidir! Örneğin, destek personeli asla kullanıcıdan parola istemez.

    Bilgi ve koruma

    Sosyal mühendislik eğitimi, hem kişisel inisiyatif temelinde hem de özel eğitim programlarında kullanılan faydalar temelinde bir kişi tarafından gerçekleştirilebilir.

    Suçlular, manipülasyondan tembelliğe, saflığa, kullanıcının nezaketine vb. kadar çok çeşitli aldatma türleri kullanabilirler. Kurbanın farkında olmamasından kaynaklanan bu tür saldırılardan kendinizi korumak son derece zordur. (o) aldatıldı. Çeşitli firma ve şirketler bu tehlike seviyesindeki verilerini korumak için genellikle genel bilgilerin değerlendirilmesi ile meşgul olurlar. Ardından, gerekli koruma önlemleri güvenlik politikasına entegre edilir.

    örnekler

    Küresel kimlik avı postaları alanındaki sosyal mühendisliğin (eyleminin) bir örneği, 2003 yılında meydana gelen bir olaydır. Bu dolandırıcılık sırasında eBay kullanıcılarına e-postalar gönderildi. e-mail adresleri. Kendilerine ait hesapların bloke edildiğini iddia ettiler. Engellemeyi iptal etmek için hesap verilerini yeniden girmek gerekiyordu. Ancak mektuplar sahteydi. Resmi sayfayla aynı, ancak sahte bir sayfaya tercüme ettiler. Uzman tahminlerine göre, kayıp çok önemli değildi (bir milyon dolardan az).

    sorumluluğun tanımı

    Sosyal mühendisliğin kullanımı bazı durumlarda cezalandırılabilir. Bazı ülkelerde, örneğin Amerika Birleşik Devletleri'nde, bahane uydurmak (başka bir kişinin kimliğine bürünerek aldatmak), Kişisel hayat. Ancak bu durum, bahane ile elde edilen bilgilerin özne veya kuruluş açısından gizli olması durumunda kanunen cezalandırılabilir. Kayıt telefon konuşması(bir toplum mühendisliği yöntemi olarak) da kanunla öngörülmekte ve 250.000 ABD Doları para cezası veya bireyler için on yıla kadar hapis cezası gerektirmektedir. kişiler. Tüzel kişilerin 500.000 $ ödemesi gerekmektedir; süre aynı kalır.

    Sosyal mühendislik yöntemleri - bu makalenin yanı sıra insanların manipülasyonu, kimlik avı ve müşteri tabanlarının çalınması ve daha fazlası ile ilgili her şeyin tartışılacağı şey budur. Bilgiler, yazarı olduğu ve kendisine çok teşekkür ettiği Andrey Serikov tarafından bize nazikçe sağlandı.

    A.SERİKOV

    A.B.BOROVSKY

    SOSYAL HACKING BİLGİ TEKNOLOJİLERİ

    giriiş

    İnsanoğlunun belirlenen görevleri mükemmel bir şekilde yerine getirme arzusu, modern bilgisayar teknolojisinin gelişmesine yol açmış ve insanların çelişen gereksinimlerini karşılama girişimleri, yazılım ürünlerinin geliştirilmesine yol açmıştır. Veri yazılım ürünleri sadece donanımı çalışır durumda tutmakla kalmaz, aynı zamanda yönetir.

    Bir kişi ve bir bilgisayar hakkındaki bilginin geliştirilmesi, temelde yeni bir sistem türünün ortaya çıkmasına yol açmıştır - bir kişinin şu şekilde konumlandırılabileceği "insan-makine": donanım kararlı, işlevsel, çoklu görev yürütme işletim sistemi"ruh" denir.

    Çalışmanın konusu, sosyal mühendislikte insan zayıflıkları, ön yargıları ve kalıpyargıları yardımıyla insanın manipüle edildiği sosyal programlamanın bir dalı olarak sosyal hacklemenin ele alınmasıdır.

    Sosyal mühendislik ve yöntemleri

    Bir kişiyi manipüle etme yöntemleri uzun zamandır biliniyor, esas olarak çeşitli özel hizmetlerin cephaneliğinden sosyal mühendisliğe geldiler.

    Bilinen ilk rekabetçi istihbarat vakası, MÖ 6. yüzyıla kadar uzanıyor ve Çin'de, Çinlilerin Romalı casuslar tarafından hileyle çalınan ipek yapma sırrını kaybetmesiyle meydana geldi.

    Sosyal mühendislik, teknik araçlar kullanılmadan, insan faktörünün zayıflıklarının kullanılmasına dayanan, insan davranışını manipüle etmeye yönelik bir dizi yöntem olarak tanımlanan bir bilim dalıdır.

    Pek çok uzmana göre, bilgi güvenliğine yönelik en büyük tehdit, yalnızca sosyal bilgisayar korsanlığının kullanılması önemli finansal yatırımlar ve kapsamlı bilgi gerektirmediği için, tam olarak sosyal mühendislik yöntemleridir. bilgisayar Teknolojisi ve ayrıca insanların dikkatli manipülasyon için kullanılabilecek bazı davranışsal eğilimleri olduğu için.

    Ve ne kadar gelişmiş olursa olsun teknik sistemler koruma, insanlar zayıflıkları, önyargıları, klişeleri ile yönetimin gerçekleştiği insan olarak kalacaklardır. Bir insan "güvenlik programı" oluşturmak, bu filtrenin sürekli olarak ayarlanması gerektiğinden işin en zor ve her zaman garanti edilmeyen sonucudur. Burada, tüm güvenlik uzmanlarının ana sloganı her zamankinden daha alakalı geliyor: "Güvenlik bir sonuç değil, bir süreçtir"

    Sosyal mühendisliğin uygulama alanları:

    1. etkisini ve daha sonra örgütün tamamen yok edilmesi olasılığını azaltmak için kuruluşun çalışmasının genel istikrarsızlaştırılması;
    2. kuruluşlarda finansal dolandırıcılık;
    3. bireylerin kişisel bankacılık verilerine erişmek için kimlik avı ve diğer parola çalma yöntemleri;
    4. müşteri veritabanlarının çalınması;
    5. Rekabetci zeka;
    6. kuruluş hakkında genel bilgiler, güçlü yönleri ve zayıflıklar, bu organizasyonun şu ya da bu şekilde daha sonra imha edilmesi amacıyla (genellikle akıncı saldırıları için kullanılır);
    7. en çok umut vadeden çalışanlar hakkında onları kendi kuruluşlarına daha fazla "kaçak olarak sokmak" için bilgi;

    Sosyal programlama ve sosyal hackleme

    Sosyal programlama, davranışlarını doğru yönde değiştirmek veya sürdürmek için bir kişi veya grup üzerinde amaçlı etki ile ilgilenen uygulamalı bir disiplin olarak adlandırılabilir. Böylece, sosyal programcı, insanları yönetme sanatında ustalaşma hedefini belirler. Sosyal programlamanın ana konsepti, insanların eylemlerinin çoğunun ve şu veya bu dış etkiye tepkilerinin çoğu durumda tahmin edilebilir olmasıdır.

    Sosyal programlama yöntemleri çekicidir, çünkü ya hiç kimse onlar hakkında bir şey bilmeyecektir ya da birisi bir şeyi tahmin etse bile, böyle bir figürü sorumlu tutmak çok zordur ve bazı durumlarda insanların davranışlarını "programlamak" mümkündür ve biri kişi ve büyük bir grup. Bu fırsatlar, tam olarak sosyal korsanlık kategorisine aittir, çünkü hepsinde insanlar, sanki bir sosyal korsan tarafından yazılmış bir "programa" uyuyormuş gibi, başka birinin iradesini yerine getirir.

    Bir kişiyi hackleme ve onu gerekli eylemleri gerçekleştirmesi için programlama fırsatı olarak sosyal hackleme, bu alandaki uzmanların - sosyal hackerların - psikolojik etki tekniklerini ve cephanelikten ödünç alınan oyunculuk becerilerini kullandıkları uygulamalı bir sosyal mühendislik disiplini olan sosyal programlamadan gelir. özel hizmetlerden.

    Bir bilgisayar sisteminin parçası olan bir kişiye saldırı söz konusu olduğunda çoğu durumda sosyal bilgisayar korsanlığı kullanılır. bilgisayar sistemi saldırıya uğramış olan , kendi başına mevcut değildir. Önemli bir bileşen içerir - bir kişi. Ve bilgi almak için, bir sosyal bilgisayar korsanının bilgisayarla çalışan bir kişiyi hacklemesi gerekir. Çoğu durumda, bunu yapmak, kurbanın bilgisayarına girip şifreyi bu şekilde bulmaya çalışmaktan daha kolaydır.

    Sosyal bilgisayar korsanlığında tipik etki algoritması:

    Sosyal korsanların tüm saldırıları, oldukça basit bir şemaya uyar:

    1. belirli bir nesne üzerindeki etkinin amacı formüle edilir;
    2. maruz kalma için en uygun hedefleri bulmak için nesne hakkında bilgi toplanır;
    3. temelli toplanan bilgiler psikologların çekim dediği bir aşama gerçekleşir. Cazibe (lat. Attrahere'den - çekmek, çekmek), bir nesneyi etkilemek için gerekli koşulların yaratılmasıdır;
    4. sosyal hacker için gerekli eyleme zorlama;

    Zorlama, önceki aşamalar gerçekleştirilerek sağlanır, yani çekim sağlandıktan sonra, toplum mühendisi için gerekli eylemleri kurbanın kendisi yapar.

    Toplanan bilgilere dayanarak, sosyal bilgisayar korsanları kurbanın psiko- ve sosyotipini doğru bir şekilde tahmin ederek yalnızca yemek, seks vb. ihtiyaçlarını değil, aynı zamanda aşk ihtiyacını, para ihtiyacını, rahatlık ihtiyacını vb. ., vesaire.

    Ve gerçekten, her şeyi kolaylaştırabilecekken neden şu veya bu şirkete girmeye, bilgisayarları, ATM'leri hacklemeye, karmaşık kombinasyonlar düzenlemeye çalışalım: kendi özgür iradesiyle bir başkasına para aktaracak bir kişinin bilinçsizliğine kendinize aşık olun. Belirtilen hesap veya her seferinde gerekli bilgileri paylaşmak?

    İnsanların eylemlerinin öngörülebilir olduğu ve aynı zamanda belirli yasalara tabi olduğu gerçeğine dayanarak, sosyal korsanlar ve sosyal programcılar hem orijinal çok adımlı hem de insan bilinci psikolojisine, davranış programlarına, iç organların titreşimlerine, mantıksal temellere dayanan basit pozitif ve negatif hileler kullanırlar. düşünme, hayal gücü, hafıza, dikkat. Bu yaklaşımlar şunları içerir:

    Ahşap jeneratör - iç organların salınım frekansı ile aynı frekansta salınımlar üretir, ardından bir rezonans etkisi gözlemlenir, bunun sonucunda insanlar şiddetli rahatsızlık ve panik durumu hissetmeye başlar;

    Kalabalığın coğrafyası üzerindeki etkisi - son derece tehlikeli saldırganların barışçıl dağılması için, büyük gruplar insanların;

    yüksek frekanslı ve düşük frekanslı sesler - paniği kışkırtmak ve ters etki, diğer manipülasyonların yanı sıra;

    sosyal taklit programı - bir kişi, diğer insanların hangi eylemleri doğru bulduğunu öğrenerek eylemlerin doğruluğunu belirler;

    gürültü programı - (sosyal taklide dayalı olarak) seyircinin gerekli tepkisinin organizasyonu;

    kuyruğa alma - (sosyal taklide dayalı) basit ama etkili bir reklam hilesi;

    karşılıklı yardım programı - bir kişi, kendisine bir tür iyilik yapan insanlara iyiliğin karşılığını vermeye çalışır. Bu programı yerine getirme arzusu çoğu zaman tüm akıl argümanlarını aşar;

    İnternette sosyal hackleme

    İnternetin ortaya çıkışı ve gelişmesiyle - insanlardan ve onların etkileşimlerinden oluşan sanal bir ortam, bir kişiyi manipüle etme ortamı, gerekli bilgileri elde etmek ve gerekli eylemleri gerçekleştirmek için genişledi. Bugün, İnternet dünya çapında bir yayın ortamı, bir işbirliği, iletişim ortamı ve tüm dünyayı kapsıyor. Toprak. Toplum mühendislerinin amaçlarına ulaşmak için kullandıkları şey budur.

    Bir kişiyi İnternet üzerinden manipüle etmenin yolları:

    Modern dünyada, hemen hemen her şirketin sahipleri, İnternet'in bir işi büyütmek için çok etkili ve kullanışlı bir araç olduğunu ve ana görevinin tüm şirketin karını artırmak olduğunu çoktan anladılar. İstenilen nesneye dikkat çekmeyi, ilgiyi oluşturmayı veya sürdürmeyi ve piyasada tanıtmayı amaçlayan bilgiler olmadan reklamın kullanıldığı bilinmektedir. Ancak, reklam pazarının uzun süredir bölünmüş olması nedeniyle, çoğu girişimci için çoğu reklam türü boşa harcanmaktadır. İnternet reklamcılığı, medyadaki reklam türlerinden sadece biri değil, daha fazlasıdır, çünkü İnternet reklamcılığının yardımıyla işbirliği yapmak isteyen kişiler kuruluşun web sitesine gelir.

    İnternet reklamcılığı, medyadaki reklamlardan farklı olarak, bir reklam şirketini yönetmek için daha birçok seçeneğe ve parametreye sahiptir. En önemli gösterge internet reklamcılığı bu İnternet reklam ücreti sadece geçişte kesilir Bu, elbette internette reklam vermeyi medyada reklam yapmaktan daha etkili ve daha az maliyetli hale getirir. Bu nedenle, televizyonda veya yazılı basında reklam verdikten sonra, bunun için tam olarak ödeme yaparlar ve sadece potansiyel müşterileri beklerler, ancak müşteriler reklama yanıt verebilir veya vermeyebilir - bunların tümü, reklamın televizyon veya gazetelerde üretiminin ve sunumunun kalitesine bağlıdır. ancak reklamın işe yaramaması, boşa gitmesi durumunda reklam bütçesi zaten harcanmıştır. Bu tür medya reklamcılığından farklı olarak, çevrimiçi reklamcılık, hedef kitlenin tepkisini takip etme ve bütçesi tükenmeden çevrimiçi reklamcılığı yönetme yeteneğine sahiptir, ayrıca, çevrimiçi reklamcılık, ürünlere olan talep arttığında duraklatılabilir ve talep düşmeye başladığında kaldığı yerden devam edebilir.

    Başka bir etkileme yolu, sosyal programlamanın yardımıyla belirli bir proje için anti-reklam oluşturdukları sözde "Forum Öldürme" dir. sosyal programcı at bu durum, yalnızca bariz provokatif eylemlerin yardımıyla, birkaç takma ad kullanırken forumu yok eder ( Takma ad) etrafında lider karşıtı bir grup oluşturmak ve yönetimin davranışından memnun olmayan projeye düzenli ziyaretçiler çekmek. Forumda bu tür olayların sonunda mal veya fikir tanıtımı yapmak imkansız hale gelir. Forum başlangıçta neden tasarlandı?

    Sosyal mühendislik amacıyla bir kişiyi internet üzerinden etkileme yöntemlerine:

    Kimlik avı, gizli kullanıcı verilerine - oturum açma bilgileri ve parolalar - erişim elde etmek için yapılan bir tür İnternet dolandırıcılığıdır. Bu operasyon aracılığıyla elde edilen toplu postalar e-postalar popüler markalar adına, ayrıca içeriden özel mesajlar çeşitli hizmetler(Rambler), bankalar veya içinde sosyal ağlar(Facebook). Mektup genellikle dışarıdan bakıldığında gerçek siteden ayırt edilemeyen bir siteye bağlantı içerir. Bir kullanıcı sahte bir sayfaya geldikten sonra, sosyal mühendisler, kullanıcıyı belirli bir siteye erişmek için kullandıkları, hesaplara ve banka hesaplarına erişmelerini sağlayan sayfada kullanıcı adını ve şifresini girmeye teşvik etmek için çeşitli teknikler kullanır.

    Daha tehlikeli görünüm phishing'den daha dolandırıcılık, sözde pharming'dir.

    Pharming, kullanıcıları gizlice kimlik avı sitelerine yönlendirmek için kullanılan bir mekanizmadır. Bir toplum mühendisi, kullanıcıların bilgisayarlarına özel olarak dağıtır kötü amaçlı yazılım, bir bilgisayarda başlatıldıktan sonra, gerekli sitelerden gelen istekleri sahte sitelere yönlendirir. Böylece saldırının yüksek gizliliği sağlanır ve kullanıcı katılımı en aza indirilir - kullanıcının sosyal mühendisin ilgilendiği siteleri ziyaret etmeye karar vermesini beklemek yeterlidir.

    Çözüm

    Sosyal mühendislik, sosyolojiden ortaya çıkan ve yeni ("yapay") sosyal gerçeklikler yaratma, modernleştirme ve yeniden üretme sürecini yönlendiren, düzene sokan ve optimize eden bir bilgi bütünü olduğunu iddia eden bir bilimdir. Belli bir şekilde, sosyolojik bilimi "bitirir", bilimsel bilgiyi sosyal kurumların modellerine, projelerine ve yapılarına, değerlere, normlara, faaliyet algoritmalarına, ilişkilere, davranışa vb. dönüştürme aşamasında tamamlar.

    Sosyal mühendislik nispeten genç bir bilim olmasına rağmen toplumda meydana gelen süreçlere büyük zararlar vermektedir.

    Bu yıkıcı bilimin etkisinden korunmanın en basit yöntemleri şöyle adlandırılabilir:

    İnsanların dikkatini güvenlik konularına çekmek.

    Kullanıcıların sorunun ciddiyeti konusunda farkındalığı ve sistemin güvenlik politikasının benimsenmesi.

    Edebiyat

    1. R.Petersen Linux: Eksiksiz rehber: per. İngilizceden. - 3 - ed. - K.: BHV Yayın Grubu, 2000. - 800 s.

    2. Grodnev İnternetten evinizde. - M .: "RIPOL KLASİK", 2001. -480 s.

    3. M. V. Kuznetsov Sosyal mühendislik ve sosyal hackleme. SPb.: BHV-Petersburg, 2007. - 368 s.: hasta.

    Devamını oku: