Bu yazıda "sosyal mühendislik" kavramına dikkat edeceğiz. Burada terimin genel bir tanımı ele alınacaktır. Bu kavramın kurucusunun kim olduğunu da öğreneceğiz. Saldırganlar tarafından kullanılan ana sosyal mühendislik yöntemleri hakkında ayrıca konuşalım.
Giriş
Teknik bir araç seti kullanmadan bir kişinin davranışını düzeltmenize ve faaliyetlerini yönetmenize olanak tanıyan yöntemler, sosyal mühendisliğin genel kavramını oluşturur. Tüm yöntemler, insan faktörünün herhangi bir sistemin en yıkıcı zayıflığı olduğu iddiasına dayanmaktadır. Genellikle bu kavram, suçlunun özne-kurbandan dürüst olmayan bir şekilde bilgi elde etmeyi amaçlayan bir eylem gerçekleştirdiği yasadışı faaliyet düzeyinde düşünülür. Örneğin, bir tür manipülasyon olabilir. Ancak sosyal mühendislik, insanlar tarafından meşru faaliyetlerde de kullanılmaktadır. Bugüne kadar, çoğunlukla hassas veya hassas bilgiler içeren kaynaklara erişmek için kullanılıyor.
Kurucu
Sosyal mühendisliğin kurucusu Kevin Mitnick'tir. Ancak kavramın kendisi bize sosyolojiden geldi. Uygulamalı sosyal tarafından kullanılan genel bir yaklaşım kümesini ifade eder. Bilimler, insan davranışını belirleyebilen ve onun üzerinde kontrol uygulayabilen organizasyon yapısını değiştirmeye odaklandı. Kevin Mitnick, sosyal olanı popülerleştiren kişi olduğu için bu bilimin kurucusu olarak kabul edilebilir. 21. yüzyılın ilk on yılında mühendislik. Kevin'in kendisi önceden yasadışı olarak çok çeşitli veritabanlarına giren bir bilgisayar korsanıydı. İnsan faktörünün, herhangi bir karmaşıklık ve organizasyon düzeyindeki bir sistemin en savunmasız noktası olduğunu savundu.
Gizli verileri kullanma haklarını elde etmenin (çoğunlukla yasa dışı) bir yolu olarak sosyal mühendislik yöntemlerinden bahsedecek olursak, bunların çok uzun süredir bilindiğini söyleyebiliriz. Ancak, anlamlarının önemini ve uygulama özelliklerini aktarabilen K. Mitnick'ti.
Kimlik avı ve var olmayan bağlantılar
Herhangi bir sosyal mühendislik tekniği, bilişsel çarpıtmaların varlığına dayanır. Davranış hataları, gelecekte önemli verileri elde etmeyi amaçlayan bir saldırı oluşturabilecek yetenekli bir mühendisin elinde bir "araç" haline gelir. Sosyal mühendislik yöntemleri arasında kimlik avı ve var olmayan bağlantılar ayırt edilir.
Phishing, kullanıcı adı ve şifre gibi kişisel bilgileri elde etmek için tasarlanmış çevrimiçi bir dolandırıcılıktır.
Varolmayan bağlantı - alıcıyı belirli bir şekilde cezbedecek bir bağlantı kullanmaküzerine tıklayarak ve belirli bir siteyi ziyaret ederek elde edilebilecek faydalar. Çoğu zaman, büyük şirketlerin adları kullanılır ve adlarında ince ayarlamalar yapılır. Kurban, bağlantıya tıklayarak kişisel verilerini "gönüllü olarak" saldırgana aktaracaktır.
Markaları, kusurlu antivirüsleri ve sahte bir piyangoyu kullanma yöntemleri
Sosyal mühendislik ayrıca marka dolandırıcılığı, hatalı antivirüsler ve sahte piyangolar kullanır.
"Dolandırıcılık ve markalar" - kimlik avı bölümüne de ait olan bir aldatma yöntemi. Buna, büyük ve/veya "abartılı" bir şirketin adını içeren e-postalar ve web siteleri dahildir. Belirli bir yarışmada zafer bildirimi ile sayfalarından mesajlar gönderilir. Ardından, önemli hesap bilgilerini girmeniz ve çalmanız gerekir. Ayrıca bu tür dolandırıcılık telefonla da yapılabilir.
Sahte piyango - kurbana (a) piyangoyu kazandığı (a) metniyle birlikte bir mesajın gönderildiği bir yöntem. Çoğu zaman, uyarı büyük şirketlerin adları kullanılarak maskelenir.
Sahte antivirüsler yazılım dolandırıcılığıdır. Antivirüslere benzeyen programlar kullanır. Ancak gerçekte, belirli bir tehdit hakkında yanlış bildirimlerin üretilmesine yol açarlar. Ayrıca kullanıcıları işlemler alanına çekmeye çalışırlar.
Vishing, ürkütücü ve mazeret
Yeni başlayanlar için sosyal mühendislikten bahsederken, vishing, phreaking ve bahanelerden de bahsetmeliyiz.
Vishing, telefon ağlarını kullanan bir aldatma biçimidir. Amacı, bankacılık yapısının veya diğer herhangi bir IVR sisteminin "resmi çağrısını" yeniden oluşturmak olan önceden kaydedilmiş sesli mesajları kullanır. Çoğu zaman, herhangi bir bilgiyi doğrulamak için bir kullanıcı adı ve / veya şifre girmeleri istenir. Başka bir deyişle, sistem, kullanıcının PIN kodları veya şifreler kullanarak kimlik doğrulamasını gerektirir.
Korku, telefon dolandırıcılığının başka bir şeklidir. Ses işleme ve tonlu arama kullanan bir bilgisayar korsanlığı sistemidir.
Pretexting, özü başka bir konuyu temsil etmek olan önceden tasarlanmış bir plan kullanan bir saldırıdır. Dikkatli bir hazırlık gerektirdiği için hile yapmanın son derece zor bir yolu.
Quid Pro Quo ve Yol Apple Yöntemi
Sosyal mühendislik teorisi, hem aldatma hem de manipülasyon yöntemlerini ve bunlarla başa çıkma yollarını içeren çok yönlü bir veritabanıdır. Davetsiz misafirlerin ana görevi, kural olarak, değerli bilgileri avlamaktır.
Diğer dolandırıcılık türleri şunları içerir: karşılıksız ödeme, yol elma, omuz sörfü, açık kaynak ve ters sosyal medya. mühendislik.
Quid-pro-quo (Latince - “bunun için”) - bir şirketten veya firmadan bilgi alma girişimi. Bu, onunla telefonla iletişim kurarak veya e-posta ile mesaj göndererek olur. Çoğu zaman saldırganlarçalışanlar gibi davranın. çalışanın işyerinde belirli bir sorunun varlığını bildiren destek. Ardından, örneğin yazılım yükleyerek bunu düzeltmenin yollarını önerirler. Yazılımın kusurlu olduğu ortaya çıkıyor ve suçu teşvik ediyor.
The Road Apple, Truva atı fikrine dayanan bir saldırı yöntemidir. Özü, fiziksel bir ortamın kullanılmasında ve bilginin ikame edilmesinde yatmaktadır. Örneğin, kurbanın dikkatini çekecek, dosyayı açma ve kullanma arzusuna neden olacak veya flash sürücü belgelerinde belirtilen bağlantıları takip edecek belirli bir "iyi" olan bir hafıza kartı sağlayabilirler. "Yol elması" nesnesi sosyal mekanlara bırakılır ve davetsiz misafirin planı bir özne tarafından uygulanana kadar beklenir.
Açık kaynaklardan bilgi toplama ve arama, veri toplamanın psikoloji yöntemlerine, küçük şeyleri fark etme yeteneğine ve örneğin bir sosyal ağdaki sayfalar gibi mevcut verilerin analizine dayandığı bir aldatmacadır. Bu, sosyal mühendisliğin oldukça yeni bir yoludur.
Omuz sörfü ve ters sosyal. mühendislik
"Omuz sörfü" kavramı, kendisini gerçek anlamda bir konuyu canlı izlemek olarak tanımlar. Bu tür veri avı ile saldırgan kafe, havaalanı, tren istasyonu gibi halka açık yerlere gider ve insanları takip eder.
Bu yöntemi hafife almayın, çünkü birçok anket ve araştırma dikkatli bir kişinin çok fazla gizli bilgi alabileceğini gösteriyor.bilgi sadece gözlemci olarak.
Sosyal mühendislik (sosyolojik bilgi düzeyi olarak) verileri “yakalamak” için bir araçtır. Kurbanın kendisinin saldırgana gerekli bilgileri sunacağı verileri elde etmenin yolları vardır. Ancak toplumun iyiliğine de hizmet edebilir.
Ters sosyal mühendislik bu bilimin bir başka yöntemidir. Bu terimin kullanımı yukarıda bahsettiğimiz durumda uygun hale gelir: Kurbanın kendisi saldırgana gerekli bilgileri sunacaktır. Bu açıklama saçma olarak algılanmamalıdır. Gerçek şu ki, belirli faaliyet alanlarında yetkiye sahip özneler, genellikle öznenin kendi kararıyla kimlik verilerine erişebilir. Buradaki temel güvendir.
Hatırlamak önemli! Destek personeli, örneğin, kullanıcıdan asla şifre istemez.
Bilgi ve koruma
Sosyal mühendislik eğitimi, bireysel inisiyatif temelinde veya özel eğitim programlarında kullanılan faydalar temelinde birey tarafından yapılabilir.
Suçlular, manipülasyondan tembelliğe, saflık, kullanıcının nezaketine vb. kadar çok çeşitli aldatma türleri kullanabilir. aldattığının farkındadır. Çeşitli firmalar ve şirketler bu tehlike seviyesinde verilerini korumak için genellikle genel bilgilerin değerlendirilmesi ile meşgul olurlar. Bir sonraki adım, gerekli bileşenleri entegre etmektir.güvenlik politikasına karşı koruma sağlar.
Örnekler
Küresel kimlik avı postaları alanındaki bir sosyal mühendislik (eyleminin) örneği, 2003 yılında meydana gelen bir olaydır. Bu dolandırıcılık sırasında eBay kullanıcılarına e-postalar gönderildi. Kendilerine ait hesapların bloke edildiğini iddia ettiler. Engellemeyi iptal etmek için hesap verilerini yeniden girmek gerekiyordu. Ancak mektuplar sahteydi. Resmi sayfayla aynı, ancak sahte bir sayfaya çevrildiler. Uzman tahminlerine göre, kayıp çok önemli değildi (bir milyon dolardan az).
Sorumluluğun tanımı
Sosyal mühendislik kullanımı bazı durumlarda cezalandırılabilir. Amerika Birleşik Devletleri gibi bazı ülkelerde, mazeret gösterme (başka bir kişinin kimliğine bürünerek aldatma) mahremiyet ihlali ile eşdeğerdir. Ancak, mazeret sırasında elde edilen bilgilerin kişi veya kuruluş açısından gizli olması durumunda bu durum kanunen cezalandırılabilir. Bir telefon görüşmesinin kaydedilmesi (bir sosyal mühendislik yöntemi olarak) da yasa gereğidir ve bireyler için 250.000 ABD Doları para cezası veya on yıla kadar hapis cezası gerektirir. kişiler. Tüzel kişilerin 500.000 ABD Doları ödemesi gerekir; son tarih aynı kalır.