En aquest article pararem atenció al concepte d'"enginyeria social". Aquí es considerarà una definició general del terme. També coneixerem qui va ser el fundador d'aquest concepte. Parlem per separat dels principals mètodes d'enginyeria social utilitzats pels atacants.
Introducció
Els mètodes que permeten corregir el comportament d'una persona i gestionar les seves activitats sense l'ús d'un conjunt tècnic d'eines formen el concepte general d'enginyeria social. Tots els mètodes es basen en l'afirmació que el factor humà és la debilitat més destructiva de qualsevol sistema. Sovint aquest concepte es considera a nivell d'activitat il·legal, mitjançant la qual el delinqüent realitza una acció destinada a obtenir informació del subjecte-víctima de manera deshonesta. Per exemple, podria ser algun tipus de manipulació. Tanmateix, els humans també fan servir l'enginyeria social en activitats legítimes. Fins ara, s'utilitza més sovint per accedir a recursos amb informació sensible o sensible.
Fundador
El fundador de l'enginyeria social és Kevin Mitnick. Tanmateix, el mateix concepte ens va venir de la sociologia. Denota un conjunt general d'enfocaments utilitzats pel social aplicat. ciències centrades a canviar l'estructura organitzativa que pot determinar el comportament humà i exercir-ne el control. Kevin Mitnick es pot considerar el fundador d'aquesta ciència, ja que va ser ell qui va popularitzar el social. enginyeria a la primera dècada del segle XXI. El mateix Kevin era anteriorment un pirata informàtic que va entrar il·legalment en una gran varietat de bases de dades. Va argumentar que el factor humà és el punt més vulnerable d'un sistema de qualsevol nivell de complexitat i organització.
Si parlem de mètodes d'enginyeria social com una manera d'obtenir drets (sovint il·legals) d'ús de dades confidencials, podem dir que es coneixen des de fa molt de temps. Tanmateix, va ser K. Mitnick qui va poder transmetre la importància del seu significat i les peculiaritats d'aplicació.
Phishing i enllaços inexistents
Qualsevol tècnica d'enginyeria social es basa en la presència de distorsions cognitives. Els errors de comportament es converteixen en una "eina" en mans d'un enginyer especialitzat, que en el futur pot crear un atac destinat a obtenir dades importants. Entre els mètodes d'enginyeria social, es distingeixen el phishing i els enllaços inexistents.
La pesca és una estafa en línia dissenyada per obtenir informació personal com ara el nom d'usuari i la contrasenya.
Enllaç inexistent: utilitzant un enllaç que atraurà el destinatari amb certesaavantatges que es poden obtenir fent clic sobre ell i visitant un lloc específic. Molt sovint, s'utilitzen noms de grans empreses, fent ajustaments subtils al seu nom. La víctima, fent clic a l'enllaç, transferirà "voluntàriament" les seves dades personals a l'atacant.
Mètodes que utilitzen marques, antivirus defectuosos i una loteria falsa
L'enginyeria social també utilitza estafes de marques, antivirus defectuosos i loteries falses.
"Frau i marques": un mètode d'engany, que també pertany a la secció de pesca. Això inclou correus electrònics i llocs web que contenen el nom d'una empresa gran i/o "promocionada". Els missatges s'envien des de les seves pàgines amb la notificació de la victòria en una certa competició. A continuació, heu d'introduir informació important del compte i robar-la. A més, aquesta forma de frau es pot dur a terme per telèfon.
Loteria falsa: un mètode en el qual s'envia un missatge a la víctima amb el text que (a) va guanyar (a) la loteria. Molt sovint, l'alerta s'emmascara amb els noms de grans corporacions.
Els antivirus falsos són estafes de programari. Utilitza programes que semblen antivirus. Tanmateix, en realitat, condueixen a la generació de notificacions falses sobre una amenaça determinada. També intenten atraure els usuaris a l'àmbit de les transaccions.
Vishing, phreaking i pretexting
Mentre parlem d'enginyeria social per a principiants, també hem d'esmentar vishing, phreaking i pretexting.
Vishing és una forma d'engany que utilitza xarxes telefòniques. Utilitza missatges de veu preenregistrats, la finalitat dels quals és recrear la "trucada oficial" de l'estructura bancària o qualsevol altre sistema IVR. Molt sovint, se'ls demana que introdueixin un nom d'usuari i/o una contrasenya per confirmar qualsevol informació. En altres paraules, el sistema requereix l'autenticació de l'usuari mitjançant codis PIN o contrasenyes.
Phreaking és una altra forma d'estafa telefònica. És un sistema de pirateria que utilitza la manipulació del so i el marcatge per tons.
Pretexting és un atac que utilitza un pla premeditat, l'essència del qual és representar un altre subjecte. Una manera extremadament difícil d'enganyar, ja que requereix una preparació acurada.
Quid Pro Quo i el mètode Road Apple
La teoria de l'enginyeria social és una base de dades polifacètica que inclou mètodes d'engany i manipulació, així com maneres de tractar-los. La tasca principal dels intrusos, per regla general, és buscar informació valuosa.
Altres tipus d'estafes inclouen: quid pro quo, road apple, shoulder surfing, codi obert i xarxes socials inverses. enginyeria.
Quid-pro-quo (del llatí - "per a això"): un intent d'extreure informació d'una empresa o empresa. Això passa posant-se en contacte amb ella per telèfon o enviant missatges per correu electrònic. Molt sovint, atacantssimular ser empleats. suport, que informen de la presència d'un problema concret en el lloc de treball del treballador. A continuació, suggereixen maneres de solucionar-ho, per exemple instal·lant programari. El programari resulta ser defectuós i promou el crim.
The Road Apple és un mètode d'atac que es basa en la idea d'un cavall de Troia. La seva essència rau en l'ús d'un mitjà físic i la substitució de la informació. Per exemple, poden proporcionar una targeta de memòria amb un cert "bé" que cridarà l'atenció de la víctima, provocarà el desig d'obrir i utilitzar l'arxiu o seguir els enllaços indicats als documents de la unitat flaix. L'objecte "poma de la carretera" es deixa caure als llocs socials i s'espera fins que algun subjecte implementi el pla de l'intrus.
Recollir i cercar informació de fonts obertes és una estafa en la qual l'adquisició de dades es basa en els mètodes de la psicologia, la capacitat de notar petites coses i l'anàlisi de les dades disponibles, per exemple, pàgines d'una xarxa social. Aquesta és una manera força nova d'enginyeria social.
Surf a l'espatlla i social inversa. enginyeria
El concepte de "shoulder surf" es defineix com veure un subjecte en directe en el sentit literal. Amb aquest tipus de pesca de dades, l'atacant va a llocs públics, com ara una cafeteria, un aeroport, una estació de tren i segueix la gent.
No subestimeu aquest mètode, ja que moltes enquestes i estudis demostren que una persona atenta pot rebre molts missatges confidencialsinformació simplement per ser observador.
L'enginyeria social (com a nivell de coneixement sociològic) és un mitjà per "captar" dades. Hi ha maneres d'obtenir dades en què la mateixa víctima oferirà a l'atacant la informació necessària. Tanmateix, també pot servir al bé de la societat.
Social inversa l'enginyeria és un altre mètode d'aquesta ciència. L'ús d'aquest terme esdevé adequat en el cas que hem comentat anteriorment: la mateixa víctima oferirà a l'atacant la informació necessària. Aquesta afirmació no s'ha de prendre com a absurda. El fet és que els subjectes dotats d'autoritat en determinades àrees d'activitat sovint tenen accés a les dades d'identificació per decisió pròpia del subjecte. La base aquí és la confiança.
Important de recordar! El personal d'assistència mai demanarà a l'usuari una contrasenya, per exemple.
Informació i protecció
La formació en enginyeria social la pot fer l'individu ja sigui sobre la base de la iniciativa personal o sobre la base dels beneficis que s'utilitzen en programes especials de formació.
Els delinqüents poden utilitzar una gran varietat de tipus d'enganys, que van des de la manipulació fins a la mandra, la credulitat, la cortesia de l'usuari, etc. És extremadament difícil protegir-se d'aquest tipus d'atac, a causa de la manca d'informació de la víctima. consciència que ell) va enganyar. Diverses empreses i empreses per protegir les seves dades en aquest nivell de perill sovint es dediquen a l'avaluació de la informació general. El següent pas és integrar el necessarisalvaguardes a la política de seguretat.
Exemples
Un exemple d'enginyeria social (el seu acte) en l'àmbit dels mailings globals de pesca és un esdeveniment que va tenir lloc l'any 2003. Es van enviar correus electrònics als usuaris d'eBay durant aquesta estafa. Van afirmar que els comptes que els pertanyien estaven bloquejats. Per cancel·lar el bloqueig, calia tornar a introduir les dades del compte. Tanmateix, les cartes eren falses. Van traduir a una pàgina idèntica a l'oficial, però falsa. Segons estimacions dels experts, la pèrdua no va ser massa significativa (menys d'un milió de dòlars).
Definició de responsabilitat
L'ús de l'enginyeria social pot ser castigat en alguns casos. En diversos països, com els Estats Units, el pretext (engany fent-se passar per una altra persona) s'equipara a una invasió de la privadesa. No obstant això, això pot ser sancionat per llei si la informació obtinguda durant el pretext era confidencial des del punt de vista del subjecte o organització. La llei també exigeix gravar una conversa telefònica (com a mètode d'enginyeria social) i requereix una multa de 250.000 dòlars o una pena de presó fins a deu anys per a les persones. persones. Les persones jurídiques han de pagar 500.000 dòlars; el termini segueix sent el mateix.
