Социальная инженерия – что это?

 

Социальная инженерия

Даже самая совершенная система защиты не безопасна

Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с терминами, видами и некоторыми методами.

Так что же такое социальная инженерия?

Социальная инженерия – это способ управления действиями человека без использования технических средств, направленный на использовании слабостей человеческого фактора, и считается очень разрушительным.

В основе методов социальной инженерии всегда лежит манипулирование базовыми эмоциями человека: страхом, жадностью, эмпатией.

Основная задача социального инженера — «подобрать ключ» к каждому конкретному человеку и сыграть на его чувствах и эмоциях так, чтобы он забыл про осторожность и совершил необходимые злоумышленнику действия.

В результате успешных атак с применением методов социальной инженерии жертва добровольно и зачастую без каких-либо подозрений предоставляет злоумышленнику важные данные (логины и пароли от учетных записей, реквизиты банковских карт) или необходимые возможности для получения доступа к целевой системе в обход ограничений безопасности.

«Типичным примером атаки социального инженера является звонок или рассылка сообщений клиенту банка от лица сотрудника этого банка.

Клиенту сообщают, что его карта заблокирована и под предлогом восстановления карты просят предоставить реквизиты и кодовое слово.»

Виды социальной инженерии

Виды социальной инженерии

Социальная инженерия подразделяется на два основных вида:

  • Социальная инженерия.
  • Обратная социальная инженерия.

У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны. Социальная инженерия может быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.

Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.

В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать.

〈Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.

Раньше одна и та же компания создавала от 5 до 20 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.〉

Почему человек думал, что это разные организации?

Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем.

Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.

Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу «whois».  Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов.

Методы социальной инженерии

Существуют различные методы социальной инженерии, принято выделять следующие:

Фишинг

Фишинг

Поддельные страницы сайта являются одними из самых популярных методов обмана пользователей с целью получения персональной или конфиденциальной информации. Страница, повторяющая дизайн целевой, и содержит поля для ввода логина и пароля.

Ссылки на такие страницы распространяются через СМС-сообщения, электронные письма, социальные сети и мессенджеры. Причем получить фишинговое письмо можно даже от знакомого адресата. Чтобы вызвать доверие у своей жертвы, злоумышленники часто используют взломанные учетные записи.

Претекстинг

Социальная инженерия

Метод социальной инженерии, при которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию подводит пользователя к тому, что тот совершает требуемые мошеннику действия или выдает необходимую конфиденциальную информацию.

Обычно реализуется через телефон, социальные сети или электронную почту и требует предварительного сбора информации о жертве.

«Примером может служить телефонный звонок от имени сотрудника банка, который сообщает клиенту, что его банковская карта заблокирована и выманивает у него реквизиты карты под предлогом ее разблокировки.»

Обратная социальная инженерия

Социальная инженерия

Обратная социальная инженерия строится на трех факторах:

  • Создание ситуации, которая вынуждает человека обратиться за помощью
  • Реклама своих услуг или опережение оказания помощи другими людьми
  • Оказание помощи и воздействие

 

Метод, при которой злоумышленник вынуждает жертву саму обратиться к нему за «помощью». Этим методом пользуются злоумышленники, выдающие себя за сотрудников технической поддержки. Подобная атака проходит в несколько этапов.

«Например, сначала злоумышленник создает на компьютере жертвы обратимую неполадку.

 Затем сообщает пользователю о своей возможности решить подобные технические проблемы

(размещает объявление или свои контакты рядом с рабочим местом пользователя или там, где он их увидит наверняка).

После того как пользователь обратится к нему за помощью, злоумышленник решает проблему и заодно получает необходимый для своих целей

доступ к компьютеру пользователя.»

Подведём итоги

Самый основной способ защиты от социальной инженерии – это обучение, поэтому тот, кто предупрежден, тот вооружён.

Именно поэтому данный блог будет посвящён социальной инженерии и в следующих статьях мы будем описывать методы, различные манипуляции, техники воздействия на человека, делиться полезными книгами на данную тематику и способы защиты от Си.


Статьи будут представлены исключительно в ознакомительных целях. Вся информация будет направлена на то, чтобы уберечь читателей от противозаконных действий.

 
Поделиться в facebook
Facebook
Поделиться в twitter
Twitter
Поделиться в vk
VK
Поделиться в google
Google+
Поделиться в email
Email

Один ответ к “Социальная инженерия – что это?”

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Группа в VK

Помощь проекту

Обнаружили опечатку?

Сообщите нам об этом, выделите текст с ошибкой и нажмите Ctrl+Enter, будем очень признательны!

Свежие статьи

Похожие статьи

Словесное манипулирование

Словесное манипулирование | Социальная инженерия

В сложных переговорах, в повседневной работе, в отношениях с начальством, подчиненными, коллегами, клиентами, поставщиками мы постоянно сталкиваемся с манипулированием. Это неудивительно, ведь деловое общение имеет

 
Подборка книг по Социальной инженерии

Подборка книг по СИ | Социальная инженерия

ЧИТАЙ, ДУМАЙ, РАЗВИВАЙСЯ… Статья написана с целью заполнения у многих пробелов в области социальной инженерии, а также послужит не только хорошим методическим материалом, но и

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: