در این مقاله به مفهوم "مهندسی اجتماعی" خواهیم پرداخت. در اینجا یک تعریف کلی از این اصطلاح در نظر گرفته خواهد شد. همچنین خواهیم آموخت که چه کسی بنیانگذار این مفهوم بوده است. بیایید به طور جداگانه در مورد روش های اصلی مهندسی اجتماعی که توسط مهاجمان استفاده می شود صحبت کنیم.
مقدمه
روش هایی که به شما امکان می دهد رفتار یک فرد را اصلاح کنید و فعالیت های او را بدون استفاده از مجموعه ای فنی از ابزارها مدیریت کنید، مفهوم کلی مهندسی اجتماعی را تشکیل می دهد. همه روش ها بر این ادعا استوار است که عامل انسانی مخرب ترین نقطه ضعف هر سیستمی است. غالباً این مفهوم در سطح فعالیت غیرقانونی در نظر گرفته می شود که از طریق آن مجرم عملی را با هدف به دست آوردن اطلاعات از سوژه قربانی به روشی غیرصادقانه انجام می دهد. به عنوان مثال، این می تواند نوعی دستکاری باشد. با این حال، مهندسی اجتماعی نیز توسط انسان ها در فعالیت های مشروع استفاده می شود. تا به امروز، اغلب برای دسترسی به منابعی با اطلاعات حساس یا حساس استفاده می شود.
بنیانگذار
بنیانگذار مهندسی اجتماعی کوین میتنیک است. اما خود این مفهوم از جامعه شناسی به ما رسید. این مجموعه کلی از رویکردهای مورد استفاده توسط اجتماعی کاربردی را نشان می دهد. تمرکز علوم بر تغییر ساختار سازمانی است که می تواند رفتار انسان را تعیین کند و بر آن کنترل اعمال کند. کوین میتنیک را می توان بنیانگذار این علم دانست، زیرا او بود که علوم اجتماعی را رواج داد. مهندسی در دهه اول قرن بیست و یکم خود کوین قبلاً یک هکر بود که به طور غیرقانونی وارد پایگاههای اطلاعاتی مختلفی شده بود. او استدلال کرد که عامل انسانی آسیب پذیرترین نقطه یک سیستم با هر سطح از پیچیدگی و سازمان است.
اگر در مورد روش های مهندسی اجتماعی به عنوان راهی برای به دست آوردن حقوق (اغلب غیرقانونی) برای استفاده از داده های محرمانه صحبت کنیم، می توان گفت که آنها برای مدت بسیار طولانی شناخته شده اند. با این حال، این K. Mitnick بود که توانست اهمیت معنی و ویژگی های کاربرد آنها را منتقل کند.
پیوندهای فیشینگ و ناموجود
هر تکنیک مهندسی اجتماعی مبتنی بر وجود تحریفات شناختی است. خطاهای رفتاری تبدیل به یک "ابزار" در دستان یک مهندس ماهر می شود که در آینده می تواند حمله ای را با هدف به دست آوردن داده های مهم ایجاد کند. در میان روشهای مهندسی اجتماعی، فیشینگ و پیوندهای موجود متمایز میشوند.
فیشینگ یک کلاهبرداری آنلاین است که برای به دست آوردن اطلاعات شخصی مانند نام کاربری و رمز عبور طراحی شده است.
پیوند ناموجود - با استفاده از پیوندی که گیرنده را با موارد خاصی فریب می دهدمزایایی که می توان با کلیک بر روی آن و بازدید از یک سایت خاص به دست آورد. اغلب از نام شرکت های بزرگ استفاده می شود و تغییرات ظریفی در نام آنها ایجاد می شود. قربانی با کلیک بر روی پیوند، اطلاعات شخصی خود را "داوطلبانه" به مهاجم منتقل می کند.
روش های استفاده از مارک ها، آنتی ویروس های معیوب و قرعه کشی جعلی
مهندسی اجتماعی همچنین از کلاهبرداری با نام تجاری، آنتی ویروس های معیوب و قرعه کشی های جعلی استفاده می کند.
"کلاهبرداری و برندها" - روشی برای فریبکاری که به بخش فیشینگ نیز تعلق دارد. این شامل ایمیلها و وبسایتهایی میشود که حاوی نام یک شرکت بزرگ و/یا «هایپ» هستند. پیام هایی از صفحات آنها با اطلاع از پیروزی در یک مسابقه خاص ارسال می شود. در مرحله بعد، باید اطلاعات مهم حساب را وارد کرده و آن را بدزدید. همچنین، این شکل از کلاهبرداری را می توان از طریق تلفن انجام داد.
لاتاری جعلی - روشی که در آن پیامی با این متن برای قربانی ارسال می شود که او (الف) برنده (الف) لاتاری شده است. اغلب، هشدار با استفاده از نام شرکت های بزرگ پوشانده می شود.
آنتی ویروس های جعلی کلاهبرداری های نرم افزاری هستند. از برنامه هایی استفاده می کند که شبیه آنتی ویروس هستند. با این حال، در واقعیت، آنها منجر به تولید اعلانهای نادرست در مورد یک تهدید خاص میشوند. آنها همچنین سعی می کنند کاربران را به حوزه تراکنش ها جذب کنند.
ویشینگ، فحاشی و بهانه دادن
هنگامی که در مورد مهندسی اجتماعی برای مبتدیان صحبت می کنیم، باید به vishing، phreaking و بهانه سازی نیز اشاره کنیم.
Vishing نوعی فریب است که از شبکه های تلفن استفاده می کند. از پیام های صوتی از پیش ضبط شده استفاده می کند که هدف آن بازآفرینی «تماس رسمی» ساختار بانکی یا هر سیستم تلفن گویا دیگری است. اغلب از آنها خواسته می شود که یک نام کاربری و / یا رمز عبور را وارد کنند تا هر گونه اطلاعات را تأیید کنند. به عبارت دیگر، سیستم نیاز به احراز هویت توسط کاربر با استفاده از کد پین یا رمز عبور دارد.
Phreaking شکل دیگری از کلاهبرداری تلفنی است. این یک سیستم هک با استفاده از دستکاری صدا و شماره گیری صدا است.
بهانهسازی حملهای است با استفاده از یک طرح از پیش طراحی شده، که ماهیت آن نشان دادن موضوع دیگری است. یک راه بسیار دشوار برای تقلب، زیرا نیاز به آماده سازی دقیق دارد.
Quid Pro Quo and the Road Apple Method
نظریه مهندسی اجتماعی یک پایگاه داده چند وجهی است که هم روش های فریب و دستکاری و هم راه های مقابله با آنها را در بر می گیرد. وظیفه اصلی مزاحمان، به عنوان یک قاعده، به دست آوردن اطلاعات ارزشمند است.
انواع دیگر کلاهبرداریها عبارتند از: quid pro quo، road apple، شانهسواری، منبع باز و رسانههای اجتماعی معکوس. مهندسی.
Quid-pro-quo (از لاتین - "برای این") - تلاش برای استخراج اطلاعات از یک شرکت یا شرکت. این از طریق تماس تلفنی با او یا ارسال پیام از طریق ایمیل اتفاق می افتد. اغلب، مهاجمانتظاهر به کارمند بودن پشتیبانی، که وجود یک مشکل خاص در محل کار کارمند را گزارش می کند. سپس راه هایی را برای رفع آن پیشنهاد می کنند، مثلاً با نصب نرم افزار. معلوم می شود که نرم افزار معیوب است و جرم را ترویج می کند.
Apple Road یک روش حمله است که بر اساس ایده یک اسب تروا است. ماهیت آن در استفاده از یک رسانه فیزیکی و جایگزینی اطلاعات نهفته است. به عنوان مثال، آنها می توانند یک کارت حافظه با "خوبی" خاصی ارائه دهند که توجه قربانی را به خود جلب کند، تمایل به باز کردن و استفاده از فایل را ایجاد کند یا پیوندهای مشخص شده در اسناد درایو فلش را دنبال کند. شی «سیب جاده» در مکانهای اجتماعی رها میشود و منتظر میمانند تا طرح مزاحم توسط فردی اجرا شود.
جمع آوری و جستجوی اطلاعات از منابع باز کلاهبرداری است که در آن جمع آوری داده ها بر اساس روش های روانشناسی، توانایی توجه به چیزهای کوچک و تجزیه و تحلیل داده های موجود، به عنوان مثال، صفحات از یک شبکه اجتماعی است. این یک روش نسبتاً جدید مهندسی اجتماعی است.
موج سواری شانه و معکوس اجتماعی. مهندسی
مفهوم "سرفینگ شانه" خود را به عنوان تماشای یک سوژه زنده به معنای واقعی کلمه تعریف می کند. با این نوع ماهیگیری داده ها، مهاجم به مکان های عمومی مانند کافه، فرودگاه، ایستگاه قطار می رود و افراد را دنبال می کند.
این روش را دست کم نگیرید، زیرا بسیاری از نظرسنجی ها و مطالعات نشان می دهد که یک فرد با دقت می تواند اطلاعات محرمانه زیادی دریافت کند.اطلاعات صرفاً با دقت نظر.
مهندسی اجتماعی (به عنوان سطحی از دانش جامعه شناختی) وسیله ای برای "گرفتن" داده ها است. راه هایی برای به دست آوردن داده ها وجود دارد که در آن خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. با این حال، می تواند به نفع جامعه نیز باشد.
اجتماعی معکوس مهندسی یکی دیگر از روش های این علم است. استفاده از این اصطلاح در موردی که در بالا ذکر کردیم مناسب می شود: خود قربانی اطلاعات لازم را به مهاجم ارائه می دهد. این بیانیه را نباید پوچ تلقی کرد. واقعیت این است که افراد دارای اقتدار در زمینه های خاصی از فعالیت، اغلب با تصمیم خود سوژه به داده های شناسایی دسترسی پیدا می کنند. اساس در اینجا اعتماد است.
مهم به خاطر سپردن! به عنوان مثال، کارکنان پشتیبانی هرگز از کاربر رمز عبور نمی خواهند.
اطلاعات و حفاظت
آموزش مهندسی اجتماعی می تواند توسط فرد یا بر اساس ابتکار شخصی یا بر اساس مزایایی که در برنامه های آموزشی ویژه استفاده می شود انجام شود.
مجرمان می توانند از انواع مختلفی از فریب استفاده کنند، از دستکاری گرفته تا تنبلی، زودباوری، حسن نیت کاربر و غیره. به دلیل عدم توانایی قربانی، محافظت از خود در برابر این نوع حمله بسیار دشوار است. آگاهی از اینکه او) تقلب کرده است. شرکت ها و شرکت های مختلف برای محافظت از داده های خود در این سطح از خطر اغلب درگیر ارزیابی اطلاعات عمومی هستند. گام بعدی ادغام موارد ضروری استپادمان های سیاست امنیتی.
نمونه
نمونهای از مهندسی اجتماعی (عمل آن) در زمینه پستهای فیشینگ جهانی رویدادی است که در سال 2003 رخ داد. در طول این کلاهبرداری ایمیل هایی برای کاربران eBay ارسال شد. آنها مدعی شدند که حساب های متعلق به آنها مسدود شده است. برای لغو مسدود کردن، لازم بود اطلاعات حساب را دوباره وارد کنید. با این حال، نامه ها جعلی بود. آنها به صفحه ای مشابه با صفحه رسمی، اما جعلی ترجمه کردند. بر اساس برآوردهای کارشناسان، ضرر چندان قابل توجهی نبود (کمتر از یک میلیون دلار).
تعریف مسئولیت
استفاده از مهندسی اجتماعی ممکن است در برخی موارد مجازات داشته باشد. در تعدادی از کشورها مانند ایالات متحده آمریکا، بهانه جویی (فریب با جعل هویت شخص دیگری) با تجاوز به حریم خصوصی تلقی می شود. با این حال، در صورتی که اطلاعات به دست آمده در حین بهانهسازی از نظر موضوع یا سازمان محرمانه باشد، ممکن است مجازات قانونی داشته باشد. ضبط مکالمه تلفنی (به عنوان یک روش مهندسی اجتماعی) نیز طبق قانون الزامی است و برای افراد 250000 دلار جریمه یا تا ده سال حبس را می طلبد. افراد اشخاص حقوقی ملزم به پرداخت 500000 دلار هستند. مهلت یکسان باقی می ماند.