In diesem Artikel widmen wir uns dem Konzept des "Social Engineering". Eine allgemeine Definition des Begriffs wird hier betrachtet. Wir werden auch erfahren, wer der Begründer dieses Konzepts war. Lassen Sie uns separat über die wichtigsten Methoden des Social Engineering sprechen, die von Angreifern verwendet werden.
Einführung
Methoden, die es Ihnen ermöglichen, das Verh alten einer Person zu korrigieren und ihre Aktivitäten ohne den Einsatz technischer Tools zu steuern, bilden das allgemeine Konzept des Social Engineering. Alle Methoden basieren auf der Behauptung, dass der menschliche Faktor die zerstörerischste Schwäche eines jeden Systems ist. Oft wird dieses Konzept auf der Ebene der illegalen Aktivität betrachtet, durch die der Kriminelle eine Handlung ausführt, die darauf abzielt, auf unehrliche Weise Informationen vom Subjekt-Opfer zu erh alten. Zum Beispiel könnte es sich um eine Art Manipulation handeln. Social Engineering wird jedoch auch von Menschen bei legitimen Aktivitäten eingesetzt. Bis heute wird es am häufigsten verwendet, um auf Ressourcen mit sensiblen oder sensiblen Informationen zuzugreifen.
Gründer
Der Gründer von Social Engineering ist Kevin Mitnick. Das Konzept selbst kam jedoch aus der Soziologie zu uns. Es bezeichnet eine allgemeine Reihe von Ansätzen, die von angewandten Sozialwissenschaften verwendet werden. Die Wissenschaften konzentrierten sich auf die Veränderung der Organisationsstruktur, die das menschliche Verh alten bestimmen und Kontrolle darüber ausüben kann. Kevin Mitnick kann als Begründer dieser Wissenschaft angesehen werden, da er das Soziale populär gemacht hat. Maschinenbau im ersten Jahrzehnt des 21. Jahrhunderts. Kevin selbst war zuvor ein Hacker, der illegal in verschiedenste Datenbanken eingedrungen ist. Er argumentierte, dass der menschliche Faktor der verwundbarste Punkt eines Systems jeder Komplexitäts- und Organisationsebene ist.
Wenn wir über Social-Engineering-Methoden sprechen, um Rechte (oft illegal) zur Nutzung vertraulicher Daten zu erlangen, können wir sagen, dass sie seit sehr langer Zeit bekannt sind. Es war jedoch K. Mitnick, der die Wichtigkeit ihrer Bedeutung und Besonderheiten der Anwendung vermitteln konnte.
Phishing und nicht vorhandene Links
Jede Technik des Social Engineering basiert auf dem Vorhandensein kognitiver Verzerrungen. Verh altensfehler werden zu einem "Werkzeug" in den Händen eines erfahrenen Ingenieurs, der in Zukunft einen Angriff erstellen kann, der darauf abzielt, wichtige Daten zu erh alten. Bei den Social-Engineering-Methoden werden Phishing und nicht vorhandene Links unterschieden.
Phishing ist ein Online-Betrug, der entwickelt wurde, um an persönliche Informationen wie Benutzername und Passwort zu gelangen.
Nicht vorhandener Link - Verwendung eines Links, der den Empfänger mit Sicherheit anlocktVorteile, die erh alten werden können, indem Sie darauf klicken und eine bestimmte Website besuchen. Meistens werden die Namen großer Unternehmen verwendet, wobei subtile Anpassungen an ihrem Namen vorgenommen werden. Durch Klicken auf den Link übermittelt das Opfer "freiwillig" seine persönlichen Daten an den Angreifer.
Methoden mit Marken, defekten Antivirenprogrammen und einer gefälschten Lotterie
Social Engineering verwendet auch Betrug mit Markennamen, fehlerhafte Antivirenprogramme und gefälschte Lotterien.
"Betrug und Marken" - eine Täuschungsmethode, die ebenfalls in den Bereich Phishing gehört. Dazu gehören E-Mails und Websites, die den Namen eines großen und/oder „gehypten“Unternehmens enth alten. Von ihren Seiten werden Nachrichten mit der Benachrichtigung über den Sieg bei einem bestimmten Wettbewerb gesendet. Als nächstes müssen Sie wichtige Kontoinformationen eingeben und stehlen. Auch diese Form des Betrugs kann telefonisch durchgeführt werden.
Gefälschte Lotterie - eine Methode, bei der dem Opfer eine Nachricht mit dem Text gesendet wird, dass er (a) im Lotto (a) gewonnen hat. Meistens wird die Warnung mit den Namen großer Unternehmen maskiert.
Gefälschte Antivirenprogramme sind Software-Betrug. Es verwendet Programme, die wie Antivirenprogramme aussehen. In Wirklichkeit führen sie jedoch zur Generierung falscher Benachrichtigungen über eine bestimmte Bedrohung. Sie versuchen auch, Benutzer in das Reich der Transaktionen zu locken.
Vishing, Phreaking und Pretexting
Während wir über Social Engineering für Anfänger sprechen, sollten wir auch Vishing, Phreaking und Pretexting erwähnen.
Vishing ist eine Form der Täuschung, die Telefonnetze nutzt. Es verwendet vorab aufgezeichnete Sprachnachrichten, deren Zweck es ist, den „offiziellen Anruf“der Bankstruktur oder eines anderen IVR-Systems nachzubilden. Meistens werden sie aufgefordert, einen Benutzernamen und / oder ein Passwort einzugeben, um Informationen zu bestätigen. Mit anderen Worten, das System erfordert eine Authentifizierung durch den Benutzer mithilfe von PIN-Codes oder Passwörtern.
Phreaking ist eine weitere Form von Telefonbetrug. Es ist ein Hacking-System, das Tonmanipulation und Tonwahl verwendet.
Pretexting ist ein Angriff mit einem vorsätzlichen Plan, dessen Kern darin besteht, ein anderes Thema darzustellen. Eine extrem schwierige Art zu betrügen, da sie eine sorgfältige Vorbereitung erfordert.
Quid Pro Quo und die Road Apple-Methode
Die Theorie des Social Engineering ist eine facettenreiche Datenbank, die sowohl Methoden der Täuschung und Manipulation als auch Möglichkeiten, damit umzugehen, umfasst. Die Hauptaufgabe von Eindringlingen besteht in der Regel darin, wertvolle Informationen herauszufischen.
Andere Arten von Betrug sind: Quid Pro Quo, Road Apple, Shoulder Surfing, Open Source und Reverse Social Media. Technik.
Quid-pro-quo (aus dem Lateinischen - „dafür“) – ein Versuch, Informationen aus einem Unternehmen oder einer Firma zu extrahieren. Dies geschieht durch telefonische Kontaktaufnahme oder durch Zusendung von Nachrichten per E-Mail. Meistens Angreifersich als Angestellte ausgeben. Unterstützung, die das Vorhandensein eines bestimmten Problems am Arbeitsplatz des Mitarbeiters melden. Sie schlagen dann Möglichkeiten zur Behebung vor, beispielsweise durch die Installation von Software. Die Software erweist sich als fehlerhaft und fördert die Straftat.
The Road Apple ist eine Angriffsmethode, die auf der Idee eines Trojanischen Pferdes basiert. Sein Wesen liegt in der Verwendung eines physischen Mediums und der Substitution von Informationen. Beispielsweise können sie eine Speicherkarte mit einem bestimmten "Gut" versehen, das die Aufmerksamkeit des Opfers erregt, den Wunsch weckt, die Datei zu öffnen und zu verwenden, oder den in den Dokumenten des Flash-Laufwerks angegebenen Links folgen. Das Objekt "Straßenapfel" wird an sozialen Orten abgelegt und gewartet, bis der Plan des Eindringlings von einem Subjekt umgesetzt wird.
Das Sammeln und Suchen von Informationen aus offenen Quellen ist ein Betrug, bei dem die Datenerfassung auf Methoden der Psychologie, der Fähigkeit, Kleinigkeiten zu bemerken, und der Analyse verfügbarer Daten, beispielsweise Seiten aus einem sozialen Netzwerk, basiert. Dies ist eine ziemlich neue Art des Social Engineering.
Shoulder Surfing und Reverse Social. Technik
Der Begriff „Shoulder Surfing“definiert sich im wörtlichen Sinne als das Live-Beobachten eines Themas. Bei dieser Art des Datenfischens geht der Angreifer an öffentliche Orte wie Cafés, Flughäfen, Bahnhöfe und folgt Personen.
Unterschätze diese Methode nicht, denn viele Umfragen und Studien zeigen, dass einem aufmerksamen Menschen viel Vertrauliches entgegengebracht werden kannInformationen einfach durch Beobachtung.
Social Engineering (als Ebene des soziologischen Wissens) ist ein Mittel, um Daten zu „erfassen“. Es gibt Möglichkeiten, an Daten zu kommen, bei denen das Opfer selbst dem Angreifer die notwendigen Informationen anbietet. Es kann aber auch dem Wohl der Gesellschaft dienen.
Umgekehrtes Soziales Engineering ist eine andere Methode dieser Wissenschaft. Die Verwendung dieses Begriffs wird in dem oben erwähnten Fall angemessen: Das Opfer selbst wird dem Angreifer die notwendigen Informationen anbieten. Diese Aussage sollte nicht als absurd angesehen werden. Tatsache ist, dass Subjekte, die in bestimmten Tätigkeitsbereichen mit Befugnissen ausgestattet sind, oft nach eigenem Ermessen Zugang zu Identifikationsdaten erh alten. Die Basis hier ist Vertrauen.
Wichtig zu merken! Support-Mitarbeiter werden den Benutzer beispielsweise niemals nach einem Passwort fragen.
Information und Schutz
Social-Engineering-Schulungen können von Einzelpersonen entweder auf der Grundlage persönlicher Initiative oder auf der Grundlage von Vorteilen durchgeführt werden, die in speziellen Schulungsprogrammen verwendet werden.
Kriminelle können auf eine Vielzahl von Arten der Täuschung zurückgreifen, die von Manipulation bis Faulheit, Leichtgläubigkeit, Höflichkeit des Benutzers usw. reichen Bewusstsein, dass er) betrogen hat. Diverse Firmen und Unternehmen zum Schutz ihrer Daten bei dieser Gefahrenstufe beschäftigen sich oft mit der Auswertung allgemeiner Informationen. Der nächste Schritt besteht darin, das Notwendige zu integrierenSicherheitsvorkehrungen.
Beispiele
Ein Beispiel für Social Engineering (sein Akt) im Bereich globaler Phishing-Mailings ist ein Ereignis aus dem Jahr 2003. E-Mails wurden während dieses Betrugs an eBay-Benutzer gesendet. Sie behaupteten, dass die ihnen gehörenden Konten gesperrt seien. Um die Sperrung aufzuheben, war eine erneute Eingabe der Kontodaten erforderlich. Die Briefe waren jedoch gefälscht. Sie übersetzten auf eine Seite, die mit der offiziellen Seite identisch, aber gefälscht war. Nach Expertenschätzungen war der Schaden nicht allzu groß (weniger als eine Million Dollar).
Definition Verantwortlichkeit
Der Einsatz von Social Engineering kann in manchen Fällen strafbar sein. In einer Reihe von Ländern, wie den Vereinigten Staaten, wird Pretexting (Täuschung, indem man sich als eine andere Person ausgibt) mit einer Verletzung der Privatsphäre gleichgesetzt. Dies kann jedoch strafbar sein, wenn die beim Vorwand erlangten Informationen aus Sicht des Subjekts oder der Organisation vertraulich waren. Das Aufzeichnen eines Telefongesprächs (als Social-Engineering-Methode) ist ebenfalls gesetzlich vorgeschrieben und erfordert eine Geldstrafe von 250.000 US-Dollar oder eine Freiheitsstrafe von bis zu zehn Jahren für Einzelpersonen. Personen. Juristische Personen müssen 500.000 $ zahlen; die Frist bleibt gleich.