Neste artigo vamos prestar atenção ao conceito de "engenharia social". Uma definição geral do termo será considerada aqui. Também aprenderemos quem foi o fundador desse conceito. Vamos falar separadamente sobre os principais métodos de engenharia social usados pelos invasores.
Introdução
Métodos que permitem corrigir o comportamento de uma pessoa e gerenciar suas atividades sem o uso de um conjunto técnico de ferramentas formam o conceito geral de engenharia social. Todos os métodos são baseados na afirmação de que o fator humano é a fraqueza mais destrutiva de qualquer sistema. Muitas vezes esse conceito é considerado ao nível da atividade ilícita, por meio da qual o criminoso realiza uma ação visando obter informações do sujeito-vítima de forma desonesta. Por exemplo, pode ser algum tipo de manipulação. No entanto, a engenharia social também é usada por humanos em atividades legítimas. Até o momento, é usado com mais frequência para acessar recursos com informações confidenciais.
Fundador
O fundador da engenharia social é Kevin Mitnick. No entanto, o próprio conceito nos veio da sociologia. Denota um conjunto geral de abordagens utilizadas pelo social aplicado. ciências focadas em mudar a estrutura organizacional que pode determinar o comportamento humano e exercer controle sobre ele. Kevin Mitnick pode ser considerado o fundador dessa ciência, pois foi ele quem popularizou o social. engenharia na primeira década do século XXI. O próprio Kevin foi anteriormente um hacker que entrou ilegalmente em uma ampla variedade de bancos de dados. Ele argumentou que o fator humano é o ponto mais vulnerável de um sistema de qualquer nível de complexidade e organização.
Se falarmos de métodos de engenharia social como forma de obter direitos (muitas vezes ilegais) de uso de dados confidenciais, podemos dizer que eles são conhecidos há muito tempo. No entanto, foi K. Mitnick quem conseguiu transmitir a importância de seu significado e peculiaridades de aplicação.
Phishing e links inexistentes
Qualquer técnica de engenharia social é baseada na presença de distorções cognitivas. Erros comportamentais tornam-se uma “ferramenta” nas mãos de um engenheiro habilidoso, que no futuro pode criar um ataque visando obter dados importantes. Entre os métodos de engenharia social, destacam-se phishing e links inexistentes.
Phishing é um golpe online criado para obter informações pessoais, como nome de usuário e senha.
Link inexistente - usando um link que atrairá o destinatário com certosbenefícios que podem ser obtidos clicando nele e visitando um site específico. Na maioria das vezes, os nomes de grandes empresas são usados, fazendo ajustes sutis em seu nome. A vítima, ao clicar no link, transferirá "voluntariamente" seus dados pessoais para o invasor.
Métodos que usam marcas, antivírus defeituosos e uma loteria falsa
A engenharia social também usa golpes de marcas, antivírus defeituosos e loterias falsas.
"Fraude e marcas" - um método de engano, que também pertence à seção de phishing. Isso inclui e-mails e sites que contêm o nome de uma empresa grande e/ou "hypada". As mensagens são enviadas de suas páginas com notificação de vitória em uma determinada competição. Em seguida, você precisa inserir informações importantes da conta e roubá-las. Além disso, esta forma de fraude pode ser realizada por telefone.
Falso loteria - um método no qual uma mensagem é enviada para a vítima com o texto que ele (a) ganhou (a) na loteria. Na maioria das vezes, o alerta é mascarado com nomes de grandes corporações.
Antivírus falsos são fraudes de software. Ele usa programas que se parecem com antivírus. No entanto, na realidade, eles levam à geração de notificações falsas sobre uma determinada ameaça. Eles também tentam atrair usuários para o reino das transações.
Vishing, phreaking e pretexting
Enquanto falamos sobre engenharia social para iniciantes, também devemos mencionar vishing, phreaking e pretexting.
Vishing é uma forma de engano que usa redes telefônicas. Utiliza mensagens de voz pré-gravadas, cuja finalidade é recriar a "chamada oficial" da estrutura bancária ou qualquer outro sistema IVR. Na maioria das vezes, eles são solicitados a inserir um nome de usuário e/ou senha para confirmar qualquer informação. Em outras palavras, o sistema requer autenticação do usuário usando códigos PIN ou senhas.
Phreaking é outra forma de golpe por telefone. É um sistema de hacking usando manipulação de som e discagem por tom.
Pretexting é um ataque usando um plano premeditado, cuja essência é representar outro assunto. Uma maneira extremamente difícil de trapacear, pois requer preparação cuidadosa.
Quid Pro Quo e o Método Road Apple
A teoria da engenharia social é um banco de dados multifacetado que inclui métodos de engano e manipulação, bem como maneiras de lidar com eles. A principal tarefa dos intrusos, via de regra, é pescar informações valiosas.
Outros tipos de golpes incluem: quid pro quo, road apple, Shoulder Surfing, open source e mídia social reversa. engenharia.
Quid-pro-quo (do latim - “para isso”) - uma tentativa de extrair informações de uma empresa ou firma. Isso acontece entrando em contato com ela por telefone ou enviando mensagens por e-mail. Na maioria das vezes, os atacantesfingir ser empregados. suporte, que relatam a presença de um problema específico no local de trabalho do empregado. Eles então sugerem maneiras de corrigi-lo, por exemplo, instalando software. O software acaba por ser defeituoso e promove o crime.
The Road Apple é um método de ataque que se baseia na ideia de um cavalo de Tróia. Sua essência está no uso de um meio físico e na substituição da informação. Por exemplo, eles podem fornecer um cartão de memória com um certo “bem” que atrairá a atenção da vítima, causará vontade de abrir e usar o arquivo ou seguir os links indicados nos documentos do pendrive. O objeto "road apple" é largado em lugares sociais e esperado até que o plano do intruso seja implementado por algum sujeito.
Coletar e buscar informações de fontes abertas é uma farsa em que a aquisição de dados se baseia nos métodos da psicologia, na capacidade de perceber pequenas coisas e na análise de dados disponíveis, por exemplo, páginas de uma rede social. Esta é uma forma bastante nova de engenharia social.
Shoulder surf e reverso social. engenharia
O conceito de "shoulder surf" define-se como assistir um assunto ao vivo no sentido literal. Com esse tipo de pesca de dados, o invasor vai a locais públicos, como um café, aeroporto, estação de trem e segue pessoas.
Não subestime este método, pois muitas pesquisas e estudos mostram que uma pessoa atenta pode receber muitas informações confidenciaisinformação simplesmente por ser observador.
A engenharia social (como nível de conhecimento sociológico) é um meio de “capturar” dados. Existem maneiras de obter dados em que a própria vítima oferecerá ao atacante as informações necessárias. No entanto, também pode servir ao bem da sociedade.
Reverse social engenharia é outro método desta ciência. O uso deste termo torna-se apropriado no caso que mencionamos acima: a própria vítima oferecerá ao atacante as informações necessárias. Esta afirmação não deve ser tomada como absurda. O fato é que sujeitos dotados de autoridade em determinadas áreas de atuação muitas vezes têm acesso aos dados de identificação por decisão do próprio sujeito. A base aqui é a confiança.
Importante lembrar! A equipe de suporte nunca pedirá uma senha ao usuário, por exemplo.
Informação e proteção
O treinamento em engenharia social pode ser feito pelo indivíduo com base em iniciativa pessoal ou com base em benefícios que são usados em programas especiais de treinamento.
Os criminosos podem usar uma grande variedade de tipos de engano, desde manipulação até preguiça, credulidade, cortesia do usuário, etc. É extremamente difícil se proteger desse tipo de ataque, devido à f alta de consciência de que ele) trapaceou. Várias empresas e empresas para proteger seus dados nesse nível de perigo estão frequentemente envolvidas na avaliação de informações gerais. O próximo passo é integrar o necessáriosalvaguardas à política de segurança.
Exemplos
Um exemplo de engenharia social (seu ato) no campo das correspondências globais de phishing é um evento ocorrido em 2003. E-mails foram enviados para usuários do eBay durante esse golpe. Eles alegaram que as contas pertencentes a eles foram bloqueadas. Para cancelar o bloqueio, foi necessário reinserir os dados da conta. No entanto, as cartas eram falsas. Eles traduziram para uma página idêntica à oficial, mas falsa. De acordo com estimativas de especialistas, a perda não foi muito significativa (menos de um milhão de dólares).
Definição de responsabilidade
O uso de engenharia social pode ser punível em alguns casos. Em vários países, como os Estados Unidos, o pretexto (engano ao se passar por outra pessoa) é equiparado a uma invasão de privacidade. No entanto, isso pode ser punível por lei se as informações obtidas durante o pretexto forem confidenciais do ponto de vista do sujeito ou da organização. Gravar uma conversa telefônica (como um método de engenharia social) também é exigido por lei e exige uma multa de US$ 250.000 ou prisão por até dez anos para indivíduos. pessoas. As pessoas jurídicas são obrigadas a pagar US$ 500.000; o prazo continua o mesmo.