Социальная инженерия (безопасность)

редактировать
Психологическое манипулирование людьми с целью выполнения действий или разглашения конфиденциальной информации

Definition of Social Engineering in Layman's Terms OPSEC предупреждение

В контексте информационная безопасность, социальной инженерии - это психологическое манипулирование людьми с целью выполнения действий или разглашения конфиденциальной информации. Это отличается от социальной инженерии в социальных науках. Тип уловки доверия с целью сбора информации, мошенничества или доступа к системе, он отличается от традиционного «мошенничества» тем, что часто является из многих шагов в более сложной схеме мошенничества.

Это также было определено как «любое действие, которое побуждает человека совершить действие, которое может или не может быть в его интересах».

Содержание
  • 1 Культура информационной безопасности
  • 2 Методы и термины
    • 2.1 Шесть ключевых принципов
    • 2.2 Четыре вектора социальной инженерии
      • 2.2.1 Вишинг
      • 2.2.2 Фишинг
      • 2.2.3 Улыбка
      • 2.2.4 Выдача себя за другое лицо
  • 3 Другие концепции
    • 3.1 Предварительный текст
      • 3.1.1 Вишинг
    • 3.2 Копье-фишинг330>3.3 Удержание воды
    • 3.4 Приманка
    • 3.5 Quid pro quo
    • 3.6 Tailgating
    • 3.7 Другие типы
    • 3.8 Контрмеры
  • 4 Жизненный цикл социальной инженерии
  • 5 Известные социальные инженеры
    • 5.1 Фрэнк Абигнейл младший
    • 5.2 Кевин Митник
    • 5.3 Сьюзен Хедли
    • 5.4 Братья Бадир
    • 5.5 Кристофер Дж.. Хаднаги
  • 6 Закон
    • 6.1 Предтекст записи с телефона
    • 6.2 Федеральное законодательство
    • 6.3 Специалисты по 1-му источнику информации
    • 6.4 HP
  • 7 Профилактические меры
  • 8 В массовой культуре
  • 9 См. Также
  • 10 Ссылки
  • 11 Дальнейшее чтение
  • 12 Внешние ссылки
Культура информационной безопасности

Поведение сотрудников может иметь большое влияние на информационную безопасность в организациях. Культурные концепции безопасности работы различных служб безопасности в рамках информационной безопасности внутри организации. «Изучение взаимосвязи между организационной культурой и культурой информационной безопасности» дает следующее определение культуры информационной безопасности: «ISC - это совокупность моделей поведения в организациях, которые способствуют защите информации всех видов».

Андерссон и Реймерс (2014) демонстрируют, что сотрудники часто считают себя частями организации по информационной безопасности и часто предпринимают действия, которые игнорируют интересы организации в области информационной безопасности. Исследования показывают, что культуру информационной безопасности необходимо постоянно улучшать. В статье «Культура информационной безопасности от анализа к изменениям» авторы отметили, что «это бесконечный процесс, цикл оценки и изменений или обслуживания». Они предоставят, чтобы для управления культурой информационной безопасности было предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, внедрение и последующая оценка.

  • Предварительная оценка: для анализа информации об информационной безопасности сотрудников и проанализировать текущую политику безопасности.
  • Стратегическое планирование: чтобы создать лучшую программу осведомленности, мы должны установить четкие цели. Кластеризация людей помогает достичь этого.
  • Оперативное планирование: установка хорошей культуру безопасности, основанную на внутреннем общении, поддержку осведомленности о безопасности и программе обучения.
  • Реализация: четыре этапа следует использовать для реализации культуры информационной безопасности. Это руководство организации руководства, общение с членами, курсы для всех членов и приверженность сотрудников.
Методы и термины

Все методы социальной инженерии основаны на определенных качествах человека принятие решений, известное как когнитивные предубеждения. Эти предубеждения, иногда называемые «ошибками в оборудовании человека», используются в различных комбинациях для выполнения некоторых методов атаки. Атаки, используемые в социальной инженерии, могут быть использованы для кражи конфиденциальной информации сотрудников. Самый распространенный вид социальной инженерии - по телефону. Другими примерами социальных служб безопасности преступники, выдающие себя за истребителей, начальников пожарной части и технических специалистов, остаются незамеченными во время кражи секретов компании.

Официальное объявление службы поддержки изменилось. Поэтому, когда сотрудники обращаются за помощью, человек спрашивает их пароли и устройства, тем самым получая возможность доступа к частной информации компании. Еще один пример социальной инженерии: хакер связывается с целью на сайт социальной сети и начинает разговор с целью. Постепенно хакер завоевывает доверие цели и использует это доверие, получить доступ к конфиденциальной информации, такой пароль или реквизиты банковского счета.

Социальная инженерия во многом опирается на шесть принципов влияния, факторов Робертом Чалдини.. Теория влияния на основные принципы: взаимность, приверженность и последовательность, социальное доказательство, авторитет, симпатия, дефицит.

Шесть ключевых принципов

  1. Взаимность - Люди склонны возвращать услугу, отсюда и распространение Покупаю образцов в маркетинге. В своих конференциях он часто приводит пример Эфиопии, предоставляющей тысячи долларов гуманитарной помощи Мексике сразу после землетрясения 1985 года, несмотря на то, что Эфиопия страдает от ужасающего голода и гражданской войны в время. Эфиопия ответила взаимностью на дипломатическую поддержку, оказанную Мексикой, когда Италия вторглась в Эфиопию в 1935 году. Стратегия хороший полицейский / плохой полицейский также основывается на этом принципе.
  2. Приверженность и последовательность - Если люди устно или письменно привержены идее или цели, они с большей вероятностью выполнят это обязательство, поскольку заявили, что идея или цель соответствует их самооценке. Даже если первоначальный стимул или мотивация будут удалены после того, как они уже согласились. Чал отмечает, что китайцы «промывают мозги» американским военнопленным, чтобы переписать их самооценку и автоматически добровольного согласия. Другой пример - маркетологи, которые заставляют пользователя закрывать окна, говоря: «Я зарегистрируюсь позже» или «Нет, спасибо, я предпочитаю не зарабатывать деньги».
  3. Социальное доказательство - Люди будут делать то, что видят другие. делаем. Например, в одном эксперименте один или несколько соратников смотрели в небо; Затем прохожие смотрели в небо, чтобы увидеть, чего им не хватало. В какой-то момент этот эксперимент был прерван, так как столько людей искали, что остановили движение. См. соответствие и эксперименты по соответствию Asch.
  4. Авторитет - люди будут склонны подчиняться авторитетным фигурам, даже если их просят совершить нежелательные действия. Чалдини цитирует такие инциденты, как эксперименты Милгрэма в начале 1960-х годов и резня в Май Лай.
  5. Нравится - Людей легко убедить те, кто им нравится. Чал указал на маркетинг Tupperware в рамках того, что теперь можно было бы назвать вирусным маркетингом. Люди с большей вероятностью купят, если им понравится продавец. Обсуждаются некоторые из многих предубеждений в пользу более привлекательных людей. См. стереотипно физической привлекательности.
  6. Дефицит - Воспринимаемая нехватка порождает спрос. Например, предложение «доступно только в течение ограниченного времени» стимулирует продажи.

Четыре системы социальной инженерии

Вишинг

Вишинг, иначе известный как «голосовой фишинг », является преступной практикой использования социальной инженерии через телефонную систему для получения доступа к частной и финансовой информации от общественности с целью получения финансового вознаграждения. Он также используется злоумышленниками для разведки, чтобы собрать более подробную разведданные о целевой организации. 49>Фишинг

Фишинг - это метод предоставления конфиденциальной информации обманным путем. Как правило, отправляет электронное письмо, которое, похоже, исходит от законного предприятия - банка или - с запросом «проверки» информации и предупреждением о некоторых серьезных последствийх, если они не предоставлены, то, что обычно содержит ссылку на мошенническую веб-страницу, которая кажется законной - с помощью формулы компании и имеет форму, запрашивающую все, от домашнего адреса до карты банкомата PIN или а. Например, в 2003 году произошла фишинговая афера, при которой создаются электронные письма якобы от eBay, в котором утверждено, что учетная запись пользователя будет приостановлена, если только не была нажата ссылка для обновления (информация о том, что настоящий eBay уже было). Имитируя HTML-код и логотипы законной организации, относительно просто сделать поддельный веб-сайт аутентичным. Мошенничество заставляет некоторых людей подумать, что eBay требует от них обновить информацию о своей учетной записи, сделанную на предоставленную ссылку. Путем без разбора рассылки спама очень большим группам людей «фишер» рассчитывает получить конфиденциальную финансовую информацию от небольшого процента (но большого числа) получателей, которые уже имеют учетные записи eBay и также стали жертвами мошенничества.

Smishing

Акт использования SMS Обмен текстовыми сообщениями, чтобы побудить к определенному образу действий. Как и фишинг, это может быть положие на отрицную ссылку или разглашение информации.

Выдача себя за лицо

Притворяться или выдавать себя за другое лицо с целью использования физического доступа к системе или зданию. Выдача себя за другое лицо используется в мошенничестве «мошенничество с заменой SIM-карты ».

Другие концепции

Предлог

Предлог (прил.146>предлоговый ) - это акт создания и использования придуманного сценария (предлог ), чтобы задействовать целевую жертву таким образом, чтобы увеличить вероятность того, что жертва разгласит информацию или совершит действие, которые были бы маловероятны в обычных обстоятельствах. Сложная ложь, чаще она включает в себя предварительное исследование или настройку и использование этой информации для выдачи себя за другое лицо (например, дата рождения, номер социального страхования, сумма последнего счета) для установка легитимность в сознании жертвы.

Этот метод введения в систему, чтобы обманом заставить себя вести о клиентах, а также частными следователями для получения телефонных записей, отчетов коммунальных услуг, банковских услуг и прочая информация напрямую от сервисных представителей компании. Эта информация может быть использована для более легитимности при более жестком допросе с менеджером, например, для внесения изменений в учетную запись, отметки балансов и т. Д.

Предотекст также может воспринимать авторитет или право знать в сознании, сознании, предполагать авторитет, полицию, банк, налоговые органы, духовенство, страховые органы. Обманщик должен просто подготовить ответы на вопросы, которые может задать потерпевший. В некоторых случаях требуется - это авторитетный голос, серьезный тон и способность думать на ногах, чтобы создать предлоговый сценарий.

Вишинг

Телефонный фишинг (или «вишинг ») использует мошенническую систему интерактивного голосового ответа (IVR) для воссоздания легитимно звучащей копии. системы IVR банка или другого учреждения. Предлагается (обычно через фишинговое письмо) позвонить в «банк» по номеру (в идеале - бесплатно), предоставленному бесплатному «проверке» информации. Типичная система «вишинга» будет постоянно отклонять вход в систему, гарантируя, что вводит PIN-коды или пароли несколько раз, часто раскрывая несколько разных паролей. Более продвинутые системы передают жертву злоумышленнику / мошеннику, который выдает себя за агента по обслуживанию клиентов или эксперта безопасности для дальнейшего допроса жертвы.

Целевой фишинг

Хотя цель фишинг похож на «фишинг», цель фишинг представляет собой метод, при котором мошенническим путем получают личную информацию путем отправки настраиваемых электронных писем немногим конечным пользователям. Это особое различие между фишинговыми атаками, поскольку фишинговые кампании сосредоточены на рассылке больших объемов обобщенных электронных писем с ожиданием, что на них ответят лишь несколько человек. С другой стороны, электронные письма с целевым фишингом требуют, чтобы злоумышленник провел дополнительное исследование своих целей, чтобы «обманом» выполнить запрошенные действия. Вероятность успеха целевых фишинговых атак значительно выше, чем у фишинговых атак: люди открывают примерно 3% фишинговых писем по примерно 70% попыток. Более того, когда пользователи фактически открывают электронные письма, фишинговые электронные письма имеют относительно скромный 5% -ный показатель успешности ссылок или вложения по сравнению с 50-процентной вероятностью успеха целевого фишинг-атаки.

Успех целевого фишинга сильно зависит от количества и качества OSINT (разведка с открытым исходным кодом), который может получить злоумышленник. Социальные сети активность аккаунта - один из типов источника OSINT.

Водонепроницаемость

Водонепроницаемость - это целевая стратегия социальной инженерии, основанная на доверии пользователей к сайту, которые они регулярно посещают. Жертва чувствует себя в безопасности, что она не стала делать в другую ситуацию. Настороженный человек может, например, адрес электронной почты, направленный на незапрашиваемый электронном письме, но тот же человек не использует ссылку на веб-сайт, который часто посещают. Итак, злоумышленник готовит ловушку для неосторожной добычи у удобного водопоя. Эта стратегия успешно была использована для получения доступа к некоторым (предположительно) очень безопасным системам.

Злоумышленник может действовать, идентифицируя целевую группу или отдельных лиц. Подготовка включает сбор информации о веб-сайтах, которые жертвы часто посещают, из защищенной системы. Сбор информации подтверждает, что цели посещают веб-сайты и что система разрешает такие посещения. Затем злоумышленник проверяет эти веб-сайты на наличие уязвимостей, чтобы внедрить код, который может заразить пользователя пользователя вредоносным ПО. Ловушка внедренного кода и вредоносное ПО могут быть адаптированы к конкретным настройкам и конкретным системам, которые они используют. Со временем один или несколько членов группы заразятся, и злоумышленник сможет получить доступ к защищенной системе.

Приманка

Приманка похожа на троянского коня из реального мира, который использует физические носители и полагается на любопытство или жадность жертвы. В этой атаке злоумышленникиют зараженные вредоносным ПО гибкие диски, CD-ROM или USB-накопители. в местах, где люди их находят (комнаты, лифты, тротуары, автостоянки и т. д.), дают им законные ярлыки, вызывающие любопытство, и ждут жертв.

Например, злоумышленник может создать диск с корпоративным логотипом, доступный на веб-сайте цели, и назвать его «Сводка по зарплате руководителя за 2 квартал 2012 года». Затем злоумышленник оставляет диск на полу лифта или где-нибудь в холле компании. Ничего не подозревающий сотрудник может найти его и вставить диск в компьютер, чтобы удовлетворить свое любопытство, или добиваться самаритянин может найти его и вернуть компанию. В любом случае, простая установка диска в любом случае, простая установка диска в компьютер уязвимое ПО, предоставляя змышленникам доступ к компьютеру жертвы и, возможно, к внутренней компьютерной сети целевой компании.

компьютерные средства управления не блокируют заражение, установка компрометирует автозапуск компьютеров "средства массовой информации" информации. Также могут быть использованы враждебные устройства. Например, «счастливому победителю» отправляется бесплатный цифровой аудиоплеер, который компрометирует любой компьютер, к которому он подключен. «дорожное яблоко » (разговорный термин для лошади навоз, указывающий на нежелательный характер устройства) - это любой съемный носитель с вредоносным программным обеспечением, оставленным в подходящих или заметных местах.. Это может быть CD, DVD или флэш -накопитель USB, а также другие носители. Любопытные люди берут его и подключают к компьютеру, заражая хост и все подключенные сети. Опять же, хакер ы могут дать им заманчивые ярлыки, такие как «Заработная плата сотрудников» или «Конфиденциально».

В одном исследовании, проведенном в 2016 году, исследователи бросили 297 USB-накопителей на территории кампуса Университета Иллинойса. На дисках были файлы со ссылками на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких дисках были открыты файлы, но не сколько было вставлено в компьютер без открытия файла. Из 297 упавших накопителей 290 (98%) из них были взяты, а 135 (45%) из них были «вызваны домой».

Quid pro quo

Quid pro quo означает что-то для чего-то:

  • Злоумышленник звонит на случайные номера в компанию, утверждая, что перезвонил из службы технической поддержки. В конце концов, этот человек столкнется с серьезной проблемой и будет благодарен за то, что кто-то перезвонил и помог ему. Злоумышленник «поможет» решить проблему и в процессе получит команды пользовательского типа, которые предоставляют злоумышленнику доступ или запускают вредоносное ПО.
  • . По данным опроса информационной безопасности 2003 года, 91% офисные работники дали исследователям то, что они назвали своим паролем в ответ на вопрос опроса, в обмен на дешевую ручку. Аналогичные опросы в более поздние годы дали аналогичные результаты с использованием шоколадных конфет и других дешевых приманок, хотя они не пытались проверить пароли.

Попытка проникновения

Злоумышленник, пытающийся проникнуть в закрытую зону, защищенную автоматическим электронным контроль доступа, например с помощью карты RFID просто заходит за человеком, имеющим законный доступ. Следуя общей вежливости, законное лицо обычно будет держать дверь открытой для злоумышленника, или сами злоумышленники могут попросить сотрудника держать ее открытой для них. Законное лицо может не запросить идентификацию по любой из нескольких причин или может принять утверждение о том, что злоумышленник забыл или потерял соответствующий токен идентификации. Злоумышленник также может подделать действие по представлению токена идентификации.

Другие типы

Обычные обманщики или мошенники также могут считаться «социальными инженерами» в более широком смысле, поскольку они намеренно обманывают людей и манипулируют ими, используя человеческие слабости для получения личной выгоды. Они могут, например, использовать методы социальной инженерии как часть мошенничества в сфере ИТ.

Самый недавний тип техники социальной инженерии включает подмену или взлом идентификаторов людей, имеющих популярные идентификаторы электронной почты, такие как Yahoo!, Gmail, Hotmail и т. Д. Среди множества мотивов обмана можно выделить:

  • фишинг номера счетов кредитных карт и их пароли.
  • Взлом личных сообщений электронной почты и историй чатов и манипулирование ими с помощью распространенные методы редактирования, прежде чем использовать их для вымогательства денег и созданиянедоверия среди людей.
  • Взлом веб-сайтов компаний или организаций и подрыв их репутации.
  • Компьютерные мистификации вирусов
  • Убеждение пользователей запускать вредоносный код в веб-браузере с помощью атак self-XSS, чтобы разрешить доступ к своей веб-учетной записи

Меры противодействия

Организации снижают риски за счет:

обучения сотрудников Обучение сотрудников протоколам безопасности, их части. (например, в таких ситуациях, как скрытый ход, если личность человека не может быть подтверждена, тогда сотрудники должны быть обучены вежливому отказу.)

Стандартные принципы Установление структур доверия на уровне сотрудников / персонала (т. е. указать обучать персонал, когда / где / почему / как следует обращаться с конфиденциальной информацией)

Тщательная проверка информации Определение конфиденциальной информации и оценка ее уязвимости в системах безопасности (здание, компьютерная система и т. д.)

Протоколы безопасности Установление протоколов, политик и процедуры безопасности для конфиденциальной информации.

Тест событий Выполнение периодических тестов системы безопасности без предупреждения.

Прививка Предотвращение социальной инженерии и других мошеннических уловок или ловушек путем проведения проведения попытки убеждения путем воздействия на аналогичные или созданные попытки.

Обзор Регулярно проверяйте вышеуказанные шаги: нет решений для обеспечения целостности информации идеально.

Управление отходами Использование службы управления отходами, в которой есть мусорные контейнеры с замками, с ключами от них только для компании по переработке отходов и уборщиков. Размещение мусорного контейнера либо на средствах, чтобы попытаться получить доступ к его сопряженным воротам или забором, где человек должен быть вторгнуться, прежде чем он должен попытаться добраться до мусорного контейнера.

Жизненный цикл социальной инженерии
  1. -Сбор информации - это первый и самый важный шаг, который требует большого терпения и пристального наблюдения за привычками жертвы. На этом этапе собираются данные об интересах жертвы, личная информация. Он определяет степень успешности атаки в целом.
  2. Взаимодействие с жертвой - После сбора необходимого количества информации злоумышленник плавно начинает разговор с жертвой, при этой жертве не обнаруживает ничего неприемлемого.
  3. Нападение -Этот шаг обычно происходит после длительного периода времени с помощью цели с помощью социальной инженерии. По фазе злоумышленник получает результаты от цели.
  4. Завершающее последнее взаимодействие - Это включает в себя медленное прекращение злоумышленником, не вызывая подозрений у жертвы. Таким образом, сценарий шифруется, а жертва редко узнает, что атаки вообще произошло.
Известные социальные инженеры

Фрэнк Абигнейл-младший

Фрэнк Абигнейл-младший Американский консультант по безопасности, известный прошлым как бывший аферист, фальсификатор чеков и самозванец, когда было от 15 до 21 года. Он стал одним из самых личностей мошенников, среди которых был агент Бюро тюрем США и юрист. Абигнейл дважды сбегал из-под стражи полиции (один раз из выруливающего авиалайнера и один из федеральной полиции США), прежде чем ему исполнилось 22 года.

Кевин Митник

Кевин Митник - специалист по компьютерной безопасности консультант, автор и хакер, наиболее известным своим громким арестом в 1995 году и последующим пятилетним осуждением за различными преступлениями, связанными с компьютерами и связью.

Сьюзен Хедли

Сьюзан Хедли был американским хакером, действовавшим в конце 1970-х - начале 1980-х годов, получившим широкое признание за свой опыт в социальной инженерии, предлогах и психологической подрывной деятельности. Она была известна своей специализацией во взломе военных компьютерных систем, что она предполагала то, что она ложилась с военнослужащими и просматривала их одежду в поисках логинов и паролей, пока они спали. Она активно участвовала в фрахтовании с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе, но позже обвинила их в стирании систем файлов в США после падения. вне, что привело к первому осуждению Митника. Она ушла в профессиональный покер.

Братья Бадир

Братья Рами, Мужер и Шадде Бадир - все они были слепыми от рождения - сумели создать обширную схему телефонного и компьютерного мошенничества в Израиль в 1990-е годы с использованием социальной инженерии, олицетворения голоса и компьютеров с дисплеем Брайля.

Кристофер Дж. Хаднаги

Кристофер Дж. Хаднаги - американский социальный инженер и специалист по безопасности информационных технологий консультант. Он известен как автор 4 книг по социальной инженерии и кибербезопасности и основатель Innocent Lives Foundation, которая помогает выявлять торговлю с использованием различных методов безопасности, таких как обращение за помощью к специалистам по информационной безопасности, использование данных из открытых источников. -источник разведки (OSINT) и сотрудничество с правоохранительной другой.

Закон

В общем праве предлог - это вторжение в частную жизнь правонарушения в виде присвоения.

Предсказание телефонных разговоров

В декабре 2006 года Конгресс США одобрил законопроект, спонсируемый Сенатом, согласно которому предлоговое использование телефонных записей является федеральным уголовным преступлением с штрафом в размере до 250 000 долларов. и десять лет тюрьмы для физических лиц (или штрафы до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года.

Федеральное законодательство

1999 «GLBA» - это США. Федеральный, который специально рассматривает предлоговое использование банковских операций как незаконное действие, наказуемое в соответствии с федеральными законами. Когда коммерческая организация, такая как частный следователь, страховой следователь SIU или аджастер, это подпадает под юрисдикцию Федеральной торговой комиссии (FTC). Это федеральное агентство обязано и проверено, пользователь не подвергается какой-либо нечестной практике. Закон о Федеральной торговой комиссии США, раздел 5 FTCA, в частности, гласит: «Всякий раз, когда у Комиссии будут основания полагаться, что любое такое лицо, товарищество или корпорация использовало или использует какой-либо недобросовестный метод конкуренции <>. 54>

Закон гласит, что когда кто-либо получает какую-либо личную, публичную информацию от финансового учреждения или потребителя, его действие регулируется законом. Например, мошенник, использующий ложные предлогы, чтобы иметь дело с финансовым учреждением. получить адрес потребителя из банка потребителя или заставить потребителя раскрыть название своего банка, будет охвачен. еделяющий принцип заключается в том, что предлог происходит только тогда, когда информация получена с помощью ложных предлогов.

В то время как продажа сотовых телефонов привлекает большое внимание средств массовой информации, а записи о телекоммуникациях находятся в центре внимания двух законопроектов, находящихся в настоящее время на рассмотрении Сената США, многие другие типы частных записей находятся в процессе рассмотрения. покупается и продается на открытом рынке. Наряду со многими рекламными объявлениями для записей сотовых телефонов рекламируются записи проводной связи и записи, связанные с телефонными карточками. Когда люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут выставлены на продажу. В настоящее время продажа телефонных записей является законной, но незаконным их получение.

Специалисты по 1-му источнику информации

США. Член палаты представителей Фред Аптон (R- Каламазу, Мичиган), председатель Подкомитета по энергетике и торговле по телекоммуникациям и Интернету, выразил обеспокоенность по поводу легкости доступа к личным функциям мобильных телефонов на Интернет во время время слушаний в Комитете по энергетике и коммерции Палаты представителей на тему «Продажа телефонных записей: Почему телефонные записи не защищены от предвкушения?» Иллинойс стал первым штатом, который подал в суд на онлайн-брокера, когда генеральный прокурор Лиза Мэдиган подала в суд на 1st Source Information Specialists, Inc., - заявила пресс-секретарь офиса Мэдигана. Согласно копиям, компания из Флориды управляет использованием веб-сайтов, на которых продаются записи с мобильных телефонов. Генеральные прокуроры Флориды и Миссури последовали пример Мэдигана и подали иски соответственно против 1-го источника информации и в случае Миссури, еще одного брокера записей - First Data Solutions, Inc.

Несколько провайдеров беспроводной связи, в том числе T-Mobile, Verizon и Cingular, ранее подавали иски против брокеров записей, при этом Cingular выиграла судебный запрет против First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (демократ от Нью-Йорка) в феврале 2006 г. принял закон, направленный на ограничение этой практики. Закон о защите телефонных записей потребителей от 2006 г. предусматривает уголовное преступление уголовное наказание за кражу и продажу записей с мобильных телефонов, стационарных телефонов и голосовых сообщений через Интернет. Абоненты протокола (VoIP).

HP

Патрисия Данн, бывший председатель Hewlett Packard, сообщила, что совет директоров HP нанял частную детективную компанию, чтобы определить, кто несет ответственность за утечки информации внутри правления. Данн признал, что компания использовала практику предлога для получения телефонных записей членов совета директоров и журналистов. Позже председатель Данн извинился за этот поступок и уйти из совета директоров, если того пожелают члены совета. В отличие от федерального закона, закон Калифорнии прямо запрещает такие предлоги. Четыре обвинения в совершении уголовного преступления, предъявленные Данну, были отклонены.

Профилактические меры

Принятие некоторых мер предосторожности снижает риск мошенничества с использованием социальной инженерии. Можно предпринять следующие меры предосторожности: -

  • Помните о предложениях, которые кажутся «слишком хорошими, чтобы быть правдой».
  • Не нажимать на вложения из неизвестных источников.
  • Не предоставлять личную информацию кому-либо по электронной почте, телефону или текстовым сообщениям.
  • Использование спам-фильтра программного обеспечения, например, ящика для спама.
  • Избегайте дружбы люди, которых вы не знаете в реальной жизни.
  • Научите детей контактировать с взрослыми, вы доверяете в случае, если они подвергаются издевательствам в Интернете (киберзапугивание ) или чувств угрозу чем в Интернете.
В популярной культуре

Хотя социальная инженерия не имеет определенного рецепта успеха и может быть трудно изобразить в письменной форме, концепции социальной инженерии были адаптированы к сценам на телевидении и в фильмах. Эти примеры показывают, как может быть проведена атака.

  • В фильме Одиннадцать друзей Оушена (1960/2001) команда использует социальную инженерию, чтобы ограбить казино.
  • Фильм Марсу нужны женщины (1967) обеспечивают социальные инженерии, проводимой инопланетянами, которые, как показано, участвуют и используют эти методы для достижения своей цели: поимки пяти земных женщин в репродуктивных целях для воссоздания соотношения женщин и мужчин на их планете.
  • Джеймс Бонд фильм Бриллианты навсегда (1971), Бонд получает доступ в лабораторию Уайта с современной системой блокировки доступа к картам "слежка ". Он просто ждет, пока сотрудник откроет дверь, а затем изображает себя новичком в лаборатории, фальсифицируя вставку несуществующей карты, в то время как дверь открыта для него сотрудником.
  • На телевидении показать Rockford Files (1974), персонаж Джим Рокфорд часто использует предлоги в своей работе частное расследование.
  • В фильме Sneakers (1992)), один из персонажей изображает из себя начальника охранника низкого уровня, чтобы убедить его, что нарушение безопасности - всего лишь ложная тревога.
  • В фильме Хакеры (1995), главный герой использует предлог, когда он спрашивает у охранника номер телефона модема телестанции, изображая из себя важного руководителя компании.
  • В фильме Дело Томаса Крауна (1999), один из персонажей по телефону изображает начальника музейного охранника, чтобы отвести охранника от своего поста.
  • В фильме Поймать Я, если сможешь (2002), основной c Персонаж использует самые разные тактики социальной инженерии, основанные на реальных событиях.
  • В книге Джеффри Дивера «Синее никуда» (2002) социальная инженерия для получения конфиденциальной информации является одним из методов, используемых убийцей Фейтом., чтобы приблизиться к своим жертвам.
  • In t Телешоу Псих (2006), главный герой Шон Спенсер часто использует предлог, чтобы получить доступ к местам, куда его иначе не пустили бы без полномочий полиции.
  • фильм Live Free or Die Hard (2007), Джастин Лонг показан под предлогом того, что его отец умирает от сердечного приступа, чтобы иметь представителя On -Star Assist запустить то, что станет украденной машиной.
  • В телешоу Burn Notice (2007) многие персонажи используются с помощью социальной инженерии; В психологическом профиле Майкла Вестена указано, что он очень опытен в социальной инженерии.
  • В телешоу Менталист (2008) главный герой Патрик Джейн часто использует предлоги. чтобы обманом заставить преступников признаться в совершенных ими преступлений.
  • В телешоу Leverage (сериал) (2008) многие персонажи используют социальную инженерию.
  • В телешоу Белый воротничок (2009) Мэтт Бомер развит очень умного и разносторонне развитого мошенника, работавшего в качестве криминального осведомителя ФБР.
  • Во французских романах Максима Франтини [Journal d'un хакер, L'ombre et la lumière, La Cavale, La détermination du fennec] (2012), герой-хакер Илиан Эстевес в основном использует социальную инженерию для своих атак.
  • В фильме Похититель личности (2013), Мелисса Маккарти сыграла мошенника, который использует предлог, чтобы получить имя, номер кредитной карты и номер социального страхования руководителя (Джейсон Бейтман), что ей украсть его личность и совершить.
  • В видеоигре Watch Dogs (2014) главный герой Эйден Пирс заявляет, что изучал социальную инженерию, когда рос в криминальной жизни, и использует тактику социальной инженерии, чтобы манипулировать другими персонажами на протяжении всей игры.
  • В фильме Кто я (2014) главные герои используют различные приемы социальной инженерии.
  • По телевизору показать Mr. Робот (2015), Дарлин разбрасывает USB-флеш-накопители охранника вредоносного ПО, выманивая любопытного тюрьмы, взломавшего внутреннюю сеть, когда он подключает один из дисков к своей компьютерной рабочей среде станции.
  • В фильме Фокус (2015) персонаж Ники Сперджен и его команда используют методы социальной инженерии для проведения схем доверия с целью кражи денег.
  • фильм Девушка в паутине (2018), персонаж Лисбет Саландер использует социальную инженерию в нескольких ситуациях.
См. также
Ссылки
Дополнительная литература
Внешние ссылки
На Викискладе есть материалы, связанные с Социальной инженерией (компьютерной безопасностью).
Последняя правка сделана 2021-06-08 07:49:15
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте