В контексте информационная безопасность, социальной инженерии - это психологическое манипулирование людьми с целью выполнения действий или разглашения конфиденциальной информации. Это отличается от социальной инженерии в социальных науках. Тип уловки доверия с целью сбора информации, мошенничества или доступа к системе, он отличается от традиционного «мошенничества» тем, что часто является из многих шагов в более сложной схеме мошенничества.
Это также было определено как «любое действие, которое побуждает человека совершить действие, которое может или не может быть в его интересах».
Поведение сотрудников может иметь большое влияние на информационную безопасность в организациях. Культурные концепции безопасности работы различных служб безопасности в рамках информационной безопасности внутри организации. «Изучение взаимосвязи между организационной культурой и культурой информационной безопасности» дает следующее определение культуры информационной безопасности: «ISC - это совокупность моделей поведения в организациях, которые способствуют защите информации всех видов».
Андерссон и Реймерс (2014) демонстрируют, что сотрудники часто считают себя частями организации по информационной безопасности и часто предпринимают действия, которые игнорируют интересы организации в области информационной безопасности. Исследования показывают, что культуру информационной безопасности необходимо постоянно улучшать. В статье «Культура информационной безопасности от анализа к изменениям» авторы отметили, что «это бесконечный процесс, цикл оценки и изменений или обслуживания». Они предоставят, чтобы для управления культурой информационной безопасности было предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, внедрение и последующая оценка.
Все методы социальной инженерии основаны на определенных качествах человека принятие решений, известное как когнитивные предубеждения. Эти предубеждения, иногда называемые «ошибками в оборудовании человека», используются в различных комбинациях для выполнения некоторых методов атаки. Атаки, используемые в социальной инженерии, могут быть использованы для кражи конфиденциальной информации сотрудников. Самый распространенный вид социальной инженерии - по телефону. Другими примерами социальных служб безопасности преступники, выдающие себя за истребителей, начальников пожарной части и технических специалистов, остаются незамеченными во время кражи секретов компании.
Официальное объявление службы поддержки изменилось. Поэтому, когда сотрудники обращаются за помощью, человек спрашивает их пароли и устройства, тем самым получая возможность доступа к частной информации компании. Еще один пример социальной инженерии: хакер связывается с целью на сайт социальной сети и начинает разговор с целью. Постепенно хакер завоевывает доверие цели и использует это доверие, получить доступ к конфиденциальной информации, такой пароль или реквизиты банковского счета.
Социальная инженерия во многом опирается на шесть принципов влияния, факторов Робертом Чалдини.. Теория влияния на основные принципы: взаимность, приверженность и последовательность, социальное доказательство, авторитет, симпатия, дефицит.
Вишинг, иначе известный как «голосовой фишинг », является преступной практикой использования социальной инженерии через телефонную систему для получения доступа к частной и финансовой информации от общественности с целью получения финансового вознаграждения. Он также используется злоумышленниками для разведки, чтобы собрать более подробную разведданные о целевой организации. 49>Фишинг
Фишинг - это метод предоставления конфиденциальной информации обманным путем. Как правило, отправляет электронное письмо, которое, похоже, исходит от законного предприятия - банка или - с запросом «проверки» информации и предупреждением о некоторых серьезных последствийх, если они не предоставлены, то, что обычно содержит ссылку на мошенническую веб-страницу, которая кажется законной - с помощью формулы компании и имеет форму, запрашивающую все, от домашнего адреса до карты банкомата PIN или а. Например, в 2003 году произошла фишинговая афера, при которой создаются электронные письма якобы от eBay, в котором утверждено, что учетная запись пользователя будет приостановлена, если только не была нажата ссылка для обновления (информация о том, что настоящий eBay уже было). Имитируя HTML-код и логотипы законной организации, относительно просто сделать поддельный веб-сайт аутентичным. Мошенничество заставляет некоторых людей подумать, что eBay требует от них обновить информацию о своей учетной записи, сделанную на предоставленную ссылку. Путем без разбора рассылки спама очень большим группам людей «фишер» рассчитывает получить конфиденциальную финансовую информацию от небольшого процента (но большого числа) получателей, которые уже имеют учетные записи eBay и также стали жертвами мошенничества.
Акт использования SMS Обмен текстовыми сообщениями, чтобы побудить к определенному образу действий. Как и фишинг, это может быть положие на отрицную ссылку или разглашение информации.
Притворяться или выдавать себя за другое лицо с целью использования физического доступа к системе или зданию. Выдача себя за другое лицо используется в мошенничестве «мошенничество с заменой SIM-карты ».
Предлог (прил.146>предлоговый ) - это акт создания и использования придуманного сценария (предлог ), чтобы задействовать целевую жертву таким образом, чтобы увеличить вероятность того, что жертва разгласит информацию или совершит действие, которые были бы маловероятны в обычных обстоятельствах. Сложная ложь, чаще она включает в себя предварительное исследование или настройку и использование этой информации для выдачи себя за другое лицо (например, дата рождения, номер социального страхования, сумма последнего счета) для установка легитимность в сознании жертвы.
Этот метод введения в систему, чтобы обманом заставить себя вести о клиентах, а также частными следователями для получения телефонных записей, отчетов коммунальных услуг, банковских услуг и прочая информация напрямую от сервисных представителей компании. Эта информация может быть использована для более легитимности при более жестком допросе с менеджером, например, для внесения изменений в учетную запись, отметки балансов и т. Д.
Предотекст также может воспринимать авторитет или право знать в сознании, сознании, предполагать авторитет, полицию, банк, налоговые органы, духовенство, страховые органы. Обманщик должен просто подготовить ответы на вопросы, которые может задать потерпевший. В некоторых случаях требуется - это авторитетный голос, серьезный тон и способность думать на ногах, чтобы создать предлоговый сценарий.
Телефонный фишинг (или «вишинг ») использует мошенническую систему интерактивного голосового ответа (IVR) для воссоздания легитимно звучащей копии. системы IVR банка или другого учреждения. Предлагается (обычно через фишинговое письмо) позвонить в «банк» по номеру (в идеале - бесплатно), предоставленному бесплатному «проверке» информации. Типичная система «вишинга» будет постоянно отклонять вход в систему, гарантируя, что вводит PIN-коды или пароли несколько раз, часто раскрывая несколько разных паролей. Более продвинутые системы передают жертву злоумышленнику / мошеннику, который выдает себя за агента по обслуживанию клиентов или эксперта безопасности для дальнейшего допроса жертвы.
Хотя цель фишинг похож на «фишинг», цель фишинг представляет собой метод, при котором мошенническим путем получают личную информацию путем отправки настраиваемых электронных писем немногим конечным пользователям. Это особое различие между фишинговыми атаками, поскольку фишинговые кампании сосредоточены на рассылке больших объемов обобщенных электронных писем с ожиданием, что на них ответят лишь несколько человек. С другой стороны, электронные письма с целевым фишингом требуют, чтобы злоумышленник провел дополнительное исследование своих целей, чтобы «обманом» выполнить запрошенные действия. Вероятность успеха целевых фишинговых атак значительно выше, чем у фишинговых атак: люди открывают примерно 3% фишинговых писем по примерно 70% попыток. Более того, когда пользователи фактически открывают электронные письма, фишинговые электронные письма имеют относительно скромный 5% -ный показатель успешности ссылок или вложения по сравнению с 50-процентной вероятностью успеха целевого фишинг-атаки.
Успех целевого фишинга сильно зависит от количества и качества OSINT (разведка с открытым исходным кодом), который может получить злоумышленник. Социальные сети активность аккаунта - один из типов источника OSINT.
Водонепроницаемость - это целевая стратегия социальной инженерии, основанная на доверии пользователей к сайту, которые они регулярно посещают. Жертва чувствует себя в безопасности, что она не стала делать в другую ситуацию. Настороженный человек может, например, адрес электронной почты, направленный на незапрашиваемый электронном письме, но тот же человек не использует ссылку на веб-сайт, который часто посещают. Итак, злоумышленник готовит ловушку для неосторожной добычи у удобного водопоя. Эта стратегия успешно была использована для получения доступа к некоторым (предположительно) очень безопасным системам.
Злоумышленник может действовать, идентифицируя целевую группу или отдельных лиц. Подготовка включает сбор информации о веб-сайтах, которые жертвы часто посещают, из защищенной системы. Сбор информации подтверждает, что цели посещают веб-сайты и что система разрешает такие посещения. Затем злоумышленник проверяет эти веб-сайты на наличие уязвимостей, чтобы внедрить код, который может заразить пользователя пользователя вредоносным ПО. Ловушка внедренного кода и вредоносное ПО могут быть адаптированы к конкретным настройкам и конкретным системам, которые они используют. Со временем один или несколько членов группы заразятся, и злоумышленник сможет получить доступ к защищенной системе.
Приманка похожа на троянского коня из реального мира, который использует физические носители и полагается на любопытство или жадность жертвы. В этой атаке злоумышленникиют зараженные вредоносным ПО гибкие диски, CD-ROM или USB-накопители. в местах, где люди их находят (комнаты, лифты, тротуары, автостоянки и т. д.), дают им законные ярлыки, вызывающие любопытство, и ждут жертв.
Например, злоумышленник может создать диск с корпоративным логотипом, доступный на веб-сайте цели, и назвать его «Сводка по зарплате руководителя за 2 квартал 2012 года». Затем злоумышленник оставляет диск на полу лифта или где-нибудь в холле компании. Ничего не подозревающий сотрудник может найти его и вставить диск в компьютер, чтобы удовлетворить свое любопытство, или добиваться самаритянин может найти его и вернуть компанию. В любом случае, простая установка диска в любом случае, простая установка диска в компьютер уязвимое ПО, предоставляя змышленникам доступ к компьютеру жертвы и, возможно, к внутренней компьютерной сети целевой компании.
компьютерные средства управления не блокируют заражение, установка компрометирует автозапуск компьютеров "средства массовой информации" информации. Также могут быть использованы враждебные устройства. Например, «счастливому победителю» отправляется бесплатный цифровой аудиоплеер, который компрометирует любой компьютер, к которому он подключен. «дорожное яблоко » (разговорный термин для лошади навоз, указывающий на нежелательный характер устройства) - это любой съемный носитель с вредоносным программным обеспечением, оставленным в подходящих или заметных местах.. Это может быть CD, DVD или флэш -накопитель USB, а также другие носители. Любопытные люди берут его и подключают к компьютеру, заражая хост и все подключенные сети. Опять же, хакер ы могут дать им заманчивые ярлыки, такие как «Заработная плата сотрудников» или «Конфиденциально».
В одном исследовании, проведенном в 2016 году, исследователи бросили 297 USB-накопителей на территории кампуса Университета Иллинойса. На дисках были файлы со ссылками на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких дисках были открыты файлы, но не сколько было вставлено в компьютер без открытия файла. Из 297 упавших накопителей 290 (98%) из них были взяты, а 135 (45%) из них были «вызваны домой».
Quid pro quo означает что-то для чего-то:
Злоумышленник, пытающийся проникнуть в закрытую зону, защищенную автоматическим электронным контроль доступа, например с помощью карты RFID просто заходит за человеком, имеющим законный доступ. Следуя общей вежливости, законное лицо обычно будет держать дверь открытой для злоумышленника, или сами злоумышленники могут попросить сотрудника держать ее открытой для них. Законное лицо может не запросить идентификацию по любой из нескольких причин или может принять утверждение о том, что злоумышленник забыл или потерял соответствующий токен идентификации. Злоумышленник также может подделать действие по представлению токена идентификации.
Обычные обманщики или мошенники также могут считаться «социальными инженерами» в более широком смысле, поскольку они намеренно обманывают людей и манипулируют ими, используя человеческие слабости для получения личной выгоды. Они могут, например, использовать методы социальной инженерии как часть мошенничества в сфере ИТ.
Самый недавний тип техники социальной инженерии включает подмену или взлом идентификаторов людей, имеющих популярные идентификаторы электронной почты, такие как Yahoo!, Gmail, Hotmail и т. Д. Среди множества мотивов обмана можно выделить:
Организации снижают риски за счет:
обучения сотрудников Обучение сотрудников протоколам безопасности, их части. (например, в таких ситуациях, как скрытый ход, если личность человека не может быть подтверждена, тогда сотрудники должны быть обучены вежливому отказу.)
Стандартные принципы Установление структур доверия на уровне сотрудников / персонала (т. е. указать обучать персонал, когда / где / почему / как следует обращаться с конфиденциальной информацией)
Тщательная проверка информации Определение конфиденциальной информации и оценка ее уязвимости в системах безопасности (здание, компьютерная система и т. д.)
Протоколы безопасности Установление протоколов, политик и процедуры безопасности для конфиденциальной информации.
Тест событий Выполнение периодических тестов системы безопасности без предупреждения.
Прививка Предотвращение социальной инженерии и других мошеннических уловок или ловушек путем проведения проведения попытки убеждения путем воздействия на аналогичные или созданные попытки.
Обзор Регулярно проверяйте вышеуказанные шаги: нет решений для обеспечения целостности информации идеально.
Управление отходами Использование службы управления отходами, в которой есть мусорные контейнеры с замками, с ключами от них только для компании по переработке отходов и уборщиков. Размещение мусорного контейнера либо на средствах, чтобы попытаться получить доступ к его сопряженным воротам или забором, где человек должен быть вторгнуться, прежде чем он должен попытаться добраться до мусорного контейнера.
Фрэнк Абигнейл-младший Американский консультант по безопасности, известный прошлым как бывший аферист, фальсификатор чеков и самозванец, когда было от 15 до 21 года. Он стал одним из самых личностей мошенников, среди которых был агент Бюро тюрем США и юрист. Абигнейл дважды сбегал из-под стражи полиции (один раз из выруливающего авиалайнера и один из федеральной полиции США), прежде чем ему исполнилось 22 года.
Кевин Митник - специалист по компьютерной безопасности консультант, автор и хакер, наиболее известным своим громким арестом в 1995 году и последующим пятилетним осуждением за различными преступлениями, связанными с компьютерами и связью.
Сьюзан Хедли был американским хакером, действовавшим в конце 1970-х - начале 1980-х годов, получившим широкое признание за свой опыт в социальной инженерии, предлогах и психологической подрывной деятельности. Она была известна своей специализацией во взломе военных компьютерных систем, что она предполагала то, что она ложилась с военнослужащими и просматривала их одежду в поисках логинов и паролей, пока они спали. Она активно участвовала в фрахтовании с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе, но позже обвинила их в стирании систем файлов в США после падения. вне, что привело к первому осуждению Митника. Она ушла в профессиональный покер.
Братья Рами, Мужер и Шадде Бадир - все они были слепыми от рождения - сумели создать обширную схему телефонного и компьютерного мошенничества в Израиль в 1990-е годы с использованием социальной инженерии, олицетворения голоса и компьютеров с дисплеем Брайля.
Кристофер Дж. Хаднаги - американский социальный инженер и специалист по безопасности информационных технологий консультант. Он известен как автор 4 книг по социальной инженерии и кибербезопасности и основатель Innocent Lives Foundation, которая помогает выявлять торговлю с использованием различных методов безопасности, таких как обращение за помощью к специалистам по информационной безопасности, использование данных из открытых источников. -источник разведки (OSINT) и сотрудничество с правоохранительной другой.
В общем праве предлог - это вторжение в частную жизнь правонарушения в виде присвоения.
В декабре 2006 года Конгресс США одобрил законопроект, спонсируемый Сенатом, согласно которому предлоговое использование телефонных записей является федеральным уголовным преступлением с штрафом в размере до 250 000 долларов. и десять лет тюрьмы для физических лиц (или штрафы до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года.
1999 «GLBA» - это США. Федеральный, который специально рассматривает предлоговое использование банковских операций как незаконное действие, наказуемое в соответствии с федеральными законами. Когда коммерческая организация, такая как частный следователь, страховой следователь SIU или аджастер, это подпадает под юрисдикцию Федеральной торговой комиссии (FTC). Это федеральное агентство обязано и проверено, пользователь не подвергается какой-либо нечестной практике. Закон о Федеральной торговой комиссии США, раздел 5 FTCA, в частности, гласит: «Всякий раз, когда у Комиссии будут основания полагаться, что любое такое лицо, товарищество или корпорация использовало или использует какой-либо недобросовестный метод конкуренции <>>. 54>
Закон гласит, что когда кто-либо получает какую-либо личную, публичную информацию от финансового учреждения или потребителя, его действие регулируется законом. Например, мошенник, использующий ложные предлогы, чтобы иметь дело с финансовым учреждением. получить адрес потребителя из банка потребителя или заставить потребителя раскрыть название своего банка, будет охвачен. еделяющий принцип заключается в том, что предлог происходит только тогда, когда информация получена с помощью ложных предлогов.
В то время как продажа сотовых телефонов привлекает большое внимание средств массовой информации, а записи о телекоммуникациях находятся в центре внимания двух законопроектов, находящихся в настоящее время на рассмотрении Сената США, многие другие типы частных записей находятся в процессе рассмотрения. покупается и продается на открытом рынке. Наряду со многими рекламными объявлениями для записей сотовых телефонов рекламируются записи проводной связи и записи, связанные с телефонными карточками. Когда люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут выставлены на продажу. В настоящее время продажа телефонных записей является законной, но незаконным их получение.
США. Член палаты представителей Фред Аптон (R- Каламазу, Мичиган), председатель Подкомитета по энергетике и торговле по телекоммуникациям и Интернету, выразил обеспокоенность по поводу легкости доступа к личным функциям мобильных телефонов на Интернет во время время слушаний в Комитете по энергетике и коммерции Палаты представителей на тему «Продажа телефонных записей: Почему телефонные записи не защищены от предвкушения?» Иллинойс стал первым штатом, который подал в суд на онлайн-брокера, когда генеральный прокурор Лиза Мэдиган подала в суд на 1st Source Information Specialists, Inc., - заявила пресс-секретарь офиса Мэдигана. Согласно копиям, компания из Флориды управляет использованием веб-сайтов, на которых продаются записи с мобильных телефонов. Генеральные прокуроры Флориды и Миссури последовали пример Мэдигана и подали иски соответственно против 1-го источника информации и в случае Миссури, еще одного брокера записей - First Data Solutions, Inc.
Несколько провайдеров беспроводной связи, в том числе T-Mobile, Verizon и Cingular, ранее подавали иски против брокеров записей, при этом Cingular выиграла судебный запрет против First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (демократ от Нью-Йорка) в феврале 2006 г. принял закон, направленный на ограничение этой практики. Закон о защите телефонных записей потребителей от 2006 г. предусматривает уголовное преступление уголовное наказание за кражу и продажу записей с мобильных телефонов, стационарных телефонов и голосовых сообщений через Интернет. Абоненты протокола (VoIP).
Патрисия Данн, бывший председатель Hewlett Packard, сообщила, что совет директоров HP нанял частную детективную компанию, чтобы определить, кто несет ответственность за утечки информации внутри правления. Данн признал, что компания использовала практику предлога для получения телефонных записей членов совета директоров и журналистов. Позже председатель Данн извинился за этот поступок и уйти из совета директоров, если того пожелают члены совета. В отличие от федерального закона, закон Калифорнии прямо запрещает такие предлоги. Четыре обвинения в совершении уголовного преступления, предъявленные Данну, были отклонены.
Принятие некоторых мер предосторожности снижает риск мошенничества с использованием социальной инженерии. Можно предпринять следующие меры предосторожности: -
Хотя социальная инженерия не имеет определенного рецепта успеха и может быть трудно изобразить в письменной форме, концепции социальной инженерии были адаптированы к сценам на телевидении и в фильмах. Эти примеры показывают, как может быть проведена атака.
На Викискладе есть материалы, связанные с Социальной инженерией (компьютерной безопасностью). |