Social ingenjörskonst - i samband med informationssäkerhet - psykologisk manipulation av människor för att utföra vissa handlingar eller avslöja konfidentiell information. Det bör särskiljas från begreppet social ingenjörskonst inom samhällsvetenskapen – som inte rör utlämnande av konfidentiell information. Uppsättningen av knep för att samla in information, förfalska eller obehörig åtkomst skiljer sig från traditionellt "bedrägeri" genom att det ofta är ett av många steg i ett mer komplext bedrägerisystem [1] .
Det kan också definieras som "varje åtgärd som föranleder en person att agera, som kanske ligger i hans intresse eller inte" [2] .
Valet av den eller den tekniken beror inte bara på redan känd kunskap om föremålet för påverkan, utan också på den direkta situationella praktiken av interaktion med det, eftersom en social ingenjör oftast hanterar existerande förhållanden och omständigheter som kanske aldrig händer igen i framtiden (enligt A V. Veselov) [3] .
Nätfiske (engelsk nätfiske, från fiske - fiske, fiske) är en typ av internetbedrägeri , vars syfte är att få tillgång till konfidentiella användardata - inloggningar och lösenord . Detta är det mest populära sociala ingenjörskonceptet hittills. Inget större persondataintrång är komplett utan en våg av nätfiske-e-postmeddelanden som föregår det. Det mest slående exemplet på en nätfiskeattack är ett meddelande som skickas till offret via e-post och förfalskat som ett officiellt brev - från en bank eller ett betalningssystem - som kräver verifiering av viss information eller vissa åtgärder. Orsakerna kan kallas de mest olika. Detta kan vara dataförlust, systemfel och så vidare. Sådana e-postmeddelanden innehåller vanligtvis en länk till en falsk webbsida som ser exakt ut som den officiella och innehåller ett formulär som kräver att du anger konfidentiell information [4] .
Populära nätfiskebedrägerier Nedlagda länkarEn attack som består i att skicka ett e-postmeddelande med en frestande anledning att besöka en sida och en direktlänk till den som bara liknar den förväntade sajten, såsom www.PayPai.com. Det ser ut som att det är en länk till PayPal, få människor kommer att märka att bokstaven "l" har ersatts med ett "i". Sålunda, när man klickar på länken, kommer offret att se en sida som är så identisk som möjligt med den förväntade, och när man anger kreditkortsinformation skickas denna information omedelbart till angriparen.
Ett av de mest ökända exemplen på ett globalt nätfiskebedrägeri är ett bedrägeri från 2003 där tusentals eBay- användare fick e-postmeddelanden som hävdade att deras konto hade stängts av och krävde att deras kreditkortsinformation uppdaterades för att låsa upp det. Alla dessa e-postmeddelanden innehöll en länk som ledde till en falsk webbsida som såg ut exakt som den officiella. Men enligt experter uppgick förlusterna från denna bluff till mindre än en miljon dollar (flera hundra tusen) [5] .
FöretagsmärkesbedrägeriDessa nätfiskebedrägerier använder falska e-postmeddelanden eller webbplatser som innehåller namn på stora eller välkända företag. Meddelanden kan innehålla gratulationer till att du vunnit en tävling som hålls av företaget, att det är brådskande att ändra dina referenser eller lösenord. Liknande bedrägliga upplägg på uppdrag av den tekniska supporttjänsten kan också utföras per telefon [6] .
Falska lotterierAnvändaren kan få meddelanden om att han vunnit lotteriet, som hölls av något välkänt företag. Utåt sett kan dessa meddelanden se ut som om de skickades på uppdrag av en av de högt uppsatta anställda i företaget [6] .
Falsk antivirus- och säkerhetsprogramvaraSådan bedräglig programvara , även känd som " scareware ", är program som ser ut som antivirus, även om det faktiskt är tvärtom. Sådana program genererar falska meddelanden om olika hot och försöker också locka användaren till bedrägliga transaktioner. Användaren kan stöta på dem i e-post, onlineannonser, sociala medier, sökmotorresultat och till och med datorpopup-fönster som efterliknar systemmeddelanden [6] .
IVR eller telefonnätfiskeTelefonnätfiske - Vishing (eng. vishing - röstfiske) heter så i analogi med nätfiske. Denna teknik är baserad på användningen av ett system med förinspelade röstmeddelanden för att återskapa de "officiella samtalen" för bank- och andra IVR- system. Vanligtvis får offret en begäran (oftast via e-postnätfiske) om att kontakta banken och bekräfta eller uppdatera viss information. Systemet kräver användarautentisering genom att ange en PIN -kod eller lösenord . Därför, efter att ha skrivit ner nyckelfrasen tidigare, kan du ta reda på all nödvändig information. Till exempel kan vem som helst skriva ner ett typiskt kommando: "Tryck på en för att ändra lösenordet. Tryck två för att få operatörens svar "och spela upp det manuellt vid rätt tidpunkt, vilket ger intrycket av ett system med förinspelade röstmeddelanden som för närvarande fungerar [7] .
Phone phreaking är en term som används för att beskriva experiment och hackning av telefonsystem med ljudmanipulation med tonval. Denna teknik dök upp i slutet av 50-talet i Amerika. Bell Telephone Corporation, som då täckte nästan hela USA:s territorium, använde tonval för att överföra olika servicesignaler. Entusiaster som försökte replikera några av dessa signaler kunde ringa gratis samtal, organisera konferenssamtal och administrera telefonnätet.
Pretexting är en attack där en angripare utger sig för att vara en annan person och, enligt ett förberett scenario, lär sig konfidentiell information. Denna attack innebär ordentliga förberedelser, såsom: födelsedag, TIN, passnummer eller de sista siffrorna i kontot, för att inte väcka misstankar hos offret. Vanligtvis genomförs via telefon eller e-post.
Quid pro quoQuid pro quo (från latin Quid pro quo - "det för detta") - på engelska används detta uttryck vanligtvis i betydelsen "quid pro quo". Denna typ av attack innebär att en angripare kontaktar företaget via företagstelefon (med hjälp av agerande [8] ) eller e-post. Ofta utger sig angriparen som en teknisk supportanställd som rapporterar tekniska problem på den anställdes arbetsplats och erbjuder hjälp med att åtgärda dem. I processen att "lösa" tekniska problem tvingar angriparen målet för attacken att utföra åtgärder som gör att angriparen kan köra kommandon eller installera olika programvaror på offrets dator [5] .
En studie från 2003 av Information Security Program visade att 90 % av kontorsanställda är villiga att avslöja konfidentiell information, såsom sina lösenord, för någon form av tjänst eller belöning [9] .
Road AppleDenna attackmetod är en anpassning av den trojanska hästen och består av att använda fysiska medier . Angriparen planterar "infekterade" lagringsmedier på offentliga platser där dessa medier lätt kan hittas, såsom toaletter, parkeringsplatser, matsalar eller på den attackerade medarbetarens arbetsplats [5] . Medierna är förpackade som officiella för företaget som attackeras, eller åtföljs av en signatur utformad för att väcka nyfikenhet. Till exempel kan en angripare slänga en CD med en företagslogotyp och en länk till företagets officiella webbplats, förse den med inskriptionen "Lön för ledningsgruppen." Skivan kan lämnas på hissgolvet eller i lobbyn. En anställd kan omedvetet plocka upp en skiva och sätta in den i en dator för att tillfredsställa sin nyfikenhet.
Användningen av social ingenjörsteknik kräver inte bara kunskap om psykologi , utan också förmågan att samla in nödvändig information om en person. Ett relativt nytt sätt att få sådan information har blivit dess insamling från öppna källor, främst från sociala nätverk . Till exempel innehåller sajter som livejournal , Odnoklassniki , VKontakte en enorm mängd data som människor inte ens försöker dölja. Som regel uppmärksammar användarna inte säkerhetsfrågorna, och lämnar data och information fritt tillgänglig som kan användas av en angripare. (när det gäller Vkontakte, adress, telefonnummer, födelsedatum, bilder, vänner, etc.)
Ett illustrativt exempel är historien om bortförandet av sonen till Eugene Kaspersky. Under utredningen fann man att brottslingarna lärde sig dagens schema och tonåringens rutter från hans register på sidan på det sociala nätverket [10] .
Även genom att begränsa åtkomsten till information på sin sida på ett socialt nätverk kan användaren inte vara säker på att den aldrig kommer att falla i händerna på bedragare. Till exempel visade en brasiliansk datasäkerhetsforskare att det är möjligt att bli vän med vilken Facebook- användare som helst inom 24 timmar med hjälp av social ingenjörsteknik. Under experimentet valde forskaren Nelson Novaes Neto [11] ett offer och skapade ett falskt konto av en person från hennes omgivning - hennes chef. Först skickade Neto vänförfrågningar till vänner till vänner till offrets chef och sedan direkt till hans vänner. Efter 7,5 timmar uppnådde forskaren ett väntillägg från offret. Därmed fick forskaren tillgång till användarens personuppgifter, som han endast delade med sina vänner.
Shoulder surfing (eng. shoulder surfing ) innebär att man observerar offrets personliga information över hennes axel. Denna typ av attack är vanlig på offentliga platser som kaféer, köpcentra, flygplatser, tågstationer och kollektivtrafik.
En undersökning av IT-proffs i en vitbok [12] om säkerhet visade att:
Omvänd social ingenjörskonst nämns när offret själv erbjuder angriparen den information han behöver. Det kan tyckas absurt, men i själva verket skaffar tekniska eller sociala myndigheter ofta användar-ID och lösenord och annan känslig personlig information bara för att ingen tvivlar på deras integritet. Till exempel, helpdesk-anställda ber aldrig användare om ett ID eller lösenord; de behöver inte denna information för att lösa problem. Många användare delar dock frivilligt med sig av denna känsliga information för att lösa problem så snart som möjligt. Det visar sig att angriparen inte ens behöver fråga om det .
Ett exempel på omvänd social ingenjörskonst är följande enkla scenario. Angriparen, som arbetar tillsammans med offret, ändrar namnet på filen på sin dator eller flyttar den till en annan katalog. När offret märker att filen saknas, hävdar angriparen att de kan fixa det. Offret vill slutföra arbetet snabbare eller undvika straff för förlust av information, samtycker till detta förslag. Angriparen hävdar att det enda sättet att lösa problemet är genom att logga in med offrets referenser. Nu ber offret angriparen att logga in under hennes namn för att försöka återställa filen. Angriparen går motvilligt med och återställer filen och stjäl offrets ID och lösenord på vägen. Efter att ha genomfört attacken framgångsrikt förbättrade han till och med sitt rykte, och det är mycket möjligt att andra kollegor kommer att vända sig till honom för att få hjälp efter det. Detta tillvägagångssätt stör inte normala supporttjänster och gör det svårare att fånga angriparen. [13]
En av historiens mest kända sociala ingenjörer är Kevin Mitnick. Som en världsberömd datorhacker och säkerhetskonsult är Mitnick också författare till ett flertal böcker om datorsäkerhet, med fokus främst på social ingenjörskonst och psykologiska manipulationstekniker. 2001 publicerades boken " The Art of Deception" under hans författarskap [5] , som berättar om verkliga historier om användningen av social ingenjörskonst [14] . Kevin Mitnick hävdar att det är mycket lättare att få ett lösenord genom att fuska än att försöka bryta sig in i ett säkerhetssystem [15] .
Även om bröderna Badir, Mushid och Shadi Badir var blinda från födseln, lyckades de genomföra flera stora bedrägerier i Israel på 1990-talet med hjälp av social ingenjörskonst och röstförfalskning. I en tv-intervju sa de: "Endast de som inte använder telefon, elektricitet och laptop är helt försäkrade mot nätverksattacker." Bröderna har redan suttit i fängelse för att de hört servicesignalerna på telefonlinjen. De ringde långa samtal utomlands på någon annans bekostnad och simulerade interstationssignalering i kanalen .
Archangel, en välkänd datorhackare och säkerhetskonsult för Phrack Magazine , en välkänd engelskspråkig onlinetidning , visade kraften i social ingenjörsteknik genom att erhålla lösenord från ett stort antal olika system på kort tid och lura flera hundra offer .
Mindre kända sociala ingenjörer är Frank Abagnale , David Bannon , Peter Foster och Stephen Jay Russell .
För att utföra sina attacker utnyttjar angripare inom social ingenjörskonst ofta godtrogenhet, lättja, artighet och till och med entusiasm hos användare och anställda i organisationer. Att försvara sig mot sådana attacker är inte lätt, eftersom deras offer kanske inte misstänker att de har blivit lurade. Angripare inom social ingenjörskonst har i princip samma mål som alla andra angripare: de behöver pengar, information eller IT-resurser från offrets företag. För att skydda dig mot sådana attacker måste du studera deras typer, förstå vad angriparen behöver och bedöma vilken skada som kan orsakas för organisationen. Med all denna information kan nödvändiga skyddsåtgärder integreras i säkerhetspolicyn.
Följande är socialingenjörernas handlingsmetoder:
Telefonen är fortfarande ett av de mest populära kommunikationsmedlen inom och mellan organisationer, så det är fortfarande ett effektivt verktyg för social ingenjörskonst. När man pratar i telefon är det omöjligt att se samtalspartnerns ansikte för att bekräfta hans identitet, vilket ger angripare en chans att utge sig för en anställd, chef eller någon annan person som kan litas på konfidentiell eller till synes oviktig information. Angriparen ordnar ofta samtalet på ett sådant sätt att offret inte har något annat val än att hjälpa till, särskilt när förfrågan ser ut som en bagatell.
Olika bedrägerier som syftar till att stjäla pengar från mobiltelefonanvändare är också populära. Det kan handla om både samtal och sms om vinster i lotterier, tävlingar, förfrågningar om att få tillbaka pengar som förfallit av misstag, eller meddelanden om att offrets nära anhöriga har problem och ett akut behov av att överföra en viss summa pengar.
Säkerhetsåtgärder tyder på en skeptisk inställning till sådana meddelanden och vissa säkerhetsprinciper:
Många anställda får dussintals och till och med hundratals e-postmeddelanden dagligen via företags- och privata postsystem. Naturligtvis, med ett sådant flöde av korrespondens, är det omöjligt att ge vederbörlig uppmärksamhet åt varje brev. Detta gör det mycket lättare att utföra attacker. De flesta användare av e-postsystem är lugna när det gäller behandlingen av sådana meddelanden, och uppfattar detta arbete som en elektronisk analog för att flytta papper från en mapp till en annan. När en angripare skickar en enkel förfrågan med posten gör offret ofta det som begärs av dem utan att tänka på deras handlingar. E-postmeddelanden kan innehålla hyperlänkar som uppmuntrar anställda att bryta mot säkerheten i företagsmiljön. Sådana länkar leder inte alltid till de anspråkade sidorna.
De flesta säkerhetsåtgärder syftar till att förhindra obehöriga användare från att komma åt företagets resurser. Om en användare, genom att klicka på en hyperlänk skickad av en angripare, laddar ner en trojan eller ett virus till företagets nätverk, kommer detta enkelt att kringgå många typer av skydd. Hyperlänken kan också peka på en webbplats med popup-program som begär information eller erbjuder hjälp. Precis som med andra typer av bedrägerier är det mest effektiva sättet att skydda sig mot skadliga attacker att vara skeptisk till alla oväntade inkommande e-postmeddelanden. För att utvidga detta tillvägagångssätt över en organisation bör specifika riktlinjer för e-postanvändning inkluderas i säkerhetspolicyn, som täcker de element som anges nedan. [16]
Snabbmeddelanden är ett relativt nytt sätt att överföra data, men det har redan vunnit stor popularitet bland företagsanvändare. På grund av hastigheten och användarvänligheten öppnar denna kommunikationsmetod stora möjligheter för olika attacker: användare behandlar den som en telefonanslutning och associerar den inte med potentiella programvaruhot. De två huvudtyperna av attacker baserade på användningen av snabbmeddelandetjänsten är hänvisningen till skadlig programvara i meddelandetexten och leveransen av själva programmet. Självklart är snabbmeddelanden också ett sätt att begära information. En av funktionerna hos snabbmeddelandetjänster är kommunikationens informella karaktär. I kombination med förmågan att tilldela sig själv vilka namn som helst, gör denna faktor det mycket lättare för en angripare att utge sig för en annan person och ökar hans chanser att framgångsrikt genomföra en attack avsevärt. Om ett företag avser att dra fördel av kostnadsbesparingarna och andra fördelar som snabbmeddelanden ger, måste företagets säkerhetspolicyer hantera dessa hot. Det finns flera krav som måste uppfyllas för att ha tillförlitlig kontroll över snabbmeddelanden i en företagsmiljö. [17]
Socialingenjörsspecialister identifierar följande huvudsakliga skyddsmetoder för organisationer:
För att skydda stora företag och deras anställda från bedragare som använder social ingenjörsteknik, används ofta komplexa säkerhetssystem på flera nivåer. Några av funktionerna och ansvarsområdena för sådana system listas nedan.
I USA:s lagar likställs förevändning, det vill säga utger sig för att vara en annan person för att få information som kan lämnas till den personen, med intrång i privatlivet [18] . I december 2006 godkände den amerikanska kongressen ett lagförslag som skulle bestraffa förevändning och inspelning av telefonsamtal med böter på upp till 250 000 USD eller fängelse i upp till 10 år för enskilda (eller böter på 500 000 USD för juridiska personer). Motsvarande dekret undertecknades av president George W. Bush den 12 januari 2007 [19] .
Patricia Dunn, VD för Hewlett Packard Corporation, sa att HP anlitade ett privat företag för att identifiera de anställda i företaget som var ansvariga för att läcka konfidentiell information. Senare erkände företagets chef att praxis med förevändning och andra sociala ingenjörstekniker användes i forskningsprocessen [20] .
![]() |
---|