De objecten zijn interessant voor een social engineer. Social engineering. Grote en kleine leugens vereisen dezelfde nauwgezette houding.

Liegen is een hele technologie die "Social Engineering" wordt genoemd. Hoogwaardige leugens zijn een integraal onderdeel van "Social Engineering", zonder welke in moderne omstandigheden geen enkele inbreker, zowel een beginner als een geharde, kan doen.

Crackers zijn anders: cracker van computerwerkstations, cracker van servers, cracker van computernetwerken, cracker van telefoonnetwerken, cracker ( fokker) gewoon een brein, enz. - en ze gebruiken allemaal "Social Engineering" als hulpmiddel, of gewoon een leugen, waarop "Social Engineering" in feite is gebouwd, en in feite het grootste deel van het leven van de hele mensheid.

Als kind werd ons geleerd dat je niet kunt liegen. Niemand ooit. Maar zoals vaak gebeurt, doorstreept het leven alle schoollessen en steekt het ons koppig in het feit dat zonder leugens en niet hier en niet hier - "Je zult geen leugen vertellen, je zult niet leven." De beste leugenaars liegen, verrassend genoeg, soms en bijna nooit. We zullen in dit artikel over andere geheimen van de kunst van het liegen praten.

Bijna alle sferen van het menselijk leven, inclusief religie, zijn doordrongen van leugens, en de rusteloze Britse onderzoekers van alles en iedereen in de hele wereld en aangrenzende sterrenstelsels voegen er ook aan toe: "Het blijkt dat elke persoon ongeveer 88 duizend keer in zijn leven liegt! ".

De lijst met de meest populaire leugens omvat natuurlijk en allemaal overschreven: "Geen deeg, ik ben nu zelf blut", "Ik ben erg blij je te zien", "We bellen je terug" en "Bedankt je heel veel, ik ben echt heel goed. Leuk vinden ". Het blijkt dat iedereen liegt, tegen iedereen en elke keer weer. Maar sommigen liegen wonderbaarlijk, anderen behagen en maken het leven gemakkelijker voor zichzelf, terwijl anderen - niet helemaal, terwijl ze pijn en lijden bezorgen aan iedereen om hen heen.

Dus, hoe kun je leren om eenvoudig, veilig en mooi "je hersens te "poederen" ( noedels aan de oren hangen, een sneeuwstorm rijden, bedriegen)? Dit ambacht heeft, net als elk ander, zijn eigen ongeschreven wetten en geheimen.

“De professor is natuurlijk een klit, maar de apparatuur is bij hem, bij hem. Hoe kun je horen? "

Grote en kleine leugens vereisen dezelfde nauwgezette houding.

Dit is een van de basisregels die de aanstaande meester van leugens moet onthouden. Elk van je leugens, ongeacht de betekenis ervan, zal voor altijd moeten worden onthouden en de volgende leugens zullen worden opgebouwd rekening houdend met de vorige. Het kan echter voor sommigen lijken dat het voldoende is om alleen de meest elementaire leugen te onthouden, en een leugen over kleine formaliteiten is het niet waard om te onthouden. Dit is hoe onervaren leugenaars in de regel branden, - nadat ze een berg leugens hebben opgestapeld, vergeten ze dan wie, wanneer en hoe ze "kammen".

Streef er daarom naar om al je eigen leugens te onthouden, zelfs de kleinste. En omdat het menselijk geheugen niet oneindig is en je zeker niet al je "gonilov" kunt onthouden, volgt uit deze conclusie de basisregel: lieg zo min mogelijk, IMHO is dit de enige manier om aannemelijkheid te bereiken.

Zand in de ogen, noedels in de oren

Een echte meester (racer) van leugens is als een Spaanse stierenvechter die pas op het meest beslissende moment zijn zwaard trekt en maar 1 slag toebrengt. De rest van de tijd leidt hij het slachtoffer vakkundig af met behulp van behendige manipulaties met een rode mantel. Tijdens het ophangen van noedels gebruiken ze vergelijkbare methoden, en door de aandacht van de gesprekspartner op een ander object te richten of het onderwerp van het gesprek van tijd tot tijd te veranderen, hoeft u meestal niet te liegen. Denk van tevoren na over uw gedragsstrategie, zodat u helemaal geen sneeuwstorm hoeft te verdrijven. Maar overdrijf het niet, want het onhandige gebruik van een muleta kan een stierenvechter in het leven kosten!

Hard op school, makkelijk op het werk

Praktische training is in elk beroep noodzakelijk, en in een beroep als leugenaar is oefenen absoluut onmisbaar. Maar omdat het niet erg humaan is om op levende mensen te oefenen, zullen we op onszelf oefenen. Laten we voor de spiegel gaan staan ​​en onze leugens herhalen totdat het er volledig natuurlijk uitziet. Idealiter zouden we onszelf moeten overtuigen van de waarheid van onze leugens. Een foutloze misleiding is er een waar we zelf in geloofden.

En ik, dan ik niet, en de onzin is niet van mij

Als je wordt verdacht van liegen, dan is het ergste dat je in zo'n situatie kunt doen, excuses gaan maken en nieuwe en nieuwe leugens gaan verzinnen. Toen het huis begon te wankelen, is het noodzakelijk om er zo snel mogelijk uit te ontsnappen en niet dringend extra verdiepingen te bouwen. Daarom moeten alle beschuldigingen worden beantwoord met een beledigd en trots stilzwijgen, of anders overgaan tot een ander onderwerp.

Met betrekking tot 'vrijwillige overgave aan anale gevangenschap' komt een dergelijke overgave neer op een rechtstreeks schot in de tempel. Vaak zijn er omstandigheden waarin de waarheid voor beide kanten even gebrekkig is als voor de andere kant, ondanks de beschuldigingen van liegen, zoals de leugenaar zelf, zou het niet willen horen. Trek niet terug of geef niet op, zelfs niet als je letterlijk tegen de muur wordt geduwd. Buig je lijn tegen bewijs, logica en gezond verstand ( er zijn geen troepen op de Krim, het is allemaal zelfverdediging van mensen).

Alleen jij, ja alleen ik

Je kunt een gedragsstrategie bedenken voor veel stappen vooruit, je kunt briljante acteervaardigheden voor de spiegel uitwerken en de waarheidsgetrouwe intonatie van een gesprek uitwerken, een excuus bedenken, jezelf getuigen, vluchtroutes en een tweede lijn van verdediging.

En familieleden en vrienden kunnen nog steeds achter de waarheid komen. Dit leent zich niet voor een wetenschappelijke verklaring, omdat we niet geloven in het type "Ik droomde in een droom" of "Ik voel mijn kont met mijn hart" ... "dat je een fictieve leugenaar bent." Laten we het anders zeggen, tussen sommige mensen kan een soort psychofysiologische non-verbale (astrale) verbinding worden gelegd, waardoor ze onbewust de kleinste veranderingen van elkaars toestand voelen. daarom is het beter om niet eens te proberen te liegen tegen familie en vrienden.

Social engineering- een methode om de noodzakelijke toegang tot informatie te verkrijgen op basis van de eigenaardigheden van de menselijke psychologie. Het belangrijkste doel van social engineering is om toegang te krijgen tot vertrouwelijke informatie, wachtwoorden, bankgegevens en andere beschermde systemen. Hoewel de term social engineering nog niet zo lang geleden is verschenen, wordt de methode om op deze manier aan informatie te komen al geruime tijd gebruikt. CIA- en KGB-agenten die staatsgeheimen willen bemachtigen, politici en parlementsleden, en wijzelf, als we iets willen krijgen, vaak zonder het zelf te beseffen, gebruiken social engineering-methoden.

Om jezelf te beschermen tegen de effecten van social engineering, moet je begrijpen hoe het werkt. Laten we eens kijken naar de belangrijkste soorten social engineering en methoden om ze te beschermen.

Voorwendsel- Dit is een geheel van handelingen, uitgewerkt volgens een bepaald, vooraf opgesteld scenario, waardoor het slachtoffer alle informatie kan vrijgeven of een bepaalde handeling kan uitvoeren. Meestal omvat dit type aanval het gebruik van spraakhulpmiddelen zoals Skype, telefoon, enz.

Om deze techniek te gebruiken, moet de aanvaller in eerste instantie over enkele gegevens van het slachtoffer beschikken (naam werknemer; functie; naam van projecten waarmee hij werkt; geboortedatum). De aanvaller gebruikt in eerste instantie echte zoekopdrachten met de namen van bedrijfsmedewerkers en ontvangt, nadat hij vertrouwen heeft gewonnen, de informatie die hij nodig heeft.

Phishing- de techniek van internetfraude, gericht op het verkrijgen van vertrouwelijke informatie van gebruikers - autorisatiegegevens van verschillende systemen. Het belangrijkste type phishing-aanvallen is een valse e-mail die naar een slachtoffer wordt gestuurd en die eruitziet als een officiële brief van een betalingssysteem of een bank. De brief bevat een formulier voor het invoeren van persoonsgegevens (pincodes, login en wachtwoord, etc.) of een link naar de webpagina waar zo'n formulier staat. De redenen om het slachtoffer op dergelijke pagina's te vertrouwen kunnen verschillend zijn: accountblokkering, systeemstoring, gegevensverlies, enz.

Trojaanse paard- Deze techniek is gebaseerd op nieuwsgierigheid, angst of andere emoties van gebruikers. De aanvaller stuurt een brief naar het slachtoffer via e-mail, waarvan de bijlage een "update" van de antivirus bevat, een sleutel tot geldelijk gewin of vuil op een werknemer. In feite bevat de bijlage een kwaadaardig programma dat, nadat de gebruiker het op zijn computer heeft uitgevoerd, zal worden gebruikt om informatie te verzamelen of te wijzigen door een aanvaller.

Qwi pro quo(quid pro quo) - bij deze techniek neemt de aanvaller contact op met de gebruiker via e-mail of zakelijke telefoon. Een aanvaller kan zich bijvoorbeeld voorstellen als medewerker technische ondersteuning en informeren over technische problemen op de werkvloer. Vervolgens informeert hij over de noodzaak om ze te elimineren. Tijdens het "oplossen" van een dergelijk probleem dwingt de aanvaller het slachtoffer om acties te ondernemen die de aanvaller in staat stellen bepaalde opdrachten uit te voeren of de benodigde software op de computer van het slachtoffer te installeren.

Reis appel- Deze methode is een aanpassing van een Trojaans paard en bestaat uit het gebruik van fysieke media (cd, flashdrives). Een aanvaller laat dergelijke media meestal vallen op openbare plaatsen op het terrein van het bedrijf (parkeerplaatsen, kantines, werknemerswerkplekken, toiletten). Om ervoor te zorgen dat een medewerker geïnteresseerd raakt in deze media, kan een aanvaller het bedrijfslogo en een soort handtekening op de media plaatsen. Bijvoorbeeld "verkoopgegevens", "personeelssalarissen", "belastingrapport" en andere.

Omgekeerde social engineering- dit type aanval is gericht op het creëren van een situatie waarin het slachtoffer wordt gedwongen zich tot de aanvaller te wenden voor "hulp". Een aanvaller kan bijvoorbeeld een e-mail sturen met de telefoonnummers en contacten van de "ondersteuningsdienst" en na een tijdje omkeerbare problemen veroorzaken op de computer van het slachtoffer. In dit geval zal de gebruiker de aanvaller zelf bellen of e-mailen, en tijdens het "repareren" van het probleem kan de aanvaller de gegevens verkrijgen die hij nodig heeft.

Figuur 1 - De belangrijkste soorten social engineering

tegenmaatregelen

De belangrijkste verdediging tegen social engineering-praktijken is door middel van training van werknemers. Alle werknemers van het bedrijf moeten worden gewaarschuwd voor de gevaren van het vrijgeven van persoonlijke informatie en vertrouwelijke informatie van het bedrijf, evenals voor manieren om gegevenslekken te voorkomen. Bovendien moet elke medewerker van het bedrijf, afhankelijk van de afdeling en functie, instructies hebben over hoe en over welke onderwerpen u met de gesprekspartner kunt communiceren, welke informatie kan worden verstrekt aan de technische ondersteuningsdienst, hoe en wat de medewerker van de bedrijf moet melden om die of andere informatie van een andere werknemer te krijgen.

Daarnaast zijn de volgende regels te onderscheiden:

• Gebruikersgegevens zijn eigendom van het bedrijf.
Op de dag van aanwerving moeten alle werknemers worden uitgelegd dat de logins en wachtwoorden die aan hen zijn gegeven niet voor andere doeleinden (op websites, voor persoonlijke post, enz.) mogen worden gebruikt, overgedragen aan derden of andere werknemers van het bedrijf, die daar niet het recht toe hebben. Heel vaak kan een werknemer bijvoorbeeld wanneer hij op vakantie gaat zijn autorisatiegegevens overdragen aan zijn collega zodat hij wat werk kan doen of bepaalde gegevens kan inzien op het moment van zijn afwezigheid.
• Het is noodzakelijk om inleidende en regelmatige trainingen voor bedrijfsmedewerkers te geven, gericht op het vergroten van de kennis van informatiebeveiliging.
Door dergelijke briefings te houden, kunnen de werknemers van het bedrijf beschikken over actuele gegevens over bestaande methoden van social engineering en mogen ze de basisregels voor informatiebeveiliging niet vergeten.
• Het is verplicht dat er veiligheidsvoorschriften zijn, evenals instructies waar de gebruiker altijd toegang toe moet hebben. De instructies moeten het handelen van medewerkers beschrijven in het geval van een bepaalde situatie.
In de regelgeving kunt u bijvoorbeeld voorschrijven wat er moet gebeuren en waar te gaan wanneer een derde partij probeert om vertrouwelijke informatie of referenties van werknemers op te vragen. Dergelijke acties helpen de aanvaller te identificeren en informatielekken te voorkomen.
• De computers van medewerkers moeten altijd up-to-date zijn met antivirussoftware.
Ook op werknemerscomputers moet een firewall zijn geïnstalleerd.
• In het bedrijfsnetwerk van het bedrijf is het noodzakelijk om systemen te gebruiken voor het detecteren en voorkomen van aanvallen.
Het is ook noodzakelijk om systemen te gebruiken om het lekken van vertrouwelijke informatie te voorkomen. Dit alles zal het risico op fytine-aanvallen verminderen.
• Alle medewerkers dienen te worden geïnstrueerd hoe zij met bezoekers moeten omgaan.
Er zijn duidelijke regels nodig om de identiteit van de bezoeker en zijn begeleider vast te stellen. Bezoekers dienen altijd vergezeld te worden door iemand van het bedrijf. Als een medewerker een voor hem onbekende bezoeker ontmoet, moet hij in de juiste vorm vragen waarvoor de bezoeker zich in deze ruimte bevindt en waar zijn begeleider is. Indien nodig moet de medewerker een onbekende bezoeker melden bij de beveiligingsdienst.
• Het is noodzakelijk om gebruikersrechten in het systeem zoveel mogelijk te beperken.
U kunt bijvoorbeeld de toegang tot websites beperken en het gebruik van verwisselbare media verbieden. Immers, als een medewerker niet op een phishingsite kan komen of een flashdrive met een Trojaans programma op zijn computer niet kan gebruiken, dan kan hij ook geen persoonlijke gegevens kwijtraken.

Op basis van al het bovenstaande kunnen we concluderen dat de belangrijkste manier om te beschermen tegen social engineering het opleiden van medewerkers is. Het is noodzakelijk om te weten en te onthouden dat onwetendheid niet ontslaat van verantwoordelijkheid. Elke gebruiker van het systeem moet zich bewust zijn van de gevaren van het vrijgeven van vertrouwelijke informatie en weten hoe lekkage kan worden voorkomen. Een gewaarschuwd iemand telt voor twee!

Methoden voor social engineering - dit is waar dit artikel over gaat, evenals alles met betrekking tot menselijke manipulatie, phishing en diefstal van klantenbestanden en meer. De informatie werd ons zo vriendelijk verstrekt door Andrey Serikov, waarvan hij de auteur is, waarvoor veel dank aan hem.

A. SERIKOV

AB BOROVSKY

INFORMATIETECHNOLOGIEN VAN SOCIAAL HACKEN

Invoering

De wens van de mensheid om de perfecte vervulling van de taken te bereiken heeft de ontwikkeling van moderne computertechnologie gediend, en pogingen om aan de tegenstrijdige eisen van mensen te voldoen hebben geleid tot de ontwikkeling van softwareproducten. Deze softwareproducten houden de hardware niet alleen draaiende, maar controleren deze ook.

De ontwikkeling van kennis over mens en computer heeft geleid tot de opkomst van een fundamenteel nieuw type systemen - "mens-machine", waarbij een persoon kan worden gepositioneerd als een hardwareapparaat dat onder controle staat van een stabiel, functioneel, multitasking-besturingssysteem genaamd "psyche".

Het onderwerp van dit werk is de beschouwing van sociaal hacken als een tak van sociale programmering, waarbij een persoon wordt gemanipuleerd met behulp van menselijke zwakheden, vooroordelen en stereotypen in social engineering.

Social engineering en zijn methoden

Methoden om een ​​persoon te manipuleren zijn al lang bekend, ze kwamen vooral uit het arsenaal van verschillende speciale diensten naar social engineering.

Het eerste bekende geval van concurrerende intelligentie dateert uit de 6e eeuw voor Christus, in China, toen de Chinezen het geheim van het maken van zijde verloren, dat werd misleid door Romeinse spionnen.

Social engineering is een wetenschap die wordt gedefinieerd als een reeks methoden voor het manipuleren van menselijk gedrag op basis van het gebruik van de zwakheden van de menselijke factor, zonder het gebruik van technische middelen.

Volgens veel experts is de grootste bedreiging voor informatiebeveiliging juist de methoden van social engineering, al was het maar omdat het gebruik van social hacking geen grote financiële investeringen en grondige kennis van computertechnologie vereist, en ook omdat mensen bepaalde gedragstendensen hebben die kunnen worden gebruikt voor zorgvuldige manipulatie.

En hoe de technische beschermingssystemen ook worden verbeterd, mensen blijven mensen met hun zwakheden, vooroordelen, stereotypen, met behulp waarvan het management plaatsvindt. Het opzetten van een menselijk "beveiligingsprogramma" is het moeilijkst en leidt niet altijd tot gegarandeerde resultaten, aangezien dit filter constant moet worden aangepast. Hier klinkt het belangrijkste motto van alle beveiligingsexperts relevanter dan ooit: "Veiligheid is een proces, geen resultaat."

Toepassingsgebieden van social engineering:

1. algemene destabilisatie van het werk van de organisatie om haar invloed te verminderen en de mogelijkheid van de daaropvolgende volledige vernietiging van de organisatie;
2. financiële fraude in organisaties;
3. phishing en andere methoden om wachtwoorden te stelen om toegang te krijgen tot persoonlijke bankgegevens van individuen;
4. diefstal van klantendatabases;
5. concurrerende intelligentie;
6. algemene informatie over de organisatie, over haar sterke en zwakke punten, met als doel deze organisatie vervolgens op de een of andere manier te vernietigen (vaak gebruikt voor raider-aanvallen);
7. informatie over de meest kansrijke medewerkers met het oog op hun verdere "verleiding" naar uw organisatie;

Sociaal programmeren en sociaal hacken

Sociale programmering kan een toegepaste discipline worden genoemd die zich bezighoudt met de gerichte impact op een persoon of een groep mensen om hun gedrag te veranderen of in de goede richting te houden. Zo stelt de sociaal programmeur zichzelf een doel: het beheersen van de kunst van het managen van mensen. Het basisconcept van sociale programmering is dat veel van de acties van mensen en hun reacties op een of andere externe invloeden in veel gevallen voorspelbaar zijn.

Sociale programmeermethoden zijn aantrekkelijk omdat ofwel niemand ze ooit zal kennen, of zelfs als iemand iets vermoedt, het erg moeilijk is om zo'n persoon te vervolgen, en in sommige gevallen is het ook mogelijk om het gedrag van mensen te "programmeren", en één persoon, en een grote groep. Deze kansen behoren tot de categorie van social hacking, juist omdat bij allemaal mensen de wil van iemand anders uitvoeren, alsof ze zich onderwerpen aan een 'programma' dat is geschreven door een social hacker.

Sociaal hacken als een kans om een ​​persoon te hacken en hem te programmeren om de nodige acties uit te voeren, komt van sociale programmering - een toegepaste discipline van social engineering, waar specialisten op dit gebied - sociale hackers - methoden van psychologische beïnvloeding en handelen gebruiken, geleend van het arsenaal van speciale diensten.

Social hacking wordt in de meeste gevallen gebruikt als het gaat om het aanvallen van een persoon die deel uitmaakt van een computersysteem. Een computersysteem dat is gehackt, staat niet op zichzelf. Het bevat een belangrijk onderdeel - een persoon. En om informatie te krijgen, moet een sociale hacker een persoon hacken die met een computer werkt. In de meeste gevallen is het gemakkelijker om dit te doen dan de computer van het slachtoffer te hacken en zo het wachtwoord te achterhalen.

Een typisch algoritme voor impact bij social hacking:

Alle aanvallen door sociale hackers passen in één vrij eenvoudig schema:

1. het doel van het beïnvloeden van een bepaald object wordt geformuleerd;
2. informatie over het object wordt verzameld om de meest geschikte doelen van impact te vinden;
3. op basis van de verzamelde informatie wordt een podium geïmplementeerd, dat psychologen attractie noemen. Aantrekking (van Lat. Attrahere - aantrekken, aantrekken) is het creëren van de noodzakelijke voorwaarden voor het beïnvloeden van een object;
4. dwang tot de actie die nodig is voor een sociale hacker;

Dwang wordt bereikt door de vorige fasen uit te voeren, dat wil zeggen, nadat de aantrekkingskracht is bereikt, voert het slachtoffer zelf de acties uit die nodig zijn voor de social engineer.

Op basis van de verzamelde informatie voorspellen sociale hackers het psycho- en sociotype van het slachtoffer vrij nauwkeurig, waarbij ze niet alleen de behoefte aan voedsel, seks, enz. identificeren, maar ook de behoefte aan liefde, de behoefte aan geld, de behoefte aan comfort, enz. .

En echt, waarom proberen een bepaald bedrijf te infiltreren, computers, geldautomaten te hacken, complexe combinaties te organiseren als alles eenvoudiger kan: verliefd worden op een persoon die uit eigen vrije wil geld overmaakt naar een bepaalde rekening of elke timeshare de nodige informatie?

Gebaseerd op het feit dat de acties van mensen voorspelbaar zijn en ook bepaalde wetten gehoorzamen, gebruiken sociale hackers en sociale programmeurs zowel originele multi-moves als eenvoudige positieve en negatieve technieken gebaseerd op de psychologie van het menselijk bewustzijn, gedragsprogramma's, trillingen van interne organen om hun doelen te bereiken. taken logisch denken, verbeelding, geheugen, aandacht. Deze technieken omvatten:

Wood's generator - genereert oscillaties met dezelfde frequentie als de oscillatiefrequentie van interne organen, waarna een resonantie-effect wordt waargenomen, waardoor mensen ernstig ongemak en angst beginnen te voelen;

impact op de geografie van de menigte - voor de vreedzame ontbinding van extreem gevaarlijke agressieve, grote groepen mensen;

hoogfrequente en laagfrequente geluiden - om paniek en het tegenovergestelde effect te veroorzaken, evenals andere manipulaties;

sociaal imitatieprogramma - een persoon bepaalt de juistheid van acties en ontdekt welke acties door andere mensen als correct worden beschouwd;

claque programma - (op basis van sociale imitatie) de organisatie van de nodige reactie van het publiek;

wachtrijen - (op basis van sociale imitatie) een eenvoudige maar effectieve reclamebeweging;

programma voor wederzijdse bijstand - een persoon probeert de mensen die hem iets goeds hebben aangedaan met goed terug te betalen. De wens om dit programma te vervullen gaat vaak alle argumenten van de rede te boven;

Sociaal hacken op internet

Met de komst en ontwikkeling van internet is een virtuele omgeving bestaande uit mensen en hun interacties, de omgeving voor het manipuleren van een persoon, voor het verkrijgen van de benodigde informatie en het uitvoeren van de noodzakelijke acties, uitgebreid. Tegenwoordig is internet het medium van wereldwijde uitzendingen, een medium voor samenwerking, communicatie en bestrijkt het de hele wereld. Dit is wat social engineers gebruiken om hun doelen te bereiken.

Manieren om een ​​persoon te manipuleren via internet:

In de moderne wereld hebben de eigenaren van bijna elk bedrijf zich al gerealiseerd dat internet een zeer effectief en handig middel is om een ​​bedrijf uit te breiden en dat het de belangrijkste taak is om de winst van het hele bedrijf te vergroten. Het is bekend dat reclame wordt ingezet zonder informatie die erop gericht is de aandacht op het gewenste object te vestigen, er belangstelling voor te wekken of te behouden en het op de markt te promoten. Alleen vanwege het feit dat de advertentiemarkt al lang verdeeld is, zijn de meeste soorten advertenties voor de meeste ondernemers weggegooid geld. Internetreclame is niet alleen een van de soorten reclame in de media, het is iets meer, want met behulp van internetreclame komen mensen die geïnteresseerd zijn in samenwerking naar de website van de organisatie.

Internetreclame heeft, in tegenstelling tot reclame in de media, veel meer mogelijkheden en parameters voor het managen van een reclamebureau. De belangrijkste indicator van online adverteren is dat: Kosten voor internetadvertenties worden alleen afgeschreven bij de overgang geïnteresseerde gebruiker via de advertentielink, wat adverteren op internet natuurlijk effectiever en goedkoper maakt dan adverteren in de media. Dus na het indienen van een advertentie op televisie of in gedrukte media, wordt deze volledig betaald en wacht het gewoon op potentiële klanten, maar klanten kunnen op advertenties reageren of niet - het hangt allemaal af van de kwaliteit van de productie en levering van advertenties op televisie of kranten, maar het budget voor advertenties is al besteed in het geval dat als de advertentie niet werkte, het verspild was. In tegenstelling tot dergelijke reclame in de media, heeft reclame op internet de mogelijkheid om de reactie van het publiek te volgen en internetreclame te beheren voordat het budget is uitgegeven, bovendien kan reclame op internet worden onderbroken - wanneer de vraag naar producten is toegenomen en hervat - wanneer de vraag begint te dalen.

Een andere methode van beïnvloeding is de zogenaamde "Killing of forums", waar ze met behulp van sociale programmering anti-reclame maken voor een bepaald project. De sociale programmeur vernietigt in dit geval, met de hulp van duidelijke provocerende acties alleen, het forum, met behulp van verschillende pseudoniemen ( bijnaam) om een ​​anti-leidersgroep om hem heen te creëren, en om regelmatige bezoekers naar het project te trekken die ontevreden zijn over het gedrag van de administratie. Aan het einde van dergelijke evenementen wordt het onmogelijk om producten of ideeën op het forum te promoten. Waarvoor het forum oorspronkelijk is ontwikkeld.

Naar methoden om een ​​persoon via internet te beïnvloeden met het oog op social engineering:

Phishing is een vorm van internetfraude die is gericht op het verkrijgen van toegang tot vertrouwelijke gebruikersgegevens - logins en wachtwoorden. Deze operatie wordt bereikt door het uitvoeren van massale mailings van e-mails namens populaire merken, evenals privéberichten binnen verschillende diensten (Rambler), banken of binnen sociale netwerken (Facebook). De brief bevat vaak een link naar een site die uiterlijk niet van de echte te onderscheiden is. Nadat een gebruiker op een neppagina is beland, gebruiken social engineers verschillende trucs om de gebruiker ertoe te brengen zijn gebruikersnaam en wachtwoord op de pagina in te voeren, die ze gebruiken om toegang te krijgen tot een specifieke site, waardoor ze toegang krijgen tot rekeningen en bankrekeningen.

Een gevaarlijkere vorm van fraude dan phishing is de zogenaamde pharming.

Pharming is een mechanisme om gebruikers heimelijk om te leiden naar phishing-sites. De social engineer verspreidt speciale kwaadaardige programma's naar de computers van gebruikers, die, nadat ze op de computer zijn gestart, verzoeken van de benodigde sites omleiden naar valse. Zo wordt een hoge stealthiness van de aanval gegarandeerd en wordt de deelname van gebruikers geminimaliseerd - het is voldoende om te wachten tot de gebruiker besluit de sites te bezoeken die interessant zijn voor de social engineer.

Conclusie

Social engineering is een wetenschap die voortkomt uit de sociologie en beweert een verzameling kennis te zijn die het proces van het creëren, moderniseren en reproduceren van nieuwe ("kunstmatige") sociale realiteiten stuurt, ordent en optimaliseert. Op een bepaalde manier "voltooit" het de sociologische wetenschap, voltooit het in het stadium van het transformeren van wetenschappelijke kennis in modellen, projecten en structuren van sociale instellingen, waarden, normen, algoritmen van activiteit, relaties, gedrag, enz.

Ondanks dat Social Engineering een relatief jonge wetenschap is, richt het veel schade aan aan de processen die plaatsvinden in de samenleving.

De eenvoudigste methoden voor bescherming tegen de effecten van deze destructieve wetenschap kunnen worden genoemd:

De aandacht van mensen vestigen op veiligheidskwesties.

Bewustwording door gebruikers van de ernst van het probleem en het aannemen van een systeembeveiligingsbeleid.

Literatuur

1. R. Petersen Linux: de complete gids: Per. van Engels - 3 - ed. - К .: Uitgeverijgroep BHV, 2000. - 800 p.

2. Van Grodnev Internet bij u thuis. - M.: "RIPOL CLASSIC", 2001. -480 p.

3. MV Kuznetsov Social engineering en social hacking. SPb .: BHV-Petersburg, 2007 .-- 368 p.: afb.

Social engineering

Social engineering is een methode voor ongeoorloofde toegang tot informatie of informatieopslagsystemen zonder het gebruik van technische middelen. Het belangrijkste doel van social engineers is, net als andere hackers en crackers, om toegang te krijgen tot beveiligde systemen om informatie, wachtwoorden, creditcardgegevens, enz. te stelen. Het belangrijkste verschil met eenvoudig hacken is dat in dit geval niet de machine wordt geselecteerd als doelwit van de aanval, maar de bediener ervan. Daarom zijn alle methoden en technieken van social engineers gebaseerd op het gebruik van de zwakheden van de menselijke factor, die als extreem destructief wordt beschouwd, aangezien de aanvaller informatie verkrijgt, bijvoorbeeld door een regulier telefoongesprek of door een organisatie binnen te gaan onder de vermomming van een werknemer. Om u tegen dit type aanval te beschermen, moet u op de hoogte zijn van de meest voorkomende soorten fraude, begrijpen wat aanvallers echt willen en tijdig een passend beveiligingsbeleid invoeren.

Geschiedenis

Ondanks het feit dat het concept van "social engineering" relatief recentelijk is verschenen, hebben mensen in een of andere vorm de technieken ervan sinds onheuglijke tijden gebruikt. In het oude Griekenland en Rome waren er mensen in hoog aanzien die de gesprekspartner op verschillende manieren konden overtuigen dat hij duidelijk ongelijk had. Namens de leiders voerden ze diplomatieke onderhandelingen. Vakkundig gebruikmakend van leugens, vleierij en lucratieve argumenten, losten ze vaak problemen op die, zo leek het, niet opgelost konden worden zonder de hulp van een zwaard. Onder spionnen is social engineering altijd het belangrijkste wapen geweest. KGB- en CIA-agenten deden zich voor als een andere persoon en konden geheime staatsgeheimen opsporen. In de vroege jaren 70, tijdens de hoogtijdagen van phreaking, belden enkele telefonisten telecomoperators en probeerden vertrouwelijke informatie uit de technische staf van de bedrijven te persen. Na verschillende experimenten met trucs hadden phreakers tegen het einde van de jaren 70 technieken uitgewerkt om ongetrainde operators zo te manipuleren dat ze gemakkelijk bijna alles van hen konden leren wat ze wilden.

Principes en technieken van social engineering

Er zijn verschillende veelvoorkomende aanvalstechnieken en typen die worden gebruikt door social engineers. Al deze technieken zijn gebaseerd op menselijke besluitvormingspatronen die bekend staan ​​als cognitieve vooroordelen (zie ook cognitieve vooroordelen). Deze vooroordelen worden in verschillende combinaties gebruikt om in elk geval de meest geschikte misleidingsstrategie te creëren. Maar een gemeenschappelijk kenmerk van al deze methoden is misleidend, om een ​​persoon te dwingen een handeling uit te voeren die niet gunstig voor hem is en noodzakelijk is voor een sociaal ingenieur. Om het gewenste resultaat te bereiken, gebruikt de aanvaller een aantal allerlei tactieken: zich voordoen als een ander, de aandacht afleiden, psychologische stress opbouwen, etc. De uiteindelijke doelen van misleiding kunnen ook heel divers zijn.

Social engineering technieken

Voorwendsel

Pretext is een reeks acties die worden uitgevoerd volgens een specifiek, vooraf opgesteld script (pretext). Deze techniek omvat het gebruik van spraakmedia zoals telefoon, Skype, enz. om de informatie te krijgen die u nodig heeft. Door zich voor te doen als een derde partij of te doen alsof iemand hulp nodig heeft, vraagt ​​de aanvaller het slachtoffer om een ​​wachtwoord of logt hij in op een phishing-webpagina, waardoor het doelwit gedwongen wordt de gewenste actie te ondernemen of bepaalde informatie te verstrekken. In de meeste gevallen vereist deze techniek enkele initiële gegevens over het doelwit van de aanval (bijvoorbeeld persoonlijke gegevens: geboortedatum, telefoonnummer, rekeningnummers, enz.) De meest gebruikelijke strategie is om eerst kleine zoekopdrachten te gebruiken en te vermelden de namen van echte mensen in de organisatie. Later, tijdens het gesprek, legt de aanvaller uit dat hij hulp nodig heeft (de meeste mensen kunnen en zijn bereid om taken uit te voeren die niet als verdacht worden ervaren). Zodra het vertrouwen is gevestigd, kan de fraudeur om iets wezenlijkers en belangrijkers vragen.

Phishing

Voorbeeld van een phishing-e-mail verzonden vanaf een e-mailservice met het verzoek om "accountreactivering"

Phishing (Engelse phishing, van vissen - vissen, vissen) is een vorm van internetfraude met als doel toegang te krijgen tot vertrouwelijke gebruikersgegevens - logins en wachtwoorden. Dit is misschien wel het meest populaire social engineering-schema van vandaag. Geen enkele grote inbreuk op persoonsgegevens is compleet zonder een golf van phishing-e-mails die daarop volgt. Het doel van phishing is het illegaal verkrijgen van vertrouwelijke informatie. Het meest opvallende voorbeeld van een phishing-aanval is een e-mailbericht dat naar een slachtoffer wordt gestuurd en wordt vervalst als een officiële brief - van een bank of betalingssysteem - waarin wordt gevraagd om bepaalde informatie te verifiëren of bepaalde acties uit te voeren. De redenen kunnen heel verschillend worden genoemd. Dit kan een verlies van gegevens zijn, een storing in het systeem, enz. Dergelijke e-mails bevatten meestal een link naar een valse webpagina die er precies zo uitziet als de officiële, en bevat een formulier waarin u vertrouwelijke informatie moet invoeren.

Een van de bekendste voorbeelden van wereldwijde phishing-zwendel was de zwendel in 2003 waarbij duizenden eBay-gebruikers e-mails ontvingen waarin werd beweerd dat hun account was geblokkeerd en dat ze hun creditcardgegevens moesten bijwerken om de blokkering op te heffen. Al deze e-mails bevatten een link die leidde naar een nep-webpagina die er precies zo uitzag als de officiële. Volgens experts bedroegen de verliezen door deze zwendel enkele honderdduizenden dollars.

Een phishing-aanval herkennen

Bijna elke dag duiken er nieuwe frauduleuze schema's op. De meeste mensen kunnen zelf frauduleuze berichten leren herkennen door zich vertrouwd te maken met enkele van hun onderscheidende kenmerken. Meestal bevatten phishingberichten:

• Zorgwekkende informatie of bedreigingen, zoals het sluiten van bankrekeningen van gebruikers.
• beloften van enorme geldprijzen met weinig of geen inspanning.
• verzoeken om vrijwillige donaties namens liefdadigheidsorganisaties.
• grammaticale, interpunctie- en spelfouten.

Populaire phishing-schema's

De meest populaire phishing-scams worden hieronder beschreven.

Frauduleus gebruik van bekende bedrijfsmerken

Deze phishing-schema's gebruiken valse e-mails of websites die de namen van grote of bekende bedrijven bevatten. Berichten kunnen felicitaties bevatten voor het winnen van een wedstrijd die door het bedrijf wordt gehouden, dat een dringende noodzaak is om uw inloggegevens of wachtwoord te wijzigen. Dergelijke frauduleuze plannen namens de technische ondersteuningsdienst kunnen ook telefonisch worden uitgevoerd.

Frauduleuze loterijen

De gebruiker kan berichten ontvangen waarin staat dat hij een loterij heeft gewonnen die werd gerund door een bekend bedrijf. Uiterlijk kunnen deze berichten eruitzien alsof ze zijn verzonden namens een van de hooggeplaatste werknemers van het bedrijf.

Valse antivirus- en beveiligingssoftware

IVR of telefoon phishing

Het werkingsprincipe van IVR-systemen

Qwi pro quo

Qui pro quo (van het Latijn Quid pro quo - "dan voor dat") is een afkorting die in het Engels vaak wordt gebruikt om "quid pro quo" te betekenen. Bij dit type aanval belt een aanvaller een bedrijf op een bedrijfstelefoon. In de meeste gevallen stelt de aanvaller zichzelf voor als een medewerker van de technische ondersteuning met de vraag of er technische problemen zijn. Tijdens het proces van het "oplossen" van technische problemen, "dwingt" de fraudeur het doelwit om opdrachten in te voeren waarmee de hacker kwaadaardige software kan starten of installeren op de computer van de gebruiker.

Trojaanse paard

Soms is het gebruik van trojans slechts een onderdeel van een geplande aanval in meerdere fasen op specifieke computers, netwerken of bronnen.

Soorten Trojaanse paarden

Trojaanse paarden worden meestal ontwikkeld voor kwaadaardige doeleinden. Er is een classificatie waarin ze zijn onderverdeeld in categorieën op basis van hoe trojans het systeem infiltreren en schade toebrengen. Er zijn 5 hoofdtypen:

• toegang op afstand
• gegevensvernietiging
• lader
• server
• deactivator van het beveiligingsprogramma

doelen

Het Trojan-programma kan zich richten op:

• bestanden uploaden en downloaden
• het kopiëren van valse links die leiden naar valse websites, chatrooms of andere registratiesites
• interfereren met het werk van de gebruiker
• diefstal van waardevolle of geheime gegevens, waaronder informatie voor authenticatie, voor ongeoorloofde toegang tot bronnen, extractie van details over bankrekeningen die voor criminele doeleinden kunnen worden gebruikt
• de verspreiding van andere malware zoals virussen
• vernietiging van gegevens (wissen of overschrijven van gegevens op een schijf, moeilijk te zien schade aan bestanden) en apparatuur, uitschakelen of weigeren van service van computersystemen, netwerken
• het verzamelen van e-mailadressen en deze gebruiken om spam te verzenden
• het bespioneren van de gebruiker en het in het geheim doorgeven van informatie aan derden, zoals bijvoorbeeld de gewoonte om sites te bezoeken
• toetsaanslagen registreren om informatie zoals wachtwoorden en creditcardnummers te stelen
• deactivering of interferentie met antivirusprogramma's en firewalls

Vermomming

Veel Trojaanse paarden staan ​​zonder zijn medeweten op de computers van gebruikers. Soms worden Trojaanse paarden geregistreerd in het register, wat ertoe leidt dat ze automatisch worden gestart aan het begin van het besturingssysteem. Trojaanse paarden kunnen ook worden gecombineerd met legitieme bestanden. Wanneer een gebruiker zo'n bestand opent of een toepassing start, wordt er ook een trojan gelanceerd.

Hoe de trojan werkt

Trojaanse paarden bestaan ​​meestal uit twee delen: Client en Server. De server draait op de computer van het slachtoffer en bewaakt de verbindingen van de client. Terwijl de server draait, bewaakt deze een poort of meerdere poorten op zoek naar een verbinding van de client. Om de aanvaller verbinding te laten maken met de server, moet hij het IP-adres kennen van de machine waarop hij draait. Sommige Trojaanse paarden sturen het IP-adres van de machine van het slachtoffer naar de aanvallende partij via e-mail of op een andere manier. Zodra een verbinding met de Server tot stand is gebracht, kan de Client er opdrachten naar sturen, die de Server zal uitvoeren. Dankzij de NAT-technologie is het momenteel onmogelijk om toegang te krijgen tot de meeste computers via hun externe IP-adres. Daarom maken tegenwoordig veel Trojaanse paarden verbinding met de computer van de aanvaller, die verantwoordelijk is voor het accepteren van verbindingen, in plaats van dat de aanvaller probeert verbinding te maken met het slachtoffer zelf. Veel moderne Trojaanse paarden kunnen ook gemakkelijk firewalls op de computers van gebruikers omzeilen.

Verzameling van informatie uit open bronnen

Het gebruik van social engineering-technieken vereist niet alleen kennis van psychologie, maar ook het vermogen om de nodige informatie over een persoon te verzamelen. Een relatief nieuwe manier om dergelijke informatie te verkrijgen, is het verzamelen van open bronnen, voornamelijk van sociale netwerken. Sites zoals livejournal, Odnoklassniki en Vkontakte bevatten bijvoorbeeld een enorme hoeveelheid gegevens die mensen niet eens proberen te verbergen. , gebruikers doen dat wel. niet voldoende aandacht besteden aan beveiligingsproblemen, waardoor gegevens en informatie vrij beschikbaar blijven die door een aanvaller kunnen worden gebruikt.

Een illustratief voorbeeld is het verhaal van de ontvoering van de zoon van Yevgeny Kaspersky. Tijdens het onderzoek bleek dat de criminelen het dagschema en de routes van de tiener leerden uit zijn aantekeningen op de pagina op het sociale netwerk.

Zelfs door de toegang tot informatie op zijn pagina op het sociale netwerk te beperken, kan de gebruiker er niet zeker van zijn dat deze nooit in handen van oplichters zal vallen. Een Braziliaanse onderzoeker op het gebied van computerbeveiliging heeft bijvoorbeeld aangetoond dat het mogelijk is om binnen 24 uur vriend te worden van elke Facebook-gebruiker met behulp van social engineering-technieken. Tijdens het experiment koos onderzoeker Nelson Novaez Neto een "slachtoffer" en maakte een nepaccount aan van een persoon uit haar omgeving - haar baas. Eerst stuurde Neto vriendschapsverzoeken naar vrienden van de vrienden van de baas van het slachtoffer en vervolgens rechtstreeks naar zijn vrienden. Na 7,5 uur kreeg de onderzoeker een vriend van het "slachtoffer". Zo kreeg de onderzoeker toegang tot de persoonlijke informatie van de gebruiker, die hij alleen met zijn vrienden deelde.

Reis appel

Deze aanvalsmethode is een bewerking van een Trojaans paard en bestaat uit het gebruik van fysieke media. Een aanvaller laat een "besmette" of flitser vallen op een plaats waar de drager gemakkelijk te vinden is (toilet, lift, parkeerplaats). Het medium is gesmeed als een officieel medium en wordt vergezeld van een handtekening die is ontworpen om nieuwsgierigheid te wekken. Een fraudeur kan bijvoorbeeld overgeven, voorzien van een bedrijfslogo en een link naar de officiële website van het bedrijf, met het opschrift "Salaris van leidinggevend personeel". De schijf kan op de vloer van de lift of in de lobby worden achtergelaten. Een werknemer kan onbewust een schijf oppakken en in een computer steken om zijn nieuwsgierigheid te bevredigen.

Omgekeerde social engineering

Reverse social engineering wordt genoemd wanneer het slachtoffer de aanvaller de informatie biedt die hij nodig heeft. Het klinkt misschien absurd, maar in feite ontvangen mensen met autoriteit op technisch of sociaal gebied vaak gebruikers-ID's en wachtwoorden en andere belangrijke persoonlijke informatie, simpelweg omdat niemand aan hun fatsoen twijfelt. Supportmedewerkers vragen gebruikers bijvoorbeeld nooit om een ​​ID of wachtwoord; ze hebben deze informatie niet nodig om problemen op te lossen. Veel gebruikers verstrekken deze vertrouwelijke informatie echter vrijwillig om problemen zo snel mogelijk op te lossen. Het blijkt dat de aanvaller er niet eens naar hoeft te vragen.

Een voorbeeld van reverse social engineering is het volgende eenvoudige scenario. De aanvaller die met het slachtoffer werkt, verandert de bestandsnaam op haar computer of verplaatst deze naar een andere map. Wanneer het slachtoffer merkt dat het bestand ontbreekt, beweert de aanvaller dat hij het kan repareren. Om de klus sneller af te ronden of straf voor het verlies van informatie te vermijden, gaat het slachtoffer akkoord met dit aanbod. De aanvaller beweert dat de enige oplossing voor het probleem is om in te loggen met de inloggegevens van het slachtoffer. Nu vraagt ​​het slachtoffer de aanvaller om onder haar naam in te loggen om te proberen het bestand te herstellen. De aanvaller stemt met tegenzin in en herstelt het bestand, terwijl hij ondertussen de ID en het wachtwoord van het slachtoffer steelt. Nadat hij de aanval met succes had uitgevoerd, verbeterde hij zelfs zijn reputatie, en het is heel goed mogelijk dat daarna andere collega's zich tot hem wenden voor hulp. Deze aanpak verstoort de gebruikelijke procedures voor het verlenen van ondersteunende diensten niet en maakt het moeilijk om de aanvaller te pakken te krijgen.

opmerkelijke sociale ingenieurs

Kevin Mitnick

Kevin Mitnick. Wereldberoemde hacker- en beveiligingsadviseur

Een van de beroemdste social engineers in de geschiedenis is Kevin Mitnick. Mitnick, een internationaal bekende computerhacker en beveiligingsadviseur, is ook de auteur van talrijke boeken over computerbeveiliging, die zich voornamelijk richten op social engineering en methoden van psychologische invloed op mensen. In 2002 werd onder zijn auteurschap het boek "The Art of Deception" gepubliceerd, dat vertelt over echte verhalen over de toepassing van social engineering. Kevin Mitnick betoogde dat het veel gemakkelijker is om een ​​wachtwoord te bemachtigen door te bedriegen dan te proberen een beveiligingssysteem te hacken.

Gebroeders Badir

Hoewel de broers Mundir, Mushid en Shadi Badir vanaf hun geboorte blind waren, slaagden ze erin om in de jaren negentig verschillende grote frauduleuze plannen in Israël uit te voeren met behulp van social engineering en stemvervalsing. In een tv-interview zeiden ze: "Alleen wie geen telefoon, elektriciteit of laptop gebruikt, is volledig verzekerd tegen netwerkaanvallen." De broers waren al in de gevangenis geweest omdat ze de geheime stoortonen van telefoonaanbieders konden horen en ontcijferen. Ze telefoneerden lang naar het buitenland op kosten van iemand anders en herprogrammeerden de computers van mobiele providers met stoortonen.

Aartsengel

Omslag van het tijdschrift "Phrack"

Als gerenommeerde computerhacker en beveiligingsadviseur voor het bekende Engelstalige internetmagazine "Phrack Magazine", demonstreerde Archangel de mogelijkheden van social engineering-technieken door in korte tijd wachtwoorden te verkrijgen van een groot aantal verschillende systemen, waarbij honderden slachtoffers werden misleid.

Ander

Minder bekende social engineers zijn Frank Abagnale, David Bannon, Peter Foster en Stephen Jay Russell.

Methoden voor bescherming tegen social engineering

Om hun aanvallen uit te voeren, maken aanvallers die social engineering-technieken gebruiken vaak misbruik van de goedgelovigheid, luiheid, beleefdheid en zelfs het enthousiasme van gebruikers en medewerkers van organisaties. Verdedigen tegen dergelijke aanvallen is een uitdaging omdat hun slachtoffers misschien niet vermoeden dat ze zijn misleid. Aanvallers van social engineering hebben over het algemeen dezelfde doelen als elke andere aanvaller: ze hebben geld, informatie of IT-bronnen nodig van het slachtofferbedrijf. Om u tegen dergelijke aanvallen te beschermen, moet u hun variëteiten bestuderen, begrijpen wat de aanvaller nodig heeft en de schade beoordelen die aan de organisatie kan worden toegebracht. Met al deze informatie kunt u de nodige beveiligingen integreren in uw beveiligingsbeleid.

Classificatie van bedreigingen

E-mailbedreigingen

Veel medewerkers ontvangen dagelijks tientallen en zelfs honderden e-mails via zakelijke en particuliere mailsystemen. Met zo'n stroom aan correspondentie is het natuurlijk onmogelijk om de nodige aandacht aan elke brief te besteden. Dit maakt het veel gemakkelijker om aanvallen uit te voeren. De meeste gebruikers van e-mailsystemen zijn vertrouwd met de verwerking van dergelijke berichten en zien dit werk als een elektronische analoog van het overbrengen van papieren van de ene map naar de andere. Wanneer een aanvaller een eenvoudig verzoek per post verstuurt, doet het slachtoffer vaak wat er van haar wordt gevraagd zonder na te denken over wat ze doet. E-mails kunnen hyperlinks bevatten die werknemers ertoe aanzetten de veiligheid van de bedrijfsomgeving in gevaar te brengen. Dergelijke links leiden niet altijd naar de geclaimde pagina's.

De meeste beveiligingsmaatregelen zijn ontworpen om te voorkomen dat onbevoegde gebruikers toegang krijgen tot bedrijfsbronnen. Als een gebruiker op een hyperlink klikt die door een indringer is verzonden en een Trojaans paard of virus naar het bedrijfsnetwerk uploadt, maakt dit het gemakkelijk om vele soorten beveiliging te omzeilen. Een hyperlink kan ook verwijzen naar een site met pop-uptoepassingen die om informatie vragen of hulp bieden.Net als bij andere vormen van fraude, is de meest effectieve verdediging tegen kwaadwillende aanvallen sceptisch staan ​​tegenover elke onverwachte inkomende e-mail. Om deze aanpak in uw hele organisatie te verspreiden, moeten specifieke e-mailrichtlijnen worden opgenomen in het beveiligingsbeleid, waarin de volgende elementen worden behandeld.

• Bijlagen bij documenten.
• Hyperlinks in documenten.
• Verzoeken om persoonlijke of zakelijke informatie afkomstig van binnen het bedrijf.
• Verzoeken om persoonlijke of zakelijke informatie afkomstig van buiten het bedrijf.

Bedreigingen met betrekking tot het gebruik van de instant messaging-service

Instant messaging is een relatief nieuwe manier om gegevens over te dragen, maar is al enorm populair geworden onder zakelijke gebruikers. Vanwege de snelheid en het gebruiksgemak biedt deze communicatiemethode grote kansen voor verschillende aanvallen: gebruikers behandelen het als een telefoonverbinding en associëren het niet met potentiële softwarebedreigingen. De twee belangrijkste soorten aanvallen die zijn gebaseerd op het gebruik van de instant messaging-service, zijn het verwijzen in de hoofdtekst van het bericht naar het schadelijke programma en het afleveren van het programma zelf. Instant messaging is natuurlijk ook een van de manieren om informatie op te vragen. Een van de kenmerken van instant messaging-diensten is het informele karakter van communicatie. Gecombineerd met de mogelijkheid om een ​​willekeurige naam aan zichzelf toe te kennen, maakt deze factor het voor een aanvaller veel gemakkelijker om zich voor een andere persoon uit te geven en vergroot het de kans op een succesvolle aanval aanzienlijk. Om betrouwbare controle te krijgen over instant messaging in een bedrijfsomgeving, moet aan verschillende vereisten worden voldaan.

• Kies één platform voor instant messaging.
• Bepaal de beveiligingsopties die zijn opgegeven bij het implementeren van een instant messaging-service.
• Definieer principes voor het leggen van nieuwe contacten
• Stel normen in voor het kiezen van wachtwoorden
• Aanbevelingen doen voor het gebruik van de instant messaging-service.

Gelaagd beveiligingsmodel

Om grote bedrijven en hun werknemers te beschermen tegen fraudeurs met behulp van social engineering-technieken, worden vaak complexe meerlaagse beveiligingssystemen gebruikt. Enkele van de kenmerken en verantwoordelijkheden van dergelijke systemen worden hieronder vermeld.

• Fysieke bewaking. Barrières die de toegang tot bedrijfsgebouwen en bedrijfsmiddelen beperken. Houd er rekening mee dat bedrijfsmiddelen, zoals afvalcontainers die zich buiten het bedrijfsterrein bevinden, niet fysiek zijn beschermd.
• Gegevens. Zakelijke informatie: rekeningen, post, enz. Bij het analyseren van bedreigingen en het plannen van maatregelen voor gegevensbescherming, moet u de principes bepalen voor het omgaan met papieren en elektronische gegevensdragers.
• Toepassingen. Door de gebruiker geleide programma's. Om uw omgeving te beschermen, moet u bedenken hoe aanvallers e-mailprogramma's, instant messaging-services en andere toepassingen kunnen misbruiken.
• Computers. Servers en clientsystemen die in de organisatie worden gebruikt. Bescherm gebruikers tegen directe aanvallen op hun computers door strikte richtlijnen te definiëren voor welke programma's op bedrijfscomputers kunnen worden gebruikt.
• Intern netwerk. Het netwerk waarmee bedrijfssystemen met elkaar communiceren. Het kan lokaal, globaal of draadloos zijn. Door de groeiende populariteit van methoden voor werken op afstand zijn de grenzen van interne netwerken de afgelopen jaren grotendeels willekeurig geworden. Medewerkers van het bedrijf moeten worden voorgelicht over wat ze moeten doen om veilig te werken in elke netwerkomgeving.
• Netwerkomtrek. De grens tussen interne bedrijfsnetwerken en externe netwerken zoals internet of netwerken van partnerorganisaties.

Een verantwoordelijkheid

Pre-sms'en en opnemen van telefoongesprekken

Hewlett-Packard

Patricia Dunn, president van Hewlett Packard Corporation, zei dat ze een privébedrijf had ingehuurd om de werknemers van het bedrijf te identificeren die verantwoordelijk waren voor het lekken van vertrouwelijke informatie. Later gaf het hoofd van het bedrijf toe dat bij het onderzoek gebruik werd gemaakt van pre-texting en andere technieken van social engineering.

Notities (bewerken)

zie ook

Links

• SocialWare.ru - Privé social engineering-project
• - Sociale techniek: de basis. Deel I: hacker-tactieken
• – Bescherming tegen phishing-aanvallen.
• Basisprincipes van sociale engineering - Securityfocus.com.
• Social Engineering, de USB-manier - DarkReading.com.
• Moet social engineering een onderdeel zijn van penetratietesten? - Darknet.org.uk.
• "Consumenten beschermen" Telefoongegevens ", Electronic Privacy Information Center Amerikaans Comité voor handel, wetenschap en transport .
• Plotkin, Hal. Memo aan de pers: voorwenden is al illegaal.
• Striptease voor wachtwoorden - MSNBC.MSN.com.
• Social-Engineer.org - social-engineer.org.

In dit artikel zullen we ons concentreren op het concept van "social engineering". Hier komt de generaal aan de orde en komen we te weten wie de grondlegger van dit concept was. Laten we het apart hebben over de belangrijkste methoden van social engineering die door cybercriminelen worden gebruikt.

Invoering

Methoden voor het corrigeren van menselijk gedrag en het beheren van zijn activiteiten zonder het gebruik van een technische set hulpmiddelen vormen het algemene concept van social engineering. Alle methoden zijn gebaseerd op de bewering dat de menselijke factor de meest destructieve zwakte van elk systeem is. Vaak wordt dit concept beschouwd op het niveau van illegale activiteit, waarbij een crimineel op een oneerlijke manier een actie uitvoert die erop gericht is informatie van het subject-slachtoffer te verkrijgen. Het kan bijvoorbeeld een bepaald soort manipulatie zijn. Social engineering wordt echter ook door mensen gebruikt bij juridische activiteiten. Tegenwoordig wordt het meestal gebruikt om toegang te krijgen tot bronnen met geclassificeerde of waardevolle informatie.

De oprichter

De grondlegger van social engineering is Kevin Mitnick. Het concept zelf kwam echter uit de sociologie. Het duidt een gemeenschappelijke reeks benaderingen aan die worden gebruikt door toegepaste sociale media. wetenschappen gericht op het veranderen van de organisatiestructuur die in staat is om menselijk gedrag te bepalen en er controle over uit te oefenen. Kevin Mitnick kan worden beschouwd als de voorouder van deze wetenschap, omdat hij het was die het sociale populair maakte. techniek in het eerste decennium van de 21e eeuw. Kevin was vroeger zelf een hacker die zich bezighield met een breed scala aan databases. Hij betoogde dat de menselijke factor het meest kwetsbare punt is van een systeem van elk niveau van complexiteit en organisatie.

Als we het hebben over de methoden van social engineering als een manier om (vaak illegale) rechten te verkrijgen om vertrouwelijke gegevens te gebruiken, dan kunnen we zeggen dat ze al heel lang bekend zijn. Het was echter K. Mitnik die het belang van hun betekenis en toepassingsfuncties kon overbrengen.

Phishing en niet-bestaande links

Elke social engineering-techniek is gebaseerd op de aanwezigheid van cognitieve vervormingen. Gedragsfouten worden een "tool" in de handen van een bekwame ingenieur, die in de toekomst een aanval kan uitvoeren die gericht is op het verkrijgen van belangrijke gegevens. Onder de methoden van social engineering worden phishing en niet-bestaande links onderscheiden.

Phishing is een online zwendel die is ontworpen om persoonlijke informatie te verkrijgen, zoals een gebruikersnaam en wachtwoord.

Niet-bestaande link - het gebruik van een link die de ontvanger zal lokken met bepaalde voordelen die kunnen worden verkregen door erop te klikken en een specifieke site te bezoeken. Meestal worden de namen van grote bedrijven gebruikt, waardoor hun naam subtiel wordt aangepast. Het slachtoffer zal, door de link te volgen, "vrijwillig" zijn persoonlijke gegevens doorgeven aan de aanvaller.

Methoden met behulp van merken, defecte antivirus en neploterij

Social engineering maakt ook gebruik van frauduleuze technieken waarbij bekende merken, defecte antivirussoftware en een neploterij zijn betrokken.

"Fraude en Branding" is een misleidingsmethode die ook tot de phishing-sectie behoort. Denk hierbij aan e-mails en websites die de naam van een groot en/of gepromoveerd bedrijf bevatten. Vanaf hun pagina's worden berichten verzonden met een melding van de overwinning in een bepaalde competitie. Vervolgens moet u belangrijke accountgegevens invoeren en stelen. Ook kan deze vorm van fraude telefonisch plaatsvinden.

Een frauduleuze loterij is een methode waarbij een bericht naar het slachtoffer wordt gestuurd waarin staat dat hij/zij de loterij heeft gewonnen. Meestal wordt de melding gemaskeerd door het gebruik van de namen van grote bedrijven.

Valse antivirussen zijn softwarezwendel. Het gebruikt programma's die uiterlijk lijken op antivirussen. In werkelijkheid leiden ze echter tot het genereren van valse meldingen over een bepaalde dreiging. Ze proberen ook gebruikers naar het transactiedomein te lokken.

Wensen, phreaking en pre-sms'en

Over social engineering voor beginners gesproken, het is ook de moeite waard om vishing, phreaking en pre-sms'en te noemen.

Wensen is een vorm van bedrog waarbij gebruik wordt gemaakt van telefoonnetwerken. Hier worden vooraf opgenomen spraakberichten gebruikt, die tot doel hebben de "officiële oproep" van een bankstructuur of een ander IVR-systeem na te bootsen. Meestal wordt hen gevraagd om een ​​gebruikersnaam en/of wachtwoord in te voeren om de informatie te bevestigen. Met andere woorden, het systeem vereist dat de gebruiker wordt geauthenticeerd met behulp van pincodes of wachtwoorden.

Phreaking is een andere vorm van telefonische oplichting. Het is een hacksysteem dat gebruik maakt van geluidsmanipulaties en toonkiezen.

Voorwendsel is een aanval met een vooropgezet plan, waarvan de essentie de presentatie door een ander subject is. Een uiterst moeilijke methode van misleiding, omdat het een zorgvuldige voorbereiding vereist.

Quid-pro-quo en de "road apple"-methode

De theorie van social engineering is een veelzijdige database die zowel methoden van bedrog en manipulatie als methoden om deze te bestrijden omvat. De belangrijkste taak van aanvallers is in de regel om waardevolle informatie eruit te vissen.

Andere vormen van oplichting zijn: Quid-Pro-Quo, de "apple of the road"-methode, schoudersurfen, het gebruik van open bronnen en reverse social. Engineering.

Quid-pro-quo (van het Latijn - "dan daarvoor") is een poging om informatie uit een bedrijf of firma te halen. Dit gebeurt door telefonisch contact met haar op te nemen of door berichten per e-mail te sturen. Vaker wel dan niet stellen aanvallers zichzelf voor als medewerkers van tech. ondersteuning die de aanwezigheid van een specifiek probleem op de werkplek van een werknemer meldt. Vervolgens stellen ze manieren voor om het probleem op te lossen, bijvoorbeeld door software te installeren. De software blijkt defect te zijn en bevordert de misdaad.

The Road Apple is een aanvalsmethode die gebaseerd is op het idee van een Trojaans paard. De essentie ervan ligt in het gebruik van een fysiek medium en de vervanging van informatie. Ze kunnen bijvoorbeeld een geheugenkaart voorzien van een bepaalde "bonus" die de aandacht van het slachtoffer zal trekken, hem het bestand willen openen en gebruiken, of de links volgen die zijn aangegeven in de documenten van de flashdrive. Het object van de "wegappel" wordt op sociale plaatsen neergezet en er wordt gewacht totdat het plan van de aanvaller door een of ander onderwerp wordt uitgevoerd.

Het verzamelen en zoeken naar informatie uit open source-bronnen is een oplichterij waarbij het verkrijgen van gegevens is gebaseerd op de methoden van de psychologie, het vermogen om kleine dingen op te merken en de analyse van beschikbare gegevens, bijvoorbeeld een pagina van een sociaal netwerk. Dit is een vrij nieuwe manier van social engineering.

Schoudersurfen en omgekeerd sociaal Engineering

Schoudersurfen definieert zichzelf als het levend observeren van een onderwerp in de letterlijke zin. Met dit type gegevensextractie gaat de aanvaller naar openbare plaatsen, bijvoorbeeld een café, luchthaven, treinstation en bespioneert hij mensen.

Onderschat deze methode niet, want veel onderzoeken en onderzoeken tonen aan dat een oplettend persoon veel vertrouwelijke informatie kan ontvangen door simpelweg oplettend te zijn.

Social engineering (als een niveau van sociologische kennis) is een middel om gegevens vast te leggen. Er zijn manieren om aan gegevens te komen waarbij het slachtoffer zelf de aanvaller de nodige informatie zal aanbieden. Het kan echter ook ten goede komen aan de samenleving.

Omgekeerd sociaal engineering is een andere methode van deze wetenschap. Het gebruik van deze term is passend in het geval dat we hierboven noemden: het slachtoffer zal de aanvaller zelf de nodige informatie aanbieden. Vat deze bewering niet op als absurd. Feit is dat subjecten met bevoegdheden op bepaalde werkterreinen vaak naar eigen inzicht toegang krijgen tot identificatiegegevens. Vertrouwen is de basis.

Belangrijk om te onthouden! Supportmedewerkers zullen de gebruiker nooit om bijvoorbeeld een wachtwoord vragen.

Melding en bescherming

De opleiding social engineering kan door een individu zowel op eigen initiatief als op basis van hulpmiddelen die in speciale onderwijsprogramma's worden ingezet, worden uitgevoerd.

Criminelen kunnen een grote verscheidenheid aan vormen van bedrog gebruiken, variërend van manipulatie tot luiheid, goedgelovigheid, beleefdheid van de gebruiker, enz. Het is buitengewoon moeilijk om jezelf tegen dit soort aanvallen te beschermen, omdat het slachtoffer zich er niet van bewust is dat hij (zij) werd bedrogen. Verschillende firma's en bedrijven beoordelen vaak algemene informatie om hun gegevens op dit risiconiveau te beschermen. Vervolgens worden de nodige beschermingsmaatregelen geïntegreerd in het veiligheidsbeleid.

Voorbeelden van

Een voorbeeld van social engineering (zijn daad) in de vorm van wereldwijde phishing-campagnes is een evenement in 2003. Tijdens deze zwendel werden e-mails verzonden naar eBay-gebruikers. Ze beweerden dat de rekeningen van hen waren geblokkeerd. Om de blokkering op te heffen, was het noodzakelijk om de accountgegevens opnieuw in te voeren. De brieven waren echter vals. Ze vertaalden naar een pagina die identiek was aan de officiële, maar nep. Volgens schattingen van experts was het verlies niet erg groot (minder dan een miljoen dollar).

Definitie van verantwoordelijkheid

Het gebruik van social engineering kan in sommige gevallen strafbaar zijn. In een aantal landen, bijvoorbeeld de Verenigde Staten, wordt voorwendsel (bedrog door zich voor te doen als iemand anders) gelijkgesteld met inbreuk op de privacy. Dit kan echter strafbaar zijn als de informatie die is verkregen tijdens pre-texting vertrouwelijk was vanuit het oogpunt van het onderwerp of de organisatie. Het opnemen van een telefoongesprek (als een methode van social engineering) is ook wettelijk voorzien en vereist een boete van $ 250.000 of gevangenisstraf tot tien jaar voor individuen. personen. Rechtspersonen moeten $ 500.000 betalen; de termijn blijft hetzelfde.