Робота в системі

Як стати соціальним інженером? Що таке соціальна інженерія? Способи захисту від соціальної інженерії

Соціальна інженерія

Соціальна інженерія- Це метод несанкціонованого доступу до інформації або систем зберігання інформації без використання технічних засобів. Основною метою соціальних інженерів, як і інших хакерів та зломщиків, є отримання доступу до захищених систем з метою крадіжки інформації, паролів, даних про кредитні картки тощо. Основною відмінністю від простого злому є те, що в даному випадку в ролі об'єкта атаки вибирається не машина, а її оператор. Саме тому всі методи та техніки соціальних інженерів ґрунтуються на використанні слабкостей людського фактора, що вважається вкрай руйнівним, оскільки зловмисник отримує інформацію, наприклад, за допомогою звичайної телефонної розмови або шляхом проникнення в організацію під виглядом її службовця. Для захисту від атак даного виду слід знати про найпоширеніші види шахрайства, розуміти, що насправді хочуть зломщики та своєчасно організовувати відповідну безпекову політику.

Історія

Незважаючи на те, що поняття «соціальна інженерія» з'явилося відносно недавно, люди в тій чи іншій формі користувалися її техніками споконвіку. У Стародавній Греції та Римі у великій пошані були люди, які могли різними способами переконати співрозмовника у його очевидній неправоті. Виступаючи від імені верхівок, вони вели дипломатичні переговори. Вміло використовуючи брехню, лестощі та вигідні аргументи, вони нерідко вирішували такі проблеми, які, здавалося, неможливо було вирішити без меча. Серед шпигунів соціальна інженерія завжди була головною зброєю. Видаючи себе за іншу особу, агенти КДБ та ЦРУ могли розвідати секретні державні таємниці. На початку 70-х років, у період розквіту фрикінгу, деякі телефонні хулігани назвали операторам зв'язку та намагалися вивідати конфіденційну інформацію у технічного персоналу компаній. Після різних експериментів з хитрощами, до кінця 70-х фрикери настільки відпрацювали техніки маніпулювання непідготовленими операторами, що могли без проблем дізнатися у них практично все, що хотіли.

Принципи та техніки соціальної інженерії

Існує кілька поширених технік та видів атак, якими користуються соціальні інженери. Всі ці техніки засновані на особливостях прийняття людьми рішень, відомих як когнітивні упередження. Ці забобони використовуються у різних комбінаціях, з метою створення найбільш підходящої стратегії обману у кожному конкретному випадку. Але загальною рисою всіх цих методів є введення в оману, з метою змусити людину вчинити якусь дію, яка не вигідна їй і потрібна соціальному інженеру. Для досягнення поставленого результату зловмисник використовує цілу низку всіляких тактик: видача себе за іншу особу, відволікання уваги, нагнітання психологічної напруги тощо. Кінцеві цілі обману також можуть бути дуже різноманітними.

Техніки соціальної інженерії

Претекстинг

Претекстинг - це набір дій, проведений за певним, заздалегідь готовим сценарієм (претекстом). Ця техніка передбачає використання голосових засобів, таких як телефон, Skype тощо. для отримання необхідної інформації. Як правило, представляючись третьою особою або вдаючи, що хтось потребує допомоги, зловмисник просить жертву повідомити пароль або авторизуватися на фішинговій веб-сторінці, тим самим змушуючи мету вчинити необхідну дію або надати певну інформацію. Найчастіше дана техніка вимагає будь-яких початкових даних про об'єкт атаки (наприклад, персональних даних: дати народження, номери телефону, номерів рахунків та інших.) Найпоширеніша стратегія - використання спочатку невеликих запитів і згадування імен реальних людей організації. Надалі, у процесі розмови, зловмисник пояснює, що він потребує допомоги (більшість людей можуть і готові виконати завдання, які не сприймаються як підозрілі). Як тільки довірчий зв'язок встановлений, шахрай може попросити щось суттєвіше і важливіше.

Фішинг

Приклад фішингового листа, надісланого від поштового сервісу, який запитує «реактивацію рахунку»

Фішинг (англ. phishing, від fishing - риболовля, вивужування) - це вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів - логінам і паролям. Мабуть, це найпопулярніша схема соціальної інженерії на сьогоднішній день. Жоден великий витік персональних даних не обходиться без хвилі фішингових розсилок, що йдуть за нею. Метою фішингу є незаконне отримання конфіденційної інформації. Найбільш яскравим прикладом фішингової атаки може бути повідомлення, відправлене жертві електронною поштою, і підроблене під офіційний лист - від банку чи платіжної системи - що вимагає перевірки певної інформації чи скоєння певних дій. Причини можуть називатися різні. Це може бути втрата даних, поломка в системі та інше. Такі листи зазвичай містять посилання на фальшиву веб-сторінку, точно схожу на офіційну, і містить форму, що вимагає ввести конфіденційну інформацію.

Одним з найбільш відомих прикладів глобального фішингового розсилання може бути афера 2003 року, під час якої тисячі користувачів eBay отримали електронні листи, в яких стверджувалося, що їхній обліковий запис був заблокований, і для його розблокування потрібно оновити дані про кредитні картки. У всіх цих листах було посилання, що веде на підроблену веб-сторінку, точно схожу на офіційну. За підрахунками експертів, збитки від цієї афери склали кілька сотень тисяч доларів.

Як розпізнати фішинг-атаку

Майже щодня з'являються нові схеми шахрайства. Більшість людей може самостійно навчитися розпізнавати шахрайські повідомлення, познайомившись із їхніми деякими відмітними ознаками. Найчастіше Фішингові повідомлення містять:

  • відомості, що викликають занепокоєння, або загрози, наприклад, закриття банківських рахунків.
  • обіцянки величезного грошового призу з мінімальними зусиллями або без них.
  • запити про добровільні пожертвування від імені благодійних організацій.
  • граматичні, пунктуаційні та орфографічні помилки.

Популярні фішингові схеми

Нижче описуються найпопулярніші фішингові схеми шахрайства.

Шахрайство з використанням брендів відомих корпорацій

У таких фішингових схемах використовуються фальшиві повідомлення електронної пошти або веб-сайти, що містять назви великих або відомих компаній. У повідомленнях може бути вітання про перемогу в будь-якому конкурсі, який проводить компанія, про те, що терміново потрібно змінити облікові дані або пароль. Подібні шахрайські схеми від імені служби технічної підтримки також можуть здійснюватися телефоном.

Підроблені лотереї

Користувач може отримати повідомлення, в яких йдеться про те, що він виграв у лотерею, яка проводилася якоюсь відомою компанією. Зовні ці повідомлення можуть виглядати так, ніби вони були відправлені від одного з високопоставлених співробітників корпорації.

Неправдиві антивіруси та програми для забезпечення безпеки
IVR або телефонний фішинг

Принцип дії IVR систем

Кві про кво

Кві про кво (від лат. Quid pro quo - «те за це») - це абревіатура, що зазвичай використовується в англійській мові в значенні "послуга за послугу". Даний вид атаки має на увазі дзвінок зловмисника до компанії по корпоративному телефону. У більшості випадків зловмисник є співробітником технічної підтримки, який опитує, чи є якісь технічні проблеми. У процесі "вирішення" технічних проблем, шахрай "примушує" ціль вводити команди, які дозволяють хакеру запустити або встановити шкідливе програмне забезпечення на машину користувача.

Троянський кінь

Іноді використання троянів є лише частиною багатоступеневої спланованої атаки на певні комп'ютери, мережі або ресурси.

Типи троянських програм

Троянські програми найчастіше розробляються для шкідливих цілей. Існує класифікація, де вони розбиваються на категорії, засновані на тому, як трояни впроваджуються в систему та завдають їй шкоди. Існує 5 основних типів:

  • віддалений доступ
  • знищення даних
  • завантажувач
  • сервер
  • дезактиватор програм безпеки

Цілі

Метою троянської програми може бути:

  • закачування та скачування файлів
  • копіювання помилкових посилань, що ведуть на підроблені веб-сайти, чати або інші сайти з реєстрацією
  • створення перешкод роботі користувача
  • викрадення даних, що становлять цінність або таємницю, у тому числі інформації для аутентифікації, для несанкціонованого доступу до ресурсів, вивужування деталей щодо банківських рахунків, які можуть бути використані в злочинних цілях
  • поширення інших шкідливих програм, таких як віруси
  • знищення даних (прання або переписування даних на диску, пошкодження файлів, що важко помітні) і обладнання, виведення з ладу або відмови обслуговування комп'ютерних систем, мереж
  • збирання адрес електронної пошти та використання їх для розсилки спаму
  • шпигунство за користувачем та таємне повідомлення третім особам відомостей, таких як, наприклад, звичка відвідування сайтів
  • реєстрація натискань клавіш з метою крадіжки інформації такого роду як паролі та номери кредитних карток
  • дезактивація або створення перешкод роботі антивірусних програм та файрволу

Маскування

Багато троянських програм знаходяться на комп'ютерах користувачів без його відома. Іноді трояни прописуються в Реєстрі, що призводить до їхнього автоматичного запуску при старті операційної системи. Також трояни можуть комбінуватися із легітимними файлами. Коли користувач відкриває такий файл або запускає програму, разом із ним запускається і троян.

Принцип дії трояна

Трояни зазвичай складаються з двох частин: Клієнт та Сервер. Сервер запускається на машині-жертві та стежить за з'єднаннями від Клієнта. Поки Сервер запущено, він відстежує порт або кілька портів у пошуку з'єднання від Клієнта. Для того, щоб атакуюча сторона приєдналася до Сервера, вона повинна знати IP-адресу машини, на якій він запущений. Деякі трояни відправляють IP-адресу машини-жертви атакуючій стороні електронною поштою або іншим способом. Як тільки відбувається з'єднання з Сервером, Клієнт може надсилати на нього команди, які Сервер виконуватиме. В даний час, завдяки NAT-технології, отримати доступ до більшості комп'ютерів через їхню зовнішню IP-адресу неможливо. Тому сьогодні багато троян з'єднуються з комп'ютером атакуючої сторони, який відповідає за прийом з'єднань з'єднань, замість того, щоб атакуюча сторона сама намагалася з'єднатися з жертвою. Багато сучасних троян також можуть безперешкодно обходити файрволи на комп'ютерах користувачів.

Збір інформації з відкритих джерел

Застосування технік соціальної інженерії потребує як знання психології , а й уміння збирати про людину необхідну інформацію. Відносно новим способом отримання такої інформації став її збір з відкритих джерел, головним чином із соціальних мереж. , користувачі не приділяють належної уваги питанням безпеки, залишаючи у вільному доступі дані та відомості, які можуть бути використані зловмисником.

Показовим прикладом може бути історія про викрадення сина Євгена Касперського. У ході слідства було встановлено, що злочинці дізналися розклад дня та маршрути проходження підлітка з його записів на сторінці у соціальній мережі.

Навіть обмеживши доступ до інформації на своїй сторінці в соціальній мережі, користувач не може бути впевнений, що вона ніколи не потрапить до рук шахраїв. Наприклад, бразильський дослідник з питань комп'ютерної безпеки показав, що є можливість стати другом будь-якого користувача Facebook протягом 24 годин, використовуючи методи соціальної інженерії. У ході експерименту дослідник Нельсон Новаєс Нето вибрав «жертву» і створив фальшивий обліковий запис людини з її оточення - її начальника. Спочатку Нето надсилав запити на дружбу друзям друзів начальника жертви, а потім безпосередньо його друзям. Через 7,5 години дослідник домігся додавання у друзі від «жертви». Тим самим дослідник отримав доступ до особистої інформації користувача, якою той ділився лише зі своїми друзями.

Дорожнє яблуко

Цей метод атаки є адаптацією троянського коня, і полягає у використанні фізичних носіїв. Зловмисник підкидає "інфікований", або флеш, у місці, де носій може бути легко знайдений (туалет, ліфт, парковка). Носій підробляється під офіційний і супроводжується підписом, покликаним викликати цікавість. Наприклад, шахрай може підкинути , з корпоративним логотипом і посиланням на офіційний сайт компанії, забезпечивши його написом "Заробітна плата керівного складу". Диск може бути залишений на підлозі ліфта або у вестибюлі. Співробітник з незнання може підібрати диск і вставити його в комп'ютер, щоб задовольнити свою цікавість.

Зворотня соціальна інженерія

Про зворотну соціальну інженерію згадують тоді, коли жертва сама пропонує зловмиснику потрібну йому інформацію. Це може здатися абсурдним, але насправді особи, які мають авторитет у технічній чи соціальній сфері, часто отримують ідентифікатори та паролі користувачів та іншу важливу особисту інформацію просто тому, що ніхто не сумнівається у їхній порядності. Наприклад, співробітники служби підтримки ніколи не запитують користувачів ідентифікатор або пароль; їм не потрібна ця інформація для вирішення проблем. Однак, багато користувачів заради якнайшвидшого усунення проблем добровільно повідомляють ці конфіденційні відомості. Виходить, що зловмиснику навіть не потрібно питати про це.

Прикладом зворотної соціальної інженерії може бути наступний простий сценарій. Зловмисник, який працює разом із жертвою, змінює на комп'ютері ім'я файлу або переміщає його в інший каталог. Коли жертва зауважує зникнення файлу, зловмисник заявляє, що може все виправити. Бажаючи якнайшвидше завершити роботу або уникнути покарання за втрату інформації, жертва погоджується на цю пропозицію. Зловмисник заявляє, що вирішити проблему можна лише увійшовши до системи з обліковими даними жертви. Тепер уже жертва просить зловмисника увійти до системи під її ім'ям, щоб спробувати відновити файл. Зловмисник неохоче погоджується та відновлює файл, а по ходу справи краде ідентифікатор та пароль жертви. Успішно здійснивши атаку, він навіть покращив свою репутацію і цілком можливо, що після цього до нього звертатимуться за допомогою й інші колеги. Цей підхід не перетинається зі звичайними процедурами надання послуг підтримки та ускладнює затримання зловмисника.

Відомі соціальні інженери

Кевін Митник

Кевін Митник. Всесвітньо відомий хакер та консультант з безпеки

Одним із найвідоміших соціальних інженерів в історії є Кевін Мітник. Будучи всесвітньо відомим комп'ютерним хакером і консультантом з безпеки, Митник також є автором численних книг з комп'ютерної безпеки, присвяченим переважно соціальної інженерії та методам психологічного впливу на людину. У 2002 році виходить книга "The Art of Deception" під його авторством, що розповідає про реальні історії застосування соціальної інженерії. Кевін Мітник стверджував, що набагато простіше отримати пароль шляхом обману, ніж намагатися зламати систему безпеки

Брати Бадір

Незважаючи на те, що брати Мундір, Мушид та Шаді Бадір були сліпими від народження, вони зуміли реалізувати кілька великих схем шахрайства в ізраїлі у 1990-х, використавши соціальну інженерію та підробку голосу. У телеінтерв'ю вони сказали: «Цілком від мережевих атак застрахований лише той, хто не користується телефоном, електрикою та ноутбуком». Брати вже побували у в'язниці за те, що їм вдалося почути та розшифрувати секретні інтерференційні тони провайдерів телефонного зв'язку. Вони довго телефонували за кордон за чужий рахунок, перепрограмувавши інтерференційними тонами комп'ютери провайдерів стільникового зв'язку.

Архангел

Обкладинка журналу "Phrack"

Знаменитий комп'ютерний хакер і консультант з безпеки у відомому англомовному інтернет-журналі "Phrack Magazine" Архангел продемонстрував можливості технік соціальної інженерії, за короткий час отримавши паролі від величезної кількості різних систем, обдуривши кілька сотень жертв.

Інші

Менш відомими соціальними інженерами є Френк Абігнейл, Девід Беннон, Пітер Фостер та Стівен Джей Рассел.

Способи захисту від соціальної інженерії

Для проведення своїх атак, зловмисники, що застосовують техніки соціальної інженерії, найчастіше експлуатують довірливість, лінь, люб'язність і навіть ентузіазм користувачів та співробітників організацій. Захиститись від таких атак непросто, оскільки їхні жертви можуть не підозрювати, що їх обдурили. Зловмисники, які використовують методи соціальної інженерії, переслідують загалом такі самі цілі, як і будь-які інші зловмисники: їм потрібні гроші, інформація або ІТ-ресурси компанії-жертви. Для захисту від таких атак, потрібно вивчити їх різновиди, зрозуміти що потрібно зловмиснику та оцінити збитки, які можуть бути заподіяні організації. Маючи всю цю інформацію, можна інтегрувати в безпекову політику необхідні заходи захисту.

Класифікація загроз

Загрози, пов'язані з електронною поштою

Багато співробітників щодня отримують через корпоративні та приватні поштові системи десятки та навіть сотні електронних листів. Зрозуміло, за такого потіку кореспонденції неможливо приділити належну увагу кожному листі. Це значно полегшує проведення атак. Більшість користувачів систем електронної пошти спокійно ставляться до обробки таких повідомлень, сприймаючи цю роботу як електронний аналог перекладу паперів з однієї папки до іншої. Коли зловмисник надсилає поштою простий запит, його жертва часто виконує те, що її просять, не замислюючись про свої дії. Електронні листи можуть містити гіперпосилання, що схиляють співробітників до порушення захисту корпоративного середовища. Такі посилання не завжди ведуть до заявлених сторінок.

Більшість заходів щодо безпеки спрямовані на запобігання доступу неавторизованих користувачів до корпоративних ресурсів. Якщо, клацнувши надіслане зловмисником гіперпосилання, користувач завантажить у корпоративну мережу троянську програму чи вірус, це дозволить легко обійти багато видів захисту. Гіперпосилання може також вказувати на вузол зі спливаючими додатками, що запитують дані або пропонують допомогу. Як і у випадку з іншими різновидами шахрайства, найефективнішим способом захисту від атак зловмисників є скептичне ставлення до будь-яких несподіваних вхідних листів. Для поширення цього підходу в організації в безпекову політику слід включити конкретні принципи використання електронної пошти, що охоплюють перелічені нижче елементи.

  • Вкладення у документи.
  • Гіперпосилання у документах.
  • Запити особистої чи корпоративної інформації, що виходять зсередини компанії.
  • Запити особистої чи корпоративної інформації, що виходять з-за меж компанії.

Загрози, пов'язані з використанням служби миттєвого обміну повідомленнями

Миттєвий обмін повідомленнями – порівняно новий спосіб передачі даних, проте він вже набув широкої популярності серед корпоративних користувачів. Через швидкість та легкість використання цей спосіб комунікації відкриває широкі можливості для проведення різних атак: користувачі ставляться до нього як до телефонного зв'язку і не пов'язують з потенційними програмними загрозами. Двома основними видами атак, що ґрунтуються на використанні служби миттєвого обміну повідомленнями, є вказівка ​​в тілі повідомлення посилання на шкідливу програму та доставка самої програми. Звичайно, миттєвий обмін повідомленнями – це ще один із способів запиту інформації. Однією з особливостей служб миттєвого обміну повідомленнями є неформальний характер спілкування. У поєднанні з можливістю присвоювати собі будь-які імена, цей фактор дозволяє зловмиснику набагато легше видавати себе за іншу людину і значно підвищує його шанси на успішне проведення атаки.Якщо компанія має намір використовувати можливості скорочення витрат та інші переваги, що забезпечуються миттєвим обміном повідомленнями, необхідно передбачити у корпоративних політиках безпеки механізми захисту від відповідних загроз. Для отримання надійного контролю над миттєвим обміном повідомленнями у корпоративному середовищі слід виконати декілька вимог.

  • Виберіть одну платформу для миттєвого обміну повідомленнями.
  • Визначити параметри захисту, які задаються під час розгортання служби миттєвого обміну повідомленнями.
  • Визначити принципи встановлення нових контактів
  • Задати стандарти вибору паролів
  • Скласти рекомендації щодо використання служби миттєвого обміну повідомленнями.

Багаторівнева модель забезпечення безпеки

Для захисту великих компаній та їх співробітників від шахраїв, які використовують техніку соціальної інженерії, часто застосовуються комплексні багаторівневі системи безпеки. Нижче наведено деякі особливості та обов'язки таких систем.

  • Фізична безпека. Бар'єри, що обмежують доступ до будівель компанії та корпоративних ресурсів. Не варто забувати, що ресурси компанії, наприклад, контейнери для сміття, розташовані поза територією компанії, фізично не захищені.
  • Дані. Ділова інформація: облікові записи, поштова кореспонденція і т. д. При аналізі загроз та плануванні заходів захисту даних потрібно визначити принципи поводження з паперовими та електронними носіями даних.
  • Програми. Програми, які запускаються користувачами. Для захисту середовища необхідно врахувати, як зловмисники можуть використовувати з метою поштові програми, служби миттєвої передачі повідомлень та інші програми.
  • Комп'ютери. Сервери та клієнтські системи, що використовуються в організації. Захистить користувачів від прямих атак на їхні комп'ютери, шляхом визначення суворих принципів, що вказують, які програми можна використовувати на корпоративних комп'ютерах.
  • Внутрішня мережа. Мережа, за допомогою якої взаємодіють корпоративні системи. Вона може бути локальною, глобальною або бездротовою. В останні роки через зростання популярності методів віддаленої роботи, межі внутрішніх мереж стали багато в чому умовними. Співробітникам компанії слід пояснити, що вони повинні робити для організації безпечної роботи в будь-якому мережному середовищі.
  • Періметр мережі. Кордон між внутрішніми мережами компанії та зовнішніми, такими як Інтернет або мережі партнерських організацій.

Відповідальність

Претекстинг та запис телефонних розмов

Hewlett-Packard

Патриція Данн, президент корпорації Hewlett Packard, повідомила, що найняла приватну компанію з метою виявити тих співробітників компанії, які відповідали за витік конфіденційної інформації. Пізніше глава корпорації визнала, що в процесі дослідження використовували практику претекстингу та інших технік соціальної інженерії.

Примітки

Див. також

Посилання

  • SocialWare.ru - Приватний проект із соціальної інженерії
  • - Соціальна інженерія: основи. Частина I: тактики хакерів
  • Захист від фішинг-атак.
  • Social Engineering Fundamentals – Securityfocus.com.
  • Social Engineering, the USB Way – DarkReading.com.
  • Should Social Engineering be a part of Penetration Testing? - Darknet.org.uk.
  • "Protecting Consumers" Phone Records" , Electronic Privacy Information Center US Committee on Commerce, Science, and Transportation .
  • Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal .
  • Striptease for passwords – MSNBC.MSN.com.
  • Social-Engineer.org – social-engineer.org.

У цій статті ми приділимо увагу поняттю «соціальна інженерія». Також ми дізнаємося про те, хто був основоположником цього поняття. Окремо поговоримо про основні методи соціальної інженерії, які застосовують зловмисники.

Вступ

Методи, що дозволяють коригувати поведінку людини та керувати її діяльністю без застосування технічного набору засобів, утворюють загальне поняття соціальної інженерії. Усі методи базуються на твердженні у тому, що людський чинник - найбільш руйнівна слабкість будь-якої системи. Часто це поняття розглядають лише на рівні незаконної діяльності, з якої злочинцем вчиняється дія, спрямоване отримання інформації від суб'єкта-жертви нечесним шляхом. Наприклад, це може бути певний вид маніпуляції. Проте соціальна інженерія застосовується людиною й у законної діяльності. На сьогоднішній день найчастіше її використовують для доступу до ресурсів із закритою чи цінною інформацією.

засновник

Основоположником соціальної інженерії є Кевін Мітнік. Однак саме поняття до нас прийшло із соціології. Воно позначає загальний набір підходів, якими користуються прикладні соціальні. науки, орієнтовані зміну організаційної структури, здатної визначати поведінка людини і здійснювати контроль над ним. Кевіна Митника вважатимуться родоначальником цієї науки, оскільки він популяризував соц. інженерію у першому десятилітті XXI століття. Сам Кевін раніше був хакером, який здійснював найрізноманітніші бази даних. Він стверджував, що фактор людини є найуразливішим місцем системи будь-якого рівня складності та організації.

Якщо говорити про методи соціальної інженерії як спосіб отримання прав (частіше незаконних) на користування конфіденційними даними, то можна сказати, що вони були вже відомі дуже давно. Однак донести всю важливість їхнього значення та особливості застосування зміг саме К. Митник.

Фішинг та неіснуючі посилання

Будь-яка техніка соціальної інженерії базується на наявності когнітивних спотворень. Помилки поведінки стають «зброєю» у руках умілого інженера, який у майбутньому може створити атаку, спрямовану отримання важливих даних. Серед методів соціальної інженерії виділяють фішинг та неіснуючі посилання.

Фішинг - інтернет-шахрайство, призначене для отримання особистої інформації, наприклад, про логіну та паролі.

Неіснуюче посилання - використання посилання, яке заманюватиме одержувача певними перевагами, які можна отримати, перейшовши по ньому та відвідавши певний сайт. Найчастіше використовують імена великих фірм, вносячи малопомітні корективи до їх найменування. Жертва, перейшовши на заслання, «добровільно» передасть свої особисті дані зловмиснику.

Методи із застосуванням брендів, дефектних антивірусів та фальшивої лотереї

У соціальній інженерії також використовують методи шахрайства із застосуванням відомих брендів, дефектних антивірусів та фальшивої лотереї.

«Шахрайство та бренди» - спосіб обману, який також відноситься до розділу фішингових. Сюди входять електронні пошти та веб-сайти, які містять назву великої та/або «розкрученої» компанії. З їхніх сторінок надсилаються повідомлення з повідомленням про перемогу у певному конкурсі. Далі потрібно введення важливих даних облікового запису та їх крадіжка. Також дана форма шахрайства може здійснюватись по телефону.

Підроблена лотерея - спосіб, в якому жертві надсилаються повідомлення з текстом про те, що він виграв у лотерею. Найчастіше оповіщення маскують використанням імен великих корпорацій.

Помилкові антивіруси – це шахрайство над програмним забезпеченням. Тут використовуються програми, які зовні схожі на антивіруси. Однак насправді вони призводять до генерування хибних повідомлень про певну загрозу. Також вони намагаються залучати користувачів до сфери транзакцій.

Вішинг, фрикінг та претекстинг

Говорячи про соціальну інженерію для початківців, варто також згадати про вишингу, фрикінгу та претекстингу.

Вішинг – це форма обману, яка використовує телефонні мережі. Тут використовуються попередньо записані голосові повідомлення, які мають на меті відтворення «офіційного дзвінка» банківської структури або будь-якої іншої системи IVR. Найчастіше просять ввести логін та/або пароль з метою підтвердження будь-якої інформації. Іншими словами, система потребує проходження аутентифікації з боку користувача з використанням PIN-кодів або паролів.

Фрікінг – це ще одна форма телефонного обману. Являє собою систему злому із застосуванням звукових маніпуляцій та тонового набору.

Претекстинг - напад із застосуванням заздалегідь продуманого плану, суть якого полягає у поданні іншим суб'єктом. Вкрай складний спосіб обману, оскільки він вимагає ретельної підготовки.

Квід-про-кво та метод «дорожнього яблука»

Теорія соціальної інженерії - багатогранна база даних, що включає як методи обману і маніпуляції, і способи боротьби з ними. Головним завданням зловмисників, як правило, є вивужування цінної інформації.

Серед інших видів афер виділяють: квід-про-кво, метод «дорожнього яблука», плечовий серфінг, використання відкритих джерел та зворотне соц. інженерію.

Квід-про-кво (від лат. - «То за це») - спроба вивудити інформацію компанії чи фірми. Відбувається це шляхом звернення до неї по телефону або через надсилання повідомлень електронною поштою. Найчастіше зловмисники є співробітниками тих. підтримки, які повідомляють про наявність певної проблеми на робочому місці працівника. Далі вони пропонують способи усунення, наприклад, за допомогою встановлення програмного забезпечення. ПЗ виявляється дефектним та сприяє просуванню злочину.

«Дорожнє яблуко» - це метод атаки, який ґрунтується на ідеї троянського коня. Його суть полягає у використанні фізичного носія та заміні інформації. Наприклад, можуть забезпечити карту пам'яті певним «благом», яке приверне увагу жертви, викличе бажання відкрити і використовувати файл або перейти за посиланнями, вказаними в документах флешки. Об'єкт «дорожнього яблука» скидають у соціальних місцях і чекають, доки будь-яким суб'єктом не буде реалізовано план зловмисника.

Збір та пошук інформації з джерел відритого типу є аферою, в якій отримання даних засноване на методах психології, вмінні помічати дрібниці та аналізі доступних даних, наприклад, сторінки із соціальної мережі. Це досить новий спосіб соціальної інженерії.

Плечовий серфінг та зворотна соц. інженерія

Поняття «плечовий серфінг» визначає себе як спостереження за суб'єктом наживо в буквальному значенні. При цьому виді вивужування даних зловмисник вирушає до громадських місць, наприклад, кафе, аеропорту, вокзалу і слідкує за людьми.

Не варто недооцінювати даний метод, оскільки безліч опитувань та дослідження показують, що уважна людина може отримувати безліч конфіденційної інформації, просто проявляючи спостережливість.

Соціальна інженерія (як рівень соціологічного знання) є засобом «захоплення» даних. Існують способи отримання даних, за яких жертва сама запропонує зловмиснику необхідну інформацію. Однак вона може служити і на благо суспільства.

Зворотній соц. інженерія – ще один метод цієї науки. Застосування цього терміну стає доречним у випадку, що ми згадали вище: жертва сама запропонує зловмисникові необхідну інформацію. Не варто сприймати це твердження як абсурд. Справа в тому, що суб'єкти, наділені авторитетом у певних сферах діяльності, нерідко отримують доступ до даних ідентифікації за власним рішенням суб'єкта. Основою тут є довіра.

Важливо пам'ятати! Співробітники служб підтримки ніколи не вимагатимуть користувача, наприклад, пароля.

Поінформування та захист

Навчання соціальної інженерії може здійснюватись індивідом як на основі особистої ініціативи, так і на основі посібників, що використовуються у спеціальних навчальних програмах.

Злочинцями можуть застосовуватися найрізноманітніші види обману, починаючи від маніпуляції і закінчуючи лінощами, довірливістю, люб'язністю користувача тощо. буд. Різні фірми та компанії для захисту своїх даних на цьому рівні небезпеки часто займаються оцінкою загальної інформації. Далі відбувається інтегрування необхідних заходів захисту у безпекову політику.

Приклади

Прикладом соціальної інженерії (її акту) у сфері способу глобальних фішингових розсилок є подія, що сталася 2003 року. Під час цієї афери користувачам eBay було надіслано листи на електронні адреси. Вони стверджувалося, що облікові записи, що належать їм, були заблоковані. Щоб скасувати блокування, необхідно було знову ввести дані облікового запису. Проте листи були фальшивими. Вони переводили на сторінку, ідентичну офіційну, але підроблену. За експертними оцінками, збитки були не надто значними (менше мільйона доларів).

Визначення відповідальності

За застосування соціальної інженерії може передбачатися покарання у деяких випадках. У низці країн, наприклад, США, претекстинг (обман у вигляді видачі себе іншу особистість) прирівнюють до вторгнення у життя. Однак це може каратися законом, якщо отримана під час претекстингу інформація була конфіденційною з погляду суб'єкта чи організації. Запис телефонної розмови (як метод соц. Інженерії) також передбачений законом і вимагає виплати штрафу у вигляді 250 000 доларів або позбавлення волі строком до десяти років для фіз. осіб. Юридичні суб'єкти повинні виплатити 500 000 $; термін залишається той самий.

Соціальна інженерія- метод отримання необхідного доступу до інформації, що ґрунтується на особливостях психології людей. Основною метою соціальної інженерії є отримання доступу до конфіденційної інформації, паролів, банківських даних та інших захищених систем. Хоча термін соціальної інженерії виник недавно, сам спосіб отримання інформації в такий спосіб використовується досить довго. Співробітники ЦРУ та КДБ, які хочуть здобути деяку державну таємницю, політики та кандидати в депутати, та й ми самі, за бажання отримати щось, часто навіть не розуміючи цього, використовуємо методи соціальної інженерії.

Для того щоб убезпечити себе від впливу соціальної інженерії, необхідно зрозуміти, як вона працює. Розглянемо основні типи соціальної інженерії та методи захисту від них.

Претекстинг- це набір дій, відпрацьованих за певним, заздалегідь складеним сценарієм, в результаті якого жертва може видати будь-яку інформацію або вчинити певну дію. Найчастіше цей вид атаки передбачає використання голосових засобів, таких як Skype, телефон тощо.

Для використання цієї техніки зловмиснику необхідно спочатку мати деякі дані про жертву (ім'я співробітника; посада; назва проектів, з якими він працює; дату народження). Зловмисник спочатку використовує реальні запити з ім'ям співробітників компанії та після того, як увійде в довіру, отримує необхідну йому інформацію.

Фішинг– техніка інтернет-шахрайства, спрямована отримання конфіденційної інформації користувачів - авторизаційних даних різних систем. Основним видом фішингових атак є підроблений лист, відправлений жертві електронною поштою, який виглядає як офіційний лист від платіжної системи або банку. У листі міститься форма для введення персональних даних (пін-кодів, логіну та паролю тощо) або посилання на web-сторінку, де розташовується така форма. Причини довіри жертви подібним сторінкам можуть бути різні: блокування облікового запису, поломка в системі, втрата даних та інше.

Троянський кінь– це техніка ґрунтується на цікавості, страху чи інших емоціях користувачів. Зловмисник відправляє листа жертві за допомогою електронної пошти, у вкладенні якого знаходиться «оновлення» антивірусу, ключ до грошового виграшу або компромат на співробітника. Насправді ж у вкладенні знаходиться шкідлива програма, яка після того, як користувач запустить її на своєму комп'ютері, використовуватиметься для збирання або зміни інформації зловмисником.

Кві про кво(послуга за послугу) – дана техніка передбачає звернення зловмисника до користувача електронною поштою або корпоративним телефоном. Зловмисник може представитися, наприклад, співробітником технічної підтримки та інформувати про виникнення технічних проблем на робочому місці. Далі він повідомляє необхідність їх усунення. У процесі «вирішення» такої проблеми зловмисник підштовхує жертву на вчинення дій, що дозволяють атакуючому виконати певні команди або встановити необхідне програмне забезпечення на комп'ютері жертви.

Дорожнє яблуко– цей метод є адаптацією троянського коня і полягає у використанні фізичних носіїв (CD, флеш-накопичувачів). Зловмисник зазвичай підкидає такий носій у загальнодоступних місцях на території компанії (парковки, їдальні, робочі місця працівників, туалети). Для того, щоб у співробітника виник інтерес до цього носія, зловмисник може нанести на носій логотип компанії та якийсь підпис. Наприклад, "дані про продаж", "зарплата співробітників", "звіт у податкову" та інше.

Зворотня соціальна інженерія- даний вид атаки спрямований на створення такої ситуації, за якої жертва змушена буде сама звернеться до зловмисника за «допомогою». Наприклад, зловмисник може надіслати листа з телефонами та контактами служби підтримки і через деякий час створити оборотні неполадки в комп'ютері жертви. Користувач у такому разі зателефонує або зв'яжеться електронною поштою зі зловмисником сам, і в процесі «виправлення» проблеми зловмисник зможе отримати необхідні дані.


Рисунок 1 – Основні типи соціальної інженерії

Заходи протидії

p align="justify"> Основним способом захисту від методів соціальної інженерії є навчання співробітників. Усі працівники компанії повинні бути попереджені про небезпеку розкриття персональної інформації та конфіденційної інформації компанії, а також способи запобігання витоку даних. Крім того, у кожного співробітника компанії, залежно від підрозділу та посади, повинні бути інструкції про те, як і на які теми можна спілкуватися зі співрозмовником, яку інформацію можна надавати для служби технічної підтримки, як і що повинен повідомити співробітник компанії для отримання цієї чи іншої інформації від іншого працівника.

Крім цього, можна виділити такі правила:

  • Облікові дані користувача є власністю компанії.
    • Всім співробітникам у день прийому на роботу має бути роз'яснено те, що ті логіни та паролі, які їм видали, не можна використовувати з іншою метою (на web-сайтах, для особистої пошти тощо), передавати третім особам або іншим співробітникам компанії, які мають цього право. Наприклад, дуже часто, йдучи у відпустку, співробітник може передати свої авторизаційні дані своєму колезі для того, щоб той зміг виконати певну роботу або переглянути певні дані в момент її відсутності.
  • Необхідно проводити вступні та регулярні навчання співробітників компанії, спрямовані на підвищення знань з інформаційної безпеки.
    • Проведення таких інструктажів дозволить співробітникам компанії мати актуальні дані про існуючі методи соціальної інженерії, а також не забувати про основні правила з інформаційної безпеки.
  • Обов'язковою є наявність регламентів безпеки, а також інструкцій, до яких користувач повинен завжди мати доступ. В інструкціях повинні бути описані дії працівників у разі тієї чи іншої ситуації.
    • Наприклад, у регламенті можна прописати, що необхідно робити і куди звертатися при спробі третьої особи запросити конфіденційну інформацію або облікові дані працівників. Такі дії дозволять обчислити зловмисника та не допустити витоку інформації.
  • На комп'ютерах співробітників завжди має бути актуальне антивірусне програмне забезпечення.
    • На комп'ютерах співробітників також потрібно встановити брандмауер.
  • У корпоративній мережі компанії необхідно використовувати системи виявлення та запобігання атакам.
    • Також необхідно використовувати системи запобігання витоку конфіденційної інформації. Все це дозволить зменшити ризик виникнення фітинових атак.
  • Усі співробітники мають бути проінструктовані, як поводитися з відвідувачами.
    • Необхідні чіткі правила для встановлення особи відвідувача та його супроводу. Відвідувачів завжди має супроводжувати хтось із співробітників компанії. Якщо співробітник зустрічає невідомого йому відвідувача, він має у коректній формі поцікавитися, з якою метою відвідувач перебуває у даному приміщенні та де його супровід. За потреби співробітник повинен повідомити про невідомого відвідувача у службу безпеки.
  • Необхідно максимально обмежити права користувача у системі.
    • Наприклад, можна обмежити доступ до веб-сайтів та заборонити використання знімних носіїв. Адже якщо співробітник не зможе потрапити на фішинговий сайт або використовувати на комп'ютері флеш-накопичувач з «троянською програмою», то й втратити особисті дані він також не зможе.

З усього перерахованого, можна дійти невтішного висновку: основний спосіб захисту від соціальної інженерії – навчання співробітників. Необхідно знати та пам'ятати, що незнання не звільняє від відповідальності. Кожен користувач системи повинен знати про небезпеку розкриття конфіденційної інформації та знати способи, які допоможуть запобігти витоку. Попереджений значить озброєний!

Методи соціальної інженерії - саме про це йтиметься в цій статті, а так само про все, що пов'язано з маніпуляцією людьми, фішингу та крадіжки клієнтських баз і не тільки. Інформацію нам люб'язно надав Андрій Сєріков, автором якої він і є, за що йому велике спасибі.

О.СЕРІКОВ

А.Б.БОРОВСЬКИЙ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ СОЦІАЛЬНОЇ ХАКЕРСТВА

Вступ

Прагнення людства домогтися досконалого виконання поставлених завдань послужило розвитку сучасної комп'ютерної техніки, а спроби задоволення суперечливих вимог людей сприяли розвитку програмних продуктів. Дані програмні продукти як підтримують працездатність апаратного забезпечення, а й керують ним.

Розвиток знань про людину і комп'ютер привели до появи принципово нового типу систем-«людино-машинних», де людину можна позиціонувати як апаратний засіб, що працює під управлінням стабільною, функціональною, багатозадачною операційною системою, що називається «психіка».

Предметом роботи є розгляд соціального хакерства як гілки соціального програмування, де за допомогою людських слабкостей, забобонів та стереотипів у соціальній інженерії маніпулюють людиною.

Соціальна інженерія та її методи

Методи маніпулювання людиною відомі досить давно, переважно вони прийшли до соціальної інженерії з арсеналу різних спецслужб.

Перший відомий випадок конкурентної розвідки відноситься до VI століття до нашої ери і стався в Китаї, коли китайці втратили секрет виготовлення шовку, який обманним шляхом викрали римські шпигуни.

Соціальна інженерія - наука, що визначається як набір методів маніпулювання поведінкою людини, що ґрунтуються на використанні слабкостей людського фактора, без застосування технічних засобів.

На думку багатьох фахівців, найбільшу загрозу інформаційній безпеці становлять саме методи соціальної інженерії, хоча б тому, що використання соціального хакерства не вимагає значних фінансових вкладень та досконалих знань комп'ютерних технологій, а також тому, що людям притаманні деякі поведінкові нахили, які можна використовувати для обережного маніпулювання.

І як би не вдосконалювалися технічні системи захисту, люди так і залишатимуться людьми зі своїми слабкостями, забобонами, стереотипами, за допомогою яких відбувається управління. Налаштувати ж людську «програму безпеки» - найскладнішу справу, яка не завжди призводить до гарантованих результатів, оскільки цей фільтр необхідно підлаштовувати постійно. Тут як ніколи актуально звучить головний девіз усіх експертів з безпеки: «Безпека – це процес, а не результат»

Області застосування соціальної інженерії:

  1. загальна дестабілізація роботи організації з метою зниження її впливу та можливості подальшого повного руйнування організації;
  2. фінансові махінації у організаціях;
  3. фішинг та інші способи крадіжки паролів з метою доступу до персональних банківських даних приватних осіб;
  4. крадіжка клієнтських баз даних;
  5. конкурентна розвідка;
  6. загальна інформація про організацію, про її сильні та слабкі сторони, з метою подальшого знищення даної організації тим чи іншим способом (часто застосовується для рейдерських атак);
  7. інформація про найбільш перспективних співробітників з метою їхнього подальшого «переманювання» до своєї організації;

Соціальне програмування та соціальне хакерство

Соціальне програмування можна назвати прикладною дисципліною, яка займається цілеспрямованим впливом на людину чи групу осіб з метою зміни чи утримання їхньої поведінки у потрібному напрямку. Отже, соціальний програміст ставить собі за мету: оволодіння мистецтвом управління людьми. Основна концепція соціального програмування у тому, що багато вчинків людей та його реакцію те чи інше зовнішній вплив у часто передбачувані.

Методи соціального програмування привабливі тим, що про них або взагалі ніхто ніколи не дізнається, або навіть якщо хтось про щось здогадується, притягнути до відповідальності такого діяча дуже складно, а також у ряді випадків можна «програмувати» поведінку людей, причому і одну людину, і велику групу. Дані можливості відносяться до категорії соціального хакерства саме з тієї причини, що у всіх з них люди виконують чиюсь чужу волю, ніби підкоряючись написаній соціальним хакером програмі.

Соціальне хакерство як можливість злому людини та програмування його на здійснення необхідних дій виходить із соціального програмування - прикладної дисципліни соціальної інженерії, де фахівці цієї сфери - соціальні хакери - використовують прийоми психологічного впливу та акторської майстерності, запозичені з арсеналу спецслужб.

Соціальне хакерство застосовується у більшості випадків тоді, коли йдеться про атаку на людину, яка є частиною комп'ютерної системи. Комп'ютерна система, яку зламують, не існує сама собою. Вона містить важливу складову – людину. І щоб отримати інформацію, соціальному хакеру необхідно зламати людину, яка працює з комп'ютером. Найчастіше простіше зробити це, ніж зламати комп'ютер жертви, намагаючись таким чином дізнатися пароль.

Типовий алгоритм впливу на соціальному хакерстві:

Усі атаки соціальних хакерів укладається в одну досить просту схему:

  1. формулюється мета на той чи інший об'єкт;
  2. збирається інформація про об'єкт, з метою виявлення найбільш зручних мішеней впливу;
  3. на основі зібраної інформації реалізується етап, який психологи називають атракцією. Атракція (від лат. Attrahere - залучати, притягувати) - це створення необхідних умов впливу на об'єкт;
  4. примус до необхідного для соціального хакера дії;

Примус досягається виконанням попередніх етапів, тобто після того, як досягнуто атракції, жертва сама робить потрібні соціоінженеру дії.

З зібраної інформації соціальні хакери досить точно прогнозують психо- і соціотип жертви, виявляючи як потреби, у їжі, сексі та інше, а й потреба у коханні, потреба у грошах, потреба у комфорті тощо.

І справді, навіщо намагатися проникати в ту чи іншу компанію, зламувати комп'ютери, банкомати, організовувати складні комбінації, коли можна зробити все легше: закохати в себе до непритомності людину, яка за своєю доброю волею переказуватиме гроші на вказаний рахунок або щоразу ділиться необхідною інформацією?

Грунтуючись на тому, що вчинки людей передбачувані, а також підпорядковуються певним законам, соціальні хакери та соціальні програмісти для виконання поставлених завдань використовують як оригінальні багатоходівки, так і прості позитивні та негативні прийоми, що ґрунтуються на психології людської свідомості, програмах поведінки, коливаннях внутрішніх органів, логічне мислення, уяву, пам'ять, увагу. До цих прийомів можна віднести:

генератор Вуда - генерує коливання тієї самої частоти, як і частота коливань внутрішніх органів, після чого спостерігається ефект резонансу, у якого люди починають відчувати сильний дискомфорт і панічний стан;

вплив на географію натовпу – для мирного розформування вкрай небезпечних агресивних, великих груп людей;

високочастотні та низькочастотні звуки - для провокування паніки та її зворотного ефекту, а також інших маніпуляцій;

програма соціального наслідування – людина визначає правильність вчинків, з'ясовуючи, які вчинки вважають за правильні інші люди;

програма клакерства - (з урахуванням соціального наслідування) організація необхідної реакції глядачів;

формування черг - (з урахуванням соціального наслідування) простий, але дієвий рекламний хід;

програма взаємодопомоги – людина прагне відплатити добром тим людям, які йому зробили якесь добро. Прагнення виконати цю програму часто перевищує всі аргументи розуму;

Соціальне хакерство в інтернеті

З появою та розвитком Інтернету — віртуального середовища, що складається з людей та їх взаємодій, розширилося середовище для маніпулювання людиною, для отримання потрібної інформації та здійснення необхідних дій. В наші дні Інтернет є засобом загальносвітового мовлення, середовищем для співпраці, спілкування та охоплює всю земну кулю. Саме цим і користуються соціальні інженери задля досягнення своїх цілей.

Способи маніпулювання людиною через інтернет:

У сучасному світі власники практично кожної компанії вже усвідомили, що інтернет – це дуже ефективний та зручний засіб для розширення бізнесу та основне його завдання – це збільшення прибутку всієї компанії. Відомо, що без інформації, спрямованої на привернення уваги, до потрібного об'єкта, формування чи підтримання інтересу до нього та його просування на ринку використовується реклама. Тільки, у зв'язку з тим, що рекламний ринок вже давно поділений, більшість видів реклами для більшості підприємців даремно витрачені гроші. Інтернет реклама це не просто один із різновидів реклами в ЗМІ, це щось більше, оскільки за допомогою інтернет реклами на сайт організації приходять люди, зацікавлені у співпраці.

Інтернет реклама, на відміну від реклами у ЗМІ, має набагато більше можливостей та параметрів управління рекламною компанією. Найбільш важливим показником інтернет реклами є те, що плата за інтернет рекламу списується лише при переходікористувача, що зацікавився, за посиланням реклами, що звичайно робить рекламу в інтернеті більш ефективною і менш витратною ніж реклама в ЗМІ. Так подавши рекламу на телебаченні або в друкованих виданнях, її оплачують повністю і просто чекають на потенційних клієнтів, але клієнти можуть відгукнутися на рекламу чи ні — все залежить від якості виготовлення та подачі реклами на телебаченні чи газетах, проте бюджет на рекламу вже витрачено і у разі якщо реклама не діяла — витрачено марно. На відміну від такої реклами у ЗМІ, реклама в інтернеті має можливості відстеження відгуку аудиторії та управління інтернет рекламою до того, як її бюджет витрачено, більше того, рекламу в інтернеті можна призупинити – коли попит на продукцію зріс та відновити – коли попит починає падати.

Іншим способом впливу є так зване «Вбивство форумів», де, за допомогою соціального програмування, створюють антирекламу тому чи іншому проекту. Соціальний програміст у разі, з допомогою явних провокаторських дій поодинці, руйнує форум, користуючись у своїй кількома псевдонімами ( nickname) для створення навколо себе антилідерського угруповання, та залучення до нього постійних відвідувачів проекту, незадоволених поведінкою адміністрації. Наприкінці подібних заходів на форумі стає неможливим проджинювання товарів чи ідей. Навіщо спочатку і розроблявся форум.

До способів впливу на людину через інтернет з метою соціальної інженерії:

Фішинг - вид інтернет-шахрайства, з метою отримання доступу до конфіденційних даних користувачів - логінам та паролям. Ця операція досягається шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень усередині різних сервісів (Rambler), банків або всередині соціальних мереж (Facebook). У листі часто міститься посилання на сайт, який зовні не відрізняється від сьогодення. Після того, як користувач потрапляє на підроблену сторінку, соціальні інженери різними прийомами спонукають користувача ввести на сторінці свої логін та пароль, які він використовує для доступу до певного сайту, що дозволяє отримати доступ до акаунтів та банківських рахунків.

Більш небезпечним видом шахрайства, ніж фішинг є так званий фармінг.

Фармінг – механізм прихованого перенаправлення користувачів на фішингові сайти. Соціальний інженер розповсюджує на комп'ютери користувачів спеціальні шкідливі програми, які після запуску на комп'ютері перенаправляють поводження з необхідних сайтів на підроблені. Таким чином, забезпечується висока скритність атаки, а участь користувача зведена до мінімуму - достатньо дочекатися, коли користувач вирішить відвідати сайти, що цікавлять соціального інженера.

Висновок

Соціальна інженерія - наука, яка вийшла з соціології та претендує на сукупність тих знань, які спрямовують, упорядковують та оптимізують процес створення, модернізації та відтворення нових («штучних») соціальних реальностей. Певним чином вона «добудовує» соціологічну науку, завершує її на фазі перетворення наукових знань у моделі, проекти та конструкції соціальних інститутів, цінностей, норм, алгоритмів діяльності, відносин, поведінки тощо.

Незважаючи на те, що Соціальна інженерія - відносно молода наука, вона завдає великої шкоди процесам, які відбуваються в суспільстві.

Найпростішими методами захисту від впливу цієї руйнівної науки можна назвати:

Привернення уваги людей до питань безпеки.

Усвідомлення користувачами всієї серйозності проблеми та прийняття політики безпеки системи.

Літеретура

1. Р. Петерсен Linux: Повний посібник: пров. з англ. - 3 - вид. - К.: Видавнича група BHV, 2000. - 800 c.

2. З Гроднева Інтернет у вашому домі. - М.: «РІПОЛ КЛАСИК», 2001. -480 с.

3. М. В. Кузнєцов Соціальна інженерія та соціальне хакерство. Спб.: БХВ-Петербург, 2007. – 368 с.: іл.