სოციალური ინჟინერიის ტექნიკა. სახელმძღვანელო სოციალური ინჟინერიის შესახებ. ტიპიური გავლენის ალგორითმი სოციალურ ჰაკერებში
სოციალური ინჟინერიის ტექნიკა ადამიანის ტვინი არის დიდი მყარი დისკი, უზარმაზარი ინფორმაციის საცავი. და როგორც მფლობელს, ასევე ნებისმიერ სხვა პირს შეუძლია გამოიყენოს ეს ინფორმაცია. როგორც ამბობენ, მოლაპარაკე ჯაშუშისთვის ღვთის საჩუქარია. იმისათვის, რომ შემდგომ გაიგოთ შემდეგი მნიშვნელობის მნიშვნელობა, სულ მცირე, უნდა იცოდეთ ფსიქოლოგიის საფუძვლები.
სოციალური ინჟინერია გვაძლევს საშუალებას "გამოიყენე შენი ტვინი"სხვა პირს, სხვადასხვა მეთოდების გამოყენებით და მისგან მიიღოს საჭირო ინფორმაცია.
ვიკი ამბობს: „სოციალური ინჟინერია არის ადამიანის ქმედებების კონტროლის მეთოდი ტექნიკური საშუალებების გამოყენების გარეშე“
Სოციალური ინჟინერია- ეს ერთგვარი ახალგაზრდა მეცნიერებაა. ადამიანის ცნობიერების მანიპულირების მრავალი მეთოდი და ტექნიკა არსებობს. კევინ მიტნიკი მართალი იყო, როცა თქვა, რომ ზოგჯერ უფრო ადვილია მოტყუება და ინფორმაციის მიღება, ვიდრე მასზე წვდომის გატეხვა. წაიკითხეთ წიგნი "მოტყუების ხელოვნება" თავისუფალ დროს, მოგეწონებათ.
არსებობს საპირისპირო სოციალური ინჟინერია, რომელიც მიზნად ისახავს თავად დაზარალებულისგან მონაცემების მოპოვებას. მისი დახმარებით მსხვერპლი თავად საუბრობს თავის პაროლებსა და მონაცემებზე.
ინტერნეტში არ არის ჟესტები, ინტონაცია ან სახის გამონათქვამები. ყველა კომუნიკაცია ეფუძნება ტექსტურ შეტყობინებებს. და თქვენი წარმატება მოცემულ სიტუაციაში დამოკიდებულია იმაზე, თუ როგორ მოქმედებს თქვენი შეტყობინებები თანამოსაუბრეზე. რა ტექნიკის გამოყენება შეიძლება პიროვნების ცნობიერების ფარული მანიპულირებისთვის?
პროვოცირებას
მკაცრად რომ ვთქვათ, ეს ტროლინგია. აბრაზებს ადამიანს, უმეტეს შემთხვევაში ის ინფორმაციას არაკრიტიკულად ეპყრობა. ამ მდგომარეობაში შეგიძლიათ დააწესოთ ან მიიღოთ საჭირო ინფორმაცია.
სიყვარული
ეს ალბათ ყველაზე ეფექტური ტექნიკაა. უმეტეს შემთხვევაში, ეს არის ის, რაც მე გამოვიყენე)). სიყვარულის მდგომარეობაში ადამიანი ცოტას აღიქვამს და სწორედ ეს სჭირდება მანიპულატორს.
გულგრილობა
იქმნება მანიპულატორის გულგრილობის ეფექტი გარკვეული თემის მიმართ და თანამოსაუბრე, თავის მხრივ, ცდილობს მის დარწმუნებას, რითაც ხვდება ხაფანგში და გამოავლენს თქვენთვის საჭირო ინფორმაციას.
იჩქარეთ
ხშირად წარმოიქმნება სიტუაციები, როდესაც მანიპულატორი თითქოს ჩქარობს სადმე მისვლას და გამუდმებით მიანიშნებს, მაგრამ ამავე დროს ის მიზანმიმართულად ავრცელებს მისთვის საჭირო ინფორმაციას.
ეჭვი
ეჭვის მეთოდი გარკვეულწილად წააგავს გულგრილობის მეთოდს. პირველ შემთხვევაში მსხვერპლი საპირისპიროს ამტკიცებს, მეორეში კი მსხვერპლი ცდილობს გაამართლოს „თავისი ეჭვი“, რითაც ვერ ხვდება, რომ აწვდის მთელ ინფორმაციას.
ირონია
პროვოკაციის ტექნიკის მსგავსი. მანიპულატორი აბრაზებს ადამიანს ირონიით. ის, თავის მხრივ, ბრაზით ვერ ახერხებს ინფორმაციის კრიტიკულად შეფასებას. შედეგად, ფსიქოლოგიურ ბარიერში ყალიბდება ხვრელი, რომლითაც მანიპულატორი სარგებლობს.
გულახდილობა
როდესაც მანიპულატორი თანამოსაუბრეს ეუბნება გულწრფელ ინფორმაციას, თანამოსაუბრეს უყალიბდება ერთგვარი ნდობის ურთიერთობა, რაც გულისხმობს დამცავი ბარიერის შესუსტებას. ეს ქმნის უფსკრული ფსიქოლოგიურ თავდაცვაში.
ზემოთ აღწერილი ტექნიკა სრულად არ ამოწურავს სოციალური ინჟინერიის სრულ პოტენციალს. ამ ტექნიკებზე და მეთოდებზე შეიძლება საუბარი და საუბარი. ამ ტექნიკის წაკითხვის შემდეგ, უნდა გააცნობიეროთ, რომ არ გჭირდებათ ყველას რჩევის მიბაძვა. ისწავლეთ საკუთარი თავის და თქვენი ბრაზის კონტროლი და მაშინ თქვენი დაცვა ყოველთვის სათანადო დონეზე იქნება.
ჩვენი გრძელდება. დაელოდეთ ახალ სტატიებს))
Სოციალური ინჟინერია - კონფიდენციალურ ინფორმაციაზე არაავტორიზებული წვდომა პირის ცნობიერების მანიპულირების გზით. სოციალური ინჟინერიის მეთოდები ეფუძნება ფსიქოლოგიის თავისებურებებს და მიმართულია ადამიანის სისუსტეების (გულუბრყვილობა, უყურადღებობა, ცნობისმოყვარეობა, კომერციული ინტერესების) გამოყენებაზე. მათ აქტიურად იყენებენ სოციალური ჰაკერები როგორც ინტერნეტში, ასევე მის ფარგლებს გარეთ.
თუმცა, რაც შეეხება ციფრულ ტექნოლოგიებს, ვებ რესურსებს, კომპიუტერებს, სმარტფონებს, ქსელის მომხმარებლების „ტვინის ნისლი“ გარკვეულწილად განსხვავებულად ხდება. თაღლითები ათავსებენ მახეებს, ხაფანგებს და სხვა ხრიკებს ყველგან და ნებისმიერ შემთხვევაში, სოციალურ ქსელებში, მოთამაშეების პორტალებზე, ელფოსტის საფოსტო ყუთებში და ონლაინ სერვისებში. აქ არის სოციალური ინჟინერიის მეთოდების მხოლოდ რამდენიმე მაგალითი:
სადღესასწაულო საჩუქრად... ტროას ცხენი
ხასიათის, პროფესიის, ფინანსური გადახდისუნარიანობის მიუხედავად, ყველა ადამიანი მოუთმენლად ელის დღესასწაულებს: ახალ წელს, 1 მაისს, 8 მარტს, ვალენტინობის დღეს და ა.შ., რათა, რა თქმა უნდა, აღვნიშნოთ ისინი, დაისვენოთ, აავსოთ სულიერი აურა პოზიტივით. და, ამავე დროს, გაცვალეთ მილოცვები თქვენს მეგობრებთან და ამხანაგებთან.
ამ წუთებში განსაკუთრებით აქტიურობენ სოციალური ჰაკერები. არდადეგებზე და არდადეგებზე გზავნიან ღია ბარათებს ელექტრონული ფოსტის სერვისების ანგარიშებზე: ნათელი, ფერადი, მუსიკით და... საშიში ტროას ვირუსით. მსხვერპლმა, არაფერი იცის ასეთი მოტყუების შესახებ, გართობის ან, უბრალოდ, ცნობისმოყვარეობის ეიფორიაში მყოფი, აწკაპუნებს საფოსტო ბარათზე. ამავე დროს, მავნე პროგრამა აინფიცირებს OS-ს და შემდეგ ელოდება შესაფერის მომენტს, რათა მოიპაროს სარეგისტრაციო მონაცემები, გადახდის ბარათის ნომერი, ან შეცვალოს ონლაინ მაღაზიის ვებგვერდი ბრაუზერში ყალბით და მოიპაროს ფული ანგარიშიდან.
ხელსაყრელი ფასდაკლება და ვირუსი "დატვირთული"
სოციალური ინჟინერიის შესანიშნავი მაგალითი. თქვენი შრომით ნაშოვნი ფულის „დაზოგვის“ სურვილი სრულიად გამართლებული და გასაგებია, მაგრამ გონივრულ ფარგლებში და გარკვეულ პირობებში. საუბარია „ყველაფერი რაც ბრწყინავს, ოქრო არ არის“.
თაღლითები უმსხვილესი ბრენდების, ონლაინ მაღაზიების და სერვისების საფარქვეშ, შესაბამისი დიზაინით, გვთავაზობენ საქონლის შეძენას წარმოუდგენელი ფასდაკლებით და, გარდა შესყიდვისა, საჩუქრის მიღებას... აკეთებენ ყალბ საინფორმაციო ბიულეტენებს, ქმნიან ჯგუფებს სოციალურ ქსელებში. და თემატური "თემები" ფორუმებზე.
გულუბრყვილო უბრალო ადამიანებს, როგორც ამბობენ, "ხელმძღვანელობენ" ეს ნათელი კომერციული პლაკატი: ჩქარობენ თავში ითვლიან რამდენი დარჩა მათი ხელფასიდან, წინასწარი გადახდისგან და დააკლიკეთ ბმულს "ყიდვა", "გადადით საიტზე იყიდე“ და ა.შ. რის შემდეგაც, 100 შემთხვევიდან 99-ში, მომგებიანი შესყიდვის ნაცვლად, კომპიუტერზე იღებენ ვირუსს ან უსასყიდლოდ უგზავნიან ფულს სოციალურ ჰაკერებს.
მოთამაშის შემოწირულობა +300% ქურდობის უნარებისთვის
ონლაინ თამაშებში და ზოგადად მრავალმოთამაშიან თამაშებში, იშვიათი გამონაკლისების გარდა, ყველაზე ძლიერები გადარჩებიან: ვისაც აქვს ძლიერი ჯავშანი, დაზიანება, ძლიერი მაგია, მეტი ჯანმრთელობა, მანა და ა.შ.
და, რა თქმა უნდა, ყველა მოთამაშეს სურს ნებისმიერ ფასად მიიღოს ეს ძვირფასი არტეფაქტები მისი პერსონაჟისთვის, ტანკისთვის, თვითმფრინავისთვის და ვინ იცის კიდევ რა. ბრძოლებში ან კამპანიებში, საკუთარი ხელით ან რეალურ ფულზე (დონაციის ფუნქცია) თამაშის ვირტუალურ მაღაზიაში. ვიყო საუკეთესო, პირველი... განვითარების ბოლო საფეხურს მივაღწიო.
თაღლითებმა იციან ამ "მოთამაშის სისუსტეების" შესახებ და ყველა შესაძლო გზით აცდუნებენ მოთამაშეებს, შეიძინონ ძვირფასი არტეფაქტები და უნარები. ხან ფულით, ხან უფასოდ, მაგრამ ეს არ ცვლის ბოროტი სქემის არსს და მიზანს. ყალბ საიტებზე მაცდური შეთავაზებები ასე ჟღერს: „ჩამოტვირთეთ ეს აპლიკაცია“, „დააინსტალირეთ პატჩი“, „საქონელის მისაღებად, გადადით თამაშზე“.
დიდი ხნის ნანატრი ბონუსის სანაცვლოდ, გეიმერის ანგარიში იპარება. თუ ის კარგად არის დატუმბული, ქურდები ყიდიან ან მისგან იღებენ გადახდის ინფორმაციას (ასეთის არსებობის შემთხვევაში).
მავნე პროგრამა + სოციალური ინჟინერია = მოტყუების ფეთქებადი ნაზავი
სიფრთხილის ხატები!
ბევრი მომხმარებელი იყენებს მაუსს OS-ში „ავტოპილოტზე“: დააწკაპუნეთ აქ, აქ; აღმოაჩინა ეს, ეს, ის. იშვიათად რომელიმე მათგანი ათვალიერებს ფაილების ტიპს, მათ მოცულობას და თვისებებს. მაგრამ ამაოდ. ჰაკერები მალავენ მავნე პროგრამის შესრულებად ფაილებს, როგორც Windows-ის ჩვეულებრივ საქაღალდეებს, სურათებს ან სანდო აპლიკაციებს, ანუ გარეგნულად, ვიზუალურად, ისინი ვერ გამოირჩევიან. მომხმარებელი აწკაპუნებს საქაღალდეზე, მისი შიგთავსი, ბუნებრივია, არ იხსნება, რადგან ის საერთოდ არ არის საქაღალდე, არამედ ვირუსის ინსტალერი .exe გაფართოებით. და მავნე პროგრამა "ჩუმად" აღწევს OS-ში.
ასეთი ხრიკების დარწმუნებული „ანტიდოტი“ არის Total Commander ფაილის მენეჯერი. ინტეგრირებული Windows Explorer-ისგან განსხვავებით, ის აჩვენებს ფაილის ყველა დეტალს: ტიპს, ზომას, შექმნის თარიღს. ყველაზე დიდი პოტენციური საფრთხე სისტემისთვის არის უცნობი ფაილები გაფართოებებით: “.scr”, “.vbs”, “.bat”, “.exe”.
შიში აძლიერებს ნდობას
- მომხმარებელი ხსნის „საშინელებათა ისტორიის საიტს“ და მაშინვე ეუბნება ყველაზე უსიამოვნო ამბებს, ან თუნდაც ამბებს: „თქვენი კომპიუტერი დაინფიცირებულია სახიფათო ტროიანებით“, „10, 20... 30 ვირუსი გამოვლინდა თქვენს OS-ში“, "სპამი იგზავნება თქვენი კომპიუტერიდან" და ა.შ.
- და ისინი დაუყოვნებლივ სთავაზობენ (აჩვენეთ „შეშფოთება“) დააინსტალიროთ ანტივირუსი და, შესაბამისად, მოაგვარონ საიტზე გაჟღერებული უსაფრთხოების პრობლემა. და რაც მთავარია, სრულიად უფასოდ.
- თუ ვიზიტორს შიში ეუფლება კომპიუტერის მიმართ, მიჰყვება ლინკს და ჩამოტვირთავს... არა ანტივირუსს, არამედ ცრუ ანტივირუსს - ვირუსებით გაჟღენთილ ყალბს. ინსტალაცია და გაშვება - შედეგები შესაბამისია.
- პირველ რიგში, ვებსაიტს არ შეუძლია მყისიერად დაასკანიროს ვიზიტორის კომპიუტერი და ამოიცნოს მავნე პროგრამა.
- მეორეც, დეველოპერები ავრცელებენ ანტივირუსებს, ფასიანი თუ უფასო, საკუთარი, ანუ ოფიციალური ვებსაიტების საშუალებით.
- და ბოლოს, მესამე, თუ არსებობს ეჭვი და შიში იმის შესახებ, არის თუ არა OS "სუფთა" თუ არა, უმჯობესია შეამოწმოთ სისტემის დანაყოფი იმით, რაც ხელმისაწვდომია, ანუ დაინსტალირებული ანტივირუსით.
შეჯამება
ფსიქოლოგია და ჰაკერობა დღეს ხელიხელჩაკიდებულნი არიან - ადამიანის სისუსტეების და პროგრამული უზრუნველყოფის სისუსტეების გამოყენების ტანდემი. ინტერნეტში ყოფნისას, არდადეგებსა და სამუშაო დღეებში, დღე თუ ღამე და არ აქვს მნიშვნელობა რა განწყობა გაქვთ, უნდა იყოთ ფხიზლად, დათრგუნოთ გულუბრყვილობა და განდევნოთ კომერციული მოგების იმპულსები და რაღაც „უფასო“. იმიტომ რომ, მოგეხსენებათ, მხოლოდ ყველს აძლევენ ტყუილად და მხოლოდ თაგვის ხაფანგში. შექმენით მხოლოდ პაროლები, შეინახეთ ისინი ადგილებზე და დარჩით ჩვენთან, რადგან, როგორც ვიცით, ზედმეტი უსაფრთხოება არ არსებობს.
სოციალური ინჟინერიის მეთოდები - ეს არის ის, რაც განხილული იქნება ამ სტატიაში, ისევე როგორც ყველაფერი, რაც დაკავშირებულია ადამიანების მანიპულირებასთან, ფიშინგთან და კლიენტთა მონაცემთა ბაზების ქურდობასთან და სხვა. ანდრეი სერიკოვმა სიამოვნებით მოგვაწოდა ინფორმაცია, რომლის ავტორიც ის არის, რისთვისაც დიდი მადლობა მას.
ა. სერიკოვი
ა.ბ.ბოროვსკი
სოციალური ჰაკინგის საინფორმაციო ტექნოლოგიები
შესავალი
კაცობრიობის სურვილმა, მიაღწიოს დაკისრებული ამოცანების სრულყოფილ შესრულებას, ემსახურებოდა თანამედროვე კომპიუტერული ტექნოლოგიების განვითარებას და ადამიანების კონფლიქტური მოთხოვნების დაკმაყოფილების მცდელობებმა განაპირობა პროგრამული პროდუქტების განვითარება. ეს პროგრამული პროდუქტები არა მხოლოდ ინარჩუნებს ტექნიკის ფუნქციონირებას, არამედ მართავს მას.
ადამიანისა და კომპიუტერის შესახებ ცოდნის განვითარებამ განაპირობა ფუნდამენტურად ახალი ტიპის სისტემის - „ადამიანი-მანქანის“ გაჩენა, სადაც ადამიანი შეიძლება განლაგდეს როგორც აპარატურა, რომელიც მუშაობს სტაბილური, ფუნქციონალური, მრავალფუნქციური მოქმედების კონტროლის ქვეშ. სისტემა სახელწოდებით "ფსიქიკა".
ნაშრომის საგანია სოციალური ჰაკერების განხილვა, როგორც სოციალური პროგრამირების ფილიალი, სადაც ხდება ადამიანის მანიპულირება ადამიანური სისუსტეების, ცრურწმენების და სტერეოტიპების დახმარებით სოციალურ ინჟინერიაში.
სოციალური ინჟინერია და მისი მეთოდები
ადამიანთა მანიპულირების მეთოდები დიდი ხანია ცნობილია, ისინი ძირითადად სოციალურ ინჟინერიაში მოდიოდნენ სხვადასხვა სადაზვერვო სამსახურის არსენალიდან.
კონკურენტული დაზვერვის პირველი ცნობილი შემთხვევა თარიღდება ძვ.
სოციალური ინჟინერია არის მეცნიერება, რომელიც განისაზღვრება, როგორც ადამიანური ქცევის მანიპულირების მეთოდების ერთობლიობა, რომელიც დაფუძნებულია ადამიანური ფაქტორის სისუსტეების გამოყენებაზე, ტექნიკური საშუალებების გამოყენების გარეშე.
ბევრი ექსპერტის აზრით, ინფორმაციული უსაფრთხოების უდიდეს საფრთხეს უქმნის სოციალური ინჟინერიის მეთოდები, თუნდაც იმიტომ, რომ სოციალური ჰაკერების გამოყენება არ საჭიროებს მნიშვნელოვან ფინანსურ ინვესტიციებს და კომპიუტერული ტექნოლოგიების საფუძვლიან ცოდნას, ასევე იმის გამო, რომ ადამიანებს აქვთ გარკვეული ქცევითი მიდრეკილებები, რაც შეიძლება გამოიყენება ფრთხილად მანიპულირებისთვის.
და რაც არ უნდა გაუმჯობესდეს ტექნიკური დაცვის სისტემები, ადამიანები დარჩებიან ადამიანებად თავიანთი სისუსტეებით, ცრურწმენებით, სტერეოტიპებით, რომელთა დახმარებითაც ხდება მენეჯმენტი. ადამიანის „უსაფრთხოების პროგრამის“ დაყენება ყველაზე რთული ამოცანაა და ყოველთვის არ იწვევს გარანტირებულ შედეგებს, რადგან ეს ფილტრი მუდმივად უნდა იყოს მორგებული. აქ უსაფრთხოების ყველა ექსპერტის მთავარი დევიზი უფრო აქტუალური ჟღერს, ვიდრე ოდესმე: „უსაფრთხოება პროცესია და არა შედეგი“.
სოციალური ინჟინერიის გამოყენების სფეროები:
- ორგანიზაციის მუშაობის ზოგადი დესტაბილიზაცია მისი გავლენის შესამცირებლად და ორგანიზაციის შემდგომი სრული განადგურების შესაძლებლობის შესამცირებლად;
- ფინანსური თაღლითობა ორგანიზაციებში;
- ფიშინგი და პაროლების მოპარვის სხვა მეთოდები ფიზიკური პირების პერსონალურ საბანკო მონაცემებზე წვდომის მიზნით;
- კლიენტების მონაცემთა ბაზების ქურდობა;
- კონკურენტული ინტელექტი;
- ზოგადი ინფორმაცია ორგანიზაციის, მისი ძლიერი და სუსტი მხარეების შესახებ, ამ ორგანიზაციის შემდგომი განადგურების მიზნით ამა თუ იმ გზით (ხშირად გამოიყენება რეიდერული თავდასხმებისთვის);
- ინფორმაცია ყველაზე პერსპექტიული თანამშრომლების შესახებ თქვენი ორგანიზაციაში მათი შემდგომი „მოზიდვის“ მიზნით;
სოციალური პროგრამირება და სოციალური ჰაკინგი
სოციალურ პროგრამირებას შეიძლება ეწოდოს გამოყენებითი დისციპლინა, რომელიც ეხება მიზანმიმართულ გავლენას ადამიანზე ან ადამიანთა ჯგუფზე, რათა შეცვალოს ან შეინარჩუნოს მათი ქცევა სასურველი მიმართულებით. ამრიგად, სოციალური პროგრამისტი საკუთარ თავს უსახავს მიზანს: დაეუფლოს ადამიანების მართვის ხელოვნებას. სოციალური პროგრამირების ძირითადი კონცეფცია არის ის, რომ ბევრი ადამიანის ქმედება და მათი რეაქცია ამა თუ იმ გარე ზემოქმედებაზე ხშირ შემთხვევაში პროგნოზირებადია.
სოციალური პროგრამირების მეთოდები მიმზიდველია, რადგან ან მათ შესახებ ვერავინ გაიგებს, ან თუნდაც ვინმემ გამოიცნოს რაიმე, ასეთი ფიგურის პასუხისგებაში მიცემა ძალიან რთულია, ზოგიერთ შემთხვევაში კი შესაძლებელია ადამიანების ქცევის „დაპროგრამება“ და ერთი ადამიანი და დიდი ჯგუფი. ეს შესაძლებლობები სოციალური ჰაკერების კატეგორიას მიეკუთვნება სწორედ იმიტომ, რომ ყველა მათგანში ადამიანები ასრულებენ სხვის ნებას, თითქოს ემორჩილებიან სოციალური ჰაკერის მიერ დაწერილ „პროგრამას“.
სოციალური ჰაკერი, როგორც პიროვნების გატეხვის და სასურველი მოქმედებების შესასრულებლად დაპროგრამების უნარი მომდინარეობს სოციალური პროგრამიდან - სოციალური ინჟინერიის გამოყენებითი დისციპლინა, სადაც ამ დარგის სპეციალისტები - სოციალური ჰაკერები - იყენებენ ფსიქოლოგიური გავლენისა და მოქმედების ტექნიკას, ნასესხები არსენალიდან. სადაზვერვო სამსახურების.
სოციალური ჰაკინგი გამოიყენება უმეტეს შემთხვევაში, როდესაც საქმე ეხება ადამიანზე თავდასხმას, რომელიც არის კომპიუტერული სისტემის ნაწილი. კომპიუტერული სისტემა, რომელიც გატეხილია, თავისთავად არ არსებობს. ის შეიცავს მნიშვნელოვან კომპონენტს - ადამიანს. ინფორმაციის მისაღებად კი სოციალურმა ჰაკერმა უნდა გატეხოს ადამიანი, რომელიც მუშაობს კომპიუტერთან. უმეტეს შემთხვევაში ამის გაკეთება უფრო ადვილია, ვიდრე მსხვერპლის კომპიუტერის გატეხვა პაროლის გასარკვევად.
ტიპიური გავლენის ალგორითმი სოციალურ ჰაკერებში:
სოციალური ჰაკერების ყველა შეტევა ჯდება ერთ საკმაოდ მარტივ სქემაში:
- ჩამოყალიბებულია კონკრეტულ ობიექტზე ზემოქმედების მიზანი;
- ობიექტის შესახებ ინფორმაცია გროვდება გავლენის ყველაზე მოსახერხებელი სამიზნეების გამოსავლენად;
- შეგროვებული ინფორმაციის საფუძველზე ხორციელდება ეტაპი, რომელსაც ფსიქოლოგები ატრაქციონს უწოდებენ. ატრაქცია (ლათინური Attrahere - მოზიდვა, მოზიდვა) არის ობიექტზე ზემოქმედების აუცილებელი პირობების შექმნა;
- სოციალური ჰაკერის იძულება მოქმედებისკენ;
იძულება მიიღწევა წინა ეტაპების შესრულებით, ანუ მიზიდულობის მიღწევის შემდეგ მსხვერპლი თავად იღებს სოციალური ინჟინრისთვის აუცილებელ მოქმედებებს.
შეგროვებული ინფორმაციის საფუძველზე, სოციალური ჰაკერები საკმაოდ ზუსტად პროგნოზირებენ მსხვერპლის ფსიქო- და სოციოტიპს, იდენტიფიცირებენ არა მხოლოდ საკვების, სექსის და ა.შ., არამედ სიყვარულის, ფულის, კომფორტის საჭიროებას და ა.შ. ., და ა.შ.
და მართლაც, რატომ ცდილობთ შეაღწიოთ ამა თუ იმ კომპანიაში, გატეხოთ კომპიუტერები, ბანკომატები, მოაწყოთ რთული კომბინაციები, როცა ყველაფერი მარტივად შეგიძლიათ: შეგიყვარდეთ ადამიანი, რომელიც თავისი ნებით გადარიცხავს ფულს მითითებული ანგარიში ან გააზიაროთ საჭირო ფული ყოველ ჯერზე ინფორმაციას?
გამომდინარე იქიდან, რომ ადამიანების ქმედებები პროგნოზირებადია და ასევე ექვემდებარება გარკვეულ კანონებს, სოციალური ჰაკერები და სოციალური პროგრამისტები იყენებენ როგორც ორიგინალურ მრავალსაფეხურს, ასევე მარტივ პოზიტიურ და უარყოფით ტექნიკას, რომელიც დაფუძნებულია ადამიანის ცნობიერების ფსიქოლოგიაზე, ქცევის პროგრამებზე, შინაგანი ორგანოების ვიბრაციაზე, ლოგიკურზე. აზროვნება, წარმოსახვა, მეხსიერება, ყურადღება. ეს ტექნიკა მოიცავს:
ხის გენერატორი - წარმოქმნის იმავე სიხშირის რხევებს, როგორც შინაგანი ორგანოების რხევების სიხშირე, რის შემდეგაც შეინიშნება რეზონანსული ეფექტი, რის შედეგადაც ადამიანი იწყებს ძლიერი დისკომფორტის შეგრძნებას და პანიკის მდგომარეობას;
ზემოქმედება ბრბოს გეოგრაფიაზე - უკიდურესად საშიში აგრესიული, ადამიანთა დიდი ჯგუფების მშვიდობიანი დაშლის მიზნით;
მაღალი სიხშირის და დაბალი სიხშირის ხმები - პანიკის პროვოცირება და მისი საპირისპირო ეფექტი, ასევე სხვა მანიპულაციები;
სოციალური იმიტაციის პროგრამა - ადამიანი განსაზღვრავს მოქმედებების სისწორეს იმის გარკვევით, თუ რა ქმედებებს თვლიან სხვები სწორად;
claquering პროგრამა - (სოციალური იმიტაციის საფუძველზე) აუდიტორიის საჭირო რეაქციის ორგანიზება;
რიგების ფორმირება - (სოციალური იმიტაციის საფუძველზე) მარტივი, მაგრამ ეფექტური სარეკლამო ნაბიჯი;
ურთიერთდახმარების პროგრამა - ადამიანი ცდილობს სიკეთე გადაუხადოს იმ ადამიანებს, ვინც მას სიკეთე გაუკეთა. ამ პროგრამის შესრულების სურვილი ხშირად ყოველგვარ მიზეზს აღემატება;
სოციალური ჰაკინგი ინტერნეტში
ინტერნეტის მოსვლასთან და განვითარებასთან ერთად - ვირტუალური გარემო, რომელიც შედგება ადამიანებისგან და მათი ურთიერთქმედებისგან, გაფართოვდა გარემო ადამიანზე მანიპულირებისთვის საჭირო ინფორმაციის მისაღებად და საჭირო მოქმედებების შესასრულებლად. დღესდღეობით ინტერნეტი არის მსოფლიო მაუწყებლობის საშუალება, თანამშრომლობის, კომუნიკაციის საშუალება და მოიცავს მთელ მსოფლიოში. სწორედ ამას იყენებენ სოციალური ინჟინრები თავიანთი მიზნების მისაღწევად.
ინტერნეტის საშუალებით ადამიანზე მანიპულირების გზები:
თანამედროვე სამყაროში თითქმის ყველა კომპანიის მფლობელმა უკვე გააცნობიერა, რომ ინტერნეტი არის ძალიან ეფექტური და მოსახერხებელი საშუალება მათი ბიზნესის გაფართოებისთვის და მისი მთავარი ამოცანაა მთელი კომპანიის მოგების გაზრდა. ცნობილია, რომ ინფორმაციის გარეშე, რომელიც მიმართულია სასურველ ობიექტზე ყურადღების მიქცევაზე, მის მიმართ ინტერესის გამომუშავებაზე ან შენარჩუნებაზე და ბაზარზე პოპულარიზაციაზე, გამოიყენება რეკლამა. მხოლოდ იმის გამო, რომ სარეკლამო ბაზარი დიდი ხანია იყოფა, მეწარმეების უმეტესობისთვის რეკლამის უმეტესობა ფუჭად იხარჯება. ინტერნეტ რეკლამა არ არის მხოლოდ რეკლამის ერთ-ერთი სახეობა მედიაში, ეს არის რაღაც მეტი, რადგან ინტერნეტ რეკლამის დახმარებით თანამშრომლობით დაინტერესებული ადამიანები მოდიან ორგანიზაციის ვებსაიტზე.
ინტერნეტ რეკლამას, მედიაში რეკლამისგან განსხვავებით, სარეკლამო კომპანიის მართვის ბევრად მეტი შესაძლებლობა და პარამეტრი აქვს. ინტერნეტ რეკლამის ყველაზე მნიშვნელოვანი მაჩვენებელი ისაა ინტერნეტ რეკლამის საფასური ჩამოიჭრება მხოლოდ გადართვისასდაინტერესებული მომხმარებელი სარეკლამო ბმულის საშუალებით, რაც რა თქმა უნდა, რეკლამას ინტერნეტში უფრო ეფექტურს და ნაკლებ ხარჯს ხდის, ვიდრე მედიაში რეკლამას. ამრიგად, ტელევიზიაში ან ბეჭდურ მედიაში რეკლამის წარდგენის შემდეგ, ისინი იხდიან მას სრულად და უბრალოდ ელიან პოტენციურ კლიენტებს, მაგრამ კლიენტებს შეუძლიათ უპასუხონ რეკლამას თუ არა - ეს ყველაფერი დამოკიდებულია წარმოების ხარისხზე და რეკლამის პრეზენტაციაზე ტელევიზიაში ან გაზეთებში. თუმცა, სარეკლამო ბიუჯეტი უკვე დახარჯულია იმ შემთხვევაში, თუ რეკლამა არ მუშაობდა, ის დაიხარჯა. ასეთი მედია რეკლამისგან განსხვავებით, ინტერნეტ რეკლამას აქვს შესაძლებლობა თვალყური ადევნოს აუდიტორიის პასუხს და მართოს ინტერნეტ რეკლამა მისი ბიუჯეტის დახარჯვამდე; უფრო მეტიც, ინტერნეტ რეკლამა შეიძლება შეჩერდეს, როდესაც პროდუქტებზე მოთხოვნა გაიზრდება და განახლდება, როდესაც მოთხოვნა იკლებს.
გავლენის კიდევ ერთი მეთოდია ეგრეთ წოდებული „ფორუმების მოკვლა“, სადაც სოციალური პროგრამირების დახმარებით ქმნიან კონკრეტული პროექტის ანტირეკლამას. ამ შემთხვევაში სოციალური პროგრამისტი აშკარა პროვოკაციული ქმედებების დახმარებით ანადგურებს ფორუმს მარტო რამდენიმე ფსევდონიმით ( მეტსახელი) თავის ირგვლივ ანტილიდერ ჯგუფის შექმნა და ადმინისტრაციის ქცევით უკმაყოფილო პროექტში რეგულარული ვიზიტორების მოზიდვა. ასეთი ღონისძიებების ბოლოს შეუძლებელი ხდება ფორუმზე პროდუქტების ან იდეების პოპულარიზაცია. სწორედ ამისთვის შეიქმნა ფორუმი თავდაპირველად.
ადამიანზე ზემოქმედების მეთოდები ინტერნეტის საშუალებით სოციალური ინჟინერიის მიზნით:
ფიშინგი არის ინტერნეტ თაღლითობის ტიპი, რომელიც მიზნად ისახავს მომხმარებლის კონფიდენციალურ მონაცემებზე წვდომის მოპოვებას - შესვლასა და პაროლებს. ეს ოპერაცია მიიღწევა პოპულარული ბრენდების სახელით ელექტრონული ფოსტის მასიური გაგზავნით, ასევე პერსონალური შეტყობინებებით სხვადასხვა სერვისებში (Rambler), ბანკებში ან სოციალურ ქსელებში (Facebook). წერილი ხშირად შეიცავს ბმულს ვებსაიტზე, რომელიც გარეგნულად არ განსხვავდება რეალურისგან. მას შემდეგ, რაც მომხმარებელი მოხვდება ყალბ გვერდზე, სოციალური ინჟინრები იყენებენ სხვადასხვა ტექნიკას, რათა წაახალისონ მომხმარებელი შეიყვანოს თავისი ლოგინი და პაროლი გვერდზე, რომელსაც ის იყენებს კონკრეტულ საიტზე წვდომისთვის, რაც საშუალებას აძლევს მას მიიღოს წვდომა ანგარიშებსა და საბანკო ანგარიშებზე.
ფიშინგზე უფრო საშიში თაღლითობის სახეობაა ე.წ.
ფარმინგი არის მომხმარებელთა ფარული გადამისამართების მექანიზმი ფიშინგ საიტებზე. სოციალური ინჟინერი ავრცელებს სპეციალურ მავნე პროგრამებს მომხმარებელთა კომპიუტერებზე, რომლებიც კომპიუტერზე გაშვებისთანავე გადამისამართება საჭირო საიტებიდან ყალბებზე. ამრიგად, თავდასხმა არის უაღრესად გასაიდუმლოებული, ხოლო მომხმარებლის მონაწილეობა მინიმუმამდეა დაყვანილი - საკმარისია დაველოდოთ, სანამ მომხმარებელი გადაწყვეტს ეწვიოს სოციალური ინჟინერისთვის საინტერესო საიტებს.
დასკვნა
სოციალური ინჟინერია არის მეცნიერება, რომელიც წარმოიშვა სოციოლოგიიდან და ამტკიცებს, რომ არის ცოდნის კომპლექსი, რომელიც წარმართავს, აწესრიგებს და ოპტიმიზაციას უკეთებს ახალი („ხელოვნური“) სოციალური რეალობის შექმნის, მოდერნიზაციისა და რეპროდუცირების პროცესს. გარკვეულწილად, ის „ასრულებს“ სოციოლოგიურ მეცნიერებას, ასრულებს მას მეცნიერული ცოდნის გადაქცევის ფაზაში სოციალური ინსტიტუტების მოდელებად, პროექტებად და დიზაინებად, ღირებულებებად, ნორმებად, საქმიანობის ალგორითმებად, ურთიერთობებზე, ქცევაზე და ა.შ.
მიუხედავად იმისა, რომ სოციალური ინჟინერია შედარებით ახალგაზრდა მეცნიერებაა, ის დიდ ზიანს აყენებს საზოგადოებაში მიმდინარე პროცესებს.
ამ დესტრუქციული მეცნიერების გავლენისგან დაცვის უმარტივესი მეთოდებია:
ხალხის ყურადღების მიქცევა უსაფრთხოების საკითხებზე.
მომხმარებლები ხვდებიან პრობლემის სერიოზულობას და იღებენ სისტემის უსაფრთხოების პოლიტიკას.
ლიტერატურა
1. R. Petersen Linux: The Complete Guide: trans. ინგლისურიდან - მე-3 გამოცემა. - კ.: BHV Publishing Group, 2000. – 800გვ.
2. გროდნევის ინტერნეტიდან თქვენს სახლში. - M.: “RIPOL CLASSIC”, 2001. -480გვ.
3. M.V. Kuznetsov სოციალური ინჟინერია და სოციალური ჰაკინგი. სანქტ-პეტერბურგი: BHV-Petersburg, 2007. - 368 გვ.: ill.
ნაწილი 1 (სტატიის სიდიდის გამო ნაწილებად დაიშალა. როგორც კი 50 ნახვას ვაგროვებ, მეორეს ვდებ).
ბევრ ნამდვილ ჰაკერს, რომელიც გამუდმებით ჰაკერებს ეწევა, ყოველთვის აქვს რამდენიმე SI ხრიკი მარაგში, რადგან იქ, სადაც შეუძლებელია დაუცველობის პოვნა კოდში, ის ხშირად გვხვდება დამხმარე სერვისის გონებაში ან ელ.ფოსტის მფლობელში. -ფოსტა, ICQ ან ვებსაიტი...
თეორიიდან პრაქტიკამდე
თქვენ უკვე წაიკითხეთ რა არის სოციალური ინჟინერია თქვენი საყვარელი ჟურნალის ერთ-ერთ წინა ნომერში, ასე რომ, თამამად შეგვიძლია ვთქვათ, რომ აპარატურა წარმატებით იქნა ათვისებული. ახლა მე ვთავაზობ პრაქტიკაში გასეირნებას.
სოციალური ინჟინრები ძალიან სასიამოვნო ადამიანები არიან სასაუბროდ: კულტურული, მეგობრული, დიდი იუმორის გრძნობით. მათ აქვთ წარმოუდგენლად მოქნილი გონება, ინოვაციური აზროვნება და ბევრი იდეა, თუ როგორ უფრო ეფექტურად მიაღწიონ თავიანთ მიზნებს. სწორედ მათ მივმართე მასალის მომზადებაში დახმარებისთვის. ჩვენი კონსულტანტები იქნებიან: GoodGod - ერთ-ერთი ყველაზე პოპულარული რუსულენოვანი პროექტის შემქმნელი სოციალური ინჟინერიის socialware.ru; აიუმი (spylabs.org); ივანე ადამიანის ტვინის გატეხვის კიდევ ერთი ოსტატია, რომელსაც ინკოგნიტოდ დარჩენა სურდა.
წადი!
ICQ ნომრის გატაცება (პირველადი ელფოსტის გარეშე)
ICQ-ის გატაცებისთვის დაგჭირდებათ:
- დომენების სია მათზე რეგისტრირებული ელ. ფოსტით (როგორ მივიღოთ ისინი - წაიკითხეთ ][ 2009 წლის დეკემბრის ნომერში, ვიდეო „დომენების მასობრივი გატაცება“ GoodGod-ისგან);
- ICQ ნომერი, საიდანაც მოხდება თავდაპირველი შეტევა;
- SEO-ს სპეციალისტისთვის გაცემული ICQ ნომერი (ინფორმაციაში შესაბამისი მონაცემებით და დეტალებით).
თუ არ გსურთ დაუყოვნებლივ გაცნობა, შეწყვიტეთ ეს საუბარი ცოტა ხნით, რადგან თუ ძალიან დააჭერთ, ეფექტი შეიძლება იყოს საპირისპირო; ჯობია ცოტა მოგვიანებით დავუბრუნდეთ ამას სხვა საბაბით.
სხვათა შორის, თუ მსხვერპლი ბუნებრივად მორცხვია, არ აიძულებთ მას უცხო ადამიანთან კონტაქტის დამყარებას, ამიტომ მოგიწევთ „სიტინგით“ ჩართვა, რათა გაცნობა მართლაც მოხდეს. ასე რომ, კლიენტი მიმართავს SEO მეგობარს (ანუ თქვენ). აჩვენეთ ჯანსაღი უნდობლობა თავიდანვე კითხვების დასმით, როგორიცაა „სად გაიგეთ პროექტის შესახებ? საშასგან? აჰ, საშა... დიახ, მახსოვს. კარგი, ახლა მე გეტყვით სამუშაოს არსს. ” შემდეგი, გვითხარით ICQ Search პროექტის, ვებსაიტის პოპულარიზაციის შესახებ, აღწერეთ გადახდის ვარიანტები (200 რუბლი დღეში ან 1400 კვირაში - მიეცით მას აირჩიოს ვარიანტი, რომელიც მისთვის მოსახერხებელია). გამუდმებით გაამახვილეთ "კლიენტის" ყურადღება რეალისტურ დეტალებზე, ასე რომ თქვენ გადაიტანთ მას ზედმეტი ფიქრებისგან. რაც უფრო ინტენსიური იქნება თავდასხმა და რაც მეტია ახალი ინფორმაცია, მით ნაკლები დრო რჩება მას იმაზე ფიქრისთვის, რაც ხდება. და ბოლოს, აღწერეთ ფულის შოვნის სქემა: მიეცით საშუალება, თავიდანვე მომზადებული სიიდან შეარჩიოს საიტი, გადახედოს ვინ არის იმ ელ. ფოსტაზე, რომელზეც საიტია მიბმული (დაე, თავად გააკეთოს ეს) და შეიყვანოს „ელ.ფოსტაში“ ” ველი მის ICQ პროფილში. აუცილებლად აუხსენით, რომ თუ ICQ და დომენის მონაცემებში ერთი და იგივე ელფოსტა არის მითითებული, რაც უფრო ხშირად ეძებენ ICQ-ს, მით უფრო მაღალია საიტის რეიტინგი საძიებო სისტემაში. როგორც კი მსხვერპლი დაასრულებს დაკავშირებას, თქვენ აღადგენთ პაროლს მითითებულ ელ. ფოსტაზე და UIN თქვენია!
თუ პაროლი ელექტრონული ფოსტით არ მოდის, ეს ნიშნავს, რომ ნომერს უკვე აქვს პირველადი ფოსტა და გატაცება სხვაგვარად უნდა იყოს ორგანიზებული.
ფოსტის გატეხვა
გაიგე პასუხი საიდუმლო კითხვაზე
ფოსტის სერვერებზე კითხვები, როგორც წესი, საკმაოდ მსგავსია:
- Დედის ქალიშვილობის გვარი;
- Საყვარელი კერძი;
- Ცხოველის სახელი;
- Პასპორტის ნომერი;
- პირადი შეკითხვა (პირველი მასწავლებლის სახელი; ინდექსი; საყვარელი ფილმი; საყვარელი შემსრულებელი).
რა სქემები მუშაობს? დედის ქალიშვილობის გვარი - დაიწყეთ თემა ოჯახის ხეზე ან რა სასაცილო გვარი ჰქონდა დედას ქორწინებამდე. საყვარელი კერძი - აქ ყველაფერი გასაგებია. ცხოველის სახელი - საუბარი შინაურ ცხოველებზე: წარსული, აწმყო და მომავალი, რადგან კოდი სიტყვა შეიძლება იყოს პირველი შემოწირული ზაზუნის სახელი. პასპორტის ნომრით უფრო რთული იქნება. აქ შეიძლება გაგიჩნდეთ ცდუნება იყიდოთ იაფფასიანი, მწირი პროდუქტი, მაგალითად, რომელიც მიწოდებისთანავე გადახდილია, მაგრამ შეკვეთის გასაკეთებლად გჭირდებათ თქვენი პასპორტის მონაცემები და საიდენტიფიკაციო კოდი. პირველი მასწავლებლის სახელი შეგიძლიათ გაიგოთ მსხვერპლის თანაკლასელებისგან, ან პირდაპირ ისაუბროთ მის საყვარელ მასწავლებლებზე; ინდექსის მიღება უფრო ადვილია ქალაქის მონაცემთა ბაზის ჩამოტვირთვით და თქვენ შეგიძლიათ უბრალოდ გაარკვიოთ მსხვერპლისგან, რომელ რაიონში ცხოვრობს. აქ მთავარია გამომგონებლობა, ფანტაზია და მოთმინება.
არის ერთი პატარა, მაგრამ მნიშვნელოვანი ნიუანსი. ხანდახან კითხვაზე „საყვარელი კერძი“, პასუხი შეიძლება იყოს, მაგალითად, ტელეფონის ნომერი, ანუ სრული შეუსაბამობა კითხვასა და პასუხს შორის. აქ მოგიწევთ საუბარი სასაცილო კომბინაციებზე და უსაფრთხოების კითხვების უაზრობაზე, შემდეგ კი თავიდან დაიწყოთ, სასურველია სხვა ანგარიშით.
დაუკავშირდით მომხმარებელთა მხარდაჭერას
ეს მეთოდი უფრო შრომატევადი და საშინელია, მაგრამ საჭიროა, თუ მსხვერპლს არ სურს „ინექციების გაკეთება“, ან თუ ყუთი „მკვდარია“, ანუ მფლობელს დიდი ხანია არ ეწვია. ამისათვის გადადით სასურველი ელ.ფოსტის სერვისის მხარდაჭერის გვერდზე და დაწერეთ წერილი მოპარული პაროლის აღდგენის თხოვნით. დიდი ალბათობით, მოგეთხოვებათ თქვენი სახელი, გვარი (ან მონაცემები, რომლებიც მითითებული იყო რეგისტრაციისას), დაბადების თარიღი და ყუთის რეგისტრაციის სავარაუდო თარიღი (მინიმუმ ერთი წელი). ამიტომ, შეეცადეთ გაიგოთ რაც შეიძლება მეტი ინფორმაცია მსხვერპლისა და მისი ყუთის შესახებ. ამაში საძიებო სისტემები, სოციალური ქსელები და ბლოგები დაგეხმარებათ.
ფიშინგი
პაროლის მოპოვების ერთ-ერთი ყველაზე ეფექტური გზა მფლობელმა ამის შესახებ არც კი იცის. მსხვერპლს სთავაზობენ ლინკს, რომ მიჰყვეს და შეიყვანოთ მისი მომხმარებლის სახელი და პაროლი. ეს მონაცემები იგზავნება ანგარიშის ფაილში, მონაცემთა ბაზაში (თუ ქურდობა მასიურია) ან ელფოსტაზე. მთავარი ხრიკი არის აიძულოთ მსხვერპლი დააჭიროს ამ ბმულს. ფორმა შეიძლება იყოს ნებისმიერი:
- შეტყობინება „ადმინისტრაციისგან“ (წაიკითხეთ: ფოსტის სერვისიდან გაყალბებული მისამართით) სპამის შესახებ ამ საფოსტო ყუთიდან. მაგალითი: „ძვირფასო მომხმარებელო, (მომხმარებლის სახელი)! თქვენმა ანგარიშმა მიიღო საჩივრები სპამის შესახებ და, შესაბამისად, ადმინისტრაციას უფლება აქვს დროებით შეაჩეროს ან დაბლოკოს მისი ფუნქციონირება. სავსებით შესაძლებელია, რომ თავდამსხმელებმა მასზე წვდომა მიიღეს. თქვენი ანგარიშის მფლობელობის დასადასტურებლად, ხელახლა დაუშვით ავტორიზაცია ამ ბმულის გამოყენებით (გაყალბების ჰიპერბმული). თუ 5 დღის განმავლობაში არ იქნება დადასტურება, ფოსტის ანგარიში დაიბლოკება. პატივისცემით, მხარდაჭერის სერვისი (ფოსტის სერვისის სახელი)." თამაში ყუთის დაკარგვის შიშზე.
- იცოდეთ მსხვერპლის ჰობიების შესახებ, შეგიძლიათ დაინტერესდეთ. მაგალითად, წერილი საინტერესო თემით, რომელშიც ინფორმაციის მხოლოდ ნაწილია გაშუქებული, დანარჩენი კი ბმულზე დაწკაპუნებით. ბმული მიდის ფსევდო-შესვლის გვერდზე და დანარჩენი ინფორმაციის წაკითხვა შეგიძლიათ მხოლოდ შესვლის შემდეგ.
მეურნეობა
ასევე ხდება, რომ მსხვერპლი არის საკმარისად ჭკვიანი (ან გულგრილი), რომ არ დააჭიროს ბმულებს. ამ შემთხვევაში, თქვენ მოგიწევთ მიმართოთ ტროიანებს/ჯოინერებს/სკრიპტებს HOSTS ფაილით მანიპულირებისთვის, ან მისი პროვაიდერის DNS ან DHCP სერვერის გატეხვის მიზნით. ამავდროულად, როდესაც მომხმარებელი მიდის საიტზე ელ.ფოსტის შესამოწმებლად, გადამისამართება ხდება ზუსტად იმავეზე, მხოლოდ ფიშინგზე. არაფერში ეჭვი არ ეპარება, მომხმარებელი შეაქვს თავის მონაცემებს და შიდა ავტორიზაციის სკრიპტის გამოყენებით, შედის მის "მშობლიურ" ელ.წერილში, ხოლო შესვლა და პაროლი იგზავნება თქვენს ელ.ფოსტაზე. სილამაზე ის არის, რომ მსხვერპლმა არც კი იცის რა მოხდა.
ბოლო წლების განმავლობაში, კიბერკრიმინალებმა სოციალური ინჟინერიის ტექნიკის გამოყენებით მიიღეს უფრო მოწინავე მეთოდები, რაც უფრო მეტად აიძულებს საჭირო ინფორმაციაზე წვდომას, საწარმოს თანამშრომლების და ზოგადად ადამიანების თანამედროვე ფსიქოლოგიის გამოყენებით. პირველი ნაბიჯი ამ ტიპის ხრიკების დასაძლევად არის თავად თავდამსხმელთა ტაქტიკის გაგება. მოდით შევხედოთ სოციალური ინჟინერიის რვა ძირითად მიდგომას.
შესავალი
90-იან წლებში „სოციალური ინჟინერიის“ კონცეფცია გამოიგონა კევინ მიტნიკმა, ინფორმაციული უსაფრთხოების სფეროში საკულტო ფიგურამ, ყოფილმა სერიოზულმა ჰაკერმა. თუმცა, თავდამსხმელები იყენებდნენ ასეთ მეთოდებს თავად ტერმინის გამოჩენამდე დიდი ხნით ადრე. ექსპერტები დარწმუნებულნი არიან, რომ თანამედროვე კიბერკრიმინალების ტაქტიკა ორი მიზნის მიღწევას უკავშირდება: პაროლების მოპარვას და მავნე პროგრამის დაყენებას.
თავდამსხმელები ცდილობენ გამოიყენონ სოციალური ინჟინერია ტელეფონის, ელექტრონული ფოსტისა და ინტერნეტის გამოყენებით. მოდით გავეცნოთ ძირითად მეთოდებს, რომლებიც კრიმინალებს ეხმარება მიიღონ მათთვის საჭირო კონფიდენციალური ინფორმაცია.
ტაქტიკა 1. ათი ხელის ჩამორთმევის თეორია
თავდამსხმელის მთავარი მიზანი, რომელიც იყენებს ტელეფონს სოციალური ინჟინერიისთვის, არის დაარწმუნოს თავისი მსხვერპლი ორ რამეში:
- დაზარალებული იღებს ზარს კომპანიის თანამშრომლისგან;
- ურეკავს უფლებამოსილი ორგანოს წარმომადგენელი (მაგალითად, სამართალდამცველი ან აუდიტორი).
თუ კრიმინალი საკუთარ თავს აკისრებს დავალებას შეაგროვოს მონაცემები გარკვეული თანამშრომლის შესახებ, მას შეუძლია პირველ რიგში დაუკავშირდეს კოლეგებს და ყველანაირად შეეცადოს გამოიტანოს მისთვის საჭირო მონაცემები.
გახსოვთ ექვსი ხელის ჩამორთმევის ძველი თეორია? უსაფრთხოების ექსპერტები ამბობენ, რომ კიბერდანაშაულსა და მის მსხვერპლს შორის მხოლოდ ათი „ხელის ჩამორთმევა“ შეიძლება. ექსპერტები თვლიან, რომ თანამედროვე პირობებში ყოველთვის უნდა გქონდეს პატარა პარანოია, რადგან არ იცი რა სურს შენგან ამა თუ იმ თანამშრომელს.
თავდამსხმელები, როგორც წესი, მიზნად ისახავს მდივანს (ან ვინმეს, ვინც მსგავს პოზიციას იკავებს), რათა შეაგროვოს ინფორმაცია იერარქიაში მაღლა მყოფი ადამიანების შესახებ. ექსპერტები აღნიშნავენ, რომ მეგობრული ტონი დიდად ეხმარება თაღლითებს. ნელ-ნელა, მაგრამ აუცილებლად, კრიმინალები იღებენ თქვენს გასაღებს, რაც მალევე მიგვიყვანს იმ ინფორმაციის გაზიარებამდე, რომელსაც აქამდე არასოდეს გაგიცხადებდით.
ტაქტიკა 2. კორპორატიული ენის შესწავლა
მოგეხსენებათ, თითოეულ ინდუსტრიას აქვს საკუთარი სპეციფიკური ფორმულირებები. თავდამსხმელის ამოცანა, რომელიც ცდილობს მოიპოვოს საჭირო ინფორმაცია, არის ასეთი ენის მახასიათებლების შესწავლა, რათა უფრო ოსტატურად გამოიყენოს სოციალური ინჟინერიის ტექნიკა.
ყველა სპეციფიკა მდგომარეობს კორპორატიული ენის, მისი ტერმინებისა და მახასიათებლების შესწავლაში. თუ კიბერკრიმინალი თავისი მიზნებისთვის ნაცნობ, ნაცნობ და გასაგებ ენაზე საუბრობს, ის უფრო ადვილად მოიპოვებს ნდობას და შეძლებს სწრაფად მოიპოვოს მისთვის საჭირო ინფორმაცია.
ტაქტიკა 3: ისესხე მუსიკა ზარების შესაჩერებლად
წარმატებული თავდასხმის განსახორციელებლად თაღლითებს სამი კომპონენტი სჭირდებათ: დრო, გამძლეობა და მოთმინება. ხშირად კიბერშეტევები სოციალური ინჟინერიის გამოყენებით ხორციელდება ნელა და მეთოდურად - აგროვებს არა მხოლოდ მონაცემებს სწორ ადამიანებზე, არამედ ე.წ. „სოციალური სიგნალების“ შესახებ. ეს კეთდება იმისათვის, რომ მოიპოვოს ნდობა და მოატყუოს მიზანი. მაგალითად, თავდამსხმელებს შეუძლიათ დაარწმუნონ ადამიანი, ვისთანაც ურთიერთობენ, რომ ისინი კოლეგები არიან.
ამ მიდგომის ერთ-ერთი მახასიათებელია მუსიკის ჩაწერა, რომელსაც კომპანია იყენებს ზარების დროს, ხოლო აბონენტი პასუხს ელოდება. კრიმინალი ჯერ ელოდება ასეთ მუსიკას, შემდეგ ჩაწერს და შემდეგ თავის სასარგებლოდ იყენებს.
ამრიგად, როდესაც მსხვერპლთან არის პირდაპირი დიალოგი, თავდამსხმელები რაღაც მომენტში ამბობენ: „მოითმინე ერთი წუთით, მეორე ხაზზე არის ზარი“. შემდეგ მსხვერპლი ესმის ნაცნობ მუსიკას და ეჭვი არ ეპარება, რომ აბონენტი წარმოადგენს გარკვეულ კომპანიას. არსებითად, ეს მხოლოდ ჭკვიანური ფსიქოლოგიური ხრიკია.
ტაქტიკა 4. ტელეფონის ნომრის გაყალბება (ჩანაცვლება).
კრიმინალები ხშირად იყენებენ ტელეფონის ნომრის გაყალბებას, რაც მათ ეხმარება აბონენტის ნომრის გაყალბებაში. მაგალითად, თავდამსხმელი შეიძლება იჯდეს თავის ბინაში და დაურეკოს დაინტერესებულ პირს, მაგრამ აბონენტის ID აჩვენებს კომპანიის კუთვნილ ნომერს, რაც ქმნის ილუზიას, რომ თაღლითი კორპორატიული ნომრით რეკავს.
რა თქმა უნდა, უეჭველი თანამშრომლები უმეტეს შემთხვევაში გადასცემენ სენსიტიურ ინფორმაციას, მათ შორის პაროლებს, აბონენტს, თუ აბონენტის ID ეკუთვნის მათ კომპანიას. ეს მიდგომა ასევე ეხმარება კრიმინალებს თვალთვალის თავიდან აცილებაში, რადგან თუ ამ ნომერზე დარეკავთ, თქვენ გადამისამართდებით კომპანიის შიდა ხაზზე.
ტაქტიკა 5: ახალი ამბების გამოყენება თქვენს წინააღმდეგ
როგორიც არ უნდა იყოს ამჟამინდელი ახალი ამბების სათაურები, თავდამსხმელები იყენებენ ამ ინფორმაციას, როგორც სატყუარას სპამის, ფიშინგისა და სხვა თაღლითური ქმედებებისთვის. ტყუილად არ არის, რომ ექსპერტებმა ბოლო დროს აღნიშნეს სპამის ელ.წერილების რაოდენობის ზრდა, რომელთა თემები საპრეზიდენტო კამპანიებსა და ეკონომიკურ კრიზისებს ეხება.
ამის მაგალითი იქნება ბანკზე ფიშინგის შეტევა. ელ.წერილში ნათქვამია მსგავსი რამ:
„სხვა ბანკი [ბანკის სახელი] იძენს თქვენს ბანკს [ბანკის სახელს]. დააწკაპუნეთ ამ ბმულზე, რათა დარწმუნდეთ, რომ თქვენი საბანკო ინფორმაცია განახლებულია გარიგების დახურვამდე."
ბუნებრივია, ეს არის ინფორმაციის მოპოვების მცდელობა, რომლითაც თაღლითებს შეუძლიათ შევიდნენ თქვენს ანგარიშში, მოიპარონ თქვენი ფული ან გაყიდონ თქვენი ინფორმაცია მესამე მხარეს.
ტაქტიკა 6: გამოიყენე ნდობა სოციალურ პლატფორმებზე
საიდუმლო არ არის, რომ Facebook, Myspace და LinkedIn ძალიან პოპულარული სოციალური ქსელებია. ექსპერტების კვლევების თანახმად, ადამიანები მიდრეკილნი არიან ენდობიან ასეთ პლატფორმებს. ბოლოდროინდელი შუბის ფიშინგის ინციდენტი, რომელიც მიზნად ისახავს LinkedIn-ის მომხმარებლებს, მხარს უჭერს ამ თეორიას.
ამრიგად, ბევრი მომხმარებელი ენდობა ელფოსტას, თუ ის აცხადებს, რომ ის Facebook-დანაა. გავრცელებული ტაქტიკაა იმის მტკიცება, რომ სოციალური ქსელი გადის მოვლას და ინფორმაციის განახლებისთვის საჭიროა „დააწკაპუნოთ აქ“. სწორედ ამიტომ ექსპერტები ურჩევენ, რომ საწარმოს თანამშრომლებმა ხელით შეიყვანონ ვებ მისამართები, რათა თავიდან აიცილონ ფიშინგის ბმულები.
ასევე გასათვალისწინებელია, რომ ძალიან იშვიათ შემთხვევებში, საიტები მომხმარებლებს სთხოვენ შეცვალონ პაროლი ან განაახლონ ანგარიში.
ტაქტიკა 7. Typesquatting
ეს მავნე ტექნიკა გამოირჩევა იმით, რომ თავდამსხმელები იყენებენ ადამიანურ შეცდომებს, კერძოდ, შეცდომებს URL მისამართის ზოლში შეყვანისას. ამრიგად, მხოლოდ ერთი ასოს შეცდომით მომხმარებელს შეუძლია აღმოჩნდეს თავდამსხმელების მიერ სპეციალურად ამ მიზნით შექმნილ ვებსაიტზე.
კიბერკრიმინალები გულდასმით ამზადებენ საფუძველს typosquatting-ისთვის, ასე რომ, მათი ვებსაიტი ზუსტად ისეთივე ლეგიტიმური იქნება, რომლის ნახვაც თავდაპირველად გინდოდათ. ამრიგად, თუ თქვენს ვებ მისამართს არასწორად დაწერთ, აღმოჩნდებით ლეგიტიმური საიტის ასლზე, რომლის მიზანია ან გაყიდოს რაიმე, ან მოიპაროს მონაცემები, ან გაავრცელოს მავნე პროგრამები.
ტაქტიკა 8. FUD-ის გამოყენება საფონდო ბირჟაზე ზემოქმედებისთვის
FUD არის ფსიქოლოგიური მანიპულირების ტაქტიკა, რომელიც გამოიყენება ზოგადად მარკეტინგსა და პროპაგანდაში, რომელიც მოიცავს ინფორმაციის წარმოდგენას რაიმეს (კერძოდ, პროდუქტის ან ორგანიზაციის) შესახებ ისე, რომ დათესოს აუდიტორიაში გაურკვევლობა და ეჭვი მის თვისებებთან დაკავშირებით და ამით გამოიწვიოს. ამის შიში.
Avert-ის უახლესი კვლევის თანახმად, პროდუქტების და თუნდაც მთელი კომპანიების უსაფრთხოებამ და დაუცველობამ შეიძლება გავლენა მოახდინოს საფონდო ბირჟაზე. მაგალითად, მკვლევარებმა შეისწავლეს ისეთი მოვლენების გავლენა, როგორიცაა Microsoft Patch Tuesday, კომპანიის აქციებზე, და აღმოაჩინეს შესამჩნევი რყევები ყოველთვიურად, მას შემდეგ, რაც ინფორმაცია გამოქვეყნდება დაუცველობის შესახებ.
თქვენ ასევე გახსოვთ, თუ როგორ 2008 წელს თავდამსხმელებმა გაავრცელეს ცრუ ინფორმაცია სტივ ჯობსის ჯანმრთელობის შესახებ, რამაც გამოიწვია Apple-ის აქციების მკვეთრი ვარდნა. ეს არის FUD-ის მავნე მიზნებისთვის გამოყენების ყველაზე ტიპიური მაგალითი.
გარდა ამისა, აღსანიშნავია ელ.ფოსტის გამოყენება „ტუმბო და გადაყრის“ ტექნიკის განსახორციელებლად (სქემა საფონდო ბირჟაზე ან კრიპტოვალუტის ბაზარზე გაცვლითი კურსით მანიპულირების სქემა შემდგომი კოლაფსით). ამ შემთხვევაში, თავდამსხმელებს შეუძლიათ გამოაგზავნონ ელ.წერილი, სადაც აღწერენ მათ მიერ წინასწარ შეძენილი აქციების გასაოცარ პოტენციალს.
ამრიგად, ბევრი შეეცდება რაც შეიძლება მალე შეიძინოს ეს აქციები და გაძვირდება.
დასკვნები
კიბერკრიმინალები ხშირად ძალიან კრეატიულები არიან სოციალური ინჟინერიის გამოყენებისას. მათი მეთოდების გაცნობის შემდეგ, შეგვიძლია დავასკვნათ, რომ სხვადასხვა ფსიქოლოგიური ხრიკები დიდად ეხმარება თავდამსხმელებს მიზნების მიღწევაში. აქედან გამომდინარე, ყურადღება უნდა მიაქციოთ ნებისმიერ წვრილმანს, რამაც შეიძლება უნებლიედ გამოავლინოს თაღლითი, შეამოწმოს და გადაამოწმოს ინფორმაცია თქვენთან დაკავშირებულ ადამიანებზე, განსაკუთრებით თუ კონფიდენციალურ ინფორმაციას განიხილავენ.