Techniki inżynierii społecznej. Podręcznik inżynierii społecznej. Typowy algorytm wpływu w hackingu społecznościowym

Techniki inżynierii społecznej Ludzki mózg to duży dysk twardy, repozytorium ogromnej ilości informacji. Zarówno właściciel, jak i każda inna osoba mogą korzystać z tych informacji. Jak mówią, gaduła jest darem niebios dla szpiega. Aby lepiej zrozumieć znaczenie poniższych zdań, powinieneś przynajmniej zapoznać się z podstawami psychologii.
Inżynieria społeczna nam na to pozwala „użyj mózgu” inną osobę różnymi metodami i uzyskać od niej niezbędne informacje.
Wiki mówi: „Inżynieria społeczna to metoda kontrolowania działań człowieka bez użycia środków technicznych”

Inżynieria społeczna- To rodzaj młodej nauki. Istnieje wiele metod i technik manipulowania ludzką świadomością. Kevin Mitnick miał rację, gdy mówił, że czasami łatwiej jest oszukać i zdobyć informacje, niż zhakować dostęp do nich. Przeczytaj w wolnym czasie książkę „Sztuka oszustwa”, spodoba ci się.
Istnieje odwrotna inżynieria społeczna, którego celem jest uzyskanie danych od samej ofiary. Z jego pomocą ofiara sama opowiada o swoich hasłach i danych.

W Internecie nie ma gestów, intonacji ani mimiki. Cała komunikacja opiera się na wiadomościach tekstowych. A Twój sukces w danej sytuacji zależy od tego, jak Twoje komunikaty wpływają na rozmówcę. Jakich technik można użyć, aby potajemnie manipulować świadomością danej osoby?

Irytujący
Ściśle mówiąc, jest to trolling. Doprowadzając człowieka do wściekłości, w większości przypadków traktuje on informacje bezkrytycznie. W tym stanie możesz narzucić lub otrzymać niezbędne informacje.

Miłość
Jest to być może najskuteczniejsza technika. W większości przypadków właśnie tego użyłem)). W stanie miłości człowiek niewiele postrzega i właśnie tego potrzebuje manipulator.

Obojętność
Tworzy się efekt obojętności manipulatora na dany temat, a rozmówca z kolei stara się go przekonać, wpadając tym samym w pułapkę i ujawniając potrzebne informacje.

Pośpiech
Często zdarzają się sytuacje, gdy manipulator rzekomo gdzieś się spieszy i ciągle to podpowiada, a jednocześnie celowo promuje potrzebne mu informacje.

Podejrzenie
Metoda podejrzeń jest nieco podobna do metody obojętności. W pierwszym przypadku ofiara udowadnia coś przeciwnego, w drugim ofiara stara się uzasadnić „swoje podejrzenia”, nie zdając sobie w ten sposób sprawy, że zdradza wszystkie informacje.

Ironia
Podobnie jak w przypadku techniki prowokacji. Manipulator denerwuje osobę ironią. On z kolei w gniewie nie jest w stanie krytycznie ocenić informacji. W efekcie w barierze psychologicznej powstaje dziura, którą manipulator wykorzystuje.

Szczerość
Kiedy manipulator przekazuje rozmówcy szczerą informację, rozmówca rozwija pewnego rodzaju relację zaufania, co oznacza osłabienie bariery ochronnej. Stwarza to lukę w obronie psychologicznej.

Opisane powyżej techniki nie wyczerpują w pełni potencjału inżynierii społecznej. Można o tych technikach i metodach rozmawiać i rozmawiać. Po przeczytaniu tych technik powinieneś zdać sobie sprawę, że nie musisz podążać za przykładem wszystkich. Naucz się panować nad sobą i swoją złością, a wtedy Twoja obrona będzie zawsze na właściwym poziomie.
Nasz trwa. Poczekaj na nowe artykuły))

Inżynieria społeczna — nieuprawniony dostęp do poufnych informacji poprzez manipulację świadomością człowieka. Metody inżynierii społecznej opierają się na osobliwościach psychologii i mają na celu wykorzystanie ludzkich słabości (naiwność, nieuwaga, ciekawość, interesy komercyjne). Są aktywnie wykorzystywane przez hakerów społecznościowych zarówno w Internecie, jak i poza nim.

Jednak w przypadku technologii cyfrowych, zasobów sieciowych, komputerów, smartfonów „mgła mózgowa” użytkowników sieci przebiega nieco inaczej. Oszuści umieszczają sidła, pułapki i inne sztuczki gdziekolwiek i w jakikolwiek sposób, w sieciach społecznościowych, na portalach graczy, w skrzynkach pocztowych i usługach online. Oto kilka przykładów metod inżynierii społecznej:

Jako prezent świąteczny... koń trojański

Niezależnie od charakteru, zawodu, wypłacalności finansowej, każdy człowiek z niecierpliwością czeka na święta: Nowy Rok, 1 maja, 8 marca, Walentynki itp., aby oczywiście je uczcić, zrelaksować się, napełnić swoją duchową aurę pozytywnością i jednocześnie gratuluj swoim przyjaciołom i towarzyszom.

W tej chwili szczególnie aktywni są hakerzy społecznościowi. W święta i święta wysyłają na konta serwisów e-mail pocztówki: jasne, kolorowe, z muzyką i... niebezpiecznym trojanem. Ofiara, nie wiedząc nic o takim oszustwie, będąc w euforii zabawy lub po prostu ciekawości, klika w pocztówkę. W tym samym momencie szkodliwe oprogramowanie infekuje system operacyjny, a następnie czeka na odpowiedni moment, aby ukraść dane rejestracyjne, numer karty płatniczej lub podmienić stronę sklepu internetowego w przeglądarce na fałszywą i ukraść pieniądze z konta.

Korzystne rabaty i wirus „załadowany”

Świetny przykład inżynierii społecznej. Chęć „oszczędzania” ciężko zarobionych pieniędzy jest w pełni uzasadniona i zrozumiała, ale w rozsądnych granicach i pod pewnymi warunkami. Chodzi o „nie wszystko złoto, co się świeci”.

Oszuści pod przykrywką największych marek, sklepów i serwisów internetowych, w odpowiednim designie oferują zakup towaru z niewiarygodną zniżką i oprócz zakupu otrzymują prezent... Tworzą fałszywe newslettery, tworzą grupy na portalach społecznościowych oraz tematyczne „wątki” na forach.

Naiwni zwykli ludzie, jak mówią, „kierują się” tym jasnym plakatem reklamowym: w pośpiechu liczą w głowach, ile im zostało z pensji, wpłacają zaliczkę i klikają link „kup”, „przejdź na stronę, aby kupić” itp. Następnie w 99 na 100 przypadków zamiast opłacalnego zakupu otrzymują na swój komputer wirusa lub bezpłatnie przesyłają pieniądze hakerom społecznościowym.

Darowizna gracza +300% do umiejętności kradzieży

W grach online i ogólnie w grach wieloosobowych, z nielicznymi wyjątkami, przetrwają najsilniejsi: ci, którzy mają silniejszy pancerz, obrażenia, silniejszą magię, więcej zdrowia, many itp.

I oczywiście każdy gracz chce za wszelką cenę zdobyć te cenne artefakty dla swojej postaci, czołgu, samolotu i kto wie, czego jeszcze. W bitwach lub kampaniach, własnymi rękami lub za prawdziwe pieniądze (funkcja darowizny) w wirtualnym sklepie gry. Być najlepszym, pierwszym... osiągnąć ostatni poziom rozwoju.

Oszuści wiedzą o tych „słabościach graczy” i na wszelkie możliwe sposoby kuszą graczy do zdobycia cennych artefaktów i umiejętności. Czasem za pieniądze, czasem za darmo, ale to nie zmienia istoty i celu nikczemnego spisku. Kuszące oferty na fałszywych stronach brzmią mniej więcej tak: „pobierz tę aplikację”, „zainstaluj łatkę”, „aby zdobyć przedmiot, przejdź do gry”.

W zamian za długo oczekiwany bonus konto gracza zostaje skradzione. Jeśli jest dobrze napompowany, złodzieje sprzedają go lub wyciągają z niego informacje o płatności (jeśli istnieją).

Złośliwe oprogramowanie + socjotechnika = wybuchowa mieszanka oszustwa

Ikony Uwaga!

Wielu użytkowników obsługuje mysz w systemie operacyjnym na „autopilocie”: kliknij tutaj, tutaj; odkryłem to, tamto, tamto. Rzadko kto z nich przygląda się bliżej typowi plików, ich objętości i właściwościom. Ale na próżno. Hakerzy ukrywają pliki wykonywalne złośliwego oprogramowania pod postacią zwykłych folderów systemu Windows, obrazów lub zaufanych aplikacji, co oznacza, że ​​zewnętrznie nie można ich rozróżnić wizualnie. Użytkownik klika folder, jego zawartość oczywiście się nie otwiera, ponieważ nie jest to wcale folder, ale instalator wirusa z rozszerzeniem .exe. A szkodliwe oprogramowanie „po cichu” przenika do systemu operacyjnego.

Pewnym „antidotum” na takie sztuczki jest menedżer plików Total Commander. W przeciwieństwie do zintegrowanego Eksploratora Windows wyświetla wszystkie szczegóły pliku: typ, rozmiar, datę utworzenia. Największym potencjalnym zagrożeniem dla systemu są nieznane pliki o rozszerzeniach: „.scr”, „.vbs”, „.bat”, „.exe”.

Strach napędza zaufanie

1. Użytkownik otwiera „stronę z horrorami” i natychmiast otrzymuje najbardziej nieprzyjemną wiadomość, a nawet wiadomość: „Twój komputer jest zainfekowany niebezpiecznym trojanem”, „W Twoim systemie operacyjnym wykryto 10, 20… 30 wirusów”, „Z Twojego komputera wysyłany jest spam” itp.
2. I natychmiast oferują (okazują „zaniepokojenie”) instalację programu antywirusowego, a tym samym rozwiązanie problemu bezpieczeństwa zgłaszanego na stronie. A co najważniejsze, całkowicie za darmo.
3. Jeśli odwiedzającego ogarnia strach o swój komputer, klika link i pobiera... nie program antywirusowy, ale fałszywy program antywirusowy - fałszywy, wypełniony wirusami. Instaluje i uruchamia - konsekwencje są odpowiednie.

• Po pierwsze, witryna nie może natychmiastowo przeskanować komputera odwiedzającego i zidentyfikować złośliwe oprogramowanie.
• Po drugie, programiści dystrybuują swoje programy antywirusowe, płatne i bezpłatne, za pośrednictwem własnych, czyli oficjalnych stron internetowych.
• I wreszcie, po trzecie, jeśli istnieją wątpliwości i obawy, czy system operacyjny jest „czysty”, czy nie, lepiej sprawdzić partycję systemową z tym, co jest dostępne, czyli z zainstalowanym programem antywirusowym.

Podsumowując

Psychologia i hacking idą dziś ręka w rękę – tandem wykorzystywania ludzkich słabości i luk w zabezpieczeniach oprogramowania. Będąc w Internecie, w święta i dni powszednie, w dzień i w nocy, niezależnie od nastroju, musisz zachować czujność, tłumić naiwność i odpędzać impulsy komercyjnego zysku i czegoś „darmowego”. Bo jak wiadomo, tylko ser rozdaje się za darmo i tylko w pułapce na myszy. Twórzcie same hasła, przechowujcie je w odpowiednich miejscach i zostańcie z nami, bo jak wiemy, bezpieczeństwa nie ma za dużo.

Metody inżynierii społecznej – właśnie o tym porozmawiamy w tym artykule, a także o wszystkim, co wiąże się z manipulacją ludźmi, phishingiem i kradzieżą baz danych klientów i nie tylko. Andrey Serikov życzliwie przekazał nam informacje, których jest autorem, za co serdecznie mu dziękujemy.

A. SERIKOW

A.B.BOROWSKI

TECHNOLOGIE INFORMACYJNE SPOŁECZNEGO HACKOWANIA

Wstęp

Dążenie ludzkości do doskonałej realizacji powierzonych zadań posłużyło rozwojowi nowoczesnej technologii komputerowej, a próby zaspokojenia sprzecznych wymagań ludzi doprowadziły do ​​​​rozwoju oprogramowania. Te produkty programowe nie tylko utrzymują funkcjonalność sprzętu, ale także nim zarządzają.

Rozwój wiedzy o człowieku i komputerze doprowadził do pojawienia się zasadniczo nowego typu systemu – „człowiek-maszyna”, w którym człowiek może zostać umiejscowiony jako sprzęt działający pod kontrolą stabilnego, funkcjonalnego, wielozadaniowego systemu operacyjnego. system zwany „psychiką”.

Tematem pracy jest rozważenie hackingu społecznościowego jako gałęzi programowania społecznego, w której człowiek jest manipulowany za pomocą ludzkich słabości, uprzedzeń i stereotypów w inżynierii społecznej.

Inżynieria społeczna i jej metody

Metody manipulacji ludźmi są znane od dawna, do inżynierii społecznej trafiły głównie z arsenału różnych służb wywiadowczych.

Pierwszy znany przypadek inteligencji konkurencyjnej datuje się na VI wiek p.n.e. i miał miejsce w Chinach, kiedy Chińczycy stracili tajemnicę wytwarzania jedwabiu, który został oszukańczo skradziony przez rzymskich szpiegów.

Inżynieria społeczna to nauka, którą definiuje się jako zespół metod manipulacji zachowaniem człowieka, polegający na wykorzystaniu słabości czynnika ludzkiego, bez użycia środków technicznych.

Zdaniem wielu ekspertów największym zagrożeniem dla bezpieczeństwa informacji są metody inżynierii społecznej, choćby dlatego, że stosowanie hackingu społecznościowego nie wymaga znacznych nakładów finansowych i dogłębnej wiedzy z zakresu technologii komputerowej, ale także dlatego, że ludzie mają pewne skłonności behawioralne, które można używane do ostrożnej manipulacji.

I bez względu na to, jak ulepszone zostaną systemy ochrony technicznej, ludzie pozostaną ludźmi ze swoimi słabościami, uprzedzeniami, stereotypami, za pomocą których odbywa się zarządzanie. Skonfigurowanie ludzkiego „programu bezpieczeństwa” jest najtrudniejszym zadaniem i nie zawsze prowadzi do gwarantowanych rezultatów, ponieważ filtr ten musi być stale dostosowywany. Tutaj główne motto wszystkich ekspertów ds. bezpieczeństwa brzmi bardziej trafnie niż kiedykolwiek: „Bezpieczeństwo to proces, a nie wynik”.

Obszary zastosowań inżynierii społecznej:

1. ogólna destabilizacja pracy organizacji w celu zmniejszenia jej wpływu i możliwości późniejszego całkowitego zniszczenia organizacji;
2. oszustwa finansowe w organizacjach;
3. phishing i inne metody kradzieży haseł w celu uzyskania dostępu do osobistych danych bankowych osób fizycznych;
4. kradzież baz danych klientów;
5. inteligencja konkurencyjna;
6. ogólne informacje o organizacji, jej mocnych i słabych stronach, w celu późniejszego zniszczenia tej organizacji w taki czy inny sposób (często wykorzystywane do ataków najeźdźców);
7. informacje o najbardziej obiecujących pracownikach w celu dalszego „przyciągnięcia” ich do Twojej organizacji;

Programowanie społecznościowe i hakowanie społecznościowe

Programowanie społeczne można nazwać dyscypliną stosowaną, która zajmuje się ukierunkowanym wpływem na osobę lub grupę osób w celu zmiany lub utrzymania ich zachowania w pożądanym kierunku. Dlatego programista społecznościowy stawia sobie za cel: opanowanie sztuki zarządzania ludźmi. Podstawowa koncepcja programowania społecznego polega na tym, że działania wielu ludzi i ich reakcje na taki czy inny wpływ zewnętrzny są w wielu przypadkach przewidywalne.

Metody programowania społecznego są atrakcyjne, bo albo nikt się o nich nigdy nie dowie, albo nawet jeśli ktoś się czegoś domyśli, to bardzo trudno taką liczbę wymierzyć sprawiedliwość, a w niektórych przypadkach da się „zaprogramować” zachowania ludzi, a jedna osoba i duża grupa. Możliwości te zaliczają się do kategorii hackingu społecznościowego właśnie dlatego, że we wszystkich z nich ludzie wykonują cudzą wolę, jakby przestrzegając „programu” napisanego przez hakera społecznościowego.

Social hacking jako umiejętność zhakowania człowieka i zaprogramowania go do wykonywania pożądanych działań wywodzi się z programowania społecznościowego – dyscypliny stosowanej socjotechniki, gdzie specjaliści w tej dziedzinie – hakerzy społeczni – wykorzystują zapożyczone z arsenału techniki wpływu psychologicznego i działania służb wywiadowczych.

Hakowanie społecznościowe jest stosowane w większości przypadków, jeśli chodzi o atak na osobę będącą częścią systemu komputerowego. System komputerowy, który został zhakowany, nie istnieje sam w sobie. Zawiera ważny element - osobę. Aby uzyskać informacje, haker społecznościowy musi zhakować osobę pracującą z komputerem. W większości przypadków łatwiej jest to zrobić niż włamać się do komputera ofiary w celu poznania hasła.

Typowy algorytm wpływu w hackingach społecznościowych:

Wszystkie ataki hakerów społecznościowych układają się w jeden dość prosty schemat:

1. sformułowany jest cel wywarcia wpływu na konkretny obiekt;
2. informacje o obiekcie zbierane są w celu wykrycia najdogodniejszych celów oddziaływania;
3. Na podstawie zebranych informacji wdrażany jest etap, który psychologowie nazywają atrakcyjnością. Przyciąganie (od łac. Attrahere - przyciągać, przyciągać) to stworzenie warunków niezbędnych do wywarcia wpływu na obiekt;
4. zmuszanie hakera społecznościowego do podjęcia działań;

Przymus osiąga się poprzez wykonanie poprzednich etapów, czyli po osiągnięciu atrakcyjności ofiara sama podejmuje działania niezbędne socjotechnikowi.

Na podstawie zebranych informacji hakerzy społecznościowi dość dokładnie przewidują psycho- i socjotyp ofiary, identyfikując nie tylko potrzeby jedzenia, seksu itp., ale także potrzebę miłości, potrzebę pieniędzy, potrzebę wygody itp. itp.

I rzeczywiście, po co próbować penetrować tę czy inną firmę, włamywać się do komputerów, bankomatów, organizować skomplikowane kombinacje, skoro wszystko można zrobić łatwiej: sprawić, by zakochała się w Tobie osoba, która z własnej woli przeleje pieniądze na konto określone konto lub udostępnij niezbędne pieniądze za każdym razem, gdy uzyskasz informacje?

Wychodząc z faktu, że działania ludzi są przewidywalne, a także podlegają pewnym prawom, hakerzy i programiści społeczni stosują zarówno oryginalne wieloetapowe, jak i proste techniki pozytywne i negatywne, oparte na psychologii ludzkiej świadomości, programach behawioralnych, wibracjach narządów wewnętrznych, logice myślenie, wyobraźnia, pamięć, uwaga. Techniki te obejmują:

Generator drewna - generuje oscylacje o tej samej częstotliwości, co częstotliwość oscylacji narządów wewnętrznych, po czym obserwuje się efekt rezonansu, w wyniku którego ludzie zaczynają odczuwać silny dyskomfort i stan paniki;

wpływ na geografię tłumu - w celu pokojowego rozwiązania niezwykle niebezpiecznych, agresywnych, dużych grup ludzi;

dźwięki o wysokiej i niskiej częstotliwości - w celu wywołania paniki i jej odwrotnego efektu, a także innych manipulacji;

program naśladownictwa społecznego – człowiek stwierdza poprawność działań, dowiadując się, jakie działania inni ludzie uważają za prawidłowe;

program klakierski - (oparta na naśladowaniu społecznym) organizacja niezbędnej reakcji publiczności;

tworzenie kolejek - (oparta na naśladownictwie społecznym) prosty, ale skuteczny ruch reklamowy;

program wzajemnej pomocy - osoba stara się odwdzięczyć życzliwość osobom, które wyświadczyły mu jakąś życzliwość. Pragnienie realizacji tego programu często przekracza wszelki rozsądek;

Hakowanie społecznościowe w Internecie

Wraz z pojawieniem się i rozwojem Internetu - wirtualnego środowiska składającego się z ludzi i ich interakcji, rozszerzyło się środowisko manipulacji osobą w celu uzyskania niezbędnych informacji i wykonania niezbędnych działań. Obecnie Internet jest środkiem ogólnoświatowej transmisji, medium współpracy, komunikacji i obejmuje cały świat. Właśnie tego używają inżynierowie społeczni, aby osiągnąć swoje cele.

Sposoby manipulacji osobą przez Internet:

We współczesnym świecie właściciele niemal każdej firmy zdali sobie już sprawę, że Internet jest bardzo skutecznym i wygodnym sposobem na rozwój biznesu, a jego głównym zadaniem jest zwiększanie zysków całej firmy. Wiadomo, że bez informacji mających na celu zwrócenie uwagi na pożądany przedmiot, wzbudzenie lub utrzymanie nim zainteresowania i promocję go na rynku, stosuje się reklamę. Tylko ze względu na fakt, że rynek reklamowy jest od dawna podzielony, większość rodzajów reklamy dla większości przedsiębiorców to zmarnowane pieniądze. Reklama internetowa to nie tylko jeden z rodzajów reklamy w mediach, to coś więcej, gdyż za jej pośrednictwem na stronę internetową organizacji trafiają osoby zainteresowane współpracą.

Reklama internetowa, w odróżnieniu od reklamy w mediach, ma o wiele więcej możliwości i parametrów zarządzania firmą reklamową. Najważniejszym wskaźnikiem reklamy internetowej jest to Opłaty za reklamy internetowe są pobierane dopiero w przypadku zmiany zainteresowanego użytkownika poprzez link reklamowy, co oczywiście sprawia, że ​​reklama w Internecie jest skuteczniejsza i tańsza niż reklama w mediach. Zatem zamieszczając reklamę w telewizji lub w mediach drukowanych, płacą za nią w całości i po prostu czekają na potencjalnych klientów, ale klienci mogą odpowiedzieć na reklamę lub nie - wszystko zależy od jakości produkcji i prezentacji reklam w telewizji lub gazetach jednak budżet reklamowy został już wydany w przypadku Jeśli reklama nie zadziałała, została zmarnowana. W przeciwieństwie do reklam medialnych, reklama internetowa umożliwia śledzenie reakcji odbiorców i zarządzanie reklamą internetową przed wyczerpaniem budżetu; ponadto reklamę internetową można zawiesić, gdy popyt na produkty wzrośnie, i wznowić, gdy popyt zacznie spadać.

Inną metodą wpływu jest tzw. „Zabijanie forów”, gdzie za pomocą programów społecznościowych tworzą reklamy antyreklamowe dla konkretnego projektu. W tym przypadku programista społecznościowy za pomocą oczywistych prowokacyjnych działań niszczy forum w pojedynkę, używając kilku pseudonimów ( przezwisko) stworzyć wokół siebie grupę antyliderską i przyciągnąć do projektu stałych bywalców, którzy są niezadowoleni z zachowania administracji. Pod koniec takich wydarzeń promowanie produktów lub pomysłów na forum staje się niemożliwe. Po to właśnie zostało pierwotnie stworzone to forum.

Metody oddziaływania na człowieka za pośrednictwem Internetu na potrzeby inżynierii społecznej:

Phishing to rodzaj oszustwa internetowego, którego celem jest uzyskanie dostępu do poufnych danych użytkownika – loginów i haseł. Operacja ta realizowana jest poprzez masową wysyłkę e-maili w imieniu popularnych marek, a także wiadomości osobiste w ramach różnych serwisów (Rambler), banków czy w ramach sieci społecznościowych (Facebook). List często zawiera link do strony internetowej, która na zewnątrz jest nie do odróżnienia od prawdziwej. Po tym, jak użytkownik trafi na fałszywą stronę, socjotechnicy wykorzystują różne techniki, aby nakłonić go do wpisania na stronie loginu i hasła, za pomocą których uzyskuje dostęp do określonej witryny, co pozwala mu uzyskać dostęp do kont i rachunków bankowych.

Bardziej niebezpiecznym rodzajem oszustwa niż phishing jest tzw. pharming.

Pharming to mechanizm ukrytego przekierowywania użytkowników na strony phishingowe. Socjotechnik dystrybuuje na komputery użytkowników specjalne szkodliwe programy, które po uruchomieniu na komputerze przekierowują żądania z niezbędnych witryn na fałszywe. Tym samym atak ma charakter wysoce tajny, a udział użytkownika jest zminimalizowany – wystarczy poczekać, aż użytkownik zdecyduje się odwiedzić interesujące go strony socjotechnikowi.

Wniosek

Inżynieria społeczna to nauka wywodząca się z socjologii, pretendująca do miana zasobu wiedzy, która kieruje, porządkuje i optymalizuje proces tworzenia, unowocześniania i odtwarzania nowych („sztucznych”) rzeczywistości społecznych. W pewnym sensie „uzupełnia” naukę socjologiczną, uzupełnia ją na etapie przekształcania wiedzy naukowej w modele, projekty i projekty instytucji społecznych, wartości, norm, algorytmów działania, relacji, zachowań itp.

Pomimo tego, że Inżynieria Społeczna jest nauką stosunkowo młodą, powoduje ona ogromne szkody w procesach zachodzących w społeczeństwie.

Najprostsze metody ochrony przed skutkami tej niszczycielskiej nauki to:

Zwrócenie uwagi ludzi na kwestie bezpieczeństwa.

Użytkownicy rozumiejący powagę problemu i akceptujący politykę bezpieczeństwa systemu.

Literatura

1. R. Petersen Linux: kompletny przewodnik: tłum. z angielskiego — wyd. 3. - K.: BHV Publishing Group, 2000. – 800 s.

2. Z Grodneva Internet w Twoim domu. - M.: „RIPOL CLASSIC”, 2001. -480 s.

3. M. V. Kuznetsov Inżynieria społeczna i hakowanie społecznościowe. Petersburg: BHV-Petersburg, 2007. - 368 s.: il.

Część 1 (podzielona na części ze względu na wielkość artykułu. Gdy tylko uzbieram 50 wyświetleń wrzucam drugą).

Wielu prawdziwych hakerów, którzy stale zajmują się hackowaniem, zawsze ma w zapasie kilka sztuczek SI, ponieważ tam, gdzie nie da się znaleźć luki w kodzie, często można ją znaleźć w głowach działu wsparcia lub właściciela e -poczta, ICQ lub strona internetowa...

Od teorii do praktyki
Czym jest socjotechnika przeczytaliście już w jednym z poprzednich numerów Waszego ulubionego magazynu, zatem śmiało możemy powiedzieć, że hardware został opanowany pomyślnie. Teraz proponuję przejażdżkę próbną.

Inżynierowie społeczni to bardzo sympatyczni ludzie, z którymi się rozmawia: kulturalni, sympatyczni, z dużym poczuciem humoru. Mają niesamowicie elastyczny umysł, innowacyjne myślenie i mnóstwo pomysłów na to, jak skuteczniej osiągać swoje cele. To do nich zwróciłam się o pomoc w przygotowaniu materiału. Naszymi konsultantami będą: GoodGod - twórca jednego z najpopularniejszych rosyjskojęzycznych projektów dotyczących inżynierii społecznej socialware.ru; Ayumi (spylabs.org); Ivan to kolejny mistrz hakowania ludzkich mózgów, który chciał pozostać incognito.

Iść!

Przejęcie numeru ICQ (bez głównego adresu e-mail)
Aby przejąć kontrolę nad ICQ, będziesz potrzebować:

• listę domen z zarejestrowanymi w nich adresami e-mail (przeczytaj, jak je zdobyć w grudniowym numerze ][, film „Masowe przejmowanie domen” od GoodGod);
• numer ICQ, z którego nastąpi początkowy atak;
• Numer ICQ wydany dla specjalisty SEO (z odpowiednimi danymi i szczegółami w info).

Jest więc „broń”, przejdźmy do ataku. Przyciągnij uwagę ofiary: wystarczy sytuacja, w której pomyliłeś ją z kimś innym. Następnie możesz przeprosić i rozpocząć swobodną rozmowę, stopniowo budując zaufanie. Pozwól jej (ofiarze) przyzwyczaić się do Ciebie. Następnie rozmowa schodzi na temat zarabiania pieniędzy – mówisz im, ile zarabiasz w Internecie (nie mów jeszcze dokładnie, jak, żeby nie wystraszyć rozmówcy). Po pewnym czasie powiedz im, że znajomy zajmujący się promowaniem stron internetowych zaproponował Ci pracę: nie musisz robić nic specjalnego, ale dziennie przychodzi około 200 rubli. Jeśli sama ofiara nie przejmie inicjatywy, zrób pierwszy krok i zaproponuj spotkanie z przyjacielem.

Jeśli nie chcesz od razu się zaznajomić, przerwij na chwilę tę rozmowę, bo jeśli naciśniesz zbyt mocno, efekt może być odwrotny; Lepiej wróć do tego trochę później, pod innym pretekstem.

Nawiasem mówiąc, jeśli ofiara jest z natury nieśmiała, nie zmusisz jej do nawiązania kontaktu z nieznajomym, więc będziesz musiał zaangażować się w „stręczycielstwo”, aby znajomość doszła do skutku. I tak klient zwraca się do przyjaciela SEO (czyli do Ciebie). Okaż na początku zdrową nieufność, zadając pytania typu: „Skąd dowiedziałeś się o projekcie? Od Sashy? Ach, Sasza... Tak, pamiętam. OK, teraz opowiem Wam o istocie pracy.” Następnie opowiedz nam o projekcie ICQ Search, promocji witryny, opisz opcje płatności (200 rubli dziennie lub 1400 tygodniowo - pozwól mu wybrać dogodną dla niego opcję). Stale skupiaj uwagę „klienta” na realistycznych szczegółach, dzięki czemu odwrócisz jego uwagę od niepotrzebnych myśli. Im intensywniejszy atak i im więcej nowych informacji, tym mniej czasu ma na przemyślenie tego, co się dzieje. Na koniec opisz schemat zarobku: pozwól mu wybrać witrynę z przygotowanej na początku listy, przeszukaj whois w poszukiwaniu adresu e-mail, do którego witryna jest połączona (pozwól mu to zrobić samodzielnie) i wpisz go w polu „E-mail” na swoim profilu ICQ. Koniecznie wyjaśnij, że jeśli w ICQ i danych domeny wskazany jest ten sam adres e-mail, to im częściej ICQ będzie wyszukiwane w wyszukiwarce, tym wyższa będzie pozycja witryny w wyszukiwarce. Gdy tylko ofiara zakończy wiązanie, przywrócisz hasło do podanego adresu e-mail i numer UIN będzie Twój!

Jeśli hasło nie dotrze e-mailem, oznacza to, że numer ma już pocztę główną i należy zorganizować przejęcie w inny sposób.

Włamanie do poczty
Znajdź odpowiedź na sekretne pytanie
Pytania dotyczące serwerów pocztowych są zwykle dość podobne:

• Nazwisko panieńskie matki;
• Ulubione danie;
• Nazwa zwierzaka;
• Numer paszportu;
• Pytanie osobiste (imię i nazwisko pierwszego nauczyciela, indeks, ulubiony film, ulubiony wykonawca).

Na pytania takie jak „Ulubione danie” czy „Imię psa” możesz sam wybrać odpowiedź, jeśli masz dobrą intuicję. Jeśli intuicja nie jest Twoją mocną stroną lub pytanie wymaga bardziej szczegółowej wiedzy, będziesz musiał ciężko pracować. W pierwszej kolejności zbieramy jak najwięcej informacji o właścicielu pudełka. Numer ICQ lub strona VKontakte są wysoce pożądane. Następnie dodajemy ofiarę do listy kontaktów, zapoznajemy się pod byle pretekstem (tutaj przydadzą nam się wszystkie zebrane informacje) i rozpoczynamy „atak”, aby poznać potrzebną nam odpowiedź na tajne pytanie. Na tym etapie najważniejsze jest, aby się nie spieszyć, wszystko powinno być spójne i naturalne, aby ofiara nie miała żadnych podejrzeń.

Jakie schematy działają? Nazwisko panieńskie matki - rozpocznij temat o drzewie genealogicznym lub o tym, jakie śmieszne nazwisko nosiła Twoja matka przed ślubem. Ulubione danie – tutaj wszystko jest jasne. Imię zwierzęcia - porozmawiaj o zwierzakach: przeszłości, teraźniejszości i przyszłości, ponieważ słowem kodowym może być imię pierwszego ofiarowanego chomika. Z numerem paszportu będzie trudniej. Tutaj możesz pokusić się o zakup niedrogiego, rzadkiego produktu, który jest dostarczany z płatnością przy odbiorze, ale do złożenia zamówienia potrzebne są dane paszportowe i kod identyfikacyjny. Możesz dowiedzieć się imienia pierwszego nauczyciela od kolegów z klasy ofiary lub porozmawiać z nią bezpośrednio o jej ulubionych nauczycielach; Indeks łatwiej jest uzyskać, pobierając bazę danych miasta, a od ofiary można po prostu dowiedzieć się, w jakim rejonie mieszka. Najważniejsze tutaj jest pomysłowość, wyobraźnia i cierpliwość.

Jest jeden mały, ale ważny niuans. Czasami na pytanie „Ulubione danie” odpowiedzią może być np. numer telefonu, czyli całkowita rozbieżność między pytaniem a odpowiedzią. Tutaj będziesz musiał rozpocząć rozmowę na temat absurdalnych kombinacji i bezsensu pytań zabezpieczających, a następnie zacząć wszystko od nowa, najlepiej pod innym kontem.

Kontakt z obsługą klienta
Ta metoda jest bardziej pracochłonna i przerażająca, ale jest potrzebna, jeśli ofiara nie chce „wstrzyknąć” lub jeśli pudełko jest „martwe”, to znaczy właściciel nie odwiedzał go przez długi czas. Aby to zrobić, przejdź do strony pomocy wybranej usługi e-mail i napisz list z prośbą o odzyskanie skradzionego hasła. Najprawdopodobniej zostaniesz poproszony o podanie imienia, nazwiska (lub danych podanych podczas rejestracji), daty urodzenia i przybliżonej daty rejestracji boxu (co najmniej rok). Dlatego postaraj się dowiedzieć jak najwięcej informacji o ofierze i jej pudełku. Pomogą Ci w tym wyszukiwarki, sieci społecznościowe i blogi.

Wyłudzanie informacji
Jeden z najskuteczniejszych sposobów uzyskania hasła bez wiedzy właściciela. Ofiara otrzymuje link, na który może wejść i wprowadzić swoją nazwę użytkownika i hasło. Dane te przesyłane są do pliku raportu, bazy danych (jeśli kradzież jest masowa) lub poczty elektronicznej. Główną sztuczką jest zmuszenie ofiary do kliknięcia tego łącza. Formularz może być dowolny:

• Wiadomość „od administracji” (czytaj: z serwisu pocztowego ze sfałszowanym adresem) o spamie z tej skrzynki pocztowej. Przykład: „Drogi użytkowniku, (nazwa użytkownika)! Twoje konto otrzymało skargi dotyczące spamu, dlatego administracja ma prawo tymczasowo zawiesić lub zablokować jego działanie. Jest całkiem możliwe, że atakujący uzyskali do niego dostęp. Aby potwierdzić własność konta, dokonaj ponownej autoryzacji za pomocą tego linku (hiperłącze do fałszywego). W przypadku braku potwierdzenia w ciągu 5 dni konto pocztowe zostanie zablokowane. Z poważaniem, dział wsparcia (nazwa usługi pocztowej).” Gra w oparciu o strach przed utratą pudełka.
• Wiedząc o hobby ofiary, możesz się nią zainteresować. Na przykład list z interesującym tematem, w którym zawarta jest tylko część informacji, resztę można uzyskać klikając w link. Link prowadzi do strony pseudologowania, a resztę informacji można przeczytać dopiero po zalogowaniu.

Przykład: „Tylko 15-17 sierpnia 2010 r. w (mieście ofiary) odbyło się praktyczne szkolenie dotyczące w 100% skutecznego budowania relacji międzypłciowych! Po raz pierwszy na światło dzienne wyjdą pewne sekrety seksualności i atrakcyjności, z których część można zobaczyć tutaj (hiperlink). Reszta jest na treningach. I nie zapominaj, że teoria to tylko teoria. Wszystkiego można się nauczyć poprzez praktykę. Szkolenie prowadzi autor Egor Asin (hiperłącze). Dla osób, które zarejestrują się do 10 sierpnia, pierwsza lekcja jest bezpłatna. Aby się zarejestrować, wypełnij ten formularz (hiperłącze).”

Rolnictwo
Zdarza się również, że ofiara jest na tyle mądra (lub obojętna), aby nie klikać linków. W takim przypadku będziesz musiał skorzystać z trojanów/joinerów/skryptów, aby zmanipulować plik HOSTS lub włamać się do serwera DNS lub DHCP jego dostawcy. Jednocześnie, gdy użytkownik wejdzie na stronę, aby sprawdzić pocztę, następuje przekierowanie na dokładnie tę samą pocztę, tyle że phishingową. Użytkownik niczego nie podejrzewając, wprowadza swoje dane i za pomocą wewnętrznego skryptu autoryzacyjnego dostaje się na swoją „natywną” pocztę, a na Twój adres e-mail przesyłany jest login i hasło. Piękno polega na tym, że ofiara nawet nie wie, co się stało.

W ostatnich latach cyberprzestępcy korzystający z technik inżynierii społecznej przyjęli bardziej zaawansowane metody, które zwiększają prawdopodobieństwo uzyskania dostępu do niezbędnych informacji, wykorzystując nowoczesną psychologię pracowników przedsiębiorstw i ludzi w ogóle. Pierwszym krokiem w przeciwdziałaniu tego typu sztuczkom jest zrozumienie samej taktyki atakującego. Przyjrzyjmy się ośmiu głównym podejściom do inżynierii społecznej.

Wstęp

W latach 90. koncepcję „inżynierii społecznej” wymyślił Kevin Mitnick, ikoniczna postać w dziedzinie bezpieczeństwa informacji, były poważny haker. Jednak napastnicy stosowali takie metody na długo przed pojawieniem się samego terminu. Eksperci są przekonani, że taktyka współczesnych cyberprzestępców ma dwa cele: kradzież haseł i instalowanie złośliwego oprogramowania.

Atakujący próbują wykorzystać socjotechnikę za pomocą telefonu, poczty elektronicznej i Internetu. Zapoznajmy się z głównymi metodami, które pomagają przestępcom uzyskać potrzebne im poufne informacje.

Taktyka 1. Teoria dziesięciu uścisków dłoni

Głównym celem atakującego wykorzystującego telefon do socjotechniki jest przekonanie ofiary do jednej z dwóch rzeczy:

1. Ofiara odbiera telefon od pracownika firmy;
2. Dzwoni przedstawiciel uprawnionego organu (na przykład funkcjonariusz organów ścigania lub audytor).

Jeżeli przestępca postawi sobie za zadanie zebranie danych o konkretnym pracowniku, może w pierwszej kolejności skontaktować się ze swoimi współpracownikami, starając się na wszelkie możliwe sposoby wydobyć potrzebne mu dane.

Pamiętasz starą teorię sześciu uścisków dłoni? Cóż, eksperci ds. bezpieczeństwa twierdzą, że między cyberprzestępcą a jego ofiarą może nastąpić tylko dziesięć „uścisków dłoni”. Eksperci uważają, że we współczesnych warunkach zawsze trzeba mieć małą paranoję, ponieważ nie wiesz, czego chce od ciebie ten lub inny pracownik.

Celem atakujących jest zwykle sekretarz (lub osoba zajmująca podobne stanowisko), aby zebrać informacje o osobach znajdujących się na wyższych stanowiskach. Eksperci zauważają, że przyjazny ton bardzo pomaga oszustom. Powoli, ale skutecznie, przestępcy zdobywają klucz do Ciebie, co wkrótce prowadzi do udostępnienia informacji, których nigdy wcześniej byś nie ujawnił.

Taktyka 2. Nauka języka korporacyjnego

Jak wiadomo, każda branża ma swoje specyficzne receptury. Zadaniem atakującego próbującego uzyskać niezbędne informacje jest zbadanie cech takiego języka, aby w umiejętny sposób wykorzystać techniki socjotechniki.

Cała specyfika leży w badaniu języka korporacyjnego, jego terminów i cech. Jeśli cyberprzestępca będzie posługiwał się znanym, znajomym i zrozumiałym dla swoich celów językiem, łatwiej zdobędzie zaufanie i będzie mógł szybko uzyskać potrzebne informacje.

Taktyka 3: Pożyczaj muzykę, aby podtrzymać rozmowy w trakcie rozmów

Aby przeprowadzić skuteczny atak, oszuści potrzebują trzech elementów: czasu, wytrwałości i cierpliwości. Często cyberataki z wykorzystaniem socjotechniki przeprowadzane są powoli i metodycznie – zbierając nie tylko dane o właściwych osobach, ale także tzw. „sygnały społeczne”. Ma to na celu zdobycie zaufania i oszukanie celu. Napastnicy mogą na przykład przekonać osobę, z którą się komunikują, że są współpracownikami.

Jedną z cech tego podejścia jest nagrywanie muzyki, której firma używa podczas rozmów, gdy rozmówca czeka na odpowiedź. Przestępca najpierw czeka na taką muzykę, potem ją nagrywa, a następnie wykorzystuje na swoją korzyść.

Dlatego też, gdy następuje bezpośredni dialog z ofiarą, napastnicy w pewnym momencie mówią: „Poczekaj, na drugiej linii jest połączenie”. Wtedy ofiara słyszy znajomą muzykę i nie ma wątpliwości, że dzwoniący reprezentuje konkretną firmę. W istocie jest to po prostu sprytna sztuczka psychologiczna.

Taktyka 4. Fałszowanie (podstawianie) numeru telefonu

Przestępcy często wykorzystują fałszowanie numeru telefonu, co pomaga im sfałszować numer osoby dzwoniącej. Na przykład osoba atakująca może siedzieć w swoim mieszkaniu i dzwonić do zainteresowanej osoby, ale identyfikator dzwoniącego będzie zawierał numer należący do firmy, tworząc złudzenie, że oszust dzwoni przy użyciu numeru firmowego.

Oczywiście niczego niepodejrzewający pracownicy w większości przypadków przekażą dzwoniącemu poufne informacje, w tym hasła, jeśli identyfikator dzwoniącego należy do ich firmy. Takie podejście pomaga również przestępcom uniknąć śledzenia, ponieważ jeśli oddzwonisz na ten numer, zostaniesz przekierowany na wewnętrzną linię firmy.

Taktyka 5: Wykorzystanie wiadomości przeciwko sobie

Niezależnie od aktualnych nagłówków wiadomości, osoby atakujące wykorzystują te informacje jako przynętę na spam, phishing i inne oszukańcze działania. Nic więc dziwnego, że eksperci odnotowali w ostatnim czasie wzrost liczby wiadomości spamowych, których tematyka dotyczy kampanii prezydenckich i kryzysów gospodarczych.

Przykładem może być atak phishingowy na bank. W e-mailu jest mniej więcej coś takiego:

„Inny bank [nazwa banku] przejmuje Twój bank [nazwa banku]. Kliknij ten link, aby upewnić się, że informacje o Twoim banku są aktualne do czasu sfinalizowania transakcji.

Jest to oczywiście próba uzyskania informacji, za pomocą których oszuści mogą zalogować się na Twoje konto, ukraść Twoje pieniądze lub sprzedać Twoje dane stronie trzeciej.

Taktyka 6: Wykorzystaj zaufanie do platform społecznościowych

Nie jest tajemnicą, że Facebook, Myspace i LinkedIn to niezwykle popularne serwisy społecznościowe. Według badań eksperckich ludzie zwykle ufają takim platformom. Niedawny incydent związany ze spear-phishingiem, którego celem byli użytkownicy LinkedIn, potwierdza tę teorię.

Dlatego wielu użytkowników zaufa e-mailowi, który będzie rzekomo pochodził z Facebooka. Powszechną taktyką jest twierdzenie, że w sieci społecznościowej trwają prace konserwacyjne i że należy „kliknąć tutaj”, aby zaktualizować informacje. Dlatego eksperci zalecają, aby pracownicy przedsiębiorstw ręcznie wprowadzali adresy internetowe, aby uniknąć linków phishingowych.

Warto również pamiętać, że w bardzo rzadkich przypadkach witryny będą proponować użytkownikom zmianę hasła lub aktualizację konta.

Taktyka 7. Rodzaj kucania

Ta złośliwa technika charakteryzuje się tym, że atakujący wykorzystują błąd ludzki, a mianowicie błędy podczas wprowadzania adresu URL w pasku adresu. Tym samym, popełniając błąd co do jednej litery, użytkownik może trafić na stronę internetową stworzoną specjalnie w tym celu przez atakujących.

Cyberprzestępcy starannie przygotowują grunt pod typosquatting, tak aby ich witryna internetowa była dokładnie taka sama, jak ta, którą pierwotnie chciałeś odwiedzić. Zatem jeśli błędnie wpiszesz swój adres internetowy, trafisz na kopię legalnej witryny, której celem jest sprzedaż czegoś, kradzież danych lub rozpowszechnianie złośliwego oprogramowania.

Taktyka 8. Wykorzystanie FUD do wpływania na giełdę

FUD to taktyka manipulacji psychologicznej stosowana w marketingu i szeroko rozumianej propagandzie, która polega na przedstawianiu informacji o czymś (w szczególności o produkcie lub organizacji) w taki sposób, aby zasiać w odbiorcach niepewność i zwątpienie co do jego cech i tym samym wywołać strach przed tym.

Według najnowszych badań firmy Avert bezpieczeństwo i słabe punkty produktów, a nawet całych firm mogą mieć wpływ na giełdę. Badacze badali na przykład wpływ wydarzeń takich jak Microsoft Patch Tuesday na akcje firmy i stwierdzali zauważalne wahania co miesiąc po opublikowaniu informacji o lukach w zabezpieczeniach.

Pamiętacie też, jak w 2008 roku napastnicy rozpowszechniali fałszywe informacje na temat stanu zdrowia Steve’a Jobsa, co doprowadziło do gwałtownego spadku akcji Apple. Jest to najbardziej typowy przykład wykorzystania FUD do złośliwych celów.

Dodatkowo warto zwrócić uwagę na wykorzystanie poczty elektronicznej do wdrożenia techniki „pump-and-dump” (schemat manipulacji kursem wymiany na giełdzie lub rynku kryptowalut z późniejszym załamaniem). W takim przypadku napastnicy mogą wysyłać e-maile opisujące niesamowity potencjał zakupionych wcześniej akcji.

Dlatego wielu będzie próbowało jak najszybciej odkupić te akcje, a ich cena wzrośnie.

wnioski

Cyberprzestępcy często wykazują się niezwykłą kreatywnością w wykorzystywaniu inżynierii społecznej. Po zapoznaniu się z ich metodami możemy stwierdzić, że różne triki psychologiczne w dużym stopniu pomagają atakującym w osiągnięciu zamierzonych celów. Na tej podstawie powinieneś zwrócić uwagę na każdą drobnostkę, która może nieświadomie ujawnić oszusta, sprawdzić i jeszcze raz sprawdzić informacje o osobach kontaktujących się z Tobą, szczególnie jeśli omawiane są informacje poufne.