Társadalomtechnika (biztonság) - Social engineering (security)

Egy sorozat része
Információ biztonság
Kapcsolódó biztonsági kategóriák
Számítógép biztonság Gépjárműbiztonság Számítógépes bűnözés Cybersex -kereskedelem Számítógépes csalás Cybergeddon Kiberterrorizmus Kiberháború Elektronikai hadviselés Információs hadviselés Internet biztonság Mobil biztonság Hálózati biztonság Másolásvédelem Digitális jogkezelés
Fenyegetések
Adware Folyamatos előrehaladott fenyegetés Önkényes kódfuttatás Hátsó ajtók Hardver hátsó ajtók Kódinjekció Bűnügyi eszközök Webhelyek közötti szkriptelés Cryptojacking malware Botnetek Adatszegés Drive-by letöltés böngésző segítő objektumok Számítógépes bűnözés Vírusok Adatkaparás A szolgáltatás megtagadása Hallgatózás E -mail csalás E -mail hamisítás Kizsákmányol Keyloggerek Logikai bombák Időzített bombák Villás bombák Cipzáros bombák Csalárd tárcsázók Rosszindulatú Hasznos teher Adathalászat Polimorf motor Privilege eszkaláció Ransomware Gyökérkészletek Csizmák Scareware Shellcode Spamelés Társadalomtechnika (biztonság) Képernyőkaparás Spyware Szoftverhibák Trójai lovak Hardver trójai Távoli hozzáférésű trójai programok Sebezhetőség Webhéjak Törlő Féregek SQL injekció Rogue biztonsági szoftver Zombi
Védekezés
Alkalmazásbiztonság Biztonságos kódolás Alapértelmezés szerint biztonságos Biztonságos kialakítással Visszaélés esete Számítógépes hozzáférés -szabályozás Hitelesítés Többtényezős hitelesítés Engedélyezés Számítógépes biztonsági szoftver Víruskereső szoftver Biztonsági központú operációs rendszer Adatközpontú biztonság A kód elhomályosítása Adatmaszkolás Titkosítás Tűzfal Behatolásjelző rendszer Gazda alapú behatolásérzékelő rendszer (HIDS) Anomália észlelése Biztonsági információk és eseménykezelés (SIEM) Mobil biztonságos átjáró Futásidejű alkalmazás önvédelem
v t e

Az összefüggésben információbiztonság , social engineering az pszichológiai manipuláció ember a műveletbe, vagy nyilvánosságra hozatala bizalmas információkat . Ez eltér a társadalomtudományokon belüli társadalomfejlesztéstől, amely nem vonatkozik a bizalmas információk nyilvánosságra hozatalára. Az információgyűjtés, a csalás vagy a rendszerhozzáférés céljából egyfajta bizalmi trükk , abban különbözik a hagyományos "csalástól", hogy gyakran egy bonyolultabb csalási rendszer sok lépése közül való.

Azt is meghatározták, hogy "minden olyan cselekedet, amely befolyásolja az embert egy olyan cselekvésre, amely az ő érdekeit szolgálhatja vagy nem."

A szociális tervezésre példa az "elfelejtett jelszó" funkció használata a legtöbb bejelentkezést igénylő webhelyen. Egy nem megfelelően védett jelszó-helyreállító rendszerrel a rosszindulatú támadó teljes hozzáférést biztosíthat a felhasználó fiókjához, miközben az eredeti felhasználó elveszíti a hozzáférést a fiókhoz.

Információbiztonsági kultúra

A munkavállalói magatartás nagy hatással lehet a szervezetek információbiztonságára. A kulturális koncepciók segíthetik a szervezet különböző szegmenseit a hatékony munkában, vagy a hatékonysággal szemben a szervezet információbiztonsága felé. "A szervezeti kultúra és az információbiztonsági kultúra közötti kapcsolat feltárása" az alábbi információbiztonsági kultúra definíciót tartalmazza: "Az ISC a szervezetben viselkedési minták összessége, amelyek hozzájárulnak mindenféle információ védelméhez."

Andersson és Reimers (2014) azt találták, hogy az alkalmazottak gyakran nem tekintik magukat a szervezet információbiztonsági "erőfeszítéseinek" részeként, és gyakran olyan intézkedéseket tesznek, amelyek figyelmen kívül hagyják a szervezet információbiztonságának érdekeit. A kutatások azt mutatják, hogy az információbiztonsági kultúrát folyamatosan fejleszteni kell. Az "Információbiztonsági kultúra az elemzéstől a változásig" című cikkben a szerzők megjegyzik, hogy "ez egy soha véget nem érő folyamat, az értékelés, a változás vagy a karbantartás ciklusa". Azt javasolják, hogy az információbiztonsági kultúra kezeléséhez öt lépést kell megtenni: előértékelés, stratégiai tervezés, operatív tervezés, végrehajtás és utóértékelés.

• Előzetes értékelés: azonosítani kell az alkalmazottak információbiztonságával kapcsolatos tudatosságot, és elemezni kell az aktuális biztonsági politikát.
• Stratégiai tervezés: egy jobb tudatossági program kidolgozásához világos célokat kell kitűznünk. Az emberek csoportosítása segít ennek elérésében.
• Operatív tervezés: állítson be egy jó biztonsági kultúrát a belső kommunikáció, a menedzsment-buy-in, valamint a biztonsági tudatosság és képzési program alapján.
• Megvalósítás: négy lépést kell alkalmazni az információbiztonsági kultúra megvalósításához. Ezek a menedzsment elkötelezettsége, a szervezeti tagokkal való kommunikáció, a szervezet minden tagjának szóló tanfolyamok és az alkalmazottak elkötelezettsége.

Technikák és feltételek

Minden szociális tervezési technika az emberi döntéshozatal sajátos tulajdonságain alapul, amelyeket kognitív torzításoknak neveznek . Ezeket az elfogultságokat, amelyeket néha "hibáknak neveznek az emberi hardverben", különféle kombinációkban használják fel támadási technikák létrehozására, amelyek közül néhányat az alábbiakban sorolunk fel. A szociális tervezés során használt támadások felhasználhatók az alkalmazottak bizalmas információinak ellopására. A leggyakoribb típus A társadalombiztosítási támadások más példái a bűnözők, akik irtónak, tűzoltó rendőrnek és technikusnak tűnnek, akik észrevétlenek maradnak, amikor ellopják a vállalati titkokat.

A szociális tervezés egyik példája az a személy, aki bemegy egy épületbe, és hivatalos megjelenésű közleményt tesz közzé a vállalati közlönyben, amely szerint a help desk száma megváltozott. Tehát, amikor az alkalmazottak segítséget kérnek, az egyén jelszavukat és azonosítóikat kéri tőlük, és így hozzáférhet a vállalat privát adataihoz. Egy másik példa a szociális tervezésre az lenne, hogy a hacker kapcsolatba lép a célponttal egy közösségi oldalon, és beszélgetést kezdeményez a célponttal. Fokozatosan a hacker elnyeri a cél bizalmát, majd ezt a bizalmat felhasználva hozzáfér az érzékeny információkhoz, például a jelszóhoz vagy a bankszámlaadatokhoz.

A társadalommérnökség nagymértékben támaszkodik a Robert Cialdini által megállapított hat befolyásolási elvre . Cialdini hatástanulmánya hat alapelvre épül: kölcsönösség, elkötelezettség és következetesség, társadalmi bizonyítás, tekintély, tetszés, szűkösség.

Hat kulcselv

Hatóság

A szociális tervezésben a támadó tekintélynek teheti magát, hogy növelje az áldozat betartásának valószínűségét.

Megfélemlítés

A támadó (potenciálisan álcázva) tájékoztatja vagy sugallja, hogy bizonyos lépések elmulasztása negatív következményekkel jár. Következményei közé tartozhatnak a finom megfélemlítő kifejezések, mint például: „Megmondom a menedzsernek”.

Konszenzus/társadalmi bizonyítás

Az emberek olyan dolgokat fognak csinálni, amelyeket látnak más embereknek. Például egy kísérletben egy vagy több szövetséges felnézett az égre; a járókelők ekkor felnéztek az égre, hogy lássák, mi hiányzik belőlük. Egyszer ezt a kísérletet megszakították, mivel annyi ember nézett fel, hogy leállította a forgalmat. Lásd a megfelelőséget és az Asch megfelelőségi kísérleteket .

Hiány

Az észlelt szűkösség keresletet generál . A „amíg a készlet tart” általános reklámozási kifejezés a szűkösség érzetét kamatoztatja.

Sürgősség

A szűkösséggel összefüggésben a támadók a sürgősséget a társadalombiztosítás időalapú pszichológiai alapelveként használják. Például, ha azt állítja, hogy az ajánlatok "csak korlátozott ideig" érhetők el, az sürgősség révén ösztönzi az értékesítést.

Ismerkedés / kedvelés

Az embereket könnyen meg tudják győzni mások, akiket kedvelnek. Cialdini a Tupperware marketingjét idézi , amit ma vírusos marketingnek nevezhetünk . Az emberek nagyobb valószínűséggel vásároltak, ha tetszett nekik az, aki eladta nekik. Megvitatjuk a vonzóbb embereket kedvelő számos előítélet közül néhányat. Lásd a fizikai vonzerő sztereotípiáját .

Négy social engineering vektor

Vishing

Vishing, más néven „ hang phishing ”, a büntetőjogi gyakorlat segítségével social engineering egy telefonos rendszert , hogy hozzáférjen saját személyes és pénzügyi információkat a nyilvánosság számára az ügyletek pénzügyi jutalom. A támadók felderítési céllal is alkalmazzák , hogy részletesebb információkat gyűjtsenek egy célszervezetről.

Adathalászat

Az adathalászat a személyes adatok csalárd módon történő megszerzésének technikája. Általában az adathalász olyan e-mailt küld, amely úgy tűnik, hogy egy törvényes üzletágtól származik-egy banktól vagy hitelkártya-társaságtól-, és kéri az információk "ellenőrzését", és figyelmeztet valamilyen súlyos következményre, ha nem adják meg. Az e-mail rendszerint tartalmaz egy linket egy csalárd weboldal, amely úgy tűnik, jogos-vállalati logók és tartalmi és olyan formában kérő mindent egy otthoni címét, hogy az ATM-kártya „s PIN vagy hitelkártya száma . Például 2003 -ban volt egy adathalász átverés, amelyben a felhasználók e -maileket kaptak állítólag az eBay -től, azt állítva, hogy a felhasználó fiókját hamarosan felfüggesztik, kivéve, ha a megadott linkre kattintanak a hitelkártya frissítéséhez (az eredeti eBay -en már meglévő információk). Egy legitim szervezet HTML -kódját és logóit utánozva viszonylag egyszerű a hamis webhely hiteles megjelenését biztosítani. Az átverés néhány embert arra csalt, hogy az eBay megköveteli tőlük, hogy frissítsék fiókadataikat a megadott linkre kattintva. A rendkívül nagy embercsoportok válogatás nélküli spamelésével az "adathalász" arra számított, hogy érzékeny pénzügyi információkat szerez azoknak a címzetteknek a kis százalékából (mégis nagy számban), akik már rendelkeznek eBay -fiókkal, és ők is a csalás áldozatai.

Smishing

Az SMS szöveges üzenetek használatával az áldozatokat egy adott cselekvésre csábítják. Az adathalászathoz hasonlóan ez is rosszindulatú linkre való kattintás vagy információk közzététele. Ilyenek például az olyan szöveges üzenetek, amelyek azt állítják, hogy egy közös szolgáltatótól (például a FedEx -től) származnak, és azt jelzik, hogy a csomag szállítás alatt áll, és egy linket tartalmaz.

Megszemélyesítés

Más személynek való színlelés vagy ürügy azzal a céllal, hogy fizikailag hozzáférjen egy rendszerhez vagy épülethez. A " SIM -csere átverés " csalás során a megszemélyesítést használják .

Más fogalmak

Pretexting

Az előtevékenység (adj. Pretextual ) egy kitalált forgatókönyv ( ürügy ) megalkotása és felhasználása a célzott áldozat bevonására oly módon, hogy növelje annak esélyét, hogy az áldozat olyan információkat nyilvánosságra hozzon, vagy olyan műveleteket hajt végre, amelyek normális körülmények között valószínűtlenek. Ez egy bonyolult hazugság , amely leggyakrabban előzetes kutatást vagy beállítást foglal magában, és ezen információk személyeskedésre való felhasználását ( pl . Születési dátum, társadalombiztosítási szám , utolsó számla összege), hogy megalapozza a célt. Háttérként az ürügyet a társadalomtechnika első fejleményeként lehet értelmezni, és tovább kell fejlődni, miközben a társadalommérnökség beépítette a mai technológiákat. Az ürügy jelenlegi és korábbi példái ezt a fejlődést mutatják.

Ez a technika felhasználható arra, hogy egy vállalkozást becsapjon az ügyfelek adatainak nyilvánosságra hozatalához, valamint magánnyomozók is , hogy telefonos, közüzemi nyilvántartásokat, banki nyilvántartásokat és egyéb információkat szerezzenek be közvetlenül a vállalati szolgáltató képviselőitől. Az információk ezután felhasználhatók még nagyobb legitimitás megalapozására a menedzserrel folytatott keményebb kérdezés során, pl .

Az ürügyet arra is fel lehet használni, hogy kollégáiknak, rendőrségnek, banknak, adóhatóságoknak, papságnak, biztosítási nyomozóknak-vagy bármely más olyan személynek-akik a célzott áldozat tudatában tekintélyt vagy ismeretszerzési jogot észleltek-megszemélyesítsék magukat. A pretexternek egyszerűen válaszokat kell készítenie az áldozat által feltett kérdésekre. Bizonyos esetekben csak egy hangra van szükség, amely hitelesen hangzik, komolyan hangzik, és képes talpon gondolkodni, hogy pretextuális forgatókönyvet hozzon létre.

Vishing

A telefonos adathalászat (vagy " vishing ") szélhámos interaktív hangválasz (IVR) rendszert használ a bank vagy más intézmény IVR rendszerének legitim hangzású másolatának újratelepítésére. Az áldozatot felszólítják (általában adathalász e-mailben), hogy hívja fel a „bankot” egy (ideális esetben ingyenes) telefonszámon az információk „ellenőrzése” céljából. Egy tipikus "vishing" rendszer folyamatosan elutasítja a bejelentkezéseket, biztosítva, hogy az áldozat többször adja meg a PIN-kódokat vagy jelszavakat, gyakran több különböző jelszót is felfedve. A fejlettebb rendszerek átadják az áldozatot a támadónak/csalónak, aki ügyfélszolgálati ügynökként vagy biztonsági szakértőként jelentkezik az áldozat további kihallgatásában.

Dárda adathalászat

Bár az adathalászathoz hasonló, a lándzsás adathalászat olyan technika, amely csalárd módon szerzi meg a személyes adatokat azáltal, hogy kevés végfelhasználónak küld személyre szabott e -maileket. Ez a fő különbség az adathalász támadások között, mert az adathalász kampányok nagy mennyiségű általánosított e -mail küldésére összpontosítanak azzal a várakozással, hogy csak néhány ember válaszol. Másrészt a lándzsás adathalász e-mailek megkövetelik a támadótól, hogy további kutatásokat végezzen a célpontjain annak érdekében, hogy "becsapja" a végfelhasználókat a kért tevékenységek végrehajtására. A lándzsás adathalász támadások sikeressége lényegesen magasabb, mint az adathalász támadásoké, mivel az emberek az adathalász e-mailek nagyjából 3% -át nyitják meg, míg a potenciális kísérletek nagyjából 70% -a. Amikor a felhasználók ténylegesen megnyitják az e-maileket, az adathalász e-mailek viszonylag szerény 5% -os sikerrátával rendelkeznek ahhoz, hogy a linkre vagy a mellékletre kattintottak, szemben a lándzsás adathalász támadások 50% -os sikerrátájával.

A lándzsás adathalászat sikere nagymértékben függ a támadó által elérhető OSINT (nyílt forráskódú intelligencia) mennyiségétől és minőségétől . A közösségi média fióktevékenysége az OSINT egyik forrása.

Víznyálkahártya

A vízszennyezés egy célzott szociális tervezési stratégia, amely kihasználja a felhasználók bizalmát a rendszeresen felkeresett webhelyeken. Az áldozat biztonságban érzi magát, ha olyan dolgokat tehet, amelyeket más helyzetben nem tenne meg. Egy óvatos személy például szándékosan elkerülheti a kéretlen e -mailben található linkre való kattintást, de ugyanaz a személy nem habozik követni a gyakran meglátogatott webhely linkjét. Tehát a támadó csapdát készít az óvatlan zsákmánynak egy kedvelt öntözőlyuknál. Ezt a stratégiát sikeresen használták néhány (állítólag) nagyon biztonságos rendszerhez való hozzáféréshez.

A támadó elindulhat, ha azonosít egy csoportot vagy személyeket, akiket meg kell célozni. Az előkészítés magában foglalja a biztonságos rendszerről történő információgyűjtést a célpontok által gyakran látogatott webhelyekről. Az információgyűjtés megerősíti, hogy a célpontok meglátogatják a webhelyeket, és a rendszer lehetővé teszi az ilyen látogatásokat. A támadó ezután megvizsgálja ezeken a webhelyeken, hogy vannak -e sebezhetőségek, és olyan kódot kell beadnia, amely kártékony programokkal fertőzheti meg a látogató rendszerét . A befecskendezett kódcsapda és a rosszindulatú programok az adott célcsoporthoz és az általuk használt rendszerekhez szabhatók. Idővel a célcsoport egy vagy több tagja megfertőződik, és a támadó hozzáférhet a biztonságos rendszerhez.

Beetetés

A csalizás olyan, mint a valódi trójai faló , amely fizikai médiát használ, és az áldozat kíváncsiságára vagy mohóságára támaszkodik. Ebben a támadásban a támadók rosszindulatú programokkal fertőzött hajlékonylemezeket , CD-ROM-okat vagy USB flash meghajtókat hagynak olyan helyeken, ahol az emberek megtalálják őket (fürdőszobák, liftek, járdák, parkolók stb.), Jogos és kíváncsiságot keltő címkéket adnak nekik, és várja az áldozatokat.

Például a támadó létrehozhat egy céget a vállalati logóval ellátott lemezen, amely a célpont webhelyéről érhető el, és felcímkézheti azt "Executive fizetési összefoglaló 2012 második negyedéve". A támadó ezután elhagyja a lemezt egy lift padlóján vagy valahol a célcég előcsarnokában. Előfordulhat, hogy egy ismeretlen alkalmazott megtalálja, és kíváncsiságuk kielégítése érdekében behelyezi a lemezt a számítógépbe, vagy egy jó szamaritánus megtalálja és visszaküldi a cégnek. Mindenesetre, ha csak behelyezi a lemezt a számítógépbe, rosszindulatú programok települnek, így a támadók hozzáférhetnek az áldozat számítógépéhez, és talán a célvállalat belső számítógépes hálózatához .

Ha a számítógép nem vezérli a fertőzéseket, a beillesztés veszélyezteti a számítógépek "automatikusan futó" adathordozóit. Ellenséges eszközök is használhatók. Például a „szerencsés nyertes” ingyenes digitális audiolejátszót küld, amely veszélyeztet minden olyan számítógépet, amelyhez csatlakoztatva van. A " közúti alma " (a ló trágya köznyelvi kifejezése , amely az eszköz nemkívánatos jellegére utal) minden eltávolítható adathordozó, amely rosszindulatú szoftvereket hagy oportisztikus vagy feltűnő helyen. Ez lehet CD, DVD vagy USB flash meghajtó , többek között. A kíváncsi emberek veszik és csatlakoztatják a számítógéphez, megfertőzve a gazdagépet és a csatlakoztatott hálózatokat. A hackerek ismét csábító címkéket adhatnak nekik, például "Munkavállalói fizetések" vagy "Bizalmas".

Egy 2016 -os tanulmány szerint a kutatók 297 USB -meghajtót dobtak le az Illinois -i Egyetem campusán. A meghajtók olyan fájlokat tartalmaztak, amelyek a kutatók tulajdonában lévő weboldalakhoz kapcsolódtak. A kutatók láthatták, hogy a meghajtók közül hányon vannak fájlok megnyitva, de azt nem, hogy hányat helyeztek be a számítógépbe fájl megnyitása nélkül. A leesett 297 meghajtó közül 290 -at (98%) vettek fel, és 135 -öt (45%) "hívtak haza".

Ellenérték

A quid pro quo jelent valamit :

• Egy támadó véletlenszerű számokat hív egy cégnél, azt állítva, hogy visszahív a technikai támogatástól. Végül ez a személy megüt valakit, akinek jogos problémája van, hálás, hogy valaki visszahív, hogy segítsen neki. A támadó "segít" megoldani a problémát, és közben olyan felhasználói típusú parancsokkal rendelkezik, amelyek hozzáférést biztosítanak a támadónak, vagy rosszindulatú programokat indítanak el .
• Egy 2003 -as információbiztonsági felmérésben az irodai dolgozók 91% -a megadta a kutatóknak azt, amit jelszavuknak mondtak , válaszolva egy felmérési kérdésre cserébe egy olcsó tollért . A későbbi években végzett hasonló felmérések hasonló eredményeket értek el csokoládék és más olcsó csalik felhasználásával, bár nem tették kísérletet a jelszavak érvényesítésére.

Szabályozás

Egy támadó, aki belépést kíván elérni egy korlátozott területre, amelyet felügyelet nélküli elektronikus hozzáférés -szabályozás , például RFID -kártya biztosít, egyszerűen belép egy jogosult személy mögé. A közös udvariasságot követően a törvényes személy általában nyitva tartja az ajtót a támadó előtt, vagy maguk a támadók kérhetik a munkavállalót, hogy tartsa nyitva számukra. A törvényes személy több okból sem kérhet személyazonosságot, vagy elfogadhatja azt az állítást, hogy a támadó elfelejtette vagy elvesztette a megfelelő személyazonossági jelzőt. A támadó azt is meghamisíthatja, hogy személyazonossági jelzőt mutat be.

Más típusok

A gyakori bizalmi csalókat vagy csalókat tágabb értelemben "szociális mérnököknek" is tekinthetjük, mivel szándékosan becsapják és manipulálják az embereket, kihasználva az emberi gyengeségeket személyes haszonszerzés céljából. Használhatnak például szociális mérnöki technikákat egy informatikai csalás részeként.

A 2000-es évek elejétől egy másik típusú szociális tervezési technika magában foglalja a népszerű e-mail azonosítóval rendelkező személyek azonosítóinak hamisítását vagy feltörését, például a Yahoo! , Gmail vagy Hotmail . Ezenkívül néhány hamisítási kísérlet magában foglalta a nagy online szolgáltatók, például a PayPal e -mailjeit . Ez vezetett a 2014 áprilisában kelt RFC 7208 feladói házirend keretrendszer "javasolt szabványához", a DMARC -val kombinálva , a hamisítás elleni küzdelem eszközeként. Ennek a megtévesztésnek számos oka van:

• Adathalász hitelkártya-számlaszámok és jelszavaik.
• Privát e-mailek és csevegési előzmények feltörése, és manipulálása ezekkel a szokásos szerkesztési technikákkal, mielőtt pénzt zsarolna, és bizalmatlanságot keltene az egyének között.
• Cégek vagy szervezetek webhelyeinek feltörése és hírnevük lerombolása.
• Számítógépes vírus csalások
• A felhasználók meggyőzése arról, hogy rosszindulatú kódot futtassanak a webböngészőben az önálló XSS támadással, hogy hozzáférést biztosítsanak webes fiókjukhoz

Ellenintézkedések

A szervezetek csökkentik biztonsági kockázataikat:

Képzés alkalmazottaknak : Az alkalmazottak képzése a pozíciójuknak megfelelő biztonsági protokollokban. (pl. olyan helyzetekben, mint a farokfutás, ha egy személy személyazonossága nem ellenőrizhető, akkor az alkalmazottakat ki kell képezni az udvarias visszautasításra.)

Standard keret : bizalmi keretek kialakítása munkavállalói/személyzeti szinten (azaz határozza meg és képezze ki a személyzetet, mikor/hol/miért/hogyan kell kezelni az érzékeny információkat)

Információk vizsgálata : Azon adatok azonosítása, amelyek érzékenyek, és a szociális tervezésnek és a biztonsági rendszerek (épület, számítógépes rendszer stb.) Meghibásodásának való kitettség értékelése.

Biztonsági protokollok : Biztonsági protokollok, házirendek és eljárások létrehozása az érzékeny információk kezelésére.

Esemény teszt : A biztonsági keret előre be nem jelentett, időszakos tesztelése.

Oltás : A szociális tervezés és más csaló trükkök vagy csapdák megelőzése azáltal, hogy ellenállást tanúsítanak a meggyőzési kísérleteknek a hasonló vagy kapcsolódó kísérleteknek való kitettség révén.

Áttekintés : A fenti lépések rendszeres felülvizsgálata: az információ integritására nincs tökéletes megoldás.

Hulladékgazdálkodás : Olyan hulladékgazdálkodási szolgáltatás igénybevétele, amely zárral ellátott szemeteseket tartalmaz, kulcsaik csak a hulladékkezelő társaságra és a takarító személyzetre korlátozódnak. A szemétgyűjtő elhelyezése az alkalmazottakra tekintettel, hogy hozzáférjen ahhoz, hogy láthassák vagy elkapják, vagy egy lezárt kapu vagy kerítés mögött, ahol a személynek át kell lépnie, mielőtt megpróbálhat hozzáférni a szemétgyűjtőhöz.

A társadalomépítés életciklusa

1. Információgyűjtés : Az információgyűjtés az életciklus első és legfontosabb lépése. Ez sok türelmet és az áldozat figyelmes szokásait igényli. Ez a lépés adatokat gyűjt az áldozat érdekeiről, személyes adatairól. Ez határozza meg a teljes támadás sikerének arányát.
2. Kapcsolattartás az áldozattal : A szükséges mennyiségű információ összegyűjtése után a támadó zökkenőmentesen beszélgetést kezdeményez az áldozattal, anélkül, hogy az áldozat valami nem megfelelőt találna.
3. Támadás : Ez a lépés általában a céllal való hosszú elkötelezettség után következik be, és ezalatt a célterületről származó információkat a social engineering segítségével szerzik be. A fázisban a támadó megkapja a célpont eredményeit.
4. Záró interakció : Ez az utolsó lépés, amely magában foglalja a támadó kommunikációjának lassú leállítását anélkül, hogy gyanú merülne fel az áldozatban. Ily módon az indíték teljesül, valamint az áldozat ritkán ismeri fel, hogy a támadás megtörtént.

Nevezetes szociális mérnökök

Frank Abagnale Jr.

Ifj. Frank Abagnale amerikai biztonsági tanácsadó, aki korábbi csaló, csekkhamisító és csaló voltáról ismert, miközben 15 és 21 év között volt. Az egyik leghírhedtebb csaló lett, azt állítva, hogy nem kevesebbet feltételezett mint nyolc személyazonosságot, köztük egy légitársaság pilótáját, egy orvost, egy amerikai börtönügynökségi ügynököt és egy ügyvédet. Abagnale kétszer is megszökött a rendőrség őrizetéből (egyszer taxizó repülőgépből, egyszer pedig egy amerikai szövetségi büntetés -végrehajtási intézetből), mielőtt betöltötte volna 22 éves korát. Az életén alapul a népszerű Steven Spielberg Catch Me If You Can című filmje .

Kevin Mitnick

Kevin Mitnick amerikai számítógépes biztonsági tanácsadó, szerző és hacker , legismertebb nagy horderejű 1995-ös letartóztatásáról, majd később ötéves elítéléséről különböző számítógépes és kommunikációs bűncselekmények miatt.

Susan Headley

Susan Headley amerikai hacker volt, aki az 1970 -es évek végén és az 1980 -as évek elején tevékenykedett, és amelyet széles körben tiszteltek a szociális tervezésben, az ürügyekben és a pszichológiai felforgatásban szerzett szakértelme miatt . A katonai számítógépes rendszerekbe való betörés különlegességéről volt híres, amely gyakran magában foglalta a katonai személyzettel való lefekvést, és alvás közben a ruhák keresését a felhasználónevek és jelszavak után. Ő lett aktívan részt vesz a phreaking a Kevin Mitnick és Lewis de Payne Los Angeles , de később keretezett őket törlése a rendszerfájlok az amerikai Leasing után esik ki, ami a Mitnick első meggyőződés. Visszavonult a profi pókerhez.

James Linton

James Linton brit hacker és szociális mérnök, aki 2017 -ben OSINT és lándzsás adathalász technikákkal különböző célokat csalt el e -mailben, beleértve a Major Banks vezérigazgatóit és a Trump Fehér Ház adminisztrációjának tagjait. Ezt követően az e -mail biztonsággal foglalkozott, ahol a BEC (Business Email Compromise) fenyegetésszereplőket társadalmilag tervezte, hogy konkrét fenyegetési információkat gyűjtsön.

Badir Testvérek

Ramy, Muzher és Shadde Badir testvérek-mindannyian születésüktől fogva vakok- a kilencvenes években kiterjedt telefon- és számítógépes csalási rendszert hoztak létre Izraelben , szociális tervezés, hangutánzás és Braille-kijelzős számítógépek segítségével .

Christopher J. Hadnagy

Christopher J. Hadnagy amerikai szociális mérnök és informatikai biztonsági tanácsadó. Legismertebb, mint 4, a társadalombiztosításról és a kiberbiztonságról szóló könyv szerzője, valamint az Innocent Lives Foundation alapítója, egy olyan szervezet alapítója, amely különböző biztonsági technikákkal segíti a gyermekkereskedelem nyomon követését és azonosítását, mint például az információbiztonsági szakemberek segítségének igénybevétele, a nyílt adatok felhasználása. -forrás hírszerzés (OSINT) és együttműködés a bűnüldözéssel.

Törvény

A common law , pretexting egy magánélet megsértése kártérítési alapot.

Telefonos nyilvántartások ürügyén

2006 decemberében az Egyesült Államok Kongresszusa jóváhagyta a szenátus által támogatott törvényjavaslatot, amely a telefonos nyilvántartások ürügyét szövetségi bűncselekménnyé teszi , 250 000 dolláros bírsággal és tíz év börtönbüntetéssel magánszemélyek számára (vagy 500 000 dolláros bírsággal a vállalatok számára). George W. Bush elnök 2007. január 12 -én írta alá.

Szövetségi jogszabályok

Az 1999 -es "GLBA" egy amerikai szövetségi törvény, amely kifejezetten a banki nyilvántartások ürügyét tekinti a szövetségi törvények szerint büntetendő jogellenes cselekedetnek. Ha egy üzleti szervezet, például magánnyomozó, SIU biztosítási nyomozó vagy kiigazító bármilyen típusú megtévesztést követ el, a szövetségi kereskedelmi bizottság (FTC) hatáskörébe tartozik . Ennek a szövetségi ügynökségnek kötelessége és felhatalmazása van annak biztosítására, hogy a fogyasztókat ne érje tisztességtelen vagy megtévesztő üzleti gyakorlat. Az Egyesült Államok Szövetségi Kereskedelmi Bizottságának törvénye, az FTCA 5. szakasza részben kimondja: „Amikor a Bizottságnak okkal feltételezheti, hogy bármely ilyen személy, társulás vagy társaság tisztességtelen versenymódot, tisztességtelen vagy megtévesztő cselekményt követett el vagy használ, vagy gyakorlatot gyakorol a kereskedelemben vagy befolyásolja azt, és ha a Bizottság számára úgy tűnik, hogy az általa indított eljárás a nyilvánosság érdekeit szolgálja, panaszt küld és szolgál ki az ilyen személynek, társulásnak vagy társaságnak, amelyben feltünteti díjait. azt a tiszteletet. "

A jogszabály kimondja, hogy ha valaki személyes, nem nyilvános információt szerez egy pénzintézettől vagy a fogyasztótól, akkor cselekedeteit a törvény szabályozza. A fogyasztónak a pénzügyi intézménnyel fennálló kapcsolatára vonatkozik. Például egy hamis színlelést alkalmazó pretexter, amely vagy a fogyasztó bankjától kapja meg a fogyasztó címét, vagy arra készteti a fogyasztót, hogy nyilvánosságra hozza bankja nevét. A meghatározó elv az, hogy az ürügy csak akkor következik be, ha az információ hamis színlelés útján szerzett információt.

Míg a mobiltelefon -rekordok értékesítése jelentős médiafigyelemre tett szert, és a távközlési nyilvántartások középpontjában áll az Egyesült Államok szenátusa előtt álló két törvényjavaslat , sok más típusú magánlemez vásárlása és értékesítése a nyilvános piacon. A mobiltelefon -nyilvántartások sok hirdetése mellett a vezetékes nyilvántartásokat és a hívókártyákkal kapcsolatos rekordokat is hirdetik. Ahogy az egyének VoIP -telefonokra váltanak, nyugodtan feltételezhetjük, hogy ezeket a lemezeket is eladásra kínálják. Jelenleg törvényes a telefonos nyilvántartások értékesítése, de azok beszerzése illegális.

1. Forrásinformációs szakemberek

Fred Upton amerikai képviselő (R- Kalamazoo , Michigan), a Távközlés és az Internet Energetikai és Kereskedelmi Albizottságának elnöke aggodalmát fejezte ki a személyes mobiltelefon-nyilvántartások könnyű internetes hozzáférése miatt a ház energia- és kereskedelmi bizottságának meghallgatásán. Eladó telefonrekordok: Miért nem biztonságosak a telefonrekordok az ürügyektől? " Illinois lett az első állam, amely beperelte az online iratkezelőt, amikor Lisa Madigan főügyész beperelte az 1st Source Information Specialists, Inc. -t. Madigan irodájának szóvivője közölte. A floridai székhelyű cég számos olyan webhelyet üzemeltet, amelyek mobiltelefon-rekordokat árulnak, a kereset egy példánya szerint. A floridai és a Missouri államügyészek gyorsan követték Madigan példáját, keresetet nyújtottak be az 1. Forrásinformációs Szakemberek és Missouri esetében egy másik iratkezelő - a First Data Solutions, Inc. - ellen.

Számos vezeték nélküli szolgáltató-köztük a T-Mobile, a Verizon és a Cingular-korábban keresetet nyújtott be az iratkezelőkkel szemben, és a Cingular elrendelte a First Data Solutions és az 1. Forrásinformációs Szakemberek elleni eljárást. Charles Schumer amerikai szenátor (D-New York) 2006 februárjában törvényt vezetett be a gyakorlat visszaszorítására. A fogyasztói Telefon Records Protection Act 2006 hozna létre bűntett büntető szankciókat lopás és eladási rekordok mobiltelefon, vezetékes , és a Voice over Internet Protocol (VoIP) előfizetők.

HP

Patricia Dunn , a Hewlett Packard korábbi elnöke beszámolt arról, hogy a HP igazgatótanácsa felvett egy magánnyomozó céget, hogy megvizsgálja, ki a felelős a fórumon belüli szivárgásokért. Dunn elismerte, hogy a vállalat az ürügy gyakorlását használta fel az igazgatótanács tagjainak és újságíróinak telefonnyilvántartásainak kikérésére. Dunn elnök később bocsánatot kért emiatt, és felajánlotta, hogy lemond a testületről, ha a testület tagjai kívánják. A szövetségi törvénnyel ellentétben a kaliforniai törvény kifejezetten tiltja az ilyen ürügyet. A Dunn ellen elkövetett négy bűncselekmény vádját elutasították.

Megelőző intézkedések

Bizonyos óvintézkedések megtétele csökkenti annak kockázatát, hogy a szociális mérnöki csalások áldozatává váljon. A lehetséges óvintézkedések a következők:

• Legyen tisztában az ajánlatokkal, amelyek "túl szépek ahhoz, hogy igazak legyenek".
• Használjon többtényezős hitelesítést.
• Kerülje az ismeretlen forrásból származó mellékletekre való kattintást.
• Senkinek nem ad ki személyes adatokat e -mailben, telefonon vagy szöveges üzenetben.
• Használja a spam szűrő szoftver.
• Ne barátkozz olyan emberekkel, akiket a való életben nem ismersz.
• Tanítsa meg a gyerekeket, hogy lépjenek kapcsolatba egy megbízható felnőttel abban az esetben, ha az interneten zaklatják őket ( számítógépes zaklatás ), vagy úgy érzik, hogy bármi fenyegeti őket.

Lásd még

• Okleveles társadalommérnöki megelőzési szakember (CSEPS)
• Shikara kód  - Számítógépes féreg
• Magabiztossági trükk  - Próbáljon meg becsapni egy személyt vagy csoportot, miután először elnyerte bizalmát
• Ellenintézkedés (számítógép)
• Cyber-HUMINT-  A kibertér hackerei által használt készségek
• Kibérista
• Oltási elmélet  - Annak magyarázata, hogy egy hozzáállást vagy hitet hogyan lehet megvédeni a befolyástól, ugyanúgy, mint egy testet a betegségek ellen
• Internetbiztonsági tudatossági képzés
• IT kockázat  - Az információtechnológiával kapcsolatos minden olyan kockázat, amely a szervezet üzleti folyamatait különböző mértékben megalapozhatja
• Médiacsínyek , amelyek gyakran hasonló taktikákat alkalmaznak (bár általában nem bűnügyi célokra)
• Behatolási teszt  - Számítógépes és hálózati biztonság kiértékelésének módja kibertámadások szimulálásával
• Adathalászat  - Olyan cselekmény, amikor bizalmas információkat próbálnak megszerezni megbízható szervezetként
• Fizikai információbiztonság
• Piggybacking (biztonság)
• SMS adathalászat
• Fenyegetés (számítógép)
• Hangos adathalászat  - A bűnözők a hangtechnikát használó szociális tervezést használják a bűnözőknek, hogy meggyőzzék az áldozatokat az érzékeny információk nyilvánosságra hozataláról
• Sebezhetőség (számítástechnika)  - kihasználható gyengeség a számítógépes rendszerben
• Kiberbiztonsági tudatosság

Hivatkozások

További irodalom

Külső linkek

• Társadalomtechnikai alapok - Securityfocus.com . Letöltve: 2009. augusztus 3.
• "Társadalomtechnika, USB út" . Light Reading Inc. 2006. június 7. Archiválva az eredetiből 2006. július 13 -án . Letöltve: 2014. április 23 .
• Kell -e a társadalombiztosítás része a behatolási tesztnek? - Darknet.org.uk . Letöltve: 2009. augusztus 3.
• "A fogyasztói telefonrekordok védelme" , Elektronikus adatvédelmi információs központ Amerikai Kereskedelmi, Tudományos és Közlekedési Bizottság . Letöltve: 2006. február 8.
• Plotkin, Hal. Feljegyzés a sajtónak: Az elõhívás már illegális . Letöltve: 2006. szeptember 9.