Jump to content

Социальная инженерия (безопасность)

Чтобы узнать о влиянии на отношения и социальное поведение в больших масштабах, см. социальную инженерию (политологию) .
Определение социальной инженерии с точки зрения непрофессионала
ОПСЕК Оповещение

В контексте информационной безопасности конфиденциальную социальная инженерия — это психологическое манипулирование людьми, заставляющее их выполнять действия или разглашать информацию . Тип мошенничества с целью сбора информации, мошенничества или доступа к системе. Он отличается от традиционного «аферизма» в том смысле, что часто является одним из многих шагов в более сложной схеме мошенничества. [1] Его также определяют как «любое действие, которое заставляет человека предпринять действия, которые могут или не могут быть в его интересах». [2]

Исследования, проведенные в 2020 году, показали, что социальная инженерия станет одной из самых важных задач предстоящего десятилетия. Навыки социальной инженерии будут приобретать все большее значение для организаций и стран из-за их влияния на геополитику . Социальная инженерия поднимает вопрос о том, будут ли наши решения обоснованными, если наша первичная информация сконструирована и предвзята. [3]

Интенсивность и количество атак социальной инженерии возрастают, что усиливает потребность в новых методах обнаружения и образовательных программах по кибербезопасности. [4]

Техники и термины [ править ]

Все методы социальной инженерии основаны на атрибутах человеческого принятия решений, известных как когнитивные искажения . [5] [6]

Одним из примеров социальной инженерии является человек, который заходит в здание и публикует в бюллетене компании официальное объявление о том, что номер службы поддержки изменился. Таким образом, когда сотрудники обращаются за помощью, человек спрашивает их пароли и идентификаторы, тем самым получая возможность получить доступ к частной информации компании.Другим примером социальной инженерии может быть то, что хакер связывается с целью на сайте социальной сети и начинает с ней разговор. Постепенно хакер завоевывает доверие цели, а затем использует это доверие для получения доступа к конфиденциальной информации, такой как пароль или данные банковского счета. [7]

Претекстинг [ править ]

Основная статья: Предлог

Претекст (прил. предтекст ) — это процесс создания и использования изобретенного сценария ( предлога ) для вовлечения целевой жертвы таким образом, чтобы увеличить вероятность того, что жертва разгласит информацию или выполнит действия, которые были бы маловероятны в обычных обстоятельствах. [8] Тщательно продуманная ложь , чаще всего включает в себя предварительное исследование или подготовку и использование этой информации для выдачи себя за другое лицо ( например , дату рождения, номер социального страхования , сумму последнего счета) для установления легитимности в сознании объекта. [9]

Водозабор [ править ]

Основная статья: Атака водопоя

«Удаление воды» — это целенаправленная стратегия социальной инженерии, которая извлекает выгоду из доверия пользователей к веб-сайтам, которые они регулярно посещают. Жертва чувствует себя в безопасности, делая то, что не стала бы делать в другой ситуации. Осторожный человек может, например, намеренно избегать перехода по ссылке в нежелательном электронном письме, но тот же человек без колебаний перейдет по ссылке на веб-сайт, который он часто посещает. Итак, злоумышленник готовит ловушку для неосторожной добычи на излюбленном водопое. Эта стратегия успешно использовалась для получения доступа к некоторым (предположительно) очень безопасным системам. [10]

Травля [ править ]

Травля похожа на реального троянского коня , который использует физические носители и полагается на любопытство или жадность жертвы. [11] В ходе этой атаки злоумышленники оставляют вредоносным ПО зараженные дискеты , компакт-диски или флэш-накопители USB в местах, где их могут найти люди (ванные комнаты, лифты, тротуары, парковки и т. д.), присваивают им законные и вызывающие любопытство этикетки и жди жертв.

Если компьютерные средства управления не блокируют заражение, вставка ставит под угрозу «автозапуск» носителей ПК. Также могут быть использованы враждебные устройства. [12] Например, «счастливому победителю» отправляется бесплатный цифровой аудиоплеер, ставящий под угрозу любой компьютер, к которому он подключен. « Дорожное яблоко » (разговорный термин, обозначающий конский навоз , указывающий на нежелательный характер устройства) — это любой съемный носитель с вредоносным ПО, оставленный в неподходящих или заметных местах. Это может быть компакт-диск, DVD-диск или USB-накопитель , а также другие носители. Любопытные люди берут его и подключают к компьютеру, заражая хост и все подключенные сети. Опять же, хакеры могут дать им заманчивые ярлыки, такие как «Заработная плата сотрудников» или «Конфиденциально». [13]

В одном исследовании, опубликованном в 2016 году, исследователи разбросали 297 USB-накопителей по кампусу Университета Иллинойса. На дисках находились файлы, которые ссылались на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких дисках были открыты файлы, но не сколько дисков было вставлено в компьютер без открытия файла. Из 297 упавших дисков 290 (98%) были подобраны и 135 (45%) «дозвонились домой». [14]

Закон [ править ]

В общем праве предлог представляет собой вторжение в частную жизнь и правонарушение присвоения. [15]

Претекстирование телефонных записей [ править ]

В декабре 2006 года Конгресс США одобрил законопроект, предложенный Сенатом, согласно которому подделка телефонных записей является федеральным уголовным преступлением со штрафом до 250 000 долларов и десятью годами тюремного заключения для физических лиц (или штрафом до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года. [16]

Федеральное законодательство [ править ]

1999 года Закон Грэмма-Лича-Блайли (GLBA) — это федеральный закон США , который конкретно рассматривает подделку банковских записей как незаконное деяние, наказуемое в соответствии с федеральными законами. Когда коммерческое предприятие, такое как частный детектив, страховой следователь SIU или аджастер, совершает какой-либо обман, оно подпадает под юрисдикцию Федеральной торговой комиссии (FTC). Это федеральное агентство обязано и уполномочено обеспечивать, чтобы потребители не подвергались какой-либо несправедливой или вводящей в заблуждение деловой практике. Закон о Федеральной торговой комиссии США, раздел 5 FTCA , в частности гласит:«Всякий раз, когда у Комиссии будут основания полагать, что какое-либо такое лицо, товарищество или корпорация использовало или использует какой-либо несправедливый метод конкуренции или несправедливое или обманное действие или практику в торговле или влияющую на нее, и если Комиссии окажется, что действия, предпринимаемые им в отношении этого, будут отвечать общественным интересам, он должен направить и вручить такому лицу, товариществу или корпорации жалобу с изложением обвинений в этом отношении».

В законе говорится, что когда кто-то получает какую-либо личную, закрытую информацию от финансового учреждения или потребителя, его действия подпадают под действие закона. Это относится к отношениям потребителя с финансовым учреждением. Например, подпадает под действие обвинения злоумышленник, использующий ложные предлоги либо для того, чтобы получить адрес потребителя от банка потребителя, либо для того, чтобы заставить потребителя раскрыть название своего банка. Определяющий принцип заключается в том, что претекстинг имеет место только тогда, когда информация получена под ложным предлогом.

Хотя продажа записей сотовых телефонов привлекла значительное внимание средств массовой информации, а записи телекоммуникаций находятся в центре внимания двух законопроектов, находящихся в настоящее время на рассмотрении Сената США , многие другие типы частных записей покупаются и продаются на публичном рынке. Наряду со многими рекламами записей сотовых телефонов рекламируются записи проводной связи и записи, связанные с телефонными картами. Поскольку люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут выставлены на продажу. В настоящее время продажа телефонных записей разрешена, но их получение незаконно. [17]

Специалисты по 1- информации й исходной

Член палаты представителей США Фред Аптон (республиканец от Каламазу , штат Мичиган), председатель Подкомитета энергетики и торговли по телекоммуникациям и Интернету, выразил обеспокоенность по поводу легкого доступа к записям личных мобильных телефонов в Интернете во время слушаний в Комитете Палаты представителей по энергетике и торговле по вопросу « Продаются телефонные записи: почему телефонные записи не защищены от предлогов? Иллинойс стал первым штатом, который подал в суд на брокера онлайн-записей, когда генеральный прокурор Лиза Мэдиган подала в суд на компанию 1st Source Information Specialists, Inc. Об этом сообщила пресс-секретарь офиса Мэдигана. Согласно копии иска, компания из Флориды управляет несколькими веб-сайтами, на которых продаются записи мобильных телефонов. Генеральные прокуроры Флориды и Миссури быстро последовали примеру Мэдигана, подав иски соответственно против 1st Source Information Specialists и, в случае Миссури, еще одного брокера записей – First Data Solutions, Inc.

Несколько провайдеров беспроводной связи, в том числе T-Mobile, Verizon и Cingular, ранее подали иски против брокеров записей, при этом Cingular выиграла судебный запрет против компаний First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (демократ от штата Нью-Йорк) в феврале 2006 года представил закон, направленный на пресечение этой практики. Закон о защите записей телефонных разговоров потребителей 2006 года предусматривает уголовное наказание за кражу и продажу записей абонентов мобильных, стационарных телефонов и абонентов голосовой связи по интернет-протоколу (VoIP).

Хьюлетт-Паккард [ править ]

Патрисия Данн , бывший председатель Hewlett Packard , сообщила, что совет директоров HP нанял частную следственную компанию, чтобы выяснить, кто несет ответственность за утечки информации внутри совета директоров. Данн признал, что компания использовала практику предлогов, чтобы запросить записи телефонных разговоров членов совета директоров и журналистов. Позже председатель Данн извинился за этот поступок и предложил выйти из совета директоров, если этого пожелают члены совета. [18] В отличие от федерального закона, закон штата Калифорния прямо запрещает подобные предлоги. Четыре обвинения в совершении уголовного преступления, предъявленные Данну, были сняты. [19]

инциденты в области Известные социальной инженерии

Веб-сайты помощи по взлому Equifax [ править ]

После утечки данных Equifax в 2017 году, в результате которой было утекло более 150 миллионов частных записей (включая номера социального страхования , номера водительских прав , даты рождения и т. д.), были разосланы предупреждения об опасностях надвигающихся угроз безопасности. [20] На следующий день после создания законного справочного веб-сайта (equifaxsecurity2017.com), предназначенного для людей, потенциально пострадавших от взлома, 194 вредоносных домена были зарезервированы из-за небольших вариаций URL-адресов, что позволило извлечь выгоду из вероятности ошибок при вводе людьми. [21] [22]

социальные Известные инженеры

Сьюзан Хедли [ править ]

Сьюзен Хедли участвовала во мошенничестве с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе , но позже обвинила их в удалении системных файлов в US Leasing после ссоры, что привело к первому осуждению Митника. Она ушла в профессиональный покер. [23]

Майк Ридпат [ править ]

Майк Ридпат — консультант по безопасности, автор публикаций, докладчик и бывший участник w00w00 . Он хорошо известен разработкой методов и тактик социальной инженерии посредством холодных звонков . Он стал хорошо известен благодаря живым демонстрациям, а также прослушиванию записанных разговоров после переговоров, где он объяснял свой ход мыслей о том, что он делал, чтобы получить пароли по телефону. [24] [25] [26] [27] [28] В детстве Ридпат был связан с Badir Brothers и был широко известен в сообществе фрикеров и хакеров своими статьями в популярных подпольных электронных журналах , таких как Phrack, B4B0 и 9x, о модификации Oki 900, blueboxing, спутниковом взломе и RCMAC. [29] [30]

Братья Бадир [ править ]

Братья Рами, Мужер и Шадде Бадир, слепые от рождения, сумели в 1990-х годах организовать в Израиле масштабную схему телефонного и компьютерного мошенничества , используя социальную инженерию, подражание голосу и компьютеры с дисплеями Брайля . [31] [32]

Лейтенант Кристофер Дж. [ править ]

Кристофер Дж. Хаднаги — американский социальный инженер и консультант по безопасности информационных технологий. Он наиболее известен как автор 4 книг по социальной инженерии и кибербезопасности. [33] [34] [35] [36] и основатель Innocent Lives Foundation, организации, которая помогает отслеживать и выявлять торговлю детьми, обращаясь за помощью к специалистам по информационной безопасности, используя данные разведки из открытых источников (OSINT) и сотрудничая с правоохранительными органами. [37] [38]

Ссылки [ править ]

  1. ^ Андерсон, Росс Дж. (2008). Инженерия безопасности: руководство по построению надежных распределенных систем (2-е изд.). Индианаполис, Индиана: Уайли. п. 1040. ИСБН  978-0-470-06852-6 . Глава 2, стр. 17
  2. ^ «Определение социальной инженерии» . Безопасность через образование . Проверено 3 октября 2021 г.
  3. ^ Гиттон, Матье Дж. (1 июня 2020 г.). «Кибербезопасность, социальная инженерия, искусственный интеллект, технологические зависимости: социальные вызовы на ближайшее десятилетие» . Компьютеры в поведении человека . 107 :106307.doi : 10.1016 /j.chb.2020.106307 . ISSN   0747-5632 . S2CID   214111644 .
  4. ^ Салахдин, Фатима (2019). «Атаки социальной инженерии: исследование» . Школа электротехники и информатики Университета Северной Дакоты . 11 (4): 89.
  5. ^ Жако, К.: «Курсовая тетрадь CSEPS» (2004), раздел 3, Jaco Security Publishing.
  6. ^ Кирдемир, Барис (2019). «ВРАЖДЕБНОЕ ВЛИЯНИЕ И ВОЗНИКАЮЩИЕ КОГНИТИВНЫЕ УГРОЗЫ В КИБЕРПРОСТРАНСТВЕ» . Центр экономики и внешнеполитических исследований .
  7. ^ Хэтфилд, Джозеф М. (июнь 2019 г.). «Добродетельный человеческий взлом: этика социальной инженерии в тестировании на проникновение». Компьютеры и безопасность . 83 : 354–366. дои : 10.1016/j.cose.2019.02.012 . S2CID   86565713 .
  8. История о том, как HP предлогала скандал с обсуждением, доступна по адресу Давани, Фараз (14 августа 2011 г.). «Скандал с предлогами в HP Фараза Давани» . Проверено 15 августа 2011 г. - через Scribd.
  9. ^ « Предтекст: раскрыта ваша личная информация », Федеральная торговая комиссия.
  10. ^ «Китайская шпионская кампания скомпрометировала Forbes.com, чтобы нацелиться на оборонные компании США и компании финансовых услуг в атаке в стиле водопоя» . invincea.com. 10 февраля 2015 года . Проверено 23 февраля 2017 г.
  11. ^ «Социальная инженерия: путь USB» . Light Reading Inc., 7 июня 2006 г. Архивировано из оригинала 13 июля 2006 г. . Проверено 23 апреля 2014 г.
  12. ^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 11 октября 2007 года . Проверено 2 марта 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  13. ^ Конклин, Вм. Артур; Уайт, Грег; Котрен, Чак; Дэвис, Роджер; Уильямс, Дуэйн (2015). Принципы компьютерной безопасности, четвертое издание (Официальное руководство Comptia) . Нью-Йорк: Образование Макгроу-Хилл. стр. 193–194. ISBN  978-0071835978 .
  14. ^ Рэйвуд, Дэн (4 августа 2016 г.). «Подробное описание эксперимента #BHUSA по отказу от USB» . информационная безопасность . Проверено 28 июля 2017 г.
  15. ^ Повторное заявление 2d о правонарушениях § 652C.
  16. ^ «Конгресс запрещает предлоги» . 109-й Конгресс (2005–2006 гг.) HR4709 – Закон о телефонных записях и защите конфиденциальности 2006 г. 2007.
  17. ^ Митник, К. (2002): «Искусство обмана», с. 103 Wiley Publishing Ltd: Индианаполис, Индиана; Соединенные Штаты Америки. ISBN   0-471-23712-4
  18. Председатель HP: Использование предлогов «позорит» Стивена Шенкленда, 8 сентября 2006 г., 13:08 по тихоокеанскому времени CNET News.com
  19. ^ «Суд Калифорнии снял обвинения с Данна» . CNET. 14 марта 2007 года . Проверено 11 апреля 2012 г.
  20. ^ «Фирма кредитной отчетности Equifax заявляет, что утечка данных потенциально может затронуть 143 миллиона потребителей в США» . CNBC. 7 сентября 2018 года . Проверено 3 мая 2024 г.
  21. ^ «Откровенный разговор: остерегайтесь мошенничества, связанного с утечкой данных Equifax» . Архивировано из оригинала 6 декабря 2020 года.
  22. ^ «Фишинг» . Безопасность через образование . Социальный инженер.
  23. ^ Хафнер, Кэти (август 1995 г.). «Кевин Митник, отключен от сети» . Эсквайр . 124 (2): 80 (9).
  24. ^ Социальная инженерия: Манипулирование человеком . Служба безопасности Скорпион Нет. 16 мая 2013 г. ISBN  9789351261827 . Проверено 11 апреля 2012 г.
  25. ^ Никерк, Бретт ван. «Мобильные устройства и армия: полезный инструмент или значительная угроза» . Материалы 4-го семинара по использованию ИКТ в войне и защите мира, 2012 г. (Iwsp 2012) и Журнал информационной войны . academia.edu . Проверено 11 мая 2013 г.
  26. ^ «Социальная инженерия: Манипулирование человеком» . Ютуб. 7 октября 2011 года . Проверено 11 апреля 2012 г.
  27. ^ «BsidesPDX Track 1 07.10.11 14:52, BsidesPDX Track 1 07.10.11 14:52 BsidesPDX на USTREAM. Конференция» . Ustream.tv. 7 октября 2011 года. Архивировано из оригинала 4 августа 2012 года . Проверено 11 апреля 2012 г.
  28. ^ «Автоматизированная социальная инженерия» . Яркий РАЗГОВОР. 29 сентября 2011 года . Проверено 11 апреля 2012 г.
  29. ^ «Социальная инженерия: общий подход» (PDF) . Журнал «Информатика Экономика» . Проверено 11 января 2015 г.
  30. ^ «Киберпреступность» . Хейс. 7 ноября 2018 г. ISBN  9781839473036 . Проверено 11 января 2020 г.
  31. ^ «Wired 12.02: Три слепых урода» . Проводной . 14 июня 1999 года . Проверено 11 апреля 2012 г.
  32. ^ «Социальная инженерия: рассказ молодого хакера» (PDF) . 15 февраля 2013 года . Проверено 13 января 2020 г. . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  33. ^ «43 лучшие книги по социальной инженерии всех времен» . КнигаАвторитет . Проверено 22 января 2020 г.
  34. ^ «Книга месяца Бенса. Обзор социальной инженерии. Наука человеческого взлома» . Конференция РСА . 31 августа 2018 года . Проверено 22 января 2020 г.
  35. ^ «Рецензия на книгу: Социальная инженерия: наука о человеческом взломе» . Сеть этических хакеров . 26 июля 2018 года . Проверено 22 января 2020 г.
  36. ^ Хаднаги, Кристофер; Финчер, Мишель (22 января 2020 г.). «Темные воды фишинга: наступательная и защитная стороны вредоносных электронных писем» . ИСАКА . Проверено 22 января 2020 г.
  37. ^ «WTVR: «Защитите своих детей от онлайн-угроз»
  38. ^ Ларсон, Селена (14 августа 2017 г.). «Хакер создает организацию, чтобы разоблачить детей-хищников» . CNN . Проверено 14 ноября 2019 г.

Дальнейшее чтение [ править ]

Внешние ссылки [ править ]

Викискладе есть медиафайлы, связанные с социальной инженерией (безопасностью) .
Retrieved from "https://en.wikipedia.org/w/index.php?title=Social_engineering_(security)&oldid=1227846789"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 22abd7bd6cb052766c7c5cd849c4da5a__1717806600
URL1:https://arc.ask3.ru/arc/aa/22/5a/22abd7bd6cb052766c7c5cd849c4da5a.html
Заголовок, (Title) документа по адресу, URL1:
Social engineering (security) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)