Jump to content

Социальный взлом

Социальный хакинг описывает попытку манипулировать результатами социального поведения посредством организованных действий. Основная функция социального взлома — получить доступ к ограниченной информации или физическому пространству без надлежащего разрешения. Чаще всего социальные хакерские атаки осуществляются путем выдачи себя за человека или группу людей, которые прямо или косвенно известны жертвам, или путем представления человека или группы лиц, обладающих властью. [1] Это делается посредством заранее продуманных исследований и планирования, чтобы завоевать доверие жертв. Социальные хакеры принимают все меры, чтобы создать впечатление знакомства и надежности, чтобы получить конфиденциальную или личную информацию . [2] Социальный хакерство чаще всего ассоциируется с компонентом « социальной инженерии ».

Хотя эта практика предполагает контроль над поведением человека, а не компьютеров, термин «социальный взлом» также используется в отношении поведения в Интернете и, все чаще, активности в социальных сетях . Эту технику можно использовать разными способами, которые влияют на общественное восприятие и, наоборот, повышают осведомленность общественности о хакерской деятельности в социальных сетях. Однако, хотя осведомленность помогает сократить объем осуществляемых взломов, технологии позволили инструментам атак стать более сложными и детализировать звонки.

Методы социального взлома

[ редактировать ]

Проведение социальной хакерской атаки предполагает поиск слабых мест в поведении пользователей, которые можно использовать, казалось бы, законными способами. [3] Три популярных метода атаки включают ныряние в мусорные контейнеры, ролевые игры и целевой фишинг.

Дайвинг в мусорных контейнерах

[ редактировать ]

Просеивание мусора — популярная тактика социальных хакеров для восстановления информации о привычках, деятельности и взаимодействии организаций и отдельных лиц. Информация, полученная из выброшенного имущества, позволяет социальным хакерам создавать эффективные профили своих целей. Личная контактная информация, такая как должности сотрудников и номера телефонов, может быть извлечена из выброшенных телефонных книг или каталогов и использована для получения дополнительной технической информации, такой как данные для входа и пароли безопасности. Еще одна выгодная находка для социальных хакеров — выброшенное оборудование, особенно жесткие диски , которые не были должным образом очищены и все еще содержат конфиденциальную и точную информацию о корпорациях или частных лицах. [1] Поскольку просмотр мусора на обочине не является уголовным преступлением и не требует ордера, это богатый ресурс для социальных хакеров, а также доступный по закону. Поиск в мусорных контейнерах может принести плодотворные результаты для искателей информации, таких как частные детективы , сталкеры, любопытные соседи и полиция.

Ролевая игра

[ редактировать ]

Установление доверия путем обмана людей, заставляя их поверить в легитимность ложного персонажа, является одним из основных принципов социального взлома. Принятие вымышленной личности или выдача себя за известную фигуру с целью заставить жертву поделиться личными данными может осуществляться лично или посредством телефонного разговора.

Лично

[ редактировать ]

Выдавая себя за сторонних специалистов по техническому обслуживанию в офисном здании, практикующих врачей в больнице или в одной из многих других форм, социальные хакеры могут пройти мимо сотрудников службы безопасности и других сотрудников незамеченными. В обоих примерах униформа одежды связана с конкретными должностными функциями, что дает людям повод доверять имитаторам. Более сложный маневр потребует более длительного цикла планирования, например, трудоустройства в организации, подвергшейся атаке.

В фильме « Одиннадцать друзей Оушена » изощренная команда мошенников готовит тщательно продуманное ограбление с целью ограбления трех популярных казино Лас-Вегаса, погружаясь в повседневную деятельность казино. Хотя ограбление осуществляется менее чем за день, цикл планирования долгий и очень кропотливый. Важнейшая функция атаки — обеспечить достоверность выдаваемых за себя ролей, для чего неизбежно требуется внимание к деталям.

Задняя дверь

[ редактировать ]

Tailgating — это процесс следования за кем-либо в ограниченное пространство, например, в офисное здание или академическое учреждение. Сторонние специалисты по техническому обслуживанию или медицинский персонал, как упоминалось выше, часто имеют ограниченные основания оправдывать доверие к себе своей внешностью. Как и в ролевых играх, ведение игры в хвосте основано на предположении, что вы знакомы и доверяете. [4] Люди с меньшей вероятностью будут подозрительно реагировать на любого, кто кажется вписывающимся в окружающую среду, и еще менее склонны задавать вопросы людям, которые не привлекают к себе внимания. Если следовать за кем-то в скромной манере, это может даже исключить необходимость установления контакта с уполномоченным персоналом.

Целевой фишинг

[ редактировать ]

Взлом социальных сетей в Интернете включает в себя « целевой фишинг », при котором хакеры обманом вынуждают своих жертв раскрыть конфиденциальную информацию о себе или своей организации. Хакеры будут атаковать отдельных лиц в определенных организациях, отправляя электронные письма, которые, как представляется, исходят из надежных источников, включая старших должностных лиц организации, занимающих руководящие должности. Чтобы выглядеть убедительно, электронное сообщение социального хакера должно иметь дружеский тон, исключающий любые подозрения со стороны получателя. Электронное письмо предназначено для запроса информации, которая логически связана с человеком, отправившим его. [5] Часто сотрудники компании становятся жертвами этих электронных писем и делятся личной информацией, такой как номера телефонов или пароли, думая, что передача информации происходит в безопасной среде. В более зловещих сценариях электронные письма от хакеров могут содержать вредоносное ПО , которое заражает компьютеры жертв без их ведома и тайно передает личные данные непосредственно хакерам. [6] С октября 2013 по декабрь 2016 года ФБР расследовало чуть более 22 000 таких инцидентов с участием американского бизнеса. В общей сложности они увидели убытки, приближающиеся к 1,6 миллиарда долларов. [7]

Успешный пример целевого фишинга получил широкую огласку в средствах массовой информации в январе 2014 года, когда Target , американский ритейлер, столкнулся с нарушением безопасности , которое позволило хакерам украсть данные кредитных карт клиентов и личные данные . [8] Позже выяснилось, что киберпреступники смогли получить доступ к файлам финансовых и личных данных Target, нацеливаясь на стороннюю механическую компанию, имевшую доступ к сетевым учетным данным Target. Социальные последствия такого громкого социального взлома влияют на популярность Target как ритейлера, а также на доверие и лояльность потребителей к бренду.

Еще один пример целевого фишинга произошел в июне 2015 года с Ubiquiti Networks Inc, компанией сетевых технологий, базирующейся в США. Сообщается, что в результате этого целевого фишинга Ubiquiti Networks потеряла более 46,7 миллиона долларов. Хакерская группа рассылала электронные письма с целевым фишингом сотрудникам финансового отдела. Эти хакеры рассылали фишинговые электронные письма непосредственно сотрудникам финансового отдела, выдавая себя за руководителей компании. Хакерам удалось обманом заставить сотрудников перевести средства сторонним группам за границу. [9] К счастью для Ubiquiti Networks, у хакеров удалось вернуть 8,1 миллиона долларов. [10]

Безопасность

[ редактировать ]

Хотя Target, возможно, и не ослабляла свою безопасность, хакерам удалось проникнуть в сеть Target косвенно, идентифицировав стороннюю компанию, имеющую доступ к учетным данным Target. Социальный взлом заключался в том, чтобы обмануть сотрудников третьей стороны с целью разглашения конфиденциальной информации , в то время как киберпреступление было совершено посредством фишинговой атаки по электронной почте, зараженной вредоносным ПО. [11] Необходимость бдительной онлайн-безопасности подчеркивается кибератаками на такие корпорации, как Target, а также на другие глобальные компании и веб-сайты с высоким трафиком . Даже небольшие веб-сайты уязвимы для атак, особенно потому, что их защита безопасности считается низкой. [12] В случае с Target у сторонней механической компании было неадекватное программное обеспечение безопасности, что делало ее уязвимой для атак вредоносного ПО. [11]

В ходе аналогичного инцидента в январе 2014 года Yahoo Mail также объявила, что их система была взломана и был получен доступ к ряду учетных записей электронной почты пользователей. [13] Хотя происхождение причины было неясно, в центре проблемы снова оказалась плохая безопасность. В обоих случаях были скомпрометированы крупные корпорации с предполагаемым пониманием политики безопасности. Также в обоих случаях были украдены данные потребителей. [14]

В исследовании Оргилла и др. отмечается, что «важно, чтобы каждый человек, ответственный за компьютерную безопасность, спрашивал, уязвима ли его система для атак со стороны социальных инженеров, и если да, то каковы могут быть последствия атаки социальной инженерии?» быть смягчены». [15] Использование надежных паролей [16] — это один из простых и легких методов, помогающих снизить риск заражения, а также использование надежного и эффективного антивирусного программного обеспечения. Другие профилактические меры включают использование разных логинов для используемых сервисов, частый мониторинг учетных записей и личных данных, а также внимание к разнице между просьбой о помощи и попыткой фишинга со стороны незнакомцев. [17]

Этический хакинг

[ редактировать ]

Чтобы противодействовать нарушениям безопасности со стороны социальных хакеров, а также технических хакеров, компании нанимают специалистов по безопасности, известных как этические хакеры или, что более популярно, « белые хакеры» , которые пытаются проникнуть в их системы таким же образом, как это сделали бы социальные хакеры. . Этические хакеры будут использовать те же методы, что и хакеры с преступными намерениями, но с законными целями. Этические хакеры оценивают сильные и слабые стороны безопасности и предлагают варианты исправления. Этический взлом также известен как тестирование на проникновение , тестирование на вторжение и «красная команда». [18]

Влияние на социальные сети

[ редактировать ]

Интернет дает социальным хакерам возможность заполнять пространства с контентом, не обнаруживая подозрительного поведения. Социальный взлом также может происходить в средах, где пользовательский контент преобладает . Это включает в себя возможность влиять на опросы общественного мнения и даже искажать данные за пределы их достоверности. Социальный взлом также можно использовать для предоставления положительных отзывов, например, на веб-сайтах продуктов. Его также можно использовать для противодействия негативным отзывам с помощью притока положительных ответов (« кнопка «Нравится »), например, в разделах комментариев в блогах или новостных статьях. Социальный взлом может нанести ущерб онлайн-профилю человека или бренда путем простого доступа к информации, которая находится в открытом доступе через каналы социальных сетей. [19]

Присвоение технологий

[ редактировать ]

Присвоение технологий можно воспринимать как разновидность социального взлома, поскольку оно предполагает социальное манипулирование технологией. Он описывает усилия пользователей разобраться в технологии в их собственном контексте, помимо принятия ее предполагаемого использования. Когда это произойдет, использование технологии может измениться. Адаптация технологии может включать в себя переосмысление ее функции и значения, в результате чего сама технология может взять на себя новую роль. Присвоение подчеркивает, что пользователь адаптирует технологию к своим лучшим практикам, тогда как адаптация предполагает, что использование иногда меняется в целом. Например, достижения сегодняшних технологий позволяют проще, чем когда-либо, изобразить другого человека. Этот метод известен как создание «дипфейка». Дипфейк — это когда кто-то может воссоздать чужое лицо и голос с помощью компьютерной программы. Его используют для того, чтобы фальсифицировать людей, говорящих и делающих то, чего они никогда раньше не делали и не говорили. [20] «С помощью этого метода публичные личности могут оказаться более «поддельными», чем частные. Визуально рутинные ситуации, такие как пресс-конференция, с большей вероятностью будут подделаны, чем совершенно новые». [21] Дипфейки могут быть очень опасны в том смысле, что их можно использовать для фальсификации того, что говорили люди с высоким авторитетом, такие как президент и политики. Было много статей и дискуссий по поводу нового открытия дипфейков, таких как видео ютубера Шейна Доусона «Теории заговора с Шейном Доусоном», где он рассказывает о заговоре дипфейков и о том, что они могут означать для современного мира. [22]

Социальный хакерство также связано с социальным предпринимательством . Социальное предпринимательство может быть представлено в форме коммерческих или некоммерческих организаций, которые поощряют социально ответственные бизнес-стратегии для долгосрочного благополучия окружающей среды и человека. Концепция социального взлома новых предприятий в рамках существующей капиталистической структуры — это человеческое усилие, которое побуждает людей переоценить социальные системы , к которым мы привыкли, чтобы выявить проблемы, которые не решаются. [23] Затем могут быть созданы новые предприятия, чтобы заменить старые системами, которые укрепляют устойчивость и восстановительный рост. [ нужна ссылка ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 14 апреля 2014 года . Проверено 3 апреля 2014 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
  2. ^ Ходсон, Стив (15 августа 2022 г.). «Не говоря уже о социальных сетях, как насчет социального взлома?» . Машаемый.
  3. ^ Питер Вуд. «Социальный взлом: простой способ взломать сетевую безопасность» . Computerweekly.com . Проверено 5 июля 2016 г.
  4. ^ Слушай, Джейми. «5 лучших методов использования социальной инженерии» . ПКМир . Проверено 5 июля 2016 г.
  5. ^ Калва, Джейсон (18 февраля 2014 г.). «Фишинг стал личным – избегайте ловушки социальных сетей» . ТехРадар . Проверено 5 июля 2016 г.
  6. ^ Роуз, Маргарет. «Что такое целевой фишинг? — Определение с сайта WhatIs.com» . Searchsecurity.techtarget.com . Проверено 5 июля 2016 г.
  7. ^ Мэтьюз, Ли. «Фишинговые аферы обходятся американскому бизнесу в полмиллиарда долларов в год» . Форбс . Проверено 25 марта 2019 г.
  8. ^ «Взлом массивной цели связан с фишинговой электронной почтой» . Huffingtonpost.com. 12 февраля 2014 г. Проверено 5 июля 2016 г.
  9. ^ Хонан, Брайан (6 августа 2015 г.). «Ubiquiti Networks — жертва атаки социальной инженерии стоимостью 39 миллионов долларов» . ЦСО онлайн . Проверено 25 марта 2019 г.
  10. ^ Уайт, г-н (16 августа 2015 г.). «Технологическая фирма Ubiquiti пострадала от киберограбления на 46 миллионов долларов — Кребс о безопасности» . Проверено 25 марта 2019 г.
  11. ^ Jump up to: а б «Атака по электронной почте на поставщика, организовавшего взлом цели — Кребс о безопасности» . Кребсонбезопасность.com. 12 февраля 2014 г. Проверено 5 июля 2016 г.
  12. ^ Маккензи Грэм (02 апреля 2014 г.). «Как остановить социальных хакеров до того, как они нападут» . Thenextweb.com . Проверено 5 июля 2016 г.
  13. ^ «Взлом Yahoo и как защитить ваши пароли» . Форбс.com . Проверено 5 июля 2016 г.
  14. ^ Рибейро, Рики (07 января 2014 г.). «Утечка данных Snapchat должна стать тревожным сигналом для стартапов — BizTech» . Biztechmagazine.com . Проверено 5 июля 2016 г.
  15. ^ + flyoverContents[0] + (28.10.2004). «Необходимость эффективного обучения пользователей конфиденциальности для противодействия атакам социальной инженерии на защищенные компьютерные системы» . Материалы 5-й конференции по образованию в области информационных технологий - CITC5 '04 . Dl.acm.org. стр. 177–181. дои : 10.1145/1029533.1029577 . ISBN  978-1581139365 . S2CID   7239602 . Проверено 5 июля 2016 г. {{cite book}}: CS1 maint: числовые имена: список авторов ( ссылка )
  16. ^ «Анализ взлома социальной сети: нужны ли федералам «более высокие стандарты» для социальных сетей?» . ГЦН. 2012-05-23 . Проверено 5 июля 2016 г.
  17. ^ Мелани Пинола (9 августа 2012 г.). «Как я могу защититься от хаков социальной инженерии?» . Lifehacker.com . Проверено 5 июля 2016 г.
  18. ^ Фарсоль, Аджинкья А.; Кашикар, Амрута Г.; Зунзунвала, Апурва (2010). «Этический хакерство». Международный журнал компьютерных приложений . 1 (10): 14–20. Бибкод : 2010IJCA....1j..14F . дои : 10.5120/229-380 .
  19. ^ Джон Шинал, специально для USA TODAY (3 января 2014 г.). «Взлом Snapchat должен стать тревожным звонком » Usatoday.com . Проверено 5 июля 2016 г.
  20. ^ «Будущее дипфейков — и что это значит для фактчекеров» . Пойнтер . 17 декабря 2018 г. Проверено 25 марта 2019 г.
  21. ^ «Будущее дипфейков — и что это значит для фактчекеров» . 17 декабря 2018 г.
  22. ^ Шейн (30 января 2019 г.), Теории заговора с Шейном Доусоном , получено 25 марта 2019 г.
  23. ^ Клаудия Кахалан (21 февраля 2014 г.). «Простые идеи, большое влияние – в картинках | Сеть социальных предприятий» . Хранитель . Проверено 5 июля 2016 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Social_hacking&oldid=1221317552"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 4ae8a7f3df600ba5fc0a925064b09cac__1714359000
URL1:https://arc.ask3.ru/arc/aa/4a/ac/4ae8a7f3df600ba5fc0a925064b09cac.html
Заголовок, (Title) документа по адресу, URL1:
Social hacking - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)