www.wikidata.uk-ua.nina.az

Соціальна інженерія безпека Було запропоновано об єднати цю статтю або розділ з Соціальна інженерія але можливо це варто

Соціальна інженерія (безпека)

Було запропоновано об'єднати цю статтю або розділ з Соціальна інженерія, але, можливо, це варто додатково обговорити. Пропозиція з квітня 2023.

Соціа́льна інженерія — це наука, що вивчає людську поведінку та фактори, які на неї впливають.

Основною метою соціальної інженерії є:

  • дослідження причин тої чи іншої поведінки людини;
  • обставин та середовища, що впливають на формування системи цінностей індивіду, і як наслідок — їх поведінки.

На базі цих досліджень можна визначити, що саме спонукає людину на конкретну дію

Наприклад: вивчення середовища, в якому жив вбивця, допоможе зрозуміти його систему цінностей. Ця інформація надасть можливість розробити соціальну структуру, в якій будуть формуватись інші системи цінностей. Системи цінностей, у яких насамперед буде цінуватись людське життя та індивідуальність.

Термін «соціальна інженерія» як акт психологічної маніпуляції також пов'язують із суспільними науками, однак він широко використовується серед спеціалістів з комп'ютерної та інформаційної безпеки.

Методи і термінологія Редагувати

Методи несанкціонованого доступу до інформації можна умовно поділити на дві категорії: з використанням методів соціальної інженерії та без них. На відміну від другого випадку, коли зловмисник повинен володіти знаннями у галузі ІТ, у першому для отримання конфіденційних даних він спирається на знання з соціології та психології.

Психологічною передумовою застосування методів соціальної інженерії є така особливість людської психіки, як когнітивні упередження. Через це надійність комп'ютерної системи є не вищою, ніж надійність її оператора. Зловмисники проникають навіть у добре спроектовані, захищені комп'ютерні системи, скориставшись неуважністю довірених користувачів або умисно вводячи їх в оману (наприклад, відрекомендувавшись системним адміністратором або амбасадором комерційного бренду, надсилають повідомлення із запитом паролів).

Існують різні типи кібератак, наприклад, уведення шкідливого коду у код вебсайту або застосування шкідливих програм (вірусів, троянів тощо). Атаки такого виду перешкоджають керуванню пошкодженим продуктом або його налагодженню. Що ж стосується соціальної інженерії, то цей тип атак спрямований не безпосередньо на комп'ютерну систему, а на її користувачів — «найслабшу ланку», і шляхом обходу інфраструктури, призначеної для захисту від шкідливих програм, він дозволяє досягти тих же результатів, що й інші види кібератак. Оскільки такі прийоми значно складніше виявити чи запобігти їм, цей напрям атак є набагато ефективнішим за інші.

Основна тактика соціальної інженерії — за допомогою психологічних методів (наприклад, спілкуючись начебто від імені сервісної компанії чи банку) переконати користувача розкрити інформацію особистого характеру (паролі, номери кредитних карток тощо).

Претекстинг Редагувати

Претекстинг, від англ. pretexting, у Великій Британії також використовується термін blagging чи bohoing, полягає у застосуванні заздалегідь розробленого сценарію (приводу, чи претексту), щоб спонукати вибрану жертву до розголошення інформації чи виконання дій, до яких у звичайних обставинах вона не вдалася б. Оскільки цей метод ґрунтується на спланованій схемі обману, то атакуванню передує збір інформації, необхідної шахраєві для того, аби видати себе за іншу особу (з'ясування дати народження, паспортних та інших ідентифікуючих даних, суми останнього рахунку тощо), щоб у жертви не виникло сумнівів у законності дій шахрая.

Фішинг Редагувати

Фішинг (англ. phishing) — це метод заволодіння інформацією приватного характеру обманним шляхом. Зазвичай фішер надсилає електронний лист начебто від імені офіційної установи — банку чи платіжної системи — із запитом про «верифікацію» інформації та попередженням про настання певних негативних наслідків у разі невиконання зазначених вимог. Такий лист, як правило, містить посилання на підробну вебсторінку, схожу на справжню (із логотипами компанії, аналогічним контентом та ін.), де від користувача вимагається ввести у форму особисті дані, від домашньої адреси до PIN-коду банківської платіжної картки.

Телефонний фішинг Редагувати

Телефонний фішинг (англ. vishing від поєднання Voice та Fishing) — це один з найстаріших методів соціальної інженерії. Телефонний зв'язок забезпечує унікальні можливості для проведення соціотехнічних атак і є звичним і знеособленим засобом спілкування, оскільки жертва не може бачити зловмисника. Основні цілі таких атак:

  • Запит інформації, яка забезпечує доступ до самої телефонної системи або дозволяє отримати віддалений доступ до комп'ютерних систем.
  • Отримання можливості здійснювати безкоштовні дзвінки.
  • Отримання доступу до комунікаційної мережі.

Запит інформації чи доступу по телефону є порівняно безпечним видом атаки для зловмисника. Якщо жертва починає підозрювати щось чи відмовляється виконувати запит, зловмисник завжди може покласти трубку.

Дорожнє яблуко Редагувати

Метод атаки «Дорожнє яблуко» схожий на дію троянської програми. Зміст атаки в тому, щоб підкинути співробітнику компанії фальшивий фізичний носій інформації (флеш-накопичувач, тощо). Носій має виглядати як офіційний, мати логотип чи надпис, що зацікавить співробітника, наприклад флеш-накопичувач з надписом «заробітна плата 2017—2018». Якщо співробітник вставить такий носій до комп'ютеру, що має зв'язок з корпоративною мережею підприємства, запускається шкідливий код і зловмисник отримує доступ до одного комп'ютера чи до усієї мережі. 

Інші методи Редагувати

Пошук інформації в смітті. Варто дотримуватися правил утилізації паперового сміття та електронних носіїв інформації, особливо якщо це стосується конфіденційної та корпоративної, закритої чи відкритої інформації. Міри безпечної утилізації стосуються і електронних офісних пристроїв.

Індивідуальні підходи. До індивідуальних підходів можна віднести як негативні стратегії, так і позитивні. Є наступні підходи: залякування (зловмисники, які обрали цю стратегію, примушують жертву виконати запит за допомогою шантажу або видачі себе за іншу особу), переконання, виклик довіри.

Зворотня соціотехніка. Соціотехніка — цей термін використовується для позначення шахрайських дій, спрямованих на отримання інформації, яка дає змогу проникнути до певної системи та даних, що в ній знаходяться. Соціотехніка зазвичай є грою зловмисника на довірі людини. Захист від атак, заснованих на зворотній соціотехніці, є досить важким. У жертви немає підстав підозрювати зловмисника у чомусь, оскільки при таких атаках створюється враження, що ситуація знаходиться під її контролем.

Методи протидії Редагувати

Соціальна інженерія є багатогранним і складним способом отримання конфіденційної інформації від користувачів із застосуванням методів переконання і технологічних засобів. Будь-яка людина в сучасному світі є вразливою до соціальної інженерії, а отже, повинна залишатися постійно в курсі того, з ким вона взаємодіє як в режимі онлайн, так і віч-на-віч. Завдяки підвищенню розпізнавання недостовірної інформації та спроб обдурити користувачів у розголошенні секретної інформації компанія та її співробітники зможуть підтримувати безпечне середовище не тільки для себе, а й для клієнтів та власних активів.

Поняття соціальної інженерії було введено Кевіном Митником і досить часто згадується в ряді статей та доповідей з тематики безпеки мереж та інформації. Статистика демонструє, що велика кількість людей ставиться до використання власної конфіденційної інформації недостатньо уважно. Для прикладу можна розглянути вибір складності паролів, обставини доступу до онлайн-рахунку в банку; також яскравим прикладом є необережність при вході в соціальні мережі. Поняття паролю і таємного (секретного) запитання здається тривіальним для більшості користувачів, хоча недооцінювати їх значення не можна.

Примітки Редагувати

  1. «Pretexting: Your Personal Information Revealed», Федеральна торгова комісія
  2. Краткое введение в социальную инженерию (рос.). Процитовано 23 травня 2017. 
  3. Luscombe, B. 10 Questions. Time, 178(8), pp. 1-37, 2011
  4. Matthew J Duffy, Social Engineering / UWP Computer Science and Software Engineering Technical Report, Volume 12, 2011.

Література Редагувати

Посилання Редагувати

Див. також Редагувати


Це незавершена стаття про інформаційні технології.
Ви можете допомогти проєкту, виправивши або дописавши її.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри
Дата публікації:
Bulo zaproponovano ob yednati cyu stattyu abo rozdil z Socialna inzheneriya ale mozhlivo ce varto dodatkovo obgovoriti Propoziciya z kvitnya 2023 Socia lna inzheneriya ce nauka sho vivchaye lyudsku povedinku ta faktori yaki na neyi vplivayut Osnovnoyu metoyu socialnoyi inzheneriyi ye doslidzhennya prichin toyi chi inshoyi povedinki lyudini obstavin ta seredovisha sho vplivayut na formuvannya sistemi cinnostej individu i yak naslidok yih povedinki Na bazi cih doslidzhen mozhna viznachiti sho same sponukaye lyudinu na konkretnu diyuNapriklad vivchennya seredovisha v yakomu zhiv vbivcya dopomozhe zrozumiti jogo sistemu cinnostej Cya informaciya nadast mozhlivist rozrobiti socialnu strukturu v yakij budut formuvatis inshi sistemi cinnostej Sistemi cinnostej u yakih nasampered bude cinuvatis lyudske zhittya ta individualnist Termin socialna inzheneriya yak akt psihologichnoyi manipulyaciyi takozh pov yazuyut iz suspilnimi naukami odnak vin shiroko vikoristovuyetsya sered specialistiv z komp yuternoyi ta informacijnoyi bezpeki Zmist 1 Metodi i terminologiya 1 1 Preteksting 1 2 Fishing 1 2 1 Telefonnij fishing 1 3 Dorozhnye yabluko 1 4 Inshi metodi 1 5 Metodi protidiyi 2 Primitki 3 Literatura 4 Posilannya 5 Div takozhMetodi i terminologiya RedaguvatiMetodi nesankcionovanogo dostupu do informaciyi mozhna umovno podiliti na dvi kategoriyi z vikoristannyam metodiv socialnoyi inzheneriyi ta bez nih Na vidminu vid drugogo vipadku koli zlovmisnik povinen voloditi znannyami u galuzi IT u pershomu dlya otrimannya konfidencijnih danih vin spirayetsya na znannya z sociologiyi ta psihologiyi Psihologichnoyu peredumovoyu zastosuvannya metodiv socialnoyi inzheneriyi ye taka osoblivist lyudskoyi psihiki yak kognitivni uperedzhennya Cherez ce nadijnist komp yuternoyi sistemi ye ne vishoyu nizh nadijnist yiyi operatora Zlovmisniki pronikayut navit u dobre sproektovani zahisheni komp yuterni sistemi skoristavshis neuvazhnistyu dovirenih koristuvachiv abo umisno vvodyachi yih v omanu napriklad vidrekomenduvavshis sistemnim administratorom abo ambasadorom komercijnogo brendu nadsilayut povidomlennya iz zapitom paroliv Isnuyut rizni tipi kiberatak napriklad uvedennya shkidlivogo kodu u kod vebsajtu abo zastosuvannya shkidlivih program virusiv troyaniv tosho Ataki takogo vidu pereshkodzhayut keruvannyu poshkodzhenim produktom abo jogo nalagodzhennyu Sho zh stosuyetsya socialnoyi inzheneriyi to cej tip atak spryamovanij ne bezposeredno na komp yuternu sistemu a na yiyi koristuvachiv najslabshu lanku i shlyahom obhodu infrastrukturi priznachenoyi dlya zahistu vid shkidlivih program vin dozvolyaye dosyagti tih zhe rezultativ sho j inshi vidi kiberatak Oskilki taki prijomi znachno skladnishe viyaviti chi zapobigti yim cej napryam atak ye nabagato efektivnishim za inshi Osnovna taktika socialnoyi inzheneriyi za dopomogoyu psihologichnih metodiv napriklad spilkuyuchis nachebto vid imeni servisnoyi kompaniyi chi banku perekonati koristuvacha rozkriti informaciyu osobistogo harakteru paroli nomeri kreditnih kartok tosho Preteksting Redaguvati Preteksting vid angl pretexting u Velikij Britaniyi takozh vikoristovuyetsya termin blaggingchi bohoing polyagaye u zastosuvanni zazdalegid rozroblenogo scenariyu privodu chi pretekstu shob sponukati vibranu zhertvu do rozgoloshennya informaciyi chi vikonannya dij do yakih u zvichajnih obstavinah vona ne vdalasya b Oskilki cej metod gruntuyetsya na splanovanij shemi obmanu to atakuvannyu pereduye zbir informaciyi neobhidnoyi shahrayevi dlya togo abi vidati sebe za inshu osobu z yasuvannya dati narodzhennya pasportnih ta inshih identifikuyuchih danih sumi ostannogo rahunku tosho shob u zhertvi ne viniklo sumniviv u zakonnosti dij shahraya 1 Fishing Redaguvati Dokladnishe FishingFishing angl phishing ce metod zavolodinnya informaciyeyu privatnogo harakteru obmannim shlyahom Zazvichaj fisher nadsilaye elektronnij list nachebto vid imeni oficijnoyi ustanovi banku chi platizhnoyi sistemi iz zapitom pro verifikaciyu informaciyi ta poperedzhennyam pro nastannya pevnih negativnih naslidkiv u razi nevikonannya zaznachenih vimog Takij list yak pravilo mistit posilannya na pidrobnu vebstorinku shozhu na spravzhnyu iz logotipami kompaniyi analogichnim kontentom ta in de vid koristuvacha vimagayetsya vvesti u formu osobisti dani vid domashnoyi adresi do PIN kodu bankivskoyi platizhnoyi kartki Telefonnij fishing Redaguvati Dokladnishe VishingTelefonnij fishing angl vishing vid poyednannya Voice ta Fishing ce odin z najstarishih metodiv socialnoyi inzheneriyi Telefonnij zv yazok zabezpechuye unikalni mozhlivosti dlya provedennya sociotehnichnih atak i ye zvichnim i zneosoblenim zasobom spilkuvannya oskilki zhertva ne mozhe bachiti zlovmisnika Osnovni cili takih atak Zapit informaciyi yaka zabezpechuye dostup do samoyi telefonnoyi sistemi abo dozvolyaye otrimati viddalenij dostup do komp yuternih sistem Otrimannya mozhlivosti zdijsnyuvati bezkoshtovni dzvinki Otrimannya dostupu do komunikacijnoyi merezhi Zapit informaciyi chi dostupu po telefonu ye porivnyano bezpechnim vidom ataki dlya zlovmisnika Yaksho zhertva pochinaye pidozryuvati shos chi vidmovlyayetsya vikonuvati zapit zlovmisnik zavzhdi mozhe poklasti trubku Dorozhnye yabluko Redaguvati Metod ataki Dorozhnye yabluko shozhij na diyu troyanskoyi programi Zmist ataki v tomu shob pidkinuti spivrobitniku kompaniyi falshivij fizichnij nosij informaciyi flesh nakopichuvach tosho Nosij maye viglyadati yak oficijnij mati logotip chi nadpis sho zacikavit spivrobitnika napriklad flesh nakopichuvach z nadpisom zarobitna plata 2017 2018 Yaksho spivrobitnik vstavit takij nosij do komp yuteru sho maye zv yazok z korporativnoyu merezheyu pidpriyemstva zapuskayetsya shkidlivij kod i zlovmisnik otrimuye dostup do odnogo komp yutera chi do usiyeyi merezhi 2 Inshi metodi Redaguvati Poshuk informaciyi v smitti Varto dotrimuvatisya pravil utilizaciyi paperovogo smittya ta elektronnih nosiyiv informaciyi osoblivo yaksho ce stosuyetsya konfidencijnoyi ta korporativnoyi zakritoyi chi vidkritoyi informaciyi Miri bezpechnoyi utilizaciyi stosuyutsya i elektronnih ofisnih pristroyiv Individualni pidhodi Do individualnih pidhodiv mozhna vidnesti yak negativni strategiyi tak i pozitivni Ye nastupni pidhodi zalyakuvannya zlovmisniki yaki obrali cyu strategiyu primushuyut zhertvu vikonati zapit za dopomogoyu shantazhu abo vidachi sebe za inshu osobu perekonannya viklik doviri Zvorotnya sociotehnika Sociotehnika cej termin vikoristovuyetsya dlya poznachennya shahrajskih dij spryamovanih na otrimannya informaciyi yaka daye zmogu proniknuti do pevnoyi sistemi ta danih sho v nij znahodyatsya Sociotehnika zazvichaj ye groyu zlovmisnika na doviri lyudini Zahist vid atak zasnovanih na zvorotnij sociotehnici ye dosit vazhkim U zhertvi nemaye pidstav pidozryuvati zlovmisnika u chomus oskilki pri takih atakah stvoryuyetsya vrazhennya sho situaciya znahoditsya pid yiyi kontrolem Metodi protidiyi Redaguvati Socialna inzheneriya ye bagatogrannim i skladnim sposobom otrimannya konfidencijnoyi informaciyi vid koristuvachiv iz zastosuvannyam metodiv perekonannya i tehnologichnih zasobiv Bud yaka lyudina v suchasnomu sviti ye vrazlivoyu do socialnoyi inzheneriyi a otzhe povinna zalishatisya postijno v kursi togo z kim vona vzayemodiye yak v rezhimi onlajn tak i vich na vich Zavdyaki pidvishennyu rozpiznavannya nedostovirnoyi informaciyi ta sprob obduriti koristuvachiv u rozgoloshenni sekretnoyi informaciyi kompaniya ta yiyi spivrobitniki zmozhut pidtrimuvati bezpechne seredovishe ne tilki dlya sebe a j dlya kliyentiv ta vlasnih aktiviv Ponyattya socialnoyi inzheneriyi bulo vvedeno Kevinom Mitnikom i dosit chasto zgaduyetsya v ryadi statej ta dopovidej z tematiki bezpeki merezh ta informaciyi 3 Statistika demonstruye sho velika kilkist lyudej stavitsya do vikoristannya vlasnoyi konfidencijnoyi informaciyi nedostatno uvazhno Dlya prikladu mozhna rozglyanuti vibir skladnosti paroliv obstavini dostupu do onlajn rahunku v banku takozh yaskravim prikladom ye neoberezhnist pri vhodi v socialni merezhi Ponyattya parolyu i tayemnogo sekretnogo zapitannya zdayetsya trivialnim dlya bilshosti koristuvachiv hocha nedoocinyuvati yih znachennya ne mozhna 4 Primitki Redaguvati Pretexting Your Personal Information Revealed Federalna torgova komisiya Kratkoe vvedenie v socialnuyu inzheneriyu ros Procitovano 23 travnya 2017 Luscombe B 10 Questions Time 178 8 pp 1 37 2011 Matthew J Duffy Social Engineering UWP Computer Science and Software Engineering Technical Report Volume 12 2011 Literatura RedaguvatiV L Buryachok V B Tolubko V O Horoshko S V Tolyupa 2015 U V B Tolubko zagalna redakciya Informacijna kiberberzpeka sociotehnichnij aspekt Kiyiv Derzhavnij universitet telekomunikacij ISBN 978 966 2970 86 9 Markus Jakobsson red 2016 Understanding social engineering based scams New York NY Springer Science Business Media ISBN 978 1 4939 6455 0 Posilannya RedaguvatiSociotehnika Universalnij slovnik enciklopediya 4 te vid K Teka 2006 Div takozh RedaguvatiRozvinena stala zagroza Socialna merezha Internet nbsp Ce nezavershena stattya pro informacijni tehnologiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Otrimano z https uk wikipedia org w index php title Socialna inzheneriya bezpeka amp oldid 39327707