Kas ir sociālā inženierija?

Datoru drošības jomā daudzas problēmas rodas, neskatoties uz lietotāja centieniem. Piemēram, jūs jebkurā brīdī varat saņemt ļaunprogrammatūra ļaunprātīgas reklāmas dēļ, patiesībā tas ir saistīts ar neveiksmi. Ir darbības, kuras varat veikt, lai samazinātu risku, piemēram, izmantojot reklāmu bloķētāju. Taču šāds sitiens nav lietotāja vaina. Tomēr citi uzbrukumi ir vērsti uz lietotāja pievilšanu kaut ko darīt. Šāda veida uzbrukumi ir plaši izplatīti sociālās inženierijas uzbrukumos.

Sociālā inženierija ietver analīzi un izpratni par to, kā cilvēki rīkojas noteiktās situācijās, lai manipulētu ar rezultātu. Sociālo inženieriju var veikt pret lielām cilvēku grupām. Tomēr attiecībā uz datoru drošību to parasti izmanto pret personām, lai gan, iespējams, kā daļa no lielas kampaņas.

Sociālās inženierijas piemērs pret cilvēku grupu varētu būt mēģinājumi izraisīt paniku kā novērst uzmanību. Piemēram, militārpersona veic viltus karoga operāciju vai kāds kliedz “ugunsgrēks” aizņemtā vietā un pēc tam zog haosā. Zināmā līmenī vienkārša propaganda, azartspēles un reklāma arī ir sociālās inženierijas paņēmieni.

Tomēr datoru drošības jomā darbības mēdz būt individuālākas. Pikšķerēšana mēģina pārliecināt lietotājus noklikšķināt, izveidot saiti un ievadīt detalizētu informāciju. Daudzas krāpniecības mēģina manipulēt, pamatojoties uz bailēm vai alkatību. Sociālās inženierijas uzbrukumi datoru drošības jomā var pat iekļūt reālajā pasaulē, piemēram, mēģinājumi iegūt nesankcionētu piekļuvi serveru telpai. Interesanti, ka kiberdrošības pasaulē šis pēdējais un tamlīdzīgie scenāriji parasti tiek domāti, runājot par sociālās inženierijas uzbrukumiem.

Plašāka sociālā inženierija — tiešsaistē

Pikšķerēšana ir uzbrukuma klase, ar kuru upuris mēģina mudināt uzbrucējam sniegt informāciju. Pikšķerēšanas uzbrukumi parasti tiek piegādāti ārējā sistēmā, piemēram, pa e-pastu, un tāpēc tiem ir divi atšķirīgi sociālās inženierijas punkti. Pirmkārt, viņiem ir jāpārliecina upuris, ka ziņojums ir likumīgs, un jāliek viņam noklikšķināt uz saites. Pēc tam tiek ielādēta pikšķerēšanas lapa, kurā lietotājam tiks lūgts ievadīt informāciju. Parasti tas ir viņu lietotājvārds un parole. Tas ir balstīts uz to, ka gan sākotnējais e-pasts, gan pikšķerēšanas lapa izskatās pietiekami pārliecinoši, lai sociāli motivētu lietotāju uzticēties tiem.

Daudzas krāpniecības mēģina mudināt upurus nodot naudu. Klasiskā “Nigērijas prinča” krāpniecība sola lielu izmaksu, ja upuris var iekasēt nelielu avansa maksu. Protams, kad upuris samaksā “nodevu”, izmaksa nekad netiek saņemta. Cita veida krāpniecības uzbrukumi darbojas pēc līdzīgiem principiem. Pārlieciniet upuri kaut ko darīt, parasti nododiet naudu vai instalējiet ļaunprātīgu programmatūru. Ransomware pat ir piemērs tam. Cietušajam ir jānodod nauda, ​​pretējā gadījumā viņš riskē zaudēt piekļuvi jebkuriem datiem, kas tika šifrēti.

Personīgā sociālā inženierija

Ja kiberdrošības pasaulē tiek runāts par sociālo inženieriju, tas parasti attiecas uz darbībām reālajā pasaulē. Ir daudz scenāriju piemēru. Viens no visvienkāršākajiem tiek saukts "tail-gating". Tas atrodas pietiekami tuvu kādam aiz muguras, lai viņi tur atvērtas durvis, kurām ir piekļuve kontrolētai, lai jūs izlaistu cauri. Atkāpšanos no aizmugures var uzlabot, izveidojot scenāriju, kurā upuris varētu jums palīdzēt. Viena no metodēm ir pavadīt laiku kopā ar smēķētājiem ārā dūmu pārtraukumā un pēc tam atgriezties kopā ar grupu. Vēl viena metode ir redzēt, ka nēsājat kaut ko neērtu. Šī tehnika ir vēl lielāka iespēja gūt panākumus, ja tas, ko jūs nēsājat, varētu būt citiem. Piemēram, ja jums ir paplāte ar kafijas krūzēm "jūsu komandai", pastāv sociāls spiediens, lai kāds jums atvērtu durvis.

Liela daļa personīgās sociālās inženierijas ir atkarīga no scenārija izveides un pēc tam pārliecinātības par to. Piemēram, sociālais inženieris var iztēloties kā sava veida būvstrādnieks vai apkopējs, kurš parasti tiek ignorēts. Uzdodoties par labu samarieti un nododot “pazaudētu” USB zibatmiņu, darbinieks var to pievienot. Nolūks būtu noskaidrot, kam tas pieder, taču tas var inficēt sistēmu ar ļaunprātīgu programmatūru.

Šāda veida sociālās inženierijas uzbrukumi klātienē var būt ļoti veiksmīgi, jo neviens īsti negaida, ka tiks šādi piemānīts. Tomēr tie rada lielu risku uzbrucējam, kuram ir ļoti reāla iespēja tikt pieķertam.

Secinājums

Sociālā inženierija ir jēdziens manipulēt ar cilvēkiem, lai sasniegtu mērķtiecīgu mērķi. Viens veids ir radīt reāla izskata situāciju, lai pieviltu upuri tai noticēt. Varat arī izveidot scenāriju, kurā ir sociāls spiediens vai tiek sagaidīts, ka cietušais rīkojas pretēji standarta drošības ieteikumiem. Tomēr visi sociālās inženierijas uzbrukumi ir balstīti uz viena vai vairāku upuru pievilšanu veikt uzbrucējam paredzētu darbību.