في هذه المقالة سوف ننتبه لمفهوم "الهندسة الاجتماعية". سيتم النظر هنا في تعريف عام للمصطلح. سنتعرف أيضًا على من كان مؤسس هذا المفهوم. لنتحدث بشكل منفصل عن الطرق الرئيسية للهندسة الاجتماعية التي يستخدمها المهاجمون
مقدمة
الأساليب التي تسمح لك بتصحيح سلوك الشخص وإدارة أنشطته دون استخدام مجموعة فنية من الأدوات تشكل المفهوم العام للهندسة الاجتماعية. تستند جميع الأساليب إلى التأكيد على أن العامل البشري هو أكثر نقاط الضعف تدميراً في أي نظام. غالبًا ما يُنظر إلى هذا المفهوم على مستوى النشاط غير القانوني ، والذي من خلاله يقوم المجرم بعمل يهدف إلى الحصول على معلومات من الضحية الفاعل بطريقة غير شريفة. على سبيل المثال ، يمكن أن يكون نوعًا من التلاعب. ومع ذلك ، يستخدم البشر أيضًا الهندسة الاجتماعية في أنشطة مشروعة. حتى الآن ، يتم استخدامه في الغالب للوصول إلى الموارد التي تحتوي على معلومات حساسة أو حساسة.
المؤسس
مؤسس الهندسة الاجتماعية هو كيفن ميتنيك. ومع ذلك ، فإن المفهوم نفسه جاء إلينا من علم الاجتماع. يشير إلى مجموعة عامة من الأساليب المستخدمة من قبل الاجتماعية التطبيقية. ركزت العلوم على تغيير الهيكل التنظيمي الذي يمكن أن يحدد السلوك البشري ويمارس السيطرة عليه. يمكن اعتبار كيفن ميتنيك مؤسس هذا العلم ، لأنه هو الذي قام بنشر المجتمع. الهندسة في العقد الأول من القرن الحادي والعشرين. كان كيفن نفسه في السابق أحد المتسللين الذين دخلوا بشكل غير قانوني في مجموعة متنوعة من قواعد البيانات. جادل بأن العامل البشري هو النقطة الأكثر ضعفًا في أي نظام من أي مستوى من التعقيد والتنظيم.
إذا تحدثنا عن أساليب الهندسة الاجتماعية كطريقة للحصول على حقوق (غالبًا ما تكون غير قانونية) لاستخدام البيانات السرية ، فيمكننا القول إنها معروفة منذ فترة طويلة جدًا. ومع ذلك ، كان K. Mitnick هو من تمكن من نقل أهمية معانيها وخصائص التطبيق.
تصيد وروابط غير موجودة
أي أسلوب من تقنيات الهندسة الاجتماعية يعتمد على وجود تشوهات معرفية. تصبح الأخطاء السلوكية "أداة" في يد مهندس ماهر ، يمكنه في المستقبل إنشاء هجوم يهدف إلى الحصول على بيانات مهمة. من بين أساليب الهندسة الاجتماعية ، يتم تمييز الروابط الاحتيالية وغير الموجودة.
التصيد هو عملية احتيال عبر الإنترنت مصممة للحصول على معلومات شخصية مثل اسم المستخدم وكلمة المرور.
رابط غير موجود - باستخدام رابط يغري المستلم ببعضالفوائد التي يمكن الحصول عليها من خلال النقر عليه وزيارة موقع معين. في أغلب الأحيان ، يتم استخدام أسماء الشركات الكبيرة ، مع إجراء تعديلات دقيقة على أسمائها. الضحية ، بالضغط على الرابط ، ستنقل "طواعية" بياناتها الشخصية إلى المهاجم.
طرق استخدام العلامات التجارية ومضادات الفيروسات المعيبة واليانصيب المزيف
تستخدم الهندسة الاجتماعية أيضًا عمليات الاحتيال الخاصة بالعلامات التجارية ومضادات الفيروسات المعيبة وألعاب اليانصيب المزيفة.
"الاحتيال والعلامات التجارية" - طريقة خداع تنتمي أيضًا إلى قسم التصيد. يتضمن ذلك رسائل البريد الإلكتروني والمواقع التي تحتوي على اسم شركة كبيرة و / أو شركة "مضللة". يتم إرسال الرسائل من صفحاتهم مع إشعار النصر في مسابقة معينة. بعد ذلك ، تحتاج إلى إدخال معلومات الحساب المهمة وسرقتها. أيضًا ، يمكن تنفيذ هذا النوع من الاحتيال عبر الهاتف.
اليانصيب الوهمي - طريقة يتم من خلالها إرسال رسالة إلى الضحية مع النص الذي (أ) فاز (أ) في اليانصيب. في أغلب الأحيان ، يتم إخفاء التنبيه باستخدام أسماء الشركات الكبيرة.
برامج مكافحة الفيروسات المزيفة هي خدع برمجية. يستخدم برامج تشبه برامج مكافحة الفيروسات. ومع ذلك ، في الواقع ، تؤدي إلى توليد إخطارات كاذبة حول تهديد معين. يحاولون أيضًا جذب المستخدمين إلى عالم المعاملات.
التصيّد والتضليل والخداع
أثناء الحديث عن الهندسة الاجتماعية للمبتدئين ، يجب أن نذكر أيضًا التصيد والخداع والخداع.
التصيد هو شكل من أشكال الخداع يستخدم شبكات الهاتف. يستخدم الرسائل الصوتية المسجلة مسبقًا ، والغرض منها إعادة إنشاء "المكالمة الرسمية" للهيكل المصرفي أو أي نظام آخر من أنظمة الرد الصوتي التفاعلي. في أغلب الأحيان ، يُطلب منهم إدخال اسم مستخدم و / أو كلمة مرور لتأكيد أي معلومات. بمعنى آخر ، يتطلب النظام المصادقة من قبل المستخدم باستخدام رموز PIN أو كلمات المرور.
Phreaking هو شكل آخر من أشكال الاحتيال عبر الهاتف. هو نظام قرصنة يستخدم التلاعب بالصوت والاتصال بالنغمات
Pretexting هو هجوم باستخدام خطة مع سبق الإصرار ، جوهرها هو تمثيل موضوع آخر. طريقة غش في غاية الصعوبة لأنها تتطلب تحضيرًا دقيقًا.
Quid Pro Quo وطريقة Apple Road
نظرية الهندسة الاجتماعية هي قاعدة بيانات متعددة الأوجه تشمل كلا من أساليب الخداع والتلاعب ، وكذلك طرق التعامل معها. تتمثل المهمة الرئيسية للمتسللين ، كقاعدة عامة ، في الحصول على معلومات قيمة.
أنواع أخرى من الحيل تشمل: quid pro quo ، والتفاح على الطريق ، وتصفح الكتفين ، والمصدر المفتوح ، ووسائل التواصل الاجتماعي العكسية. الهندسة.
Quid-pro-quo (من اللاتينية - "لهذا") - محاولة لاستخراج معلومات من شركة أو شركة. يحدث ذلك عن طريق الاتصال بها عبر الهاتف أو بإرسال رسائل بالبريد الإلكتروني. في أغلب الأحيان ، المهاجمونيتظاهر بأنه موظف. الدعم ، الذي يبلغ عن وجود مشكلة معينة في مكان عمل الموظف. ثم يقترحون طرقًا لإصلاحها ، على سبيل المثال عن طريق تثبيت البرامج. تبين أن البرنامج معيب ويروج للجريمة.
The Road Apple هي طريقة هجوم تعتمد على فكرة حصان طروادة. يكمن جوهرها في استخدام الوسط المادي واستبدال المعلومات. على سبيل المثال ، يمكنهم تزويد بطاقة ذاكرة "جيدة" معينة تجذب انتباه الضحية ، وتسبب الرغبة في فتح الملف واستخدامه أو اتباع الروابط المشار إليها في مستندات محرك الأقراص المحمول. يتم إسقاط كائن "تفاحة الطريق" في الأماكن الاجتماعية وانتظر حتى يتم تنفيذ خطة الدخيل بواسطة أحد الموضوعات.
جمع المعلومات والبحث عنها من المصادر المفتوحة هي عملية احتيال يعتمد فيها الحصول على البيانات على أساليب علم النفس والقدرة على ملاحظة الأشياء الصغيرة وتحليل البيانات المتاحة ، على سبيل المثال ، صفحات من شبكة اجتماعية. هذه طريقة جديدة إلى حد ما للهندسة الاجتماعية.
تصفح الكتف وعكس الاجتماعية. الهندسة
يعرّف مفهوم "تصفح الكتف" نفسه على أنه مشاهدة موضوع حيًا بالمعنى الحرفي. مع هذا النوع من صيد البيانات ، يذهب المهاجم إلى الأماكن العامة ، مثل المقهى والمطار ومحطة القطار ويتابع الناس.
لا تقلل من شأن هذه الطريقة ، حيث تظهر العديد من الاستطلاعات والدراسات أن الشخص اليقظ يمكن أن يتلقى الكثير من السريةالمعلومات ببساطة عن طريق الانتباه.
الهندسة الاجتماعية (كمستوى من المعرفة الاجتماعية) هي وسيلة "لالتقاط" البيانات. هناك طرق للحصول على البيانات التي ستقدم الضحية نفسها للمهاجم المعلومات اللازمة. ومع ذلك ، يمكن أيضًا أن يخدم مصلحة المجتمع.
اجتماعي عكسي الهندسة هي طريقة أخرى لهذا العلم. يصبح استخدام هذا المصطلح مناسبًا في الحالة التي ذكرناها أعلاه: الضحية نفسها ستقدم للمهاجم المعلومات اللازمة. لا ينبغي أن يؤخذ هذا البيان على أنه سخيف. والحقيقة هي أن الأشخاص الذين يتمتعون بالسلطة في مجالات معينة من النشاط يحصلون في كثير من الأحيان على إمكانية الوصول إلى بيانات تحديد الهوية بناءً على قرار الشخص المعني. الأساس هنا هو الثقة.
من المهم أن تتذكر! لن يطلب موظفو الدعم أبدًا من المستخدم كلمة مرور ، على سبيل المثال.
المعلومات والحماية
تدريب الهندسة الاجتماعية يمكن أن يتم من قبل الفرد إما على أساس مبادرة شخصية أو على أساس الفوائد التي يتم استخدامها في برامج التدريب الخاصة.
يمكن للمجرمين استخدام مجموعة متنوعة من أنواع الخداع ، تتراوح من التلاعب إلى الكسل ، والسذاجة ، ولطف المستخدم ، وما إلى ذلك. من الصعب للغاية حماية نفسك من هذا النوع من الهجوم ، بسبب افتقار الضحية إلى إدراك أنه) خدع. غالبًا ما تشارك العديد من الشركات والشركات لحماية بياناتها عند هذا المستوى من الخطر في تقييم المعلومات العامة. الخطوة التالية هي دمج ما هو ضروريضمانات لسياسة الأمن.
أمثلة
مثال على الهندسة الاجتماعية (فعلها) في مجال رسائل التصيد الإلكتروني العالمية حدث وقع في عام 2003. تم إرسال رسائل البريد الإلكتروني إلى مستخدمي eBay أثناء عملية الاحتيال هذه. وزعموا أنه تم حظر الحسابات الخاصة بهم. لإلغاء المنع ، كان من الضروري إعادة إدخال بيانات الحساب. ومع ذلك ، كانت الحروف مزيفة. لقد ترجموا إلى صفحة مماثلة للصفحة الرسمية ، لكنها مزورة. وبحسب تقديرات الخبراء فان الخسارة لم تكن كبيرة جدا (اقل من مليون دولار)
تعريف المسؤولية
قد يعاقب على استخدام الهندسة الاجتماعية في بعض الحالات. في عدد من البلدان ، مثل الولايات المتحدة ، فإن الذريعة (الخداع من خلال انتحال شخصية شخص آخر) تعادل انتهاك الخصوصية. ومع ذلك ، قد يعاقب القانون على هذا إذا كانت المعلومات التي تم الحصول عليها أثناء الذريعة سرية من وجهة نظر الموضوع أو المنظمة. تسجيل محادثة هاتفية (كطريقة هندسة اجتماعية) مطلوب أيضًا بموجب القانون ويتطلب غرامة قدرها 250000 دولار أو السجن لمدة تصل إلى عشر سنوات للأفراد. الأشخاص. يتعين على الكيانات القانونية دفع 500000 دولار ؛ الموعد النهائي لا يزال كما هو