Википедия

Социальная инженерия

18 Июл, 2025 / 10:33
У этого термина существуют и другие значения, см. Социальная инженерия (значения).

Социа́льная инженерия — в контексте информационной безопасности — психологическое манипулирование людьми с целью совершения ими определенных действий или разглашения конфиденциальной информации. От традиционного «мошенничества» отличается тем, что зачастую является одним из многих шагов в более сложной схеме мошенничества. Также может быть определена как побуждение другого человека к действию в чьих-либо интересах.

Следует отличать от понятия социальной инженерии в социальных науках, которое не связано с информационной безопасностью.

Техники

Выбор той или иной техники зависит не только от уже известного знания об объекте воздействия, но и от непосредственной ситуативной практики взаимодействия с ним, поскольку чаще всего социальный инженер имеет дело со сложившимися условиями и обстоятельствами, которые могут уже никогда не повториться в будущем (согласно А. В. Веселову).

Фишинг

image
Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «реактивацию счета»
Основная статья: Фишинг

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на сегодняшний день: 43 % всех успешных атак на организации были проведены с использование социальной инженерии (79% из них прошли через электронную почту, СМС-сообщения, социальные сети и мессенджеры). Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные: утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию.

Популярные фишинговые схемы

Несуществующие ссылки

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.discnrd.com. Выглядит это, будто это ссылка на Discord, мало кто заметит, что буква «o» заменена на «n». Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных кредитной карты эта информация сразу направляется к злоумышленнику.

Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учётная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчётам экспертов, убытки от этой аферы составили менее миллиона долларов (несколько сотен тысяч).

Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Подложные лотереи

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.

Ложные антивирусы и программы для обеспечения безопасности

Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения.

IVR или телефонный фишинг
image
Принцип действия IVR систем
Основная статья: Вишинг

Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом. Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений.

Претекстинг

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию узнает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.

Квид про кво

Основная статья: Quid pro quo

Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актёрское мастерство) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.

Проведенное в 2003 году исследование в рамках конференции InfoSecurity Europe 2003 показало, что 90 % офисных работников готовы разгласить конфиденциальную информацию, например свои пароли, за какую-либо услугу или вознаграждение.

«Дорожное яблоко»

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в общественные места, где эти носители могут быть легко найдены, например в туалеты, на парковки, в столовую, или на рабочее место атакуемого сотрудника. Носители оформляются как официальные документы компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником. (в случае «Вконтакте» адрес, номер телефона, дата рождения, фотографии, друзья и т. д.)

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадёт в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от жертвы. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Плечевой серфинг

Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.

Опрос ИТ-специалистов в белой книге о безопасности показал, что:

  • 85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать;
  • 82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;
  • 82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.

Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом[источник не указан 2321 день].

Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Известные социальные инженеры

Кевин Митник

Основная статья: Митник, Кевин

Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2001 году вышла книга «Искусство обмана» (англ. «The Art of Deception») за его авторством, повествующая о реальных историях применения социальной инженерии. Кевин Митник утверждает, что намного проще получить пароль путём обмана, нежели пытаться взломать систему безопасности.

Братья Бадир

См. также: Blue box

Несмотря на то, что братья Бадир, Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х, используя социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать служебные сигналы в телефонной линии. Они подолгу звонили за границу за чужой счет, имитируя внутриканальную межстанционную сигнализацию.

Архангел

image
Обложка журнала «Phrack»

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале «Phrack Magazine», Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

Другие

Менее известными социальными инженерами являются Фрэнк Абигнейл, , Питер Фостер и Стивен Джей Рассел.

Способы защиты от социальной инженерии

Для проведения своих атак злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

Как определить атаку социального инженера

Ниже перечислены методы действий социальных инженеров:

  • представление себя другом-сотрудником либо новым сотрудником с просьбой о помощи;
  • представление себя сотрудником поставщика, партнерской компании, представителем закона;
  • представление себя кем-либо из руководства;
  • представление себя поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч жертве для установки;
  • предложение помощи в случае возникновения проблемы и последующее провоцирование возникновения проблемы, которое принуждает жертву попросить о помощи;
  • использование внутреннего сленга и терминологии для возникновения доверия;
  • отправка вируса или троянского коня в качестве приложения к письму;
  • использование фальшивого pop-up окна с просьбой аутентифицироваться еще раз или ввести пароль;
  • предложение приза за регистрацию на сайте с именем пользователя и паролем;
  • записывание клавиш, которые жертва вводит на своём компьютере или в своей программе (кейлоггинг);
  • подбрасывание различных носителей данных (флэш-карт, дисков и т. д.) с вредоносным ПО на стол жертвы;
  • подбрасывание документа или папки в почтовый отдел компании для внутренней доставки;
  • видоизменение надписи на факсе, чтобы казалось, что он пришел из компании;
  • просьба секретаря принять, а затем отослать факс;
  • просьба отослать документ в место, которое кажется локальным (то есть находится на территории организации);
  • подстройка голосовой почты, чтобы работники, решившие перезвонить, подумали, что атакующий — сотрудник той же компании.

Классификация угроз

Угрозы, связанные с телефоном

Телефон до сих пор является одним из самых популярных способов коммуникации внутри и между организациями, следовательно, он все так же является эффективным инструментом социальных инженеров. При разговоре по телефону невозможно увидеть лицо собеседника для подтверждения его личности, что даёт злоумышленникам шанс выдать себя за сотрудника, начальника либо любое другое лицо, которому можно доверить конфиденциальную либо не кажущуюся важной информацию. Злоумышленник часто организует разговор так, что у жертвы практически не остаётся выхода, кроме как помочь, особенно когда просьба выглядит пустяковой.

Также популярны различные способы мошенничества, направленные на кражу денег у пользователей мобильных телефонов. Это могут быть как звонки, так и смс-сообщения о выигрышах в лотереях, конкурсах, просьбы вернуть по ошибке положенные средства, либо сообщения о том, что близкие родственники жертвы попали в беду и необходимо срочно перевести определённую сумму средств.

Меры по обеспечению безопасности предполагают скептическое отношение к любым подобным сообщениям и некоторые принципы обеспечения безопасности:

  • Проверка личности звонящего;
  • Использование услуги определения номера;
  • Игнорирование неизвестных ссылок в смс-сообщениях.

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто не задумываясь о своих действиях выполняет то, о чём её просят. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, то это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь. Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить обучение персонала распознавать признаки фишинговых атак и другие индикаторы вредоносных действий, сводя к минимуму риск ошибок, вызванных человеческим фактором. Также существует ряд средств защиты корпоративной электронной почты от действий злоумышленников.

Угрозы, связанные с использованием службы мгновенного обмена сообщениями

Мгновенный обмен сообщениями — сравнительно новый способ передачи данных, однако он уже приобрёл широкую популярность среди корпоративных пользователей. Из-за быстроты и лёгкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями — это ещё и один из способов запроса информации. Одна из особенностей служб мгновенного обмена сообщениями — это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки. Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надёжного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований[неавторитетный источник].

  • Выбрать одну платформу для мгновенного обмена сообщениями.
  • Определить параметры защиты, задаваемые при развёртывании службы мгновенного обмена сообщениями.
  • Определить принципы установления новых контактов
  • Задать стандарты выбора паролей
  • Составить рекомендации по использованию службы мгновенного обмена сообщениями.

Основные защитные методы

Специалисты по социальной инженерии выделяют следующие основные защитные методы для организаций:

  • разработка продуманной политики классификации данных, учитывающей те кажущиеся безвредными типы данных, которые могут привести к получению важной информации;
  • обеспечение защиты информации о клиентах с помощью шифрования данных или использования управления доступом;
  • обучение сотрудников навыкам для распознавания социального инженера, проявлениям подозрения при общении с людьми, которых они не знают лично;
  • запрет персоналу на обмен паролями либо использование общего;
  • запрет на предоставление информации из отдела с секретами кому-либо, не так знакомому лично или не подтверждённому каким-либо способом;
  • использование особых процедур подтверждения для всех, кто запрашивает доступ к конфиденциальной информации.

Многоуровневая модель обеспечения безопасности

Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем.

  • Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
  • Данные. Деловая информация: учётные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
  • Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
  • Компьютеры. Серверы и клиентские системы, используемые в организации. Защита пользователей от прямых атак на их компьютеры, путём определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах.
  • Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удалённой работы, границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
  • Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Ответственность

Претекстинг и запись телефонных разговоров

В правовом кодексе США претекстинг, то есть выдача себя за другого человека с целью получения информации, которая может быть предоставлена этому человеку, приравнивается к вторжению в личную жизнь. В декабре 2006 года Конгресс США одобрил законопроект, предполагающий наказание за претекстинг и запись телефонных разговоров в виде штрафа до 250 000 $ или заключения на срок до 10 лет для физических лиц (или штраф в размере 500 000 $ для юридических лиц). Соответствующий указ был подписан президентом Джорджем Бушем 12 января 2007 года.

Hewlett-Packard

Патриция Данн, президент корпорации Hewlett Packard, сообщила, что HP наняла частную компанию с целью выявить тех сотрудников компании, кто был ответствен за утечку конфиденциальной информации. Позже глава корпорации признал, что в процессе исследования использовалась практика претекстинга и других техник социальной инженерии.

Примечания

  1. Ross J. Anderson. Security Engineering: A Guide to Building Dependable Distributed Systems. — John Wiley & Sons, 2008-04-14. — 1080 с. — ISBN 978-0-470-06852-6.
  2. Social Engineering Defined (англ.). Security Through Education. Дата обращения: 21 августа 2020. Архивировано 3 октября 2018 года.
  3. Веселов А.В. Субъект социальной инженерии: понятие, виды, формирование // Философия и культура : Журнал. — 2011. — 8 августа (№ 8). — С. 17.
  4. Тренды фишинговых атак на организации в 2022–2023 годах. Архивировано 6 августа 2024. Дата обращения: 22 февраля 2025.
  5. Phishing. Архивировано 10 ноября 2012. Дата обращения: 6 ноября 2012.
  6. Кевин Д. Митник; Вильям Л. Саймон. Искусство обмана. — АйТи, 2004. — ISBN 5-98453-011-2.
  7. Как защитить внутреннюю сеть от атак. Microsoft TechNet. Архивировано 27 сентября 2018. Дата обращения: 1 октября 2017.
  8. Ross, Dave. How Interactive Voice Response (IVR) Works. Архивировано 14 августа 2020. Дата обращения: 22 августа 2020.
  9. Кви про кво
  10. Leyden, John. Office workers give away passwords. Theregister.co.uk (18 апреля 2003). Дата обращения: 1 октября 2017. Архивировано 20 ноября 2012 года.
  11. Goodchild, L!FENEWS (21 апреля 2011). Сын Касперского похищен в Москве. Архивировано 4 ноября 2012. Дата обращения: 6 ноября 2012.
  12. Nelson Novaes Neto. Архивировано 20 февраля 2010. Дата обращения: 6 ноября 2012.
  13. European Visual Data Security. "Visual Data Security White Paper" (2014). Дата обращения: 19 декабря 2014. Архивировано из оригинала 13 мая 2014 года.
  14. Как защитить внутреннюю сеть и сотрудников компании от атак. Microsoft TechNet. Архивировано 27 сентября 2018. Дата обращения: 1 октября 2017.
  15. Social Engineering. Архивировано 21 апреля 2014. Дата обращения: 6 ноября 2012.
  16. Mitnick, K. Введение // CSEPS Course Workbook. — Mitnick Security Publishing, 2004. — С. 4.
  17. Что такое защита электронной почты? | Microsoft Security. www.microsoft.com. Дата обращения: 22 февраля 2025.
  18. Руководство по безопасной работе в интернете. KasperskyLab. Архивировано 29 марта 2013. Дата обращения: 6 ноября 2012.
  19. Restatement 2d of Torts § 652C
  20. Eric Bangeman. Congress outlaws pretexting (англ.). Ars Technica (12 ноября 2006). Дата обращения: 1 октября 2017. Архивировано 17 января 2017 года.
  21. Stephen Shankland. HP chairman: Use of pretexting 'embarrassing' (англ.). CNET News.com (8 сентября 2006).

Ссылки

  • Социальная инженерия: основы. Часть I: тактики хакеров
  • Защита от фишинг-атак
  • «Protecting Consumers' Phone Records», US Committee on Commerce, Science, and Transportation (англ.)
  • Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal (англ.)
  • Social-Engineer.org — social-engineer.org (англ.)
  • Overview of Social Engineering Threats -Presented for Parents & Teachers (англ.)
  • Tailor Jerry — Русскоязычный ресурс по социальной инженерии

Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер, Информация о Социальная инженерия, Что такое Социальная инженерия? Что означает Социальная инженерия?

Eta statya nuzhdaetsya v pererabotke Pozhalujsta utochnite problemu v state s pomoshyu bolee uzkogo shablona Pozhalujsta uluchshite statyu v sootvetstvii s pravilami napisaniya statej 9 marta 2019 Dostovernost etoj stati postavlena pod somnenie Neobhodimo proverit tochnost faktov i dostovernost svedenij izlozhennyh v etoj state Sootvetstvuyushuyu diskussiyu mozhno najti na stranice obsuzhdeniya 9 marta 2019 U etogo termina sushestvuyut i drugie znacheniya sm Socialnaya inzheneriya znacheniya Socia lnaya inzheneriya v kontekste informacionnoj bezopasnosti psihologicheskoe manipulirovanie lyudmi s celyu soversheniya imi opredelennyh dejstvij ili razglasheniya konfidencialnoj informacii Ot tradicionnogo moshennichestva otlichaetsya tem chto zachastuyu yavlyaetsya odnim iz mnogih shagov v bolee slozhnoj sheme moshennichestva Takzhe mozhet byt opredelena kak pobuzhdenie drugogo cheloveka k dejstviyu v chih libo interesah Sleduet otlichat ot ponyatiya socialnoj inzhenerii v socialnyh naukah kotoroe ne svyazano s informacionnoj bezopasnostyu TehnikiVybor toj ili inoj tehniki zavisit ne tolko ot uzhe izvestnogo znaniya ob obekte vozdejstviya no i ot neposredstvennoj situativnoj praktiki vzaimodejstviya s nim poskolku chashe vsego socialnyj inzhener imeet delo so slozhivshimisya usloviyami i obstoyatelstvami kotorye mogut uzhe nikogda ne povtoritsya v budushem soglasno A V Veselovu Fishing Primer fishingovogo pisma otpravlennogo ot pochtovogo servisa zaprashivayushego reaktivaciyu scheta Osnovnaya statya Fishing Fishing angl phishing ot fishing rybnaya lovlya vyuzhivanie vid internet moshennichestva celyu kotorogo yavlyaetsya poluchenie dostupa k konfidencialnym dannym polzovatelej loginam i parolyam Eto samaya populyarnaya shema socialnoj inzhenerii na segodnyashnij den 43 vseh uspeshnyh atak na organizacii byli provedeny s ispolzovanie socialnoj inzhenerii 79 iz nih proshli cherez elektronnuyu pochtu SMS soobsheniya socialnye seti i messendzhery Ni odna krupnaya utechka personalnyh dannyh ne obhoditsya bez volny fishingovyh rassylok predshestvuyushih ej Naibolee yarkim primerom fishingovoj ataki mozhet sluzhit soobshenie otpravlennoe zhertve po elektronnoj pochte i poddelannoe pod oficialnoe pismo ot banka ili platyozhnoj sistemy trebuyushee proverki opredelyonnoj informacii ili soversheniya opredelyonnyh dejstvij Prichiny mogut nazyvatsya samye razlichnye uterya dannyh polomka v sisteme i prochee Takie pisma obychno soderzhat ssylku na falshivuyu veb stranicu v tochnosti pohozhuyu na oficialnuyu i soderzhashuyu formu trebuyushuyu vvesti konfidencialnuyu informaciyu Populyarnye fishingovye shemy Nesushestvuyushie ssylki Ataka kotoraya zaklyuchaetsya v otpravlenii pisma s soblaznitelnoj prichinoj posetit sajt i pryamoj ssylkoj na nego kotoraya lish imeet shodstvo s ozhidaemym sajtom naprimer www discnrd com Vyglyadit eto budto eto ssylka na Discord malo kto zametit chto bukva o zamenena na n Takim obrazom pri perehode po ssylke zhertva uvidit sajt maksimalno identichnyj ozhidaemomu i pri vvode dannyh kreditnoj karty eta informaciya srazu napravlyaetsya k zloumyshlenniku Odnim iz naibolee izvestnyh primerov globalnoj fishingovoj rassylki mozhet sluzhit afera 2003 goda vo vremya kotoroj tysyachi polzovatelej eBay poluchili elektronnye pisma v kotoryh utverzhdalos chto ih uchyotnaya zapis byla zablokirovana i dlya eyo razblokirovki trebuetsya obnovit dannye o kreditnyh kartah Vo vseh etih pismah prisutstvovala ssylka vedushaya na poddelnuyu veb stranicu v tochnosti pohozhuyu na oficialnuyu Vprochem po podschyotam ekspertov ubytki ot etoj afery sostavili menee milliona dollarov neskolko soten tysyach Moshennichestvo s ispolzovaniem brendov izvestnyh korporacij V takih fishingovyh shemah ispolzuyutsya poddelnye soobsheniya elektronnoj pochty ili veb sajty soderzhashie nazvaniya krupnyh ili izvestnyh kompanij V soobsheniyah mozhet byt pozdravlenie s pobedoj v kakom libo konkurse provodimom kompaniej o tom chto srochno trebuetsya izmenit uchyotnye dannye ili parol Podobnye moshennicheskie shemy ot lica sluzhby tehnicheskoj podderzhki takzhe mogut proizvoditsya po telefonu Podlozhnye loterei Polzovatel mozhet poluchit soobsheniya v kotoryh govoritsya o tom chto on vyigral v lotereyu kotoraya provodilas kakoj libo izvestnoj kompaniej Vneshne eti soobsheniya mogut vyglyadet tak kak budto oni byli otpravleny ot lica odnogo iz vysokopostavlennyh sotrudnikov korporacii Lozhnye antivirusy i programmy dlya obespecheniya bezopasnosti Podobnoe moshennicheskoe programmnoe obespechenie takzhe izvestnoe pod nazvaniem scareware eto programmy kotorye vyglyadyat kak antivirusy hotya na samom dele vse obstoit sovsem naoborot Takie programmy generiruyut lozhnye uvedomleniya o razlichnyh ugrozah a takzhe pytayutsya zavlech polzovatelya v moshennicheskie tranzakcii Polzovatel mozhet stolknutsya s nimi v elektronnoj pochte onlajn obyavleniyah v socialnyh setyah v rezultatah poiskovyh sistem i dazhe vo vsplyvayushih oknah na kompyutere kotorye imitiruyut sistemnye soobsheniya IVR ili telefonnyj fishing Princip dejstviya IVR sistemOsnovnaya statya Vishing Telefonnyj fishing Vishing angl vishing voice fishing nazvan tak po analogii s fishingom Dannaya tehnika osnovana na ispolzovanii sistemy predvaritelno zapisannyh golosovyh soobshenij s celyu vossozdat oficialnye zvonki bankovskih i drugih IVR sistem Obychno zhertva poluchaet zapros chashe vsego cherez fishing elektronnoj pochty svyazatsya s bankom i podtverdit ili obnovit kakuyu libo informaciyu Sistema trebuet autentifikacii polzovatelya posredstvom vvoda PIN koda ili parolya Poetomu predvaritelno zapisav klyuchevuyu frazu mozhno vyvedat vsyu nuzhnuyu informaciyu Naprimer lyuboj mozhet zapisat tipichnuyu komandu Nazhmite edinicu chtoby smenit parol Nazhmite dvojku chtoby poluchit otvet operatora i vosproizvesti eyo vruchnuyu v nuzhnyj moment vremeni sozdav vpechatlenie rabotayushej v dannyj moment sistemy predvaritelno zapisannyh golosovyh soobshenij Preteksting Preteksting angl pretexting ataka v kotoroj zloumyshlennik predstavlyaetsya drugim chelovekom i po zaranee podgotovlennomu scenariyu uznaet konfidencialnuyu informaciyu Eta ataka podrazumevaet dolzhnuyu podgotovku kak to den rozhdeniya INN nomer pasporta libo poslednie cifry scheta dlya togo chtoby ne vyzvat podozrenij u zhertvy Obychno realizuetsya cherez telefon ili elektronnuyu pochtu Kvid pro kvo Osnovnaya statya Quid pro quo Kvid pro kvo ot lat Quid pro quo to za eto v anglijskom yazyke eto vyrazhenie obychno ispolzuetsya v znachenii usluga za uslugu Dannyj vid ataki podrazumevaet obrashenie zloumyshlennika v kompaniyu po korporativnomu telefonu ispolzuya aktyorskoe masterstvo ili elektronnoj pochte Zachastuyu zloumyshlennik predstavlyaetsya sotrudnikom tehnicheskoj podderzhki kotoryj soobshaet o vozniknovenii tehnicheskih problem na rabochem meste sotrudnika i predlagaet pomosh v ih ustranenii V processe resheniya tehnicheskih problem zloumyshlennik vynuzhdaet cel ataki sovershat dejstviya pozvolyayushie atakuyushemu zapuskat komandy ili ustanavlivat razlichnoe programmnoe obespechenie na kompyutere zhertvy Provedennoe v 2003 godu issledovanie v ramkah konferencii InfoSecurity Europe 2003 pokazalo chto 90 ofisnyh rabotnikov gotovy razglasit konfidencialnuyu informaciyu naprimer svoi paroli za kakuyu libo uslugu ili voznagrazhdenie Dorozhnoe yabloko Etot metod ataki predstavlyaet soboj adaptaciyu troyanskogo konya i sostoit v ispolzovanii fizicheskih nositelej Zloumyshlennik podbrasyvaet inficirovannye nositeli informacii v obshestvennye mesta gde eti nositeli mogut byt legko najdeny naprimer v tualety na parkovki v stolovuyu ili na rabochee mesto atakuemogo sotrudnika Nositeli oformlyayutsya kak oficialnye dokumenty kompanii kotoruyu atakuyut ili soprovozhdayutsya podpisyu prizvannoj vyzvat lyubopytstvo K primeru zloumyshlennik mozhet podbrosit CD snabzhyonnyj korporativnym logotipom i ssylkoj na oficialnyj sajt kompanii snabdiv ego nadpisyu Zarabotnaya plata rukovodyashego sostava Disk mozhet byt ostavlen na polu lifta ili v vestibyule Sotrudnik mozhet podobrat disk i vstavit ego v kompyuter chtoby udovletvorit svoyo lyubopytstvo Sbor informacii iz otkrytyh istochnikov Primenenie tehnik socialnoj inzhenerii trebuet ne tolko znaniya psihologii no i umeniya sobirat o cheloveke neobhodimuyu informaciyu Otnositelno novym sposobom polucheniya takoj informacii stal eyo sbor iz otkrytyh istochnikov glavnym obrazom iz socialnyh setej K primeru takie sajty kak livejournal Odnoklassniki VKontakte soderzhat ogromnoe kolichestvo dannyh kotorye lyudi i ne pytayutsya skryt Kak pravilo polzovateli ne udelyayut dolzhnogo vnimaniya voprosam bezopasnosti ostavlyaya v svobodnom dostupe dannye i svedeniya kotorye mogut byt ispolzovany zloumyshlennikom v sluchae Vkontakte adres nomer telefona data rozhdeniya fotografii druzya i t d Pokazatelnym primerom mozhet stat istoriya o pohishenii syna Evgeniya Kasperskogo V hode sledstviya bylo ustanovleno chto prestupniki uznali raspisanie dnya i marshruty sledovaniya podrostka iz ego zapisej na stranice v socialnoj seti Dazhe ogranichiv dostup k informacii na svoej stranice v socialnoj seti polzovatel ne mozhet byt tochno uveren chto ona nikogda ne popadyot v ruki moshennikov Naprimer brazilskij issledovatel po voprosam kompyuternoj bezopasnosti pokazal chto sushestvuet vozmozhnost stat drugom lyubogo polzovatelya Facebook v techenie 24 chasov ispolzuya metody socialnoj inzhenerii V hode eksperimenta issledovatel Nelson Novaes Neto vybral zhertvu i sozdal falshivyj akkaunt cheloveka iz eyo okruzheniya eyo nachalnika Snachala Neto otpravlyal zaprosy na druzhbu druzyam druzej nachalnika zhertvy a zatem i neposredstvenno ego druzyam Cherez 7 5 chasa issledovatel dobilsya dobavleniya v druzya ot zhertvy Tem samym issledovatel poluchil dostup k lichnoj informacii polzovatelya kotoroj tot delilsya tolko so svoimi druzyami Plechevoj serfing Plechevoj serfing angl shoulder surfing vklyuchaet v sebya nablyudenie lichnoj informacii zhertvy cherez eyo plecho Etot tip ataki rasprostranyon v obshestvennyh mestah takih kak kafe torgovye centry aeroporty vokzaly a takzhe v obshestvennom transporte Opros IT specialistov v beloj knige o bezopasnosti pokazal chto 85 oproshennyh priznalis chto videli konfidencialnuyu informaciyu kotoruyu im ne polozheno bylo znat 82 priznalis chto informaciyu otobrazhaemuyu na ih ekrane mogli by videt postoronnie lica 82 slabo uvereny v tom chto v ih organizacii kto libo budet zashishat svoj ekran ot postoronnih lic Obratnaya socialnaya inzheneriya Ob obratnoj socialnoj inzhenerii upominayut togda kogda zhertva sama predlagaet zloumyshlenniku nuzhnuyu emu informaciyu Eto mozhet pokazatsya absurdnym no na samom dele lica obladayushie avtoritetom v tehnicheskoj ili socialnoj sfere chasto poluchayut identifikatory i paroli polzovatelej i druguyu vazhnuyu lichnuyu informaciyu prosto potomu chto nikto ne somnevaetsya v ih poryadochnosti Naprimer sotrudniki sluzhby podderzhki nikogda ne sprashivayut u polzovatelej identifikator ili parol im ne nuzhna eta informaciya dlya resheniya problem Odnako mnogie polzovateli radi skorejshego ustraneniya problem dobrovolno soobshayut eti konfidencialnye svedeniya Poluchaetsya chto zloumyshlenniku dazhe ne nuzhno sprashivat ob etom istochnik ne ukazan 2321 den Primerom obratnoj socialnoj inzhenerii mozhet sluzhit sleduyushij prostoj scenarij Zloumyshlennik rabotayushij vmeste s zhertvoj izmenyaet na eyo kompyutere imya fajla ili peremeshaet ego v drugoj katalog Kogda zhertva zamechaet propazhu fajla zloumyshlennik zayavlyaet chto mozhet vse ispravit Zhelaya bystree zavershit rabotu ili izbezhat nakazaniya za utratu informacii zhertva soglashaetsya na eto predlozhenie Zloumyshlennik zayavlyaet chto reshit problemu mozhno tolko vojdya v sistemu s uchetnymi dannymi zhertvy Teper uzhe zhertva prosit zloumyshlennika vojti v sistemu pod eyo imenem chtoby popytatsya vosstanovit fajl Zloumyshlennik neohotno soglashaetsya i vosstanavlivaet fajl a po hodu dela kradet identifikator i parol zhertvy Uspeshno osushestviv ataku on dazhe uluchshil svoyu reputaciyu i vpolne vozmozhno chto posle etogo k nemu budut obrashatsya za pomoshyu i drugie kollegi Etot podhod ne peresekaetsya s obychnymi procedurami okazaniya uslug podderzhki i oslozhnyaet poimku zloumyshlennika Izvestnye socialnye inzheneryKevin Mitnik Osnovnaya statya Mitnik Kevin Odnim iz samyh znamenityh socialnyh inzhenerov v istorii yavlyaetsya Kevin Mitnik Buduchi vsemirno izvestnym kompyuternym hakerom i konsultantom po bezopasnosti Mitnik takzhe yavlyaetsya avtorom mnogochislennyh knig po kompyuternoj bezopasnosti posvyashennym v osnovnom socialnoj inzhenerii i metodam psihologicheskogo vozdejstviya na cheloveka V 2001 godu vyshla kniga Iskusstvo obmana angl The Art of Deception za ego avtorstvom povestvuyushaya o realnyh istoriyah primeneniya socialnoj inzhenerii Kevin Mitnik utverzhdaet chto namnogo proshe poluchit parol putyom obmana nezheli pytatsya vzlomat sistemu bezopasnosti Bratya Badir Sm takzhe Blue box Nesmotrya na to chto bratya Badir Mushid i Shadi Badir byli slepymi ot rozhdeniya oni sumeli realizovat neskolko krupnyh shem moshennichestva v Izraile v 1990 h ispolzuya socialnuyu inzheneriyu i poddelku golosa V teleintervyu oni skazali Polnostyu ot setevyh atak zastrahovan lish tot kto ne polzuetsya telefonom elektrichestvom i noutbukom Bratya uzhe pobyvali v tyurme za to chto im udalos uslyshat sluzhebnye signaly v telefonnoj linii Oni podolgu zvonili za granicu za chuzhoj schet imitiruya vnutrikanalnuyu mezhstancionnuyu signalizaciyu Arhangel Oblozhka zhurnala Phrack Znamenityj kompyuternyj haker i konsultant po bezopasnosti v izvestnom angloyazychnom internet zhurnale Phrack Magazine Arhangel prodemonstriroval vozmozhnosti tehnik socialnoj inzhenerii za korotkoe vremya poluchiv paroli ot ogromnogo kolichestva razlichnyh sistem obmanuv neskolko soten zhertv Drugie Menee izvestnymi socialnymi inzhenerami yavlyayutsya Frenk Abignejl Piter Foster i Stiven Dzhej Rassel Sposoby zashity ot socialnoj inzheneriiDlya provedeniya svoih atak zloumyshlenniki primenyayushie tehniki socialnoj inzhenerii zachastuyu ekspluatiruyut doverchivost len lyubeznost i dazhe entuziazm polzovatelej i sotrudnikov organizacij Zashititsya ot takih atak neprosto poskolku ih zhertvy mogut ne podozrevat chto ih obmanuli Zloumyshlenniki ispolzuyushie metody socialnoj inzhenerii presleduyut v obshem takie zhe celi chto i lyubye drugie zloumyshlenniki im nuzhny dengi informaciya ili IT resursy kompanii zhertvy Dlya zashity ot takih atak nuzhno izuchit ih raznovidnosti ponyat chto nuzhno zloumyshlenniku i ocenit usherb kotoryj mozhet byt prichinen organizacii Obladaya vsej etoj informaciej mozhno integrirovat v politiku bezopasnosti neobhodimye mery zashity Kak opredelit ataku socialnogo inzhenera Nizhe perechisleny metody dejstvij socialnyh inzhenerov predstavlenie sebya drugom sotrudnikom libo novym sotrudnikom s prosboj o pomoshi predstavlenie sebya sotrudnikom postavshika partnerskoj kompanii predstavitelem zakona predstavlenie sebya kem libo iz rukovodstva predstavlenie sebya postavshikom ili proizvoditelem operacionnyh sistem zvonyashim chtoby predlozhit obnovlenie ili patch zhertve dlya ustanovki predlozhenie pomoshi v sluchae vozniknoveniya problemy i posleduyushee provocirovanie vozniknoveniya problemy kotoroe prinuzhdaet zhertvu poprosit o pomoshi ispolzovanie vnutrennego slenga i terminologii dlya vozniknoveniya doveriya otpravka virusa ili troyanskogo konya v kachestve prilozheniya k pismu ispolzovanie falshivogo pop up okna s prosboj autentificirovatsya eshe raz ili vvesti parol predlozhenie priza za registraciyu na sajte s imenem polzovatelya i parolem zapisyvanie klavish kotorye zhertva vvodit na svoyom kompyutere ili v svoej programme kejlogging podbrasyvanie razlichnyh nositelej dannyh flesh kart diskov i t d s vredonosnym PO na stol zhertvy podbrasyvanie dokumenta ili papki v pochtovyj otdel kompanii dlya vnutrennej dostavki vidoizmenenie nadpisi na fakse chtoby kazalos chto on prishel iz kompanii prosba sekretarya prinyat a zatem otoslat faks prosba otoslat dokument v mesto kotoroe kazhetsya lokalnym to est nahoditsya na territorii organizacii podstrojka golosovoj pochty chtoby rabotniki reshivshie perezvonit podumali chto atakuyushij sotrudnik toj zhe kompanii Klassifikaciya ugroz Ugrozy svyazannye s telefonom Telefon do sih por yavlyaetsya odnim iz samyh populyarnyh sposobov kommunikacii vnutri i mezhdu organizaciyami sledovatelno on vse tak zhe yavlyaetsya effektivnym instrumentom socialnyh inzhenerov Pri razgovore po telefonu nevozmozhno uvidet lico sobesednika dlya podtverzhdeniya ego lichnosti chto dayot zloumyshlennikam shans vydat sebya za sotrudnika nachalnika libo lyuboe drugoe lico kotoromu mozhno doverit konfidencialnuyu libo ne kazhushuyusya vazhnoj informaciyu Zloumyshlennik chasto organizuet razgovor tak chto u zhertvy prakticheski ne ostayotsya vyhoda krome kak pomoch osobenno kogda prosba vyglyadit pustyakovoj Takzhe populyarny razlichnye sposoby moshennichestva napravlennye na krazhu deneg u polzovatelej mobilnyh telefonov Eto mogut byt kak zvonki tak i sms soobsheniya o vyigryshah v lotereyah konkursah prosby vernut po oshibke polozhennye sredstva libo soobsheniya o tom chto blizkie rodstvenniki zhertvy popali v bedu i neobhodimo srochno perevesti opredelyonnuyu summu sredstv Mery po obespecheniyu bezopasnosti predpolagayut skepticheskoe otnoshenie k lyubym podobnym soobsheniyam i nekotorye principy obespecheniya bezopasnosti Proverka lichnosti zvonyashego Ispolzovanie uslugi opredeleniya nomera Ignorirovanie neizvestnyh ssylok v sms soobsheniyah Ugrozy svyazannye s elektronnoj pochtoj Mnogie sotrudniki ezhednevno poluchayut cherez korporativnye i chastnye pochtovye sistemy desyatki i dazhe sotni elektronnyh pisem Razumeetsya pri takom potoke korrespondencii nevozmozhno udelit dolzhnoe vnimanie kazhdomu pismu Eto znachitelno oblegchaet provedenie atak Bolshinstvo polzovatelej sistem elektronnoj pochty spokojno otnosyatsya k obrabotke takih soobshenij vosprinimaya etu rabotu kak elektronnyj analog perekladyvaniya bumag iz odnoj papki v druguyu Kogda zloumyshlennik prisylaet po pochte prostoj zapros ego zhertva chasto ne zadumyvayas o svoih dejstviyah vypolnyaet to o chyom eyo prosyat Elektronnye pisma mogut soderzhat giperssylki sklonyayushie sotrudnikov k narusheniyu zashity korporativnoj sredy Takie ssylki ne vsegda vedut na zayavlennye stranicy Bolshinstvo mer po obespecheniyu bezopasnosti napravleny na predotvrashenie dostupa neavtorizovannyh polzovatelej k korporativnym resursam Esli shelknuv prislannuyu zloumyshlennikom giperssylku polzovatel zagruzit v korporativnuyu set troyanskuyu programmu ili virus to eto pozvolit legko obojti mnogie vidy zashity Giperssylka mozhet takzhe ukazyvat na uzel s vsplyvayushimi prilozheniyami zaprashivayushimi dannye ili predlagayushimi pomosh Kak i v sluchae s drugimi raznovidnostyami moshennichestva samym effektivnym sposobom zashity ot atak zloumyshlennikov yavlyaetsya skepticheskoe otnoshenie k lyubym neozhidannym vhodyashim pismam Dlya rasprostraneniya etogo podhoda v organizacii v politiku bezopasnosti sleduet vklyuchit obuchenie personala raspoznavat priznaki fishingovyh atak i drugie indikatory vredonosnyh dejstvij svodya k minimumu risk oshibok vyzvannyh chelovecheskim faktorom Takzhe sushestvuet ryad sredstv zashity korporativnoj elektronnoj pochty ot dejstvij zloumyshlennikov Ugrozy svyazannye s ispolzovaniem sluzhby mgnovennogo obmena soobsheniyami Mgnovennyj obmen soobsheniyami sravnitelno novyj sposob peredachi dannyh odnako on uzhe priobryol shirokuyu populyarnost sredi korporativnyh polzovatelej Iz za bystroty i lyogkosti ispolzovaniya etot sposob kommunikacii otkryvaet shirokie vozmozhnosti dlya provedeniya razlichnyh atak polzovateli otnosyatsya k nemu kak k telefonnoj svyazi i ne svyazyvayut s potencialnymi programmnymi ugrozami Dvumya osnovnymi vidami atak osnovannymi na ispolzovanii sluzhby mgnovennogo obmena soobsheniyami yavlyayutsya ukazanie v tele soobsheniya ssylki na vredonosnuyu programmu i dostavka samoj programmy Konechno mgnovennyj obmen soobsheniyami eto eshyo i odin iz sposobov zaprosa informacii Odna iz osobennostej sluzhb mgnovennogo obmena soobsheniyami eto neformalnyj harakter obsheniya V sochetanii s vozmozhnostyu prisvaivat sebe lyubye imena etot faktor pozvolyaet zloumyshlenniku gorazdo legche vydavat sebya za drugogo cheloveka i znachitelno povyshaet ego shansy na uspeshnoe provedenie ataki Esli kompaniya namerena ispolzovat vozmozhnosti sokrasheniya rashodov i drugie preimushestva obespechivaemye mgnovennym obmenom soobsheniyami neobhodimo predusmotret v korporativnyh politikah bezopasnosti mehanizmy zashity ot sootvetstvuyushih ugroz Dlya polucheniya nadyozhnogo kontrolya nad mgnovennym obmenom soobsheniyami v korporativnoj srede sleduet vypolnit neskolko trebovanij neavtoritetnyj istochnik Vybrat odnu platformu dlya mgnovennogo obmena soobsheniyami Opredelit parametry zashity zadavaemye pri razvyortyvanii sluzhby mgnovennogo obmena soobsheniyami Opredelit principy ustanovleniya novyh kontaktov Zadat standarty vybora parolej Sostavit rekomendacii po ispolzovaniyu sluzhby mgnovennogo obmena soobsheniyami Osnovnye zashitnye metody Specialisty po socialnoj inzhenerii vydelyayut sleduyushie osnovnye zashitnye metody dlya organizacij razrabotka produmannoj politiki klassifikacii dannyh uchityvayushej te kazhushiesya bezvrednymi tipy dannyh kotorye mogut privesti k polucheniyu vazhnoj informacii obespechenie zashity informacii o klientah s pomoshyu shifrovaniya dannyh ili ispolzovaniya upravleniya dostupom obuchenie sotrudnikov navykam dlya raspoznavaniya socialnogo inzhenera proyavleniyam podozreniya pri obshenii s lyudmi kotoryh oni ne znayut lichno zapret personalu na obmen parolyami libo ispolzovanie obshego zapret na predostavlenie informacii iz otdela s sekretami komu libo ne tak znakomomu lichno ili ne podtverzhdyonnomu kakim libo sposobom ispolzovanie osobyh procedur podtverzhdeniya dlya vseh kto zaprashivaet dostup k konfidencialnoj informacii Mnogourovnevaya model obespecheniya bezopasnosti Dlya zashity krupnyh kompanij i ih sotrudnikov ot moshennikov ispolzuyushih tehniki socialnoj inzhenerii chasto primenyayutsya kompleksnye mnogourovnevye sistemy bezopasnosti Nizhe perechisleny nekotorye osobennosti i obyazannosti takih sistem Fizicheskaya bezopasnost Barery ogranichivayushie dostup v zdaniya kompanii i k korporativnym resursam Ne stoit zabyvat chto resursy kompanii naprimer musornye kontejnery raspolozhennye vne territorii kompanii fizicheski ne zashisheny Dannye Delovaya informaciya uchyotnye zapisi pochtovaya korrespondenciya i t d Pri analize ugroz i planirovanii mer po zashite dannyh nuzhno opredelit principy obrasheniya s bumazhnymi i elektronnymi nositelyami dannyh Prilozheniya Programmy zapuskaemye polzovatelyami Dlya zashity sredy neobhodimo uchest kak zloumyshlenniki mogut ispolzovat v svoih celyah pochtovye programmy sluzhby mgnovennoj peredachi soobshenij i drugie prilozheniya Kompyutery Servery i klientskie sistemy ispolzuemye v organizacii Zashita polzovatelej ot pryamyh atak na ih kompyutery putyom opredeleniya strogih principov ukazyvayushih kakie programmy mozhno ispolzovat na korporativnyh kompyuterah Vnutrennyaya set Set posredstvom kotoroj vzaimodejstvuyut korporativnye sistemy Ona mozhet byt lokalnoj globalnoj ili besprovodnoj V poslednie gody iz za rosta populyarnosti metodov udalyonnoj raboty granicy vnutrennih setej stali vo mnogom uslovnymi Sotrudnikam kompanii nuzhno razyasnit chto oni dolzhny delat dlya organizacii bezopasnoj raboty v lyuboj setevoj srede Perimetr seti Granica mezhdu vnutrennimi setyami kompanii i vneshnimi takimi kak Internet ili seti partnerskih organizacij OtvetstvennostPreteksting i zapis telefonnyh razgovorov V pravovom kodekse SShA preteksting to est vydacha sebya za drugogo cheloveka s celyu polucheniya informacii kotoraya mozhet byt predostavlena etomu cheloveku priravnivaetsya k vtorzheniyu v lichnuyu zhizn V dekabre 2006 goda Kongress SShA odobril zakonoproekt predpolagayushij nakazanie za preteksting i zapis telefonnyh razgovorov v vide shtrafa do 250 000 ili zaklyucheniya na srok do 10 let dlya fizicheskih lic ili shtraf v razmere 500 000 dlya yuridicheskih lic Sootvetstvuyushij ukaz byl podpisan prezidentom Dzhordzhem Bushem 12 yanvarya 2007 goda Hewlett Packard Patriciya Dann prezident korporacii Hewlett Packard soobshila chto HP nanyala chastnuyu kompaniyu s celyu vyyavit teh sotrudnikov kompanii kto byl otvetstven za utechku konfidencialnoj informacii Pozzhe glava korporacii priznal chto v processe issledovaniya ispolzovalas praktika pretekstinga i drugih tehnik socialnoj inzhenerii PrimechaniyaRoss J Anderson Security Engineering A Guide to Building Dependable Distributed Systems John Wiley amp Sons 2008 04 14 1080 s ISBN 978 0 470 06852 6 Social Engineering Defined angl Security Through Education Data obrasheniya 21 avgusta 2020 Arhivirovano 3 oktyabrya 2018 goda Veselov A V Subekt socialnoj inzhenerii ponyatie vidy formirovanie rus Filosofiya i kultura Zhurnal 2011 8 avgusta 8 S 17 Trendy fishingovyh atak na organizacii v 2022 2023 godah Arhivirovano 6 avgusta 2024 Data obrasheniya 22 fevralya 2025 Phishing Arhivirovano 10 noyabrya 2012 Data obrasheniya 6 noyabrya 2012 Kevin D Mitnik Vilyam L Sajmon Iskusstvo obmana AjTi 2004 ISBN 5 98453 011 2 Kak zashitit vnutrennyuyu set ot atak Microsoft TechNet Arhivirovano 27 sentyabrya 2018 Data obrasheniya 1 oktyabrya 2017 Ross Dave How Interactive Voice Response IVR Works Arhivirovano 14 avgusta 2020 Data obrasheniya 22 avgusta 2020 Kvi pro kvo Leyden John Office workers give away passwords neopr Theregister co uk 18 aprelya 2003 Data obrasheniya 1 oktyabrya 2017 Arhivirovano 20 noyabrya 2012 goda Goodchild L FENEWS 21 aprelya 2011 Syn Kasperskogo pohishen v Moskve Arhivirovano 4 noyabrya 2012 Data obrasheniya 6 noyabrya 2012 Nelson Novaes Neto Arhivirovano 20 fevralya 2010 Data obrasheniya 6 noyabrya 2012 European Visual Data Security Visual Data Security White Paper neopr 2014 Data obrasheniya 19 dekabrya 2014 Arhivirovano iz originala 13 maya 2014 goda Kak zashitit vnutrennyuyu set i sotrudnikov kompanii ot atak Microsoft TechNet Arhivirovano 27 sentyabrya 2018 Data obrasheniya 1 oktyabrya 2017 Social Engineering Arhivirovano 21 aprelya 2014 Data obrasheniya 6 noyabrya 2012 Mitnick K Vvedenie CSEPS Course Workbook Mitnick Security Publishing 2004 S 4 Chto takoe zashita elektronnoj pochty Microsoft Security rus www microsoft com Data obrasheniya 22 fevralya 2025 Rukovodstvo po bezopasnoj rabote v internete KasperskyLab Arhivirovano 29 marta 2013 Data obrasheniya 6 noyabrya 2012 Restatement 2d of Torts 652C Eric Bangeman Congress outlaws pretexting angl Ars Technica 12 noyabrya 2006 Data obrasheniya 1 oktyabrya 2017 Arhivirovano 17 yanvarya 2017 goda Stephen Shankland HP chairman Use of pretexting embarrassing angl CNET News com 8 sentyabrya 2006 SsylkiSocialnaya inzheneriya osnovy Chast I taktiki hakerov Zashita ot fishing atak Protecting Consumers Phone Records US Committee on Commerce Science and Transportation angl Plotkin Hal Memo to the Press Pretexting is Already Illegal angl Social Engineer org social engineer org angl Overview of Social Engineering Threats Presented for Parents amp Teachers angl Tailor Jerry Russkoyazychnyj resurs po socialnoj inzheneriiV state ne hvataet ssylok na istochniki sm rekomendacii po poisku Informaciya dolzhna byt proveryaema inache ona mozhet byt udalena Vy mozhete otredaktirovat statyu dobaviv ssylki na avtoritetnye istochniki v vide snosok 9 marta 2019

18 Июл, 2025 / 10:33
NiNa.Az

NiNa.Az

NiNa.Az - Абсолютно бесплатная система, которая делится для вас информацией и контентом 24 часа в сутки.
Взгляните
Закрыто
© 2019 NiNa.Az - Все права защищены.
Авторские права: Dadash Mammadov