Социальная инженерия.

Доброго времени суток, дорогие читатели! В этом посту мы коснёмся темы социальной инженерии, тема довольно объёмная так , что описать её полностью в одой статье не получиться, но немного интересной информации вы узнаете. НУ начнём с того , что такое социальная инженерия если не использовать сухие термины и фразы то это получение доступа к управлению необходимым ресурсом или информации без применения технических устройств лишь с помощью психологических приёмов и человеческих слабостей.

Конечно сам процесс социального взлома очень непрост. Ведь нельзя просто подойти к человеку и начинать выуживать у него информацию. Первый этап это тщательный сбор информации о человеке. Чаще всего клондайком индивидуальной информации являются соц. сети ,также кидают шпионов( трояны, черви) на личные устройства. После прощупывания почвы злоумышленники выбирают план действий. Есть варианты с прямым взаимодействием с человеком(телефонный звонок или встречи) и с помощью компьютерных манипуляций ( спам, рассылки).

Человек который не знает методы социального воздействия даже не поймёт, что его использовали, также и человек который в какой то мере осведомлён может не сразу понять , что с помощью манипуляций его использовали.

Уважаемые читатели если вы хотите более углублённое изучение вопроса то ставьте лайки и мы развернём тему более полноценно.

Несколько техник социальной инженерии, для понимания:

Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия.

Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:Диверсия: Создание обратимой неполадки на компьютере жертвы.Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру»