Социальная инженерия - искусство манипулирования человеком.
Белый КроликПривет друг! Сегодня я расскажу и разъясню тебе, что такое социальная инженерия и про основные способы ее применения на практике.
Социальная инженерия – это метод управления действиями человека без использования технических средств.
Указанное явление значительно развито во многих странах.
Социальная инженерия базируется на достаточно простых психологических особенностях человека, таких как принцип возвратности («ты мне – я тебе»), принцип социальной проверки (вы оцениваете свое поведение в контексте поведения большинства), уважение к авторитетам (вы будете больше доверять врачу и ученым, чем обычному человеку).
Все эти принципы применяются и при осуществлении «оффлайнового» мошенничества, однако имеют свою специфику в сети Интернет.
Наиболее популярной схемой воздействия на личность, которая используется в социальной инженерии, является схема Шейнова, заключающаяся в следующих этапах:
1. Формирование цели воздействия.
2. Поиск информации.
3. Выявление наиболее удобных способов влияния.
4. Создание наиболее благоприятных условий для воздействия на объект.
5. Принуждение жертвы к необходимому действию.
6. Результат.
Для анализа эффективности борьбы с социальной инженерией, как одному из проявлений киберпреступности, необходимо ознакомиться с основными способами ее применения на практике. К ним можно отнести следующие:
1. Фишинг. Этот вид мошенничества построен на передаче письма (от банка или иной организации), в котором содержится ссылка, требующая введения пароля или другой конфиденциальной информации, которая необходима мошеннику. При этом поводы для передачи такой информации могут быть различными, к примеру, восстановление базы данных после ее случайной потери.
2. Вишинг. Название этого вида интернет-мошенничества походит от предыдущего и состоит в имитации звонков на мобильный телефон, вроде как от банковского учреждения (с предварительно записанным голосом), и получении запроса о коммуникации с банком для подтверждения той или иной информации. При этом жертва получает требование указать пароль или другую конфиденциальную информацию, которая необходима для доступа к банковским счетам.
3. Фарминг. Процедура заключается в перенаправлении жертвы на ложный IP-адрес. Мошенник устанавливает на компьютерах специальную программу, которая обеспечивает перенаправление жертвы вместо искомых сайтов на вредоносные.
4. Предупреждение о вирусе на компьютере. В данном случае разработчик вредоносного программного обеспечения предупреждает жертву о заражении ее компьютера вирусом и сообщает, что для очистки операционной системы необходимо перейти по ссылке и установить необходимую программу. Именно эта программа является вредной и обеспечивает доступ к необходимой информации.
5. Quid pro quo. Указанный вид интернет-мошенничества базируется на умении человека (в телефонном разговоре или по электронной почте) войти в доверие к жертве (обычно офисному работнику) и, представившись сотрудником службы технической поддержки, предложить ему решение проблемы, в ходе чего он и получит всю необходимую конфиденциальную информацию.
6. «Дорожное яблоко». Этот способ мошенничества базируется на использовании физических носителей информации. Так, мошенник может оставить в любых общественных местах флэшку, CD-диск с таким изображением, которое может заинтересовать жертву и заставить ее просмотреть находку на своем компьютере.
7. Обратная социальная инженерия. Реализация этого способа может быть осуществлена только в случае, когда мошенник предварительно знаком с жертвой и заслуживает ее доверие. В таком случае жертва сама обращается к мошеннику (например, системному администратору) с просьбой помочь восстановить потерянный файл (который спрятал сам мошенник). При этом ей сообщается, что такое действие можно совершить быстрее, войдя в ее учетную запись. Таким образом, жертва по собственному желанию сообщает информацию мошеннику.
8. Претекстинг. Атака, для осуществления которой мошенник представляется другим лицом и выведывает у жертвы всю необходимую информацию. Однако такой вид интернет-мошенничества требует очень качественной подготовки и сбора всей необходимой предварительной информации о личности.
Указанные виды интернет-мошенничества являются наиболее популярными проявлениями применения интернет-инженерии.