Dalam artikel ini kita akan memperhatikan konsep "rekayasa sosial". Definisi umum dari istilah tersebut akan dipertimbangkan di sini. Kita juga akan belajar tentang siapa pendiri konsep ini. Mari kita bahas secara terpisah tentang metode utama rekayasa sosial yang digunakan oleh penyerang.
Pengantar
Metode yang memungkinkan Anda mengoreksi perilaku seseorang dan mengelola aktivitasnya tanpa menggunakan seperangkat alat teknis membentuk konsep umum rekayasa sosial. Semua metode didasarkan pada pernyataan bahwa faktor manusia adalah kelemahan paling merusak dari sistem apa pun. Seringkali konsep ini dianggap pada tingkat aktivitas ilegal, di mana penjahat melakukan tindakan yang bertujuan untuk mendapatkan informasi dari subjek-korban secara tidak jujur. Misalnya, itu bisa menjadi semacam manipulasi. Namun, rekayasa sosial juga digunakan oleh manusia dalam aktivitas yang sah. Sampai saat ini, paling sering digunakan untuk mengakses sumber daya dengan informasi sensitif atau sensitif.
Pendiri
Pendiri rekayasa sosial adalah Kevin Mitnick. Namun, konsep itu sendiri datang kepada kita dari sosiologi. Ini menunjukkan seperangkat pendekatan umum yang digunakan oleh sosial terapan. ilmu yang berfokus pada perubahan struktur organisasi yang dapat menentukan perilaku manusia dan mengendalikannya. Kevin Mitnick dapat dianggap sebagai pendiri ilmu ini, karena dialah yang mempopulerkan sosial. rekayasa pada dekade pertama abad ke-21. Kevin sendiri sebelumnya adalah seorang hacker yang secara ilegal masuk ke berbagai macam database. Dia berpendapat bahwa faktor manusia adalah titik paling rentan dari sebuah sistem dari tingkat kerumitan dan organisasi apa pun.
Jika kita berbicara tentang metode rekayasa sosial sebagai cara untuk mendapatkan hak (seringkali ilegal) untuk menggunakan data rahasia, kita dapat mengatakan bahwa mereka telah dikenal sejak lama. Namun, K. Mitnick-lah yang mampu menyampaikan pentingnya arti dan kekhasan penerapannya.
Phishing dan tautan yang tidak ada
Setiap teknik rekayasa sosial didasarkan pada adanya distorsi kognitif. Kesalahan perilaku menjadi "alat" di tangan seorang insinyur yang terampil, yang di masa depan dapat membuat serangan yang bertujuan untuk mendapatkan data penting. Di antara metode rekayasa sosial, phishing dan tautan yang tidak ada dibedakan.
Phishing adalah penipuan online yang dirancang untuk mendapatkan informasi pribadi seperti nama pengguna dan kata sandi.
Tautan tidak ada - menggunakan tautan yang akan memikat penerima dengan pastimanfaat yang dapat diperoleh dengan mengkliknya dan mengunjungi situs tertentu. Paling sering, nama perusahaan besar digunakan, membuat penyesuaian halus pada nama mereka. Korban, dengan mengklik tautan, akan "secara sukarela" mentransfer data pribadinya ke penyerang.
Metode menggunakan merek, antivirus yang rusak, dan lotere palsu
Rekayasa sosial juga menggunakan penipuan nama merek, antivirus yang rusak, dan lotere palsu.
"Penipuan dan merek" - metode penipuan, yang juga termasuk dalam bagian phishing. Ini termasuk email dan situs web yang berisi nama perusahaan besar dan/atau "dihipnotis". Pesan dikirim dari halaman mereka dengan pemberitahuan kemenangan dalam kompetisi tertentu. Selanjutnya, Anda perlu memasukkan informasi akun penting dan mencurinya. Bentuk penipuan ini juga dapat dilakukan melalui telepon.
Lotre palsu - metode di mana pesan dikirim ke korban dengan teks bahwa dia (a) memenangkan (a) lotre. Paling sering, peringatan ditutup dengan menggunakan nama perusahaan besar.
Antivirus palsu adalah penipuan perangkat lunak. Ini menggunakan program yang terlihat seperti antivirus. Namun, pada kenyataannya, mereka mengarah pada generasi pemberitahuan palsu tentang ancaman tertentu. Mereka juga mencoba memikat pengguna ke ranah transaksi.
Vishing, phreaking dan dalih
Saat berbicara tentang rekayasa sosial untuk pemula, kita juga harus menyebutkan vishing, phreaking, dan pretexting.
Vishing adalah bentuk penipuan yang menggunakan jaringan telepon. Ini menggunakan pesan suara yang telah direkam sebelumnya, yang tujuannya adalah untuk menciptakan kembali "panggilan resmi" dari struktur perbankan atau sistem IVR lainnya. Paling sering, mereka diminta untuk memasukkan nama pengguna dan / atau kata sandi untuk mengonfirmasi informasi apa pun. Dengan kata lain, sistem memerlukan otentikasi oleh pengguna menggunakan kode PIN atau kata sandi.
Phreaking adalah bentuk lain dari penipuan telepon. Ini adalah sistem hacking menggunakan manipulasi suara dan panggilan nada.
Pretexting adalah serangan menggunakan rencana terencana, yang intinya adalah untuk mewakili subjek lain. Cara curang yang sangat sulit, karena membutuhkan persiapan yang matang.
Quid Pro Quo dan Metode Road Apple
Teori rekayasa sosial adalah database multifaset yang mencakup metode penipuan dan manipulasi, serta cara untuk menghadapinya. Tugas utama penyusup, sebagai suatu peraturan, adalah mencari informasi berharga.
Jenis penipuan lainnya meliputi: quid pro quo, road apple, selancar bahu, open source, dan membalikkan media sosial. teknik.
Quid-pro-quo (dari bahasa Latin - "untuk ini") - upaya untuk mengekstrak informasi dari perusahaan atau firma. Ini terjadi dengan menghubunginya melalui telepon atau dengan mengirim pesan melalui email. Paling sering, penyerangberpura-pura menjadi karyawan. dukungan, yang melaporkan adanya masalah tertentu di tempat kerja karyawan. Mereka kemudian menyarankan cara untuk memperbaikinya, misalnya dengan menginstal perangkat lunak. Perangkat lunak tersebut ternyata rusak dan mempromosikan kejahatan.
The Road Apple adalah metode serangan yang didasarkan pada ide kuda Troya. Esensinya terletak pada penggunaan media fisik dan substitusi informasi. Misalnya, mereka dapat memberikan kartu memori dengan "kebaikan" tertentu yang akan menarik perhatian korban, menyebabkan keinginan untuk membuka dan menggunakan file atau mengikuti tautan yang ditunjukkan dalam dokumen flash drive. Objek "apel jalan" dijatuhkan di tempat-tempat sosial dan menunggu sampai rencana penyusup dilaksanakan oleh beberapa subjek.
Mengumpulkan dan mencari informasi dari sumber terbuka adalah penipuan di mana perolehan data didasarkan pada metode psikologi, kemampuan untuk memperhatikan hal-hal kecil dan analisis data yang tersedia, misalnya, halaman dari jejaring sosial. Ini adalah cara rekayasa sosial yang cukup baru.
Shoulder surfing dan reverse social. teknik
Konsep "selancar bahu" mendefinisikan dirinya sebagai menonton subjek secara langsung dalam arti harfiah. Dengan jenis penangkapan data ini, penyerang pergi ke tempat umum, seperti kafe, bandara, stasiun kereta api, dan mengikuti orang.
Jangan meremehkan metode ini, karena banyak survei dan penelitian menunjukkan bahwa orang yang penuh perhatian dapat menerima banyak rahasiainformasi hanya dengan menjadi jeli.
Rekayasa sosial (sebagai tingkat pengetahuan sosiologis) adalah sarana untuk "menangkap" data. Ada cara untuk mendapatkan data di mana korban sendiri akan menawarkan penyerang informasi yang diperlukan. Namun, itu juga dapat melayani kebaikan masyarakat.
Membalikkan sosial teknik adalah metode lain dari ilmu ini. Penggunaan istilah ini menjadi tepat dalam kasus yang kami sebutkan di atas: korban sendiri akan menawarkan penyerang informasi yang diperlukan. Pernyataan ini tidak boleh dianggap absurd. Faktanya adalah bahwa subjek yang diberkahi dengan otoritas di bidang kegiatan tertentu sering mendapatkan akses ke data identifikasi atas keputusan subjek sendiri. Dasar di sini adalah kepercayaan.
Penting untuk diingat! Staf pendukung tidak akan pernah meminta kata sandi pengguna, misalnya.
Informasi dan perlindungan
Pelatihan rekayasa sosial dapat dilakukan oleh individu baik atas inisiatif pribadi atau atas dasar manfaat yang digunakan dalam program pelatihan khusus.
Penjahat dapat menggunakan berbagai jenis penipuan, mulai dari manipulasi hingga kemalasan, mudah tertipu, kesopanan pengguna, dll. Sangat sulit untuk melindungi diri Anda dari jenis serangan ini, karena kurangnya kesadaran korban. kesadaran bahwa dia) curang. Berbagai perusahaan dan perusahaan untuk melindungi data mereka pada tingkat bahaya ini sering terlibat dalam evaluasi informasi umum. Langkah selanjutnya adalah mengintegrasikan yang diperlukanpengamanan terhadap kebijakan keamanan.
Contoh
Contoh rekayasa sosial (tindakannya) di bidang surat phising global adalah peristiwa yang terjadi pada tahun 2003. Email dikirim ke pengguna eBay selama penipuan ini. Mereka mengklaim bahwa akun milik mereka diblokir. Untuk membatalkan pemblokiran, perlu memasukkan kembali data akun. Namun, surat-surat itu palsu. Mereka menerjemahkan ke halaman yang identik dengan halaman resmi, tetapi palsu. Menurut perkiraan ahli, kerugiannya tidak terlalu signifikan (kurang dari satu juta rupiah).
Definisi tanggung jawab
Penggunaan rekayasa sosial dapat dihukum dalam beberapa kasus. Di sejumlah negara, seperti Amerika Serikat, pretexting (penipuan dengan meniru identitas orang lain) disamakan dengan pelanggaran privasi. Namun, ini dapat dihukum oleh hukum jika informasi yang diperoleh selama dalih bersifat rahasia dari sudut pandang subjek atau organisasi. Merekam percakapan telepon (sebagai metode rekayasa sosial) juga diwajibkan oleh hukum dan memerlukan denda $250.000 atau penjara hingga sepuluh tahun untuk individu. orang. Badan hukum diharuskan membayar $500.000; batas waktunya tetap sama.
