Dans cet article, nous allons prêter attention au concept de "l'ingénierie sociale". Une définition générale du terme sera considérée ici. Nous apprendrons également qui était le fondateur de ce concept. Parlons séparément des principales méthodes d'ingénierie sociale utilisées par les attaquants.
Présentation
Les méthodes permettant de corriger le comportement d'une personne et de gérer ses activités sans recourir à un ensemble technique d'outils forment le concept général d'ingénierie sociale. Toutes les méthodes sont basées sur l'affirmation que le facteur humain est la faiblesse la plus destructrice de tout système. Souvent, ce concept est considéré au niveau de l'activité illégale, à travers laquelle le criminel accomplit une action visant à obtenir des informations du sujet-victime de manière malhonnête. Par exemple, il pourrait s'agir d'une sorte de manipulation. Cependant, l'ingénierie sociale est également utilisée par les humains dans des activités légitimes. À ce jour, il est le plus souvent utilisé pour accéder à des ressources contenant des informations sensibles ou sensibles.
Fondateur
Le fondateur de l'ingénierie sociale est Kevin Mitnick. Cependant, le concept lui-même nous vient de la sociologie. Il désigne un ensemble général d'approches utilisées par le social appliqué. sciences axées sur la modification de la structure organisationnelle qui peut déterminer le comportement humain et exercer un contrôle sur celui-ci. Kevin Mitnick peut être considéré comme le fondateur de cette science, puisque c'est lui qui a popularisé le social. l'ingénierie dans la première décennie du 21e siècle. Kevin lui-même était auparavant un pirate informatique qui est entré illégalement dans une grande variété de bases de données. Il a fait valoir que le facteur humain est le point le plus vulnérable d'un système, quel que soit son niveau de complexité et d'organisation.
Si on parle de méthodes d'ingénierie sociale comme moyen d'obtenir des droits (souvent illégaux) d'utilisation de données confidentielles, on peut dire qu'elles sont connues depuis très longtemps. Cependant, c'est K. Mitnick qui a su transmettre l'importance de leur signification et leurs particularités d'application.
Phishing et liens inexistants
Toute technique d'ingénierie sociale est basée sur la présence de distorsions cognitives. Les erreurs de comportement deviennent un "outil" entre les mains d'un ingénieur qualifié, qui à l'avenir peut créer une attaque visant à obtenir des données importantes. Parmi les méthodes d'ingénierie sociale, on distingue le phishing et les liens inexistants.
Le phishing est une escroquerie en ligne conçue pour obtenir des informations personnelles telles qu'un nom d'utilisateur et un mot de passe.
Lien inexistant - en utilisant un lien qui attirera le destinataire avec certainsavantages qui peuvent être obtenus en cliquant dessus et en visitant un site spécifique. Le plus souvent, les noms de grandes entreprises sont utilisés, apportant des ajustements subtils à leur nom. La victime, en cliquant sur le lien, transférera "volontairement" ses données personnelles à l'attaquant.
Méthodes utilisant des marques, des antivirus défectueux et une fausse loterie
L'ingénierie sociale utilise également des escroqueries de marque, des antivirus défectueux et de fausses loteries.
"Fraude et marques" - une méthode de tromperie, qui appartient également à la section phishing. Cela inclut les e-mails et les sites Web contenant le nom d'une grande entreprise et/ou d'une entreprise "à la mode". Des messages sont envoyés depuis leurs pages avec notification de victoire dans une certaine compétition. Ensuite, vous devez entrer des informations importantes sur le compte et les voler. De plus, cette forme de fraude peut être effectuée par téléphone.
Fake lottery - une méthode dans laquelle un message est envoyé à la victime avec le texte qu'il (a) a gagné (a) à la loterie. Le plus souvent, l'alerte est masquée à l'aide des noms de grandes entreprises.
Les faux antivirus sont des logiciels frauduleux. Il utilise des programmes qui ressemblent à des antivirus. Cependant, en réalité, ils conduisent à la génération de fausses notifications concernant une menace particulière. Ils essaient également d'attirer les utilisateurs dans le domaine des transactions.
Vishing, phreaking et faux-semblants
Quand on parle d'ingénierie sociale pour les débutants, il faut aussi mentionner le vishing, le phreaking et le faux-semblant.
Vishing est une forme de tromperie qui utilise les réseaux téléphoniques. Il utilise des messages vocaux préenregistrés dont le but est de recréer "l'appel officiel" de la structure bancaire ou de tout autre système IVR. Le plus souvent, il leur est demandé de saisir un identifiant et/ou un mot de passe afin de confirmer toute information. En d'autres termes, le système nécessite une authentification par l'utilisateur à l'aide de codes PIN ou de mots de passe.
Le phreaking est une autre forme d'escroquerie par téléphone. Il s'agit d'un système de piratage utilisant la manipulation du son et la numérotation par tonalité.
Le faux-semblant est une attaque utilisant un plan prémédité, dont l'essence est de représenter un autre sujet. Une façon extrêmement difficile de tricher, car elle nécessite une préparation minutieuse.
Quid Pro Quo et la méthode Road Apple
La théorie de l'ingénierie sociale est une base de données à multiples facettes qui comprend à la fois des méthodes de tromperie et de manipulation, ainsi que des moyens de les gérer. En règle générale, la tâche principale des intrus est de récupérer des informations précieuses.
D'autres types d'escroqueries incluent: quid pro quo, road apple, shoulder surfing, open source et reverse social media. ingénierie.
Quid-pro-quo (du latin - "pour cela") - une tentative d'extraire des informations d'une entreprise ou d'une entreprise. Cela se fait en la contactant par téléphone ou en lui envoyant des messages par e-mail. Le plus souvent, les attaquantsse faire passer pour des employés. support, qui signalent la présence d'un problème spécifique sur le lieu de travail de l'employé. Ils suggèrent ensuite des moyens d'y remédier, par exemple en installant un logiciel. Le logiciel s'avère défectueux et encourage le crime.
The Road Apple est une méthode d'attaque basée sur l'idée d'un cheval de Troie. Son essence réside dans l'utilisation d'un support physique et la substitution d'informations. Par exemple, ils peuvent fournir une carte mémoire avec un certain "bon" qui attirera l'attention de la victime, provoquera le désir d'ouvrir et d'utiliser le fichier ou de suivre les liens indiqués dans les documents du lecteur flash. L'objet "pomme de la route" est déposé dans les lieux sociaux et attend que le plan de l'intrus soit mis en œuvre par un sujet.
La collecte et la recherche d'informations à partir de sources ouvertes est une arnaque dans laquelle l'acquisition de données est basée sur les méthodes de la psychologie, la capacité de remarquer de petites choses et l'analyse des données disponibles, par exemple, les pages d'un réseau social. Il s'agit d'une méthode d'ingénierie sociale relativement nouvelle.
Shoulder surfing et reverse social. ingénierie
Le concept de "shoulder surfing" se définit comme regarder un sujet en direct au sens littéral. Avec ce type de pêche aux données, l'attaquant se rend dans des lieux publics, tels qu'un café, un aéroport, une gare et suit les gens.
Ne sous-estimez pas cette méthode, car de nombreux sondages et études montrent qu'une personne attentive peut recevoir beaucoup de renseignements confidentielsinformations simplement en étant observateur.
L'ingénierie sociale (en tant que niveau de connaissance sociologique) est un moyen de "capturer" des données. Il existe des moyens d'obtenir des données dans lesquelles la victime elle-même offrira à l'attaquant les informations nécessaires. Cependant, cela peut aussi servir le bien de la société.
Social inversé l'ingénierie est une autre méthode de cette science. L'utilisation de ce terme devient appropriée dans le cas que nous avons évoqué plus haut: la victime elle-même offrira à l'agresseur les informations nécessaires. Cette affirmation ne doit pas être considérée comme absurde. Le fait est que les sujets dotés d'une autorité dans certains domaines d'activité obtiennent souvent l'accès aux données d'identification sur leur propre décision. La base ici est la confiance.
Important à retenir ! Le personnel d'assistance ne demandera jamais à l'utilisateur un mot de passe, par exemple.
Information et protection
La formation en ingénierie sociale peut être effectuée par l'individu soit sur la base d'une initiative personnelle, soit sur la base d'avantages qui sont utilisés dans des programmes de formation spéciaux.
Les criminels peuvent utiliser une grande variété de types de tromperie, allant de la manipulation à la paresse, la crédulité, la courtoisie de l'utilisateur, etc. Il est extrêmement difficile de se protéger de ce type d'attaque, en raison du manque de conscience qu'il) a triché. Diverses entreprises et entreprises pour protéger leurs données à ce niveau de danger sont souvent engagées dans l'évaluation des informations générales. L'étape suivante consiste à intégrer les éléments nécessairesgaranties à la politique de sécurité.
Exemples
Un exemple d'ingénierie sociale (son acte) dans le domaine des envois de phishing mondiaux est un événement qui s'est produit en 2003. Des e-mails ont été envoyés aux utilisateurs d'eBay lors de cette arnaque. Ils ont affirmé que les comptes leur appartenant étaient bloqués. Pour annuler le blocage, il était nécessaire de ressaisir les données du compte. Cependant, les lettres étaient fausses. Ils ont traduit en une page identique à la page officielle, mais fausse. Selon les estimations d'experts, la perte n'était pas trop importante (moins d'un million de dollars).
Définition de la responsabilité
L'utilisation de l'ingénierie sociale peut être punissable dans certains cas. Dans un certain nombre de pays, comme les États-Unis, le faux-semblant (tromperie en se faisant passer pour une autre personne) est assimilé à une atteinte à la vie privée. Cependant, cela peut être puni par la loi si les informations obtenues lors du faux-semblant étaient confidentielles du point de vue du sujet ou de l'organisation. L'enregistrement d'une conversation téléphonique (en tant que méthode d'ingénierie sociale) est également requis par la loi et entraîne une amende de 250 000 $ ou une peine d'emprisonnement pouvant aller jusqu'à dix ans pour les particuliers. personnes. Les personnes morales sont tenues de payer 500 000 $; le délai reste le même.
