Այս հոդվածում մենք ուշադրություն կդարձնենք «սոցիալական ճարտարագիտության» հասկացությանը։ Այստեղ կքննարկվի տերմինի ընդհանուր սահմանումը: Կիմանանք նաեւ, թե ով է եղել այս հայեցակարգի հիմնադիրը։ Եկեք առանձին խոսենք հարձակվողների կողմից օգտագործվող սոցիալական ինժեներիայի հիմնական մեթոդների մասին:
Ներածություն
Մեթոդները, որոնք թույլ են տալիս շտկել մարդու վարքագիծը և կառավարել նրա գործունեությունը առանց տեխնիկական գործիքների օգտագործման, կազմում են սոցիալական ճարտարագիտության ընդհանուր հայեցակարգը: Բոլոր մեթոդները հիմնված են այն պնդման վրա, որ մարդկային գործոնը ցանկացած համակարգի ամենակործանարար թուլությունն է։ Հաճախ այս հայեցակարգը դիտարկվում է ապօրինի գործունեության մակարդակում, որի միջոցով հանցագործը կատարում է գործողություն՝ ուղղված սուբյեկտ-տուժողից անազնիվ ճանապարհով տեղեկատվություն ստանալուն։ Օրինակ, դա կարող է լինել ինչ-որ մանիպուլյացիա: Այնուամենայնիվ, սոցիալական ճարտարագիտությունը նույնպես օգտագործվում է մարդկանց կողմից օրինական գործունեության մեջ: Մինչ օրս այն առավել հաճախ օգտագործվում է զգայուն կամ զգայուն տեղեկություններով ռեսուրսներ մուտք գործելու համար:
հիմնադիր
Սոցիալական ճարտարագիտության հիմնադիրը Քևին Միտնիկն է: Այնուամենայնիվ, հասկացությունն ինքնին եկել է մեզ սոցիոլոգիայից: Այն ցույց է տալիս կիրառական սոցիալական կողմից կիրառվող մոտեցումների ընդհանուր շարք: գիտությունները կենտրոնացած են կազմակերպչական կառուցվածքի փոփոխության վրա, որը կարող է որոշել մարդու վարքագիծը և վերահսկողություն իրականացնել դրա վրա: Քևին Միթնիկին կարելի է համարել այս գիտության հիմնադիրը, քանի որ հենց նա է հանրահռչակել սոց. ճարտարագիտությունը 21-րդ դարի առաջին տասնամյակում: Ինքը՝ Քևինը, նախկինում հաքեր էր, ով անօրինական կերպով մուտք էր գործել տվյալների բազաների լայն տեսականի: Նա պնդում էր, որ մարդկային գործոնը ցանկացած բարդության և կազմակերպվածության համակարգի ամենախոցելի կետն է։
Եթե խոսենք սոցիալական ինժեներական մեթոդների մասին՝ որպես գաղտնի տվյալների օգտագործման իրավունքներ (հաճախ անօրինական) ձեռք բերելու միջոց, ապա կարող ենք ասել, որ դրանք հայտնի են շատ վաղուց: Այնուամենայնիվ, հենց Կ. Միտնիկը կարողացավ փոխանցել դրանց նշանակությունը և կիրառման առանձնահատկությունները:
Ֆիշինգ և գոյություն չունեցող հղումներ
Սոցիալական ինժեներիայի ցանկացած տեխնիկա հիմնված է ճանաչողական աղավաղումների առկայության վրա: Վարքագծային սխալները դառնում են «գործիք» հմուտ ինժեների ձեռքում, ով ապագայում կարող է ստեղծել գրոհ՝ ուղղված կարևոր տվյալներ ստանալուն։ Սոցիալական ճարտարագիտության մեթոդներից առանձնանում են ֆիշինգը և գոյություն չունեցող հղումները։
Ֆիշինգը առցանց խարդախություն է, որը նախատեսված է անձնական տեղեկություններ ստանալու համար, ինչպիսիք են օգտանունը և գաղտնաբառը:
Գոյություն չունեցող հղում - օգտագործելով հղում, որը հասցեատիրոջը կգայթակղի որոշակիառավելություններ, որոնք կարելի է ստանալ՝ սեղմելով դրա վրա և այցելելով կոնկրետ կայք: Ամենից հաճախ օգտագործվում են խոշոր ընկերությունների անունները՝ դրանց անվան մեջ նուրբ ճշգրտումներ կատարելով։ Տուժողը, սեղմելով հղման վրա, «կամավոր» կփոխանցի իր անձնական տվյալները հարձակվողին։
Բրենդերի, թերի հակավիրուսների և կեղծ վիճակախաղի օգտագործման մեթոդներ
Սոցիալական ճարտարագիտությունը նաև օգտագործում է ֆիրմային խարդախություններ, թերի հակավիրուսներ և կեղծ վիճակախաղեր:
«Կեղծիքներ և բրենդներ»՝ խաբեության մեթոդ, որը նույնպես պատկանում է ֆիշինգ բաժնին։ Սա ներառում է էլ. նամակներ և կայքեր, որոնք պարունակում են խոշոր և/կամ «հիփ» ընկերության անուն: Նրանց էջերից հաղորդագրություններ են ուղարկվում որոշակի մրցույթում հաղթանակի մասին ծանուցմամբ: Հաջորդը, դուք պետք է մուտքագրեք հաշվի կարևոր տեղեկություններ և գողացնեք այն: Նաև խարդախության այս ձևը կարող է իրականացվել հեռախոսով։
Կեղծ վիճակախաղ - մեթոդ, որով տուժողին հաղորդագրություն է ուղարկվում այն տեքստով, որ նա (ա) շահել է (ա) վիճակախաղում: Ամենից հաճախ ահազանգը քողարկվում է խոշոր կորպորացիաների անուններով:
Կեղծ հակավիրուսները ծրագրային խարդախություններ են: Այն օգտագործում է այնպիսի ծրագրեր, որոնք նման են հակավիրուսային: Սակայն իրականում դրանք հանգեցնում են որոշակի սպառնալիքի մասին կեղծ ծանուցումների գեներացման: Նրանք նաև փորձում են օգտատերերին ներգրավել գործարքների տիրույթ:
Vishing, freaking and preexting
Սկսնակների համար սոցիալական ճարտարագիտության մասին խոսելիս պետք է նշել նաև վիշինգը, ֆրիքը և պատրվակները:
Վիշինգը խաբեության ձև է, որն օգտագործում է հեռախոսային ցանցերը: Այն օգտագործում է նախապես ձայնագրված ձայնային հաղորդագրություններ, որոնց նպատակը բանկային կառույցի կամ ցանկացած այլ IVR համակարգի «պաշտոնական զանգի» վերստեղծումն է։ Ամենից հաճախ նրանց խնդրում են մուտքագրել օգտանուն և/կամ գաղտնաբառ՝ ցանկացած տեղեկություն հաստատելու համար: Այլ կերպ ասած, համակարգը պահանջում է նույնականացում օգտատիրոջ կողմից՝ օգտագործելով PIN կոդեր կամ գաղտնաբառեր:
Phreaking-ը հեռախոսային խարդախության մեկ այլ ձև է: Դա հաքերային համակարգ է, որն օգտագործում է ձայնային մանիպուլյացիա և ձայնային հավաքում:
Պատճառաբանությունը հարձակում է նախապես մտածված պլանի օգտագործմամբ, որի էությունը մեկ այլ առարկա ներկայացնելն է: Խաբելու չափազանց բարդ միջոց է, քանի որ այն պահանջում է զգույշ նախապատրաստություն։
Quid Pro Quo և Apple-ի ճանապարհային մեթոդ
Սոցիալական ճարտարագիտության տեսությունը բազմակողմանի տվյալների բազա է, որը ներառում է ինչպես խաբեության և մանիպուլյացիայի մեթոդները, այնպես էլ դրանց դեմ պայքարի ուղիները: Ներխուժողների հիմնական խնդիրը, որպես կանոն, արժեքավոր տեղեկություններ որսալն է։
Խաբեությունների այլ տեսակներ ներառում են՝ quid pro quo, road apple, ուսերի սերֆինգ, բաց կոդով և հակադարձ սոցիալական մեդիա: ճարտարագիտություն.
Quid-pro-quo (լատիներենից - «դրա համար») - ընկերությունից կամ ընկերությունից տեղեկատվություն կորզելու փորձ: Դա տեղի է ունենում նրա հետ հեռախոսով կամ էլփոստով հաղորդագրություններ ուղարկելու միջոցով: Ամենից հաճախ՝ հարձակվողներըձևանալ, թե աշխատող եք. աջակցություն, որը հայտնում է աշխատողի աշխատավայրում կոնկրետ խնդրի առկայության մասին: Նրանք այնուհետև առաջարկում են դա շտկելու ուղիներ, օրինակ՝ ծրագրային ապահովում տեղադրելով: Պարզվում է, որ ծրագիրը թերի է և խթանում է հանցագործությունը:
Ճանապարհային Apple-ը հարձակման մեթոդ է, որը հիմնված է տրոյական ձիու գաղափարի վրա: Դրա էությունը կայանում է ֆիզիկական միջավայրի օգտագործման և տեղեկատվության փոխարինման մեջ: Օրինակ, նրանք կարող են հիշողության քարտ տրամադրել որոշակի «լավով», որը կգրավի տուժողի ուշադրությունը, ցանկություն կառաջացնի բացել և օգտագործել ֆայլը կամ հետևել ֆլեշ կրիչի փաստաթղթերում նշված հղումներին: «Ճանապարհային խնձոր» օբյեկտը գցվում է սոցիալական վայրերում և սպասում, մինչև ներխուժողի պլանը իրականացվի ինչ-որ սուբյեկտի կողմից:
Բաց աղբյուրներից տեղեկություններ հավաքելը և որոնելը խաբեություն է, որի ընթացքում տվյալների հավաքագրումը հիմնված է հոգեբանության մեթոդների, փոքր բաները նկատելու ունակության և առկա տվյալների վերլուծության վրա, օրինակ՝ սոցիալական ցանցի էջերի վրա: Սա սոցիալական ճարտարագիտության բավականին նոր եղանակ է:
Ուսի սերֆինգ և հակադարձ սոցիալական: ճարտարագիտություն
«ուսերի սերֆինգ» հասկացությունն իրեն բնորոշում է որպես թեմային ուղիղ եթերում ուղիղ իմաստով դիտել: Այս տեսակի տվյալների ձկնորսության միջոցով հարձակվողը գնում է հասարակական վայրեր, ինչպիսիք են սրճարան, օդանավակայան, երկաթուղային կայարան և հետևում մարդկանց:
Մի թերագնահատեք այս մեթոդը, քանի որ բազմաթիվ հարցումներ և ուսումնասիրություններ ցույց են տալիս, որ ուշադիր մարդը կարող է շատ գաղտնիք ստանալ:տեղեկատվություն պարզապես ուշադիր լինելով։
Սոցիալական ճարտարագիտությունը (որպես սոցիոլոգիական գիտելիքների մակարդակ) տվյալներ «որսալու» միջոց է: Տվյալներ ստանալու եղանակներ կան, որոնցում տուժողն ինքը հարձակվողին կառաջարկի անհրաժեշտ տեղեկությունը։ Այնուամենայնիվ, այն կարող է ծառայել նաև հասարակության բարօրությանը։
Հակադարձ սոցիալական ճարտարագիտությունը այս գիտության մեկ այլ մեթոդ է: Այս տերմինի օգտագործումը տեղին է դառնում վերը նշված դեպքում. տուժողն ինքը հարձակվողին կառաջարկի անհրաժեշտ տեղեկությունը։ Չի կարելի այս հայտարարությունը աբսուրդ ընդունել։ Փաստն այն է, որ գործունեության որոշակի ոլորտներում լիազորություններով օժտված սուբյեկտները հաճախ ստանում են նույնականացման տվյալների հասանելիություն՝ սուբյեկտի որոշմամբ: Այստեղ հիմքը վստահությունն է։
Կարևոր է հիշել: Աջակցող անձնակազմը, օրինակ, երբեք օգտվողից գաղտնաբառ չի հարցնի:
Տեղեկատվություն և պաշտպանություն
Սոցիալական ճարտարագիտության ուսուցումը կարող է իրականացվել անհատի կողմից կամ անձնական նախաձեռնության հիման վրա կամ այն առավելությունների հիման վրա, որոնք օգտագործվում են հատուկ վերապատրաստման ծրագրերում:
Հանցագործները կարող են օգտագործել խաբեության տարբեր տեսակներ՝ սկսած մանիպուլյացիաներից մինչև ծուլություն, դյուրահավատություն, օգտատիրոջ քաղաքավարություն և այլն: Այս տեսակի հարձակումներից պաշտպանվելը չափազանց դժվար է, քանի որ տուժողը չունի գիտակցում է, որ նա) խաբել է. Տարբեր ընկերություններ և ընկերություններ՝ իրենց տվյալները վտանգի այս մակարդակում պաշտպանելու համար հաճախ զբաղվում են ընդհանուր տեղեկատվության գնահատմամբ: Հաջորդ քայլը անհրաժեշտի ինտեգրումն էանվտանգության քաղաքականության երաշխիքներ։
Օրինակներ
Սոցիալական ճարտարագիտության (դրա ակտի) օրինակ գլոբալ ֆիշինգի նամակագրության ոլորտում մի իրադարձություն է, որը տեղի է ունեցել 2003 թվականին: Այս խարդախության ժամանակ էլ-նամակներ են ուղարկվել eBay-ի օգտատերերին: Նրանք պնդում էին, որ իրենց պատկանող հաշիվներն արգելափակված են։ Արգելափակումը չեղարկելու համար անհրաժեշտ էր նորից մուտքագրել հաշվի տվյալները։ Սակայն նամակները կեղծ էին։ Նրանք թարգմանել են պաշտոնականին նույնական, բայց կեղծ էջ։ Փորձագետների գնահատականներով՝ վնասն այնքան էլ էական չի եղել (մեկ միլիոն դոլարից պակաս):
Պատասխանատվության սահմանում
Սոցիալական ճարտարագիտության օգտագործումը որոշ դեպքերում կարող է պատժելի լինել: Մի շարք երկրներում, օրինակ՝ ԱՄՆ-ում, պատրվակները (խաբեությունը՝ այլ անձին նմանակելով) հավասարեցվում են անձնական կյանքի ներխուժման հետ: Այնուամենայնիվ, դա կարող է պատժվել օրենքով, եթե պատրվակով ձեռք բերված տեղեկատվությունը սուբյեկտի կամ կազմակերպության տեսակետից գաղտնի է եղել: Հեռախոսային խոսակցության ձայնագրումը (որպես սոցիալական ինժեներական մեթոդ) նույնպես պահանջվում է օրենքով և պահանջում է տուգանք 250,000 ԱՄՆ դոլարի չափով կամ մինչև տասը տարի ազատազրկում ֆիզիկական անձանց համար: անձինք. Իրավաբանական անձանցից պահանջվում է վճարել $500,000; վերջնաժամկետը մնում է նույնը։