Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Эта статья о концепции информационной безопасности. Для крупномасштабного влияния на общество см. Социальная инженерия (политология) .

Определение социальной инженерии в терминах непрофессионала
Оповещение OPSEC

В контексте информационной безопасности , социальная инженерия является психологической манипуляцией людей в совершении действий или разглашении конфиденциальной информации . Это отличается от социальной инженерии в социальных науках, которая не касается разглашения конфиденциальной информации. Тип уловки доверия с целью сбора информации, мошенничества или доступа к системе, он отличается от традиционного «мошенничества» тем, что часто является одним из многих шагов в более сложной схеме мошенничества. [1]

Это также было определено как «любое действие, которое побуждает человека совершить действие, которое может быть или не соответствовать его наилучшим интересам». [2]

Примером социальной инженерии является использование функции «забытый пароль» на большинстве веб-сайтов, требующих входа в систему. Неправильно защищенная система восстановления пароля может использоваться для предоставления злоумышленнику полного доступа к учетной записи пользователя, в то время как исходный пользователь потеряет доступ к учетной записи.

Культура информационной безопасности [ править ]

Поведение сотрудников может иметь большое влияние на информационную безопасность в организациях. Культурные концепции могут помочь различным сегментам организации работать эффективно или работать против эффективности в отношении информационной безопасности внутри организации. «Изучение взаимосвязи между организационной культурой и культурой информационной безопасности» дает следующее определение культуры информационной безопасности: «ISC - это совокупность моделей поведения в организации, которые способствуют защите информации всех видов». [3]

Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью «усилий» организации по обеспечению информационной безопасности и часто предпринимают действия, игнорирующие интересы организации в области информационной безопасности. [4] Исследования показывают, что культуру информационной безопасности необходимо постоянно улучшать. В статье «Культура информационной безопасности от анализа к изменениям» авторы отметили, что «это бесконечный процесс, цикл оценки и изменения или обслуживания». Они предполагают, что для управления культурой информационной безопасности необходимо предпринять пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, реализация и последующая оценка. [5]

  • Предварительная оценка: выявить осведомленность сотрудников об информационной безопасности и проанализировать текущую политику безопасности.
  • Стратегическое планирование: чтобы разработать лучшую программу осведомленности, нам необходимо установить четкие цели. Кластеризация людей помогает достичь этого.
  • Оперативное планирование: установите хорошую культуру безопасности, основанную на внутреннем общении, заинтересованности руководства, осведомленности о безопасности и программе обучения. [5]
  • Внедрение: необходимо использовать четыре этапа для внедрения культуры информационной безопасности. Это приверженность руководства, общение с членами организации, курсы для всех членов организации и приверженность сотрудников. [5]

Методы и термины [ править ]

Все методы социальной инженерии основаны на определенных атрибутах человеческого принятия решений, известных как когнитивные предубеждения . [6] [7] Эти предубеждения, иногда называемые «ошибками в оборудовании человека», используются в различных комбинациях для создания методов атаки, некоторые из которых перечислены ниже. Атаки, используемые в социальной инженерии, могут быть использованы для кражи конфиденциальной информации сотрудников. Самый распространенный вид социальной инженерии - по телефону. Другими примерами атак социальной инженерии являются преступники, выдающие себя за истребителей, начальников пожарной части и технических специалистов, чтобы остаться незамеченными во время кражи секретов компании.

Одним из примеров социальной инженерии является человек, который входит в здание и размещает официальное объявление в бюллетене компании, в котором говорится, что номер службы поддержки изменился. Таким образом, когда сотрудники обращаются за помощью, человек спрашивает их пароли и идентификаторы, тем самым получая возможность доступа к частной информации компании. Другим примером социальной инженерии может быть то, что хакер связывается с целью на сайте социальной сети и начинает разговор с целью. Постепенно хакер завоевывает доверие цели и затем использует это доверие для получения доступа к конфиденциальной информации, такой как пароль или данные банковского счета. [8]

Социальная инженерия во многом опирается на шесть принципов влияния, установленных Робертом Чалдини . Теория влияния Чалдини основана на шести ключевых принципах: взаимность, приверженность и последовательность, социальное доказательство, авторитет, симпатия, дефицит.

Шесть ключевых принципов [ править ]

Взаимность [ править ]

Основная статья: Взаимность (культурная антропология)

Люди склонны отвечать за одолжение, отсюда и распространение бесплатных образцов в маркетинге. На своих конференциях он часто использует пример Эфиопии, которая предоставила Мексике гуманитарную помощь на тысячи долларов сразу после землетрясения 1985 года, несмотря на то, что Эфиопия в то время страдала от ужасающего голода и гражданской войны. Эфиопия ответила взаимностью на дипломатическую поддержку, которую Мексика оказала, когда Италия вторглась в Эфиопию в 1935 году. Стратегия « хороший полицейский / плохой полицейский» также основана на этом принципе.

Приверженность и последовательность [ править ]

Основные статьи: Обещание и последовательность (переговоры)

Если люди устно или письменно привержены идее или цели, они с большей вероятностью выполнят это обязательство, потому что заявили, что эта идея или цель соответствует их самооценке . Даже если первоначальный стимул или мотивация будут удалены после того, как они уже согласились, они будут продолжать соблюдать соглашение. Чалдини отмечает, что китайцы « промывают мозги» американским военнопленным, чтобы переписать их самооценку и добиться автоматического добровольного подчинения. Другой пример - маркетологи, которые заставляют пользователя закрывать всплывающие окна, говоря: «Я зарегистрируюсь позже» или «Нет, спасибо, я предпочитаю не зарабатывать деньги».

Социальное доказательство [ править ]

Основная статья: Социальное доказательство

Люди будут делать то, что, по их мнению, делают другие. Например, в одном эксперименте один или несколько соратников смотрели в небо; Затем прохожие смотрели в небо, чтобы увидеть, чего им не хватало. В какой-то момент этот эксперимент был прерван, так как так много людей искали, что остановили движение. См. Соответствие и эксперименты с соответствием Аша .

Авторитет [ править ]

Основная статья: Власть

Люди будут подчиняться авторитетным фигурам, даже если их просят совершить нежелательные действия. Чалдини цитирует такие инциденты, как эксперименты Милгрэма в начале 1960-х годов и бойню в Май Лай .

Нравится [ править ]

Основная статья: Дружба

Людей легко переубедить другие люди, которые им нравятся. Чалдини цитирует маркетинг Tupperware в том, что теперь можно назвать вирусным маркетингом . Люди с большей вероятностью купят, если им понравится продавец. Обсуждаются некоторые из многих предубеждений в пользу более привлекательных людей. См. Стереотип о физической привлекательности .

Дефицит [ править ]

Основная статья: Дефицит (социальная психология)

Воспринимаемая нехватка порождает спрос . Например, предложение «доступно только ограниченное время» стимулирует продажи.

Четыре вектора социальной инженерии [ править ]

Вишинг [ править ]

Вишинг, также известный как « голосовой фишинг », представляет собой преступную практику использования социальной инженерии через телефонную систему для получения доступа к частной личной и финансовой информации от общественности с целью получения финансового вознаграждения. Он также используется злоумышленниками в разведывательных целях для сбора более подробной информации о целевой организации.

Фишинг [ править ]

Основная статья: Фишинг

Фишинг - это способ получения конфиденциальной информации обманным путем. Как правило, фишер отправляет электронное письмо, которое, похоже, исходит от законного предприятия - банка или компании, выпускающей кредитные карты, - с запросом «проверки» информации и предупреждением о серьезных последствиях, если она не будет предоставлена. Электронной почты обычно содержит ссылку на мошеннический веб - страницу , которая , кажется законным, с логотипом компании и контент-и имеет форму запрашивающий все от домашнего адреса на карте ATM «s PIN или номер кредитной карты . Например, в 2003 году произошла фишинговая афера, при которой пользователи получали электронные письма якобы с eBay.утверждая, что учетная запись пользователя была приостановлена, если не была нажата предоставленная ссылка для обновления кредитной карты (информация, которая уже была у настоящего eBay). Имитируя HTML-код и логотипы законной организации, относительно просто сделать поддельный веб-сайт аутентичным. Мошенничество заставило некоторых людей подумать, что eBay требует от них обновить информацию о своей учетной записи, нажав на предоставленную ссылку. К разбору спамить очень большие группы людей, то «фишер» рассчитывает на получение конфиденциальной финансовой информации с небольшой процент (еще большое число) получателей , которые уже имеют eBay счета , а также стать жертвой мошенников.

Smishing [ править ]

Акт использования текстовых SMS- сообщений для привлечения жертв к определенному образу действий. Как и фишинг, это может быть переход по вредоносной ссылке или разглашение информации. Примерами являются текстовые сообщения, в которых утверждается, что они отправлены обычным перевозчиком (например, FedEx), о том, что посылка находится в пути, со ссылкой.

Выдача себя за другое лицо [ править ]

Притворяться или притворяться другим человеком с целью получить физический доступ к системе или зданию. Выдача себя за другое лицо используется в мошенничестве «мошенничество с заменой SIM-карты ».

Другие концепции [ править ]

Pretexting [ править ]

Основная статья: Претекстинг

Предлог (прил. Предлог ) - это акт создания и использования придуманного сценария ( предлога ) для взаимодействия с целевой жертвой таким образом, который увеличивает вероятность того, что жертва разгласит информацию или совершит действия, которые были бы маловероятными в обычных обстоятельствах. [9] Сложная ложь , чаще всего это связано с предварительным исследованием или настройкой и использованием этой информации для выдачи себя за другое лицо ( например , дата рождения, номер социального страхования , сумма последнего счета), чтобы установить легитимность в сознании жертвы. [10]В качестве предыстории, претекст можно интерпретировать как первую эволюцию социальной инженерии, и он продолжал развиваться по мере того, как социальная инженерия включала современные технологии. Текущие и прошлые примеры предлогов демонстрируют это развитие.

Этот метод может быть использован для того, чтобы обманом заставить бизнес раскрыть информацию о клиентах, а также частными следователями для получения телефонных и коммунальных записей, банковских документов и другой информации непосредственно от представителей сервисных служб компании. [11] Затем информация может быть использована для установления еще большей легитимности при более жестком опросе менеджера, например , для внесения изменений в учетную запись, получения определенных балансов и т. Д.

Предлог также может использоваться для выдачи себя за коллегу, полицию, банк, налоговые органы, духовенство, страховых следователей или любое другое лицо, которое могло воспринимать авторитет или право знать в сознании целевой жертвы. Обманщик должен просто подготовить ответы на вопросы, которые может задать потерпевший. В некоторых случаях все, что требуется, - это авторитетный голос, серьезный тон и способность думать на ногах, чтобы создать предлоговый сценарий.

Вишинг [ править ]

Основная статья: Голосовой фишинг

Телефонный фишинг (или « вишинг ») использует мошенническую систему интерактивного голосового ответа (IVR), чтобы воссоздать легитимно звучащую копию системы IVR банка или другого учреждения. Жертве предлагается (обычно через фишинговое письмо) позвонить в «банк» по номеру (в идеале - бесплатному), предоставленному для «проверки» информации. Типичная система «вишинга» будет постоянно отклонять вход в систему, гарантируя, что жертва вводит ПИН-коды или пароли несколько раз, часто раскрывая несколько разных паролей. Более продвинутые системы передают жертву злоумышленнику / мошеннику, который выдает себя за агента по обслуживанию клиентов или эксперта по безопасности для дальнейшего допроса жертвы.

Целевой фишинг [ править ]

Основная статья: Целевой фишинг

Хотя целевой фишинг похож на «фишинг», он представляет собой метод, при котором обманным путем получают личную информацию путем отправки настраиваемых электронных писем немногим конечным пользователям. В этом основное отличие фишинговых атак, поскольку фишинговые кампании сосредоточены на рассылке больших объемов обобщенных электронных писем с ожиданием, что на них ответят лишь несколько человек. С другой стороны, электронные письма с целевым фишингом требуют, чтобы злоумышленник провел дополнительное исследование своих целей, чтобы «обманом» конечных пользователей выполнить запрошенные действия. Вероятность успеха целевых фишинговых атак значительно выше, чем у фишинговых атак: люди открывают примерно 3% фишинговых писем по сравнению с примерно 70% потенциальных попыток.Когда пользователи действительно открывают электронные письма, у фишинговых писем есть относительно скромные 5% успеха при нажатии ссылки или вложения по сравнению с 50% успешностью целевой фишинг-атаки.[12]

Успех целевого фишинга во многом зависит от количества и качества OSINT (разведданных с открытым исходным кодом), которые может получить злоумышленник. Активность учетной записи в социальных сетях является одним из примеров источника OSINT.

Водопад [ править ]

Основная статья: Атака водопоя

Водопад - это целевая стратегия социальной инженерии, основанная на доверии пользователей к веб-сайтам, которые они регулярно посещают. Жертва чувствует себя в безопасности, делая то, что она не стала бы делать в другой ситуации. Настороженный человек может, например, целенаправленно избегать нажатия на ссылку в незапрашиваемом электронном письме, но тот же человек без колебаний перейдет по ссылке на веб-сайте, который они часто посещают. Таким образом, злоумышленник готовит ловушку для неосторожной добычи у удобного водопоя. Эта стратегия успешно использовалась для получения доступа к некоторым (предположительно) очень безопасным системам. [13]

Злоумышленник может действовать, идентифицируя целевую группу или отдельных лиц. Подготовка включает сбор информации о веб-сайтах, которые жертвы часто посещают, из защищенной системы. Сбор информации подтверждает, что цели посещают веб-сайты и что система разрешает такие посещения. Затем злоумышленник проверяет эти веб-сайты на наличие уязвимостей, чтобы внедрить код, который может заразить систему посетителя вредоносным ПО . Ловушка внедренного кода и вредоносное ПО могут быть адаптированы к конкретной целевой группе и конкретным системам, которые они используют. Со временем один или несколько членов целевой группы заразятся, и злоумышленник сможет получить доступ к защищенной системе.

Приманка [ править ]

Приманка похожа на реального троянского коня, который использует физические носители и полагается на любопытство или жадность жертвы. [14] В этой атаке злоумышленники оставляют зараженные вредоносным ПО гибкие диски , компакт-диски или USB-накопители в местах, где их найдут люди (ванные комнаты, лифты, тротуары, автостоянки и т. Д.), Что дает им законные основания и вызывает любопытство. ярлыки и ждите жертв.

Например, злоумышленник может создать диск с корпоративным логотипом, доступный на веб-сайте цели, и пометить его как «Сводная информация о зарплате руководителя за 2 квартал 2012 года». Затем злоумышленник оставляет диск на полу лифта или где-нибудь в холле целевой компании. Незнающий сотрудник может найти его и вставить диск в компьютер, чтобы удовлетворить свое любопытство, или добрый самаритянин может найти его и вернуть компании. В любом случае, простая установка диска в компьютер устанавливает вредоносное ПО, предоставляя злоумышленникам доступ к компьютеру жертвы и, возможно, к внутренней компьютерной сети целевой компании .

Если компьютер не контролирует блокировку инфекций, вставка компрометирует "автозапускаемые" носители ПК. Также могут быть использованы враждебные устройства. [15] Например, «счастливому победителю» отправляется бесплатный цифровой аудиоплеер, который компрометирует любой компьютер, к которому он подключен. « Дорожное яблоко » (разговорный термин для обозначения конского навоза , указывающий на нежелательный характер устройства) - это любой съемный носитель с вредоносным программным обеспечением, оставленный на случайных или заметных местах. Это может быть , среди прочего, компакт-диск, DVD-диск или флэш-накопитель USB . Любопытные люди берут его и подключают к компьютеру, заражая хост и все подключенные сети. Опять же, хакеры могут дать им заманчивые ярлыки, такие как «Заработная плата сотрудников» или «Конфиденциально ».[16]

В одном исследовании, проведенном в 2016 году, исследователи разбросали 297 USB-накопителей на территории кампуса Университета Иллинойса. На дисках были файлы со ссылками на веб-страницы, принадлежащие исследователям. Исследователи смогли увидеть, на скольких дисках были открыты файлы, но не сколько было вставлено в компьютер без открытия файла. Из 297 сброшенных дисков 290 (98%) из них были подняты, а 135 (45%) из них были «вызваны домой». [17]

Quid pro quo [ править ]

Quid pro quo означает что-то для чего-то :

  • Злоумышленник звонит в компанию на случайные номера, утверждая, что перезвонил из службы технической поддержки. В конце концов, этот человек столкнется с серьезной проблемой и будет благодарен за то, что кто-то перезвонит, чтобы помочь ему. Злоумышленник «поможет» решить проблему и в процессе получит команды пользовательского типа, которые предоставляют злоумышленнику доступ или запускают вредоносное ПО .
  • В опросе по информационной безопасности 2003 года 91% офисных служащих в ответ на вопрос опроса дали исследователям то, что они назвали своим паролем, в обмен на дешевую ручку . [18] Аналогичные опросы в более поздние годы дали аналогичные результаты с использованием шоколадных конфет и других дешевых приманок, хотя они не пытались проверить пароли. [19]

Tailgating [ править ]

Основная статья: Совмещение (безопасность)

Злоумышленник, ищущий доступ в зону ограниченного доступа , защищенную автоматическим электронным контролем доступа , например, с помощью RFID- карты, просто идет позади человека, имеющего законный доступ. Следуя общей вежливости, законное лицо обычно будет держать дверь открытой для злоумышленника, или сами злоумышленники могут попросить сотрудника держать ее открытой для них. Законное лицо может не запрашивать идентификацию по любой из нескольких причин или может принять утверждение о том, что злоумышленник забыл или потерял соответствующий токен идентификации. Злоумышленник также может имитировать действие по представлению токена идентификации.

Другие типы [ править ]

Общие обманщики доверия или мошенники также можно считать «социальными инженерами» в более широком смысле, в том , что они намеренно обманывают и манипулировать людьми, используя человеческие слабости для получения личной выгоды. Например, они могут использовать методы социальной инженерии как часть мошенничества в сфере ИТ.

Совсем недавно [ когда? ] метод социальной инженерии включает подмену или взлом идентификаторов людей, имеющих популярные идентификаторы электронной почты, такие как Yahoo! , Gmail , Hotmail и т. Д. Среди множества причин для обмана можно выделить:

  • Номера счетов фишинговых кредитных карт и их пароли.
  • Взлом частных писем и историй чатов, а также манипулирование ими с помощью обычных методов редактирования перед их использованием для вымогательства денег и создания недоверия среди людей.
  • Взлом веб-сайтов компаний или организаций и подрыв их репутации.
  • Компьютерные вирусы-мистификации
  • Убеждение пользователей запускать вредоносный код в веб-браузере с помощью саморекламы XSS- атаки, чтобы разрешить доступ к своей веб-учетной записи.

Контрмеры [ править ]

Организации снижают риски безопасности за счет:

Обучение сотрудников : обучение сотрудников протоколам безопасности, относящимся к их должности. (например, в таких ситуациях, как уход за хвостом, если личность человека не может быть подтверждена, сотрудники должны быть обучены вежливому отказу.)

Стандартные рамки : создание основ доверия на уровне сотрудников / персонала (т. Е. Указать и обучить персонал, когда / где / почему / как следует обрабатывать конфиденциальную информацию)

Изучение информации : определение того, какая информация является конфиденциальной, и оценка ее подверженности социальной инженерии и сбоям в системах безопасности (здание, компьютерная система и т. Д.)

Протоколы безопасности : создание протоколов, политик и процедур безопасности для обработки конфиденциальной информации.

Тест событий : выполнение необъявленных периодических тестов системы безопасности.

Прививка : предотвращение социальной инженерии и других мошеннических уловок или ловушек путем создания сопротивления попыткам убеждения путем воздействия на аналогичные или связанные попытки. [20]

Обзор : Регулярно проверяйте вышеуказанные шаги: нет идеальных решений для обеспечения целостности информации. [21]

Управление отходами : использование службы управления отходами, в которой есть мусорные контейнеры с замками, а ключи от них имеют только компания, занимающаяся переработкой отходов, и персонал, занимающийся уборкой. Размещение мусорного контейнера либо на виду у сотрудников, чтобы попытка доступа к нему сопряжена с риском быть замеченным или пойманным, либо за запертыми воротами или забором, где человек должен вторгнуться, прежде чем он сможет попытаться получить доступ к мусорному контейнеру. [22]

Жизненный цикл социальной инженерии [ править ]

  1. Сбор информации : сбор информации - это первый и самый важный этап жизненного цикла. Это требует большого терпения и пристального внимания к привычкам жертвы. На этом этапе собираются данные об интересах жертвы, личная информация . Он определяет степень успеха общей атаки.
  2. Взаимодействие с жертвой : после сбора необходимого количества информации злоумышленник плавно начинает разговор с жертвой, и жертва не находит ничего неуместного.
  3. Атака : этот шаг обычно происходит после длительного периода взаимодействия с целью, и во время этого информация от цели извлекается с помощью социальной инженерии. По фазе атакующий получает результаты от цели.
  4. Завершающее взаимодействие : это последний шаг, который включает в себя медленное прекращение связи злоумышленником, не вызывая подозрений у жертвы. Таким образом, мотив исполняется, а жертва редко узнает, что нападение вообще произошло. [23]

Известные социальные инженеры [ править ]

Фрэнк Абигнейл младший [ править ]

Фрэнк Абигнейл-младший - американский консультант по безопасности, известный своим прошлым как бывший мошенник, фальсификатор чеков и самозванец, когда ему было от 15 до 21 года. Он стал одним из самых известных мошенников, [24] утверждая, что имел выдал не менее восьми личностей, включая пилота авиалинии, врача, агента Бюро тюрем США и юриста. Абигнейл дважды сбегал из-под стражи полиции (один раз из выруливающего авиалайнера и один раз из федеральной тюрьмы США), прежде чем ему исполнилось 22 года. [25] Популярный фильм Стивена Спилберга « Поймай меня, если сможешь» основан на его жизни.

Кевин Митник [ править ]

Кевин Митник - американский консультант по компьютерной безопасности , автор и хакер , наиболее известный своим громким арестом в 1995 году и последующим пятилетним осуждением за различные преступления, связанные с компьютером и связью. [26]

Сьюзан Хедли [ править ]

Сьюзан Хедли была американским хакером, действовавшим в конце 1970-х - начале 1980-х годов, получившим широкое признание за свой опыт в социальной инженерии, предлогах и психологической подрывной деятельности . [27] Она была известна своей специализацией во взломе военных компьютерных систем, что часто предполагало то, что она ложилась спать с военнослужащими и просматривала их одежду в поисках логинов и паролей, пока они спали. [28] Она активно участвовала во фрикинге с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе., но позже обвинил их в стирании системных файлов в US Leasing после ссоры, что привело к первому осуждению Митника. Она ушла в профессиональный покер. [29]

Братья Бадир [ править ]

Братья Рами, Мужер и Шадде Бадир - все они были слепыми от рождения - сумели создать в Израиле в 1990-х годах обширную схему телефонного и компьютерного мошенничества с использованием социальной инженерии, олицетворения голоса и компьютеров с дисплеем Брайля . [30] [31]

Кристофер Дж. Хэднаги [ править ]

Кристофер Дж. Хэднаги - американский социальный инженер и консультант по безопасности информационных технологий. Он наиболее известен как автор 4 книг по социальной инженерии и кибербезопасности [32] [33] [34] [35] и основатель Innocent Lives Foundation, организации, которая помогает отслеживать и выявлять торговлю детьми с использованием различных методов безопасности, таких как обращение за помощью к специалистам по информационной безопасности, использование данных из открытых источников (OSINT) и сотрудничество с правоохранительными органами. [36] [37]

Закон [ править ]

Согласно общему праву , предлог - это вторжение в частную жизнь, являющееся деликтом присвоения. [38]

Предтекстирование телефонных записей [ править ]

В декабре 2006 года Конгресс Соединенных Штатов одобрил законопроект, спонсируемый Сенатом, согласно которому использование телефонных записей считается федеральным уголовным преступлением со штрафом до 250 000 долларов и десятью годами тюремного заключения для физических лиц (или штрафами до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года [39].

Федеральное законодательство [ править ]

«GLBA» 1999 года - это федеральный закон США, который конкретно рассматривает предлоговое использование банковских записей как незаконное действие, наказуемое в соответствии с федеральными законами. Когда бизнес-субъект, такой как частный детектив, страховой следователь SIU или аджастер, совершает любой вид обмана, он попадает в компетенцию Федеральной торговой комиссии (FTC). Это федеральное агентство обязано и уполномочено следить за тем, чтобы потребители не подвергались какой-либо нечестной или вводящей в заблуждение деловой практике. Закон о Федеральной торговой комиссии США, раздел 5 FTCAв частности, говорится: «Всякий раз, когда Комиссия будет иметь основания полагать, что какое-либо такое лицо, товарищество или корпорация использовало или использует какой-либо недобросовестный метод конкуренции или несправедливое или обманчивое действие или практику в торговле или влияющих на нее, и если это появится Комиссии о том, что ее разбирательство в отношении этого будет в интересах общественности, она должна подать и направить такому лицу, товариществу или корпорации жалобу, в которой излагаются ее обвинения в этом отношении ".

Статут гласит, что когда кто-либо получает какую-либо личную, непубличную информацию от финансового учреждения или потребителя, его действия регулируются законом. Это относится к отношениям потребителя с финансовым учреждением. Например, притворщик, использующий ложные предлогы, чтобы получить адрес потребителя из банка потребителя или заставить потребителя раскрыть название своего банка, будет застрахован. Определяющий принцип заключается в том, что предлоги возникают только тогда, когда информация получена с помощью ложных предлогов.

В то время как продажа записей сотовых телефонов привлекла значительное внимание средств массовой информации, а записи о телекоммуникациях находятся в центре внимания двух законопроектов, находящихся в настоящее время на рассмотрении Сената США , многие другие типы частных записей покупаются и продаются на публичном рынке. Наряду со многими рекламными объявлениями для записей сотовых телефонов рекламируются записи проводных линий связи и записи, связанные с телефонными карточками. Поскольку люди переходят на телефоны VoIP, можно с уверенностью предположить, что эти записи также будут выставлены на продажу. В настоящее время продажа телефонных записей является законной, но незаконным является их получение. [40]

Специалисты по 1-му источнику информации [ править ]

Представитель США Фред Аптон (Р- Каламазу , Мичиган), председатель Подкомитета по энергетике и торговле по телекоммуникациям и Интернету, выразил озабоченность по поводу легкого доступа к записям личных мобильных телефонов в Интернете во время слушаний в Комитете по энергетике и торговле Палаты представителей на тему " Телефонные записи для продажи: почему телефонные записи не защищены от предварительной отправки? » Иллинойс стал первым штатом, который подал в суд на брокера онлайн-записей, когда генеральный прокурор Лиза Мэдиган подала в суд на 1st Source Information Specialists, Inc., - заявила пресс-секретарь офиса Мэдигана. Согласно копии иска, компания из Флориды управляет несколькими веб-сайтами, на которых продаются записи с мобильных телефонов. Генеральные прокуроры Флориды и Миссури быстро последовал примеру Мэдигана, подав иски соответственно против 1-го источника информации Specialists и, в случае Миссури, еще одного брокера записей - First Data Solutions, Inc.

Несколько провайдеров беспроводной связи, в том числе T-Mobile, Verizon и Cingular, ранее подали иски против брокеров записей, при этом Cingular выиграла судебный запрет против First Data Solutions и 1st Source Information Specialists. Сенатор США Чарльз Шумер (штат Нью-Йорк) в феврале 2006 г. внес закон, направленный на ограничение этой практики. Закон о потребительских телефонной защите записей 2006 создаст уголовного преступления уголовные наказания за кражу и продажу записей мобильного телефона, стационарного телефона , и голоса по интернет - протоколу абонентов (VoIP).

HP [ править ]

Патрисия Данн , бывший председатель Hewlett Packard, сообщила, что совет директоров HP нанял частную детективную компанию, чтобы выяснить, кто несет ответственность за утечки информации в совете. Данн признал, что компания использовала практику предлога, чтобы запросить записи телефонных разговоров членов совета директоров и журналистов. Позже председатель Данн извинился за этот поступок и предложил уйти из правления, если этого пожелают члены правления. [41] В отличие от федерального закона, закон Калифорнии прямо запрещает такие предлоги. Четыре обвинения в совершении уголовного преступления, предъявленные Данну, были отклонены. [42]

Профилактические меры [ править ]

Принятие некоторых мер предосторожности снижает риск стать жертвой мошенничества с использованием социальной инженерии. Можно предпринять следующие меры предосторожности:

  • Обратите внимание на предложения, которые кажутся «слишком хорошими, чтобы быть правдой».
  • Используйте многофакторную аутентификацию.
  • Не нажимайте на вложения из неизвестных источников.
  • Не передавать личную информацию кому-либо по электронной почте, телефону или текстовым сообщениям.
  • Использование программного обеспечения для фильтрации спама .
  • Избегайте дружить с людьми, которых вы не знаете в реальной жизни.
  • Научите детей связываться с взрослыми, которым доверяют, в случае, если они подвергаются издевательствам в Интернете ( киберзапугивание ) или чувствуют угрозу из- за чего-либо в Интернете. [43]

В популярной культуре [ править ]

В то время как социальная инженерия не имеет определенного рецепта успеха и может быть трудно изобразить в письменной форме, концепции и практика социальной инженерии были адаптированы к сценам на телевидении и в фильмах. Эти примеры показывают, как может быть проведена такая атака.

  • В фильме «Одиннадцать друзей Оушена» (1960/2001) команда использует социальную инженерию, чтобы ограбить казино.
  • Фильм « Марсу нужны женщины» (1967) содержит примеры социальной инженерии, проводимой инопланетянами, которые, как показано, участвуют и используют эти методы для достижения своей цели: поимки пяти земных женщин в репродуктивных целях, чтобы вновь превратить женское начало в мужчину на их планете. соотношение.
  • В Джеймс Бонд фильма Diamonds Are Forever (1971), Бонд видел въезд в лабораторию Whyte с системой блокировки карты доступа тогда внедренной на « впритык ». Он просто ждет, пока сотрудник откроется, чтобы открыть дверь, а затем представит себя новичком в лаборатории, фальсифицируя вставку несуществующей карты, в то время как дверь для него открыта сотрудником.
  • В телешоу Rockford Files (1974) персонаж Джим Рокфорд часто использует предлоги в своих частных расследованиях .
  • В фильме « Кеды» (1992) один из персонажей изображает из себя начальника охранника низкого уровня , чтобы убедить его, что нарушение правил безопасности - это просто ложная тревога .
  • В фильме « Хакеры» (1995) главный герой под предлогом просит у охранника номер телефона модема телекомпании, изображая из себя важного руководителя компании.
  • В фильме « Дело Томаса Крауна» (1999) один из персонажей позирует по телефону в роли начальника музейного охранника, чтобы отвести охранника от своего поста.
  • В фильме « Поймай меня, если сможешь» (2002) главный герой использует самые разные тактики социальной инженерии, основанные на реальных событиях.
  • В книге Джеффри Дивера « Синее никуда» (2002) социальная инженерия для получения конфиденциальной информации является одним из методов, используемых убийцей Фейтом, чтобы приблизиться к своим жертвам.
  • В телешоу « Псих» (2006) главный герой Шон Спенсер часто использует предлог, чтобы получить доступ к местам, куда он иначе не попал бы без полномочий полиции.
  • В фильме « Живи свободным» или «Крепкий орешек» (2007) Джастин Лонг изображает предлог, что его отец умирает от сердечного приступа, чтобы представитель On-Star Assist запустил то, что станет украденной машиной .
  • В телешоу Burn Notice (2007) многие персонажи используют социальную инженерию; Психологический профиль Майкла Вестена утверждает, что он очень опытен в социальной инженерии.
  • В телешоу «Менталист» (2008) главный герой Патрик Джейн часто использует предлог, чтобы заставить преступников признаться в совершенных ими преступлениях.
  • В телешоу Leverage (сериал) (2008) многие персонажи используются с помощью социальной инженерии.
  • В телешоу « Белый воротничок» (2009) Мэтт Бомер сыграл очень умного и разностороннего афериста, работающего в качестве криминального осведомителя ФБР.
  • Во французских романах Максима Франтини [ Journal d'un hacker , L'ombre et la lumière , La Cavale , La détermination du fennec ] (2012) герой хакера Илиан Эстевес в основном использует социальную инженерию для своих атак. [44]
  • В фильме « Похититель личных данных» (2013) Мелисса Маккарти сыграла мошенника, который использует предлог для получения имени, номера кредитной карты и номера социального страхования руководителя (Джейсон Бейтман), что позволяет ей украсть его личность и совершить мошенничество с кредитными картами .
  • В видеоигре Watch Dogs (2014) главный герой Эйден Пирс заявляет, что изучал социальную инженерию, когда рос в преступной жизни, и использует тактику социальной инженерии, чтобы манипулировать другими персонажами на протяжении всей игры, чтобы получить нужную информацию.
  • В фильме « Кто я» (2014) главные герои используют различные приемы социальной инженерии.
  • В телешоу « Мистер Робот» (2015) Дарлин разбрасывает USB-флешки (содержащие вредоносное ПО) у входа в тюрьму, выманивая любопытного охранника, взломавшего внутреннюю сеть тюрьмы, когда он подключает один из дисководов к своей компьютерной рабочей станции.
  • В фильме « Фокус» (2015) персонаж Ники Сперджен и его команда используют различные методы социальной инженерии для проведения схем доверия с целью кражи денег.
  • В фильме «Девушка в паутине» (2018) персонаж Лисбет Саландер использует социальную инженерию в нескольких ситуациях. [45]

См. Также [ править ]

  • Сертифицированный специалист по профилактике социальной инженерии (CSEPS)
  • Код Шикара  - Компьютерный червь
  • Уловка уверенности  - попытка обмануть человека или группу после того, как они впервые обрели уверенность.
  • Противодействие (компьютер)
  • Cyber-HUMINT
  • Киберхейст
  • Теория прививки  - Объяснение того, как отношение или убеждение можно защитить от влияния во многом так же, как тело можно защитить от болезней.
  • Обучение осведомленности в области интернет-безопасности
  • IT риск
  • Розыгрыши в СМИ , которые часто используют подобную тактику (но обычно не в криминальных целях)
  • Тест на проникновение  - метод оценки компьютерной и сетевой безопасности путем моделирования кибератаки.
  • Фишинг  - попытка получить конфиденциальную информацию, выдавая себя за надежную организацию.
  • Физическая информационная безопасность
  • Копирование (безопасность)
  • SMS-фишинг
  • Угроза (компьютер)
  • Голосовой фишинг  - форма преступного телефонного мошенничества с использованием социальной инженерии через телефонную систему для получения доступа к частной личной и финансовой информации с целью получения финансового вознаграждения.
  • Уязвимость (вычисления)  - уязвимость компьютерной системы, которую можно использовать.

Ссылки [ править ]

  1. ^ Андерсон, Росс Дж. (2008). Инженерия безопасности: руководство по созданию надежных распределенных систем (2-е изд.). Индианаполис, ИН: Wiley. п. 1040. ISBN 978-0-470-06852-6. Глава 2, страница 17
  2. ^ "Социальная инженерия Определена" . Безопасность через образование . Проверено 3 октября 2018 года .
  3. ^ Лим, Джу С. и др. « Изучение взаимосвязи между организационной культурой и культурой информационной безопасности ». Австралийская конференция по управлению информационной безопасностью.
  4. Андерссон, Д., Реймерс, К. и Барретто, К. (март 2014 г.). Сетевая безопасность послесреднего образования: результаты решения проблемы конечных пользователей. Дата публикации 11 марта 2014 г. описание публикации INTED2014 (Международная конференция по технологиям, образованию и развитию)
  5. ^ a b c Шлингер, Томас; Teufel, Стефани (2003). «Культура информационной безопасности - от анализа к изменению» . Южноафриканский компьютерный журнал . 31 : 46–52.
  6. ^ Jaco, K: "Учебное пособие по курсу CSEPS" (2004), блок 3, Jaco Security Publishing.
  7. ^ Кирдемир, Барис (2019). «ВРАЖДЕБНОЕ ВЛИЯНИЕ И ВОЗНИКАЮЩИЕ ПОЗНАВАТЕЛЬНЫЕ УГРОЗЫ В КИБЕРПРОСТРАНСТВЕ» . Цитировать журнал требует |journal=( помощь )
  8. Перейти ↑ Hatfield, Joseph M (июнь 2019). «Добродетельный человеческий взлом: этика социальной инженерии в тестировании на проникновение». Компьютеры и безопасность . 83 : 354–366. DOI : 10.1016 / j.cose.2019.02.012 .
  9. ^ История HP скандал с предлогомобсуждения доступен на Давани, Faraz (14 августа 2011). «Скандал с предтекстами HP Фараза Давани» . Проверено 15 августа 2011 г. - через Scribd.
  10. ^ « Предтекст: раскрыта ваша личная информация », Федеральная торговая комиссия
  11. ^ Fagone, Джейсон (24 ноября 2015). «Серийная мухобойка» . Нью-Йорк Таймс . Проверено 25 ноября 2015 года .
  12. ^ "Реальные опасности атак с использованием Spear-Phishing" . FireEye. 2016 . Проверено 9 октября +2016 .
  13. ^ «Китайская шпионская кампания компрометирует Forbes.com, чтобы нацелить на оборону США и компании финансовых услуг атаку в стиле водопоя» . invincea.com. 10 февраля 2015 . Проверено 23 февраля 2017 года .
  14. ^ "Социальная инженерия, путь USB" . Light Reading Inc. 7 июня 2006 Архивировано из оригинала 13 июля 2006 . Проверено 23 апреля 2014 года .
  15. ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 11 октября 2007 года . Проверено 2 марта 2012 года . CS1 maint: заархивированная копия как заголовок ( ссылка )
  16. ^ Конклин, Wm. Артур; Белый, Грег; Котрен, Чак; Дэвис, Роджер; Уильямс, Дуэйн (2015). Принципы компьютерной безопасности, четвертое издание (официальное руководство Comptia) . Нью-Йорк: McGraw-Hill Education. С. 193–194. ISBN 978-0071835978.
  17. ^ Raywood, Dan (4 августа 2016). "Подробный эксперимент #BHUSA об отказе от USB" . информационная безопасность . Проверено 28 июля 2017 года .
  18. Лейден, Джон (18 апреля 2003 г.). «Офисные работники выдают пароли» . Реестр . Проверено 11 апреля 2012 года .
  19. ^ "Пароли раскрыты сладкой сделкой" . BBC News . 20 апреля 2004 . Проверено 11 апреля 2012 года .
  20. ^ Treglia J., & Delia, М. (2017). Прививка кибербезопасности . Представлено на конференции по кибербезопасности штата Нью-Йорк, конференц-центр Empire State Plaza, Олбани, штат Нью-Йорк, 3–4 июня.
  21. Перейти ↑ Mitnick, K., & Simon, W. (2005). «Искусство вторжения». Индианаполис, штат Индиана: издательство Wiley Publishing.
  22. ^ Allsopp, Уильям. Несанкционированный доступ: тестирование на физическое проникновение для команд ИТ-безопасности. Хобокен, Нью-Джерси: Wiley, 2009. 240–241.
  23. ^ "Социальная инженерия - Блог информационной безопасности GW" . blogs.gwu.edu . Дата обращения 18 февраля 2020 .
  24. ^ Сэлинджер, Лоуренс М. (2005). Энциклопедия белых воротничков и корпоративных преступлений . МУДРЕЦ. ISBN 978-0-7619-3004-4.
  25. ^ "Как Фрэнк Абигнейл обманет вас" . Новости США . 17 декабря 2019. Архивировано 28 апреля 2013 года . Проверено 17 декабря 2019 .
  26. ^ «Кевин Митник приговорен к почти четырем годам тюремного заключения; компьютерный хакер приказал выплатить компенсацию компаниям-жертвам, чьи системы были скомпрометированы» (пресс-релиз). Прокуратура США , Центральный округ Калифорнии. 9 августа 1999 года Архивировано из оригинального 13 июня 2013.
  27. ^ "Архивы DEF CON III - Основной доклад Сьюзан Гром" . DEF CON . Проверено 12 августа 2017 года .
  28. ^ "Архивная копия" . Архивировано из оригинала 17 апреля 2001 года . Проверено 6 января 2007 года .CS1 maint: заархивированная копия как заголовок ( ссылка )
  29. Хафнер, Кэти (август 1995). «Кевин Митник, отключен» . Esquire . 124 (2): 80 (9).
  30. ^ "Wired 12.02: Три слепых фрики" . Проводной . 14 июня 1999 . Проверено 11 апреля 2012 года .
  31. ^ «Социальная инженерия - рассказ молодого хакера» (PDF) . 15 февраля 2013 . Проверено 13 января 2020 года . Цитировать журнал требует |journal=( помощь )
  32. ^ "43 лучших книг по социальной инженерии всех времен" . BookAuthority . Проверено 22 января 2020 года .
  33. ^ \ (31 августа 2018 г.). "Книга месяца Бенса Обзор социальной инженерии и науки о взломе человека" . Конференция RSA . Проверено 22 января 2020 года .CS1 maint: числовые имена: список авторов ( ссылка )
  34. ^ «Рецензия на книгу: Социальная инженерия: наука о взломе человека» . Сеть этических хакеров . 26 июля 2018 . Проверено 22 января 2020 года .
  35. ^ Hadnagy, Кристофер; Финчер, Мишель (22 января 2020 г.). «Темные воды фишинга: наступательная и защитная стороны вредоносных электронных писем» . ISACA . Проверено 22 января 2020 года .
  36. ^ "WTVR:" Защитите своих детей от угроз в Интернете "
  37. Ларсон, Селена (14 августа 2017 г.). «Хакер создает организацию, чтобы разоблачить детей-хищников» . CNN . Дата обращения 14 ноября 2019 .
  38. ^ Пересмотр 2d правонарушений § 652C.
  39. ^ «Конгресс запрещает предлоги» . 109-й Конгресс (2005–2006 гг.) HR4709 - Закон 2006 г. о телефонных записях и защите конфиденциальности . 2007 г.
  40. Перейти ↑ Mitnick, K (2002): «Искусство обмана», стр. 103 Wiley Publishing Ltd: Индианаполис, Индиана; Соединенные Штаты Америки. ISBN 0-471-23712-4 
  41. ^ HP председатель: Использование под предлогом , что 'неудобное' Стивен Шенкленд, 8 сентября 2006 1:08 вечера PDT CNET News.com
  42. ^ "Калифорнийский суд снимает обвинения с Данна" . CNET. 14 марта 2007 . Проверено 11 апреля 2012 года .
  43. ^ «Что такое социальная инженерия | Методы атак и методы предотвращения | Imperva» . Учебный центр . Дата обращения 18 февраля 2020 .
  44. ^ "Amazon.fr: Максим Франтини: Livres, Biography, écrits, livres audio, Kindle" . Проверено 30 ноября +2016 .
  45. ^ «Анализируя взломы: объяснение девушки в паутине» . WonderHowTo . Проверено 13 декабря 2019 .

Дальнейшее чтение [ править ]

  • Бойингтон, Грегори. (1990). «Baa Baa Black Sheep», опубликованный Грегори Бойингтоном ISBN 0-553-26350-1 
  • Харли, Дэвид. 1998 Повторное плавание «Титаника»: борьба с атаками социальной инженерии Конференция EICAR.
  • Лариби, Лена. Июнь 2006 г. Разработка проекта методической таксономии социальной инженерии. Магистерская работа, Военно-морская аспирантура.
  • Лейден, Джон. 18 апреля 2003 г. Офисные работники раздают пароли от дешевой ручки . Реестр . Проверено 9 сентября 2004.
  • Долго, Джонни . (2008). Никакого взлома технологий - Руководство по социальной инженерии, нырянию в мусорных контейнерах и серфингу, опубликованное Syngress Publishing Inc. ISBN 978-1-59749-215-7 
  • Манн, Ян. (2008). Взлом человека: методы социальной инженерии и меры безопасности, опубликованные Gower Publishing Ltd. ISBN 0-566-08773-1 или ISBN 978-0-566-08773-8  
  • Митник, Кевин , Каспеявичюс, Алексис . (2004). Учебное пособие по курсу CSEPS . Издательство Mitnick Security.
  • Митник, Кевин , Саймон, Уильям Л., Возняк, Стив ,. (2002). Искусство обмана: управление человеческим элементом безопасности, опубликованное Wiley. ISBN 0-471-23712-4 или ISBN 0-7645-4280-X  
  • Хаднаги, Кристофер, (2011) Социальная инженерия: искусство взлома человека, опубликованное Wiley. ISBN 0-470-63953-9 

Внешние ссылки [ править ]

  • Основы социальной инженерии - Securityfocus.com . Проверено 3 августа 2009 года.
  • «Социальная инженерия, способ USB» . Light Reading Inc. 7 июня 2006 Архивировано из оригинала 13 июля 2006 . Проверено 23 апреля 2014 года .
  • Должна ли социальная инженерия быть частью тестирования на проникновение? - Darknet.org.uk . Проверено 3 августа 2009 года.
  • «Защита телефонных разговоров потребителей» , Центр электронной информации о конфиденциальности, Комитет США по торговле, науке и транспорту . Проверено 8 февраля 2006 года.
  • Плоткин, Хэл. Памятка для прессы: предварительный текст уже незаконен . Проверено 9 сентября 2006 года.