Mavzu: Ijtimoiy injineriya tahdidlariga qarshi himoyalanish choralari.
Kirishni himoya qilish har doim ham avtomatik, ham qo'lda tekshirish usullarini o'z ichiga olgan murakkab ishdir. Ammo baribir eng zaif bo'g'in - bu odam: u ma'lumotga ega va ijtimoiy injineriya usullaridan ta'sirlanishi mumkin. Biz sizga ushbu omilning axborot xavfsizligiga ta'sirini qanday kamaytirishni aytib beramiz. Ijtimoiy injineriya - firibgarlar tomonidan odamlardan qimmatli ma'lumotlar yoki ularga kirish vositalarini noqonuniy ravishda olish uchun "hack" qilish uchun qo'llaniladigan bir qator usullar. Texnik vositalardan foydalanmasdan biohacking turi. Buning o'rniga firibgarlar psixologik manipulyatsiya va sotsiologiya bilimlaridan foydalanadilar.
Ijtimoiy injineriya uchun zaiflik sabablari:
Nima uchun odam axborot xavfsizligining eng zaif bo'g'ini hisoblanadi? Aniq javob yo'q, lekin bu mavzu bo'yicha mutaxassislar ko'pchiligimizga xos bo'lgan fazilatlarga ishora qiladilar va ko'pchilik boshdan kechirgan his-tuyg'ular qo'rquv, ishonch, ochko'zlik, boshqalarga yordam berish istagi.
Ijtimoiy injineriya axborot xavfsizligiga tahdiddir:
Psixologiya professori Robert Sialdini o'zining eng ko'p sotilgan "Ta'sir psixologiyasi" (1984) kitobida ijtimoiy muhandislar qo'llaydigan oltita ta'sir tamoyilini tasvirlab berdi:
O'zaro munosabat: biz yaxshilik uchun yaxshilik to'lashni afzal ko'ramiz
Mustahkamlik: qadriyatlarimizga mos keladigan e'tiqodlarga ega bo'lish
Ijtimoiy dalil: ko'pchilik nima qilayotganiga rozi bo'ling
Kuch va hokimiyat: biz ishonadigan va hurmat qiladigan odamlarning orqasidan borishga tayyormiz
Hamdardlik: biz o'zimizga yoqqan odamlarning iltimoslarini bajarishdan xursandmiz
Tanqislik: biz o'zimizga etib bo'lmaydigan narsani xohlaymiz
Ijtimoiy muhandislar psixologik manipulyatsiyalar katta xarajatlarni va aniq bilimlarni talab qilmasligidan (bir nechta psixologik usullardan tashqari), ulardan uzoq vaqt davomida foydalanish mumkinligi va ularni aniqlash qiyinligidan foydalanadi. Qimmatli ma'lumotlarga ega bo'lgan yoki unga kirish imkoniga ega bo'lgan odamlarni kirish mumkin bo'lgan mevalar bilan solishtirish mumkin: ular ko'rinadigan va ularga erishish juda oson.
Bundan firibgarlar faol foydalanmoqda: Verizon hisobotiga ko'ra, 2018 yilda ma'lumotlar buzilishining 17 foizi ijtimoiy injineriya usullaridan foydalanish natijasida sodir bo'lgan. Va Jon MakAfi (McAfee antivirusini yaratuvchisi) o'rtacha xakerlik vositalarining to'rtdan uch qismi ijtimoiy injineriya usullari ekanligini va juda muvaffaqiyatli xakerlarning ulushi 90% ga etishini ta'kidlaydi.
Ijtimoiy injineriya vositalari
Ijtimoiy muhandis o'z arsenalida juda ko'p texnikaga ega va juda kamdan-kam hollarda ulardan yolg'iz foydalanadi. Aksincha, u maksimal samaraga erishish uchun ularni vaziyatga qarab mohirona birlashtiradi.
Fishing (baliq ovlash) - bu kompyuter tizimida avtorizatsiya qilish uchun login va parol olish usuli. Bunday hujumga har bir internet foydalanuvchisi duch kelishi mumkin. Bu shunday ko'rinadi: siz havolani kuzatish yoki tugmani bosish so'rovi bilan elektron pochta xabarini olasiz. Va buni aniq qilish uchun xat nufuzli xizmatdan muhim xabarga o'xshaydi: to'lov tizimi, bank yoki siz ishonadigan va faol foydalanadigan boshqa.
Havolani yoki tugmani bosish, soxta sahifaga kirish kifoya va firibgarlar sizning login va parolingizga ega bo'lishadi. So'nggi o'n yillikdagi eng katta shaxsiy ma'lumotlar buzilishi har doim ommaviy fishing elektron pochta xabarlari bilan boshlangan.
Pretexting - bu hujum qilish usuli bo'lib, tajovuzkor o'zini boshqa shaxs sifatida tanishtiradi va uning niqobi ostida kerakli ma'lumotlarni oladi. Eng oddiy misol: bir hamkasb to'satdan qo'ng'iroq qilib, faqat sizga ma'lum bo'lgan ma'lumotlarni taqdim etishni so'raydi. Odatda, qo'ng'iroq shovqinli xonadan, variant sifatida, kechasi, jabrlanuvchiga ovozning haqiqiyligini aniqlash qiyin bo'lganda amalga oshiriladi.Ushbu turdagi hujumlar uchun suhbatning tayyor stsenariysiga ega bo'lish (aldash ovozli muloqotni nazarda tutadi), jabrlanuvchi haqida bir nechta faktlarni bilish va o'ylashga vaqt qoldirmasdan imkon qadar tezroq harakat qilish muhimdir.
Ochiq manbalarda ma'lumot qidirish - ijtimoiy tarmoqlarda ma'lumotlarni yig'ish. U erda siz shaxs va uning oilasining to'liq ismini, telefon raqamlarini, uy hayvonlari ismlarini, joylashuvi va rejalashtirilgan sayohatlarini bilib olishingiz mumkin.
Yelkada sörfing - bu kerakli ma'lumotlarni yelkadan o'tkazib yuborish usuli. Buni qilishning eng oson yo'li - gavjum joylarda: kafeda, jamoat transportida, aeroportda yoki vokzalning kutish zalida.
Teskari injineriya - qurbonning o'zi firibgar bilan maxfiy ma'lumotlarni baham ko'radi. Unga o'zini bank, uyali aloqa operatori yoki shaxs shaxsiy ma'lumotlarini qoldirgan boshqa tashkilotning texnik yordam xodimi sifatida tanishtirish kifoya. Kompaniya ichida yana bir sxema ishlaydi: tajovuzkor jabrlanuvchi rad eta olmaydigan yoki istamaydigan xizmatni taklif qiladi, unga avtorizatsiya ma'lumotlarini yoki boshqa qimmatli ma'lumotlarni beradi. Troyan oti (yoki "yo'l olma") - bu potentsial qurbonga yuboriladigan jismoniy vositalardan foydalanish (har qanday odam unga aylanishi mumkin). Fleshli disk yoki disk ularni topish oson bo'lgan joyda "tasodifan" paydo bo'ladi va ularni topish imkoniyatini oshirish uchun firibgarlar ularga kompaniya logotipini qo'yishadi yoki qiziqarli yozuvlar qo'yishadi. Jabrlanuvchi haqiqatan ham ommaviy axborot vositalarida nima borligini bilishni xohlaydi, u uni kompyuterga kiritadi va ... keyin nima bo'layotganini tushuntirib berolmaysiz.
O'rtacha firibgar ijtimoiy muhandislik orqali kompaniya ma'lumotlarini olish uchun nima qiladi? U o'z xodimlarining ijtimoiy tarmoqlardagi faoliyatini to'g'ri o'rganadi, jamoatchilikka ochiq bo'lgan video va tashkilot haqidagi matnlarni ko'radi. Ehtimol, u fishingga murojaat qiladi va agar sharoit imkon bersa, u avtorizatsiya uchun ma'lumotlarga josuslik qiladi. Odamlar hali ham stikerlarga parol yozishadi va monitorlarini yopishtiradilar, ochiq Wi-Fi tarmoqlarida korporativ xizmatlardan foydalanadilar. E'tibor bering, ma'lumotni bunday yo'llar bilan olish uchun firibgar murakkab psixologik hiyla-nayranglarni qo'llashi yoki potentsial qurbonning ishonchiga kirishi shart emas!
Do'stlaringiz bilan baham: |