Sociālā inženierija

Vikipēdijas lapa
Pārlēkt uz: navigācija, meklēt

Sociālā inženierija informācijas drošības kontekstā nozīmē cilvēka psiholoģisku manipulēšanu, lai panāktu noteiktu darbību veikšanu vai konfidenciālas informācijas izpaušanu. Tas ir uzticēšanās trika veids ar mērķi savākt informāciju, apkrāpt, vai iegūt piekļuvi sistēmai.

Termins "sociālā inženierija" kā psiholoģiska manipulēšana ir saistīts arī ar sociālajām zinātnēm, taču tas ir izplatīts arī datorspeciālistu un informācijas drošības speciālistu vidū.[1]

Metodes[labot šo sadaļu | labot pirmkodu]

Visas sociālās inženierijas metodes balstās uz noteiktām cilvēku lēmumu pieņemšanas īpašībām, pazīstamām kā kognitīvie aizspriedumi.[2] Šie aizspriedumi tiek izmantoti dažādās kombinācijās, lai radītu uzbrukuma metodes, no kurām dažas šeit uzskaitītas. Sociālās inženierijas uzbrukumi var tikt lietoti lai nozagtu uzņēmuma darbinieku slepeno informāciju. Visizplatītākā sociālās inženierijas metode ir lietot telefonu.

Viens no sociālās inženierijas piemēriem ir persona, kas ieiet ēkā un ievieto oficiāla izskata paziņojumu, ka uzņēmuma atbalsta dienesta tālruņa numurs ir mainīts. Kad darbinieki zvana uz atbalsta dienestu, persona noskaidro lietotāju vārdus un paroles, šādi iegūstot piekļuvi privātai informācijai.

Cits piemērs: urķis sazinās ar uzbrukuma mērķi sociālajā tīklā un uzsāk sarunu. Pamazām urķis iegūst uzbrukuma mērķa personas uzticību un tad iegūst piekļuvi tādai sensitīvai informācijai kā paroles vai bankas konta detaļas.[3]

Aizbildināšanās[labot šo sadaļu | labot pirmkodu]

Aizbildināšanās ir izdomāta scenārija radīšana un izmantošana par iemeslu, lai iesaistītu uzbrukuma mērķa personu darbībās, kas liek izpaust informāciju, vai veikt darbības, kas netiktu veiktas parastos apstākļos.[4] Safabricēti meli visbiežāk ietver iepriekšēju izpēti vai sagatavošanos un tēlojumu, lai iegūtu mērķa personas uzticību.[5]

Pikšķerēšana[labot šo sadaļu | labot pirmkodu]

Pikšķerēšana ir krāpšanas metode privātas informācijas ieguvei. Parasti uzbrucējs sūta epastu, kas izskatās kā saņemts no īsta uzņēmuma, piemēram, no bankas, pieprasot informācijas apstiprināšanu un brīdinot par sekām, ja apstiprinājums netiks saņemts. Epasts parasti satur saiti uz krāpniecisku tīmekļa lapu, kas izskatās īsta, un satur laukus tādas informācijas ievadei kā mājas adrese vai bankas karšu PIN kodi.

Citas metodes[labot šo sadaļu | labot pirmkodu]

Plaši izplatītas metodes ietver: pikšķerēšanu pa telefonu; ēsmu izlikšanu; Quid pro quo jeb kaut kas pret kaut ko; sekošanu cilvēkam, kuram ir piekļuve u.c.

Pretpasākumi[labot šo sadaļu | labot pirmkodu]

Uzņēmumi var samazināt drošības riskus dažādos veidos, piemēram:

  • Apmācot darbiniekus darbam ar sensitīvu informāciju;
  • Atpazīstot sensitīvu informāciju un novērtējot informācijas piekļuves riskus;
  • Ieviešot drošības procedūras un noteikumus;

Ievērojami sociālie inženieri[labot šo sadaļu | labot pirmkodu]

Kevins Mitniks[labot šo sadaļu | labot pirmkodu]

Vispirms datornoziedznieks un pēc tam datordrošības konsultants Kevins Mitniks norāda, ka ir daudz vieglāk apmuļķot kādu, lai uzzinātu paroli, nekā pūlēties un uzlauzt sistēmu.[6]

Christopher Hadnagy[labot šo sadaļu | labot pirmkodu]

Kristofers Hednegijs (Christopher Hadnagy) ir datordrošības profesionālis, kurš uzrakstīja pirmo ietvaru nosakot fiziskus un psiholoģiskus sociālās inženierijas principus.[7] Viņš ir pazīstams kā grāmatu autors un firmas "Social engineer" dibinātājs.

Citi[labot šo sadaļu | labot pirmkodu]

Citi sociālie inženieri ir, piemēram, Frenks Abagneils (Frank Abagnale), Deivds Bennons (David Bannon), Pīters Fosters (Peter foster) un Stīvens Džejs Rassels (Steven Jay Russel).

Sociālā inženierija popkultūrā[labot šo sadaļu | labot pirmkodu]

  • Filmā Identity Thief, galvenā varone izmanto izlikšanos, lai nozagtu cita tēla identitāti.
  • Filmā Hackers, galvenais varonis izmanto izlikšanos par svarīgu priekšnieku, lai no apsarga noskaidrotu TV stacijas modema telefona numuru.
  • Filmā Live Free or Die Hard, tēls izliekas, ka viņa tēvs mirst, lai panāktu, ka cits tēls iedarbina mašīnu, kura pēc tam tiek nozagta.
  • Filmā The Thomas Crown Affair, viens no tēliem izliekas par muzeja apsargu priekšnieku, lai panāktu, ka apsargs pamet savu darba vietu.
  • Džeimss Bonds filmā Diamonds Are Forever, iekļūst laboratorijā ar visaugstākā drošības līmeņa sistēmu, izmantojot sekošanu. Viņš pagaida, kamēr cits darbinieks atver durvis, tad, izliekoties par jauniņo, tiek ielaists laboratorijā.

Atsauces[labot šo sadaļu | labot pirmkodu]

  1. Ross J. Anderson. Security engineering: a guide to building dependable distributed systems (2nd izd.). Indianapolis, IN : Wiley, 2008. 1040. lpp. ISBN 978-0-470-06852-6.
  2. Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  3. «Hack a Facebook Account with Social Engineering (Easiest Way) ~ Amazing Hacking Tricks». amazinghackingtricks.com.
  4. The story of HP pretexting scandal with discussion is available at Faraz Davani. «HP Pretexting Scandal by Faraz Davani». Scribd, 2011. gada 14. augusts. Skatīts: 2011. gada 15. augusts.
  5. "Pretexting: Your Personal Information Revealed", Federal Trade Commission
  6. Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing.
  7. «Social Engineering Framework». Social-engineer.org. 2010. gada 1. oktobris.