қандай Әлеуметтік инженерия? Назар аударатын 11 мысал
Мазмұны
Әлеуметтік инженерия дегеніміз не?
Әлеуметтік инженерия адамдарды құпия ақпаратты алу үшін манипуляциялау әрекетін білдіреді. Қылмыскерлер іздейтін ақпараттың түрі әртүрлі болуы мүмкін. Әдетте, жеке тұлғалар өздерінің банктік деректемелеріне немесе шоттарының құпия сөздеріне бағытталған. Қылмыскерлер сонымен қатар зиянды бағдарламалық құралды орнату үшін жәбірленушінің компьютеріне кіруге әрекеттенеді. Бұл бағдарламалық жасақтама оларға қажет болуы мүмкін кез келген ақпаратты алуға көмектеседі.
Қылмыскерлер әлеуметтік инженерия тактикасын пайдаланады, өйткені адамның сеніміне ие болу және жеке мәліметтерінен бас тартуға сендіру арқылы адамды пайдалану оңай. Бұл біреудің компьютерін білместен тікелей бұзудан гөрі ыңғайлы әдіс.
Әлеуметтік инженерия мысалдары
Әлеуметтік инженерияны жасаудың әртүрлі тәсілдері туралы хабардар болу арқылы өзіңізді жақсырақ қорғай аласыз.
1. Сілтеме жасау
Қылмыскер маңызды тапсырманы орындау үшін жәбірленушінің құпия ақпаратына қол жеткізгісі келсе, алдын ала хабарлама жасау қолданылады. Шабуылшы ақпаратты бірнеше мұқият жасалған өтірік арқылы алуға тырысады.
Қылмыскер жәбірленушіге сенім орнатудан бастайды. Бұл олардың достарын, әріптестерін, банк қызметкерлерін, полицияны немесе осындай құпия ақпаратты сұрауы мүмкін басқа органдарды көрсету арқылы жасалуы мүмкін. Шабуылдаушы олардың жеке басын растау сылтауымен оларға бірқатар сұрақтар қояды және осы процесте жеке деректерді жинайды.
Бұл әдіс адамнан жеке және ресми мәліметтердің барлық түрлерін алу үшін қолданылады. Мұндай ақпаратқа жеке мекенжайлар, әлеуметтік сақтандыру нөмірлері, телефон нөмірлері, телефон жазбалары, банк деректемелері, қызметкерлердің демалыс күндері, бизнеске қатысты қауіпсіздік ақпараты және т.б. кіруі мүмкін.
2. Диверсиялық ұрлық
Бұл әдетте курьерлік және көлік компанияларына бағытталған алаяқтықтың бір түрі. Қылмыскер мақсатты компанияны жеткізу пакетін бастапқыда жоспарланған жерден басқа жеткізу орнына ұсыну арқылы алдауға тырысады. Бұл әдіс пошта арқылы жеткізілетін бағалы заттарды ұрлау үшін қолданылады.
Бұл алаяқтық оффлайн режимінде де, онлайн режимінде де жүзеге асырылуы мүмкін. Пакеттерді тасымалдайтын персоналға жақындап, жеткізілімді басқа жерге апарып тастауға сенімді болуы мүмкін. Шабуылшылар онлайн жеткізу жүйесіне де қол жеткізе алады. Содан кейін олар жеткізу кестесін ұстап алып, оған өзгерістер енгізе алады.
3. Фишинг
Фишинг әлеуметтік инженерияның ең танымал түрлерінің бірі болып табылады. Фишингтік алаяқтық құрбандарда қызығушылық, қорқыныш немесе жеделдік сезімін тудыруы мүмкін электрондық пошта мен мәтіндік хабарламаларды қамтиды. Мәтін немесе электрондық пошта оларды зиянды веб-сайттарға немесе құрылғыларында зиянды бағдарлама орнататын тіркемелерге апаратын сілтемелерді басуға итермелейді.
Мысалы, желідегі қызметті пайдаланушылар құпия сөздерді дереу өзгертуді талап ететін саясат өзгергені туралы электрондық хат алуы мүмкін. Хатта түпнұсқа веб-сайтқа ұқсас заңсыз веб-сайтқа сілтеме болады. Содан кейін пайдаланушы заңды деп есептей отырып, осы веб-сайтқа өзінің тіркелгі деректерін енгізеді. Олардың мәліметтерін бергеннен кейін ақпарат қылмыскерге қолжетімді болады.
4. Найзалық фишинг
Бұл белгілі бір адамға немесе ұйымға бағытталған фишингтік алаяқтықтың бір түрі. Шабуылдаушы жәбірленушіге қатысты жұмыс орындары, сипаттамалар және келісім-шарттар негізінде хабарларды теңшейді, осылайша олар шынайырақ көрінуі мүмкін. Найзалық фишинг қылмыскерден көбірек күш жұмсауды талап етеді және әдеттегі фишингке қарағанда әлдеқайда көп уақыт алуы мүмкін. Дегенмен, оларды анықтау қиынырақ және жақсы табысқа ие.
Мысалы, ұйымға фишингтік шабуыл жасауға әрекеттенген шабуылдаушы фирманың АТ кеңесшісі ретінде кейіпте жұмыс істейтін қызметкерге электрондық хат жібереді. Электрондық пошта кеңесшінің оны қалай жасайтынына дәл ұқсас етіп жиектеледі. Бұл алушыны алдау үшін жеткілікті шынайы болып көрінеді. Электрондық пошта қызметкерге ақпаратты жазып, оны шабуылдаушыға жіберетін зиянды веб-бетке сілтеме беру арқылы құпия сөзін өзгертуді ұсынады.
5. Су құю
Алаяқтық көптеген адамдар жиі кіретін сенімді веб-сайттарды пайдаланады. Қылмыскер қай веб-сайттарға жиі кіретінін анықтау үшін мақсатты адамдар тобына қатысты ақпарат жинайды. Содан кейін бұл веб-сайттар осалдықтарға тексеріледі. Уақыт өте келе бұл топтың бір немесе бірнеше мүшесі жұқтырады. Содан кейін шабуылдаушы осы жұқтырған пайдаланушылардың қауіпсіз жүйесіне қол жеткізе алады.
Бұл атау жануарлардың шөлдеген кезде сенімді орындарына жиналып суды қалай ішетіндігінің ұқсастығынан шыққан. Олар сақтық шараларын қолдану туралы ойланбайды. Жыртқыштар мұны біледі, сондықтан олар күзеттері төмендегенде оларға шабуыл жасауға дайын, жақын жерде күтеді. Сандық ландшафттағы суды бұру бір уақытта осал пайдаланушылар тобына ең жойқын шабуылдарды жасау үшін пайдаланылуы мүмкін.
6. Қармақ беру
Атауынан көрініп тұрғандай, жемқорлық құрбанның қызығушылығын немесе ашкөздігін тудыру үшін жалған уәдені пайдалануды білдіреді. Жәбірленуші қылмыскерге олардың жеке мәліметтерін ұрлауға немесе жүйелеріне зиянды бағдарламаларды орнатуға көмектесетін сандық тұзаққа түседі.
Желдету онлайн және офлайн орталар арқылы жүзеге асырылуы мүмкін. Офлайн мысал ретінде қылмыскер жемді зиянды бағдарламамен жұқтырылған флэш-диск түрінде көрінетін жерлерде қалдыруы мүмкін. Бұл мақсатты компанияның лифті, ванна бөлмесі, автотұрақ және т.б. болуы мүмкін. Флэш-диск оның шынайы көрінісіне ие болады, бұл жәбірленушіні оны алып, оны жұмыс немесе үй компьютеріне салуға мәжбүр етеді. Содан кейін флэш-диск зиянды бағдарламаны жүйеге автоматты түрде экспорттайды.
Жемқорлықтың онлайн түрлері құрбандарды басуға ынталандыратын тартымды және тартымды жарнамалар түрінде болуы мүмкін. Сілтеме зиянды бағдарламаларды жүктеп алуы мүмкін, содан кейін олардың компьютеріне зиянды бағдарламаларды жұқтырады.
7. Quid Pro Quo
Quid pro quo шабуылы «бірдеңе үшін бірдеңе» шабуылын білдіреді. Бұл жем беру техникасының бір түрі. Жәбірленушілерді пайдаға уәде берудің орнына, quid pro quo шабуылы белгілі бір әрекет орындалған жағдайда қызмет көрсетуді уәде етеді. Шабуылдаушы жәбірленушіге қол жеткізу немесе ақпарат үшін жалған пайда ұсынады.
Бұл шабуылдың ең көп тараған түрі – қылмыскер компанияның АТ қызметкерлеріне еліктеуі. Содан кейін қылмыскер компания қызметкерлерімен байланысып, оларға жаңа бағдарламалық қамтамасыз етуді немесе жүйені жаңартуды ұсынады. Содан кейін қызметкер жаңартуды қаласа, антивирустық бағдарламалық құралды өшіруді немесе зиянды бағдарламалық құралды орнатуды сұрайды.
8. Артқы жағын тарту
Төменгі шабуылды пиггибекинг деп те атайды. Ол тиісті аутентификация шаралары жоқ шектеулі орынға кіруге тырысатын қылмыскерді қамтиды. Қылмыскер аумаққа кіруге рұқсаты бар басқа адамның артынан кіру арқылы қол жеткізе алады.
Мысал ретінде қылмыскер қолдары пакеттерге толы жеткізуші жүргізушінің кейпін көрсетуі мүмкін. Есіктен рұқсат берілген қызметкерді күтеді. Содан кейін жалған жеткізуші қызметкерден есікті ұстап тұруды сұрайды, осылайша оған рұқсатсыз кіруге рұқсат береді.
9. Бал тұзағы
Бұл трюк қылмыскердің желіде тартымды адам болып көрінуін қамтиды. Адам өз мақсаттарымен достасады және олармен онлайн қарым-қатынас жасайды. Содан кейін қылмыскер құрбандарының жеке мәліметтерін алу, олардан қарыз алу немесе оларды компьютерлеріне зиянды бағдарлама орнату үшін осы қарым-қатынасты пайдаланады.
«Бал тұзағы» атауы әйелдер ерлерді нысанаға алу үшін қолданылған ескі тыңшылық тактикадан шыққан.
10. Алаяқ
Жалған бағдарламалық жасақтама зиянды бағдарламаға қарсы, жалған сканер, жалған қорқынышты бағдарлама, шпиондық бағдарламаға қарсы және т.б. түрінде пайда болуы мүмкін. Компьютерлік зиянды бағдарламаның бұл түрі пайдаланушыларды зиянды бағдарламаны жоюға уәде берген имитацияланған немесе жалған бағдарламалық жасақтама үшін төлеуге мәжбүр етеді. Қауіпсіздік бағдарламалық жасақтамасы соңғы жылдары өсіп келе жатқан алаңдаушылыққа айналды. Күдікті емес пайдаланушы мұндай бағдарламалық жасақтаманың құрбаны болуы мүмкін, ол көптеген қол жетімді.
11. Зиянды бағдарлама
Зиянды бағдарлама шабуылының мақсаты - жәбірленушіні өз жүйелеріне зиянды бағдарлама орнатуға тарту. Шабуылдаушы жәбірленушінің компьютерлеріне зиянды бағдарламаны енгізуіне мүмкіндік беру үшін адамның эмоцияларын басқарады. Бұл әдіс фишингтік хабарламаларды жіберу үшін лездік хабарларды, мәтіндік хабарларды, әлеуметтік желілерді, электрондық поштаны және т.б. пайдалануды қамтиды. Бұл хабарлар жәбірленушіні зиянды бағдарлама бар веб-сайтты ашатын сілтемені басуға алдайды.
Хабарламалар үшін қорқыту тактикасы жиі қолданылады. Олар сіздің есептік жазбаңызда бірдеңе дұрыс емес екенін және тіркелгіңізге кіру үшін дереу берілген сілтемені басуыңыз керек деп айтуы мүмкін. Содан кейін сілтеме зиянды бағдарлама компьютеріңізге орнатылатын файлды жүктеп алуға мәжбүр етеді.
Хабардар болыңыз, аман болыңыз
Өзіңізді хабардар ету - өзіңізді қорғаудың алғашқы қадамы әлеуметтік инженерлік шабуылдар. Негізгі кеңес - құпия сөзіңізді немесе қаржылық ақпаратты сұрайтын кез келген хабарларды елемеу. Мұндай электрондық пошталарды белгілеу үшін электрондық пошта қызметтерімен бірге келетін спам сүзгілерін пайдалануға болады. Сенімді антивирустық бағдарламалық құралды алу жүйеңізді одан әрі қорғауға көмектеседі.
