ในบทความนี้ เราจะมาใส่ใจกับแนวคิดของ "วิศวกรรมสังคม" คำจำกัดความทั่วไปของคำศัพท์จะได้รับการพิจารณาที่นี่ นอกจากนี้เรายังจะได้เรียนรู้ว่าใครเป็นผู้ก่อตั้งแนวคิดนี้ มาพูดคุยแยกกันเกี่ยวกับวิธีการหลักของวิศวกรรมสังคมที่ผู้โจมตีใช้
แนะนำตัว
วิธีที่ช่วยให้คุณแก้ไขพฤติกรรมของบุคคลและจัดการกิจกรรมของเขาโดยไม่ต้องใช้ชุดเครื่องมือทางเทคนิคที่สร้างแนวคิดทั่วไปของวิศวกรรมสังคม วิธีการทั้งหมดอยู่บนพื้นฐานของการยืนยันว่าปัจจัยมนุษย์เป็นจุดอ่อนที่ทำลายล้างมากที่สุดของระบบใดๆ บ่อยครั้งที่แนวคิดนี้ได้รับการพิจารณาในระดับของกิจกรรมที่ผิดกฎหมาย โดยที่อาชญากรดำเนินการโดยมุ่งเป้าไปที่การรับข้อมูลจากเหยื่อผู้เคราะห์ร้ายในทางที่ไม่ซื่อสัตย์ ตัวอย่างเช่น อาจเป็นการยักย้ายถ่ายเทบางอย่าง อย่างไรก็ตาม วิศวกรรมสังคมยังถูกใช้โดยมนุษย์ในกิจกรรมที่ชอบด้วยกฎหมาย ในปัจจุบัน มักใช้ในการเข้าถึงแหล่งข้อมูลที่มีข้อมูลที่ละเอียดอ่อนหรือละเอียดอ่อน
ผู้ก่อตั้ง
ผู้ก่อตั้งวิศวกรรมสังคมคือ Kevin Mitnick อย่างไรก็ตามแนวคิดนี้มาจากสังคมวิทยา หมายถึงชุดแนวทางทั่วไปที่ใช้โดยสังคมประยุกต์ วิทยาศาสตร์มุ่งเน้นไปที่การเปลี่ยนโครงสร้างองค์กรที่สามารถกำหนดพฤติกรรมของมนุษย์และควบคุมการออกกำลังกายได้ Kevin Mitnick ถือได้ว่าเป็นผู้ก่อตั้งวิทยาศาสตร์นี้เนื่องจากเป็นผู้ที่เผยแพร่สังคม วิศวกรรมศาสตร์ในทศวรรษแรกของศตวรรษที่ 21 ก่อนหน้านี้เควินเองก็เป็นแฮ็กเกอร์ที่เข้าสู่ฐานข้อมูลที่หลากหลายอย่างผิดกฎหมาย เขาแย้งว่าปัจจัยมนุษย์เป็นจุดอ่อนที่สุดของระบบที่มีความซับซ้อนและองค์กรทุกระดับ
ถ้าเราพูดถึงวิธีวิศวกรรมสังคมเพื่อให้ได้รับสิทธิ์ (มักผิดกฎหมาย) ในการใช้ข้อมูลที่เป็นความลับ เรียกได้ว่ารู้กันมานานแล้ว อย่างไรก็ตาม เป็น K. Mitnick ที่สามารถถ่ายทอดความสำคัญของความหมายและลักษณะเฉพาะของการใช้งานได้
ฟิชชิ่งและลิงก์ที่ไม่มีอยู่จริง
เทคนิคใดๆ ของวิศวกรรมสังคมนั้นขึ้นอยู่กับการบิดเบือนทางปัญญา ข้อผิดพลาดด้านพฤติกรรมกลายเป็น "เครื่องมือ" ที่อยู่ในมือของวิศวกรผู้ชำนาญ ซึ่งในอนาคตจะสามารถสร้างการโจมตีโดยมุ่งเป้าไปที่การรับข้อมูลสำคัญ ในบรรดาวิธีวิศวกรรมสังคม ฟิชชิ่งและลิงก์ที่ไม่มีอยู่นั้นมีความแตกต่างกัน
ฟิชชิ่งเป็นการหลอกลวงออนไลน์ที่ออกแบบมาเพื่อรับข้อมูลส่วนบุคคล เช่น ชื่อผู้ใช้และรหัสผ่าน
ไม่มีลิงก์ - ใช้ลิงก์ที่จะหลอกล่อผู้รับอย่างแน่นอนผลประโยชน์ที่สามารถรับได้โดยคลิกที่มันและเยี่ยมชมเว็บไซต์เฉพาะ ส่วนใหญ่มักใช้ชื่อของบริษัทขนาดใหญ่ ทำให้ปรับเปลี่ยนชื่อได้อย่างละเอียด เหยื่อโดยการคลิกที่ลิงค์จะ "สมัครใจ" ถ่ายโอนข้อมูลส่วนบุคคลของพวกเขาไปยังผู้โจมตี
วิธีการใช้แบรนด์ แอนตี้ไวรัสที่บกพร่อง และลอตเตอรีปลอม
วิศวกรรมสังคมยังใช้การหลอกลวงชื่อแบรนด์ แอนตี้ไวรัสที่บกพร่อง และลอตเตอรี่ปลอม
"การฉ้อโกงและแบรนด์สินค้า" - วิธีการหลอกลวง ซึ่งเป็นของส่วนฟิชชิ่งด้วย ซึ่งรวมถึงอีเมลและเว็บไซต์ที่มีชื่อของบริษัทขนาดใหญ่และ/หรือ "ไฮเปอร์" ข้อความจะถูกส่งจากหน้าเพจพร้อมแจ้งชัยชนะในการแข่งขันบางรายการ ถัดไป คุณต้องป้อนข้อมูลบัญชีที่สำคัญและขโมยข้อมูลนั้น นอกจากนี้ รูปแบบการฉ้อโกงนี้สามารถทำได้ทางโทรศัพท์
ลอตเตอรีปลอม - วิธีการส่งข้อความถึงเหยื่อด้วยข้อความที่เขา (ก) ชนะ (ก) ลอตเตอรี ส่วนใหญ่มักจะปิดบังการแจ้งเตือนโดยใช้ชื่อของบริษัทขนาดใหญ่
แอนตี้ไวรัสปลอมเป็นซอฟต์แวร์หลอกลวง มันใช้โปรแกรมที่ดูเหมือนแอนตี้ไวรัส อย่างไรก็ตาม ในความเป็นจริง พวกเขานำไปสู่การสร้างการแจ้งเตือนที่ผิดพลาดเกี่ยวกับภัยคุกคามเฉพาะ พวกเขายังพยายามหลอกล่อผู้ใช้ให้เข้าสู่ขอบเขตของการทำธุรกรรม
วิชชิ่ง พูดเพ้อเจ้อ และกล่าวอ้าง
ในขณะที่กำลังพูดถึงวิศวกรรมสังคมสำหรับผู้เริ่มต้น เราควรพูดถึงวิชชิ่ง การพูดเพ้อเจ้อ และการอ้างสิทธิ์ด้วย
Vishing เป็นการหลอกลวงรูปแบบหนึ่งที่ใช้เครือข่ายโทรศัพท์ ใช้ข้อความเสียงที่บันทึกไว้ล่วงหน้าซึ่งมีจุดประสงค์เพื่อสร้าง "การโทรอย่างเป็นทางการ" ของโครงสร้างธนาคารหรือระบบ IVR อื่น ๆ ส่วนใหญ่แล้วระบบจะขอให้ป้อนชื่อผู้ใช้และ / หรือรหัสผ่านเพื่อยืนยันข้อมูลใด ๆ กล่าวอีกนัยหนึ่ง ระบบต้องการการตรวจสอบสิทธิ์โดยผู้ใช้โดยใช้รหัส PIN หรือรหัสผ่าน
Phreaking เป็นการหลอกลวงทางโทรศัพท์อีกรูปแบบหนึ่ง มันคือระบบแฮ็คที่ใช้การปรับแต่งเสียงและโทรออกด้วยเสียง
การแกล้งทำเป็นการโจมตีโดยใช้แผนการไตร่ตรองไว้ล่วงหน้า สาระสำคัญของการเป็นตัวแทนของอีกเรื่องหนึ่ง วิธีโกงที่ยากมาก เนื่องจากต้องเตรียมการอย่างระมัดระวัง
Quid Pro Quo and the Road Apple Method
ทฤษฎีวิศวกรรมสังคมเป็นฐานข้อมูลที่มีหลายแง่มุม ซึ่งรวมถึงวิธีการหลอกลวงและการจัดการ ตลอดจนวิธีจัดการกับมัน หน้าที่หลักของผู้บุกรุกคือการค้นหาข้อมูลที่มีค่า
การหลอกลวงประเภทอื่นๆ ได้แก่ quid pro quo, road apple, shoulder surfing, open source และ reverse social media วิศวกรรม
Quid-pro-quo (จากภาษาละติน - “สำหรับสิ่งนี้”) - ความพยายามที่จะดึงข้อมูลจากบริษัทหรือบริษัท สิ่งนี้เกิดขึ้นโดยการติดต่อเธอทางโทรศัพท์หรือโดยการส่งข้อความทางอีเมล ส่วนใหญ่มักจะโจมตีปลอมตัวเป็นพนักงาน การสนับสนุนซึ่งรายงานการมีอยู่ของปัญหาเฉพาะในที่ทำงานของพนักงาน จากนั้นพวกเขาจะแนะนำวิธีแก้ไข เช่น โดยการติดตั้งซอฟต์แวร์ ซอฟต์แวร์มีข้อบกพร่องและส่งเสริมการก่ออาชญากรรม
The Road Apple เป็นวิธีการโจมตีที่มีพื้นฐานมาจากแนวคิดของม้าโทรจัน สาระสำคัญอยู่ที่การใช้สื่อทางกายภาพและการแทนที่ข้อมูล ตัวอย่างเช่น พวกเขาสามารถให้การ์ดหน่วยความจำที่มี "ดี" บางอย่างที่จะดึงดูดความสนใจของเหยื่อ ทำให้เกิดความปรารถนาที่จะเปิดและใช้ไฟล์หรือตามลิงก์ที่ระบุในเอกสารของแฟลชไดรฟ์ วัตถุ "road apple" ถูกทิ้งในสถานที่ทางสังคมและรอจนกว่าบางเรื่องจะถูกนำมาใช้แผนของผู้บุกรุก
การรวบรวมและค้นหาข้อมูลจากโอเพ่นซอร์สเป็นการหลอกลวงที่การได้มาซึ่งข้อมูลนั้นใช้วิธีการทางจิตวิทยา ความสามารถในการสังเกตสิ่งเล็กน้อย และการวิเคราะห์ข้อมูลที่มีอยู่ เช่น เพจจากโซเชียลเน็ตเวิร์ก นี่เป็นวิธีใหม่ในวิศวกรรมสังคม
ท่องไหล่และย้อนกลับโซเชียล วิศวกรรม
แนวคิดของ "การท่องไหล่" กำหนดตัวเองว่าเป็นการดูหัวข้อสดในความหมายที่แท้จริง ด้วยการตกปลาข้อมูลประเภทนี้ ผู้โจมตีจะไปที่สาธารณะ เช่น ร้านกาแฟ สนามบิน สถานีรถไฟ และติดตามผู้คน
อย่าประเมินวิธีนี้ต่ำไป เพราะผลสำรวจและการศึกษาหลายๆ ฉบับระบุว่า คนที่เอาใจใส่สามารถรับความลับได้มากมายข้อมูลอย่างง่ายๆ โดยการเป็นคนช่างสังเกต
วิศวกรรมสังคม (เป็นระดับความรู้ทางสังคมวิทยา) เป็นวิธีการ "จับ" ข้อมูล มีวิธีการรับข้อมูลที่เหยื่อเองจะให้ข้อมูลที่จำเป็นแก่ผู้โจมตี แต่ก็สามารถให้บริการที่ดีของสังคม
สังคมย้อนหลัง วิศวกรรมเป็นอีกวิธีหนึ่งของวิทยาศาสตร์นี้ การใช้คำนี้มีความเหมาะสมในกรณีที่เรากล่าวไว้ข้างต้น: เหยื่อเองจะเสนอข้อมูลที่จำเป็นแก่ผู้โจมตี คำพูดนี้ไม่ควรถือเป็นเรื่องเหลวไหล ความจริงก็คืออาสาสมัครที่ได้รับมอบอำนาจในบางพื้นที่ของกิจกรรมมักจะได้รับการเข้าถึงข้อมูลการระบุตัวตนที่การตัดสินใจของอาสาสมัครเอง พื้นฐานที่นี่คือความไว้วางใจ
จำไว้ให้ขึ้นใจ! เจ้าหน้าที่ฝ่ายสนับสนุนจะไม่ขอรหัสผ่านจากผู้ใช้ เช่น
ข้อมูลและการป้องกัน
การฝึกอบรมด้านวิศวกรรมสังคมสามารถทำได้โดยบุคคลทั้งบนพื้นฐานของความคิดริเริ่มส่วนบุคคลหรือบนพื้นฐานของผลประโยชน์ที่ใช้ในโปรแกรมการฝึกอบรมพิเศษ
อาชญากรสามารถใช้การหลอกลวงได้หลากหลายประเภท ตั้งแต่การยักย้ายถ่ายเทไปจนถึงความเกียจคร้าน ความใจง่าย มารยาทของผู้ใช้ ฯลฯ การป้องกันตัวเองจากการโจมตีประเภทนี้เป็นเรื่องยากมาก เนื่องจากเหยื่อไม่มี รู้ตัวว่าเขา) โกง. บริษัทและบริษัทต่างๆ ที่ปกป้องข้อมูลของตนในระดับอันตรายนี้มักมีส่วนร่วมในการประเมินข้อมูลทั่วไป ขั้นตอนต่อไปคือการบูรณาการที่จำเป็นปกป้องนโยบายความปลอดภัย
ตัวอย่าง
ตัวอย่างวิศวกรรมสังคม (การกระทำ) ในด้านการส่งจดหมายฟิชชิ่งทั่วโลกคือเหตุการณ์ที่เกิดขึ้นในปี 2546 อีเมลถูกส่งไปยังผู้ใช้ eBay ในระหว่างการหลอกลวงนี้ พวกเขาอ้างว่าบัญชีที่เป็นของพวกเขาถูกบล็อก หากต้องการยกเลิกการบล็อก จำเป็นต้องป้อนข้อมูลบัญชีอีกครั้ง อย่างไรก็ตาม จดหมายนั้นเป็นของปลอม พวกเขาแปลเป็นหน้าที่เหมือนกันกับหน้าอย่างเป็นทางการ แต่เป็นของปลอม ตามการประมาณการของผู้เชี่ยวชาญ การสูญเสียไม่มากนัก (น้อยกว่าหนึ่งล้านเหรียญ)
นิยามความรับผิดชอบ
การใช้วิศวกรรมสังคมอาจมีโทษในบางกรณี ในหลายประเทศ เช่น สหรัฐอเมริกา การแกล้งทำเป็น (หลอกลวงโดยแอบอ้างเป็นบุคคลอื่น) ถือว่าเทียบเท่ากับการบุกรุกความเป็นส่วนตัว อย่างไรก็ตาม กฎหมายอาจลงโทษหากข้อมูลที่ได้รับในระหว่างการอ้างสิทธิ์เป็นความลับจากมุมมองของบุคคลหรือองค์กร กฎหมายกำหนดให้บันทึกการสนทนาทางโทรศัพท์ (เป็นวิธีวิศวกรรมสังคม) และต้องเสียค่าปรับ $250,000 หรือจำคุกไม่เกินสิบปีสำหรับบุคคล คน. นิติบุคคลต้องจ่าย $500,000; เส้นตายยังคงเหมือนเดิม
