Ինչ է Սոցիալական տեխնիկա? 11 օրինակ, որոնցից պետք է ուշադրություն դարձնել
Բառը
Ինչ է իրականում սոցիալական ճարտարագիտությունը, այնուամենայնիվ:
Սոցիալական ճարտարագիտությունը վերաբերում է մարդկանց մանիպուլյացիայի գործողություններին՝ հանելու նրանց գաղտնի տեղեկատվությունը: Տեղեկությունների տեսակը, որ փնտրում են հանցագործները, կարող են տարբեր լինել: Սովորաբար, անհատները թիրախ են դառնում իրենց բանկային տվյալների կամ իրենց հաշվի գաղտնաբառերի համար: Հանցագործները նաև փորձում են մուտք գործել զոհի համակարգիչ, որպեսզի նրանք տեղադրեն վնասակար ծրագրեր: Այս ծրագրաշարն այնուհետև օգնում է նրանց հանել ցանկացած տեղեկատվություն, որը կարող է անհրաժեշտ լինել:
Հանցագործները օգտագործում են սոցիալական ինժեներական մարտավարություն, քանի որ հաճախ հեշտ է շահագործել մարդուն՝ շահելով նրա վստահությունը և համոզել նրան հրաժարվել իրենց անձնական մանրամասներից: Դա ավելի հարմար միջոց է, քան ուղղակիորեն կոտրել որևէ մեկի համակարգիչը՝ առանց նրա իմացության:
Սոցիալական ճարտարագիտության օրինակներ
Դուք կկարողանաք ձեզ ավելի լավ պաշտպանել՝ տեղեկացված լինելով սոցիալական ինժեներիայի տարբեր ձևերի մասին:
1. Պատրվակություն
Պատրվակավորումն օգտագործվում է, երբ հանցագործը ցանկանում է ձեռք բերել զոհի զգայուն տեղեկատվություն՝ կարևոր առաջադրանք կատարելու համար: Հարձակվողը փորձում է տեղեկատվություն ստանալ մի քանի խնամքով մշակված ստերի միջոցով:
Հանցագործը սկսում է զոհի նկատմամբ վստահություն հաստատելով։ Դա կարող է արվել՝ իրենց ընկերներին, գործընկերներին, բանկի պաշտոնյաներին, ոստիկանության կամ այլ հեղինակություններին նմանակելով, ովքեր կարող են նման զգայուն տեղեկություններ խնդրել: Հարձակվողը նրանց ինքնությունը հաստատելու պատրվակով մի շարք հարցեր է տալիս և այս գործընթացում անձնական տվյալներ է հավաքում։
Այս մեթոդը օգտագործվում է անձից բոլոր տեսակի անձնական և պաշտոնական մանրամասներ կորզելու համար: Նման տեղեկատվությունը կարող է ներառել անձնական հասցեներ, սոցիալական ապահովության համարներ, հեռախոսահամարներ, հեռախոսային գրառումներ, բանկային տվյալներ, անձնակազմի արձակուրդի ամսաթվերը, ձեռնարկություններին առնչվող անվտանգության մասին տեղեկություններ և այլն:
2. Դիվերսիոն գողություն
Սա խաբեության մի տեսակ է, որն ընդհանուր առմամբ ուղղված է սուրհանդակային և տրանսպորտային ընկերություններին: Հանցագործը փորձում է խաբել թիրախային ընկերությանը՝ ստիպելով նրանց առաքման փաթեթը տրամադրել առաքման այլ վայր, քան ի սկզբանե նախատեսված էր: Այս տեխնիկան օգտագործվում է թանկարժեք ապրանքներ գողանալու համար, որոնք առաքվում են փոստով:
Այս խարդախությունը կարող է իրականացվել ինչպես օֆլայն, այնպես էլ առցանց: Փաթեթները տեղափոխող անձնակազմին կարող են մոտենալ և համոզվել, որ առաքումը թողնեն այլ վայրում: Հարձակվողները կարող են նաև մուտք ունենալ առցանց առաքման համակարգ: Այնուհետև նրանք կարող են ընդհատել առաքման ժամանակացույցը և փոփոխություններ կատարել դրանում:
3 Ֆիշինգ
Ֆիշինգը սոցիալական ինժեներիայի ամենահայտնի ձևերից մեկն է: Ֆիշինգի խարդախությունները ներառում են էլ. փոստ և տեքստային հաղորդագրություններ, որոնք կարող են զոհերի մոտ հետաքրքրության, վախի կամ շտապողականության զգացում առաջացնել: Տեքստը կամ էլփոստը նրանց դրդում է սեղմել հղումների վրա, որոնք կհանգեցնեն վնասակար կայքերի կամ հավելվածների, որոնք կտեղադրեն չարամիտ ծրագրեր իրենց սարքերում:
Օրինակ, առցանց ծառայության օգտատերերը կարող են նամակ ստանալ, որում ասվում է, որ տեղի է ունեցել քաղաքականության փոփոխություն, որը պահանջում է անմիջապես փոխել իրենց գաղտնաբառերը: Փոստը կպարունակի հղում դեպի անօրինական կայք, որը նույնական է սկզբնական կայքին: Այնուհետև օգտատերը մուտքագրելու է իր հաշվի հավատարմագրերը այդ կայք՝ համարելով այն օրինական: Նրանց տվյալները ներկայացնելիս տեղեկատվությունը հասանելի կլինի հանցագործին։
4. Spear Phishing
Սա ֆիշինգի խարդախության տեսակ է, որն ավելի շատ ուղղված է կոնկրետ անհատի կամ կազմակերպության դեմ: Հարձակվողը հարմարեցնում է իր հաղորդագրությունները՝ հիմնվելով զոհի հետ կապված աշխատանքային դիրքերի, բնութագրերի և պայմանագրերի վրա, որպեսզի դրանք ավելի իրական թվան: Նիզակային ֆիշինգը հանցագործի կողմից ավելի մեծ ջանքեր է պահանջում և կարող է շատ ավելի շատ ժամանակ պահանջել, քան սովորական ֆիշինգը: Այնուամենայնիվ, դրանք ավելի դժվար է բացահայտել և ունեն ավելի լավ հաջողության մակարդակ:
Օրինակ, հարձակվողը, որը փորձում է կազմակերպել ֆիշինգ, նամակ կուղարկի աշխատակցին, որը ներկայացնում է ընկերության ՏՏ խորհրդատուին: Նամակը կկազմավորվի այնպես, որ ճիշտ նման լինի այն, թե ինչպես է դա անում խորհրդատուն: Այն բավական վավերական կթվա՝ հասցեատիրոջը խաբելու համար: Էլեկտրոնային փոստը կհուշի աշխատակցին փոխել իր գաղտնաբառը՝ նրանց տրամադրելով հղում դեպի վնասակար վեբ էջի, որը կգրանցի նրանց տեղեկությունները և կուղարկի այն հարձակվողին:
5. Ջրահոս
Ջրատար խաբեությունն օգտվում է վստահելի կայքերից, որոնք պարբերաբար այցելում են շատ մարդիկ: Հանցագործը տեղեկատվություն կհավաքի մարդկանց թիրախային խմբի վերաբերյալ՝ որոշելու, թե որ կայքերն են հաճախակի այցելում: Այնուհետև այս կայքերը կփորձարկվեն խոցելիության համար: Ժամանակի ընթացքում այս խմբի մեկ կամ մի քանի անդամներ կվարակվեն։ Այնուհետև հարձակվողը կկարողանա մուտք գործել այս վարակված օգտատերերի անվտանգ համակարգ:
Անունը գալիս է այն անալոգիայից, թե ինչպես են կենդանիները ջուր խմում` հավաքվելով իրենց վստահելի վայրերում, երբ ծարավ են: Նրանք երկու անգամ չեն մտածում նախազգուշական միջոցներ ձեռնարկելու մասին։ Գիշատիչները տեղյակ են այդ մասին, ուստի սպասում են մոտակայքում՝ պատրաստ հարձակվելու նրանց վրա, երբ նրանց պահակը դադարի։ Թվային լանդշաֆտում ջրահեռացումը կարող է օգտագործվել միևնույն ժամանակ խոցելի օգտատերերի խմբի վրա առավել ավերիչ հարձակումներ իրականացնելու համար:
6. Խայծ
Ինչպես երևում է անունից, խայծը ներառում է սուտ խոստման օգտագործում՝ զոհի հետաքրքրասիրությունը կամ ագահությունը հարուցելու համար։ Տուժողը գայթակղվում է թվային թակարդի մեջ, որը կօգնի հանցագործին գողանալ նրա անձնական տվյալները կամ տեղադրել չարամիտ ծրագրեր իրենց համակարգերում:
Խայծը կարող է տեղի ունենալ ինչպես առցանց, այնպես էլ օֆլայն միջավայրերի միջոցով: Որպես օֆլայն օրինակ՝ հանցագործը կարող է խայծը թողնել տեսանելի վայրերում չարամիտ ծրագրերով վարակված ֆլեշ կրիչի տեսքով: Սա կարող է լինել թիրախային ընկերության վերելակը, սանհանգույցը, ավտոկայանատեղը և այլն: Ֆլեշ կրիչը իրական տեսք կունենա, ինչը տուժողին կստիպի վերցնել այն և տեղադրել իր աշխատանքային կամ տնային համակարգչի մեջ: Այնուհետև ֆլեշ կրիչը ավտոմատ կերպով կարտահանի չարամիտ ծրագրեր համակարգ:
Խայծի առցանց ձևերը կարող են լինել գրավիչ և գայթակղիչ գովազդի տեսքով, որը կխրախուսի զոհերին սեղմել դրա վրա: Հղումը կարող է ներբեռնել վնասակար ծրագրեր, որոնք հետագայում կվարակեն իրենց համակարգիչը չարամիտ ծրագրերով:
7. Quid Pro Quo
Quid pro quo հարձակումը նշանակում է «ինչ-որ բան ինչ-որ բանի համար» հարձակում: Դա խայծի տեխնիկայի տարբերակ է։ Տուժողներին օգուտի խոստումով խայծ տալու փոխարեն, quid pro quo հարձակումը խոստանում է ծառայություն, եթե կոնկրետ գործողություն կատարվի: Հարձակվողը զոհին կեղծ օգուտ է առաջարկում մուտքի կամ տեղեկատվության դիմաց:
Այս հարձակման ամենատարածված ձևն այն է, երբ հանցագործը ներկայացնում է ընկերության ՏՏ անձնակազմին: Հանցագործն այնուհետ կապ է հաստատում ընկերության աշխատակիցների հետ և առաջարկում նրանց նոր ծրագրակազմ կամ համակարգի արդիականացում: Այնուհետև աշխատակցին կառաջարկվի անջատել իր հակավիրուսային ծրագրակազմը կամ տեղադրել վնասակար ծրագրակազմ, եթե ցանկանում է թարմացում:
8. Պոչամբար
Պոչամբարի հարձակումը կոչվում է նաև խոզուկ: Այն ներառում է հանցագործին, որը ցանկանում է մուտք գործել սահմանափակված վայր, որը չունի համապատասխան նույնականացման միջոցներ: Հանցագործը կարող է մուտք գործել՝ ներս մտնելով տարածք մուտք գործելու լիազորված մեկ այլ անձի հետևից:
Որպես օրինակ՝ հանցագործը կարող է անձնավորել առաքիչի վարորդին, ում ձեռքերը լի են փաթեթներով: Սպասում է, որ դռնից լիազորված աշխատակիցը ներս մտնի։ Խաբեբա առաքիչն այնուհետև խնդրում է աշխատակցին պահել դուռը իր համար՝ դրանով իսկ թույլ տալով նրան մուտք գործել առանց որևէ թույլտվության:
9. Մեղրի թակարդ
Այս հնարքը ներառում է հանցագործին առցանց ձևանալով գրավիչ մարդ: Մարդը ընկերանում է նրանց թիրախների հետ և կեղծում է նրանց հետ առցանց հարաբերություններ: Հանցագործն այնուհետև օգտվում է այս հարաբերությունից՝ հանելու զոհերի անձնական տվյալները, նրանցից գումար վերցնելու կամ նրանց համակարգիչների մեջ չարամիտ ծրագրեր տեղադրելու համար:
«Մեղրի թակարդ» անվանումը գալիս է հին լրտեսական մարտավարությունից, որտեղ կանայք օգտագործվում էին տղամարդկանց թիրախավորելու համար:
10. Խարդախություն
Խարդախ ծրագրակազմը կարող է հայտնվել անպիտան հակավնասակար ծրագրերի, սրիկա սկաների, սրիկա վախկոտ ծրագրերի, հակալրտեսող ծրագրերի և այլնի տեսքով: Համակարգչային չարամիտ ծրագրերի այս տեսակը մոլորեցնում է օգտվողներին վճարելու նմանակված կամ կեղծ ծրագրաշարի համար, որը խոստանում էր հեռացնել չարամիտ ծրագրերը: Անվտանգության սրիկա ծրագրակազմը վերջին տարիներին դարձել է աճող մտահոգություն: Չկասկած օգտատերը կարող է հեշտությամբ դառնալ նման ծրագրաշարի զոհը, որը շատ հասանելի է:
11. չարամիտ
Չարամիտ ծրագրերի հարձակման նպատակն է ստիպել տուժածին չարամիտ ծրագրեր տեղադրել իրենց համակարգերում: Հարձակվողը մանիպուլյացիայի է ենթարկում մարդկային էմոցիաները, որպեսզի տուժողը թույլ տա չարամիտ ծրագրերը իրենց համակարգիչներում: Այս տեխնիկան ներառում է ակնթարթային հաղորդագրությունների, տեքստային հաղորդագրությունների, սոցիալական լրատվամիջոցների, էլ.փոստի օգտագործումը ֆիշինգ հաղորդագրություններ ուղարկելու համար: Այս հաղորդագրությունները խաբում են տուժածին սեղմելով հղումը, որը կբացի վեբկայք, որը պարունակում է չարամիտ ծրագիր:
Հաղորդագրությունների համար հաճախ օգտագործվում են վախեցնելու մարտավարություն: Նրանք կարող են ասել, որ ձեր հաշվի հետ ինչ-որ բան այն չէ, և որ դուք պետք է անմիջապես սեղմեք տրամադրված հղման վրա՝ ձեր հաշիվ մուտք գործելու համար: Այնուհետև հղումը կստիպի ձեզ ներբեռնել ֆայլ, որի միջոցով չարամիտ ծրագիրը կտեղադրվի ձեր համակարգչում:
Եղեք իրազեկ, մնացեք ապահով
Ինքներդ ձեզ տեղեկացված պահելը առաջին քայլն է ձեզնից պաշտպանվելու համար սոցիալական ինժեներական հարձակումներ. Հիմնական խորհուրդն այն է, որ անտեսեք ձեր գաղտնաբառը կամ ֆինանսական տեղեկատվություն պահանջող ցանկացած հաղորդագրություն: Դուք կարող եք օգտագործել սպամի զտիչներ, որոնք գալիս են ձեր էլ. Վստահելի հակավիրուսային ծրագրակազմ ստանալը կօգնի նաև ավելի պաշտպանել ձեր համակարգը:
