Энэ нийтлэлд бид "нийгмийн инженерчлэл" гэсэн ойлголтод анхаарлаа хандуулах болно. Энэ нэр томъёоны ерөнхий тодорхойлолтыг энд авч үзэх болно. Энэ үзэл баримтлалыг үндэслэгч нь хэн байсныг бид бас мэдэх болно. Халдагчдын ашигладаг нийгмийн инженерчлэлийн үндсэн аргуудын талаар тусад нь яръя.
Танилцуулга
Техникийн иж бүрдэл хэрэгсэл ашиглахгүйгээр хүний зан байдлыг засах, үйл ажиллагааг нь удирдах боломж олгох аргууд нь нийгмийн инженерчлэлийн ерөнхий ойлголтыг бүрдүүлдэг. Бүх аргууд нь хүний хүчин зүйл бол аливаа тогтолцооны хамгийн хор хөнөөлтэй сул тал гэсэн нотолгоо дээр суурилдаг. Ихэнхдээ энэ ойлголтыг хууль бус үйл ажиллагааны түвшинд авч үздэг бөгөөд үүгээр дамжуулан гэмт хэрэгтэн хохирогч-хохирогчоос шударга бус байдлаар мэдээлэл олж авахад чиглэсэн үйлдлийг гүйцэтгэдэг. Жишээлбэл, энэ нь ямар нэгэн төрлийн заль мэх байж болно. Гэсэн хэдий ч нийгмийн инженерчлэлийг хүмүүс хууль ёсны үйл ажиллагаандаа ашигладаг. Өнөөдрийг хүртэл энэ нь эмзэг эсвэл эмзэг мэдээлэл бүхий нөөцөд хандахад ихэвчлэн ашиглагддаг.
Үүсгэн байгуулагч
Нийгмийн инженерчлэлийн үндэслэгч бол Кевин Митник юм. Гэсэн хэдий ч энэ ойлголт нь социологиас бидэнд ирсэн. Энэ нь хэрэглээний нийгмийн ашигладаг ерөнхий хандлагыг илэрхийлдэг. Шинжлэх ухаан нь хүний зан төлөвийг тодорхойлж, түүнд хяналт тавих зохион байгуулалтын бүтцийг өөрчлөхөд чиглэв. Кевин Митникийг энэ шинжлэх ухааныг үндэслэгч гэж үзэж болно, учир нь тэр л нийгмийг дэлгэрүүлсэн хүн юм. 21-р зууны эхний арван жилд инженерийн. Кевин өөрөө өмнө нь олон төрлийн мэдээллийн сан руу хууль бусаар нэвтэрдэг хакер байсан. Тэрээр хүний хүчин зүйл бол аливаа түвшний нарийн төвөгтэй, зохион байгуулалттай тогтолцооны хамгийн эмзэг цэг гэж нотолсон.
Хэрэв бид нууц мэдээллийг ашиглах эрхийг олж авах (ихэвчлэн хууль бус) арга болох нийгмийн инженерчлэлийн аргуудын талаар ярих юм бол тэдгээрийг маш удаан хугацаанд мэддэг байсан гэж хэлж болно. Гэсэн хэдий ч тэдний утга учир, хэрэглээний онцлогийн ач холбогдлыг К. Митник илэрхийлж чадсан юм.
Фишинг болон байхгүй холбоосууд
Нийгмийн инженерчлэлийн аливаа техник нь танин мэдэхүйн гажуудал дээр суурилдаг. Зан үйлийн алдаа нь чадварлаг инженерийн гарт "хэрэгсэл" болж, ирээдүйд чухал мэдээлэл олж авахад чиглэсэн халдлагыг бий болгож чадна. Нийгмийн инженерчлэлийн аргуудаас фишинг болон байхгүй холбоосыг ялгадаг.
Фишинг нь хэрэглэгчийн нэр, нууц үг зэрэг хувийн мэдээллийг олж авах зорилготой онлайн луйвар юм.
Байхгүй холбоос - холбоосыг ашиглан хүлээн авагчийг тодорхой зүйлээр татах болно.үүн дээр дарж, тодорхой сайтад зочлох замаар олж авах боломжтой ашиг тус. Ихэнхдээ томоохон компаниудын нэрийг ашигладаг бөгөөд нэрэндээ нарийн тохируулга хийдэг. Хохирогч холбоос дээр дарснаар хувийн мэдээллээ халдагчид "сайн дураараа" шилжүүлэх болно.
Брэнд, гэмтэлтэй антивирус, хуурамч сугалаа ашиглах аргууд
Нийгмийн инженерчлэл нь мөн брэндийн луйвар, гэмтэлтэй антивирус болон хуурамч сугалаа ашигладаг.
"Луйвар ба брэндүүд" бол залилан мэхлэх арга бөгөөд энэ нь фишинг бүлэгт мөн хамаарна. Үүнд томоохон ба/эсвэл "хөгжсөн" компанийн нэрийг агуулсан цахим шуудан, вэбсайтууд орно. Тэдний хуудаснаас тодорхой тэмцээнд ялалт байгуулсан тухай мэдэгдэл бүхий мессежийг илгээдэг. Дараа нь та дансны чухал мэдээллийг оруулаад хулгайлах хэрэгтэй. Мөн залилангийн энэ хэлбэрийг утсаар хийж болно.
Хуурамч сугалаа - хохирогчид (a) (а) сугалаанд хожсон гэсэн бичвэр бүхий мессеж илгээх арга. Ихэнх тохиолдолд анхааруулга нь томоохон корпорацийн нэрийг ашиглан далдлагдсан байдаг.
Хуурамч антивирус нь программ хангамжийн луйвар юм. Энэ нь вирусны эсрэг програм шиг харагддаг програмуудыг ашигладаг. Гэсэн хэдий ч бодит байдал дээр тэд тодорхой аюул заналхийллийн талаар худал мэдэгдэл гаргахад хүргэдэг. Тэд мөн хэрэглэгчдийг гүйлгээний талбарт татахыг оролддог.
Тэмцэх, хуурах, тохуурхах
Анхлан суралцагчдад зориулсан нийгмийн инженерчлэлийн талаар ярихын хажуугаар өөдөөс харамлах, хуурах, тохуурхах зэргийг дурдах хэрэгтэй.
Вишинг бол утасны сүлжээ ашигладаг залилан мэхлэх нэг хэлбэр юм. Энэ нь банкны бүтэц эсвэл бусад IVR системийн "албан ёсны дуудлага" -ыг сэргээх зорилготой урьдчилан бичсэн дуут мессежийг ашигладаг. Ихэнхдээ тэд аливаа мэдээллийг баталгаажуулахын тулд хэрэглэгчийн нэр ба / эсвэл нууц үг оруулахыг хүсдэг. Өөрөөр хэлбэл, систем нь хэрэглэгчээс ПИН код эсвэл нууц үг ашиглан баталгаажуулалтыг шаарддаг.
Фреакинг бол утасны луйврын өөр нэг хэлбэр юм. Энэ нь дууг залилах, дуу авианы дуудлагыг ашиглан хакердах систем юм.
Урьдчилан бэлтгэсэн төлөвлөгөөг ашиглан халдлага хийх бөгөөд түүний мөн чанар нь өөр сэдвийг төлөөлөх явдал юм. Маш нарийн бэлтгэл шаарддаг тул хуурах маш хэцүү арга.
Quid Pro Quo ба Замын Apple-ийн арга
Нийгмийн инженерчлэлийн онол нь хууран мэхлэлт, залилан мэхлэх аргууд, тэдгээрийг шийдвэрлэх арга замыг багтаасан олон талт мэдээллийн сан юм. Халдагчдын гол ажил бол үнэ цэнэтэй мэдээллийг олж авах явдал юм.
Бусад төрлийн луйварт: quid pro quo, road apple, shoulder surfing, нээлттэй эх сурвалж болон урвуу сошиал медиа орно. инженерчлэл.
Quid-pro-quo (Латин хэлнээс - "үүнд зориулж") - компани эсвэл пүүсээс мэдээлэл авах оролдлого. Энэ нь түүнтэй утсаар холбогдох эсвэл имэйлээр мессеж илгээх замаар тохиолддог. Ихэнхдээ халдагчидажилчин мэт дүр эсгэх. ажилтны ажлын байранд тодорхой асуудал байгаа талаар мэдээлдэг дэмжлэг. Дараа нь тэд үүнийг засах арга замыг санал болгодог, жишээлбэл, програм хангамж суулгах замаар. Програм хангамж нь гэмтэлтэй болж гэмт хэргийг сурталчилж байна.
The Road Apple бол трояны морины санаан дээр суурилсан халдлагын арга юм. Үүний мөн чанар нь физик хэрэгслийг ашиглах, мэдээллийг орлуулах явдал юм. Жишээлбэл, тэд хохирогчийн анхаарлыг татах, файлыг нээх, ашиглах хүсэл төрүүлэх эсвэл флаш дискний баримт бичигт заасан холбоосыг дагаж мөрдөх тодорхой "сайн" бүхий санах ойн карт өгч болно. "Замын алим" объектыг олон нийтийн газар унагаж, халдагчийн төлөвлөгөөг ямар нэгэн субъект хэрэгжүүлэх хүртэл хүлээдэг.
Нээлттэй эх сурвалжаас мэдээлэл цуглуулах, хайх нь сэтгэл судлалын арга, жижиг зүйлийг анзаарах чадвар, боломжтой өгөгдөлд дүн шинжилгээ хийх, тухайлбал нийгмийн сүлжээн дэх хуудсууд дээр тулгуурлан мэдээлэл цуглуулдаг заль мэх юм. Энэ бол нийгмийн инженерчлэлийн нэлээд шинэ арга юм.
Мөрөн дээр серфинг хийх ба урвуу сошиал. инженер
"Мөрний серфинг" гэдэг ойлголт нь шууд утгаараа тухайн сэдвийг шууд үзэх гэж өөрийгөө тодорхойлдог. Энэ төрлийн дата загасчлалын тусламжтайгаар халдлага үйлдэгч кафе, нисэх онгоцны буудал, галт тэрэгний буудал гэх мэт олон нийтийн газар очиж хүмүүсийг дагадаг.
Энэ аргыг дутуу үнэлж болохгүй, учир нь анхаарал болгоомжтой хүн маш их нууцыг хүлээн авах боломжтой гэдгийг олон судалгаа, судалгаа харуулж байна.зүгээр л ажиглаж байж мэдээлэл.
Нийгмийн инженерчлэл (социологийн мэдлэгийн түвшний хувьд) нь өгөгдлийг “барьж авах” хэрэгсэл юм. Хохирогч өөрөө халдагчдад шаардлагатай мэдээллийг санал болгох мэдээллийг олж авах арга замууд байдаг. Гэсэн хэдий ч энэ нь нийгмийн сайн сайхны төлөө үйлчилж чадна.
Урвуу нийгэм инженерчлэл бол энэ шинжлэх ухааны өөр нэг арга юм. Энэ нэр томъёог ашиглах нь дээр дурдсан тохиолдолд тохиромжтой болно: хохирогч өөрөө халдагчдад шаардлагатай мэдээллийг санал болгоно. Энэ мэдэгдлийг утгагүй гэж ойлгож болохгүй. Үйл ажиллагааны тодорхой чиглэлээр эрх мэдэлтэй субьектүүд тухайн субъектийн өөрийн шийдвэрээр таних мэдээллийг олж авах боломжтой байдаг. Энд үндэс суурь нь итгэл юм.
Санах нь чухал! Туслах ажилтнууд хэзээ ч хэрэглэгчээс нууц үг асуухгүй, жишээлбэл.
Мэдээлэл ба хамгаалалт
Нийгмийн инженерчлэлийн сургалтыг хувь хүний санаачилгаар эсвэл тусгай сургалтын хөтөлбөрт ашиглагдаж байгаа ашиг тусын үндсэн дээр хийж болно.
Гэмт хэрэгтнүүд залхуурал, залхуурал, хэрэглэгчийн эелдэг байдал гэх мэт маш олон төрлийн хууран мэхлэлт хэрэглэж болно. Хохирогч ямар нэг арга хэмжээ аваагүйгээс өөрийгөө хамгаалахад маш хэцүү байдаг. тэр) хууран мэхэлсэн гэдгийг ухамсарлах. Төрөл бүрийн пүүс, компаниуд өөрсдийн мэдээллээ ийм аюулын түвшинд хамгаалахын тулд ерөнхий мэдээллийн үнэлгээнд ихэвчлэн оролцдог. Дараагийн алхам бол шаардлагатай зүйлсийг нэгтгэх явдал юмаюулгүй байдлын бодлогын хамгаалалт.
Жишээ
Дэлхийн фишинг шуудангийн салбар дахь нийгмийн инженерчлэлийн (түүний үйлдэл) жишээ бол 2003 онд болсон үйл явдал юм. Энэ луйврын үеэр eBay хэрэглэгчид рүү имэйл илгээсэн. Тэд өөрсдийнхөө дансыг хаасан гэж мэдэгджээ. Блоклохыг цуцлахын тулд дансны өгөгдлийг дахин оруулах шаардлагатай болсон. Гэсэн хэдий ч захидал нь хуурамч байсан. Тэд албан ёсны хуудастай ижил боловч хуурамч хуудас руу орчуулсан. Мэргэжилтнүүдийн тооцоолсноор алдагдал нь тийм ч их биш (сая доллараас бага).
Хариуцлагын тодорхойлолт
Нийгмийн инженерчлэл ашигласан тохиолдолд зарим тохиолдолд шийтгэгдэж болно. АНУ гэх мэт хэд хэдэн улс оронд нэр төрд халдах (өөр хүний дүрд хувиргах замаар хууран мэхлэх) нь хувийн нууцад халдсантай адилтган үздэг. Харин шалтаглаж байх үед олж авсан мэдээлэл нь тухайн субьект, байгууллагын үүднээс нууц байсан бол энэ нь хуулийн дагуу шийтгэгдэж болзошгүй юм. Утасны яриаг бичих (нийгмийн инженерчлэлийн арга хэлбэрээр) мөн хуулийн дагуу шаардлагатай бөгөөд хувь хүмүүст 250,000 долларын торгууль эсвэл арав хүртэл жил хорих шаардлагатай. хүмүүс. Хуулийн этгээдүүд 500,000 доллар төлөх шаардлагатай; эцсийн хугацаа хэвээр байна.
