რა არის სოციალური ინჟინერია? 11 მაგალითი, რომელსაც ყურადღება უნდა მიაქციოთ 

სარჩევი

სოციალური ინჟინერია

მაინც რა არის სოციალური ინჟინერია?

სოციალური ინჟინერია გულისხმობს ადამიანების მანიპულირების აქტს მათი კონფიდენციალური ინფორმაციის მოსაპოვებლად. ინფორმაცია, რომელსაც კრიმინალები ეძებენ, შეიძლება განსხვავდებოდეს. ჩვეულებრივ, პირები მიზნად ისახავს მათი საბანკო მონაცემების ან მათი ანგარიშის პაროლებს. კრიმინალები ასევე ცდილობენ მსხვერპლის კომპიუტერზე წვდომას, რათა მათ დააინსტალირონ მავნე პროგრამა. ეს პროგრამული უზრუნველყოფა შემდეგ ეხმარება მათ ამოიღონ ნებისმიერი ინფორმაცია, რაც შეიძლება დასჭირდეს.   

კრიმინალები იყენებენ სოციალური ინჟინერიის ტაქტიკას, რადგან ხშირად ადვილია ადამიანის ექსპლუატაცია მათი ნდობის მოპოვებით და მათი დარწმუნება, უარი თქვას პირად დეტალებზე. ეს უფრო მოსახერხებელი გზაა, ვიდრე უშუალოდ ვინმეს კომპიუტერში გატეხვა მათი ცოდნის გარეშე.

სოციალური ინჟინერიის მაგალითები

თქვენ შეძლებთ უკეთ დაიცვათ თავი სოციალური ინჟინერიის სხვადასხვა გზების ინფორმირებით. 

1. პრეტექსტირება

პრეტექსტინგი გამოიყენება მაშინ, როდესაც კრიმინალს სურს მიიღოს სენსიტიურ ინფორმაციას მსხვერპლისგან კრიტიკული დავალების შესასრულებლად. თავდამსხმელი ინფორმაციის მოპოვებას რამდენიმე საგულდაგულოდ შემუშავებული ტყუილის საშუალებით ცდილობს.  

დამნაშავე იწყებს მსხვერპლთან ნდობის დამყარებით. ეს შეიძლება განხორციელდეს მათი მეგობრების, კოლეგების, ბანკის ჩინოვნიკების, პოლიციის ან სხვა ავტორიტეტების განსახიერებით, რომლებმაც შეიძლება მოითხოვონ ასეთი მგრძნობიარე ინფორმაცია. თავდამსხმელი მათ უსვამს კითხვებს მათი ვინაობის დადასტურების საბაბით და ამ პროცესში აგროვებს პერსონალურ მონაცემებს.  

ეს მეთოდი გამოიყენება პიროვნებისგან ყველა სახის პირადი და ოფიციალური დეტალის ამოსაღებად. ასეთი ინფორმაცია შეიძლება შეიცავდეს პირად მისამართებს, სოციალური დაცვის ნომრებს, ტელეფონის ნომრებს, ტელეფონის ჩანაწერებს, ბანკის დეტალებს, პერსონალის შვებულების თარიღებს, უსაფრთხოების ინფორმაციას ბიზნესთან და ა.შ.

საბაბი სოციალური ინჟინერია

2. განრიდების ქურდობა

ეს არის თაღლითობის ტიპი, რომელიც ძირითადად მიმართულია კურიერის და სატრანსპორტო კომპანიების მიმართ. კრიმინალი ცდილობს მოატყუოს სამიზნე კომპანია, აიძულებს მათ მიაწოდოს მიწოდების პაკეტი სხვა ადგილზე, ვიდრე თავდაპირველად იყო დაგეგმილი. ეს ტექნიკა გამოიყენება ძვირფასი საქონლის მოსაპარად, რომელიც მიწოდებულია ფოსტით.  

ეს თაღლითობა შეიძლება განხორციელდეს როგორც ოფლაინ, ასევე ონლაინ. ამანათის მატარებელ პერსონალს შეიძლება მივუდგეთ და დარწმუნდნენ, რომ მიწოდება სხვა ადგილას გადააგზავნონ. თავდამსხმელებმა შესაძლოა ასევე მიიღონ წვდომა ონლაინ მიწოდების სისტემაზე. შემდეგ მათ შეუძლიათ მიწოდების განრიგის ჩაჭრა და მასში ცვლილებების შეტანა.

3. ფიშინგი

ფიშინგი სოციალური ინჟინერიის ერთ-ერთი ყველაზე პოპულარული ფორმაა. ფიშინგის თაღლითები მოიცავს ელ.წერილს და ტექსტურ შეტყობინებებს, რამაც შეიძლება გამოიწვიოს ცნობისმოყვარეობის, შიშის ან გადაუდებლობის გრძნობა მსხვერპლში. ტექსტი ან ელ.წერილი მათ უბიძგებს დააწკაპუნონ ბმულებზე, რომლებიც მიგვიყვანს მავნე ვებსაიტებზე ან დანართებზე, რომლებიც დააინსტალირებენ მავნე პროგრამას მათ მოწყობილობებზე.  

მაგალითად, ონლაინ სერვისის მომხმარებლებმა შეიძლება მიიღონ ელფოსტა, რომელშიც ნათქვამია, რომ მოხდა პოლიტიკის ცვლილება, რომელიც მოითხოვს მათ დაუყოვნებლივ შეცვალონ პაროლები. ფოსტა შეიცავს ბმულს არალეგალურ ვებსაიტზე, რომელიც ორიგინალური ვებსაიტის იდენტურია. ამის შემდეგ მომხმარებელი შეიყვანს თავისი ანგარიშის რწმუნებათა სიგელებს ამ ვებსაიტში, მიაჩნია, რომ ის ლეგიტიმურია. მათი დეტალების წარდგენის შემთხვევაში, ინფორმაცია კრიმინალისთვის იქნება ხელმისაწვდომი.

საკრედიტო ბარათის ფიშინგი

4. შუბის ფიშინგი

ეს არის ფიშინგის თაღლითობის ტიპი, რომელიც უფრო მეტად არის გამიზნული კონკრეტული ინდივიდის ან ორგანიზაციის მიმართ. თავდამსხმელი აფორმებს თავის შეტყობინებებს მსხვერპლთან დაკავშირებულ სამუშაო პოზიციებზე, მახასიათებლებზე და კონტრაქტებზე დაყრდნობით, რათა ისინი უფრო ჭეშმარიტად გამოიყურებოდეს. Spear ფიშინგს კრიმინალის მხრიდან მეტი ძალისხმევა სჭირდება და შეიძლება გაცილებით მეტი დრო დასჭირდეს, ვიდრე ჩვეულებრივ ფიშინგს. თუმცა, მათი იდენტიფიცირება უფრო რთულია და აქვთ უკეთესი წარმატების მაჩვენებელი.  

 

მაგალითად, თავდამსხმელი, რომელიც ცდილობს ორგანიზაციაზე ფიშინგს, ელფოსტას გაუგზავნის თანამშრომელს, რომელიც იმიტირებს ფირმის IT კონსულტანტს. ელ. ფოსტა იქნება ჩარჩოში ჩასმული ზუსტად ისე, როგორც ამას აკეთებს კონსულტანტი. ის საკმარისად ავთენტურად გამოიყურება, რომ მოატყუოს მიმღები. ელ.წერილი სთხოვს თანამშრომელს შეცვალოს პაროლი მავნე ვებგვერდის ბმულით, რომელიც ჩაწერს მათ ინფორმაციას და გაუგზავნის თავდამსხმელს.

5. წყლის ხვრელი

წყლის დაგროვების თაღლითობა სარგებლობს სანდო ვებსაიტებით, რომლებსაც რეგულარულად სტუმრობს უამრავი ადამიანი. დამნაშავე შეაგროვებს ინფორმაციას ადამიანთა მიზნობრივი ჯგუფის შესახებ, რათა დაადგინოს, რომელ ვებსაიტებს სტუმრობენ ისინი ხშირად. შემდეგ ეს ვებსაიტები შემოწმდება დაუცველობაზე. დროთა განმავლობაში, ამ ჯგუფის ერთი ან მეტი წევრი დაინფიცირდება. შემდეგ თავდამსხმელს შეეძლება ამ ინფიცირებული მომხმარებლების უსაფრთხო სისტემაზე წვდომა.  

სახელი მომდინარეობს იმ ანალოგიიდან, თუ როგორ სვამენ ცხოველები წყალს თავიანთ სანდო ადგილებში შეკრებით, როცა წყურვილია. ისინი ორჯერ არ ფიქრობენ სიფრთხილის ზომების მიღებაზე. მტაცებლებმა იცოდნენ ამის შესახებ, ამიტომ ისინი ახლოს ელოდებიან, მზად არიან შეუტიონ მათ, როდესაც მათი დაცვა არ იქნება. ციფრულ ლანდშაფტში წყლის ნახვრეტი შეიძლება გამოყენებულ იქნას ერთდროულად დაუცველ მომხმარებელთა ჯგუფზე ყველაზე დამანგრეველი თავდასხმების განსახორციელებლად.  

6. სატყუარა

როგორც სახელიდან ჩანს, სატყუარა გულისხმობს ცრუ დაპირების გამოყენებას მსხვერპლის ცნობისმოყვარეობის ან სიხარბის გასაღვივებლად. მსხვერპლი იტყუება ციფრულ ხაფანგში, რომელიც დაეხმარება კრიმინალს მოიპაროს მათი პირადი დეტალები ან დააინსტალიროს მავნე პროგრამა მათ სისტემებში.  

Baiting შეიძლება განხორციელდეს როგორც ონლაინ, ასევე ოფლაინ მედიის საშუალებით. როგორც ოფლაინ მაგალითი, კრიმინალმა შეიძლება დატოვოს სატყუარა ფლეშ დრაივის სახით, რომელიც დაინფიცირებულია მავნე პროგრამით თვალსაჩინო ადგილებში. ეს შეიძლება იყოს სამიზნე კომპანიის ლიფტი, აბაზანა, ავტოსადგომი და ა.შ. ფლეშ დრაივს ექნება ავთენტური სახე, რაც მსხვერპლს აიძულებს აიღოს და ჩადოს სამუშაო ან სახლის კომპიუტერში. ამის შემდეგ, ფლეშ დრაივი ავტომატურად ახდენს მავნე პროგრამის ექსპორტს სისტემაში. 

სატყუარას ონლაინ ფორმები შეიძლება იყოს მიმზიდველი და მიმზიდველი რეკლამის სახით, რომელიც წაახალისებს მსხვერპლს დააწკაპუნონ მასზე. ბმულმა შეიძლება ჩამოტვირთოს მავნე პროგრამები, რომლებიც შემდეგ აინფიცირებს მათ კომპიუტერს მავნე პროგრამით.  

სატყუარას

7. Quid Pro Quo

quid pro quo შეტევა ნიშნავს "რაღაც რაღაცისთვის" შეტევას. ეს არის სატყუარას ტექნიკის ვარიაცია. იმის ნაცვლად, რომ მსხვერპლს სარგებლის დაპირება მიაწოდოს, quid pro quo შეტევა გვპირდება მომსახურებას, თუ კონკრეტული მოქმედება განხორციელდება. თავდამსხმელი მსხვერპლს წვდომის ან ინფორმაციის სანაცვლოდ ყალბ სარგებელს სთავაზობს.  

ამ თავდასხმის ყველაზე გავრცელებული ფორმაა, როდესაც კრიმინალი ასახავს კომპანიის IT პერსონალს. შემდეგ დამნაშავე დაუკავშირდება კომპანიის თანამშრომლებს და სთავაზობს მათ ახალ პროგრამულ უზრუნველყოფას ან სისტემის განახლებას. შემდეგ თანამშრომელს მოეთხოვება გამორთოს ანტივირუსული პროგრამა ან დააინსტალიროს მავნე პროგრამა, თუ მათ სურთ განახლება. 

8. კუდიანი

კუდიანი თავდასხმა ასევე მოუწოდა piggybacking. ის გულისხმობს დამნაშავეს, რომელიც ეძებს შემოსვლას შეზღუდულ ადგილას, რომელსაც არ აქვს შესაბამისი ავთენტიფიკაციის ზომები. კრიმინალს შეუძლია მიიღოს წვდომა სხვა პირის უკან გასეირნებით, რომელიც უფლებამოსილია შევიდეს ტერიტორიაზე.  

მაგალითად, კრიმინალმა შეიძლება განასახიეროს მიმწოდებლის მძღოლი, რომელსაც ხელები ამანათი აქვს სავსე. ის ელოდება, როდის შეაღწევს ავტორიზებული თანამშრომელი. მატყუარა მიმწოდებელი შემდეგ სთხოვს თანამშრომელს კარი გაუკეთოს მისთვის, რითაც მას ყოველგვარი ავტორიზაციის გარეშე უშვებს.

9. თაფლის ხაფანგი

ეს ხრიკი მოიცავს კრიმინალს, რომელიც თავს მიმზიდველ ადამიანად აჩენს ინტერნეტში. ადამიანი მეგობრობს მათ მიზნებთან და აყალბებს მათთან ონლაინ ურთიერთობას. შემდეგ კრიმინალი სარგებლობს ამ ურთიერთობით, რათა ამოიღოს მათი მსხვერპლების პირადი მონაცემები, ისესხოს მათგან ფული, ან აიძულოს მათ დააინსტალირონ მავნე პროგრამები კომპიუტერებში.  

სახელწოდება "თაფლის ხაფანგი" მომდინარეობს ძველი ჯაშუშური ტაქტიკიდან, სადაც ქალებს იყენებდნენ მამაკაცებზე სამიზნე.

10. თაღლითი

Rogue პროგრამული უზრუნველყოფა შეიძლება გამოჩნდეს თაღლითური ანტი-მავნე პროგრამების, თაღლითური სკანერის, თაღლითური scareware-ის, ანტი-სპივერის და ა.შ. ამ ტიპის კომპიუტერული მავნე პროგრამა შეცდომაში შეჰყავს მომხმარებლებს, რომ გადაიხადონ იმიტირებული ან ყალბი პროგრამული უზრუნველყოფა, რომელიც დაპირდა მავნე პროგრამის წაშლას. Rogue უსაფრთხოების პროგრამული უზრუნველყოფა გახდა მზარდი შეშფოთება ბოლო წლებში. უეჭველი მომხმარებელი შეიძლება ადვილად გახდეს ასეთი პროგრამული უზრუნველყოფის მსხვერპლი, რომელიც უამრავი ხელმისაწვდომია.

11. malware

მავნე პროგრამის თავდასხმის მიზანია მსხვერპლს დაეყენებინა მავნე პროგრამა საკუთარ სისტემებში. თავდამსხმელი მანიპულირებს ადამიანის ემოციებით, რათა მსხვერპლმა დაუშვას მავნე პროგრამა კომპიუტერში. ეს ტექნიკა გულისხმობს მყისიერი შეტყობინებების, ტექსტური შეტყობინებების, სოციალური მედიის, ელექტრონული ფოსტის და ა.შ. გამოყენებას ფიშინგ შეტყობინებების გასაგზავნად. ეს შეტყობინებები ატყუებს მსხვერპლს, დააწკაპუნოს ბმულზე, რომელიც გახსნის ვებსაიტს, რომელიც შეიცავს მავნე პროგრამას.  

შეშინების ტაქტიკა ხშირად გამოიყენება შეტყობინებებისთვის. მათ შეიძლება თქვან, რომ რაღაც არასწორია თქვენს ანგარიშში და რომ თქვენ დაუყოვნებლივ უნდა დააჭიროთ მითითებულ ბმულს თქვენს ანგარიშში შესასვლელად. შემდეგ ბმული გაიძულებთ ჩამოტვირთოთ ფაილი, რომლის მეშვეობითაც მავნე პროგრამა დაინსტალირდება თქვენს კომპიუტერში.

malware

იყავით ინფორმირებული, იყავით უსაფრთხო

საკუთარი თავის ინფორმირება პირველი ნაბიჯია საკუთარი თავისგან თავის დასაცავად სოციალური ინჟინერიის შეტევები. ძირითადი რჩევაა უგულებელყოთ ნებისმიერი შეტყობინება, რომელიც ითხოვს თქვენს პაროლს ან ფინანსურ ინფორმაციას. თქვენ შეგიძლიათ გამოიყენოთ სპამის ფილტრები, რომლებიც მოჰყვება თქვენს ელ.ფოსტის სერვისებს ასეთი ელ.ფოსტის დროშის დასანიშნად. სანდო ანტივირუსული პროგრამის მიღება ასევე დაგეხმარებათ თქვენი სისტემის შემდგომ დაცვაში.