კომპიუტერის უსაფრთხოებაში ბევრი პრობლემა ჩნდება, მიუხედავად მომხმარებლის მცდელობისა. მაგალითად, თქვენ შეგიძლიათ ნებისმიერ დროს მოხვდეთ მავნე პროგრამებში მავნე რეკლამის გამო, ეს ნამდვილად ცუდი იღბლის შედეგია. არსებობს ნაბიჯები, რომელთა გადადგმაც შეგიძლიათ რისკის შესამცირებლად, როგორიცაა რეკლამის ბლოკერის გამოყენება. მაგრამ ასეთი დარტყმა მომხმარებლის ბრალი არ არის. თუმცა სხვა შეტევები ფოკუსირებულია მომხმარებლის მოტყუებაზე რაღაცის გასაკეთებლად. ამ ტიპის თავდასხმები სოციალური ინჟინერიის შეტევების ფართო დროშია.
სოციალური ინჟინერია მოიცავს ანალიზის გამოყენებას და იმის გაგებას, თუ როგორ უმკლავდებიან ადამიანები გარკვეულ სიტუაციებს შედეგის მანიპულირებისთვის. სოციალური ინჟინერია შეიძლება განხორციელდეს ადამიანთა დიდი ჯგუფების წინააღმდეგ. კომპიუტერული უსაფრთხოების თვალსაზრისით, ის ჩვეულებრივ გამოიყენება ინდივიდების წინააღმდეგ, თუმცა პოტენციურად დიდი კამპანიის ნაწილია.
სოციალური ინჟინერიის მაგალითი ადამიანთა ჯგუფის წინააღმდეგ შეიძლება იყოს პანიკის, როგორც ყურადღების გაფანტვის მცდელობები. მაგალითად, სამხედროები, რომლებიც ასრულებენ ცრუ დროშის ოპერაციას, ან ვინმე იყვირებს "ცეცხლს" დატვირთულ ადგილას და შემდეგ იპარავს ქაოსში. გარკვეულ დონეზე, მარტივი პროპაგანდა, აზარტული თამაშები და რეკლამა ასევე სოციალური ინჟინერიის ტექნიკაა.
თუმცა, კომპიუტერის უსაფრთხოებაში, მოქმედებები უფრო ინდივიდუალურია. ფიშინგი ცდილობს დაარწმუნოს მომხმარებლები დააწკაპუნონ და დააკავშირონ და შეიყვანონ დეტალები. ბევრი თაღლითი ცდილობს მანიპულირებას შიშის ან სიხარბის საფუძველზე. სოციალური ინჟინერიის თავდასხმები კომპიუტერულ უსაფრთხოებაში შეიძლება რეალურ სამყაროშიც კი მოხვდეს, როგორიცაა სერვერის ოთახში არაავტორიზებული წვდომის მცდელობა. საინტერესოა, რომ კიბერუსაფრთხოების სამყაროში, ეს უკანასკნელი სცენარი და მსგავსი სცენარი, როგორც წესი, იგულისხმება სოციალური ინჟინერიის შეტევებზე საუბრისას.
უფრო ფართო სოციალური ინჟინერია – ონლაინ
ფიშინგი არის თავდასხმის კლასი, რომელიც ცდილობს მსხვერპლს სოციალური ინჟინერიით მიაწოდოს თავდამსხმელისთვის დეტალები. ფიშინგის შეტევები, როგორც წესი, ხორციელდება გარე სისტემაში, როგორიცაა ელექტრონული ფოსტით და, შესაბამისად, აქვს ორი განსხვავებული სოციალური ინჟინერიის წერტილი. პირველ რიგში, მათ უნდა დაარწმუნონ მსხვერპლი, რომ შეტყობინება ლეგიტიმურია და აიძულონ დააჭირონ ბმულს. ამის შემდეგ იტვირთება ფიშინგის გვერდი, სადაც მომხმარებელს სთხოვენ დეტალების შეყვანას. ჩვეულებრივ, ეს იქნება მათი მომხმარებლის სახელი და პაროლი. ეს ეყრდნობა საწყის ელფოსტას და ფიშინგის გვერდს, ორივე საკმარისად დამაჯერებლად გამოიყურება, რომ სოციალური ინჟინერი გამოიჩინოს მომხმარებლის ნდობაზე.
ბევრი თაღლითები ცდილობენ თავიანთი მსხვერპლების სოციალურ ინჟინერს ფულის გადაცემაში. კლასიკური „ნიგერიელი პრინცის“ თაღლითობა დიდ ანაზღაურებას გვპირდება, თუ მსხვერპლს შეუძლია მცირე წინასწარი საფასურის გადახდა. რა თქმა უნდა, მას შემდეგ, რაც მსხვერპლი გადაიხდის "საფასურს", ანაზღაურება არასოდეს მიიღება. სხვა სახის თაღლითური შეტევები მუშაობს მსგავს პრინციპებზე. დაარწმუნეთ მსხვერპლი რაღაცის გაკეთებაში, როგორც წესი, გადასცეს ფული ან დააინსტალირეთ მავნე პროგრამა. Ransomware კი ამის მაგალითია. მსხვერპლს სჭირდება ფულის გადაცემა, წინააღმდეგ შემთხვევაში რისკავს დაკარგოს წვდომა ნებისმიერ მონაცემზე, რომელიც დაშიფრულია.
სოციალური ინჟინერია პირადად
როდესაც სოციალურ ინჟინერიას მოიხსენიებენ კიბერუსაფრთხოების სამყაროში, ის ჩვეულებრივ ეხება რეალურ სამყაროში არსებულ მოქმედებებს. არსებობს უამრავი მაგალითის სცენარი. ერთ-ერთ ყველაზე ძირითადს კუდის კარიბჭე ჰქვია. ეს საკმარისად ახლოს დგას ვიღაცის უკან, რომ მათ ღია აქვთ წვდომით კონტროლირებადი კარი, რომ შეგეშვათ. კუდის კარიბჭე შეიძლება გაუმჯობესდეს სცენარის შექმნით, რომელშიც მსხვერპლი შეიძლება დაგეხმაროთ. ერთ-ერთი მეთოდია გარეთ მწეველებთან ერთად კვამლის შესვენებაზე და შემდეგ ჯგუფთან ერთად შიგნით დაბრუნება. კიდევ ერთი მეთოდი არის იმის დანახვა, რომ რაღაც უხერხული ატარებს. ეს ტექნიკა კიდევ უფრო წარმატებული იქნება, თუ ის, რაც თქვენ ატარებთ, შეიძლება იყოს სხვებისთვის. მაგალითად, თუ თქვენ გაქვთ ყავის ფინჯანი „თქვენი გუნდისთვის“, არსებობს სოციალური ზეწოლა, რომ ვიღაცამ კარი გააღოს თქვენთვის.
პერსონალური სოციალური ინჟინერიის დიდი ნაწილი ეყრდნობა სცენარის შექმნას და შემდეგ მასში თავდაჯერებულობას. მაგალითად, სოციალური ინჟინერი შეიძლება წარმოადგენდეს როგორც სამშენებლო მუშაკი ან დამლაგებელი, რომელიც შეიძლება ზოგადად შეუმჩნეველი იყოს. კარგ სამარიელად წარმოჩენამ, „დაკარგული“ USB თითის დისკის ჩაბარებამ შეიძლება გამოიწვიოს თანამშრომელმა მის მიერთება. მიზანი იქნება იმის დანახვა, თუ ვის ეკუთვნის, მაგრამ შემდეგ მას შეუძლია დაინფიციროს სისტემა მავნე პროგრამით.
სოციალური ინჟინერიის ამ ტიპის თავდასხმები შეიძლება იყოს ძალიან წარმატებული, რადგან არავინ მოელის, რომ ასე მოტყუვდებიან. თუმცა, ისინი დიდ რისკს ატარებენ თავდამსხმელისთვის, რომელსაც აქვს ძალიან რეალური შანსი, დაიჭიროს ხელიდან.
დასკვნა
სოციალური ინჟინერია არის ადამიანების მანიპულირების კონცეფცია მიზნის მისაღწევად. ერთი გზა გულისხმობს რეალური სიტუაციის შექმნას, რათა მსხვერპლმა დაიჯეროს. თქვენ ასევე შეგიძლიათ შექმნათ სცენარი, რომელშიც არის სოციალური ზეწოლა ან მოლოდინი, რომ მსხვერპლი იმოქმედოს უსაფრთხოების სტანდარტული რჩევების საწინააღმდეგოდ. თუმცა, სოციალური ინჟინერიის ყველა შეტევა ეყრდნობა ერთი ან მეტი მსხვერპლის მოტყუებას იმ მოქმედების შესასრულებლად, რომელიც თავდამსხმელს სურს.