Социално инженерно поведение
Хакерите определят това (социално инженерство) като не-компютърно (общо отнасящо се до машини) и не-BUG, и вместо това използват други (като междуличностни отношения) и дори (измама, измама), заплахи, сплашване и дори физическа кражба) средства за получаване на информация.
Това може да е социологически термин. Но този термин е често използван и широко дефиниран при компютърно проникване.
------------------------------------------ ---- ---------------------------------------------- ---- ----------------------
Като цяло социалното инженерство е да накараш хората да се подчиняват на желанията ти и да те задоволят. Изкуство и изучаване на желанието. Това не е просто начин за контролиране на волята, но не може да ви помогне да овладеете поведението на хората извън нормалното съзнание, а научаването и прилагането на тези знания не е никак лесно.
Как хакерите го използват
Той също така съдържа разнообразие от гъвкави идеи и променящи се фактори. Във всеки един момент, преди необходимата информация да е необходима, прилагащият социално инженерство трябва да овладее голямо количество релевантна база от знания, да отдели време, за да се включи в събирането на данни и да проведе необходимото комуникационно поведение, като например разговор. Подобно на предишните прониквания, социалното инженерство трябва да завърши много свързани подготовки, преди да бъде приложено, и тези задачи са още по-трудни от себе си.
Социалното инженерство е разположено на едно от най-уязвимите звена на работната верига за компютърна информационна сигурност.
Често казваме: Най-безопасният компютър е този, който е бил изключен (мрежов интерфейс) („физическа изолация“).
В действителност можете да убедите някого (потребител) да свърже тази уязвима машина в необичайно работно състояние към мрежата и да започне да предоставя ежедневни услуги.
Също така може да се види, че връзката „хора“ е много важна в цялата система за сигурност.
Това не е като компютърна система на земята, която не разчита на ръчна намеса от други хора и хората имат собствено субективно мислене.
Това означава, че тази уязвимост на информационната сигурност е универсална и няма да се различава поради фактори като системна платформа, софтуер, мрежа или възраст на оборудването.
Независимо дали във физическа или виртуална електронна информация, всеки, който има достъп до определена част от системата (определена услуга), може да представлява потенциални рискове и заплахи за сигурността.
Всяка фина информация може да бъде използвана от социалните инженери с „доставъчни материали“, за да получат друга информация.
Това означава, че ако факторът „хора“ (отнасяйки се до потребители/мениджъри и т.н.) не е включен в корпоративната стратегия за управление на сигурността, това ще представлява голяма сигурност „Крак“.
Голям проблем?
Експертите по сигурността често по невнимание формулират концепцията за сигурност много неясно, което ще доведе до несигурност в информационната сигурност.
В такава ситуация социалното инженерство е една от основните причини за несигурността.
Не трябва да прикриваме факта, че хората използват компютри или влияят на работата на компютърните системи, поради причините, които посочих преди.
Компютърната система на земята не може да бъде без фактора „човек“.
Почти всеки има начин да изпробва „атаки“ със социално инженерство, единствената разлика е нивото на умение при използването на тези методи.
Методи
Има много начини да се опитате да накарате някого да следва вашите желания, за да изпълни задачата, която искате да изпълните.
Първият метод е най-простият и най-ясен метод, който е да дадете на целевия индивид директно „ръководство“, когато бъде помолен да постигне целта ви.
Няма съмнение, че това е най-лесният начин да успеете и също така е най-лесният и интуитивен метод.
Разбира се, насочваните лица също ще знаят точно какво искате да направят.
Вторият вид е да се приспособи конкретна ситуация и среда, създадени от човека (чрез измислени средства) за индивид.
Този метод има повече фактори, отколкото просто трябва да вземете предвид съответния информационен статус на дадено лице.
Например, как да убедите целта си, можете да зададете (съзнателно организирате) някаква причина и мотивация, за да я принудите да завърши определено поведение за вас, което не е по ваша воля.
Това включва работа, която стига до създаване на убедителен опит за конкретен индивид и много знания за „целите“, които искате.
Това означава, че тези конкретни ситуации/среда трябва да се основават на обективни факти. Няколко лъжи ще направят ефекта по-добър.
Един от най-прецизните методи в социалното инженерство е способността да се запомнят реални неща.
Хакерите и системните администратори ще обърнат повече внимание на този проблем, особено когато нещо е свързано с техния домейн.
За да илюстрирам горния метод, ще изброя малък пример.
Примерът е следният. Когато „поставите“ индивид в ситуация/ситуация под групов и социален натиск (видове като натиск на общественото мнение и т.н.)
Индивидът е вероятно да има поведение, което съответства на решението на групата, въпреки че решението е очевидно грешно.
Постоянство
Ако в някои случаи някой вярва, че решението на неговата група е правилно, това може да го накара да направи различни преценки и поведение.
Например, ако съм публикувал определено заключение, причината за аргумента е много силна (това се отнася до волята на мнозинството в групата)
Тогава без значение колко ще похарча в бъдеще, вече е невъзможно да променят решението си с енергията да се опитам да ги убедя.
В допълнение, групата се състои от членове на различни позиции/нива.
Този проблем с позицията/нивото се нарича "demandcharacteristics" от психолозите.
Този проблем с позиция/ниво е в поведението на участниците, засегнати от силните социални ограничения.
Тези, които не искат да обидят други членове, не искат да бъдат видени от другите, че искат да спят на среща, не искат да подкопават възгледите на партньори, които имат добри отношения с тях, и т.н. в крайна сметка ще се превърне във феномен "следване на тенденцията". Фактори на формиране.
Този подход към характеристиките е ефективен начин за насочване на поведението на хората.
Ситуации
Във всеки случай повечето поведения на социалното инженерство се използват от отделни индивиди.
Следователно социалният натиск и други влияещи фактори трябва да бъдат установени в определена надеждна връзка с целта.
В такава ситуация, когато има присъщи характеристики на реалност или измислица, целевият индивид вероятно ще следва вашите желания и ще работи.
Присъщи характеристики
Включват:
· Проблеми със стреса, различни от целевия индивид. Например, нека индивидът вярва, че последствията от определено поведение не са негова собствена отговорност.
·Възползвайте се от възможностите да се погрижите за някого. Тези поведения зависят повече от това дали индивидът вярва, че определено решение може да донесе „ползи“ на някого. Подобно поведение може да направи отношенията ви с шефа ви по-хармонични.
·Етична отговорност. Индивидите ще ви се подчиняват, защото смятат, че (морално) имат задължение да го направят.
Това е използването на вина. Хората са по-склонни да избягват вината, така че ако има „възможност“, която ги кара да се чувстват виновни, те ще се опитат да избегнат тази „възможност“ колкото е възможно повече.
Лична убеждаваща сила
Личната репутация и убеждаващата сила са вид изгодно средство, което често се използва, за да мотивирате някого да ви сътрудничи/подчини.
Целта на използването на лично убеждаване не е да принудите другите да приемат „задачата“, която възлагате, а да повишите тяхната осведоменост за активно изпълнение на възложената от вас задача.
Всъщност това е донякъде противоречиво. По принцип целта просто се насочва от нас към конкретен (съзнателно подреден) модел на мислене, който е зададен.
Мишената смята, че може да контролира ситуацията и в същото време ви помага чрез силата си.
Всъщност няма конфликт между ползите, които целта получава, и ползите, които той индиректно ви помага да получите.
Целта на социалния инженер е да убеди целта да има основателна причина да вярва, че отнема само малко време и енергия за „в замяна“ на ползи.
Сътрудничество
Има множество фактори, които могат да подтикнат социалния инженер да увеличи шанса за „сътрудничество“ с целта.
Опитайте се да сведете до минимум конфликтите с целите. Използването на миролюбиво отношение един срещу друг може да увеличи шанса за успех в постигането на целта.
Спечелването на връзки или развиването на нови взаимоотношения, общите грижи или някои специални задачи могат ефективно да принудят целта да ви сътрудничи.
Факторите за „успех“ тук обикновено се фокусират върху това дали имате способността да овладеете и да се справите с убеждаващата си сила.
Това е много важно. Това често се смята от "лъжците" (хора, които често използват измама) като панацея.
Психологически изследвания показват, че ако човек преди това е работил (и успял), следвайки много малка насока, е по-вероятно той/тя да следва по-голяма (насока).
Тук, ако е имало история на сътрудничество, тогава има голям шанс за сътрудничество този път.
По-добър начин е учените по социално инженерство да предоставят по-чувствителна информация на партньорите.
Особено някои много реалистични аудиовизуални възприятия, целта може да види или чуе информацията, която им давате на място, е по-убедителна за тях, отколкото могат да чуят само гласа ви по телефона.
Този изглед изобщо не е необичаен. Трудно е да убедиш хората да предават информация в писмена или електронна форма.
Това е като да откажете на някого определен IRC стил на комуникация.
Уместност
Във всеки случай успехът на прилагането на социалното инженерство също зависи от това доколко целевият индивид е свързан с вашата цел.
Можем да кажем, че системните администратори, ръководителите на компютърната сигурност, техническите изследователи, тези, които разчитат на компютри и мрежи, за да работят или комуникират чрез тях, и повечето хакери използват социално инженерство, за да атакуват целта. Всички те са свързани.
Индивидите с висока степен на уместност се убеждават предимно със силни и благоприятни аргументи.
Всъщност можете да им дадете по-силни и благоприятни аргументи в подкрепа на вашата гледна точка.
Разбира се, тези възгледи имат и слаба страна. Независимо дали покажете слабата страна на аргумента на силно свързан човек, това най-вероятно ще определи дали можете да убедите този човек.
Когато има вероятност някой да бъде пряко засегнат от атака чрез социално инженерство, слабите аргументи в този момент могат да доведат до „противоположно“ съзнание в ума му.
Така че трябва да давате силни аргументи, когато се изправяте срещу хора, свързани с вашата цел, и избягвайте слаби аргументи.
В сравнение с хората, които не се интересуват от вашите насоки или резултатите, които искате, можете да ги поставите в категорията на „хора с ниско значение“.
Свързани примери са: охранители, чистачи или рецепционисти в организация на мрежова система.
Тъй като лицата с ниска релевантност не засягат пряко вашите цели/резултати и често не анализират двустранността на аргументите, които използвате, за да ги убедите.
Техните решения често следват вашите желания или са напълно незасегнати от друго „съзнание“.
Тези „съзнание“ като: причините, предоставени от социалното инженерство, неотложността на повърхността или силното убеждаване на някого.
Въз основа на опита можем да дадем възможно най-много аргументи и причини при такива обстоятелства. Смята се, че този ефект ще бъде по-добър.
По принцип, за тези, които не са в съответствие с вашето съзнание, опитайте се да използвате много аргументи и насоки, за да ги убедите, че те са по-подходящи за вашата цел.
Има едно нещо, което трябва да се отбележи: когато изпълняват определени задачи, хората с ниски способности по-често ще имитират моделите на поведение на хора с високи способности.
По отношение на управлението на компютърната система, „индивиди с ниски способности“ се отнасят най-вече до „хора с ниска релевантност“, споменати по-горе.
Като се има предвид от горната гледна точка, не се опитвайте да провеждате атаки със социално инженерство срещу лица от категорията системен администратор, освен ако техните способности не са толкова добри, колкото вашите, но вероятността за това е много малка.
Отбрана от чужди атаки
Комбинацията от горната информация позволява ли на читателите да защитят по-добре сигурността на цялата си компютърна система?
Всъщност първата стъпка към предприемането на „доброто“ зависи от това дали служителите могат да гарантират информационната сигурност на своите компютърни системи на работното си място.
Това изисква не само безусловно да повишите тяхната осведоменост за сигурността, но също така трябва да имате по-високо ниво на бдителност.
Например, ако поставите някого да отговаря за защитата на сигурността на вашата компютърна система, тогава е възможно този човек да получи достъп до вашата система без нормално разрешение.
Във всеки случай, най-ефективното средство за справяне и защита от този тип атаки и като най-често срещаното средство е „образование/обучение“.
Първата стъпка е да образовате служителите си и тези, които могат да бъдат използвани като цели на социалното инженерство, относно важността на компютърната/информационната сигурност.
Даването на предварителни предупреждения директно на уязвимите хора е достатъчно, за да им позволи да идентифицират атаки чрез социално инженерство.
Но не забравяйте, че можете да използвате някои истории и тяхната „двустранност“ като примери, когато ги обучавате относно сигурността на компютърната информация.
Това не е мое лично предпочитание. Когато хората разберат "двустранността" на този фокус, те по същество няма да разклатят позицията си.
И ако са фокусирани върху технологията за компютърна сигурност, тогава е по-вероятно да застанат в позицията да поддържат сигурността на вашите данни.
Има и фактори на мислене, които не действат според склонностите на хората да убеждават.
Тук трябва да имате ясно мислене, висока степен на креативност, способност да се справяте и справяте със стреса и подходящо самочувствие.
Способността за справяне със стреса и самоувереността могат да бъдат култивирани чрез придобити.
Що се отнася до собствените предложения и прозрения, които често се използват при управлението на служителите, обучението им може да намали шанса определени хора да бъдат атакувани от социално инженерство и също така да помогне на други аспекти на работата.
Разберете различни фактори, които намаляват осведомеността на хората относно информационната сигурност и застрашават вашата стратегия за сигурност.
Всъщност са необходими само малко усилия в това отношение, за да се постигнат страхотни резултати при намаляване на рисковете за сигурността.
Заключение
Противно на популярните идеи, използването на техники за социално инженерство за улавяне на психичните състояния на хората е много по-лесно от хакването на пощенски сървър.
Но ако искате вашите служители да предотвратяват и откриват атаки чрез социално инженерство, ефектът никога няма да бъде по-очевиден, отколкото ако им позволите да поддържат сигурността на UNIX системата.
От гледна точка на системния администратор, не позволявайте въпросът за „личните отношения“ да се намеси във вашата връзка за информационна сигурност, така че усилията ви да бъдат заличени.
От гледна точка на хакер, когато „работната верига“ на системния администратор съхранява данните, от които се нуждаете, не му позволявайте да се „отърве“ от собствените си уязвими връзки.
Социално инженерство
Метод за измама, нараняване и т.н. чрез психологически капани като психологическа слабост, инстинктивна реакция, любопитство, доверие, алчност и т.н.
Методът за получаване на личен интерес се превърна в тенденция на бързо нарастване и дори злоупотреба през последните години. И така, какво е социално инженерство?
Не може да се приравни с обичайните методи за измама. Социалното инженерство е особено сложно. Дори най-бдителните и най-малко мислещите хора ще бъдат наранени от интелигентни методи на социално инженерство.
Капанът на социалното инженерство е да извлече тайните на потребителската система от легитимни потребители чрез разговор, измама, представяне или говорим език.
Социалното инженерство е техника на различно ниво от обикновената измама и измама.
Тъй като социалното инженерство трябва да събере голямо количество информация, то е метод на психологическа тактика, базиран на действителната ситуация на противника.
Сигурността, предоставена от системите и програмите, често може да бъде избегната. По отношение на човешката природа и психология.
Социалното инженерство често е атака, която използва психологическите прояви на човешка уязвимост, алчност и т.н., които е невъзможно да бъдат предотвратени.
По този начин анализираме съществуващите методи за атаки чрез социално инженерство и използваме анализ, за да подобрим някои от нашите методи за превенция на социалното инженерство.
Квалифицираните социални инженери са практици, които са добри в събирането на информация.
Много информация, която изглежда безполезна на повърхността, ще бъде използвана от тези хора за проникване.
Например телефонен номер, име на човек. Работният идентификационен номер на последния може да се използва от социални инженери.
Намерих дума, която циркулира в Maopu.com, това е, което наричаме→експерт по търсене на човешка плът, практикуващ социално инженерство.
_________________________________________________________________
„Атаки на хакерско социално инженерство“ е първата хакерска книга по сигурността за социалното инженерство в поредица от книги за сигурност, стартирана от „The Hacker Handbook. Non-An“. Това е отлична книга за местната социална работа в китайски стил.
„Хакерска социална инженерна атака“ е първата книга в Китай по нетрадиционни теми за информационна сигурност. Нетрадиционната информационна сигурност също се отнася до заплахи за сигурността, причинени от тероризъм, енергия, икономика, култура и информация. проблем. Тази книга ще извърши пълен анализ на информационните заплахи за лица и компании, включително проследяване на информация, копаене на неприкосновеността на личния живот, търговски кражби, фишинг атаки, психологически атаки, анти-разузнаване и друга авангардна информационна сигурност. Тази книга има за цел да помогне на отделни лица и правителства, търговски организации да разпознаят заплахата, произтичаща от атаките на социалното инженерство, така че да предпази лицата и организациите от риска от кражба или проникване на важни тайни.
Провеждането на Олимпийските игри през 2008 г., национално събитие, показва, че Китай е навлязъл в ерата на цифровата информация и новото предизвикателство идва от заплахите за информационната сигурност, а развитието на заплахите за информационната сигурност несъмнено ще става все по-сериозно . Традиционните компютърни атакуващи имат много ограничения в средата на проникване в системата, докато новите атаки чрез социално инженерство ще разгърнат напълно предимствата си и ще получат контрол върху системата чрез измамване на създадени от човека вратички. Този вид повърхност за атака е трудна за откриване, не изисква комуникация лице в лице с целта на жертвата, не оставя никакви проследими регистрационни записи в системата и принуждава вътрешния персонал да прехвърля информационни активи на социалните инженери. Трудно е да се проследи нападателят.
В същото време всеки от нас не трябва да пренебрегва вредата от атаките чрез социално инженерство. Инженерите по социално инженерство се държат изключително любезно, а банковите институции няма да се усъмнят в използването на професионални термини и ще признаят, че са легитимен вътрешен персонал; социалният инженер също е като магьосник, когато лявата ръка привлече вниманието ви, дясната тихо е отнела важните ви документи; социалният инженер е много приказлив, знае как да работи с непознато професионално оборудване и има зададен метод за проследяване на информацията. Когато му се обадите, той на шега ще съобщи вашето име, възраст, адрес, номер на кредитна карта...
И авторът на тази книга ще покаже на читателите, че те не. Добре известната вътрешна история за атаките със социално инженерство, от по-плитките към по-дълбоките, започва от опита на хакер номер едно в света Кевин Митник, който нахлува в Пентагона и изчерпателно обяснява конкретното изпълнение и подробности за атаките чрез социално инженерство, така че читателите да могат ясно да разберат техните тактики за атака. Предоставените случаи могат визуално да разпознаят заплахите и за да се избегнат многобройните опасения за сигурността на читателите, в Глава 8 е предоставено цялостно решение, което може да ви предпази от нараняване от информация. Компанията ще знае как да премине обучението. И свързана защита за възпрепятстване на атаки чрез социално инженерство.
Две. Характеристики на книгата
Важната характеристика на „Атаки на хакерско социално инженерство“ се основава на голям брой класически и практически и редки примери за социално инженерство на хакерската сигурност като основна линия, допълнена от лесен за разбиране Психологическият анализ интегрира редките примери и ключовите точки на знание са тясно свързани, така че съдържанието на цялата книга е достигнало най-доброто състояние на единство на знание и действие.
Книгата има общо 224 страници, отпечатани на лека хартия, най-подходяща за четене, и се доставя с DVD инструмент CD с капацитет 4,5G. DVD-то е усъвършенствано от автора, който е потопен в хакерските среди по сигурността у дома и в чужбина от много години. Прекрасните хакерски инструменти за сигурност, които се появиха, са подразделени на 11 категории, включващи най-новите, най-изчерпателните и редки.
Индекс на препоръките на редактора: ★★★★★
3. След четене
След прочитане: Два идиома могат да обобщят следпрочитането на книгата - Масай внезапно и ужасен, онези психологически кодове, които са ви безпокоили дълго време, ще бъдат дешифрирани; тези улики ще ви накарат да се страхувате...
Побързайте да прочетете тази книга, за да избегнете заплахите за информационната сигурност и личната небрежност. Загубата, която идва, е и за цялостното подобряване на вашия черен бизнес и смислени умения за социално взаимодействие.