Sociálně inženýrské chování
Hackeři toto (sociální inženýrství) definují jako nepočítačové (obecně odkazující na stroje) a non-BUG, a místo toho používají jiné (jako jsou mezilidské vztahy) a dokonce (klam, podvod) , Vyhrožování, zastrašování a dokonce i fyzická krádež) znamená získat informace.
Může to být sociologický termín. Ale tento termín je často používán a široce definován v počítačovém narušení.
------------------------------------------ ---- --------------------------------------------- ---- -----------------------
Sociální inženýrství má obecně přimět lidi, aby poslechli vaše přání a uspokojili vás. Umění a učení touhy. Není to jen způsob, jak ovládat vůli, ale nemůže vám pomoci zvládnout chování lidí mimo normální vědomí a naučit se a aplikovat tyto znalosti není vůbec snadné.
Jak to hackeři používají
Obsahuje také řadu flexibilních nápadů a měnících se faktorů. Kdykoli, než jsou potřebné informace potřebné, musí implementátor sociálního inženýrství ovládat velké množství relevantní znalostní báze, věnovat čas tomu, aby se zapojil do sběru dat a provedl nezbytné komunikační chování, jako je konverzace. Podobně jako u předchozích průniků musí sociální inženýrství před implementací dokončit mnoho souvisejících příprav a tyto úkoly jsou ještě náročnější než samo.
Sociální inženýrství je umístěno na jednom z nejzranitelnějších článků pracovního řetězce zabezpečení počítačových informací.
Často říkáme: Nejbezpečnější počítač je ten, který byl odpojen (síťové rozhraní) („fyzická izolace“).
Ve skutečnosti můžete někoho (uživatele) přesvědčit, aby připojil tento zranitelný stroj v abnormálním pracovním stavu k síti a začal poskytovat každodenní služby.
Je také vidět, že odkaz "lidé" je velmi důležitý v celém bezpečnostním systému.
To není jako počítačový systém na Zemi, který se nespoléhá na manuální zásahy ostatních a lidé mají své vlastní subjektivní myšlení.
To znamená, že tato zranitelnost zabezpečení informací je univerzální a nebude se lišit v důsledku faktorů, jako je systémová platforma, software, síť nebo stáří zařízení.
Ať už jde o fyzické nebo virtuální elektronické informace, každý, kdo má přístup k určité části systému (určité službě), může představovat potenciální bezpečnostní rizika a hrozby.
Jakékoli jemné informace mohou sociální inženýři použít s „dodávkami“ k získání dalších informací.
To znamená, že pokud faktor „lidé“ (odkazující na uživatele/manažery atd.) není zahrnut do podnikové strategie řízení bezpečnosti, bude to představovat skvělé zabezpečení.“ Crack“.
Velký problém?
Bezpečnostní experti často neúmyslně vyjadřují pojem bezpečnost velmi vágně, což povede k nejistotě v informační bezpečnosti.
V takové situaci je sociální inženýrství jednou z hlavních příčin nejistoty.
Neměli bychom zastírat skutečnost, že lidé používají počítače nebo ovlivňují provoz počítačových systémů, z důvodů, které jsem uvedl dříve.
Počítačový systém na Zemi nemůže být bez faktoru „člověka“.
Téměř každý má způsob, jak si „útoky sociálního inženýrství“ vyzkoušet, jediným rozdílem je úroveň dovednosti v používání těchto metod.
Metody
Existuje mnoho způsobů, jak někoho přimět, aby následoval vaše přání a splnil úkol, který chcete splnit.
První metoda je nejjednodušší a nejjasnější metodou, která spočívá v poskytnutí přímého „průvodce“ cílové osobě, když je požádána, aby dosáhl vašeho cíle.
Není pochyb o tom, že je to nejjednodušší způsob, jak uspět, a je to také nejjednodušší a nejintuitivnější metoda.
Samozřejmě, že jednotlivci, kterým je směrováno, budou také přesně vědět, co po nich chcete.
Druhým druhem je přizpůsobit konkrétní situaci a prostředí vytvořené člověkem (vymyšlenými prostředky) pro jednotlivce.
Tato metoda má více faktorů, než stačí vzít v úvahu stav relevantních informací jednotlivce.
Například, jak přesvědčit svůj cíl, můžete si nastavit (záměrně zařídit) nějaký důvod a motivaci, abyste jej donutili dokončit za vás určitý výsledek chování, který není vaší vlastní vůlí.
To zahrnuje práci, která jde tak daleko, že vytváří přesvědčovací pokus pro konkrétního jednotlivce, a mnoho znalostí o „cílech“, které chcete.
To znamená, že tyto konkrétní situace/prostředí musí být založeny na objektivních faktech. Pár lží zlepší efekt.
Jednou z nejpropracovanějších metod sociálního inženýrství je schopnost zapamatovat si skutečné věci.
Hackeři a správci systému budou tomuto problému věnovat větší pozornost, zvláště když něco souvisí s jejich doménou.
Pro ilustraci výše uvedené metody uvedu malý příklad.
Příklad je následující. Když „umístíte“ jednotlivce do situace/situace pod skupinový a společenský tlak (typy jako tlak veřejného mínění atd.)
Je pravděpodobné, že jednotlivec bude činit chování, které odpovídá rozhodnutí skupiny, i když je toto rozhodnutí zjevně špatné.
Konzistence
Pokud se v některých případech někdo domnívá, že rozhodnutí jeho skupiny je správné, může to způsobit, že bude činit odlišné úsudky a chování.
Pokud jsem například zveřejnil určitý závěr, důvod argumentu je velmi silný (to se týká vůle většiny ve skupině)
Pak bez ohledu na to, kolik v budoucnu utratím, je nemožné, aby už změnili své rozhodnutí, když mají energii snažit se je přesvědčit.
Kromě toho se skupina skládá z členů na různých pozicích/úrovních.
Tento problém pozice/úrovně je psychology nazýván „charakteristika poptávky“.
Tento problém pozice/úrovně je v chování účastníků ovlivněných silnými sociálními omezeními.
Ti, kteří nechtějí urážet ostatní členy, nechtějí, aby je ostatní viděli, že chtějí spát na schůzce, nechtějí podkopávat názory partnerů, kteří s nimi mají dobrý vztah, atd. se nakonec stane fenoménem „následovat trend“. Formační faktory.
Tento přístup k charakteristikám je účinný způsob, jak usměrňovat chování lidí.
Situace
Většinu chování sociálního inženýrství v každém případě používají jednotlivci.
Sociální tlak a další ovlivňující faktory proto musí být ustaveny v určitém důvěryhodném vztahu k cíli.
V takové situaci, kdy existují inherentní charakteristiky skutečnosti nebo fikce, bude cílový jedinec pravděpodobně následovat vaše přání a pracovat.
Základní vlastnosti
Zahrnuje:
·Problémy se stresem jiné než cílový jedinec. Například ať jednotlivec věří, že důsledky určitého chování nejsou jeho vlastní odpovědností.
·Využijte příležitostí k tomu, abyste někomu vyšli vstříc. Toto chování závisí spíše na tom, zda jedinec věří, že určité rozhodnutí může někomu přinést „výhody“. Takové chování může učinit váš vztah s vaším šéfem harmoničtějším.
·Etická odpovědnost. Jednotlivci vás budou poslouchat, protože cítí (morálně) povinnost tak učinit.
Toto je použití viny. Lidé jsou ochotnější vyhýbat se vině, takže pokud existuje „možnost“, která v nich vyvolává pocit viny, budou se snažit této „možnosti“ co nejvíce vyhýbat.
Osobní přesvědčovací síla
Osobní pověst a přesvědčovací síla jsou druhem výhodných prostředků, které se často používají k motivaci někoho ke spolupráci/poslechnutí.
Účelem osobního přesvědčování není donutit ostatní, aby přijali „úkol“, který zadáte, ale zvýšit jejich povědomí o aktivním dodržování vámi zadaného úkolu.
Ve skutečnosti je to poněkud protichůdné. Cíl je v podstatě jednoduše veden námi ke konkrétnímu (záměrně uspořádanému) modelu myšlení, který byl nastaven.
Cíl si myslí, že může ovládat situaci, a zároveň vám také pomáhá svou silou.
Ve skutečnosti neexistuje žádný konflikt mezi výhodami, které cíl získá, a výhodami, které vám nepřímo pomáhá získat.
Účelem sociálního inženýra je přesvědčit cíl, aby měl dobrý důvod se domnívat, že „výměnou“ za výhody zabere jen malé množství času a energie.
Spolupráce
Existuje několik faktorů, které mohou přimět sociálního inženýra ke zvýšení šance na „spolupráci“ s cílem.
Snažte se minimalizovat konflikty s cíli. Použití mírumilovného postoje k sobě navzájem může zvýšit šanci na úspěch při dosažení cíle.
Vyhrávání vztahů nebo rozvíjení nových vztahů, běžné starosti nebo některé speciální úkoly mohou účinně přimět cíl, aby s vámi spolupracoval.
Faktory „úspěchu“ se zde obvykle zaměřují na to, zda jste schopni zvládnout svou přesvědčovací sílu a vypořádat se s ní.
To je velmi důležité. To je často považováno "lháři" (lidmi, kteří často používají podvod) za všelék.
Psychologický výzkum ukazuje, že pokud osoba dříve pracovala (a uspěla) podle velmi malých pokynů, je pravděpodobnější, že se bude řídit většími pokyny.
Tady, pokud existovala historie spolupráce, pak je tentokrát velká šance na spolupráci.
Lepší způsob je, aby odborníci na sociální inženýrství poskytli partnerům citlivější informace.
Zejména některé velmi realistické audiovizuální vjemy, cíl, který může vidět nebo slyšet informace, které mu na místě poskytnete, je pro něj přesvědčivější, než když může slyšet váš hlas pouze po telefonu.
Tento pohled není vůbec neobvyklý. Je těžké přesvědčit lidi, aby sdělovali informace písemnou nebo elektronickou formou.
Je to jako odepřít někomu určitý IRC styl komunikace.
Relevance
V každém případě úspěch aplikace sociálního inženýrství závisí také na tom, jak moc je cílový jedinec příbuzný vašemu účelu.
Můžeme říci, že systémoví administrátoři, vedoucí pracovníci v oblasti počítačové bezpečnosti, techničtí výzkumníci, ti, kteří se spoléhají na to, že počítače a sítě prostřednictvím nich pracují nebo komunikují, a většina hackerů používá sociální inženýrství k útoku na cíl Všichni jsou příbuzní.
Jednotlivci s vysokou mírou relevance jsou většinou přesvědčováni silnými a příznivými argumenty.
Ve skutečnosti jim můžete poskytnout pádnější a příznivější argumenty na podporu vašeho názoru.
Tyto názory mají samozřejmě i slabou stránku. Ať už ukážete slabou stránku argumentu vysoce propojené osobě, ví, že to s největší pravděpodobností určí, zda dokážete tuto osobu přesvědčit.
Když je pravděpodobné, že někdo bude přímo zasažen útokem sociálního inženýrství, slabé argumenty v tomto okamžiku mohou vést k „opačnému“ vědomí v jeho mysli.
Musíte tedy uvést silné argumenty, když čelíte lidem souvisejícím s vaším záměrem, a vyhnout se slabým argumentům.
Ve srovnání s lidmi, kteří se nezajímají o vaše vedení nebo požadované výsledky, je můžete zařadit do kategorie „nízce relevantní lidé“.
Související příklady jsou: ostraha, uklízečka nebo recepční v organizaci síťového systému.
Protože jednotlivci s nízkou relevancí nemají přímý vliv na vaše cíle/výsledky a často neanalyzují oboustrannost argumentů, kterými je přesvědčujete.
Jejich rozhodnutí se často řídí vašimi přáními nebo je zcela neovlivňuje jiné „vědomí“.
Tyto „vědomí“, jako jsou: důvody poskytované sociálním inženýrstvím, naléhavost na povrchu nebo silné přesvědčování někoho.
Na základě zkušeností můžeme za takových okolností uvést pouze co nejvíce argumentů a důvodů. Odhaduje se, že tento efekt bude lepší.
V zásadě pro ty, kteří jsou v rozporu s vaším vědomím, zkuste použít spoustu argumentů a pokynů, abyste je přesvědčili, že jsou pro váš účel relevantnější.
Je třeba poznamenat jednu věc: při provádění určitých úkolů budou jedinci s nízkými schopnostmi častěji napodobovat vzorce chování jedinců s vysokými schopnostmi.
Pokud jde o správu počítačového systému, „jednotlivci s nízkou schopností“ většinou označují výše uvedené „lidé s nízkou relevanci“.
Z výše uvedeného hlediska se nepokoušejte provádět útoky sociálního inženýrství na jednotlivce kategorie správce systému, pokud jejich schopnosti nejsou tak dobré jako vy, ale pravděpodobnost je velmi nízká.
Obranný před útoky ostatních
Umožňuje kombinace výše uvedených informací čtenářům lépe chránit zabezpečení celého jejich počítačového systému?
Ve skutečnosti první krok k učinění „dobra“ závisí na tom, zda zaměstnanci mohou zaručit informační bezpečnost svých počítačových systémů ve své práci.
To vyžaduje nejen bezpodmínečné zvýšení jejich povědomí o bezpečnosti, ale také musíte mít vyšší úroveň bdělosti.
Pokud například pověříte někoho odpovědným za ochranu zabezpečení vašeho počítačového systému, je možné, že tato osoba bude mít přístup k vašemu systému bez normálního povolení.
V každém případě nejúčinnějším prostředkem, jak se s tímto typem útoku vypořádat a bránit se proti němu, a jako nejběžnější prostředek je „výchova/školení“.
Prvním krokem je vzdělávat své zaměstnance a ty, kteří mohou být využiti jako cíle sociálního inženýrství, o důležitosti počítačové/informační bezpečnosti.
Upozornění předem přímo zranitelným lidem stačí k tomu, aby mohli identifikovat útoky sociálního inženýrství.
Nezapomeňte však, že některé příběhy a jejich „oboustrannost“ můžete použít jako příklady, když je budete poučovat o bezpečnosti počítačových informací.
Toto není moje osobní preference. Když jedinci pochopí „oboustrannost“ tohoto zaměření, v podstatě se svou pozicí neotřese.
A pokud se zaměřují na technologii zabezpečení počítačů, je pravděpodobnější, že budou v pozici, kdy budou udržovat bezpečnost vašich dat.
Existují také faktory myšlení, které nejednají podle přesvědčovacích tendencí lidí.
Zde musíte mít jasné myšlení, vysokou míru kreativity, schopnost zvládat stres a vypořádat se s ním a patřičné sebevědomí.
Schopnost vypořádat se se stresem a sebevědomí lze kultivovat prostřednictvím získaných.
Co se týče vlastních návrhů a postřehů, které jsou často využívány při řízení zaměstnanců, jejich školení může snížit riziko napadení určitých jedinců sociálním inženýrstvím a také pomoci dalším aspektům práce.
Pochopte různé faktory, které snižují povědomí lidí o bezpečnosti informací a ohrožují vaši strategii zabezpečení.
Ve skutečnosti je v tomto ohledu zapotřebí jen malé množství úsilí k dosažení skvělých výsledků při snižování bezpečnostních rizik.
Závěr
Na rozdíl od populárních představ je použití technik sociálního inženýrství k zachycení duševních stavů lidí mnohem snazší než nabourání se do poštovního serveru.
Pokud ale chcete, aby vaši zaměstnanci předcházeli a odhalovali útoky sociálního inženýrství, efekt nebude nikdy tak zřejmý, než když je necháte udržovat zabezpečení systému UNIX.
Z hlediska správce systému nedovolte, aby problém „osobního vztahu“ zasahoval do vašeho odkazu na zabezpečení informací, aby vaše úsilí bylo zničeno.
Z hlediska hackera, když „pracovní řetězec“ správce systému ukládá data, která potřebujete, nedovolte mu, aby se „zbavil“ svých vlastních zranitelných odkazů.
Sociální inženýrství
Metoda klamání, ubližování atd. prostřednictvím psychologických pastí, jako je psychická slabost, instinktivní reakce, zvědavost, důvěra, chamtivost atd. .
Metoda získávání vlastního zájmu se v posledních letech stala trendem rychlého vzestupu a dokonce zneužívání. Co je tedy sociální inženýrství?
Nelze to srovnávat s běžnými metodami klamání. Sociální inženýrství je obzvláště komplikované. Chytré metody sociálního inženýrství ublíží i těm nejostražitějším a nejméně smýšlejícím lidem.
Pastí sociálního inženýrství je získat tajemství uživatelského systému z legitimních uživatelů pomocí konverzace, podvodu, předstírání identity nebo mluveného jazyka.
Sociální inženýrství je technika na jiné úrovni než běžné klamání a podvody.
Protože sociální inženýrství potřebuje shromáždit velké množství informací, jedná se o metodu psychologické taktiky založenou na skutečné situaci protivníka.
Zabezpečení systému a programů se často lze vyhnout. Z hlediska lidské povahy a psychologie.
Sociální inženýrství je často útok, který využívá psychologické projevy lidské zranitelnosti, chamtivosti atd., kterým nelze zabránit.
Tímto způsobem analyzujeme stávající metody útoků sociálního inženýrství a využíváme analýzu ke zlepšení některých našich metod prevence sociálního inženýrství.
Kvalifikovaní sociální inženýři jsou praktici, kteří jsou dobří ve shromažďování informací.
Mnoho informací, které se navenek jeví jako zbytečné, tito lidé využijí k infiltraci.
Například telefonní číslo, jméno osoby. Pracovní identifikační číslo druhého jmenovaného mohou používat sociální inženýři.
Našel jsem slovo, které koluje na Maopu.com, kterému říkáme →Human Flesh Search Expert, praktik sociálního inženýrství.
_________________________________________________________________
"Hacker Social Engineering Attacks" je první hackerská bezpečnostní kniha o sociálním inženýrství ze série bezpečnostních knih, které zahájila "The Hacker Handbook. Non-An". Toto je vynikající kniha o místní sociální práci v čínském stylu.
"Hacker Social Engineering Attack" je první kniha v Číně o netradičních tématech informační bezpečnosti. Netradiční informační bezpečnost také označuje bezpečnostní hrozby způsobené terorismem, energetikou, ekonomikou, kulturou a informacemi. Problém. Tato kniha provede kompletní analýzu informačních hrozeb pro jednotlivce a společnosti, včetně sledování informací, dolování soukromí, komerčních krádeží, phishingových útoků, psychologických útoků, anti-průzkumu a další špičkové informační bezpečnosti. Tato kniha si klade za cíl pomoci jednotlivcům a vládám, komerčním organizacím rozpoznat hrozbu, kterou představují útoky sociálního inženýrství, a chránit tak jednotlivce a organizace před rizikem krádeže nebo vniknutí do důležitých tajemství.
Uspořádání olympijských her v roce 2008, národní akce, vše ukazuje, že Čína vstoupila do éry digitálních informací a nová výzva přichází z hrozeb informační bezpečnosti a vývoj hrozeb informační bezpečnosti bude nepochybně stále závažnější . Tradiční počítačoví útočníci mají mnohá omezení v prostředí průniku do systému, zatímco nové útoky sociálního inženýrství dají plně využít jejich výhod a získají kontrolu nad systémem klamáním umělých mezer. Tento druh útočné plochy je obtížné odhalit, nevyžaduje osobní komunikaci s cílem oběti, nezanechává v systému žádné sledovatelné záznamy protokolu a nutí interní personál předávat informační aktiva sociálním inženýrům. Snaha vystopovat útočníka je obtížná.
Zároveň by každý z nás neměl ignorovat škodlivost útoků sociálního inženýrství. Inženýři sociálního inženýrství se chovají mimořádně srdečně a bankovní instituce nebudou pochybovat o používání odborných termínů a přiznají, že jsou legitimními interními zaměstnanci; sociální inženýr je také jako kouzelník, když levá ruka upoutá vaši pozornost, pravá ruka tiše sebrala důležité dokumenty; sociální inženýr je velmi upovídaný, umí ovládat neznámé profesionální zařízení a má nastavenou metodu sledování informací. Když mu zavoláte, vtipně nahlásí vaše jméno, věk, adresu, číslo kreditní karty...
A autor této knihy čtenářům ukáže, že ne. Známý vnitřní příběh útoků sociálního inženýrství, od mělčích k hlubším, začíná zkušeností světového hackera číslo jedna Kevina Mitnicka s invazí do Pentagon a komplexně vysvětluje konkrétní implementaci a detaily útoků sociálního inženýrství, aby čtenáři jasně pochopili jejich taktiku útoku. Poskytnuté případy dokážou vizuálně rozpoznat hrozící hrozby, a abychom se vyhnuli mnoha obavám čtenářů o bezpečnost, je v kapitole 8 uvedeno kompletní řešení, které může zabránit tomu, abyste byli poškozeni informacemi. Společnost bude vědět, jak školením projít. A související ochrana, aby se zabránilo útokům sociálního inženýrství.
Dvě. Vlastnosti knihy
Důležitý rys „Hacker Social Engineering Attacks“ je založen na velkém počtu klasických a praktických a vzácných příkladů hackerského bezpečnostního sociálního inženýrství jako hlavní linie, doplněné snadno srozumitelnou Psychologická analýza integruje vzácné příklady a klíčové vědomosti body těsně, takže obsah celé knihy dosáhl nejlepšího stavu jednoty vědění a jednání.
Kniha má celkem 224 stránek, je vytištěna na světlém papíře, který je nejvhodnější pro čtení, a je dodávána s diskem CD s nástrojem DVD o kapacitě 4,5G. DVD je zušlechtěno autorem, který se již řadu let pohybuje v kruzích hackerské bezpečnosti doma i v zahraničí. Nádherné hackerské bezpečnostní nástroje, které vyšly, jsou rozděleny do 11 kategorií, které obsahují nejnovější, nejkomplexnější a vzácné.
Index doporučení redaktora: ★★★★★
3. Po přečtení
Po přečtení: Dva idiomy lze shrnout po přečtení knihy - Masajové náhle a zděšeně , Ty psychologické kódy, které vás dlouho trápily, budou rozluštěny; tyhle indicie vás vyděsí...
Pospěšte si a přečtěte si tuto knihu, abyste se vyhnuli ohrožení bezpečnosti informací a osobní nedbalosti. Ztráta, která přichází, je také pro celkové zlepšení vašeho černého podnikání a smysluplné sociální interakce.