Социальная инженерия
Социальная инженерия как метод управления действиями людей без использования технических средств. Характеристика фишинга - типа компьютерного мошенничества, использующего принципы социальной инженерии для получения от жертвы конфиденциальной информации.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 22.02.2019 |
Размер файла | 14,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru//
Размещено на http://www.allbest.ru//
Социальная инженерия
Файзуллин Р.Р.
Аннотация
Социальная инженерия является наукой и искусством взлома человеческого сознания и становится все более популярной в связи с повышением роли социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. В сфере информационной безопасности данный термин широко используется для обозначения ряда техник, используемых киберпреступниками.
Ключевые слова: социальная инженерия,фишинг, киберпреступник,безопасность.
Annotation:Social engineering is the science and art of hacking the human mind and is becoming more popular in view of the increasing role of social networks, email or other types of online communication in our lives. In the field of information security, the term commonly used to describe several techniques used by cybercriminals.
Keywords: social engineering, fishing, cyber criminals, security.
Социальная инженерия -- это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей ( человеческого фактора ) и считается очень эффективным методом. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, но социальную инженерию можно также использовать и в законных целях -- не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации, или информации, которая представляет большую ценность.
Большинство киберпреступников не станут тратить время на осуществление технологически сложных приемов взлома, если необходимые сведения можно получить, используя навыки в области социнженерии. Более того, существует множество сайтов, где описаны принципы работы подобных техник и причины их успеха. Используем речь каждый день, мы влияем на действия друг друга, хотя часто не замечаем этого. Но язык с точки зрения социальной инженерии имеет несколько недостатков, так как он связан с нашим субъективным восприятием фактов, при котором мы можем опустить некоторые части истории, исказить смысл или сделать некоторые обобщения. Нейролингвистическое программирование, которое изначально было создано для лечебных целей, сегодня используется как инструмент манипуляции жертвами и оказания на них влияния с целью побудить их выполнить действия, ведущие к успеху атаки. В результате данного метода жертва может сообщить свой пароль, разгласить конфиденциальную информацию, отказаться от какойлибо меры обеспечения безопасности, то есть, может сделать все что угодно, чтобы убрать препятствия на пути злоумышленников.
Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing -- «ловля паролей»). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают всю нужную для них информацию.
Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего фишинговые сообщения содержат:
сведения, вызывающие беспокойство, или угрозы;
обещания огромного денежного приза с минимальными усилиями или вовсе без них;
запросы о добровольных пожертвованиях от лица благотворительных организаций;
имитацию повреждённого или неправильно перекодированного текста;
адрес несуществующего почтового ящика, указанного в качестве адреса отправителя.
Популярные фишинговые схемы:
несуществующие ссылки;
мошенничество с использованием брендов известных корпораций;
ложные антивирусы и программы для обеспечения безопасности
телефонный фрикинг (фрикинг (англ. phreaking) -- термин, описывающий эксперименты и взлом телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке).
плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы . Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.
Опрос ИТ-специалистов в белой книге о безопасности показал, что:
85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать;
82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;
82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.
Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», «Instagram» содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
Таким образом, для обеспечения безопасности от методов социальной инженерии, надо скептически относится к любым подобным сообщениям. И для этого предлагаю некоторые принципы обеспечения безопасности:
-использование услуги определения номера;
-игнорирование неизвестных ссылок и смс-сообщении;
обеспечение защиты информации о клиентах с помощью шифрования данных или использования управления доступом;
обучение сотрудников навыкам для распознавания социального инженера;
запрет персоналу обмен паролями либо использование общего;
Использованные источники
социальный инженерия фишинг мошенничество компьютерный
Социальная инженерия, или Как «взломать» человека / [Электронный ресурс] - Режим доступа: https://www.kaspersky.ru/ (Дата обращения: 08.12.2017)
Социальная инженерия и социальные хакеры / [Электронный ресурс] -
Режим доступа: https://kartaslov.ru/ (Дата обращения: 09.12.2017)
Социальная инженерия: хакерство без границ хакеры / [Электронный ресурс] - Режим доступа: https://www.livejournal.com/ (Дата обращения: 09.12.2017)
Размещено на Allbest.ru
...Подобные документы
Методы управления действиями человека с учетом психологических основ его поведения и принятия им решений. Средства социальной инженерии: телефон, электронная почта. Обратная социальная инженерия. Тестирование систем защиты информационной безопасности.
презентация [58,9 K], добавлен 19.01.2014Структура и основные компоненты виртуальной инженерии как имитационного метода, помогающего инженерам в принятии решений и управлении. Описание ее элементов: цифровая имитация, виртуальное прототипирование и завод. Принципы виртуальной реальности.
реферат [913,9 K], добавлен 28.04.2016Понятие программной инженерии как применения определенного систематического измеримого подхода при разработке, эксплуатации и поддержке программного обеспечения. Модели процесса разработки программного обеспечения. Управление программными проектами.
презентация [870,6 K], добавлен 12.11.2014История развития программирования от 50-х годов ХХ века до сегодняшних дней. Характеристика понятия и основных задач программной инженерии как отрасли компьютерной науки. Ядро профессиональных знаний SWEBOK. Свод знаний по управлению проектами PMI PMBOK.
презентация [86,8 K], добавлен 14.08.2013Применение программного обеспечения и технических средств контроля и управления доступом для предупреждения угроз несанкционированного доступа к защищаемой информации. Построение интегрированной системы безопасности "FortNet" и ее составных элементов.
лабораторная работа [1,3 M], добавлен 14.11.2014Особенности функционирования закрытых частных социальных сетей, членство в которых доступно только для избранных. Сведение риска потери конфиденциальной информации к минимуму посредством ограничения доступа к социальным сетям. Структура web-приложения.
курсовая работа [1,9 M], добавлен 09.09.2015Анализ подходов по защите от утечки конфиденциальной информации. Разработать программный модуль обнаружения текстовых областей в графических файлах для решения задач предотвращения утечки конфиденциальной информации. Иллюстрация штрихового фильтра.
дипломная работа [12,8 M], добавлен 28.08.2014Описание средств защиты конфиденциальной и ценной информации в ЭИС. Характеристика активных и пассивных умышленных угроз безопасности информации. Принципы составления промежуточной бухгалтерской и налоговой отчетности при помощи программы "1С:ГАРАНТ".
контрольная работа [451,4 K], добавлен 20.09.2011Классификация угроз конфиденциальной информации. Концепция математической модели оценки ущерба конфиденциальной информации от внешних угроз. Реализация и исследование модели. Безопасность и экологичность работы. Расчет технико-экономической эффективности.
дипломная работа [1,5 M], добавлен 30.06.2011Основные принципы работы измерительного комплекса "Навигатор", возможность перехвата побочных электромагнитных излучений и наводок с защищаемого объекта. Определение требуемого радиуса контролируемой зоны для защиты конфиденциальной информации от утечки.
курсовая работа [1,4 M], добавлен 02.10.2013Основы правового регулирования отношений, связанных с конфиденциальной информацией. Ответственность за неправомерные действия в отношении использования информации. Порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.
курсовая работа [18,6 K], добавлен 02.03.2011Сущность понятия "социальная сеть". Открытые, закрытые сети, система "друзей", "групп". Имидж человека в социальных сетях. Поиск должников банков. Популярные сети Рунета. Социальная сеть "ВКонтакте", ее популярность в России. Современные средства общения.
презентация [4,6 M], добавлен 14.12.2011Характеристика автоматической системы управления технологическим процессом жидких и газообразных сред, необходимость и методика ее реконструкции. Техническое описание средств измерений АСУ ЖГС и системы обработки информации, их совершенствование.
дипломная работа [1,3 M], добавлен 11.03.2011Меры по обеспечению защиты конфиденциальной информации. Принципы, технические средства и приемы для уничтожения электронных документов, документирование процесса. Изолированная автоматизированная система для работы с конфиденциальной информацией.
контрольная работа [31,9 K], добавлен 05.01.2016Общая характеристика, состав и классификация систем управления доступом. Обеспечения сохранности информации. Составление рекомендации по наиболее рациональной организации и применению технических систем управления доступом в органах внутренних дел.
курсовая работа [46,3 K], добавлен 14.01.2012Определение, анализ каналов утечки информации в выделенном помещении и методов ее съема. Изучение характеристик технических средств скрытого съема информации в выделенном помещении. Размещение технических средств защиты информации в выделенном помещении.
курсовая работа [2,0 M], добавлен 15.03.2016Проблема защиты информации в системах электронной обработки данных. Причины возникновения промышленного шпионажа. Виды технических средств промышленного шпионажа. Методы защиты информации. Приборы обнаружения технических средств промышленного шпионажа.
курсовая работа [349,4 K], добавлен 27.04.2013Состав и структура автоматизированной информационной системы. Применение технических средств для получения информации. Преобразования экономической информации, создание форм и последовательность их выполнения. Требования к базе данных и их реализация.
контрольная работа [45,7 K], добавлен 30.12.2009Анализ угроз конфиденциальной информации корпоративной автоматизированной системы Internet Scanner. Расчет амортизационных отчислений, стоимости технических средств и программного обеспечения. Договорная цена разработки процедур оценки защищенности КАС.
дипломная работа [1,2 M], добавлен 01.07.2011Разработка алгоритма автоматизации работы компьютерного магазина, изменив и доработав имеющиеся модули в системе "1С" в соответствии с заявленными требованиями. Состав выполняемых функций. Требования к составу и параметрам технических средств приложения.
дипломная работа [1,2 M], добавлен 26.09.2014