Социальная инженерия (безопасность)

Материал из wikixw
Перейти к навигации Перейти к поиску

Эта статья о концепции информационной безопасности. О влиянии на общество в больших масштабах см. В разделе Социальная инженерия (политология) .

Социальная инженерия , в контексте информационной безопасности, относится к психологической манипуляции людьми в выполнении действий или разглашении конфиденциальной информации. Это отличается от социальной инженерии в социальных науках, которая не касается разглашения конфиденциальной информации. Тип доверительного трюка с целью сбора информации, мошенничества или доступа к системе, он отличается от традиционного "con" тем, что он часто является одним из многих шагов в более сложной схеме мошенничества.

Он также определяется как " любое действие, которое влияет на то, чтобы лицо предприняло действие, которое может или не может быть в его интересах.

Культура информационной безопасности[править]

Поведение сотрудников может иметь большое влияние на информационную безопасность в организациях. Культурные концепции могут помочь различным сегментам организации эффективно работать или противодействовать эффективности в области информационной безопасности внутри организации. "Изучение взаимосвязи между организационной культурой и культурой информационной безопасности" дает следующее определение культуры информационной безопасности: "ISC-это совокупность моделей поведения в организации, которые способствуют защите информации всех видов."

Социальная инженерия также широко используется Исламским государством и другими террористическими группами для вербовки и радикализации молодых людей для присоединения к их делу .

Андерссон и Реймерс (2014) обнаружили, что сотрудники часто не считают себя частью организации информационной безопасности "усилий" и часто предпринимают действия, которые игнорируют интересы организационной информационной безопасности.[4] Исследования показывают, что Культура информационной безопасности нуждается в постоянном совершенствовании. В "культуре информационной безопасности от анализа к изменению" авторы прокомментировали: "это бесконечный процесс, цикл оценки и изменения или обслуживания."Для управления культурой информационной безопасности необходимо сделать пять шагов: предварительная оценка, стратегическое планирование, оперативное планирование, внедрение и пост-оценка.

  • Предварительная оценка: выявление осведомленности сотрудников об информационной безопасности и анализ текущей политики безопасности.
  • Стратегическое планирование: чтобы разработать программу повышения осведомленности, нам необходимо установить четкие цели. Кластеризация людей полезна для ее достижения.
  • Оперативное планирование: мы можем установить хорошую культуру безопасности, основанную на внутренней коммуникации, управлении-бай-ине и программе повышения осведомленности и обучения безопасности.
  • Реализация: для реализации культуры информационной безопасности необходимо использовать четыре этапа. Это приверженность руководства, общение с членами организации, курсы для всех членов организации и приверженность сотрудников.

Методы и условия[править]

Все методы социальной инженерии основаны на специфических признаках человеческого принятия решений, известных как когнитивные предубеждения . Эти предубеждения, иногда называемые "ошибками в человеческом оборудовании", используются в различных комбинациях для создания методов атаки, некоторые из которых перечислены ниже. Атаки, используемые в социальной инженерии, могут быть использованы для кражи конфиденциальной информации сотрудников. Наиболее распространенный тип социальной инженерии происходит по телефону. Другие примеры атак социальной инженерии-преступники, выдающие себя за истребителей, пожарных маршалов и техников, чтобы остаться незамеченными, когда они крадут секреты компании.

Одним из примеров социальной инженерии является человек, который входит в здание и публикует официальное объявление в бюллетене компании, в котором говорится, что номер службы поддержки изменился. Таким образом, когда сотрудники обращаются за помощью человек просит их пароли и идентификаторы, тем самым получая возможность доступа к личной информации компании. Другим примером социальной инженерии было бы то, что хакер связывается с целью на сайте социальной сети и начинает разговор с целью. Постепенно хакер получает доверие цели, а затем использует это доверие, чтобы получить доступ к конфиденциальной информации, такой как пароль или данные банковского счета.

Социальная инженерия в значительной степени опирается на 6 принципов влияния, установленных Робертом Чалдини . Теория влияния Чалдини основана на шести ключевых принципах: взаимность, приверженность и последовательность, социальное доказательство, авторитет, симпатия, дефицит.

Шесть ключевых принципов[править]

  • 1 Взаимность-люди, как правило, возвращают пользу, таким образом, Распространенность бесплатных образцов в маркетинге. На своих конференциях он часто использует пример Эфиопии, предоставлявшей Мексике тысячи долларов гуманитарной помощи сразу после землетрясения 1985 года, несмотря на то, что Эфиопия в то время страдала от голода и гражданской войны. Эфиопия отвечала взаимностью на дипломатическую поддержку Мексики, когда Италия вторглась в Эфиопию в 1935 году. Стратегия "хороший полицейский / плохой полицейский" также основана на этом принципе.
  • 2 Приверженность и последовательность-если люди в устной или письменной форме привержены какой-либо идее или цели, они с большей вероятностью выполнят это обязательство, потому что они заявили, что эта идея или цель соответствует их имиджу . Даже если первоначальный стимул или мотивация будут удалены после того, как они уже договорились, они будут продолжать соблюдать соглашение. Чалдини отмечает китайскую промывку мозгов американским военнопленным переписать их само-изображение и получить автоматическое unenforced соответствие. Другой пример-маркетологи, которые заставляют пользователя закрывать всплывающие окна, говоря” я зарегистрируюсь позже "или”нет, спасибо, я предпочитаю не зарабатывать деньги".
  • 3 Социальное доказательство-люди будут делать то, что видят другие люди. Например, в одном эксперименте один или несколько сообщников смотрели в небо; наблюдатели смотрели в небо, чтобы увидеть, чего им не хватает. В какой-то момент этот эксперимент был прерван, так как так много людей смотрели вверх, что они остановили движение. См. соответствие и эксперименты по соответствию Asch .
  • 4 Власть-люди будут склонны подчиняться авторитетным фигурам, даже если их попросят совершить неугодные действия. Чалдини цитирует такие инциденты, как эксперименты Милгрэма в начале 1960-х годов и бойня в Ми Лай .
  • 5 Симпатия-люди легко убеждаются другими людьми, которые им нравятся. Cialdini цитирует маркетинг Tupperware в том, что теперь можно назвать вирусным маркетингом . Люди чаще покупали, если им нравился человек, продающий их. Обсуждаются некоторые из многих предубеждений в пользу более привлекательных людей. См. стереотип физической привлекательности .
  • 6 Дефицит-воспринимаемый дефицит будет генерировать спрос . Например, предложение быть доступным в течение "ограниченного времени" стимулирует продажи.

Четыре вектора социальной инженерии[править]

Вишинг[править]

Вишинг, иначе известный как "голосовой фишинг", является преступной практикой использования социальной инженерии по телефонной системе для получения доступа к частной личной и финансовой информации от общественности с целью получения финансового вознаграждения. Он также используется нападавшими в разведывательных целях для сбора более подробной информации о целевой организации.

Фишинг[править]

Главная статья: фишинг

Фишинг-это метод мошеннического получения конфиденциальной информации. Как правило, Фишер отправляет электронное письмо, которое, по-видимому, исходит от законного бизнеса—банка или компании кредитных карт —с просьбой "проверить" информацию и предупредить о каких-то тяжелых последствиях, если она не будет предоставлена. Электронная почта обычно содержит ссылку на мошенническую веб-страницу, которая кажется законной-с логотипами компании и содержанием—и имеет форму, запрашивающую все от домашнего адреса до PIN-кода карты банкомата или номера кредитной карты. Например, в 2003 году была фишинговая афера, в которой пользователи получали электронные письма от eBay, утверждая, что учетная запись пользователя будет приостановлена, если не будет нажата ссылка для обновления кредитной карты (информация, которую подлинный eBay уже имел). Поскольку относительно просто сделать веб-сайт похожим на сайт законной организации, имитируя HTML-код и логотипы, мошенничество рассчитывало на то, что люди были обмануты, думая, что с ними связался eBay, а затем отправились на сайт eBay, чтобы обновить информацию об учетной записи. Спам большие группы людей," Фишер " рассчитывал на электронную почту читается процент людей, которые уже перечислили номера кредитных карт с eBay законно, кто может ответить.

Smishing[править]

Акт использования SMS текстовых сообщений, чтобы заманить жертв в конкретный курс действий. Как и фишинг, это может быть щелчок по вредоносной ссылке или разглашение информации.

Олицетворение[править]

Притворяться или притворяться другим человеком с целью получить физический доступ к системе или зданию.

Другие понятия[править]

Предлог[править]

"Blagger" перенаправляется сюда. Видеоигру см. В Blagger (видеоигра).

Предлог (прим. pretextual), является актом создания и использования изобретенного сценария (предлога) для привлечения целевой жертвы таким образом, чтобы увеличить вероятность того, что жертва разгласит информацию или выполнит действия, которые были бы маловероятны в обычных обстоятельствах.[8] тщательно продуманная ложь , это чаще всего включает некоторое предшествующее исследование или установку и использование этой информации для олицетворения ( например , дата рождения, номер социального страхования , последняя сумма счета), чтобы установить законность в уме цели.

Этот метод может быть использован для обмана бизнеса в раскрытии информации о клиентах, а также частными детективами для получения телефонных записей, коммунальных записей, банковских записей и другой информации непосредственно от представителей службы компании. затем информация может быть использована для установления еще большей легитимности при более жестком опросе менеджера, например , для внесения изменений в счет, получения конкретных балансов и т. д.

Предлог также может быть использован для выдвижения себя за коллег, сотрудников полиции, банка, налоговых органов, священнослужителей, страховых агентов-или любого другого лица, которое могло бы воспринимать авторитет или право знать в сознании жертвы. Предлог должен просто подготовить ответы на вопросы, которые может задать жертва. В некоторых случаях все, что нужно, это голос, который звучит авторитетно, серьезный тон и способность думать на ногах, чтобы создать предтекстовый сценарий.

Вишинг[править]

Главная статья: Vishing

Телефон фишинг (или "вишинг") использует изгоев интерактивный голосовой ответ (IVR) система воссоздания законно звучащей копии системы IVR банка или другого учреждения. Жертве предлагается (обычно через фишинговую электронную почту) позвонить в "банк" по номеру (в идеале бесплатному), предоставленному для "проверки" информации. Типичная "вишинговая" система будет постоянно отказываться от входа в систему, гарантируя, что жертва вводит Пины или пароли несколько раз, часто раскрывая несколько разных паролей. Более продвинутые системы передают жертву злоумышленнику / обманщику, который выступает в качестве агента обслуживания клиентов или эксперта по безопасности для дальнейшего допроса жертвы.

Фишинг копья[править]

Главная статья: Фишинг копья

Хотя подобный" фишингу", фишинг копья-метод, который мошеннически получает личную информацию, посылая настроенные электронные письма немногим конечным пользователям. Это основное различие между фишинговыми атаками, потому что фишинговые кампании сосредоточены на отправке больших объемов обобщенных писем с ожиданием, что только несколько человек ответят. С другой стороны, фишинговые электронные письма spear требуют от злоумышленника проведения дополнительных исследований своих целей, чтобы "обмануть" конечных пользователей в выполнении запрошенных действий. Уровень успеха фишинговых атак значительно выше, чем фишинговых атак, когда люди открывают примерно 3% фишинговых писем по сравнению с примерно 70% потенциальных попыток. Кроме того, когда пользователи фактически открывают электронные письма, фишинговые электронные письма имеют относительно скромную 5%-ю степень успеха, чтобы щелкнуть ссылку или вложение по сравнению с 50% - ой степенью успеха атаки фишинга копья.

Успех фишинга Spear в значительной степени зависит от количества и качества OSINT (Open Source Intelligence), которые может получить злоумышленник. Одним из примеров источника OSINT является активность учетной записи в социальных сетях.

Водяное[править]

Главная статья: Нападение у водопоя

Water holing-это целевая стратегия социальной инженерии, которая использует доверие пользователей к веб-сайтам, которые они регулярно посещают. Жертва чувствует себя в безопасности, делая то, что не сделала бы в другой ситуации. Осторожный человек может, например, целенаправленно избегать перехода по ссылке в незапрашиваемом электронном письме, но тот же человек без колебаний перейдет по ссылке на веб-сайте, который он часто посещает. Итак, злоумышленник готовит ловушку для неосторожной добычи на излюбленном водопое. Эта стратегия была успешно использована для получения доступа к некоторым (предположительно) очень безопасным системам.

Злоумышленник может установить, идентифицируя группу или отдельных лиц для цели. Подготовка включает в себя сбор информации о веб-сайтах, которые цели часто посещают из защищенной системы. Сбор информации подтверждает, что цели посещают веб-сайты и что система позволяет такие посещения. Затем злоумышленник проверяет эти веб-сайты на наличие уязвимостей для ввода кода, который может заразить систему посетителя вредоносными программами. Внедренный код ловушки и вредоносных программ могут быть адаптированы к конкретной целевой группы и конкретных систем, которые они используют. Со временем один или несколько членов целевой группы будут заражены, и злоумышленник сможет получить доступ к защищенной системе.

Травля[править]

не троллинг Травля подобна реальному троянскому коню, который использует физические носители и полагается на любопытство или жадность жертвы.[13] в этой атаке злоумышленники оставляют зараженные вредоносными программами дискеты , компакт-диски или USB-накопители в местах , где люди найдут их (ванные комнаты , лифты, тротуары, автостоянки и т. д.).), дает им законные и любопытные ярлыки и ждет жертв.

Например, злоумышленник может создать диск с корпоративным логотипом, доступным на веб-сайте цели, и пометить его "сводка зарплаты руководителя за 2 квартал 2012 года". Затем злоумышленник оставляет диск на полу лифта или где-то в вестибюле целевой компании. Неизвестный сотрудник может найти его и вставить диск в компьютер, чтобы удовлетворить свое любопытство, или добрый самаритянин может найти его и вернуть в компанию. В любом случае, просто вставив диск в компьютер, вы устанавливаете вредоносное ПО, предоставляя злоумышленникам доступ к компьютеру жертвы и, возможно, внутренней системе компании компьютерная сеть .

Если компьютерные элементы управления не блокируют заражения, вставка компрометирует "автозапуск" ПК. Враждебные устройства также могут быть использованы.[14] например, "счастливому победителю" посылают бесплатный цифровой аудиоплеер, компрометирующий любой компьютер, к которому он подключен. "Дорожное яблоко" (разговорный термин для конского навоза , предполагающий нежелательный характер устройства) - это любой съемный носитель с вредоносным программным обеспечением, оставленный в оппортунистических или заметных местах. Это может быть CD, DVD или USB-накопитель, среди других СМИ. Любопытные люди берут его и подключают к компьютеру, заражая хост и любые подключенные сети. Хакеры могут дать им заманчивые ярлыки, такие как "зарплаты сотрудников" или "конфиденциальные".[15]

Одно исследование, проведенное в 2016 году, позволило исследователям отказаться от USB-накопителей 297 вокруг кампуса Университета Иллинойса. Диски содержали файлы на них, связанные с веб-страницами, принадлежащими исследователям. Исследователи смогли увидеть, сколько файлов на дисках было открыто, но не сколько было вставлено в компьютер без открытия файла. Из 297 дисков, которые были отброшены, 290 (98%) из них были подобраны и 135 (45%) из них "позвонили домой".

Quid pro quo[править]

Quid pro quo означает что-то для чего-то:

  • Злоумышленник называет случайные номера в компании, утверждая, что он перезванивает из технической поддержки. В конце концов этот человек ударит кого-то с законной проблемой, благодарен, что кто-то перезванивает, чтобы помочь им. Злоумышленник "поможет" решить проблему и, в процессе, иметь команды типа пользователя, которые дают злоумышленнику доступ или запуск вредоносного ПО .
  • В опросе по информационной безопасности 2003 года 91% офисных работников дали исследователям то, что они утверждали, был их пароль в ответ на вопрос опроса в обмен на дешевую ручку . подобные обзоры в более поздних годах получили подобные результаты, используя шоколад и другие дешевые приманки, хотя они не предприняли попытки проверить пароли .

Tailgating[править]

Главная статья: Piggybacking (безопасность)

Злоумышленник, ищущий вход в запретную зону, защищенную без присмотра, электронным контролем доступа, например, RFID карта, просто заходит за человеком, который имеет законный доступ. Следуя общепринятой вежливости, законное лицо обычно держит дверь открытой для злоумышленника, или сами нападавшие могут попросить сотрудника держать ее открытой для них. Законное лицо может не запросить идентификацию по любой из нескольких причин или может принять утверждение о том, что злоумышленник забыл или потерял соответствующий идентификационный маркер. Злоумышленник также может подделать действие предъявления маркера идентификации.

Другие типы[править]

Мошенники или мошенники также могут считаться "социальными инженерами" в более широком смысле, поскольку они сознательно обманывают и манипулируют людьми, используя человеческие слабости для получения личной выгоды. Они могут, например, использовать методы социальной инженерии в рамках ИТ-мошенничества.

Совсем недавно [ когда?] тип техники социальной инженерии включает в себя подделку или взлом идентификаторов людей, имеющих популярные идентификаторы электронной почты, такие как Yahoo!, Gmail, Hotmail, etc. Среди многих мотивов для обмана:

  • Фишинг номера кредитных карт и их пароли.
  • Взламывание личных сообщений электронной почты и историй чатов, а также манипулирование ими с помощью общих методов редактирования, прежде чем использовать их для вымогательства денег и создания недоверия среди людей.
  • Взламывание сайтов компаний или организаций и разрушение их репутации.
  • Компьютерные вирусные мистификации
  • Убеждение пользователей запускать вредоносный код в веб-браузере с помощью атаки self-XSS, чтобы разрешить доступ к их веб-учетной записи

Контрмеры[править]

Организации снижают свои риски безопасности путем:

Обучение сотрудников Обучение сотрудников протоколам безопасности, соответствующим занимаемой должности. (например, в таких ситуациях, как тайлгейтинг, если личность человека не может быть проверена, то сотрудники должны быть обучены вежливо отказывать .)

Стандартные Рамки Установление рамок доверия на уровне сотрудников / персонала (т. е. определение и обучение персонала, когда/где/почему / как следует обращаться с конфиденциальной информацией)

Проверка Информации Определение того, какая информация является чувствительной, и оценка ее подверженности социальной инженерии и сбоям в системах безопасности (здание, компьютерная система и т. д.).)

Протоколы Безопасности Установление протоколов, политик и процедур безопасности для обработки конфиденциальной информации.

Проверка Событий Выполнение необъявленных периодических тестов системы безопасности.

Прививка Предотвращение социальной инженерии и других мошеннических трюков или ловушек путем привития сопротивления попыткам убеждения путем воздействия подобных или связанных с ними попыток.

Обзор Регулярно пересматривайте вышеуказанные шаги: никакие решения для обеспечения целостности информации не являются совершенными.

Управление Отходами Использование службы управления отходами, которая имеет мусорные контейнеры с замками на них, с ключами к ним ограничивается только компанией по управлению отходами и клининговым персоналом. Размещение мусорного контейнера либо в поле зрения сотрудников, так что попытка доступа к нему несет риск быть замеченным или пойманным, или за запертыми воротами или забором, где человек должен нарушить, прежде чем они могут попытаться получить доступ к мусорному контейнеру.

Известные социальные инженеры[править]

Кевин Митник[править]

Кевин Митник - американский консультант по компьютерной безопасности, автор и хакер, наиболее известный своим громким арестом 1995 года, а затем пятилетним осуждением за различные компьютерные и коммуникационные преступления.[22] он теперь управляет охранной фирмой Mitnick Security Consulting, LLC, которая помогает проверить сильные и слабые стороны безопасности компаний и потенциальные лазейки. Он также является главным хакерским офицером компании по обучению безопасности KnowBe4, а также активным членом консультативного совета в Zimperium, фирме, которая разрабатывает систему предотвращения мобильных вторжений.

Сьюзан Хедли[править]

Сьюзен Хедли была американским хакером, активно работавшим в конце 1970-х и начале 1980-х годов, широко уважаемым за ее опыт в области социальной инженерии , предлогов и психологической подрывной деятельности .Она была известна своей специализацией во взломе военных компьютерных систем, которая часто включала ложиться спать с военнослужащими и перебирать их одежду для имен пользователей и паролей, в то время как они спали.[26] она стала активно участвовать в фрикинге с Кевином Митником и Льюисом де Пейном в Лос-Анджелесе, но позже создал их для стирания системных файлов у нас Лизинг после выпадения, что привело к первому осуждению Митника. Она удалилась в профессиональный покер.

Братья Бадир[править]

Братья Рами, Мужер и Шадде Бадир—все они были слепы от рождения—в 1990-х годах сумели создать в Израиле обширную схему мошенничества с телефоном и компьютером, используя социальную инженерию, олицетворение голоса и компьютеры с дисплеем Брайля .

Закон[править]

В обычном праве предлогом является вторжение в частную жизнь.

Предлог телефонных записей[править]

В декабре 2006 года Конгресс Соединенных Штатов одобрил законопроект, предложенный сенатом, согласно которому предлог для телефонных разговоров является федеральным преступлением со штрафами до 250 000 долларов США и 10 годами тюремного заключения для физических лиц (или штрафами до 500 000 долларов для компаний). Он был подписан президентом Джорджем Бушем 12 января 2007 года.

Федеральное законодательство[править]

1999 "GLBA" является федеральным законом США, который конкретно рассматривает предлог банковских записей как незаконное действие, наказуемое в соответствии с федеральными законами. Когда субъект предпринимательской деятельности, такой как частный детектив, страховой следователь SIU или регулировщик, проводит любой тип обмана, он подпадает под полномочия Федеральной торговой комиссии (FTC). Это Федеральное агентство обязано и уполномочено обеспечивать, чтобы потребители не подвергались какой-либо недобросовестной или обманчивой деловой практике. Закон Федеральной Торговой Комиссии США, Раздел 5 FTCA государства, в части: "Всякий раз, когда комиссия будет иметь основания полагать, что любое такое лицо, товарищество или корпорация использовало или использует какой-либо недобросовестный метод конкуренции или недобросовестное или обманчивое действие или практику в торговле или влияет на торговлю, и если комиссии будет казаться, что производство ею в отношении этого было бы в интересах общественности, она будет выдавать и подавать на такое лицо, товарищество или корпорацию жалобу с указанием своих обязанностей в этом отношении."

В уставе говорится, что когда кто-либо получает какую-либо личную, непубличную информацию от финансового учреждения или потребителя, его действия подпадают под действие устава. Это касается отношений потребителя с финансовым учреждением. Например, был бы покрыт предлог, использующий ложные претензии либо для получения адреса потребителя от банка потребителя, либо для того, чтобы потребитель раскрыл название своего банка. Определяющим принципом является то, что предлоги возникают только тогда, когда информация получена через ложные притязания.

В то время как продажа записей сотовых телефонов привлекла значительное внимание средств массовой информации, а телекоммуникационные записи находятся в центре внимания двух законопроектов , в настоящее время находящихся на рассмотрении Сената Соединенных Штатов, многие другие типы частных записей покупаются и продаются на публичном рынке. Наряду со многими рекламными объявлениями для записей сотового телефона, записи проводной связи и записи, связанные с визитными карточками, рекламируются. Как люди переходят на VoIP телефонов, можно с уверенностью предположить, что эти записи будут предложены для продажи, а также. В настоящее время законно продавать телефонные записи, но незаконно их получать.

1-й источник информации специалисты[править]

США Республика Фред Аптон (Р-Каламазу, штат Мичиган), председатель энергетике и торговле подкомитета по телекоммуникациям и Интернету, выразил озабоченность в связи с легким доступом к персональным мобильного телефона записи в Интернете в дома энергетики и торговли комитет слушания по теме "записи телефонных разговоров на продажу: почему не телефонных звонков в безопасности от оправданий?"Иллинойс стал первым штатом, подавшим в суд на онлайн-брокера записей, когда Генеральный прокурор Лиза Мэдиган подала в суд на 1st Source Information Specialists, Inc. Пресс-секретарь офиса Мэдигана сказала. Флоридская компания управляет несколькими веб-сайтами, которые продают записи мобильных телефонов, согласно копии иска. Генеральные прокуроры Флориды и Миссури быстро последовали примеру Мэдигана, подав иски соответственно против специалистов 1st Source Information и, в случае Миссури, еще одного брокера записей – First Data Solutions, Inc.

Несколько беспроводных провайдеров, включая T-Mobile, Verizon и Cingular, подали более ранние иски против records brokers, а Cingular выиграл судебный запрет против First Data Solutions и специалистов 1st Source Information. Сенатор США Чарльз Шумер (D-Нью-Йорк) в феврале 2006 года принял законодательство, направленное на обуздание этой практики. Закон о защите телефонных записей потребителей 2006 года предусматривает уголовные наказания за кражу и продажу записей абонентов мобильных телефонов, стационарных телефонов и голосовой связи по протоколу VoIP.

HP[править]

Патрисия Данн, бывшая председатель Hewlett Packard, сообщила, что Совет HP нанял частную компанию для расследования того, кто несет ответственность за утечки внутри Совета. Данн признал, что компания использовала практику предлога, чтобы запросить телефонные записи членов правления и журналистов. Председатель Данн позже извинился за этот акт и предложил выйти из состава правления, если того пожелают члены правления. В отличие от Федерального закона, Калифорнийский закон специально запрещает такие предлоги. Четыре обвинения в уголовном преступлении, предъявленные Данну, были отклонены.

В массовой культуре[править]

  • В телешоу "Белый воротничок" Мэтт Бомер сыграл очень умного и разностороннего мошенника, работающего в качестве криминального информатора ФБР.
  • В фильме "похититель личных данных" Мелисса Маккарти сыграла мошенника , который использовал предлог, чтобы получить имя, номер кредитной карты и номер социального страхования руководителя (Джейсон Бейтман), позволяя ей украсть его личность и совершить мошенничество с кредитными картами .
  • В фильме Хакеры , главный герой использовал предлог, когда он попросил охранника номер телефона для модема телевизионной станции, выдавая себя за важного руководителя компании.
  • В книге Джеффри Дивера "голубое нигде" социальная инженерия для получения конфиденциальной информации является одним из методов , используемых убийцей Фейтом, чтобы приблизиться к своим жертвам.
  • В фильме "Live Free или Die Hard" Джастин Лонг видит предлог, что его отец умирает от сердечного приступа, чтобы помочь представителю на Звезде начать то, что станет украденным автомобилем .
  • В фильме кроссовки, один из персонажей позиционирует себя как начальник охранника низкого уровня, чтобы убедить его, что нарушение безопасности просто ложная тревога .
  • В фильме The Thomas Crown Affair один из персонажей изображает по телефону начальника охраны музея, чтобы отодвинуть охранника от своего поста.
  • В фильме Джеймса Бонда "Бриллианты навсегда" Бонд , как видно, получает вход в лабораторию Уайта с тогдашней современной системой блокировки доступа к картам " tailgating ". Он просто ждет, когда сотрудник придет, чтобы открыть дверь, а затем выдает себя за новичка в лаборатории, подделывает вставку несуществующей карты, в то время как дверь открывается для него сотрудником.
  • В телевизионном шоу Rockford Files персонаж Джим Рокфорд часто использовал предлог в своей частной работе по расследованию.
  • В телешоу The Mentalist главный герой Патрик Джейн часто использует предлог, чтобы обмануть преступников, чтобы признаться в преступлениях, которые они совершили.
  • В телевизионном шоу Burn Notice многие персонажи используются в социальной инженерии; в психологическом профиле Майкла Вестена говорится, что он очень квалифицирован в социальной инженерии.
  • В телешоу Psych главный герой Шон Спенсер часто использует предлог, чтобы получить доступ к местоположениям, в которые он иначе не был бы разрешен без полицейских учетных данных.
  • В видеоигре Watch Dogs главный герой Эйден Пирс утверждает, что он изучал социальную инженерию, когда рос в преступной жизни, и использует тактику социальной инженерии, чтобы манипулировать другими персонажами на протяжении всей игры, чтобы получить информацию, которую он хочет.
  • В телешоу Mr. Robot Дарлин разбрасывает USB-накопители (содержащие вредоносные программы) за пределами входа в тюрьму, заставляя любопытного охранника компрометировать внутреннюю сеть тюрьмы, когда он подключает один из дисков к своей компьютерной рабочей станции.
  • В фильме "Кто я" главные герои используются в различных техниках социальной инженерии.
  • Во французских романах Максима Франтини [ Journal d'un hacker , l'Ombre et la lumière , La cavale , La détermination du fennec] герой хакера Илиан Эстевес в основном использует социальную инженерию для своих атак.[34]
  • Фильм "Марс нуждается в женщинах" содержит примеры социальной инженерии, проводимой инопланетянами, которые, как показано, участвуют и используют эти методы для достижения своей цели: захват пяти земных женщин для репродуктивных целей, чтобы повторно наполнить соотношение женщин и мужчин на их планете.
  • Команда использует социальную инженерию для ограбления казино.

См. также[править]

Дальнейшее чтение[править]

  • Бойингтон, Грегори. (1990). "Baa Baa Black Sheep" опубликовано Грегори Бойингтон
  • Харли, Дэвид. 1998 Re-Floating The Titanic: Dealing with Social Engineering Attacks Eicar Conference.
  • Лариби, Лена. Июнь 2006 г. разработка методического социально-инженерного таксономического проекта Магистерская диссертация, военно-морская аспирантура.
  • Лейден, Джон. 18 апреля 2003 года. Офисные работники раздают пароли на дешевую ручку . Регистр . Retrieved 2004-09-09.
  • Долго, Джонни . (2008). No Tech Hacking-руководство по социальной инженерии, Dumpster дайвинг и плечевой серфинг опубликовано Syngress Publishing Inc.
  • Манн, Йен. (2008). Взлом человека: методы социальной инженерии и контрмеры безопасности, опубликованные Gower Publishing Ltd.
  • Митник, Кевин, Касперавичюс, Алексис . (2004). Учебник курса CSEPS . Mitnick Security Publishing.
  • Митник, Кевин, Саймон, Уильям Л., Возняк, Стив,. (2002). Искусство обмана: управление человеческим элементом безопасности, опубликованное Уайли.
  • Hadnagy, Кристофер, (2011) социальная инженерия: искусство человеческого взлома, опубликованное Wiley.

Пруф[править]

.msn.com/en-xl/

Источник — https://wikixw.ru/index.php?title=Социальная_инженерия_(безопасность)&oldid=24107