Domov » Zvukové editory

Sociální inženýrství. Sociální inženýrství. Ochrana uživatelů před sociálním inženýrstvím

Sociální inženýrství

Sociální inženýrství je způsob neoprávněného přístupu k informacím nebo systémům ukládání informací bez použití technických prostředků. Hlavním cílem sociálních inženýrů, stejně jako ostatních hackerů a crackerů, je získat přístup k zabezpečeným systémům za účelem krádeže informací, hesel, informací o kreditních kartách atd. Hlavní rozdíl oproti jednoduchému hackování je v tom, že v tomto případě není za cíl útoku zvolen stroj, ale jeho operátor. Proto jsou všechny metody a techniky sociálních inženýrů založeny na využití slabých stránek lidského faktoru, který je považován za extrémně destruktivní, neboť útočník získává informace například běžným telefonickým rozhovorem nebo infiltrací do organizace spadající pod tzv. převleku svého zaměstnance. Chcete-li se chránit před tímto typem útoku, měli byste si být vědomi nejběžnějších typů podvodů, rozumět tomu, co hackeři skutečně chtějí, a včas zorganizovat vhodnou bezpečnostní politiku.

Příběh

Navzdory skutečnosti, že pojem „sociální inženýrství“ se objevil relativně nedávno, lidé v té či oné podobě používali jeho techniky od nepaměti. Ve starověkém Řecku a Římě byli lidé ve velké úctě, kteří mohli svého partnera různými způsoby přesvědčit, že se zjevně mýlí. Jménem vůdců vedli diplomatická jednání. Dovedně pomocí lží, lichotek a výhodných argumentů často řešili problémy, které se zdály být neřešitelné bez pomoci meče. Mezi špiony bylo vždy hlavní zbraní sociální inženýrství. Tím, že se agenti KGB a CIA vydávali za jinou osobu, mohli zjistit tajná státní tajemství. Začátkem 70. let, v době rozkvětu phreakingu, volali někteří telefonní chuligáni telekomunikačním operátorům a snažili se získat důvěrné informace od technických pracovníků společnosti. Po různých experimentech s triky koncem 70. let phreakeři natolik zdokonalili techniky manipulace s nevycvičenými operátory, že se od nich mohli snadno naučit téměř vše, co chtěli.

Principy a techniky sociálního inženýrství

Existuje několik běžných technik a typů útoků, které sociální inženýři používají. Všechny tyto techniky jsou založeny na rysech lidského rozhodování známých jako kognitivní (viz také Kognitivní) zaujatosti. Tyto předsudky se používají v různých kombinacích k vytvoření nejvhodnější strategie klamání v každém konkrétním případě. Společným rysem všech těchto metod je ale zavádějící, s cílem donutit člověka k nějakému jednání, které mu není prospěšné a je pro sociálního inženýra nezbytné. K dosažení požadovaného výsledku využívá útočník řadu různých taktik: vydávání se za jinou osobu, odvádění pozornosti, zvyšování psychického napětí atd. Konečné cíle klamání mohou být také velmi různorodé.

Techniky sociálního inženýrství

Předmluva

Pretexting je soubor akcí prováděných podle konkrétního, předem připraveného scénáře (záminky). Tato technika zahrnuje použití hlasových prostředků, jako je telefon, Skype atd. získat potřebné informace. Útočník obvykle tím, že se vydává za třetí stranu nebo předstírá, že někdo potřebuje pomoc, požádá oběť, aby poskytla heslo nebo se přihlásila na phishingovou webovou stránku, čímž přiměje cíl provést požadovanou akci nebo poskytnout určité informace. Ve většině případů tato technika vyžaduje nějaké počáteční údaje o cíli útoku (například osobní údaje: datum narození, telefonní číslo, čísla účtů atd.) Nejběžnější strategií je nejprve použít malé dotazy a zmínit jména skutečných lidí v organizaci. Později, během rozhovoru, útočník vysvětluje, že potřebuje pomoc (většina lidí je schopna a ochotna provádět úkoly, které nejsou vnímány jako podezřelé). Jakmile se vytvoří důvěra, může podvodník požádat o něco podstatnějšího a důležitějšího.

Phishing

Příklad phishingového e-mailu odeslaného z e-mailové služby požadujícího „opětovnou aktivaci účtu“

Phishing (anglicky phishing, od fishing - fishing, fishing) je druh internetového podvodu, jehož účelem je získat přístup k důvěrným uživatelským datům - přihlašovacím údajům a heslům. Toto je dnes možná nejpopulárnější schéma sociálního inženýrství. Nedojde k jedinému velkému úniku osobních údajů, aniž by ho následovala vlna phishingových e-mailů. Účelem phishingu je nelegální získávání důvěrných informací. Nejvýraznějším příkladem phishingového útoku je zpráva zaslaná oběti e-mailem a falešná jako oficiální dopis – od banky nebo platebního systému – vyžadující ověření určitých informací nebo provedení určitých akcí. Důvodů může být celá řada. Může to být ztráta dat, selhání systému atd. Tyto e-maily obvykle obsahují odkaz na falešnou webovou stránku, která vypadá přesně jako ta oficiální, a obsahuje formulář, který vyžaduje zadání citlivých informací.

Jedním z nejslavnějších příkladů globálních phishingových e-mailů byl podvod z roku 2003, kdy tisíce uživatelů eBay obdržely e-maily s tvrzením, že jejich účet byl uzamčen, a vyžadovali aktualizaci údajů o své kreditní kartě, aby jej odemkli. Všechny tyto e-maily obsahovaly odkaz vedoucí na falešnou webovou stránku, která vypadala přesně jako ta oficiální. Podle odborníků se ztráty z tohoto podvodu vyšplhaly na několik set tisíc dolarů.

Jak rozpoznat phishingový útok

Téměř každý den se objevují nová podvodná schémata. Většina lidí se může naučit rozpoznávat podvodné zprávy sama tím, že se seznámí s některými z jejich charakteristických rysů. Nejčastěji phishingové zprávy obsahují:

  • informace vyvolávající obavy nebo hrozby, jako je uzavření uživatelských bankovních účtů.
  • sliby obrovských peněžních cen s malým nebo žádným úsilím.
  • žádosti o dobrovolné dary jménem charitativních organizací.
  • gramatické, interpunkční a pravopisné chyby.

Populární phishingová schémata

Nejoblíbenější phishingové podvody jsou popsány níže.

Podvody pomocí značek slavných korporací

Tyto phishingové podvody využívají falešné e-maily nebo webové stránky obsahující jména velkých nebo známých společností. Zprávy mohou obsahovat blahopřání k vítězství v soutěži pořádané společností nebo k naléhavé potřebě změnit své přihlašovací údaje nebo heslo. Podobná podvodná schémata jménem technické podpory lze provádět také po telefonu.

Podvodné loterie

Uživatel může obdržet zprávy uvádějící, že vyhrál loterii, kterou provedla nějaká známá společnost. Na první pohled se tyto zprávy mohou jevit, jako by byly odeslány jménem vedoucího zaměstnance společnosti.

Falešné antivirové a bezpečnostní programy
IVR nebo telefonní phishing

Princip činnosti IVR systémů

Qui o quo

Quid pro quo je zkratka běžně používaná v angličtině a znamená „quid pro quo“. Tento typ útoku spočívá v tom, že útočník volá společnosti na firemním telefonu. Ve většině případů se útočník vydává za zaměstnance technické podpory a ptá se, zda se vyskytly nějaké technické problémy. V procesu „řešení“ technických problémů podvodník „nutí“ cíl zadávat příkazy, které hackerovi umožní spustit nebo nainstalovat škodlivý software na počítač uživatele.

trojský kůň

Někdy je použití trojských koní jen součástí plánovaného vícefázového útoku na určité počítače, sítě nebo zdroje.

Typy trojských koní

Trojské koně jsou nejčastěji vyvíjeny pro škodlivé účely. Existuje klasifikace, ve které jsou rozděleni do kategorií podle toho, jak trojské koně infiltrují systém a způsobí mu škodu. Existuje 5 hlavních typů:

  • vzdálený přístup
  • zničení dat
  • nakladač
  • server
  • deaktivátor bezpečnostních programů

Cíle

Účelem programu trojského koně může být:

  • nahrávání a stahování souborů
  • kopírování falešných odkazů vedoucích na falešné webové stránky, chatovací místnosti nebo jiné registrační stránky
  • zasahování do práce uživatele
  • krádež cenných dat nebo tajemství, včetně ověřovacích informací, pro neoprávněný přístup ke zdrojům, získávání údajů o bankovních účtech, které by mohly být použity pro kriminální účely
  • šíření dalšího malwaru, jako jsou viry
  • zničení dat (smazání nebo přepsání dat na disku, špatně viditelné poškození souborů) a zařízení, vyřazení nebo výpadek obsluhy počítačových systémů, sítí
  • shromažďování e-mailových adres a jejich používání k rozesílání spamu
  • špehování uživatele a tajné sdělování informací třetím stranám, jako jsou zvyky při prohlížení
  • Protokolování úhozů za účelem odcizení informací, jako jsou hesla a čísla kreditních karet
  • deaktivace nebo narušení provozu antivirových programů a firewallů

Přestrojení

Mnoho trojských koní je umístěno v počítačích uživatelů bez jejich vědomí. Někdy jsou trojské koně registrovány v registru, což vede k jejich automatickému spuštění při spuštění operačního systému. Trojské koně lze také kombinovat s legitimními soubory. Když uživatel otevře takový soubor nebo spustí aplikaci, trojský kůň se spustí spolu s ním.

Jak funguje Trojan

Trojské koně se obvykle skládají ze dvou částí: klienta a serveru. Server běží na počítači oběti a monitoruje připojení od klienta. Zatímco Server běží, monitoruje port nebo více portů pro připojení od klienta. Aby se útočník mohl připojit k serveru, musí znát IP adresu počítače, na kterém běží. Některé trojské koně odesílají IP adresu počítače oběti útočící straně e-mailem nebo jiným způsobem. Jakmile dojde k připojení k Serveru, Klient mu může posílat příkazy, které Server provede. V současné době je díky technologii NAT nemožné přistupovat k většině počítačů přes jejich externí IP adresu. To je důvod, proč se dnes mnoho trojských koní připojuje k počítači útočníka, který je zodpovědný za příjem připojení, místo toho, aby se útočník sám snažil připojit k oběti. Mnoho moderních trojských koní může také snadno obejít firewally na uživatelských počítačích.

Sběr informací z otevřených zdrojů

Využití technik sociálního inženýrství vyžaduje nejen znalosti z psychologie, ale také schopnost sbírat potřebné informace o člověku. Relativně novým způsobem získávání takových informací byl jejich sběr z otevřených zdrojů, především ze sociálních sítí. Například stránky jako livejournal, Odnoklassniki, Vkontakte obsahují obrovské množství dat, které se lidé nesnaží skrývat. uživatelé nevěnují dostatečnou pozornost bezpečnostním problémům a ponechávají data a informace ve veřejné doméně, které může útočník využít.

Názorným příkladem je příběh o únosu syna Evgenije Kasperského. Během vyšetřování bylo zjištěno, že se zločinci dozvěděli teenagerův denní rozvrh a trasy z jeho příspěvků na stránce sociální sítě.

Ani omezením přístupu k informacím na své stránce na sociální síti si uživatel nemůže být jistý, že se nikdy nedostanou do rukou podvodníků. Například brazilský výzkumník počítačové bezpečnosti ukázal, že pomocí technik sociálního inženýrství je možné se stát přítelem jakéhokoli uživatele Facebooku do 24 hodin. Během experimentu si výzkumník Nelson Novaes Neto vybral „oběť“ a vytvořil falešný účet osoby z jejího prostředí – jejího šéfa. Neto nejprve rozeslal žádosti o přátelství přátelům přátel šéfa oběti a poté přímo jeho přátelům. Po 7,5 hodinách dostal výzkumník „oběť“, aby si ho přidal jako přítele. Výzkumník tak získal přístup k osobním údajům uživatele, které sdílel pouze se svými přáteli.

Silniční jablko

Tato metoda útoku je adaptací trojského koně a spočívá v použití fyzických médií. Útočník zasadí "nakažené" nebo flash na místo, kde lze nosič snadno najít (záchod, výtah, parkoviště). Média jsou falešná, aby vypadala oficiálně, a jsou doprovázena podpisem, který má vzbudit zvědavost. Podvodník může například vložit dopis opatřený firemním logem a odkazem na oficiální web společnosti a označit jej jako „Platy vedoucích pracovníků“. Disk lze ponechat na podlaze výtahu nebo v hale. Zaměstnanec může nevědomky zvednout disk a vložit jej do počítače, aby uspokojil svou zvědavost.

Reverzní sociální inženýrství

O reverzním sociálním inženýrství se hovoří, když oběť sama nabídne útočníkovi informace, které potřebuje. Může se to zdát absurdní, ale ve skutečnosti jednotlivci s autoritou v technické nebo sociální sféře často dostávají uživatelská ID, hesla a další citlivé osobní informace jednoduše proto, že nikdo nezpochybňuje jejich integritu. Zaměstnanci podpory například nikdy nepožadují od uživatelů ID nebo heslo; nepotřebují tyto informace k řešení problémů. Mnoho uživatelů však tyto důvěrné informace poskytuje dobrovolně za účelem rychlého vyřešení problémů. Ukazuje se, že útočník se na to ani nemusí ptát.

Příkladem reverzního sociálního inženýrství je následující jednoduchý scénář. Útočník pracující s obětí změní název souboru v počítači oběti nebo jej přesune do jiného adresáře. Když si oběť všimne, že soubor chybí, útočník tvrdí, že může vše opravit. Ve snaze dokončit práci rychleji nebo se vyhnout trestu za ztrátu informací oběť souhlasí s touto nabídkou. Útočník tvrdí, že problém lze vyřešit pouze přihlášením pomocí přihlašovacích údajů oběti. Nyní oběť požádá útočníka, aby se přihlásil pod jejím jménem a pokusil se soubor obnovit. Útočník neochotně souhlasí a obnoví soubor a přitom ukradne ID a heslo oběti. Úspěšným provedením útoku si dokonce vylepšil reputaci a je docela možné, že se na něj poté obrátí o pomoc další kolegové. Tento přístup nenarušuje běžné postupy poskytování podpůrných služeb a komplikuje dopadení útočníka.

Slavní sociální inženýři

Kevin Mitnick

Kevin Mitnick. Světově proslulý hacker a bezpečnostní konzultant

Jedním z nejznámějších sociálních inženýrů v historii je Kevin Mitnick. Jako světoznámý počítačový hacker a bezpečnostní konzultant je Mitnick také autorem mnoha knih o počítačové bezpečnosti, věnovaných především sociálnímu inženýrství a metodám psychologického ovlivňování lidí. V roce 2002 byla pod jeho autorstvím vydána kniha „The Art of Deception“, která vypráví o skutečných příbězích využití sociálního inženýrství. Kevin Mitnick tvrdil, že je mnohem snazší získat heslo podvodem, než se pokoušet hacknout bezpečnostní systém

Bratři Badirové

Navzdory skutečnosti, že bratři Mundir, Mushid a Shadi Badir byli od narození slepí, podařilo se jim v 90. letech v Izraeli provést několik rozsáhlých podvodných schémat pomocí sociálního inženýrství a falšování hlasu. V televizním rozhovoru řekli: "Pouze ti, kteří nepoužívají telefon, elektřinu a notebook, jsou zcela pojištěni proti síťovým útokům." Bratři už byli ve vězení za to, že mohli slyšet a dešifrovat tajné rušivé tóny telefonních operátorů. Uskutečňovali dlouhé hovory do zahraničí na cizí náklady a přeprogramovali počítače mobilních operátorů rušivými tóny.

Archanděl

Obálka časopisu Phrack

Slavný počítačový hacker a bezpečnostní konzultant slavného anglického online magazínu „Phrack Magazine“, Archangel demonstroval sílu technik sociálního inženýrství tím, že v krátkém čase získal hesla z velkého množství různých systémů a oklamal několik stovek obětí.

jiný

Mezi méně známé sociální inženýry patří Frank Abagnale, David Bannon, Peter Foster a Stephen Jay Russell.

Způsoby ochrany před sociálním inženýrstvím

K provádění svých útoků útočníci, kteří používají techniky sociálního inženýrství, často využívají důvěřivost, lenost, zdvořilost a dokonce nadšení uživatelů a zaměstnanců organizací. Není snadné se takovým útokům bránit, protože oběti si nemusí být vědomy, že byly podvedeny. Útočníci v oblasti sociálního inženýrství mají obecně stejné cíle jako jakýkoli jiný útočník: chtějí peníze, informace nebo IT zdroje oběti společnosti. Chcete-li se před takovými útoky chránit, musíte si prostudovat jejich typy, pochopit, co útočník potřebuje, a posoudit škody, které by mohly organizaci způsobit. Se všemi těmito informacemi můžete integrovat nezbytná ochranná opatření do vaší bezpečnostní politiky.

Klasifikace hrozeb

E-mailové hrozby

Mnoho zaměstnanců dostává každý den desítky a dokonce stovky e-mailů prostřednictvím firemních a soukromých e-mailových systémů. Samozřejmě při takovém toku korespondence není možné věnovat náležitou pozornost každému dopisu. Díky tomu je mnohem snazší provádět útoky. Většina uživatelů e-mailových systémů je při zpracovávání takových zpráv uvolněná a vnímá tuto práci jako elektronickou analogii přesouvání dokumentů z jedné složky do druhé. Když útočník pošle jednoduchou žádost poštou, jeho oběť často udělá to, o co je požádána, aniž by přemýšlela o svých činech. E-maily mohou obsahovat hypertextové odkazy, které lákají zaměstnance k porušení podnikové bezpečnosti. Takové odkazy nevedou vždy na uvedené stránky.

Většina bezpečnostních opatření je zaměřena na zabránění neoprávněným uživatelům v přístupu k podnikovým zdrojům. Pokud uživatel kliknutím na hypertextový odkaz zaslaný útočníkem nahraje do podnikové sítě trojského koně nebo virus, bude snadné obejít mnoho typů ochrany. Hypertextový odkaz může také směřovat na stránky s vyskakovacími aplikacemi, které žádají o data nebo nabízejí pomoc.Stejně jako u jiných typů podvodů je nejúčinnějším způsobem, jak se chránit před škodlivými útoky, být skeptický vůči jakýmkoli neočekávaným příchozím e-mailům. Chcete-li tento přístup prosazovat ve vaší organizaci, vaše zásady zabezpečení by měly obsahovat konkrétní pokyny pro používání e-mailu, které zahrnují následující prvky:

  • Přílohy k dokumentům.
  • Hypertextové odkazy v dokumentech.
  • Žádosti o osobní nebo firemní informace pocházející zevnitř společnosti.
  • Žádosti o osobní nebo firemní informace pocházející mimo společnost.

Hrozby spojené s používáním služeb rychlého zasílání zpráv

Instant messaging je relativně nový způsob přenosu dat, ale mezi firemními uživateli si již získal širokou oblibu. Vzhledem k rychlosti a jednoduchosti použití otevírá tento způsob komunikace široké možnosti pro různé útoky: uživatelé s ním nakládají jako s telefonním spojením a nespojují jej s potenciálními softwarovými hrozbami. Dva hlavní typy útoků založených na používání služeb rychlého zasílání zpráv jsou zahrnutí odkazu na škodlivý program do těla zprávy a doručení samotného programu. Zasílání rychlých zpráv je samozřejmě také jedním ze způsobů, jak si vyžádat informace. Jednou z vlastností služeb rychlého zasílání zpráv je neformální povaha komunikace. V kombinaci s možností přiřadit si jakékoli jméno to útočníkovi výrazně usnadňuje vydávat se za někoho jiného a výrazně zvyšuje jeho šance na úspěšné provedení útoku. Pokud společnost hodlá využít příležitostí ke snížení nákladů a dalších výhod poskytované instant messaging, je nutné zahrnout do podnikových bezpečnostních politik poskytující ochranné mechanismy proti relevantním hrozbám. Chcete-li získat spolehlivou kontrolu nad rychlým zasíláním zpráv v podnikovém prostředí, je třeba splnit několik požadavků.

  • Vyberte si jednu platformu pro rychlé zasílání zpráv.
  • Určete nastavení zabezpečení, která jsou zadána při nasazení služby rychlých zpráv.
  • Stanovit zásady pro navazování nových kontaktů
  • Nastavte standardy hesel
  • Poskytněte doporučení pro používání služby chatu.

Víceúrovňový bezpečnostní model

K ochraně velkých společností a jejich zaměstnanců před podvodníky využívajícími techniky sociálního inženýrství se často používají komplexní víceúrovňové bezpečnostní systémy. Některé funkce a odpovědnosti takových systémů jsou uvedeny níže.

  • Fyzická bezpečnost. Bariéry, které omezují přístup do firemních budov a firemních zdrojů. Nezapomeňte, že zdroje společnosti, například kontejnery na odpadky umístěné mimo území společnosti, nejsou fyzicky chráněny.
  • Data. Obchodní informace: účty, pošta atd. Při analýze hrozeb a plánování opatření na ochranu dat musíte určit zásady nakládání s papírovými a elektronickými datovými nosiči.
  • Aplikace. Uživatelem spouštěné programy. Chcete-li chránit své prostředí, musíte zvážit, jak mohou útočníci zneužít e-mailové programy, rychlé zasílání zpráv a další aplikace.
  • Počítače. Servery a klientské systémy používané v organizaci. Chrání uživatele před přímými útoky na jejich počítače tím, že definuje přísná pravidla určující, jaké programy lze na podnikových počítačích používat.
  • Vnitřní síť. Síť, jejímž prostřednictvím podnikové systémy interagují. Může být lokální, globální nebo bezdrátový. V posledních letech se díky rostoucí oblibě metod práce na dálku stávají hranice vnitřních sítí do značné míry libovolné. Zaměstnanci společnosti musí být informováni o tom, co musí dělat, aby fungovali bezpečně v jakémkoli síťovém prostředí.
  • Obvod sítě. Hranice mezi interními sítěmi firmy a externími, jako je internet nebo sítě partnerských organizací.

Odpovědnost

Předpisování a nahrávání telefonních hovorů

Hewlett Packard

Patricia Dunn, prezidentka společnosti Hewlett Packard Corporation, uvedla, že najala soukromou společnost, aby identifikovala zaměstnance společnosti, kteří byli odpovědní za únik důvěrných informací. Později šéf korporace připustil, že během výzkumného procesu byla použita praxe pretextingu a dalších technik sociálního inženýrství.

Poznámky

viz také

Odkazy

  • SocialWare.ru – Projekt soukromého sociálního inženýrství
  • - Sociální inženýrství: základy. Část I: Hackerská taktika
  • Ochrana proti phishingovým útokům.
  • Základy sociálního inženýrství – Securityfocus.com.
  • Sociální inženýrství, cesta USB – DarkReading.com.
  • Mělo by být sociální inženýrství součástí penetračního testování? – darknet.org.uk.
  • „Ochrana spotřebitelů“ Telefonní záznamy, Elektronické informační centrum pro ochranu soukromí Americký výbor pro obchod, vědu a dopravu .
  • Plotkin, Hal. Poznámka pro tisk: Předpisování je již nezákonné.
  • Striptýz pro hesla – MSNBC.MSN.com.
  • Social-Engineer.org – social-engineer.org.


1. díl (rozbitý na části kvůli velikosti článku. Jakmile dosáhnu 50 zobrazení, zveřejním druhý).

Mnoho skutečných hackerů, kteří se neustále zabývají hackováním, má vždy v zásobě několik triků SI, protože tam, kde není možné najít zranitelnost v kódu, lze ji často najít v myslích podpůrné služby nebo vlastníka e - mail, ICQ nebo web...

Od teorie k praxi
Co je sociální inženýrství, jste si již přečetli v jednom z předchozích vydání vašeho oblíbeného časopisu, takže můžeme s jistotou říci, že hardware byl úspěšně zvládnut. Nyní navrhuji jet na cvičnou jízdu.

Sociální inženýři jsou velmi příjemní lidé, se kterými se mluví: kultivovaní, přátelští, s velkým smyslem pro humor. Mají neuvěřitelně flexibilní mysl, inovativní myšlení a spoustu nápadů, jak efektivněji dosahovat svých cílů. Právě na ně jsem se obrátil o pomoc při přípravě materiálu. Našimi konzultanty budou: GoodGod - tvůrce jednoho z nejpopulárnějších ruskojazyčných projektů o sociálním inženýrství socialware.ru; Ayumi (spylabs.org); Ivan je dalším mistrem hackování lidských mozků, který si přál zůstat inkognito.

Jít!

Únos ICQ čísla (bez primárního e-mailu)
K únosu ICQ budete potřebovat:

  • seznam domén, na kterých jsou registrované e-maily (jak je získat - čtěte v prosincovém čísle ][ za rok 2009, video „Hromadné únosy domén“ od GoodGod);
  • ICQ číslo, ze kterého dojde k počátečnímu útoku;
  • ICQ číslo vydané pro SEO specialistu (s příslušnými údaji a podrobnostmi v info).
Takže je tu „zbraň“, pojďme k útoku. Upoutejte pozornost oběti: postačí například situace, kdy jste si ji spletli s někým jiným. Poté se můžete omluvit a zahájit neformální konverzaci a postupně budovat důvěru. Nechte jí (oběť) chvíli trvat, než si na vás zvykne. Dále se konverzace stočí na téma vydělávání peněz - řeknete jim, co vyděláváte na internetu (zatím neříkejte jak přesně, abyste svého partnera nevyděsili). Po nějaké době jim řekněte, že vám kamarád, který propaguje webové stránky, nabídl práci: nemusíte dělat nic zvláštního, ale každý den přijde asi 200 rublů. Pokud oběť sama nepřevezme iniciativu, pak udělejte první krok a nabídněte, že se setkáte s přítelem.

Nechcete-li se hned seznámit, zastavte na chvíli tuto konverzaci, protože při přílišném stisknutí může být efekt opačný; Raději se k tomu vraťte o něco později pod jinou záminkou.

Mimochodem, pokud je oběť přirozeně plachá, nedonutíte ji ke kontaktu s cizím člověkem, takže se budete muset věnovat „pumpování“, aby k seznámení skutečně došlo. A tak se klient obrátí na SEO kamaráda (tedy na vás). Projevte zdravou nedůvěru hned na začátku otázkami typu „Kde jste se o projektu dozvěděli? Od Saši? Ach, Sašo... Ano, vzpomínám si. Dobře, teď vám řeknu podstatu práce." Dále nám řekněte o projektu ICQ Search, propagaci webových stránek, popište možnosti platby (200 rublů za den nebo 1400 za týden - nechte ho vybrat možnost, která je pro něj výhodná). Neustále zaměřujte pozornost „klienta“ na realistické detaily, abyste jej odvedli od zbytečných myšlenek. Čím intenzivnější je útok a čím více nových informací, tím méně času má na přemýšlení o tom, co se děje. Nakonec popište schéma vydělávání peněz: ať si vybere web ze seznamu připraveného na začátku, prohlédne si whois na email, na který web odkazuje (ať si to udělá sám) a zadá ho do „E-mail “ ve svém ICQ profilu. Nezapomeňte vysvětlit, že pokud je v datech ICQ a domény uveden stejný e-mail, pak čím častěji je ve vyhledávání vyhledáno ICQ, tím vyšší je hodnocení webu ve vyhledávači. Jakmile oběť dokončí vazbu, obnovíte heslo na zadaný e-mail a UIN je vaše!

Pokud heslo nedorazí e-mailem, znamená to, že číslo již má primární poštu a únos je třeba zorganizovat jiným způsobem.

Hackování pošty
Zjistěte odpověď na tajnou otázku
Otázky na poštovních serverech jsou obvykle velmi podobné:

  • rodné jméno matky;
  • Oblíbené jídlo;
  • Jméno mazlíčka;
  • Číslo pasu;
  • Osobní otázka (jméno prvního učitele; rejstřík; oblíbený film; oblíbený interpret).
Na otázky jako „Oblíbené jídlo“ nebo „Jméno psa“ si můžete vybrat odpověď sami, pokud máte dobrou intuici. Pokud intuice není vaší hlavní silnou stránkou nebo otázka vyžaduje konkrétnější znalosti, pak budete muset tvrdě pracovat. Nejprve shromáždíme co nejvíce informací o majiteli krabice. Velmi žádoucí je číslo ICQ nebo stránka VKontakte. Poté přidáme oběť do seznamu kontaktů, pod jakoukoli záminkou se seznámíme (zde se nám budou hodit všechny shromážděné informace) a zahájíme „útok“, abychom zjistili potřebnou odpověď na tajnou otázku. V této fázi je hlavní nespěchat, vše by mělo být důsledné a přirozené, aby oběť neměla žádné podezření.

Jaká schémata fungují? Jméno matky za svobodna – založte téma o rodokmenu nebo o tom, jaké legrační příjmení měla vaše matka před svatbou. Oblíbené jídlo – zde je vše jasné. Jméno zvířete - mluvte o mazlíčcích: minulosti, přítomnosti a budoucnosti, protože kódové slovo může být jméno prvního darovaného křečka. S číslem pasu to bude složitější. Zde můžete být v pokušení koupit si například levný, nedostatkový produkt, který je dodán s platbou při dodání, ale pro zadání objednávky potřebujete údaje o pasu a identifikační kód. Jméno první učitelky můžete zjistit od spolužáků oběti, nebo si s ní přímo promluvit o jejích oblíbených učitelích; Je snazší získat index stažením databáze města a od oběti můžete jednoduše zjistit, ve které oblasti žije. Hlavní je zde vynalézavost, představivost a trpělivost.

Je tu jedna malá, ale důležitá nuance. Někdy na otázku „Oblíbené jídlo“ může být odpovědí například telefonní číslo, tedy naprostý rozpor mezi otázkou a odpovědí. Zde budete muset zahájit konverzaci o směšných kombinacích a nesmyslnosti bezpečnostních otázek a pak začít znovu, nejlépe pod jiným účtem.

Kontaktování zákaznické podpory
Tato metoda je pracnější a děsivější, ale je potřebná, pokud si oběť nechce „vstřikovat“ nebo pokud je krabice „mrtvá“, to znamená, že ji majitel dlouho nenavštívil. Chcete-li to provést, přejděte na stránku podpory požadované e-mailové služby a napište dopis s žádostí o obnovení vašeho odcizeného hesla. S největší pravděpodobností budete požádáni o vaše jméno, příjmení (nebo údaje, které byly uvedeny při registraci), datum narození a přibližné datum registrace schránky (minimálně rok). Pokuste se proto o oběti a její schránce zjistit co nejvíce informací. Pomohou vám s tím vyhledávače, sociální sítě a blogy.

Phishing
Jeden z nejúčinnějších způsobů, jak získat heslo, aniž by o něm majitel vůbec věděl. Oběti je nabídnut odkaz ke sledování a zadání uživatelského jména a hesla. Tato data se odesílají do souboru hlášení, databáze (pokud je krádež masivní) nebo e-mailu. Hlavním trikem je donutit oběť kliknout na tento odkaz. Forma může být jakákoli:

  • Zpráva „z administrace“ (čti: z poštovní služby s podvrženou adresou) o spamu z této schránky. Příklad: „Vážený uživateli, (uživatelské jméno)! Váš účet obdržel stížnosti na spam, a proto má administrace právo dočasně pozastavit nebo zablokovat jeho provoz. Je dost možné, že k němu útočníci získali přístup. Chcete-li potvrdit vlastnictví svého účtu, proveďte opětovnou autorizaci pomocí tohoto odkazu (hypertextový odkaz na falešný). Pokud do 5 dnů nedojde k potvrzení, poštovní účet bude zablokován. S pozdravem služba podpory (název poštovní služby)." Hraní na strach ze ztráty krabice.
  • Když víte o zálibách oběti, můžete se o to zajímat. Například dopis s tématem zájmu, ve kterém je pokryta pouze část informací, zbytek je pokryt kliknutím na odkaz. Odkaz vede na pseudopřihlašovací stránku a zbytek informací si můžete přečíst až po přihlášení.
Příklad: „Pouze 15. – 17. srpna 2010 ve (městě oběti) probíhá praktický nácvik 100% efektivního budování mezigenderových vztahů! Poprvé budou odhalena jistá tajemství sexuality a přitažlivosti, z nichž některá můžete vidět zde (hypertextový odkaz). Zbytek je v tréninku. A nezapomeňte, že teorie je jen teorie. Vše se můžete naučit praxí. Školení vede autor Egor Asin (hyperlink). Pro přihlášené do 10. srpna je první lekce zdarma. Pro registraci vyplňte tento formulář (hypertextový odkaz).”

Zemědělství
Stává se také, že oběť je dostatečně chytrá (nebo lhostejná), aby na odkazy neklikala. V tomto případě se budete muset uchýlit k trojským koním/joinerům/skriptům, abyste mohli manipulovat se souborem HOSTS nebo hacknout server DNS nebo DHCP jeho poskytovatele. Zároveň, když uživatel přejde na stránku zkontrolovat e-mail, dojde k přesměrování na úplně stejný, pouze phishingový. Uživatel nic netuší, zadá svá data a pomocí interního autorizačního skriptu se dostane do svého „nativního“ e-mailu a přihlašovací jméno a heslo jsou odeslány na váš e-mail. Krása je, že oběť ani neví, co se stalo.

Každá velká nebo i malá organizace má slabá místa v informační bezpečnosti. I když mají všechny počítače společnosti ten nejlepší software, všichni zaměstnanci mají nejsilnější hesla a všechny počítače monitorují nejchytřejší správci, stále můžete najít slabé místo. A jednou z nejdůležitějších „slabých stránek“ jsou lidé, kteří ve firmě pracují, mají přístup k počítačovým systémům a jsou ve větší či menší míře nositeli informací o organizaci. Lidé, kteří plánují krást informace, nebo jinak řečeno hackeři, mají z lidského faktoru jen prospěch. A právě na lidech zkoušejí různé metody ovlivňování zvané sociální inženýrství. Pokusím se o tom dnes v článku mluvit a o nebezpečí, které představuje pro běžné uživatele a organizace.

Nejprve si ujasněme, co je sociální inženýrství – je to termín používaný crackery a hackery, který označuje neoprávněný přístup k informacím, ale je zcela opačný než hackování softwarového označení. Cílem není hacknout, ale oklamat lidi tak, aby sami poskytli hesla nebo jiné informace, které mohou později hackerům pomoci narušit zabezpečení systému. Tento typ podvodu zahrnuje telefonické zavolání organizace a identifikaci těch zaměstnanců, kteří mají požadované informace, a následné volání identifikovaného administrátora ze strany neexistujícího zaměstnance, který má údajně problémy s přístupem do systému.

Sociální inženýrství přímo souvisí s psychologií, ale vyvíjí se jako její samostatná část. V dnešní době se inženýrský přístup používá velmi často, zejména pro neodhalenou práci zloděje při krádeži dokumentů. Tato metoda se používá k výcviku špionů a tajných agentů k tajnému pronikání bez zanechání stop.

Člověk je schopen myslet, uvažovat, dospět k tomu či onomu závěru, ale závěry se nemusí vždy ukázat jako skutečné, vlastní a nevnucené zvenčí, jak je potřebuje někdo jiný. Ale nejzajímavější a hlavní věc, která pomáhá podvodníkům, je, že si člověk nemusí všimnout, že jeho závěry jsou nepravdivé. Do poslední chvíle si může myslet, že o všem rozhodl sám. Právě tuto funkci využívají lidé praktikující sociální inženýrství.

Smyslem sociálního inženýrství je krádež informací. Lidé, kteří to dělají, se snaží ukrást informace bez zbytečné pozornosti, a pak je použít podle vlastního uvážení: prodat nebo vydírat původního vlastníka. Podle statistik se velmi často ukazuje, že k takovým trikům dochází na žádost konkurenční firmy.

Nyní se podívejme na způsoby sociálního inženýrství.

Lidské odmítnutí služby (HDoS)

Podstatou tohoto útoku je tiše donutit člověka nereagovat na určité situace.

Například simulace útoku na nějaký přístav slouží jako diverzní manévr. Správce systému je rozptylován chybami a v tuto chvíli snadno pronikne na server a vezme si informace, které potřebuje. Správce si však může být jistý, že na tomto portu nemohou být žádné chyby, a pak bude okamžitě zaznamenáno pronikání hackera. Celá podstata této metody spočívá v tom, že útočník musí znát psychologii a úroveň znalostí správce systému. Bez těchto znalostí není průnik na server možný.

Metoda volání.

Tímto způsobem se rozumí telefonický hovor tzv. „oběti“. Podvodník zavolá oběti a pomocí správně pronesené řeči a psychologicky správně položených otázek ji uvede v omyl a zjistí všechny potřebné informace.

Například: volá podvodník a říká, že na žádost administrátora prověřuje funkčnost zabezpečovacího systému. Poté požádá o heslo a uživatelské jméno a poté má všechny potřebné informace v kapse.

Vizuální kontakt.

Nejtěžší způsob. S tím si poradí jen odborně vyškolení lidé. Smyslem této metody je, že musíte najít přístup k oběti. Jakmile bude nalezen přístup, bude možné jej použít k potěšení oběti a získání její důvěry. A poté oběť sama vyloží všechny potřebné informace a bude se jí zdát, že neříká nic důležitého. To může udělat pouze profesionál.

E-mailem.

Toto je nejběžnější způsob, jak hackeři získávají informace. Ve většině případů hackeři pošlou oběti dopis od někoho, koho údajně znají. Nejtěžší na této metodě je okopírovat způsob a styl psaní tohoto kamaráda. Pokud oběť věří v podvod, pak zde již můžete získat všechny informace, které by hacker mohl potřebovat.

Metody sociálního inženýrství – právě o tom bude řeč v tomto článku, stejně jako o všem, co souvisí s manipulací s lidmi, phishingem a krádežemi klientských databází a dalšími. Andrey Serikov nám laskavě poskytl informace, jejichž autorem je, za což mu velmi děkujeme.

A. SERIKOV

A.B.BOROVSKÝ

INFORMAČNÍ TECHNOLOGIE SOCIÁLNÍHO HACKINGU

Úvod

Touha lidstva po dokonalém plnění zadaných úkolů sloužila k rozvoji moderní výpočetní techniky a snahy uspokojit protichůdné požadavky lidí vedly k vývoji softwarových produktů. Tyto softwarové produkty nejen udržují funkčnost hardwaru, ale také jej spravují.

Rozvoj znalostí o člověku a počítači vedl ke vzniku zásadně nového typu systému – „člověk-stroj“, kde člověk může být umístěn jako hardware pracující pod kontrolou stabilního, funkčního, multi-taskingového operačního systému. systém zvaný „psychika“.

Předmětem práce je úvaha o sociálním hackingu jako odvětví sociálního programování, kdy je člověk manipulován pomocí lidských slabostí, předsudků a stereotypů v sociálním inženýrství.

Sociální inženýrství a jeho metody

Metody lidské manipulace jsou známy již dlouhou dobu, do sociálního inženýrství se dostaly především z arzenálu různých zpravodajských služeb.

První známý případ konkurenčního zpravodajství pochází z 6. století př. n. l. a došlo k němu v Číně, kdy Číňané ztratili tajemství výroby hedvábí, které bylo podvodně ukradeno římskými špiony.

Sociální inženýrství je věda, která je definována jako soubor metod manipulace s lidským chováním, založených na využití slabin lidského faktoru, bez použití technických prostředků.

Podle mnoha odborníků představují největší hrozbu pro informační bezpečnost metody sociálního inženýrství, už proto, že využití sociálního hackingu nevyžaduje značné finanční investice a důkladnou znalost výpočetní techniky, a také proto, že lidé mají určité sklony k chování, které mohou být slouží k pečlivé manipulaci.

A bez ohledu na to, jak se systémy technické ochrany zlepší, lidé zůstanou lidmi se svými slabostmi, předsudky, stereotypy, s jejichž pomocí probíhá řízení. Nastavení lidského „bezpečnostního programu“ je nejtěžší úkol a ne vždy vede k zaručeným výsledkům, protože tento filtr je nutné neustále upravovat. Zde zní hlavní motto všech bezpečnostních expertů relevantněji než kdy jindy: „Bezpečnost je proces, nikoli výsledek.“

Oblasti použití sociálního inženýrství:

  1. obecná destabilizace práce organizace s cílem snížit její vliv a možnost následného úplného zničení organizace;
  2. finanční podvody v organizacích;
  3. phishing a další způsoby krádeže hesel za účelem přístupu k osobním bankovním údajům jednotlivců;
  4. krádeže klientských databází;
  5. soutěžní inteligence;
  6. obecné informace o organizaci, jejích silných a slabých stránkách, s cílem následně tuto organizaci tak či onak zničit (často používané pro útoky nájezdníků);
  7. informace o nejslibnějších zaměstnancích s cílem je dále „nalákat“ do vaší organizace;

Sociální programování a sociální hacking

Sociální programování lze nazvat aplikovanou disciplínou, která se zabývá cíleným ovlivňováním člověka nebo skupiny lidí za účelem změny nebo udržení jejich chování požadovaným směrem. Sociální programátor si tedy stanoví cíl: ovládnout umění řídit lidi. Základním konceptem sociálního programování je, že jednání mnoha lidí a jejich reakce na ten či onen vnější vliv jsou v mnoha případech předvídatelné.

Metody sociálního programování jsou atraktivní, protože se o nich buď nikdo nikdy nedozví, nebo i když někdo něco tuší, je velmi obtížné postavit takovou postavu před soud a v některých případech je možné „naprogramovat“ chování lidí a jedna osoba a velká skupina. Tyto příležitosti spadají do kategorie sociálního hackingu právě proto, že ve všech z nich lidé provádějí vůli někoho jiného, ​​jako by se podřídili „programu“ napsanému sociálním hackerem.

Sociální hacking jako schopnost hacknout člověka a naprogramovat ho k provádění požadovaných akcí pochází ze sociálního programování - aplikované disciplíny sociálního inženýrství, kde specialisté v této oblasti - sociální hackeři - používají techniky psychologického vlivu a jednání, vypůjčené z arzenálu zpravodajských služeb.

Sociální hacking se používá ve většině případů, pokud jde o napadení osoby, která je součástí počítačového systému. Počítačový systém, který je hacknut, sám o sobě neexistuje. Obsahuje důležitou složku – osobu. A aby získal informace, sociální hacker potřebuje hacknout člověka, který pracuje s počítačem. Ve většině případů je to jednodušší, než se nabourat do počítače oběti ve snaze zjistit heslo.

Typický algoritmus vlivu v sociálním hackingu:

Všechny útoky sociálních hackerů zapadají do jednoho poměrně jednoduchého schématu:

  1. je formulován účel ovlivnění konkrétního objektu;
  2. informace o objektu se shromažďují za účelem odhalení nejvhodnějších cílů vlivu;
  3. Na základě shromážděných informací je implementována fáze, kterou psychologové nazývají přitažlivost. Přitažlivost (z lat. Attrahere - přitahovat, přitahovat) je vytvoření nezbytných podmínek pro ovlivňování předmětu;
  4. nutit sociálního hackera k akci;

Nátlaku je dosaženo provedením předchozích fází, to znamená, že po dosažení přitažlivosti oběť sama podnikne kroky potřebné pro sociálního inženýra.

Na základě shromážděných informací sociální hackeři poměrně přesně předpovídají psycho- a sociotyp oběti, přičemž identifikují nejen potřeby jídla, sexu atd., ale také potřebu lásky, potřebu peněz, potřebu pohodlí atd. ., atd.

A skutečně, proč se snažit proniknout do té či oné společnosti, hackovat počítače, bankomaty, organizovat složité kombinace, když všechno můžete udělat jednodušeji: zamilovat se do vás člověka, který ze své vůle převede peníze do specifikovaný účet nebo sdílet potřebné peníze pokaždé, když informace?

Na základě skutečnosti, že jednání lidí je předvídatelné a také podléhá určitým zákonům, sociální hackeři a sociální programátoři používají jak originální vícekrokové, tak jednoduché pozitivní a negativní techniky založené na psychologii lidského vědomí, behaviorálních programech, vibracích vnitřních orgánů, logice myšlení, představivost, paměť, pozornost. Tyto techniky zahrnují:

Dřevo generátor - generuje oscilace stejné frekvence jako frekvence oscilací vnitřních orgánů, po kterých je pozorován rezonanční efekt, v důsledku čehož lidé začínají pociťovat vážné nepohodlí a stav paniky;

dopad na geografii davu - pro pokojné rozpuštění extrémně nebezpečných agresivních, velkých skupin lidí;

vysokofrekvenční a nízkofrekvenční zvuky - vyvolat paniku a její zpětný efekt, stejně jako další manipulace;

program sociální imitace - člověk určuje správnost jednání tím, že zjišťuje, jaké jednání ostatní lidé považují za správné;

claqueringový program - (založený na sociálním napodobování) organizace potřebné reakce publika;

tvorba front - (založený na sociálním napodobování) jednoduchý, ale účinný reklamní tah;

program vzájemné pomoci - člověk se snaží oplatit laskavost těm lidem, kteří mu udělali nějakou laskavost. Touha splnit tento program často převyšuje všechny rozumy;

Sociální hackování na internetu

S nástupem a rozvojem internetu – virtuálního prostředí skládajícího se z lidí a jejich interakcí, se rozšířilo prostředí pro manipulaci s člověkem za účelem získání potřebných informací a provedení potřebných úkonů. V dnešní době je internet prostředkem celosvětového vysílání, prostředkem pro spolupráci, komunikaci a pokrývá celou zeměkouli. To je přesně to, co sociální inženýři používají k dosažení svých cílů.

Způsoby, jak manipulovat s osobou přes internet:

V moderním světě si již majitelé téměř každé společnosti uvědomili, že internet je velmi efektivním a pohodlným prostředkem pro rozšíření jejich podnikání a jeho hlavním úkolem je zvyšovat zisky celé společnosti. Je známo, že bez informací zaměřených na upoutání pozornosti k požadovanému předmětu, vyvolání nebo udržení zájmu o něj a jeho propagaci na trhu se využívá reklama. Jen díky tomu, že reklamní trh je dlouhodobě rozdělený, jsou většina typů reklamy pro většinu podnikatelů vyhozené peníze. Internetová reklama není jen jedním z typů reklamy v médiích, je něčím víc, protože pomocí internetové reklamy přicházejí na web organizace zájemci o spolupráci.

Internetová reklama má na rozdíl od reklamy v médiích mnohem více možností a parametrů pro řízení reklamní společnosti. Nejdůležitějším ukazatelem internetové reklamy je to Poplatky za internetovou reklamu jsou strženy pouze při přechodu zainteresovaný uživatel prostřednictvím reklamního odkazu, což samozřejmě činí reklamu na internetu efektivnější a méně nákladnou než reklama v médiích. Po podání reklamy v televizi nebo v tištěných médiích ji tedy zaplatí v plné výši a jednoduše čekají na potenciální klienty, ale klienti mohou na reklamu reagovat nebo ne - vše závisí na kvalitě výroby a prezentace reklamy v televizi nebo novinách , rozpočet na reklamu však již byl vyčerpán v případě Pokud reklama nefungovala, byla promarněna. Na rozdíl od takové mediální reklamy má internetová reklama schopnost sledovat odezvu publika a řídit internetovou reklamu ještě před vyčerpáním rozpočtu; internetová reklama může být navíc pozastavena, když se poptávka po produktech zvýší, a znovu se spustí, když poptávka začne klesat.

Další metodou ovlivňování je tzv. „Killing of Forums“, kdy za pomoci sociálního programování vytvářejí antireklamu na konkrétní projekt. V tomto případě sociální programátor s pomocí zjevných provokativních akcí zničí fórum sám pomocí několika pseudonymů ( přezdívka) vytvořit kolem sebe anti-leaderskou skupinu a přilákat do projektu pravidelné návštěvníky, kteří nejsou spokojeni s chováním administrativy. Na konci takových akcí je nemožné propagovat produkty nebo nápady na fóru. K tomu bylo fórum původně vyvinuto.

Metody ovlivňování člověka přes internet za účelem sociálního inženýrství:

Phishing je druh internetového podvodu, jehož cílem je získat přístup k důvěrným uživatelským datům – přihlašovacím údajům a heslům. Tohoto provozu je dosaženo hromadným rozesíláním e-mailů jménem oblíbených značek, ale i osobními zprávami v rámci různých služeb (Rambler), bank nebo v rámci sociálních sítí (Facebook). Dopis často obsahuje odkaz na webovou stránku, která je navenek k nerozeznání od té skutečné. Poté, co se uživatel dostane na falešnou stránku, sociální inženýři pomocí různých technik povzbudí uživatele, aby na stránce zadal své přihlašovací jméno a heslo, které používá pro přístup na konkrétní stránku, což mu umožňuje získat přístup k účtům a bankovním účtům.

Nebezpečnějším typem podvodu než phishing je tzv. pharming.

Pharming je mechanismus pro skryté přesměrování uživatelů na phishingové stránky. Sociální inženýr distribuuje do počítačů uživatelů speciální škodlivé programy, které po spuštění na počítači přesměrovávají požadavky z potřebných stránek na falešné. Útok je tedy vysoce tajný a účast uživatele je minimalizována – stačí počkat, až se uživatel rozhodne navštívit stránky, které sociálního inženýra zajímají.

Závěr

Sociální inženýrství je věda, která vzešla ze sociologie a tvrdí, že je souborem znalostí, které řídí, uspořádávají a optimalizují proces vytváření, modernizace a reprodukce nových („umělých“) sociálních realit. Určitým způsobem „dotváří“ sociologickou vědu, završuje ji ve fázi přeměny vědeckých poznatků na modely, projekty a návrhy společenských institucí, hodnot, norem, algoritmů činnosti, vztahů, chování atd.

Navzdory skutečnosti, že sociální inženýrství je relativně mladá věda, působí velké škody na procesech, které se vyskytují ve společnosti.

Nejjednodušší metody ochrany před účinky této destruktivní vědy jsou:

Upozorňování lidí na otázky bezpečnosti.

Uživatelé chápou závažnost problému a akceptují zásady zabezpečení systému.

Literatura

1. R. Petersen Linux: Kompletní průvodce: přel. z angličtiny — 3. vyd. - K.: BHV Publishing Group, 2000. – 800 s.

2. Z internetu Grodnev u vás doma. - M.: “RIPOL CLASSIC”, 2001. -480 s.

3. M. V. Kuzněcov Sociální inženýrství a sociální hacking. Petrohrad: BHV-Petersburg, 2007. - 368 s.: ill.