इस लेख में हम "सोशल इंजीनियरिंग" की अवधारणा पर ध्यान देंगे। शब्द की एक सामान्य परिभाषा पर यहां विचार किया जाएगा। हम यह भी जानेंगे कि इस अवधारणा के संस्थापक कौन थे। आइए हमलावरों द्वारा उपयोग किए जाने वाले सोशल इंजीनियरिंग के मुख्य तरीकों के बारे में अलग से बात करते हैं।
परिचय
ऐसे तरीके जो आपको किसी व्यक्ति के व्यवहार को ठीक करने और तकनीकी उपकरणों के उपयोग के बिना उसकी गतिविधियों का प्रबंधन करने की अनुमति देते हैं, सामाजिक इंजीनियरिंग की सामान्य अवधारणा बनाते हैं। सभी विधियां इस दावे पर आधारित हैं कि मानव कारक किसी भी प्रणाली की सबसे विनाशकारी कमजोरी है। अक्सर इस अवधारणा को अवैध गतिविधि के स्तर पर माना जाता है, जिसके माध्यम से अपराधी विषय-पीड़ित से बेईमानी से जानकारी प्राप्त करने के उद्देश्य से एक कार्रवाई करता है। उदाहरण के लिए, यह किसी प्रकार का हेरफेर हो सकता है। हालाँकि, सामाजिक इंजीनियरिंग का उपयोग मनुष्यों द्वारा वैध गतिविधियों में भी किया जाता है। आज तक, संवेदनशील या संवेदनशील जानकारी वाले संसाधनों तक पहुँचने के लिए इसका सबसे अधिक उपयोग किया जाता है।
संस्थापक
सोशल इंजीनियरिंग के संस्थापक केविन मिटनिक हैं। हालाँकि, अवधारणा स्वयं समाजशास्त्र से हमारे पास आई थी। यह लागू सामाजिक द्वारा उपयोग किए जाने वाले दृष्टिकोणों के एक सामान्य सेट को दर्शाता है। विज्ञान ने संगठनात्मक संरचना को बदलने पर ध्यान केंद्रित किया जो मानव व्यवहार को निर्धारित कर सकता है और उस पर नियंत्रण का अभ्यास कर सकता है। केविन मिटनिक को इस विज्ञान का संस्थापक माना जा सकता है, क्योंकि यह वह था जिसने सामाजिक को लोकप्रिय बनाया। 21 वीं सदी के पहले दशक में इंजीनियरिंग। केविन खुद पहले एक हैकर था जिसने अवैध रूप से विभिन्न प्रकार के डेटाबेस में प्रवेश किया था। उन्होंने तर्क दिया कि मानव कारक किसी भी स्तर की जटिलता और संगठन की प्रणाली का सबसे कमजोर बिंदु है।
अगर हम गोपनीय डेटा का उपयोग करने के अधिकार (अक्सर अवैध) प्राप्त करने के तरीके के रूप में सोशल इंजीनियरिंग के तरीकों के बारे में बात करते हैं, तो हम कह सकते हैं कि वे बहुत लंबे समय से जाने जाते हैं। हालांकि, यह के. मिटनिक थे जो उनके अर्थ और आवेदन की ख़ासियत के महत्व को व्यक्त करने में सक्षम थे।
फ़िशिंग और गैर-मौजूद लिंक
सोशल इंजीनियरिंग की कोई भी तकनीक संज्ञानात्मक विकृतियों की उपस्थिति पर आधारित होती है। एक कुशल इंजीनियर के हाथों में व्यवहार संबंधी त्रुटियां एक "उपकरण" बन जाती हैं, जो भविष्य में महत्वपूर्ण डेटा प्राप्त करने के उद्देश्य से हमला कर सकता है। सामाजिक इंजीनियरिंग विधियों में, फ़िशिंग और गैर-मौजूद लिंक प्रतिष्ठित हैं।
फ़िशिंग एक ऑनलाइन घोटाला है जिसे उपयोगकर्ता नाम और पासवर्ड जैसी व्यक्तिगत जानकारी प्राप्त करने के लिए डिज़ाइन किया गया है।
गैर-मौजूद लिंक - एक लिंक का उपयोग करना जो प्राप्तकर्ता को निश्चित रूप से लुभाएगालाभ जो उस पर क्लिक करके और किसी विशिष्ट साइट पर जाकर प्राप्त किए जा सकते हैं। अक्सर, बड़ी कंपनियों के नामों का उपयोग किया जाता है, जिससे उनके नाम में सूक्ष्म समायोजन होता है। पीड़ित, लिंक पर क्लिक करके, "स्वेच्छा से" अपने व्यक्तिगत डेटा को हमलावर को स्थानांतरित कर देगा।
ब्रांड का उपयोग करने के तरीके, दोषपूर्ण एंटीवायरस और एक नकली लॉटरी
सोशल इंजीनियरिंग ब्रांड नाम के घोटाले, दोषपूर्ण एंटीवायरस और नकली लॉटरी का भी उपयोग करता है।
"धोखाधड़ी और ब्रांड" - धोखे का एक तरीका, जो फ़िशिंग अनुभाग से भी संबंधित है। इसमें ईमेल और वेबसाइटें शामिल हैं जिनमें एक बड़ी और/या "हाइप्ड" कंपनी का नाम शामिल है। एक निश्चित प्रतियोगिता में जीत की सूचना के साथ उनके पृष्ठों से संदेश भेजे जाते हैं। इसके बाद, आपको महत्वपूर्ण खाता जानकारी दर्ज करने और उसे चोरी करने की आवश्यकता है। साथ ही, इस प्रकार की धोखाधड़ी को फोन द्वारा अंजाम दिया जा सकता है।
नकली लॉटरी - एक विधि जिसमें पीड़ित को संदेश भेजा जाता है कि उसने (ए) जीती (ए) लॉटरी। अक्सर, बड़े निगमों के नामों का उपयोग करके अलर्ट को छुपाया जाता है।
नकली एंटीवायरस सॉफ्टवेयर स्कैम होते हैं। यह एंटीवायरस की तरह दिखने वाले प्रोग्राम का उपयोग करता है। हालांकि, वास्तव में, वे किसी विशेष खतरे के बारे में झूठी सूचनाएं उत्पन्न करते हैं। वे लेन-देन के दायरे में उपयोगकर्ताओं को लुभाने की भी कोशिश करते हैं।
विशिंग, झांसा देना और बहाना बनाना
शुरुआती लोगों के लिए सोशल इंजीनियरिंग के बारे में बात करते समय, हमें विशिंग, फ़्रीकिंग और प्रीटेक्सटिंग का भी उल्लेख करना चाहिए।
विशिंग एक प्रकार का धोखा है जो टेलीफोन नेटवर्क का उपयोग करता है। यह प्री-रिकॉर्डेड वॉयस मैसेज का उपयोग करता है, जिसका उद्देश्य बैंकिंग संरचना या किसी अन्य आईवीआर सिस्टम की "आधिकारिक कॉल" को फिर से बनाना है। अक्सर, उन्हें किसी भी जानकारी की पुष्टि करने के लिए एक उपयोगकर्ता नाम और / या पासवर्ड दर्ज करने के लिए कहा जाता है। दूसरे शब्दों में, सिस्टम को पिन कोड या पासवर्ड का उपयोग करके उपयोगकर्ता द्वारा प्रमाणीकरण की आवश्यकता होती है।
फ़्रीकिंग फ़ोन घोटाले का दूसरा रूप है। यह ध्वनि हेरफेर और टोन डायलिंग का उपयोग करने वाला एक हैकिंग सिस्टम है।
प्रीटेक्सटिंग एक पूर्व नियोजित योजना का उपयोग करके एक हमला है, जिसका सार दूसरे विषय का प्रतिनिधित्व करना है। धोखा देने का एक अत्यंत कठिन तरीका, क्योंकि इसके लिए सावधानीपूर्वक तैयारी की आवश्यकता होती है।
क्विड प्रो क्वो एंड द रोड एप्पल मेथड
सोशल इंजीनियरिंग का सिद्धांत एक बहुआयामी डेटाबेस है जिसमें धोखे और हेरफेर के तरीकों के साथ-साथ उनसे निपटने के तरीके भी शामिल हैं। घुसपैठियों का मुख्य कार्य, एक नियम के रूप में, बहुमूल्य जानकारी प्राप्त करना है।
अन्य प्रकार के घोटालों में शामिल हैं: क्विड प्रो क्वो, रोड एप्पल, शोल्डर सर्फिंग, ओपन सोर्स और रिवर्स सोशल मीडिया। इंजीनियरिंग।
क्विड-प्रो-क्वो (लैटिन से - "इसके लिए") - किसी कंपनी या फर्म से जानकारी निकालने का प्रयास। यह फोन पर उससे संपर्क करने या ई-मेल द्वारा संदेश भेजने से होता है। अक्सर, हमलावरकर्मचारी होने का दिखावा। समर्थन, जो कर्मचारी के कार्यस्थल में एक विशिष्ट समस्या की उपस्थिति की रिपोर्ट करता है। फिर वे इसे ठीक करने के तरीके सुझाते हैं, उदाहरण के लिए सॉफ़्टवेयर स्थापित करके। सॉफ़्टवेयर ख़राब हो जाता है और अपराध को बढ़ावा देता है।
द रोड एप्पल एक आक्रमण विधि है जो ट्रोजन हॉर्स के विचार पर आधारित है। इसका सार भौतिक माध्यम के उपयोग और सूचना के प्रतिस्थापन में निहित है। उदाहरण के लिए, वे एक निश्चित "अच्छा" के साथ एक मेमोरी कार्ड प्रदान कर सकते हैं जो पीड़ित का ध्यान आकर्षित करेगा, फ़ाइल को खोलने और उपयोग करने की इच्छा पैदा करेगा या फ्लैश ड्राइव के दस्तावेजों में इंगित लिंक का पालन करेगा। "सड़क सेब" वस्तु को सामाजिक स्थानों पर गिरा दिया जाता है और तब तक प्रतीक्षा की जाती है जब तक कि किसी विषय द्वारा घुसपैठिए की योजना लागू नहीं हो जाती।
खुले स्रोतों से जानकारी एकत्र करना और खोजना एक घोटाला है जिसमें डेटा अधिग्रहण मनोविज्ञान के तरीकों, छोटी चीजों को नोटिस करने की क्षमता और उपलब्ध डेटा के विश्लेषण पर आधारित है, उदाहरण के लिए, सोशल नेटवर्क के पेज। यह सोशल इंजीनियरिंग का बिल्कुल नया तरीका है।
शोल्डर सर्फिंग और रिवर्स सोशल। इंजीनियरिंग
"शोल्डर सर्फिंग" की अवधारणा खुद को एक विषय को शाब्दिक अर्थ में लाइव देखने के रूप में परिभाषित करती है। इस प्रकार के डेटा फिशिंग के साथ, हमलावर सार्वजनिक स्थानों, जैसे कैफे, हवाई अड्डे, रेलवे स्टेशन पर जाता है और लोगों का अनुसरण करता है।
इस पद्धति को कम मत समझो, क्योंकि कई सर्वेक्षण और अध्ययन बताते हैं कि एक चौकस व्यक्ति बहुत सारी गोपनीय जानकारी प्राप्त कर सकता हैकेवल चौकस रहने से जानकारी।
सोशल इंजीनियरिंग (समाजशास्त्रीय ज्ञान के स्तर के रूप में) डेटा को "कैप्चर" करने का एक साधन है। डेटा प्राप्त करने के ऐसे तरीके हैं जिनमें पीड़ित स्वयं हमलावर को आवश्यक जानकारी प्रदान करेगा। हालाँकि, यह समाज की भलाई भी कर सकता है।
रिवर्स सोशल इंजीनियरिंग इस विज्ञान की एक और विधि है। इस शब्द का उपयोग उस मामले में उचित हो जाता है जिसका हमने ऊपर उल्लेख किया है: पीड़ित स्वयं हमलावर को आवश्यक जानकारी प्रदान करेगा। इस बयान को बेतुका नहीं माना जाना चाहिए। तथ्य यह है कि गतिविधि के कुछ क्षेत्रों में अधिकार के साथ संपन्न विषयों को अक्सर विषय के अपने निर्णय पर पहचान डेटा तक पहुंच प्राप्त होती है। यहाँ आधार विश्वास है।
याद रखना ज़रूरी है! उदाहरण के लिए, सपोर्ट स्टाफ कभी भी यूजर से पासवर्ड नहीं मांगेगा।
सूचना और सुरक्षा
सामाजिक इंजीनियरिंग प्रशिक्षण व्यक्ति द्वारा व्यक्तिगत पहल के आधार पर या विशेष प्रशिक्षण कार्यक्रमों में उपयोग किए जाने वाले लाभों के आधार पर किया जा सकता है।
अपराधी कई प्रकार के धोखे का उपयोग कर सकते हैं, जिसमें हेरफेर से लेकर आलस्य, भोलापन, उपयोगकर्ता के शिष्टाचार आदि शामिल हैं। पीड़ित की कमी के कारण इस प्रकार के हमले से खुद को बचाना बेहद मुश्किल है। जागरूकता है कि वह) धोखा दिया। विभिन्न फर्म और कंपनियां अपने डेटा को खतरे के इस स्तर पर सुरक्षित रखने के लिए अक्सर सामान्य जानकारी के मूल्यांकन में लगी रहती हैं। अगला कदम आवश्यक को एकीकृत करना हैसुरक्षा नीति के लिए सुरक्षा उपाय।
उदाहरण
वैश्विक फ़िशिंग मेलिंग के क्षेत्र में सोशल इंजीनियरिंग (इसका कार्य) का एक उदाहरण 2003 में हुई एक घटना है। इस स्कैम के दौरान ईबे यूजर्स को ईमेल भेजे गए थे। उन्होंने दावा किया कि उनके खातों को अवरुद्ध कर दिया गया था। अवरोधन को रद्द करने के लिए, खाता डेटा को फिर से दर्ज करना आवश्यक था। हालांकि पत्र फर्जी थे। उन्होंने आधिकारिक पृष्ठ के समान एक पृष्ठ पर अनुवाद किया, लेकिन नकली। विशेषज्ञ अनुमानों के अनुसार, नुकसान बहुत अधिक नहीं था (एक मिलियन डॉलर से कम)।
जिम्मेदारी की परिभाषा
सोशल इंजीनियरिंग का प्रयोग कुछ मामलों में दंडनीय हो सकता है। कई देशों में, जैसे कि संयुक्त राज्य अमेरिका, प्रीटेक्सटिंग (किसी अन्य व्यक्ति का रूप धारण करके धोखा देना) को गोपनीयता के आक्रमण के बराबर माना जाता है। हालाँकि, यह कानून द्वारा दंडनीय हो सकता है यदि विषय या संगठन के दृष्टिकोण से प्रीटेक्सटिंग के दौरान प्राप्त जानकारी गोपनीय थी। एक टेलीफोन वार्तालाप (एक सामाजिक इंजीनियरिंग पद्धति के रूप में) को रिकॉर्ड करना भी कानून द्वारा आवश्यक है और व्यक्तियों के लिए $ 250,000 का जुर्माना या दस साल तक के कारावास की आवश्यकता होती है। व्यक्तियों। कानूनी संस्थाओं को $500,000 का भुगतान करना आवश्यक है; समय सीमा वही रहती है।
