Билет 1 Ақпараттық қауіпсіздік ұғымы
жүктеу/скачать 159,51 Kb.
|
| 3. Әлеуметтік инженерия
Әлеуметтік инженерия – ақпараттық қауіпсіздік контексінде – белгілі бір әрекеттерді орындау немесе құпия ақпаратты ашу мақсатында адамдарды психологиялық манипуляциялау. «Алаяқтықтан» ерекшелігі - ол ақпаратты жинауға немесе рұқсатсыз қол жеткізуге арналған трюктар жиынтығы, көбінесе күрделі алаяқтық схемасындағы қадамдардың бірі. Сондай-ақ, оны адамды өзінің мүдделеріне жататын немесе жатпайтын әрекетке итермелейтін кез келген әрекет ретінде анықтауға болады. Фишинг – интернет-алаяқтықтың бір түрі, оның мақсаты пайдаланушының құпия деректеріне – логин мен парольдерге қол жеткізу болып табылады. Бұл бүгінгі таңдағы ең танымал әлеуметтік инженерия схемасы. Ешбір ірі жеке деректерді бұзу оның алдындағы фишингтік электрондық хаттарсыз аяқталмайды. Фишингтік шабуылдың ең жарқын мысалы - пайдаланушыға электрондық пошта арқылы жіберілген және жалған ресми хат ретінде - банктен немесе төлем жүйесінен - белгілі бір ақпаратты немесе белгілі бір әрекеттерді тексеруді талап ететін хабарлама. Себептерді ең әртүрлі деп атауға болады. Бұл деректердің жоғалуы, жүйенің ақаулығы және т.б. болуы мүмкін. Мұндай электрондық хаттарда әдетте ресми бетке ұқсайтын және құпия ақпаратты енгізуді талап ететін пішіні бар жалған веб-бетке сілтеме болады. Претекстинг - шабуылдаушы өзін басқа адам ретінде көрсететін және алдын ала дайындалған сценарий бойынша құпия ақпаратты білетін шабуыл. Бұл шабуыл жәбірленушіде күдік тудырмау үшін дұрыс дайындықты талап етеді, мысалы: туған күн, ЖСН, төлқұжат нөмірі немесе шоттың соңғы сандары. Әдетте телефон немесе электрондық пошта арқылы жүзеге асырылады. Facebook, Instagram, VKontakte сияқты ашық көздерден адамдар жасыруға тырыспайтын деректердің үлкен көлеміне қолжеткізуге болады. Әдетте, пайдаланушылар шабуылдаушы пайдалана алатын деректер мен ақпаратты еркін қолжетімді етіп, қауіпсіздік шараларын қолданбайды. (Вконтакте-да мекен-жайы, телефон нөмірі, туған күні, фотосуреттері, достары және т.б.) Көрнекі мысал - Евгений Касперскийдің ұлын ұрлау оқиғасы. Тергеу барысында қылмыскерлер жасөспірімнің бір күндік кестесі мен жүру бағыттарын оның әлеуметтік желідегі парақшасындағы жазбаларынан білгені анықталды. Тіпті әлеуметтік желідегі парақшасындағы ақпаратқа қол жеткізуді шектегенмен, пайдаланушы оның ешқашан алаяқтардың қолына түспейтініне сенімді бола алмайды. Мысалы, бразилиялық компьютерлік қауіпсіздік зерттеушісі әлеуметтік инженерия әдістерін қолдана отырып, 24 сағат ішінде кез келген Facebook қолданушысымен дос болуға болатынын көрсетті. Эксперимент барысында Нето зерттеуші жәбірленушіні таңдап, оның айналасындағы адамның – оның бастығының жалған аккаунтын құрды. Алдымен Нето жәбірленушінің бастығының достарының достарына, содан кейін тікелей достарына достық сұрауларын жіберді. 7,5 сағаттан кейін зерттеуші жәбірленушінің достар қатарына енді. Осылайша, зерттеуші қолданушының тек достарымен бөлісетін жеке ақпаратына қол жеткізді. жүктеу/скачать 159,51 Kb. Достарыңызбен бөлісу:
|