Într-o dimineață, cu câțiva ani în urmă, un grup de străini a intrat într-o firmă mare și a ieșit cu acces la întreaga rețea corporativă a firmei. Cum au făcut asta?
Obținerea unor cantități mici de acces, puțin câte puțin, de la mulți angajați ai firmei respective. Mai întâi au studiat compania timp de două zile înainte de a intra în companie. De exemplu, ei au învățat numele angajaților-cheie. Apoi s-au prefăcut că au pierdut cheia la ușa din față și că cineva le-a lăsat să intre. Apoi își "și-au pierdut" cărțile de identitate la intrarea în cel de-al treilea nivel protejat, au zâmbit și un angajat bun ia deschis ușa.
O poveste adevărată.
Într-o dimineață, cu câțiva ani în urmă, un grup de străini a intrat într-o firmă mare și a ieșit cu acces la întreaga rețea corporativă a firmei. Cum au făcut asta? Obținerea unor cantități mici de acces, puțin câte puțin, de la mulți angajați ai firmei respective. Mai întâi au studiat compania timp de două zile înainte de a intra în companie. De exemplu, ei au învățat numele angajaților-cheie. Apoi s-au prefăcut că au pierdut cheia la ușa din față și că cineva le-a lăsat să intre. Apoi își "și-au pierdut" cărțile de identitate la intrarea în cel de-al treilea nivel protejat, au zâmbit și un angajat bun ia deschis ușa.
Străinii știau că administratorul financiar principal (GFA) nu era în oraș, ca să poată intra în biroul său și să obțină informații financiare de la computerul său deblocat. Au scos gunoiul corporației în căutarea documentelor utile. Întrebându-l pe portar pentru o coș de gunoi, au pus tot ce au adunat acolo și i-au dus afară din clădire. Străinii au studiat vocea GFA, astfel încât să poată apela în numele său și să solicite urgent parola de rețea. Mai mult, au folosit instrumente de hacking convenționale pentru a obține accesul superuser la sistem.
Definiții.
Obiectiv și atac
Găsiți un bun exemplu de viață reală despre aplicarea atacurilor socio-tehnice este destul de dificil. Companiile victime, fie nu vor să recunoască că au fost înșelați (la urma urmei, recunoașterea unei încălcări imens de securitate, nu numai o rușine, dar poate prejudicia reputația organizației) și / sau atacul nu a fost înregistrată, astfel încât nimeni nu poate spune cu certitudine a fost Este deloc.
Săpat în gunoi
Sociotehnică pe Web
Hackerii studiază sociotehnica din punct de vedere psihologic, acordând o atenție specială modului în care se creează un mediu psihologic perfect pentru atac. Metodele de bază ale persuasiunii includ: personificarea, cucerirea, conformitatea, împărțirea responsabilității și simpla prietenie. Indiferent de metoda utilizată, scopul principal este de a convinge persoana care dezvăluie informații, hacker este persoana căreia el poate avea încredere în informațiile. Un alt punct important nu este niciodată să cereți prea multe informații dintr-o dată, ci să cereți fiecărei persoane să nu provoace suspiciune.
Conformitatea este comportamentul grupului, dar uneori poate fi utilizată individual prin convingerea utilizatorului că toată lumea a dat hackerului aceleași informații pe care le solicită în prezent. Astfel, hackerii răspândesc răspunderea angajatului care dă parola altor angajați, ceea ce îi reduce îngrijorarea.
Sociotehnica inversă
concluzie
Trimiteți-le prietenilor: