וִידֵאוֹ: Campeonato Nacional de Trial 4x4 2014 - 1ª Prova St.ª M.ª da Feira (נוֹבֶמבֶּר 2024)
הנדסה חברתית היא זו שמאשרת את מכתבי הדיוג ואתרי האינטרנט הזדוניים שמוכשרים להיראות כמו אתרים פופולריים בטוחים. במהלך דיון עם כריס הדנגי, האקר האנושי הראשי ב- Social-Engineer Inc., שאלתי אותו כיצד לאתר את ההונאות הללו. העצה שלו מהדהדת את מה שלעיתים קרובות אמרנו לקוראים: תמיד היו חשדניים.
יותר מאשר קון
מהדיון שלי עם הדנגי, ברור שחלק מה שאנחנו מכנים הנדסה חברתית הם אותם טריקים שאנשים השתמשו בהם במהלך שנים בהחלטות השפעה. ענף המזון המהיר, למשל, בדק באופן מפורש אילו צבעים יעודדו אנשים לאכול מהר יותר. ספיריטואליסטים מזויפים מהמאה ה -19 (הכוללת את בני משפחתי) וכיום משתמשים בטקטיקה המכונה "קריאה קרה" כדי להערים קורבנות לחשוף מידע על עצמם.
אבל יש יותר מהנדסה חברתית מאשר טריקים זולים, כפי שהמחיש הנדסה חברתית לכידת תחרות הדגל שנערכה ב- Def Con. כאן, המתמודדים מרוויחים נקודות למידע שהם מקבלים מחקירת חברות ומתוך קשר ישיר עם אותן חברות. הדנגי אמרה כי המתמודדים עם הניקוד הטוב ביותר עשו גם את המחקר הרב ביותר, מה שמדגים עד כמה מועיל לדעת את המטרות שלך.
לרוע המזל, זהו זמן נהדר להיות מהנדס חברתי שעוסק במחקר או באיסוף מידע בקוד פתוח. הדנגי הסביר כי חברות ואנשים פרטיים מפרסמים מידע רב במדיה החברתית, שרבים מהם יכולים לשמש בהתקפות הנדסיות חברתיות. בעבר, בדקנו כיצד הרמאים ניסו להשתמש במידע שנאסף מפייסבוק כדי לגרום להונאות שלהם להיות יותר מושכות - לפעמים עם תוצאות מצחיקות.
מיקוד רגש
אחת הטקטיקות הטובות ביותר להנדסה חברתית היא למנוע ממך לחשוב באופן ביקורתי, בדרך כלל על ידי מיקוד לרגש. הדנגי אמר כי פיגוע אחד שכמעט השטה אותו טען שהוא דוא"ל למשלוח באמזון. "זה היה משהו אישי, משהו שהשפיע על חיי ומשהו שהיה חשוב לי", אמר.
בהתקפה הספציפית הזו, הדנגי קיבל דוא"ל לפיו אחת ההזמנות החשובות שלו באמזון התעכבה בגלל מספר כרטיס האשראי שנדחה. בימים שקדמו לוועידה גדולה אמר הדנגי שהוא היה עמוס מדי ולחץ על הקישור בדוא"ל - במקום לבקר ישירות באמזון. הדף אליו הוא נלקח היה בעל מבנה טוב, אך למרבה המזל הוא הבחין בתחום ".ru" לפני שנכנס למידע אישי כלשהו.
אמנם זה היה פשוט, טקטיקה זו הייתה יעילה מאוד. "אני הבחור שבגלל מה שאני עושה, הוא ניגש ליותר מ -190, 000 איש בחודשים האחרונים, " אמר הדנגי בהתייחס לעבודת הייעוץ שלו. "כמעט נפלתי בגלל ההתקפה הזו."
יתרון נוסף של פנייה לרגש הוא שהוא אינו מצריך את סוג המחקר שהמהנדסים החברתיים הטובים ביותר עובדים. "מה שנראה זה לבחור דברים החשובים להמונים." הדנגי הסבירה שזה כולל משלוח UPS, הזמנות אמזון והעברות PayPal.
ערעור המוני עובד גם טוב לשידור בהמוניו, טקטיקה נוספת תכופה נוספת. "הם שולחים את אלה למיליוני אנשים בכל פעם, כך שלא יהיה להם אכפת אם הם יקבלו 100 אחוז", אמרה הדנגי. "10 אחוזים הם עדיין אלפי חשבונות שנפרצו."
להישאר בטוח
רבות מהטקטיקות המשמשות לאיתור מיילים של דיוג הן נכונות גם להנדסה חברתית. כל דבר שנשמע טוב מכדי להיות אמיתי - או חבל מכדי להיות אמיתי - כנראה לא נכון. טקטיקות כמו לרחף מעל קישורים כדי לראות את כתובת האתר המלאה, להזין ידנית כתובות אינטרנט ולהימנע מקישורים שמגיעים לכחול הם כולם טקטיקות צליל.
אבל החלק הקורא לחיות בתחרות לכידת הדגל מדגיש פן נוסף של הנדסה חברתית: אמון מוסדי. השנה, רבים מהמתמודדים התחזו לעבודה או כמוכרים, מה שהעניק לעובדים בחברות היעד סיבה מיידית לסמוך עליהם. לפעמים, כדאי לשאול שאלות כשמישהו שמתיימר להיות מנכ"ל החברה שלך מתקשר אליך באופן אישי.
הדנגי עשה קריירה שמסבירה את ההנדסה החברתית, אבל הוא לא מודאג אם התוקפים יאספו את הטריקים שלו. "הרעים לא מחפשים את הנתונים כיצד לעשות זאת", אמר ל- SecurityWatch. "הם כבר יודעים איך. הבעיה היא שהחבר'ה הטובים לא עושים זאת." במהלך עבודתו, הדנגי מאמין שהוא יכול ללמד את אמריקה התאגידים ואנשים קבועים כיצד לחשוב באופן ביקורתי על האינטראקציות היומיומיות שלהם, וכיצד להגיב בתרחישים הגרועים ביותר. הדנגי הסביר זאת כך: "במקום לחמש את הרעים, זה מנשק את הטובים."
תמונה באמצעות משתמש פליקר טרוויס ו.