Сошиал инженерчлэл
Сошиал инженерчлэл (Англи: Social engineering) нь хүний сэтгэл зүйд тулгуурлан үйлдэл хийх болон нууц мэдээлэл олохыг хэлнэ. Өөрөөр хүнд итгэх итгэлийг ашиглан мэдээлэл цуглуулах, залилан хийх эсвэл системд нэвтрэх зорилготой. Сошиал инженерчлэл нь сэтгэл зүй удирдах арга дээр тулгуурладаг бөгөөд харин хэрэглээ нь компьютер болон мэдээллийн аюулгүй байдлын мэргэжилтэн дунд оршдог.
Сошиал инженерчлэл төрлүүд:
засварлахSocial Engineering –ыг ерөнхийд нь 2 хувааж үзэж болно. Үүнд: (Human Based)Хүн дээр чиглэсэн болон (Computer Based) компьютерт чиглэсэн.
Хүн дээр суурилсан Сошиал инженерчлэл:
засварлахЭнэ төрөлд хүмүүстэй шууд харьцаж мэдээлэл авдаг. Өөрөөр хэлбэл хүнд итгэх гэнэн байдлыг ашиглан халдлага хийдэг төрөл юм. Үүнийг 4 үе шаттайгаар явагддаг гэж үздэг. Үүнд:
- Эхний алхам нь Research буюу судалгаа:
Энэ үе шатанд тухайн хүн болон байгууллагаасаа мэдээлэл цуглуулахыг оролддог бөгөөд мэдээлэлээ тухайн байгийнхаа бичиг баримт, хувийн сонирхол, компаний вебсайт зэрэг зүйлүүдээс цуглуулдаг байна.
- Дараагийн алхам нь Hook буюу дэгээ:
Энэ алхам нь судалгааны алхам дууссаны дараа үргэлжилдэг бөгөөд тухайн байтай харилцан яриа үүсгэж эхлэхийг оролддог.
- 3 дахь алхам Play буюу тоглох:
Энэ нь гол алхам бөгөөд аажмаар дотно харьцаа үүсгэж харилцааны явцдаа өөрт хэрэгтэй мэдээллээ цуглуулж авна.
- Сүүлийн алхам Exit буюу гарах:
Энэ нь сүүлийн алхам бөгөөд харьцаагаа аажмаар зогсоодог. Ямар нэгэн зүйл(юу ч ярихгүй...) хийхгүй харьцаагаа таслах нь түүнийг сэжиг авахад хүргэнэ.
Компьютер дээр суурилсан Сошиал инженерчлэл:
засварлахКомпьютерт суурилсан сошиал инженерчлэл нь хүссэн мэдээллээ авахын тулд компьютерийн програм хангамжыг ашигладаг.Үүнд дараах төрлүүд хамаарч болно:
Pop-up windows
засварлахЭнэ халдлагын төрөл нь үсэрч гарч ирэх цонхон дээр тулгуурладаг. Энэ цонх нь дараах байдалтай харагдаж болно.
Хэрэглэгч тухайн холбоос дээр дарахад халдагчын веб сайт руу холбогдох бөгөөд хувийн мэдээлэл хулгайлах болон ямар нэгэн вирус халдварлуулсан програм хангамж татах эсэхийг асууна.
Insider attack
засварлахЭнэ халдлагын төрөл нь сүлжээн дотроосоо халдлагад өртөх юм.Энэ халдлага нь ихэвчлэн байгууллага доторх өөрийн байр сууриндаа дургүй ажилчны нарийн зохион байгуулсан халдлага байдаг. Яагаад гэвэл тэд бусад ажилчдаасаа хувийн өш авах гэж зохион байгуулсан байдаг.
Phishing
засварлахЭнэ халдлагын төрөл нь дараах байдалтай байж болно. Халдагчид ихэвчлэн олон е-мейл рүү мейл явуулдаг жишээлбэл та үндэсний лото тохирооноос тийм хэмжээний мөнгө хожлоо гэсэн линк бүхий мейл явуулах бөгөөд хэрэглэгч тухайн линк рүү орж өөрийн кредит картныхаа мэдээлэл эсвэл өөрийн нэр, хаяг, нас болон хот зэрэг мэдээлэлүүдийг оруулдаг. Үүнийг ашиглан халдагч нууц үг зэргийг тохируулдаг бөгөөд бүх мэдээллийг олж авах болно.
Spear phishing
засварлахЭнэ халдлагын төрөл нь тодорхой нэгэн бүлэг рүү чиглэгдсэн байдаг. Хэдэн мянган и-мейлийг хамаагүй илгээснээс тодорхой сонгосон бүлэг хүмүүс рүү чиглэгдсэн байдаг. Spear phishing нь өндөр түвшний байд ашиглагдаж байна. Энэ төрлийн халдлагыг “Whaling” гэж нэрлэдэг. Жишээлбэл 2008 онд хэд хэдэн америк CEO уруу хуурамч шүүхийн зарлан дуудах хуудас ирсэн ба үүнтэй хамт хавсарсан файл ирсэн байсан бөгөөд энэ нь үзэх үед malware суулгадаг програм байсан байна. 2010 оны сүүлээс 2011 оны эхэн хүртэл Spear phishing-ийн хохирогдыг нэрлэвэл Австралийн Ерөнхий сайдын оффис, Канадын засгийн газар, Эпсилоны мэйлийн үйлчилгээ, болон Оак Ридж дэх Үндэсний Лаборатори гэх мэт.
Baiting
засварлахЭнэ төрөл нь физик төхөөрөмж ашигласан Trojan horse бөгөөд хохирогчын сониуч зан эсвэл шунал дээр тулгуурладаг. Өөрөөр хэлбэл халдагч хортой програмаар халдварлуулсан флаш диск эсвэл floppy disk зэргийг хүмүүс олохоор газар санаатайгаар орхих явдал юм.Хэн нэгэн флашийг олж сониуч зандаа хөтлөгдөн тухайн хортой флаш дискийг компьютертоо залган вирусыг суулгаснаар халдагчид өөрийн компьютерт (магадгүй компаний төв компьютер) нэвтрэх эрх олгодог.
Tailgating
засварлахЭнэ халдлагын төрөл нь шууд явагддаг бөгөөд хүнийг дагаж хэрэгтэй мэдээлэл цуглуулах үйл явц юм.Жишээлбэл АТМ дээр тухайн хүний ард зогсож нууц үг, дансны мэдээлэл зэргийг хулгайлж авах.
Pretexting
засварлахЭнэ арга барил нь цахим шуудан дээр явагдах боломжтой.Өөрөөр хэлбэл халдагч чам руу найзын чин нэрийн нэрийн өмнөөс шуудан явуулах бөгөөд найзын чин цахим шуудангийн хаягтай яг адилхан байх болно.Тухайн шуудангийн агуулгад юу ч байж болно.Тухайлбал янз бүрийн хордуулсан PDF файл эсвэл мөнгө зээлэхийг хүссэн утгатай шуудан ч байж болно.
Typosquatting
засварлахЭнэ төрөл нь phishing-тэй төстэй боловч ялгаа нь хохирогчтой шууд харьцдаггүй. Хуурамч веб хуудас үүсгэн ижил домайн худалдан авч хүлээдэг.Тухайн веб хуудас руу үсэрдэг линкийг хохирогчийн компьютерийн хаана ч гарч ирж болно.(Popup windows, Notification хэлбэрээр...) Энэ маягаар хохирогчийн мэдээллийг олж авдаг.
Арга барил болон нэр томъёо:
засварлахБүх сошиал инженерчлэл нь хүний шийдвэр гаргах тодорхой шинж чанарууд дээр суурилдаг. Зарим тохиолдолд “Хүн дээрх алдаа” гэж нэрлэдэг бөгөөд халдлага хийх арга барилаа тодорхойлохдоо янз бүрийн хослолуудыг ашигладаг.Сошиал инженерчлэлийн халдлага нь компаний ажилтны нууц мэдээллийг хулгайлах ч байж болно. Хамгийн түгээмэл төрлүүд нь утсан дээр явагддаг. Сошиал инженерчлэлийн жишээ нь өөр нэгэн хүн компани руу нэвтрэн орж зарлалын самбар дээр ажилчдын тусламжийн дугаар өөрчлөгдсөн гэх мэтийн мэдээлэл албан ёсны харагдахаар зарлал оруулж өгнө. Тиймээс ажилчид залгаж ярилцах бөгөөд тэдний нууц үг болон хэрэглэгчийн нэр мөн компаний хувийн мэдээлэлүүдийг авах боломжтой. Сошиал инженерчлэлийн өөр нэгэн жишээ гэвэл халдагч social сайтуудаар холбоо үүсгэх ба нөгөө хүнтэйгээ холбоо тогтоох ба харилцан яриа удаанаар үүсгэж эхэлнэ. Тухайн хүнийхээ итгэлийг олох ба үүнийгээ ашиглан пассворд болон банкны дансны мэдээлэл зэрэг эмзэг чухал мэдээллүүдийг олж авдаг.
Сошиал инженерээс хамгаалах:
засварлахБайгууллагууд:
засварлах- Ажилтны түвшингийн тогтолцоог бий болгохдоо ажилтны найдвартай байдлыг харгалзан үзэх
- Аль мэдээлэл нь эмзэг чухал сошиал инженерчлэлд өртөж болохыг тодорхойлох мөн аюулгүй байдлын системээ задлан авч үзэх
- Чухал мэдээлэл удирдахын тулд аюулгүй байдлын протокол, бодлого болон журмыг бий болгох
- Ажилчиддаа байр сууринд нь тохируулж аюулгүй байдлын протоколуудын талаар сургалт зохион байгуулах
- Аюулгүй байдлын тогтолцоондоо тогтмол шинжилгээ хийх
Хувь хүн:
засварлах- И-мейлээр ирсэн янз бүрийн линк буюу холбоос дээр дарж орохгүй байх, аттачласан файл татаж авахгүй байх мөн илгээгчийн хаягийг сайн шалгах
- Янз бүрийн флаш компьютертоо залгахгүй байх
- Антивирус худалдаж суулгах
- Янз бүрийн үнэгүй программ ашиглахгүй байх
- АТМ ээр үйлчилүүлэхдээ ардаа ямар хүн ямар зайтай байгааг шалгаж харах гэх мэт
Алдартай сошиал инженерүүд:
засварлах- Kevin Mitnick
Kevin Mitnick нь эхлээд компьютерын гэмт хэрэгтэн байсан бөгөөд сүүлд аюулгүй байдлын зөвлөх болсон бөгөөд тэрээр системийг эвдэж орсоноос хэн нэгнийг урхидаж нууц үгийг олох нь илүү бага хүчин чармайлт зарцуулдаг гэдгийг харуулсан.
- Christopher Hadnagy
Christopher Hadnagy нь аюулгүй байдлын мэргэжилтэн бөгөөд тэрээр сошиал инженерчлэлийн анхны бие махбодын болон сэтгэл зүйн тогтолцоог тодорхойлсон байдаг бөгөөд түүний ном нь үнэхээр өргөн хүрээтэй тархсан байдаг.
- Badir Brothers
Ramy, Muzher болон Shadde Badir- тэд бүгд төрсөн цагаасаа эхлэн сохор байсан бөгөөд тэд 1990 оны үед Израйлд сошиал инженерчлэл ашиглан өргөн хүрээний утас болон компьютерыг тохируулж чадсан.
Энэ тухай хаанаас харж болох
засварлах- White Collar гэх телевизийн цувралд Matt Bomber нь үнэхээр ухаалаг, авьяастай FBI-ын мэдээлэгчийн дүрд тоглодог.
- Identity Thief гэх кинонд Melissa McCarthy нь pretexting ашиглан нэр, кредит картны дугаарыг олж авч буй дүрд тоглодог.
- Rockford Files гэх телевизийн шоунд Jim Rockford нь өөрийн хувийн судалгааны ажлаа хйихдээ ихэвчлэн pretexting ашигладаг.
- Watch Dogs гэх видео тоглоом дээр Aiden Pearce нь өсөж том болох явцдаа сошиал инженерчлэлд суралцаж үүнийгээ ашиглан бусад дүрүүдээсээ өөрт хэрэгтэй мэдээллийг олж авдаг.
- Mr.Robot гэх телевизийн шоунд Darlene өөртөө malware агуулсан USB дискийг шоронгийн үүдэнд тараадаг ба хамгаалагч үүнийг олж өөрийн ажлын компьютерт залган шоронгийн дотоод сүлжээг эвддэг.
- 2014 оны Who Am I гэх кинон дээрх гол дүрүүд нь олон янзын сошиал инженерийн техникүүдийг ашиглаж үздэг.
- Maximi Frantini-ы Францын романд Ylian Estevez гэх хакер залуу түүний халдлагууддаа голдуу сошиал инженерчлэл ашигладаг.
- James Bond-ын Diamonds Are Forever гэх кинон дээр Bond нь сүүлийн үеийн карт ашиглан онгойлдог системтэй Whyte-ын лаборатори руу нэвтрэн орохдоо Tailgating ашигладаг.
- The Thomas Crown Affair гэх кинон дээр нэгэн дүр нь музейн хамгаалагчийг ажлын байрнаас нь холдуулахын тулд гар утас ашиладаг.
- Sneakers гэх кинон дээр нэгэн дүр нь security хамгаалагч дээр очин гарсан аюулгүй байдлын зөрчилийг зүгээр л хуурамч түгшүүр хэмээн итгүүлдэг.
- Jeffrey Deaver-ын The Blue Nowhere гэх номон дээр Phate гэх алуурчин нь сошиал инженерчлэл ашиглан нууц мэдээлэлүүдээ олж авдаг ба тэгснээр тэрээр хохирогчтой ойртдог байна. гэх мэт
Холбоос
засварлах- Rahul Singh Patel, 'Kali Linux Social Engineering' ном
- What is Social Engineering
- Сошиал инженерчлэлийн тухай дэлгэрэнгүй
- 5 Social Engineering Attacks to Watch Out For
- Social Engineering Attacks: Common Techniques & How to Prevent an Attack
- 23 Social Engineering Attacks You Need To Shut Down
- How To Protect Yourself From These 8 Social Engineering Attacks
- 5 Types of Social Engineering Attacks[permanent dead link]
- Understanding Social Engineering
- Bank Social Engineering[permanent dead link]