Sociālā inženierija informācijas drošības kontekstā nozīmē cilvēka psiholoģisku manipulēšanu, lai panāktu noteiktu darbību veikšanu vai konfidenciālas informācijas izpaušanu. Tas ir uzticēšanās trika veids ar mērķi savākt informāciju, apkrāpt, vai iegūt piekļuvi sistēmai.

Termins "sociālā inženierija" kā psiholoģiska manipulēšana ir saistīts arī ar sociālajām zinātnēm, taču tas ir izplatīts arī datorspeciālistu un informācijas drošības speciālistu vidū.[1]

Visas sociālās inženierijas metodes balstās uz noteiktām cilvēku lēmumu pieņemšanas īpašībām, pazīstamām kā kognitīvie aizspriedumi.[2] Šie aizspriedumi tiek izmantoti dažādās kombinācijās, lai radītu uzbrukuma metodes, no kurām dažas šeit uzskaitītas. Sociālās inženierijas uzbrukumi var tikt lietoti lai nozagtu uzņēmuma darbinieku slepeno informāciju. Visizplatītākā sociālās inženierijas metode ir lietot telefonu.

Viens no sociālās inženierijas piemēriem ir persona, kas ieiet ēkā un ievieto oficiāla izskata paziņojumu, ka uzņēmuma atbalsta dienesta tālruņa numurs ir mainīts. Kad darbinieki zvana uz atbalsta dienestu, persona noskaidro lietotāju vārdus un paroles, šādi iegūstot piekļuvi privātai informācijai.

Cits piemērs: urķis sazinās ar uzbrukuma mērķi sociālajā tīklā un uzsāk sarunu. Pamazām urķis iegūst uzbrukuma mērķa personas uzticību un tad iegūst piekļuvi tādai sensitīvai informācijai kā paroles vai bankas konta detaļas.[3]

Aizbildināšanās

labot šo sadaļu

Aizbildināšanās ir izdomāta scenārija radīšana un izmantošana par iemeslu, lai iesaistītu uzbrukuma mērķa personu darbībās, kas liek izpaust informāciju, vai veikt darbības, kas netiktu veiktas parastos apstākļos.[4] Safabricēti meli visbiežāk ietver iepriekšēju izpēti vai sagatavošanos un tēlojumu, lai iegūtu mērķa personas uzticību.[5]

Pikšķerēšana

labot šo sadaļu

Pikšķerēšana ir krāpšanas metode privātas informācijas ieguvei. Parasti uzbrucējs sūta epastu, kas izskatās kā saņemts no īsta uzņēmuma, piemēram, no bankas, pieprasot informācijas apstiprināšanu un brīdinot par sekām, ja apstiprinājums netiks saņemts. Epasts parasti satur saiti uz krāpniecisku tīmekļa lapu, kas izskatās īsta, un satur laukus tādas informācijas ievadei kā mājas adrese vai bankas karšu PIN kodi.

Citas metodes

labot šo sadaļu

Plaši izplatītas metodes ietver: pikšķerēšanu pa telefonu; ēsmu izlikšanu; Quid pro quo jeb kaut kas pret kaut ko; sekošanu cilvēkam, kuram ir piekļuve u.c.

Pretpasākumi

labot šo sadaļu

Uzņēmumi var samazināt drošības riskus dažādos veidos, piemēram:

  • Apmācot darbiniekus darbam ar sensitīvu informāciju;
  • Atpazīstot sensitīvu informāciju un novērtējot informācijas piekļuves riskus;
  • Ieviešot drošības procedūras un noteikumus;

Ievērojami sociālie inženieri

labot šo sadaļu

Kevins Mitniks

labot šo sadaļu

Vispirms datornoziedznieks un pēc tam datordrošības konsultants Kevins Mitniks norāda, ka ir daudz vieglāk apmuļķot kādu, lai uzzinātu paroli, nekā pūlēties un uzlauzt sistēmu.[6]

Christopher Hadnagy

labot šo sadaļu

Kristofers Hednegijs (Christopher Hadnagy) ir datordrošības profesionālis, kurš uzrakstīja pirmo ietvaru nosakot fiziskus un psiholoģiskus sociālās inženierijas principus.[7] Viņš ir pazīstams kā grāmatu autors un firmas "Social engineer" dibinātājs.

Citi sociālie inženieri ir, piemēram, Frenks Abagneils (Frank Abagnale), Deivds Bennons (David Bannon), Pīters Fosters (Peter Foster) un Stīvens Džejs Rassels (Steven Jay Russel).

Sociālā inženierija popkultūrā

labot šo sadaļu
  • Filmā "Identitātes zagle", galvenā varone izmanto izlikšanos, lai nozagtu cita tēla identitāti.
  • Filmā "Hakeri", galvenais varonis izmanto izlikšanos par svarīgu priekšnieku, lai no apsarga noskaidrotu TV stacijas modema telefona numuru.
  • Filmā "Cietais rieksts 4" tēls izliekas, ka viņa tēvs mirst, lai panāktu, ka cits tēls iedarbina mašīnu, kura pēc tam tiek nozagta.
  • Filmā "Tomasa Krauna afēra", viens no tēliem izliekas par muzeja apsargu priekšnieku, lai panāktu, ka apsargs pamet savu darba vietu.
  • Džeimss Bonds filmā "Dimanti ir mūžīgi", iekļūst laboratorijā ar visaugstākā drošības līmeņa sistēmu, izmantojot sekošanu. Viņš pagaida, kamēr cits darbinieks atver durvis, tad, izliekoties par jauniņo, tiek ielaists laboratorijā.
  1. Ross J. Anderson. Security engineering: a guide to building dependable distributed systems (2nd izd.). Indianapolis, IN : Wiley, 2008. 1040. lpp. ISBN 978-0-470-06852-6.
  2. Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  3. «Hack a Facebook Account with Social Engineering (Easiest Way) ~ Amazing Hacking Tricks». amazinghackingtricks.com. Arhivēts no oriģināla, laiks: 2015. gada 10. novembrī. Skatīts: 2015. gada 15. decembrī.
  4. The story of HP pretexting scandal with discussion is available at Faraz Davani. «HP Pretexting Scandal by Faraz Davani». Scribd, 2011. gada 14. augusts. Skatīts: 2011. gada 15. augusts.
  5. "Pretexting: Your Personal Information Revealed", Federal Trade Commission
  6. Mitnick, K: "CSEPS Course Workbook" (2004), p. 4, Mitnick Security Publishing.
  7. «Social Engineering Framework». Social-engineer.org. 2010. gada 1. oktobris.