Ingineria sociala - Securitatea Informatica

Ingineria sociala

Ingineria socială (engleză Social Engineering) este un termen prin care se înţelege arta de a influenţa, de a manipula şi de a minţi. Cu alte cuvinte, este priceperea unor maeştri în psihologia maselor de a-i face pe alţii să gândească şi să creadă ceea ce ‘maestrul’ vrea ca acei “alţii” să creadă.Termenul de inginerie socială a fost pus în circulaţie de un hacker  autointitulat CitiZen-0ne.

Tehnici si termeni de inginerie sociala

1. Pretextul

Pretextul este actul de a crea şi a utiliza un scenariu inventat (pretextul) pentru a convinge o victimă vizata pentru sustragerea de informaţii sau efectua o acţiune şi se face de obicei prin telefon. Este mai mult decât o simplă minciună, deoarece de cele mai multe ori, înainte implica multa cercetare sau utilizarea de piese cunoscute de informaţii (de exemplu, pentru persoane: data naşterii, CNP, suma ultimei facturi) pentru a stabili legitimitatea în mintea ţintă.

Aceasta tehnica este adesea folosita pentru a sparge o afacere spre a afla informaţii despre client, şi este utilizat de către anchetatori privati de a obţine inregistrari telefonice, utilitarul de înregistrări,înregistrări bancare şi alte informaţii direct de la compania de servicii reprezentativa. Informaţiile pot fi apoi utilizate pentru a stabili o mai mare legitimitate, chiar şi în cadrul mai dur, interogatoriu cu un manager (de exemplu, de a face modificări cont etc).

Cum cele mai multe companii din SUA încă autentifica un client, doar prin a cere CNP-ul, data naşterii, sau numele de fată al mamei, metoda este eficace în multe situaţii şi probabil în viitor va continua să fie o problemă legată de securitate.

Pretextul poate fi, de asemenea, folosit pentru a juca rolul co-lucrătorilor, de poliţie, de bancă, ai autorităţilor fiscale sau de asigurare a anchetatorilor – sau orice altă persoană care ar putea fi perceput de autoritatea sau de dreptul de a
cunoaşte mintea victimei vizate. Cel ce utilizeaza aceasta tehnica pur şi simplu trebuie să se pregătească de răspunsuri la întrebările care ar putea fi puse de către victimă. În unele cazuri, tot ceea ce este necesar este o voce care sună
mai autoritar, un ton serios, si o capacitate de a gândi în picioare.

2. Phising

Phishing-ul este încercarea de a obţine în mod fraudulos informaţii confidenţiale, precum numele de utilizator, parola şi detalii legate de cartea de credit, prin imitarea aproape de perfecţiune a paginii de web a unei companii credibile şi care are loc prin intermediul unei forme de comunicare electronică; eBay, PayPal şi, în general, băncile care efectuează tranzacţii online sunt ţintele predilecte; phishingul se face prin intermediul e-mail-ului sau al mesageriei instant şi de obicei redirecţionează utilizatorii spre o pagină identică cu cea a companiei credibile, unde utilizatorului i se cere să-şi
introducă informaţiile personale; phishingul ar putea fi considerat o formă modernă de inginerie financiară.

3. E-mail Spoofing

E-mail spoofing este un termen folosit pentru a descrie o activitate frauduloasă desfăşurată prin intermediul e-mail-ului şi prin care adresa expeditorului şi alte părţi ale header-ul e-mailului sunt schimbate, pentru a apărea ca şi cum e-mail-ul provine de la o altă sursă; tehnica este folosită frecvent în cazul spam-urilor sau a phishing-ului pentru a ascunde originea
exactă a mesajului; prin schimbarea anumitor proprietăţi ale e-mailului, cum ar fi câmpurile “from”, “return-path” sau “reply-to” (care se găsesc în header-ul mailului), utilizatori rău intenţionaţi pot face ca mesajul să pară ca provenind de la altcineva; pe lângă e-mail spoofing există şi website spoofing, prin care se imită un site binecunoscut fie cu intenţii frauduloase, fie ca metodă de critică faţă de activităţile organizaţiei respective.

4. Spam-ul

Spam-ul nu poate fi considerat implicit o infracţiune, poate doar în cazul în care pentru a face spam este utilizat e-mail spoofing-ul şi presupune trimiterea de e-mail nesolicitat; interesant este faptul că termenul denumea iniţial un sortiment de carne la conservă (spam= spiced ham) şi îmbracă o serie foarte mare de forme: mobile phone spam (mesaje text nesolicitate), forum spam (postări de reclame pe forumuri), spamdexing (manipularea unui motor de căutare pentru a crea iluzia de popularitate pentru o pagină web), spam pe blog (promovarea de produse sau servicii prin comentarii pe  bloguri), messaging spam sau SPIM (utilizarea serviciilor de mesagerie instant pentru reclamă).

Tehnici de protectie

  • Cand cineva doreste anumite informatii de la dumneavoastra de fiecare data puneti intrebari si aflati mai multe informatii puteti sa utilizati orice mijloc de aflare de mai multe informatii fiti siguri intotdeauna ca persoanele nu doresc informatii in scopuri personale.
  • NU! Da-ti curs tuturor e-mailuri in care se spune ca ati castigat la loterie sau mail`urilor de la diverse banci care cer informatii asigurati-va mai intai ca totul este in regula intreband unul din oficialii companiilor.
  • E de preferat sa nu participati la tot felul de actiuni sau sa va inscrieti in tot felul de firme ce par in neregula sau care va pot dauna asigurati-va mai intai cerand informatii pana sunteti absolut siguri ca va puteti inscrie, cere-ti dovezi.
Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro