საკითხავისასარგებლო

სოციალური ინჟინერია

150e21f63185
სოციალური ინჟინერიის აქტი აიძულებს ხალხს ან ხალხთა ჯგუფს გაუმჟღავნონ კონფიდენციალური ინფორმაცია არაავტორიზებულ პირებს.  მსგავსად ნებისმიერი ფართოდ გავრცელებული თაღლითური ხრიკებისა, იგი ეფუძნება თაღლითობას, მოტყუებას და ფსიქოლოგიურ ზეწოლას, რომლის შედეგადაც თავდამსხმელი ახორციელებს არაავტორიზებულ წვდომას ორგანიზაციის ფასეულ მონაცემებთან. ხშირ შემთხვევაში კრიმინალი არ ახდენს უშუალო ფიზიკურ კონტაქტს მსხვერპლთან.

კომპანიამ შეიძლება შეისყიდოს საუკეთესო უსაფრთხოების მექანიზმები, გაწვრთნას საკუთარი პერსონალი ისე, რომ სამუშაო დღის ბოლოს გულდასმით ჩაკეტონ  ფიკიზური სამუშაო არეები და დაიქირაოს საუკეთესო დაცვის ფირმა, რომელიც მოახდენს ორგანიზაციის შენობისა და პერიფერიების დაცვას, მაგრამ ასეთი კომპანია მაინც დაუცველია.

ინდივიდებმა შეიძლება გაიარონ საუკეთესო უსაფრთხოების პრაქტიკები რეკომენდებული ექსპერტთა მიერ, დააყენონ ყველა რეკომენდებული უსაფრთხოების პროდუქტი, მოახდინონ სწორი სისტემური კონფიგურირება და დანერგონ განახლების მექანიზმები, მაგრამ კომპანია მაინც დაუცველი რჩება.

მიზეზი ერთია: უსაფრთხოების ყველაზე დიდი სისუსტე ადამიანის ფაქტორითაა განპირობებული.

სოციალური ინჟინერიის შეტევა ძირითადად შედგება ორი დონისგან: ფიზიკური და ფსიქოლოგიური და არსებობს სხვადასხვა მეთოდები ამ აქტის განსახორციელებლად, მაგალითად როგორებიცაა:

  • სოციალური ინჟინერია ტელეფონით (Social Engineering by Phone)

ყველაზე გავრცელებული მეთოდია. კრიმინალი რეკავს ორგანიზაციაში და ახდენს რომელიმე მმართველი ან ნდობით აღჭურვილი პირის იმიტირებას, დამხმარე პერსონალს გამოსტყუებს მისთვის საჭირო ინფორმაციას და ამის საფუძველზე ახდენს არაავტორიზებულ წვდომას.

  • სანაგვე ყუთში ძრომიალი (Dumpster Diving)

კიდევ ერთი პოპულარული მეთოდი. კრიმინალი პოულობს დიდი რაოდენობით საინტერესო ინფორმაციას ორგანიზაციის სანაგვე ყუთებში (მაგალითად: კომპანიის სატელეფონო ცნობარი, ორგანიზაციული დიაგრამები, მემორანდუმები, პოლისები, შეხვედრათა კალენდარი, სარეგისტრაციო სახელები და საიდუმლო სიტყვები, სხვადასხვა ფიზიკური მოწყობილობები და სხვა.) შემდგომში შემტევი პირი ამ ყველაფერს იყენებს არაავტორიზებული წვდომის განსახორციელებლად.

  • On-Line სოციალური ინჟინერია (On-Line Social Engineering)

ხშირად მომხმარებლები იყენებენ ერთსა და იმავე პაროლებს სხვადასხვა სისტემაში შესასვლელად, ამიტომ ერთის გამოცნობით კრიმინალი მოიპოვებს მთლიან კონტროლს. ასევე ხდება ელექტრონული ფოსტის საშუალებით ვირუსული ინფორმაციის გაგზავნა და იმიტირება თითქოს კრიმინალი წარმოადგენს სისტემურ ადმინისტრატორს და ამით აიძულებს მომხმარებლებს სარეგისტრაციო სახელებისა და პაროლების გამომჟღავნებას.

  • რწმენის მოპოვება (Persuasion)

კრიმინალები ახორციელებენ საკუთარ ქმედებებს ფსიქოლოგიური კუთხით. ისინი ახორციელებენ ნდობის მოპოვებას და ხშირად წარმოადგენენ საკუთარ თავს იმათ, ვინც სინამდვილეში არ არიან. ამ მეთოდის ძირითადი პრინციპები ეფუძნება მომხიბვლელობას, მობილიზებულობას, დიფუზიურობას, მეგობრულობას და სხვა.

  • საწინააღმდეგო სოციალური ინჟინერია (Reverse Social Engineering)

ამ შემთხვევაში კრიმინალი საკუთარ თავს წარმოადგენს ორგანიზაციის გავლენიან ფიგურად, მოიპოვებს ნდობას და ამ სცენარის კარგად დაგეგმვის/ამუშავების შემთხვევაში იოლად გამოსტყუებს ძვირფასეულ ინფორმაციას მომუშავე პერსონალს.

სოციალური ინჟინერიის აქტის აღმოსაფხვრელად არსებობს სხვადასხვა ტექნოლოგიები და უსაფრთხოების მეთოდები, რომლებიც ძირითადად გულისხმობს მუშა პერსონალის ფსიქოლოგიურ თუ ტექნიკურ სწავლება/მომზადებას, რადგან სათანადო გამოცდილების გარეშე ნებისმიერი თანამედროვე უსაფრთხოების ინფრასტრუქტურა შეიძლება დასუსტებული იქნას ძველი და კარგად ცნობილი ხრიკებით.

მსგავსი ამბები

Back to top button