A szociális mérnöki munka ( angolul social engineering ) az információbiztonsággal összefüggésben a csalás céljából folytatott pszichológiai manipuláció gyakorlata . A megfelelőbb kifejezések a pszichológiai hackelés vagy a pszichológiai csalások . Az információbiztonság összefüggésében a társadalmi mérnöki elnevezés nem ajánlott, mivel nem hangsúlyozza a megtévesztés fogalmát.
A gyakorlatok pszichológiai hackelés kihasználni a pszichológiai, szociális és tágabb értelemben a szervezeti hiányosságok egyének vagy szervezetek, így valami csalárd (jó, a szolgáltatás, a banki átutalás , fizikai vagy számítógép hozzáférés, a nyilvánosságra hozatal a bizalmas információkat , stb ). A támadó tudását, karizmáját , megtévesztését vagy idegességét felhasználva vissza akar élni célpontja bizalmával, tudatlanságával és hiszékenységével, hogy megkapja, amit akar.
2002-ben megjelent A megtévesztés művészete című könyvében Kevin Mitnick hacker elméleti és népszerűsítette ezt a manipulációs gyakorlatot, amely főként az információs rendszer "emberi hibáit" használja "tőkeáttételként" annak biztonsági korlátjainak megtörésére.
A pszichológiai hackelést hívják „előhívási” folyamatnak (az angol elicit : válogatás, kihozatal, felkeltés…) vagy konkrétabban franciául: az a művészet, hogy csalárd módon nyerik ki az információkat a beszélgetőpartner tudta nélkül, „férgeket húzva ki az orra. " Ezt a kifejezést a számítógépes szaknyelvben gyakran használják egy csaló relációs megközelítési folyamat kijelölésére, és általánosabban meghatározza azokat a módszereket, amelyeket egyes crackerek ( kalóz vagy fekete kalap ) alkalmaznak, akik " elicitation " -et használnak arra, hogy megszerezzék a számítógépes rendszerhez való közvetlen hozzáférés manipulációját, vagy egyszerűbben, kíváncsiságuk kielégítésére.
Napjainkban a biztonságos számítógépes rendszerek felhasználói számára képzést és megelőzést nyújtanak. A számítógépes rendszerek biztonságáért felelős osztályok képezik a vállalat különböző személyzeteit az alapvető biztonsági szabályok szerint: a jelszó kiválasztásának legjobb módja (hosszú és nem található meg egy szótárban), soha ne fedje fel a jelszavát. Adja át senkinek, még senkinek sem IT-alkalmazottnak tettetni stb. Számos konferencia meghívja a hírszerzési vagy információs rendszerek biztonsági szakembereit a vállalatokba, hogy oktassák a nagy állami struktúrákban és a nagy CAC 40 csoportokban dolgozó személyzetet , és hogy sok felhasználójukat jobban tudatosítsák ebben. Ezeknek a tanfolyamoknak elsősorban az a célja, hogy megakadályozzák a vállalat belső személyzetét, és ne „véletlenül” vagy „akaratlanul” hozzanak nyilvánosságra érzékeny információkat, és arra utasítsák őket, hogy tegyenek riasztást csalárd behatolási kísérlet esetén .
Az alkalmazottak viselkedése jelentős hatással lehet a szervezeten belüli információbiztonsági kérdésekre. A vállalati kultúra segíthet a szervezet különböző részeiben, egyrészt a hatékonyság kérdésében, másrészt a rossz információbiztonsági szokások elleni küzdelemben.
Andersson és Reimers (2014) megállapította, hogy az alkalmazottak nem tekintették önmagukat információbiztonsági összeköttetésnek a szervezetükön belül. Azt is megállapították, hogy tudatosan figyelmen kívül hagynak bizonyos biztonsági szabályokat. Az „Információbiztonsági kultúra az elemzéstől a változásig” című szövegben a szerzők úgy vélik, hogy a biztonság kultúrája ciklikus alapon véget nem érő értékelés és változás vagy karbantartás. Szerintük a biztonság kultúrájának kezelése érdekében 5 lépést kell követni: előzetes értékelés, stratégiai tervezés, operatív tervezés, végrehajtás és utólagos értékelés.
Minden társadalmi mérnöki technika kognitív elfogultságokon alapul, amelyek lehetővé teszik az ember számára a döntéshozatalt. Ezeket az elfogultságokat nagyon különböző módon lehet kihasználni a támadás eszközeinek létrehozása érdekében. Az alábbiakban bemutatjuk ezeket a technikákat. A támadások célja lehet az, hogy bizalmas információkat gyűjtsön az alkalmazottaktól, vagy arra ösztönözze őket, hogy rossz döntéseket hozzanak. A legegyszerűbb technikákat telefonon keresztül hajtják végre.
Példák a társadalmi mérnöki munkára: Az egyén besétál egy épületbe, és hivatalos megjelenésű táblát tesz fel, amely azt állítja, hogy a számítógépes ügyfélszolgálat száma megváltozott. Tehát, amikor a vállalat alkalmazottai technikai segítségre szorulnak, akkor ezt az egyént hívják, teljes bizalommal iránta. Így ez utóbbi bejelentkezést, jelszót vagy más bizalmas és személyes információt kérhet tőlük például egy távoli beavatkozás ürügyén. Ily módon az egyén hozzáférhet a vállalat információs rendszeréhez.
Az úgynevezett ürüggyel technika is ismert az Egyesült Királyságban , mint bohoing , egy olyan technika, ami egy forgatókönyv a semmiből (ürügyén), annak érdekében, hogy vegyenek részt a megcélzott áldozat. Egy ilyen forgatókönyv kidolgozása növeli annak esélyét, hogy az áldozat azt tegye, amit a támadó akar. Az ürügy technikája a támadás előtt kialakított forgatókönyvön alapszik. Ehhez előzetes kutatásra van szükség a támadó részéről (pl .: születési dátum, társadalombiztosítási szám, az utolsó számla összege stb.), És amelyek lehetővé teszik a hamis személyazonosság megszemélyesítését, amely legitimálja a támadót. az áldozat bizalma. Ez a technika felhasználható egy vállalkozás megtévesztésére és az ügyfelekkel kapcsolatos információk elárasztására, vagy telefonos nyilvántartások, banki nyilvántartások stb. Megszerzésére.
Ezután egy ördögi kör következik. Amint a támadó információt szerez, ez az információ lehetővé teszi számára, hogy egyre inkább legitimálja önmagát. Különösen akkor, ha új, a hierarchiában magasabb és ezért gyanúsabb célokat akar elérni, például könyvelőt vagy menedzsert, akit megcélozhat a számlaváltozások, meghatározott egyenlegek, banki átutalások stb.
Az ürügy technikája nem feltétlenül arra törekszik, hogy a vállalat belső személyének adja ki magát, hanem a rendőrség, a bank, az adóhatóság, a biztosítási nyomozók stb. Kilétét is felvállalja. Az ürügynek egyszerűen lehetővé kell tennie a támadó számára, hogy előre láthassa és előkészítse a válaszokat az áldozat által feltett kérdésekre. Bizonyos esetekben ez eljuthat a dikcióig , a hangjának hangzásáig vagy akár a használt szókincsig is, mindig azzal a céllal, hogy a lehető legnagyobb hitelességet szerezze az áldozat iránt.
A hamis átutalási megbízásokkal (FOVI) vagy az elnökkel szemben elkövetett csalások az ürügy sajátos technikája. A csaló abból áll, hogy a bank vezetőjének adja ki magát, kizárólag banki átutalás megszerzése céljából . A FOVI lehetővé teszi, hogy a csaló erőfölényben legyen az áldozattal szemben, mert az utóbbi hierarchikus alárendeltségben van. A csaló így könnyebben eljátszhatja a sürgősséget és a titoktartást , sőt megfélemlítéshez is folyamodhat (példa: ez egy parancs! Azt követelem, hogy hajtsa végre az átutalást, ha nem… ), vagy fordítva az. Értékbecsléssel (példa: bízom benned ).
Az adathalászat vagy az adathalászat csalárd technika, amelynek célja a privát információk megszerzése. A csaló e-mailben felveszi a kapcsolatot, és elhiteti áldozatával, hogy megbízható szervezet - bank, áramszolgáltató, rendőrség stb. - és kéri, hogy erősítse meg az adatokat ( jelszó , hitelkártyaszám, belépési kód, felhasználónév stb. ), különben súlyos következményekkel jár. Ezután az e-mail tartalmaz egy linket egy webhelyre, amely az áldozat szemében meglehetősen hivatalosnak tűnik. Ez azonban a csaló által készített másolat, amely lehetővé teszi az áldozat számára, hogy kitöltse a kért információkat, hogy visszaszerezze őket, hogy újra felhasználhassák őket, és hozzáférhessenek az áldozat személyes adataihoz is.
Ez a technika SMS-ben is elvégezhető, és SMiShing- nek hívják .
Egy Itatóhely Attack (más néven Itatóhely Attack ) egy cyberattack végzi egy csoport cybercriminals úgynevezett Elderwood Gang . 2012-ben ez a támadás lehetővé tette az Elderwood bandának, hogy 24 órán belül több mint 500 vállalatot fertőzött meg. A támadást itt észlelték2012. júliusaz RSA Security által .
A víznyelő támadás neve egy ragadozóra (például oroszlánra) utal, aki ahelyett, hogy zsákmányáért (például gazelláért) menne , inkább olyan helyen várja, ahol biztos, hogy eljön ( ebben az esetben egy vízpontig inni).