სოციალური ინჟინერია (ინგლისურად Social Engineering) არის ხალხის მანიპულირების ხელოვნება. თაღლითობის, ნდობის ფაქტორის, ეშმაკობის, ტყუილის გამოყენება კომპიუტერული ინფორმაციის ხელში ჩასაგდებად. სოციალ ინჟინერები არასდროს აჩენენ თავიანთ ნამდვილ სახეს მსხვერპლთან. სოციალ ინჟინერიის ტექნიკა დამყარებულია
განსაკუთრებულ ადამიანურ თვისებაზე კერძოდ გადაწყვეტილების მიღებაზე. ცნობილია როგორც cognitive biases. ეგრედ წოდებული biases გახლავთ შეცდომა, ხვრელი, ბაგი ადამიანის ტვინში. ზუსტად ამ შეცდომებს იყენებენ სოციალ ინჟინერები, რომლებიც მეტ ნაკლებად ზედმიწევნით ერკევიან ფსიქოლოგიაში. არსებობს სოციალ ინჟინერების განსხვავებული სახეობები ანუ იყოფიან ტიპებად, რომლებსაც დაწვრილებით ქვევით მოგახსენებთ.
Pretexting
Pretexting გახლავთ სოციალური ინჟინერიის ერთ ერთი “დარგი”, რომელიც არის ხელოვნება შექმნისა და მოხმარებისა უკვე გამოგონილი სცენარის. დასტყუო მსხვერპლს ინფორმაცია ან შეასრულებინო მოქმედება ტელეფონიდან.ამ ოპერაციას მუდამ თან ახლავს წინა საძიებო მომენტები: დაბადების დროსა და თარიღის გაგება ასევე სოციალური დაცვის ნომერის (ინგლისურად Social Security Number) რაც ყველაზე მნიშვნელოვანია მათთვის ან ბოლო საგადასახადო ქვითარის. ამერიკის შეერთებულ შტატებში უმეტეს კომპანიებში ჯერაც იყენებენ კლიენტის დამოწმების, იდენტიფიკაცისას უბრალო კითხვებს თუ რა არის თქვენი სოციალური დაცვის ნომერი, დაბადების თარიღი ან დედის ქალიშვილობის გვარი. ამ სახის სოციალ ინჟინერებს უმეტესად აინტერესებთ სხვა და სხვა კომპანიის კლიენტების თუ მომუშავე პერსონალის შესახებ ინფორმაცია. მათთვის პრობლემას არ წარმოადგენს ბანკის თუ სატელეფონო ქსელებში მომუშავე მოლარის შესახებ ტელეფონით მთელი ბიოგრაფიის გაგება. Pretexting სოციალ ინჟინრები შენიღბულები არიან უფრო როგორც : ომის ვეტერანები, პოლიციისა და ბანკის ყოფილი მომუშავეები და სადაზღვევო კომპანიის მკვლევარები. “საქმის” დაწყების წინ როგორც ყოველთვის ისინი ემზადებიან და იწერენ იმ პასუხებსა და კითხვებს რომელიც შეიძლება მსხვერპლმა შეეკითხოს სატელეფონო დიალოგისას. მათი დასაფასებელ ნიჭად შეიძლება ჩაითვალოს ის, რომ მათ შეუძლიათ ტელეფონით ლაპარაკისას შეიცვალონ ხმა და ტონი. ილაპრაკონ, როგორც ნებისმიერი ასაკის ადამიანი.
Phishing
ფიშინგი ალბათ აქ შემომსვლელთა უმტესობამ იცით რა არის, მაგრამ ალბათ ნაწილის ნახევარმა არ იცოდით თუ ეს სოციალურ ინჟინერიას მიეკუთვნებოდა, ხოლო ვინც არ იცის იმათთვის ვხსნი კონკრეტულად. Phishing არის პირადი ინფორმაციის თაღლითური გზით მოპარვა. იგი აგზავნის იმეილებს კანონს, ლეგატიმურობას ამოფარებული, როგორც ხდება ხოლმე ბანკის ან რაიმე ბიზნეს კომპანიის სახელით და გთოხვთ დადასტურებას, შემოწმებას (verification) თქვენი საბანკო ანგარიშის, კრედიტ კარტის ან ნებისმიერი თქვენი ექაუნთის. ჩვეულებრივად წერილს თან ახლავს ლინკი რაიმე ტექსტით შენიღბული, რომლის დაჭერის შემთხვევაში მსხვერპლი გადაჰყავს თაღლითურ ვებ საიტზე. საიტი გამოიყუება როგორც ლეგალური ორიგინალი საიტი. აქვს იგივე კომპანიის ლოგო, სქინი და ა.შ. მსხვერპლი თუ “ვალიდაციას” გაივლის, პაროლი თუ დადასტურებული ნებისმიერი ინფო ხვდება ფიშერის ხელში.ლინკის დაჭერისას ადამიანი უმეტესად მონიტორის ცენტრს უყურებს და ავიწყდება ლინკისთვის შეხედვა, რომელიც კარგად გავს ორიგინალს, მაგრამ არის ყალბი შეცვლილია ასოები ციფრებით დამატებულია ტირეები, წერტილები და ხშირ შემთხვევაში არის საიტის ქვე დომენი. აქ შეგიძლიათ ნახოთ სურათი ფიშინგის ერთ-ერთი მაგალითისა მსხვერპლთან გაგაზავნილი ყალბი Trasted Bank-ის იმაილი და ასევე სქრინი იმის შესახებ თუ როგორ განვითარდა ფიშინგი 2004 წლის ოქტომბიდან 2005 წლის ივლისის ჩათვლით. ეს მოკლე დრო ფიშერების ბუმად არის ცნობილი.
phone phishing
სოციალური ინჟინერების ეს სახეობა ყველაზე “ახალად გამომცხვარები” არიან და ჯერ კიდევ ფეხის მოკიდების პროცესშია. ფოუნ ფიშერები სათაღლითოდ იყენებენ IVR ტექნიკას.
(Interactive voice response) ისინი ხელახლა ქმნიან იმ ხმას, სატელეფონო საჟღერადო ტონს, რომლებიც განეკუთვნება ბანკებს თუ სხვა და სხვა კომპანიებს. მსხვერპლი ნაკარნახევად რეკავს ყალბ ტელეფონის ნომერზე (ეს ნომერი მისდით სატელეფონო ფოსტით) სადაც ირთვება ყალბი ტონალური ხმა, როდესაც მსხვერპლი გაივლის იდენტიფიკაციას აპარატი იმახსოვრებს მის მიერ შეყვანილ პინ კოდებს, ექაუნთის პაროლებს, ანგარიშებსა და სხვა და სხვა ინფორმაციებს. ეხლა აგიხსნით რას ეწოდება IVR ტექნიკა. როდესაც ტელეფონის ნომრის აკეფვის შემდეგ გესმით ტონალური ხმა და გაძლევთ მითითებებს მაგალითად : დააჭირეთ 1 რომ შეცვალოთ პაროლი, დააჭირეთ 2 რომ შეცვალოთ კრედიტ კარტის ნომერი და ა.შ. ანუ ავტომატურ სატელეფონო საჟღერადო ტონს ეწოდება IVR.
Gimmes
ესენი ჩემი აზრით ყველაზე საინტერესო ხალხია. ამ სახის წარმომადგენლები “ფაილის” “შეტენვის” ტექნიკას ფლობენ. ისინი თავიანთი მოგონილი ხერხებითა და ხრიკებით ადამიანს “ტენიან” ტროიანებს. ნაირსახეობები ბევრია. მოგდით მაილი სექსუალური გოგოს სქრინსერვერის ჩამოწერის ლინკით, სადაც მართლა ჩამოწერთ სქრინსერვერს ოღონდ გოგო არც ისე სექსუალური იქნება, რადგან ფოტო სხვა იყო და თან ძალიან სახიფათო ტროიანს აიკიდებთ. ან იგივე სახის მაილი ოღონდ ამჯერად გეუბნებათ რომ კასპერსკის გადმოგაწერინებთ საჩუქრად თანაც სრულ ვერსიას და უფასოდ, რადგან თქვენ მის პროდუქციას ძალიან ხშირად იყენებთ და ა.შ. აგრეთვე არსებობს მეორე სახე Gimmes სოციალური ინჟინრებისა, რომლებსაც Road apple-ებს უწოდებენ. ისინი მხოლოდ დისკებითა და ფლოპებით აინფიცირებენ ხალხს და პარავენ ინფორმაციას. მაგალითად ქმნიან დისკს რომელსაც ახატავენ რაიმე პოპულარული ბრენდის ლოგოს. მაგალითად Salary Summary Q1 2008 წერენ იგივე წონის საინსტალაციო ფაილს რა თქმა უნდა ტროიანით გატენილს. და ტოვებენ : ელევატორებზე, ბარებში, მეტროს ასევე ავტობუსის ან ტაქსის სკამებზე, გასართობი კლუბის ტუალეტებში და ა.შ. მსხვერპლი ნახულობს მას და ჰგონია რომ 100$ -იანი პროგრამა ფასოდ იშოვა. სულ რაღაც წამებში თან მხოლოდ იღბალის დახმარებით. მიდის სახლში და სიხარულით უშვებს CD თუ DVD -ROOM-ში. შემდეგ რაც ხდება ხოლმე იმედია ხვდებით.
იმავე ხდება ფლოპი დისკებზე, ფლოპს აწერია რაიმე დამაინტრიგებელი სახელი და მიგდებულია სადმე ქუჩაში. მსხვრპლი პოულობს და მიაქ სახლში. ამ მეთოდით ხშირად ტყდება ხოლმე დიდი კომპანიების ქსელები, სსაიტები და ა.შ თუმცა სოციალ ინჟინრებს ნაკლებად აინტერესებთ ამ გვარი გართობები, უმეტეს შემთხვევაში მათ მხოლოდ და მხოლოდ ფული აინტერესებთ.
განსაკუთრებულ ადამიანურ თვისებაზე კერძოდ გადაწყვეტილების მიღებაზე. ცნობილია როგორც cognitive biases. ეგრედ წოდებული biases გახლავთ შეცდომა, ხვრელი, ბაგი ადამიანის ტვინში. ზუსტად ამ შეცდომებს იყენებენ სოციალ ინჟინერები, რომლებიც მეტ ნაკლებად ზედმიწევნით ერკევიან ფსიქოლოგიაში. არსებობს სოციალ ინჟინერების განსხვავებული სახეობები ანუ იყოფიან ტიპებად, რომლებსაც დაწვრილებით ქვევით მოგახსენებთ.
Pretexting
Pretexting გახლავთ სოციალური ინჟინერიის ერთ ერთი “დარგი”, რომელიც არის ხელოვნება შექმნისა და მოხმარებისა უკვე გამოგონილი სცენარის. დასტყუო მსხვერპლს ინფორმაცია ან შეასრულებინო მოქმედება ტელეფონიდან.ამ ოპერაციას მუდამ თან ახლავს წინა საძიებო მომენტები: დაბადების დროსა და თარიღის გაგება ასევე სოციალური დაცვის ნომერის (ინგლისურად Social Security Number) რაც ყველაზე მნიშვნელოვანია მათთვის ან ბოლო საგადასახადო ქვითარის. ამერიკის შეერთებულ შტატებში უმეტეს კომპანიებში ჯერაც იყენებენ კლიენტის დამოწმების, იდენტიფიკაცისას უბრალო კითხვებს თუ რა არის თქვენი სოციალური დაცვის ნომერი, დაბადების თარიღი ან დედის ქალიშვილობის გვარი. ამ სახის სოციალ ინჟინერებს უმეტესად აინტერესებთ სხვა და სხვა კომპანიის კლიენტების თუ მომუშავე პერსონალის შესახებ ინფორმაცია. მათთვის პრობლემას არ წარმოადგენს ბანკის თუ სატელეფონო ქსელებში მომუშავე მოლარის შესახებ ტელეფონით მთელი ბიოგრაფიის გაგება. Pretexting სოციალ ინჟინრები შენიღბულები არიან უფრო როგორც : ომის ვეტერანები, პოლიციისა და ბანკის ყოფილი მომუშავეები და სადაზღვევო კომპანიის მკვლევარები. “საქმის” დაწყების წინ როგორც ყოველთვის ისინი ემზადებიან და იწერენ იმ პასუხებსა და კითხვებს რომელიც შეიძლება მსხვერპლმა შეეკითხოს სატელეფონო დიალოგისას. მათი დასაფასებელ ნიჭად შეიძლება ჩაითვალოს ის, რომ მათ შეუძლიათ ტელეფონით ლაპარაკისას შეიცვალონ ხმა და ტონი. ილაპრაკონ, როგორც ნებისმიერი ასაკის ადამიანი.
Phishing
ფიშინგი ალბათ აქ შემომსვლელთა უმტესობამ იცით რა არის, მაგრამ ალბათ ნაწილის ნახევარმა არ იცოდით თუ ეს სოციალურ ინჟინერიას მიეკუთვნებოდა, ხოლო ვინც არ იცის იმათთვის ვხსნი კონკრეტულად. Phishing არის პირადი ინფორმაციის თაღლითური გზით მოპარვა. იგი აგზავნის იმეილებს კანონს, ლეგატიმურობას ამოფარებული, როგორც ხდება ხოლმე ბანკის ან რაიმე ბიზნეს კომპანიის სახელით და გთოხვთ დადასტურებას, შემოწმებას (verification) თქვენი საბანკო ანგარიშის, კრედიტ კარტის ან ნებისმიერი თქვენი ექაუნთის. ჩვეულებრივად წერილს თან ახლავს ლინკი რაიმე ტექსტით შენიღბული, რომლის დაჭერის შემთხვევაში მსხვერპლი გადაჰყავს თაღლითურ ვებ საიტზე. საიტი გამოიყუება როგორც ლეგალური ორიგინალი საიტი. აქვს იგივე კომპანიის ლოგო, სქინი და ა.შ. მსხვერპლი თუ “ვალიდაციას” გაივლის, პაროლი თუ დადასტურებული ნებისმიერი ინფო ხვდება ფიშერის ხელში.ლინკის დაჭერისას ადამიანი უმეტესად მონიტორის ცენტრს უყურებს და ავიწყდება ლინკისთვის შეხედვა, რომელიც კარგად გავს ორიგინალს, მაგრამ არის ყალბი შეცვლილია ასოები ციფრებით დამატებულია ტირეები, წერტილები და ხშირ შემთხვევაში არის საიტის ქვე დომენი. აქ შეგიძლიათ ნახოთ სურათი ფიშინგის ერთ-ერთი მაგალითისა მსხვერპლთან გაგაზავნილი ყალბი Trasted Bank-ის იმაილი და ასევე სქრინი იმის შესახებ თუ როგორ განვითარდა ფიშინგი 2004 წლის ოქტომბიდან 2005 წლის ივლისის ჩათვლით. ეს მოკლე დრო ფიშერების ბუმად არის ცნობილი.
phone phishing
სოციალური ინჟინერების ეს სახეობა ყველაზე “ახალად გამომცხვარები” არიან და ჯერ კიდევ ფეხის მოკიდების პროცესშია. ფოუნ ფიშერები სათაღლითოდ იყენებენ IVR ტექნიკას.
(Interactive voice response) ისინი ხელახლა ქმნიან იმ ხმას, სატელეფონო საჟღერადო ტონს, რომლებიც განეკუთვნება ბანკებს თუ სხვა და სხვა კომპანიებს. მსხვერპლი ნაკარნახევად რეკავს ყალბ ტელეფონის ნომერზე (ეს ნომერი მისდით სატელეფონო ფოსტით) სადაც ირთვება ყალბი ტონალური ხმა, როდესაც მსხვერპლი გაივლის იდენტიფიკაციას აპარატი იმახსოვრებს მის მიერ შეყვანილ პინ კოდებს, ექაუნთის პაროლებს, ანგარიშებსა და სხვა და სხვა ინფორმაციებს. ეხლა აგიხსნით რას ეწოდება IVR ტექნიკა. როდესაც ტელეფონის ნომრის აკეფვის შემდეგ გესმით ტონალური ხმა და გაძლევთ მითითებებს მაგალითად : დააჭირეთ 1 რომ შეცვალოთ პაროლი, დააჭირეთ 2 რომ შეცვალოთ კრედიტ კარტის ნომერი და ა.შ. ანუ ავტომატურ სატელეფონო საჟღერადო ტონს ეწოდება IVR.
Gimmes
ესენი ჩემი აზრით ყველაზე საინტერესო ხალხია. ამ სახის წარმომადგენლები “ფაილის” “შეტენვის” ტექნიკას ფლობენ. ისინი თავიანთი მოგონილი ხერხებითა და ხრიკებით ადამიანს “ტენიან” ტროიანებს. ნაირსახეობები ბევრია. მოგდით მაილი სექსუალური გოგოს სქრინსერვერის ჩამოწერის ლინკით, სადაც მართლა ჩამოწერთ სქრინსერვერს ოღონდ გოგო არც ისე სექსუალური იქნება, რადგან ფოტო სხვა იყო და თან ძალიან სახიფათო ტროიანს აიკიდებთ. ან იგივე სახის მაილი ოღონდ ამჯერად გეუბნებათ რომ კასპერსკის გადმოგაწერინებთ საჩუქრად თანაც სრულ ვერსიას და უფასოდ, რადგან თქვენ მის პროდუქციას ძალიან ხშირად იყენებთ და ა.შ. აგრეთვე არსებობს მეორე სახე Gimmes სოციალური ინჟინრებისა, რომლებსაც Road apple-ებს უწოდებენ. ისინი მხოლოდ დისკებითა და ფლოპებით აინფიცირებენ ხალხს და პარავენ ინფორმაციას. მაგალითად ქმნიან დისკს რომელსაც ახატავენ რაიმე პოპულარული ბრენდის ლოგოს. მაგალითად Salary Summary Q1 2008 წერენ იგივე წონის საინსტალაციო ფაილს რა თქმა უნდა ტროიანით გატენილს. და ტოვებენ : ელევატორებზე, ბარებში, მეტროს ასევე ავტობუსის ან ტაქსის სკამებზე, გასართობი კლუბის ტუალეტებში და ა.შ. მსხვერპლი ნახულობს მას და ჰგონია რომ 100$ -იანი პროგრამა ფასოდ იშოვა. სულ რაღაც წამებში თან მხოლოდ იღბალის დახმარებით. მიდის სახლში და სიხარულით უშვებს CD თუ DVD -ROOM-ში. შემდეგ რაც ხდება ხოლმე იმედია ხვდებით.
იმავე ხდება ფლოპი დისკებზე, ფლოპს აწერია რაიმე დამაინტრიგებელი სახელი და მიგდებულია სადმე ქუჩაში. მსხვრპლი პოულობს და მიაქ სახლში. ამ მეთოდით ხშირად ტყდება ხოლმე დიდი კომპანიების ქსელები, სსაიტები და ა.შ თუმცა სოციალ ინჟინრებს ნაკლებად აინტერესებთ ამ გვარი გართობები, უმეტეს შემთხვევაში მათ მხოლოდ და მხოლოდ ფული აინტერესებთ.
