सामाजिक अभियांत्रिकी आणि त्याच्या पद्धती. सामाजिक अभियांत्रिकी: कधीही अप्रचलित न होणाऱ्या आक्रमण पद्धतीबद्दल शैक्षणिक कार्यक्रम

सामाजिक अभियांत्रिकी - एखाद्या व्यक्तीच्या चेतनेच्या हाताळणीद्वारे गोपनीय माहितीवर अनधिकृत प्रवेश. सामाजिक अभियांत्रिकी पद्धती मानसशास्त्राच्या वैशिष्ट्यांवर आधारित आहेत आणि मानवी कमकुवतपणाचे (भोळेपणा, दुर्लक्ष, कुतूहल, व्यावसायिक हित) शोषण करण्याच्या उद्देशाने आहेत. ते इंटरनेटवर आणि त्याच्या बाहेर सोशल हॅकर्सद्वारे सक्रियपणे वापरले जातात.

तथापि, डिजिटल तंत्रज्ञान, वेब संसाधने, संगणक, स्मार्टफोन, नेटवर्क वापरकर्त्यांचे "ब्रेन फॉग" काही वेगळ्या प्रकारे उद्भवते. फसवणूक करणारे सापळे, सापळे आणि इतर युक्त्या कुठेही आणि कसेही, सोशल नेटवर्क्सवर, गेमिंग पोर्टलवर, ईमेल इनबॉक्सेस आणि ऑनलाइन सेवांमध्ये ठेवतात. येथे सामाजिक अभियांत्रिकी पद्धतींची काही उदाहरणे आहेत:

सुट्टीची भेट म्हणून... ट्रोजन हॉर्स

चारित्र्य, व्यवसाय, आर्थिक दिवाळखोरी याची पर्वा न करता, प्रत्येक व्यक्ती सुट्टीची वाट पाहत आहे: नवीन वर्ष, 1 मे, 8 मार्च, व्हॅलेंटाईन डे इ., अर्थातच, त्यांना साजरे करण्यासाठी, आराम करण्यासाठी, त्यांच्या आध्यात्मिक आभास सकारात्मकतेने भरण्यासाठी. आणि, त्याच वेळी, तुमचे मित्र आणि कॉम्रेड्ससह अभिनंदनाची देवाणघेवाण करा.

या क्षणी, सोशल हॅकर्स विशेषतः सक्रिय आहेत. सुट्टी आणि सुट्टीच्या दिवशी, ते ईमेल सेवा खात्यांवर पोस्टकार्ड पाठवतात: चमकदार, रंगीत, संगीतासह आणि... एक धोकादायक ट्रोजन व्हायरस. पीडित, अशा फसवणुकीबद्दल काहीही माहिती नसणे, आनंदाच्या उत्साहात किंवा, फक्त, कुतूहलाने, पोस्टकार्डवर क्लिक करते. त्याच क्षणी, मालवेअर OS ला संक्रमित करतो आणि नंतर नोंदणी डेटा, पेमेंट कार्ड नंबर चोरण्यासाठी किंवा ब्राउझरमधील ऑनलाइन स्टोअरचे वेब पृष्ठ बनावट सह पुनर्स्थित करण्यासाठी आणि खात्यातून पैसे चोरण्यासाठी योग्य क्षणाची वाट पाहतो.

अनुकूल सूट आणि व्हायरस "लोड"

सोशल इंजिनिअरिंगचे उत्तम उदाहरण. तुमचे कष्टाने कमावलेले पैसे "जतन" करण्याची इच्छा पूर्णपणे न्याय्य आणि समजण्याजोगी आहे, परंतु वाजवी मर्यादेत आणि विशिष्ट परिस्थितीत. हे "जे काही चकाकते ते सोने नसते" याबद्दल आहे.

सर्वात मोठे ब्रँड, ऑनलाइन स्टोअर आणि सेवांच्या नावाखाली घोटाळे करणारे, योग्य डिझाइनमध्ये, अविश्वसनीय सवलतीत वस्तू खरेदी करण्याची ऑफर देतात आणि खरेदी व्यतिरिक्त, भेटवस्तू देखील मिळवतात... ते बनावट वृत्तपत्रे बनवतात, सोशल नेटवर्क्सवर गट तयार करतात आणि मंचांवर थीमॅटिक “थ्रेड्स”.

भोळे सामान्य लोक, जसे ते म्हणतात, या उज्ज्वल व्यावसायिक पोस्टरद्वारे "नेतृत्व" केले जाते: घाईघाईने ते त्यांच्या पगारातून, आगाऊ देयकातून किती शिल्लक आहेत हे त्यांच्या डोक्यात मोजतात आणि "खरेदी करा" या दुव्यावर क्लिक करा, "साइटवर जा. खरेदी करा", इ. त्यानंतर, 100 पैकी 99 प्रकरणांमध्ये, फायदेशीर खरेदीऐवजी, त्यांना त्यांच्या PC वर व्हायरस येतो किंवा सोशल हॅकर्सना विनामूल्य पैसे पाठवतात.

गेमर देणगी +300% चोरी कौशल्यांसाठी

ऑनलाइन गेममध्ये आणि सर्वसाधारणपणे मल्टीप्लेअर गेममध्ये, दुर्मिळ अपवादांसह, सर्वात बलवान टिकून राहतात: ज्यांच्याकडे मजबूत चिलखत, नुकसान, मजबूत जादू, अधिक आरोग्य, मन इ.

आणि, अर्थातच, प्रत्येक गेमरला त्याच्या वर्ण, टाकी, विमान आणि आणखी काय काय माहित या मौल्यवान कलाकृती मिळवायच्या आहेत. लढाईत किंवा मोहिमांमध्ये, आपल्या स्वत: च्या हातांनी किंवा गेमच्या आभासी स्टोअरमध्ये वास्तविक पैशासाठी (दान कार्य). सर्वोत्कृष्ट होण्यासाठी, प्रथम... विकासाच्या शेवटच्या स्तरावर पोहोचण्यासाठी.

फसवणूक करणाऱ्यांना या "गेमर कमकुवतपणा" बद्दल माहिती असते आणि प्रत्येक संभाव्य मार्गाने खेळाडूंना मौल्यवान कलाकृती आणि कौशल्ये मिळविण्यास प्रवृत्त करतात. कधी पैशासाठी, कधी फुकट, पण यामुळे खलनायकी योजनेचे सार आणि हेतू बदलत नाही. बनावट साइट्सवरील आकर्षक ऑफर यासारखे काहीतरी वाटतात: “हा अनुप्रयोग डाउनलोड करा”, “पॅच स्थापित करा”, “आयटम मिळविण्यासाठी गेममध्ये लॉग इन करा”.

दीर्घ-प्रतीक्षित बोनसच्या बदल्यात, गेमरचे खाते चोरले जाते. जर ते चांगले पंप केले असेल, तर चोर ते विकतात किंवा त्यातून पेमेंट माहिती काढतात (असल्यास).

मालवेअर + सोशल इंजिनिअरिंग = फसवणूकीचे स्फोटक मिश्रण

सावधगिरीचे चिन्ह!

बरेच वापरकर्ते "ऑटोपायलट" वर OS मध्ये माउस ऑपरेट करतात: येथे क्लिक करा, येथे; हे, ते, ते शोधले. क्वचितच त्यांच्यापैकी कोणीही फाइल्सचा प्रकार, त्यांचे व्हॉल्यूम आणि गुणधर्म जवळून पाहतो. पण व्यर्थ. हॅकर्स मालवेअर एक्झिक्युटेबल फाइल्स नियमित विंडोज फोल्डर्स, चित्रे किंवा विश्वसनीय ॲप्लिकेशन्स म्हणून बदलतात, म्हणजे ते बाहेरून किंवा दृष्यदृष्ट्या ओळखले जाऊ शकत नाहीत. वापरकर्ता फोल्डरवर क्लिक करतो, त्यातील सामग्री, नैसर्गिकरित्या, उघडत नाही, कारण ते फोल्डर नाही, परंतु .exe विस्तारासह व्हायरस इंस्टॉलर आहे. आणि मालवेअर “शांतपणे” OS मध्ये प्रवेश करतो.

टोटल कमांडर फाइल मॅनेजर हा अशा युक्त्यांसाठी खात्रीशीर "प्रतिरोधक" आहे. एकात्मिक विंडोज एक्सप्लोररच्या विपरीत, ते फाइलचे सर्व तपशील प्रदर्शित करते: प्रकार, आकार, निर्मिती तारीख. सिस्टमला सर्वात मोठा संभाव्य धोका म्हणजे विस्तारांसह अज्ञात फायली आहेत: “.scr”, “.vbs”, “.bat”, “.exe”.

भीती इंधन विश्वास

1. वापरकर्ता एक "भयपट कथा साइट" उघडतो आणि लगेचच सर्वात अप्रिय बातम्या किंवा बातम्या देखील सांगितल्या जातात: "तुमच्या पीसीला धोकादायक ट्रोजनचा संसर्ग झाला आहे", "10, 20... 30 व्हायरस तुमच्या OS मध्ये आढळले आहेत", "तुमच्या संगणकावरून स्पॅम पाठवला जात आहे" इ.
2. आणि ते ताबडतोब अँटीव्हायरस स्थापित करण्याची ऑफर देतात ("चिंता" दर्शवा) आणि म्हणूनच, साइटवर आवाज उठवलेल्या सुरक्षा समस्येचे निराकरण करा. आणि सर्वात महत्त्वाचे म्हणजे पूर्णपणे विनामूल्य.
3. एखादा पाहुणा त्याच्या PC च्या भीतीने मात करत असेल, तर तो लिंक फॉलो करतो आणि डाउनलोड करतो... अँटीव्हायरस नाही तर खोटा अँटीव्हायरस - व्हायरसने भरलेला खोटा. स्थापित आणि लॉन्च - परिणाम योग्य आहेत.

• प्रथम, वेबसाइट त्वरित अभ्यागताचा पीसी स्कॅन करू शकत नाही आणि मालवेअर ओळखू शकत नाही.
• दुसरे म्हणजे, डेव्हलपर त्यांचे अँटीव्हायरस वितरित करतात, मग ते सशुल्क किंवा विनामूल्य, त्यांच्या स्वतःच्या, म्हणजे अधिकृत, वेबसाइटद्वारे.
• आणि शेवटी, तिसरे म्हणजे, OS “स्वच्छ” आहे की नाही याबद्दल शंका आणि भीती असल्यास, सिस्टम विभाजन जे उपलब्ध आहे ते तपासणे चांगले आहे, म्हणजेच स्थापित अँटीव्हायरस.

सारांश

मानसशास्त्र आणि हॅकिंग आज हातात हात घालून चालले आहेत - मानवी कमकुवतपणा आणि सॉफ्टवेअर असुरक्षिततेचे शोषण करण्याचा एक समूह. इंटरनेटवर असताना, सुट्टीच्या दिवशी आणि आठवड्याच्या दिवशी, दिवस असो वा रात्री, आणि तुमचा मूड काहीही असो, तुम्ही सतर्क असले पाहिजे, भोळेपणा दडपला पाहिजे आणि व्यावसायिक फायद्याचे आवेग दूर केले पाहिजे आणि काहीतरी “मुक्त” केले पाहिजे. कारण, तुम्हाला माहिती आहेच, फक्त चीज विनाकारण दिले जाते आणि फक्त माऊसट्रॅपमध्ये. फक्त पासवर्ड तयार करा, ते ठिकाणी साठवा आणि आमच्यासोबत राहा, कारण, आम्हाला माहित आहे की, जास्त सुरक्षितता असे काहीही नाही.

सामाजिक अभियांत्रिकी

सामाजिक अभियांत्रिकीतांत्रिक माध्यमांचा वापर न करता माहिती किंवा माहिती स्टोरेज सिस्टममध्ये अनधिकृत प्रवेश करण्याची पद्धत आहे. इतर हॅकर्स आणि क्रॅकर्स प्रमाणे सोशल इंजिनिअर्सचे मुख्य ध्येय माहिती, पासवर्ड, क्रेडिट कार्ड माहिती इत्यादी चोरण्यासाठी सुरक्षित प्रणालींमध्ये प्रवेश मिळवणे हे आहे. साध्या हॅकिंगमधील मुख्य फरक असा आहे की या प्रकरणात, मशीन नव्हे तर त्याच्या ऑपरेटरला हल्ल्याचे लक्ष्य म्हणून निवडले जाते. म्हणूनच सामाजिक अभियंत्यांच्या सर्व पद्धती आणि तंत्रे मानवी घटकाच्या कमकुवतपणाच्या वापरावर आधारित आहेत, ज्याला अत्यंत विनाशकारी मानले जाते, कारण हल्लेखोर माहिती प्राप्त करतो, उदाहरणार्थ, नियमित टेलिफोन संभाषणाद्वारे किंवा अंतर्गत एखाद्या संस्थेत घुसखोरी करून. त्याच्या कर्मचाऱ्याचा वेष. या प्रकारच्या हल्ल्यापासून संरक्षण करण्यासाठी, तुम्हाला फसवणुकीच्या सर्वात सामान्य प्रकारांबद्दल माहिती असणे आवश्यक आहे, हॅकर्सना खरोखर काय हवे आहे हे समजून घेणे आणि वेळेवर योग्य सुरक्षा धोरण आयोजित करणे आवश्यक आहे.

कथा

"सामाजिक अभियांत्रिकी" ची संकल्पना तुलनेने अलीकडेच प्रकट झाली असूनही, लोकांनी प्राचीन काळापासून एक किंवा दुसर्या स्वरूपात त्याचे तंत्र वापरले आहे. प्राचीन ग्रीस आणि रोममध्ये, लोकांचा आदर केला जात असे जे त्यांच्या संभाषणकर्त्याला विविध मार्गांनी पटवून देऊ शकतात की तो स्पष्टपणे चुकीचा आहे. नेत्यांच्या वतीने बोलताना त्यांनी राजनैतिक वाटाघाटी केल्या. खोटेपणा, खुशामत आणि फायदेशीर युक्तिवादांचा कुशलतेने वापर करून, त्यांनी अनेकदा तलवारीच्या मदतीशिवाय सोडवणे अशक्य वाटणारे प्रश्न सोडवले. हेरांमध्ये, सामाजिक अभियांत्रिकी हे नेहमीच मुख्य शस्त्र राहिले आहे. दुसऱ्या व्यक्तीची तोतयागिरी करून, केजीबी आणि सीआयए एजंट गुप्त राज्य गुपिते शोधू शकतात. 70 च्या दशकाच्या सुरुवातीच्या काळात, फ्रेकिंगच्या काळात, काही टेलिफोन गुंडांनी टेलिकॉम ऑपरेटरला बोलावले आणि कंपनीच्या तांत्रिक कर्मचाऱ्यांकडून गोपनीय माहिती काढण्याचा प्रयत्न केला. युक्त्यांच्या विविध प्रयोगांनंतर, 70 च्या दशकाच्या अखेरीस, फ्रेकर्सनी अप्रशिक्षित ऑपरेटर्सना हाताळण्याचे तंत्र इतके परिपूर्ण केले होते की ते त्यांच्याकडून त्यांना हवे असलेले जवळजवळ सर्व काही सहज शिकू शकत होते.

सामाजिक अभियांत्रिकीची तत्त्वे आणि तंत्रे

सामाजिक अभियंते वापरतात अशी अनेक सामान्य तंत्रे आणि हल्ल्यांचे प्रकार आहेत. ही सर्व तंत्रे संज्ञानात्मक (संज्ञानात्मक देखील पहा) पूर्वाग्रह म्हणून ओळखल्या जाणाऱ्या मानवी निर्णय घेण्याच्या वैशिष्ट्यांवर आधारित आहेत. हे पूर्वाग्रह प्रत्येक विशिष्ट प्रकरणात सर्वात योग्य फसवणूक धोरण तयार करण्यासाठी विविध संयोजनांमध्ये वापरले जातात. परंतु या सर्व पद्धतींचे सामान्य वैशिष्ट्य दिशाभूल करणारे आहे, ज्याचा उद्देश एखाद्या व्यक्तीला काही कृती करण्यास भाग पाडणे आहे जी त्याच्यासाठी फायदेशीर नाही आणि सामाजिक अभियंत्यासाठी आवश्यक आहे. इच्छित परिणाम साध्य करण्यासाठी, आक्रमणकर्ता अनेक युक्त्या वापरतो: दुसऱ्या व्यक्तीची तोतयागिरी करणे, लक्ष विचलित करणे, मानसिक तणाव वाढवणे इ. फसवणुकीची अंतिम उद्दिष्टे देखील खूप वैविध्यपूर्ण असू शकतात.

सामाजिक अभियांत्रिकी तंत्र

बहाणा

बहाणा करणे म्हणजे विशिष्ट, पूर्व-तयार परिस्थितीनुसार (बहाण) केलेल्या क्रियांचा संच आहे. या तंत्रामध्ये टेलिफोन, स्काईप इत्यादीसारख्या आवाजाच्या माध्यमांचा वापर समाविष्ट आहे. आवश्यक माहिती मिळविण्यासाठी. सामान्यतः, तृतीय पक्ष म्हणून दाखवून किंवा एखाद्याला मदतीची गरज असल्याचे भासवून, हल्लेखोर पीडित व्यक्तीला संकेतशब्द प्रदान करण्यास किंवा फिशिंग वेब पृष्ठावर लॉग इन करण्यास सांगतो, ज्यामुळे लक्ष्याची फसवणूक करून इच्छित कारवाई करण्यात किंवा विशिष्ट माहिती प्रदान केली जाते. बऱ्याच प्रकरणांमध्ये, या तंत्राला हल्ल्याच्या लक्ष्याबद्दल काही प्रारंभिक डेटा आवश्यक असतो (उदाहरणार्थ, वैयक्तिक डेटा: जन्मतारीख, फोन नंबर, खाते क्रमांक इ.) सर्वात सामान्य धोरण म्हणजे प्रथम लहान क्वेरी वापरणे आणि उल्लेख करणे. संस्थेतील खऱ्या लोकांची नावे. नंतर, संभाषणादरम्यान, हल्लेखोर स्पष्ट करतो की त्याला मदतीची आवश्यकता आहे (बहुतेक लोक सक्षम आणि संशयास्पद नसलेली कार्ये करण्यास इच्छुक आहेत). एकदा विश्वास प्रस्थापित झाला की, घोटाळेबाज आणखी ठोस आणि महत्त्वाचे काहीतरी मागू शकतो.

फिशिंग

ईमेल सेवेकडून पाठवलेल्या फिशिंग ईमेलचे उदाहरण "खाते पुन्हा सक्रिय करणे"

फिशिंग (इंग्रजी फिशिंग, मासेमारी पासून - मासेमारी, मासेमारी) हा एक प्रकारचा इंटरनेट फसवणूक आहे, ज्याचा उद्देश गोपनीय वापरकर्ता डेटा - लॉगिन आणि पासवर्डमध्ये प्रवेश मिळवणे आहे. ही कदाचित आजची सर्वात लोकप्रिय सामाजिक अभियांत्रिकी योजना आहे. फिशिंग ईमेलच्या लाटेशिवाय एकही मोठा वैयक्तिक डेटा लीक होत नाही. फिशिंगचा उद्देश बेकायदेशीरपणे गोपनीय माहिती मिळवणे हा आहे. फिशिंग हल्ल्याचे सर्वात उल्लेखनीय उदाहरण म्हणजे पीडित व्यक्तीला ईमेलद्वारे पाठवलेला संदेश आणि अधिकृत पत्र म्हणून बनावट - बँक किंवा पेमेंट सिस्टमकडून - विशिष्ट माहितीची पडताळणी करणे किंवा काही कारवाई करणे आवश्यक आहे. विविध कारणे असू शकतात. हे डेटा गमावणे, सिस्टम अपयश इत्यादी असू शकते. या ईमेलमध्ये सामान्यतः अधिकृत वेब पृष्ठाप्रमाणे दिसणाऱ्या बनावट वेब पृष्ठाची लिंक असते आणि त्यामध्ये एक फॉर्म असतो ज्यासाठी तुम्हाला संवेदनशील माहिती प्रविष्ट करणे आवश्यक असते.

जागतिक फिशिंग ईमेलच्या सर्वात प्रसिद्ध उदाहरणांपैकी एक म्हणजे 2003 चा घोटाळा ज्यामध्ये हजारो eBay वापरकर्त्यांना त्यांचे खाते लॉक केले गेले आहे आणि ते अनलॉक करण्यासाठी त्यांची क्रेडिट कार्ड माहिती अपडेट करणे आवश्यक असल्याचा दावा करणारे ईमेल प्राप्त झाले. या सर्व ईमेलमध्ये अधिकृत वेब पेजप्रमाणेच दिसणाऱ्या बनावट वेब पेजकडे नेणारी लिंक होती. तज्ञांच्या मते, या घोटाळ्याचे नुकसान अनेक लाख डॉलर्स इतके होते.

फिशिंग हल्ला कसा ओळखायचा

जवळपास दररोज नवीन फसवणुकीच्या योजना समोर येतात. बहुतेक लोक त्यांच्या काही विशिष्ट वैशिष्ट्यांशी परिचित होऊन फसवे संदेश स्वतःच ओळखण्यास शिकू शकतात. बहुतेकदा, फिशिंग संदेशांमध्ये हे समाविष्ट असते:

• चिंता किंवा धमक्या निर्माण करणारी माहिती, जसे की वापरकर्त्याची बँक खाती बंद करणे.
• थोडे किंवा कोणतेही प्रयत्न न करता प्रचंड रोख बक्षिसे देण्याचे आश्वासन.
• सेवाभावी संस्थांच्या वतीने ऐच्छिक देणग्यांसाठी विनंत्या.
• व्याकरण, विरामचिन्हे आणि शुद्धलेखनाच्या चुका.

लोकप्रिय फिशिंग योजना

सर्वात लोकप्रिय फिशिंग घोटाळे खाली वर्णन केले आहेत.

प्रसिद्ध कॉर्पोरेशनच्या ब्रँडचा वापर करून फसवणूक

हे फिशिंग घोटाळे मोठ्या किंवा प्रसिद्ध कंपन्यांची नावे असलेले बनावट ईमेल किंवा वेबसाइट वापरतात. संदेशांमध्ये कंपनीने आयोजित केलेली स्पर्धा जिंकल्याबद्दल अभिनंदन किंवा तुमची क्रेडेन्शियल किंवा पासवर्ड बदलण्याची तातडीची गरज असू शकते. तांत्रिक समर्थनाच्या वतीने तत्सम फसव्या योजना फोनवर देखील केल्या जाऊ शकतात.

फसव्या लॉटरी

एखाद्या सुप्रसिद्ध कंपनीने काढलेली लॉटरी त्याने जिंकली आहे असे सूचित करणारे संदेश वापरकर्त्याला प्राप्त होऊ शकतात. वरवर पाहता, हे संदेश एखाद्या वरिष्ठ कॉर्पोरेट कर्मचाऱ्याच्या वतीने पाठवले गेल्यासारखे दिसू शकतात.

खोटे अँटीव्हायरस आणि सुरक्षा कार्यक्रम

IVR किंवा टेलिफोन फिशिंग

IVR प्रणालीचे ऑपरेटिंग तत्त्व

Qui बद्दल quo

Quid pro quo हे इंग्रजीमध्ये सामान्यतः "quid pro quo" या अर्थासाठी वापरले जाणारे संक्षेप आहे. या प्रकारच्या हल्ल्यात हल्लेखोर कॉर्पोरेट फोनवर कंपनीला कॉल करतो. बऱ्याच प्रकरणांमध्ये, हल्लेखोर तांत्रिक सहाय्य कर्मचाऱ्याच्या रूपात उभे राहतात आणि काही तांत्रिक समस्या आहेत का ते विचारतात. तांत्रिक समस्यांचे "निराकरण" करण्याच्या प्रक्रियेत, स्कॅमर लक्ष्यास कमांड्स प्रविष्ट करण्यास "सक्त" करतो जे हॅकरला वापरकर्त्याच्या मशीनवर दुर्भावनापूर्ण सॉफ्टवेअर चालविण्यास किंवा स्थापित करण्यास अनुमती देतात.

ट्रोजन घोडा

कधीकधी ट्रोजनचा वापर हा ठराविक संगणक, नेटवर्क किंवा संसाधनांवर नियोजित मल्टी-स्टेज हल्ल्याचा भाग असतो.

ट्रोजनचे प्रकार

ट्रोजन बहुतेकदा दुर्भावनापूर्ण हेतूंसाठी विकसित केले जातात. एक वर्गीकरण आहे जेथे ट्रोजन सिस्टममध्ये घुसखोरी करतात आणि त्यास हानी पोहोचवतात यावर आधारित ते श्रेणींमध्ये विभागले जातात. 5 मुख्य प्रकार आहेत:

• दूरस्थ प्रवेश
• डेटा नष्ट करणे
• लोडर
• सर्व्हर
• सुरक्षा कार्यक्रम निष्क्रिय करणारा

गोल

ट्रोजन प्रोग्रामचा उद्देश असू शकतो:

• फायली अपलोड आणि डाउनलोड करणे
• बनावट वेबसाइट्स, चॅट रूम किंवा इतर नोंदणी साइट्सकडे नेणाऱ्या खोट्या लिंक्स कॉपी करणे
• वापरकर्त्याच्या कामात हस्तक्षेप करणे
• संसाधनांमध्ये अनधिकृत प्रवेशासाठी, गुन्हेगारी हेतूंसाठी वापरल्या जाऊ शकतील अशा बँक खात्यांचे तपशील मिळवण्यासाठी, प्रमाणीकरण माहितीसह मूल्य किंवा रहस्यांचा डेटा चोरणे
• इतर मालवेअरचे वितरण जसे की व्हायरस
• डेटा नष्ट करणे (डिस्कवरील डेटा मिटवणे किंवा ओव्हरराईट करणे, फायलींना पाहण्यास कठीण नुकसान) आणि उपकरणे, संगणक प्रणाली, नेटवर्कची सेवा अक्षम करणे किंवा अयशस्वी होणे
• ईमेल पत्ते गोळा करणे आणि स्पॅम पाठवण्यासाठी त्यांचा वापर करणे
• वापरकर्त्याची हेरगिरी करणे आणि गुप्तपणे तृतीय पक्षांना माहिती संप्रेषण करणे, जसे की ब्राउझिंग सवयी
• पासवर्ड आणि क्रेडिट कार्ड नंबर यासारखी माहिती चोरण्यासाठी लॉगिंग कीस्ट्रोक
• अँटी-व्हायरस प्रोग्राम आणि फायरवॉलच्या ऑपरेशनमध्ये निष्क्रिय करणे किंवा हस्तक्षेप करणे

वेष

अनेक ट्रोजन प्रोग्राम वापरकर्त्यांच्या संगणकावर त्यांच्या माहितीशिवाय असतात. काहीवेळा ट्रोजन्स रेजिस्ट्रीमध्ये नोंदणीकृत असतात, ज्यामुळे ऑपरेटिंग सिस्टम सुरू झाल्यावर त्यांचे स्वयंचलित लॉन्च होते. ट्रोजन देखील कायदेशीर फाइल्ससह एकत्र केले जाऊ शकतात. जेव्हा वापरकर्ता अशी फाईल उघडतो किंवा अनुप्रयोग लाँच करतो तेव्हा ट्रोजन त्याच्यासोबत लॉन्च होतो.

ट्रोजन कसे कार्य करते

ट्रोजनमध्ये सहसा दोन भाग असतात: क्लायंट आणि सर्व्हर. सर्व्हर पीडित मशीनवर चालतो आणि क्लायंटच्या कनेक्शनचे निरीक्षण करतो. सर्व्हर चालू असताना, ते क्लायंटकडून कनेक्शनसाठी पोर्ट किंवा एकाधिक पोर्ट्सचे निरीक्षण करते. आक्रमणकर्त्याने सर्व्हरशी कनेक्ट होण्यासाठी, ज्या मशीनवर ते चालू आहे त्याचा IP पत्ता माहित असणे आवश्यक आहे. काही ट्रोजन पीडित मशिनचा आयपी ॲड्रेस हल्ला करणाऱ्या पक्षाला ईमेलद्वारे किंवा इतर कोणत्याही पद्धतीने पाठवतात. सर्व्हरशी कनेक्शन होताच, क्लायंट त्यास कमांड पाठवू शकतो, ज्या सर्व्हर कार्यान्वित करेल. सध्या, NAT तंत्रज्ञानामुळे, बहुतेक संगणकांवर त्यांच्या बाह्य IP पत्त्याद्वारे प्रवेश करणे अशक्य आहे. म्हणूनच आज बरेच ट्रोजन आक्रमणकर्त्याच्या संगणकाशी कनेक्ट होतात, जे कनेक्शन कनेक्शन प्राप्त करण्यासाठी जबाबदार असतात, त्याऐवजी आक्रमणकर्ता स्वतः पीडिताशी कनेक्ट करण्याचा प्रयत्न करतो. बऱ्याच आधुनिक ट्रोजन देखील वापरकर्त्याच्या संगणकांवर फायरवॉल सहजपणे बायपास करू शकतात.

मुक्त स्त्रोतांकडून माहितीचे संकलन

सामाजिक अभियांत्रिकी तंत्राचा वापर करण्यासाठी केवळ मानसशास्त्राचे ज्ञानच नाही तर एखाद्या व्यक्तीबद्दल आवश्यक माहिती गोळा करण्याची क्षमता देखील आवश्यक आहे. अशी माहिती मिळविण्याचा एक तुलनेने नवीन मार्ग म्हणजे मुख्यतः सोशल नेटवर्क्सवरून, उदाहरणार्थ, लाइव्हजर्नल, ओड्नोक्लास्निकी, व्हकॉन्टाक्टे सारख्या साइट्समध्ये मोठ्या प्रमाणात डेटा असतो जो लोक लपविण्याचा प्रयत्न करत नाहीत. वापरकर्ते सुरक्षिततेच्या समस्यांकडे पुरेसे लक्ष देत नाहीत, डेटा आणि माहिती सार्वजनिक डोमेनमध्ये ठेवतात जी आक्रमणकर्त्याद्वारे वापरली जाऊ शकतात.

इव्हगेनी कॅस्परस्कीच्या मुलाच्या अपहरणाची कथा हे एक स्पष्ट उदाहरण आहे. तपासादरम्यान, हे सिद्ध झाले की गुन्हेगारांनी किशोरवयीन मुलाचे दैनंदिन वेळापत्रक आणि मार्ग त्याच्या सोशल नेटवर्क पृष्ठावरील पोस्टमधून शिकले.

त्याच्या सोशल नेटवर्क पृष्ठावरील माहितीवर प्रवेश मर्यादित करूनही, वापरकर्त्याला खात्री असू शकत नाही की ती कधीही फसवणूक करणाऱ्यांच्या हाती पडणार नाही. उदाहरणार्थ, एका ब्राझीलच्या संगणक सुरक्षा संशोधकाने दाखवले की सोशल इंजिनिअरिंग तंत्राचा वापर करून 24 तासांच्या आत कोणत्याही फेसबुक वापरकर्त्याचे मित्र बनणे शक्य आहे. प्रयोगादरम्यान, संशोधक नेल्सन नोव्हास नेटो यांनी "पीडित" निवडले आणि तिच्या वातावरणातील - तिच्या बॉसचे बनावट खाते तयार केले. नेटोने प्रथम पीडितेच्या बॉसच्या मित्रांच्या मित्रांना आणि नंतर थेट त्याच्या मित्रांना फ्रेंड रिक्वेस्ट पाठवली. 7.5 तासांनंतर, संशोधकाला मित्र म्हणून जोडण्यासाठी "बळी" मिळाला. अशा प्रकारे, संशोधकाने वापरकर्त्याच्या वैयक्तिक माहितीमध्ये प्रवेश मिळवला, जो त्याने फक्त त्याच्या मित्रांसह सामायिक केला.

रोड सफरचंद

ही हल्ला पद्धत ट्रोजन हॉर्सचे रूपांतर आहे आणि त्यात भौतिक माध्यमांचा वापर केला जातो. हल्लेखोर "संक्रमित" , किंवा फ्लॅश, वाहक सहज सापडतील अशा ठिकाणी लावतो (शौचालय, लिफ्ट, पार्किंगची जागा). अधिकृत दिसण्यासाठी मीडिया बनावट आहे, आणि कुतूहल जागृत करण्यासाठी डिझाइन केलेली स्वाक्षरी सोबत आहे. उदाहरणार्थ, एक घोटाळेबाज एक पत्र लावू शकतो, कॉर्पोरेट लोगोसह सुसज्ज आणि कंपनीच्या अधिकृत वेबसाइटची लिंक, ज्यावर "कार्यकारी वेतन" असा शिलालेख आहे. डिस्क लिफ्टच्या मजल्यावर किंवा लॉबीमध्ये सोडली जाऊ शकते. एक कर्मचारी नकळत डिस्क उचलू शकतो आणि त्याची उत्सुकता पूर्ण करण्यासाठी ती संगणकात घालू शकतो.

उलट सामाजिक अभियांत्रिकी

रिव्हर्स सोशल इंजिनीअरिंगचा संदर्भ घेतला जातो जेव्हा पीडित स्वतः आक्रमणकर्त्याला आवश्यक असलेली माहिती देते. हे अवास्तव वाटू शकते, परंतु खरं तर, तांत्रिक किंवा सामाजिक क्षेत्रात अधिकार असलेल्या व्यक्तींना सहसा वापरकर्ता आयडी, पासवर्ड आणि इतर संवेदनशील वैयक्तिक माहिती मिळते कारण कोणीही त्यांच्या सचोटीवर शंका घेत नाही. उदाहरणार्थ, समर्थन कर्मचारी कधीही वापरकर्त्यांना आयडी किंवा पासवर्ड विचारत नाहीत; समस्या सोडवण्यासाठी त्यांना या माहितीची आवश्यकता नाही. तथापि, समस्यांचे त्वरीत निराकरण करण्यासाठी अनेक वापरकर्ते स्वेच्छेने ही गोपनीय माहिती प्रदान करतात. असे दिसून आले की हल्लेखोराला त्याबद्दल विचारण्याची देखील गरज नाही.

रिव्हर्स सोशल इंजिनिअरिंगचे उदाहरण खालील सोप्या परिस्थिती आहे. पीडितासोबत काम करणारा हल्लेखोर पीडिताच्या संगणकावरील फाइलचे नाव बदलतो किंवा वेगळ्या निर्देशिकेत हलवतो. जेव्हा पीडिताच्या लक्षात येते की फाइल गहाळ आहे, तेव्हा हल्लेखोर दावा करतो की तो सर्वकाही ठीक करू शकतो. काम जलद पूर्ण करायचे आहे किंवा माहिती गमावल्याबद्दल शिक्षा टाळायची आहे, पीडित व्यक्ती या ऑफरला सहमत आहे. हल्लेखोराचा दावा आहे की पीडितेच्या क्रेडेन्शियल्ससह लॉग इन करूनच समस्या सोडवली जाऊ शकते. आता पीडित मुलगी हल्लेखोराला फाईल पुनर्संचयित करण्याचा प्रयत्न करण्यासाठी तिच्या नावाखाली लॉग इन करण्यास सांगते. हल्लेखोर अनिच्छेने सहमती देतो आणि फाइल पुनर्संचयित करतो आणि प्रक्रियेत पीडिताचा आयडी आणि पासवर्ड चोरतो. हल्ला यशस्वीरित्या पार पाडल्यानंतर, त्याने आपली प्रतिष्ठा देखील सुधारली आणि हे शक्य आहे की यानंतर इतर सहकारी मदतीसाठी त्याच्याकडे वळतील. हा दृष्टीकोन समर्थन सेवा प्रदान करण्याच्या नेहमीच्या प्रक्रियेत व्यत्यय आणत नाही आणि आक्रमणकर्त्याला पकडण्यात गुंतागुंत निर्माण करतो.

प्रसिद्ध सामाजिक अभियंते

केविन मिटनिक

केविन मिटनिक. जगप्रसिद्ध हॅकर आणि सुरक्षा सल्लागार

इतिहासातील सर्वात प्रसिद्ध सामाजिक अभियंत्यांपैकी एक म्हणजे केविन मिटनिक. जगप्रसिद्ध संगणक हॅकर आणि सुरक्षा सल्लागार म्हणून, मिटनिक हा संगणक सुरक्षेवरील असंख्य पुस्तकांचा लेखक देखील आहे, मुख्यत्वे सामाजिक अभियांत्रिकी आणि लोकांवर मानसिक प्रभावाच्या पद्धतींना समर्पित आहे. 2002 मध्ये, सामाजिक अभियांत्रिकीच्या वापराच्या वास्तविक कथा सांगणारे "द आर्ट ऑफ डिसेप्शन" हे पुस्तक त्यांच्या लेखकत्वाखाली प्रकाशित झाले. केविन मिटनिक यांनी युक्तिवाद केला की सुरक्षा प्रणाली हॅक करण्याचा प्रयत्न करण्यापेक्षा फसवणूक करून पासवर्ड मिळवणे खूप सोपे आहे

बदीर ब्रदर्स

मुंडीर, मुशीद आणि शादी बदीर हे भाऊ जन्मापासूनच अंध असूनही, त्यांनी 1990 च्या दशकात इस्रायलमध्ये सोशल इंजिनिअरिंग आणि व्हॉइस स्पूफिंगचा वापर करून अनेक मोठ्या फसवणुकीच्या योजना राबविल्या. एका टेलिव्हिजन मुलाखतीत ते म्हणाले: "जे लोक टेलिफोन, वीज आणि लॅपटॉप वापरत नाहीत त्यांचा नेटवर्क हल्ल्यांपासून पूर्णपणे विमा उतरवला जातो." टेलिफोन प्रदात्यांचे गुप्त हस्तक्षेप टोन ऐकण्यास आणि उलगडण्यास सक्षम असल्यामुळे भाऊ आधीच तुरुंगात गेले आहेत. त्यांनी सेल्युलर प्रदात्यांचे संगणक हस्तक्षेप टोनसह रीप्रोग्राम करून, दुसऱ्याच्या खर्चाने परदेशात लांब कॉल केले.

मुख्य देवदूत

फ्रॅक मासिकाचे मुखपृष्ठ

प्रसिद्ध इंग्रजी भाषेतील ऑनलाइन मॅगझिन "फ्रॅक मॅगझिन" साठी एक प्रसिद्ध संगणक हॅकर आणि सुरक्षा सल्लागार, मुख्य देवदूताने अल्पावधीतच मोठ्या संख्येने विविध प्रणालींमधून पासवर्ड मिळवून, शेकडो बळींची फसवणूक करून सामाजिक अभियांत्रिकी तंत्राची शक्ती प्रदर्शित केली.

इतर

कमी प्रसिद्ध सामाजिक अभियंत्यांमध्ये फ्रँक ॲबग्नेल, डेव्हिड बॅनन, पीटर फॉस्टर आणि स्टीफन जे रसेल यांचा समावेश आहे.

सामाजिक अभियांत्रिकीपासून संरक्षण करण्याचे मार्ग

त्यांचे हल्ले करण्यासाठी, हल्लेखोर जे सामाजिक अभियांत्रिकी तंत्र वापरतात ते बऱ्याचदा मूर्खपणा, आळशीपणा, सौजन्य आणि संस्थांचे वापरकर्ते आणि कर्मचाऱ्यांच्या उत्साहाचा गैरफायदा घेतात. अशा हल्ल्यांपासून बचाव करणे सोपे नसते कारण बळी पडलेल्यांना कदाचित याची जाणीव नसते की त्यांची फसवणूक झाली आहे. सामाजिक अभियांत्रिकी हल्लेखोरांची सामान्यतः इतर हल्लेखोरांसारखीच उद्दिष्टे असतात: त्यांना पैसे, माहिती किंवा पीडित कंपनीची आयटी संसाधने हवी असतात. अशा हल्ल्यांपासून संरक्षण करण्यासाठी, तुम्हाला त्यांच्या प्रकारांचा अभ्यास करणे, हल्लेखोराला काय आवश्यक आहे हे समजून घेणे आणि संस्थेला होणाऱ्या नुकसानीचे मूल्यांकन करणे आवश्यक आहे. या सर्व माहितीसह, तुम्ही तुमच्या सुरक्षा धोरणामध्ये आवश्यक संरक्षण उपाय समाकलित करू शकता.

धोक्याचे वर्गीकरण

ईमेल धमक्या

अनेक कर्मचारी कॉर्पोरेट आणि खाजगी ईमेल सिस्टमद्वारे दररोज डझनभर आणि शेकडो ईमेल प्राप्त करतात. अर्थात, पत्रव्यवहाराच्या अशा प्रवाहामुळे प्रत्येक अक्षराकडे योग्य लक्ष देणे अशक्य आहे. त्यामुळे हल्ले करणे खूप सोपे होते. ई-मेल सिस्टीमचे बहुतेक वापरकर्ते अशा संदेशांवर प्रक्रिया करण्याबाबत निश्चिंत असतात, हे काम एका फोल्डरमधून दुसऱ्या फोल्डरमध्ये कागदपत्रे हलवण्याचे इलेक्ट्रॉनिक ॲनालॉग मानतात. जेव्हा एखादा हल्लेखोर मेलद्वारे एक साधी विनंती पाठवतो, तेव्हा त्याचा बळी अनेकदा त्याच्या कृतींचा विचार न करता त्याला जे करण्यास सांगितले जाते ते करेल. ईमेलमध्ये हायपरलिंक्स असू शकतात जे कर्मचार्यांना कॉर्पोरेट सुरक्षिततेचे उल्लंघन करण्यास प्रवृत्त करतात. अशा लिंक्स नेहमी नमूद केलेल्या पानांवर नेत नाहीत.

बहुतेक सुरक्षा उपायांचा उद्देश अनधिकृत वापरकर्त्यांना कॉर्पोरेट संसाधनांमध्ये प्रवेश करण्यापासून प्रतिबंधित करणे आहे. जर, आक्रमणकर्त्याने पाठवलेल्या हायपरलिंकवर क्लिक करून, वापरकर्त्याने कॉर्पोरेट नेटवर्कवर ट्रोजन किंवा व्हायरस अपलोड केला, तर हे अनेक प्रकारच्या संरक्षणास बायपास करणे सोपे करेल. हायपरलिंक पॉप-अप ऍप्लिकेशन्ससह डेटासाठी किंवा इतर प्रकारच्या घोटाळ्यांप्रमाणेच, स्वतःला दुर्भावनापूर्ण हल्ल्यांपासून वाचवण्याचा सर्वात प्रभावी मार्ग म्हणजे कोणत्याही अनपेक्षित येणाऱ्या ईमेलवर संशय घेणे. तुमच्या संपूर्ण संस्थेमध्ये या दृष्टिकोनाचा प्रचार करण्यासाठी, तुमच्या सुरक्षा धोरणात खालील घटक समाविष्ट असलेल्या ईमेलच्या वापरासाठी विशिष्ट मार्गदर्शक तत्त्वे समाविष्ट केली पाहिजेत:

• दस्तऐवजांना संलग्नक.
• दस्तऐवजांमध्ये हायपरलिंक्स.
• कंपनीमधून येणाऱ्या वैयक्तिक किंवा कॉर्पोरेट माहितीसाठी विनंत्या.
• कंपनीच्या बाहेरून उद्भवलेल्या वैयक्तिक किंवा कॉर्पोरेट माहितीसाठी विनंत्या.

इन्स्टंट मेसेजिंग सेवा वापरण्याशी संबंधित धमक्या

इन्स्टंट मेसेजिंग ही डेटा ट्रान्सफरची तुलनेने नवीन पद्धत आहे, परंतु कॉर्पोरेट वापरकर्त्यांमध्ये ती आधीच लोकप्रिय झाली आहे. वेग आणि वापरणी सुलभतेमुळे, संप्रेषणाची ही पद्धत विविध हल्ल्यांसाठी विस्तृत संधी उघडते: वापरकर्ते यास टेलिफोन कनेक्शन मानतात आणि संभाव्य सॉफ्टवेअर धोक्यांशी संबद्ध करत नाहीत. इन्स्टंट मेसेजिंग सेवांच्या वापरावर आधारित दोन मुख्य प्रकारचे हल्ले म्हणजे संदेशाच्या मुख्य भागामध्ये दुर्भावनापूर्ण प्रोग्रामची लिंक समाविष्ट करणे आणि प्रोग्रामचे वितरण. अर्थात, इन्स्टंट मेसेजिंग देखील माहितीची विनंती करण्याचा एक मार्ग आहे. इन्स्टंट मेसेजिंग सेवांचे एक वैशिष्ट्य म्हणजे संवादाचे अनौपचारिक स्वरूप. स्वतःला कोणतेही नाव देण्याच्या क्षमतेसह, हा घटक आक्रमणकर्त्यासाठी दुसऱ्या व्यक्तीची तोतयागिरी करणे खूप सोपे बनवतो आणि जर एखाद्या कंपनीचा खर्च कमी करण्याच्या संधींचा फायदा घ्यायचा असेल तर यशस्वीरित्या हल्ला करण्याची शक्यता लक्षणीयरीत्या वाढते इन्स्टंट मेसेजिंगद्वारे प्रदान केलेले इतर फायदे, कॉर्पोरेट सुरक्षा धोरणांमध्ये समाविष्ट करणे आवश्यक आहे जे संबंधित धोक्यांपासून संरक्षण यंत्रणा प्रदान करतात. एंटरप्राइझ वातावरणात इन्स्टंट मेसेजिंगवर विश्वासार्ह नियंत्रण मिळवण्यासाठी, अनेक आवश्यकता पूर्ण केल्या पाहिजेत.

• एक इन्स्टंट मेसेजिंग प्लॅटफॉर्म निवडा.
• इन्स्टंट मेसेजिंग सेवा उपयोजित करताना निर्दिष्ट केलेली सुरक्षा सेटिंग्ज निश्चित करा.
• नवीन संपर्क स्थापित करण्यासाठी तत्त्वे परिभाषित करा
• पासवर्ड मानके सेट करा
• इन्स्टंट मेसेजिंग सेवा वापरण्यासाठी शिफारसी करा.

बहु-स्तरीय सुरक्षा मॉडेल

सामाजिक अभियांत्रिकी तंत्रांचा वापर करून मोठ्या कंपन्या आणि त्यांच्या कर्मचाऱ्यांचे स्कॅमरपासून संरक्षण करण्यासाठी, जटिल बहु-स्तरीय सुरक्षा प्रणालींचा वापर केला जातो. अशा प्रणालींची काही वैशिष्ट्ये आणि जबाबदाऱ्या खाली सूचीबद्ध केल्या आहेत.

• भौतिक सुरक्षा. अडथळे जे कंपनीच्या इमारती आणि कॉर्पोरेट संसाधनांमध्ये प्रवेश प्रतिबंधित करतात. हे विसरू नका की कंपनी संसाधने, उदाहरणार्थ, कंपनीच्या क्षेत्राबाहेरील कचरा कंटेनर, भौतिकरित्या संरक्षित नाहीत.
• डेटा. व्यवसाय माहिती: खाती, मेल, इ. धमक्यांचे विश्लेषण करताना आणि डेटाचे संरक्षण करण्यासाठी उपाय योजना करताना, तुम्हाला कागद आणि इलेक्ट्रॉनिक डेटा मीडिया हाताळण्याची तत्त्वे निश्चित करणे आवश्यक आहे.
• अर्ज. वापरकर्ता-रन प्रोग्राम. तुमच्या पर्यावरणाचे रक्षण करण्यासाठी, तुम्हाला हल्लेखोर ईमेल प्रोग्राम, इन्स्टंट मेसेजिंग आणि इतर ॲप्लिकेशन्सचा कसा फायदा घेऊ शकतात याचा विचार करणे आवश्यक आहे.
• संगणक. संस्थेमध्ये वापरलेले सर्व्हर आणि क्लायंट सिस्टम. कॉर्पोरेट संगणकांवर कोणते प्रोग्राम वापरले जाऊ शकतात याचे नियमन करणारी कठोर मार्गदर्शक तत्त्वे परिभाषित करून वापरकर्त्यांना त्यांच्या संगणकावरील थेट हल्ल्यांपासून संरक्षण करते.
• अंतर्गत नेटवर्क. एक नेटवर्क ज्याद्वारे कॉर्पोरेट प्रणाली परस्परसंवाद करतात. हे स्थानिक, जागतिक किंवा वायरलेस असू शकते. अलिकडच्या वर्षांत, रिमोट कामाच्या पद्धतींच्या वाढत्या लोकप्रियतेमुळे, अंतर्गत नेटवर्कच्या सीमा मोठ्या प्रमाणात अनियंत्रित झाल्या आहेत. कंपनी कर्मचाऱ्यांना कोणत्याही नेटवर्क वातावरणात सुरक्षितपणे ऑपरेट करण्यासाठी त्यांनी काय केले पाहिजे हे सांगणे आवश्यक आहे.
• नेटवर्क परिमिती. कंपनीचे अंतर्गत नेटवर्क आणि बाह्य नेटवर्क, जसे की इंटरनेट किंवा भागीदार संस्थांचे नेटवर्क यांच्यातील सीमा.

जबाबदारी

टेलिफोन संभाषणांचे बहाणे आणि रेकॉर्डिंग

हेवलेट-पॅकार्ड

हेवलेट पॅकार्ड कॉर्पोरेशनच्या अध्यक्षा पॅट्रिशिया डन यांनी सांगितले की, गोपनीय माहिती लीक करण्यासाठी जबाबदार असलेल्या कंपनीच्या कर्मचाऱ्यांची ओळख पटविण्यासाठी तिने एका खाजगी कंपनीची नियुक्ती केली. नंतर, महामंडळाच्या प्रमुखांनी हे मान्य केले की संशोधन प्रक्रियेदरम्यान बहाणे आणि इतर सामाजिक अभियांत्रिकी तंत्रांचा वापर केला गेला.

नोट्स

हे देखील पहा

दुवे

• SocialWare.ru – खाजगी सामाजिक अभियांत्रिकी प्रकल्प
• - सामाजिक अभियांत्रिकी: मूलभूत. भाग I: हॅकर डावपेच

अलिकडच्या वर्षांत, सामाजिक अभियांत्रिकी तंत्रांचा वापर करून सायबर गुन्हेगारांनी अधिक प्रगत पद्धतींचा अवलंब केला आहे ज्यामुळे एंटरप्राइझ कर्मचाऱ्यांचे आधुनिक मानसशास्त्र आणि सर्वसाधारणपणे लोकांच्या आधुनिक मानसशास्त्राचा वापर करून आवश्यक माहितीपर्यंत प्रवेश मिळण्याची अधिक शक्यता असते. या प्रकारच्या युक्तीचा प्रतिकार करण्याची पहिली पायरी म्हणजे हल्लेखोरांचे डावपेच स्वतः समजून घेणे. सामाजिक अभियांत्रिकीच्या आठ मुख्य पद्धती पाहू.

परिचय

90 च्या दशकात, "सामाजिक अभियांत्रिकी" ची संकल्पना केविन मिटनिक, माहिती सुरक्षा क्षेत्रातील एक प्रतिष्ठित व्यक्तिमत्व, माजी गंभीर हॅकर यांनी सादर केली. तथापि, हा शब्द दिसण्यापूर्वी हल्लेखोरांनी अशा पद्धतींचा वापर केला. तज्ञांना खात्री आहे की आधुनिक सायबर गुन्हेगारांची रणनीती दोन उद्दिष्टांच्या पाठपुराव्याशी जोडलेली आहे: पासवर्ड चोरणे आणि मालवेअर स्थापित करणे.

हल्लेखोर टेलिफोन, ईमेल आणि इंटरनेट वापरून सोशल इंजिनिअरिंगचा वापर करण्याचा प्रयत्न करतात. गुन्हेगारांना आवश्यक असलेली गोपनीय माहिती मिळविण्यात मदत करणाऱ्या मुख्य पद्धतींशी परिचित होऊ या.

युक्ती 1. दहा हँडशेकचा सिद्धांत

सामाजिक अभियांत्रिकीसाठी फोन वापरणाऱ्या आक्रमणकर्त्याचे मुख्य उद्दिष्ट म्हणजे त्याच्या बळीला दोन गोष्टींपैकी एकाची खात्री पटवणे:

1. पीडितेला कंपनीच्या कर्मचाऱ्याचा फोन आला;
2. अधिकृत संस्थेचा प्रतिनिधी (उदाहरणार्थ, कायदा अंमलबजावणी अधिकारी किंवा ऑडिटर) कॉल करतो.

जर एखाद्या गुन्हेगाराने एखाद्या विशिष्ट कर्मचाऱ्याबद्दल डेटा गोळा करण्याचे काम स्वत: ला सेट केले तर, तो प्रथम त्याच्या सहकाऱ्यांशी संपर्क साधू शकतो, त्याला आवश्यक असलेला डेटा काढण्यासाठी प्रत्येक संभाव्य मार्गाने प्रयत्न करू शकतो.

सहा हँडशेकचा जुना सिद्धांत लक्षात ठेवा? बरं, सुरक्षा तज्ञ म्हणतात की सायबर गुन्हेगार आणि त्याचा बळी यांच्यात फक्त दहा "हँडशेक" असू शकतात. तज्ञांचा असा विश्वास आहे की आधुनिक परिस्थितीत आपल्याला नेहमीच थोडासा विक्षिप्तपणा असणे आवश्यक आहे, कारण आपल्याला हे किंवा त्या कर्मचार्याला आपल्याकडून काय हवे आहे हे माहित नसते.

आक्रमणकर्ते सामान्यत: उच्च पदानुक्रमातील लोकांबद्दल माहिती गोळा करण्यासाठी सेक्रेटरी (किंवा तत्सम पदावर असलेले कोणीतरी) लक्ष्य करतात. तज्ञांनी लक्षात ठेवा की एक मैत्रीपूर्ण टोन स्कॅमरना मोठ्या प्रमाणात मदत करतो. हळुहळू पण खात्रीने, गुन्हेगार तुमच्याकडे चावी घेत आहेत, ज्यामुळे लवकरच तुम्ही अशी माहिती सामायिक कराल जी तुम्ही यापूर्वी कधीही उघड केली नसेल.

युक्ती 2. कॉर्पोरेट भाषा शिकणे

तुम्हाला माहिती आहे की, प्रत्येक उद्योगाची स्वतःची विशिष्ट सूत्रे आहेत. आवश्यक माहिती मिळविण्याचा प्रयत्न करणाऱ्या आक्रमणकर्त्याचे कार्य सामाजिक अभियांत्रिकी तंत्रांचा अधिक कुशलतेने वापर करण्यासाठी अशा भाषेच्या वैशिष्ट्यांचा अभ्यास करणे आहे.

सर्व तपशील कॉर्पोरेट भाषा, त्याच्या अटी आणि वैशिष्ट्यांच्या अभ्यासामध्ये आहेत. जर सायबर गुन्हेगार त्याच्या उद्देशांसाठी परिचित, परिचित आणि समजण्याजोगी भाषा बोलत असेल तर तो अधिक सहजपणे विश्वास संपादन करेल आणि त्याला आवश्यक असलेली माहिती पटकन प्राप्त करण्यास सक्षम असेल.

युक्ती 3: कॉल दरम्यान कॉल ठेवण्यासाठी संगीत उधार घ्या

यशस्वी हल्ला करण्यासाठी, घोटाळेबाजांना तीन घटकांची आवश्यकता असते: वेळ, चिकाटी आणि संयम. सामाजिक अभियांत्रिकी वापरून अनेकदा सायबर हल्ले हळू आणि पद्धतशीरपणे केले जातात - केवळ योग्य लोकांवरील डेटाच नाही तर तथाकथित "सामाजिक सिग्नल" देखील गोळा केला जातो. विश्वास संपादन करण्यासाठी आणि लक्ष्य मूर्ख बनवण्यासाठी हे केले जाते. उदाहरणार्थ, हल्लेखोर ज्या व्यक्तीशी संवाद साधत आहेत त्यांना ते सहकारी असल्याचे पटवून देऊ शकतात.

या दृष्टिकोनाचे एक वैशिष्ट्य म्हणजे कंपनी कॉल दरम्यान वापरत असलेल्या संगीताचे रेकॉर्डिंग आहे, तर कॉलर उत्तराची वाट पाहत आहे. गुन्हेगार प्रथम अशा संगीताची वाट पाहतो, नंतर ते रेकॉर्ड करतो आणि नंतर त्याचा उपयोग आपल्या फायद्यासाठी करतो.

अशा प्रकारे, जेव्हा पीडितेशी थेट संवाद होतो, तेव्हा हल्लेखोर कधीतरी म्हणतात: "एक मिनिट थांबा, दुसऱ्या ओळीवर कॉल आहे." मग पीडित व्यक्ती परिचित संगीत ऐकते आणि कॉलर एखाद्या विशिष्ट कंपनीचे प्रतिनिधीत्व करतो यात शंका नाही. थोडक्यात, ही फक्त एक चतुर मनोवैज्ञानिक युक्ती आहे.

युक्ती 4. टेलिफोन नंबरची स्पूफिंग (बदली).

गुन्हेगार अनेकदा फोन नंबर स्पूफिंगचा वापर करतात, ज्यामुळे त्यांना कॉलरचा नंबर फसवण्यास मदत होते. उदाहरणार्थ, एखादा हल्लेखोर त्याच्या अपार्टमेंटमध्ये बसून स्वारस्य असलेल्या व्यक्तीला कॉल करत असेल, परंतु कॉलर आयडी कंपनीच्या मालकीचा नंबर प्रदर्शित करेल, ज्यामुळे स्कॅमर कॉर्पोरेट नंबर वापरून कॉल करत असल्याचा भ्रम निर्माण करेल.

अर्थात, कॉलर आयडी त्यांच्या कंपनीचा असल्यास, संशयित कर्मचारी बहुतेक प्रकरणांमध्ये पासवर्डसह संवेदनशील माहिती कॉलरला देतात. हा दृष्टिकोन गुन्हेगारांना ट्रॅकिंग टाळण्यास देखील मदत करतो कारण तुम्ही या नंबरवर परत कॉल केल्यास, तुम्हाला कंपनीच्या अंतर्गत लाइनवर रीडायरेक्ट केले जाईल.

युक्ती 5: तुमच्या विरुद्ध बातम्या वापरणे

वर्तमान बातम्यांचे मथळे काहीही असो, आक्रमणकर्ते ही माहिती स्पॅम, फिशिंग आणि इतर फसव्या क्रियाकलापांसाठी आमिष म्हणून वापरतात. हे आश्चर्यकारक नाही की तज्ञांनी अलीकडेच स्पॅम ईमेलच्या संख्येत वाढ नोंदवली आहे, ज्याचे विषय राष्ट्रपतींच्या मोहिमेशी आणि आर्थिक संकटांशी संबंधित आहेत.

बँकेवर फिशिंग हल्ला हे एक उदाहरण आहे. ईमेल असे काहीतरी सांगते:

“दुसरी बँक [बँकेचे नाव] तुमची बँक [बँकेचे नाव] ताब्यात घेत आहे. करार बंद होईपर्यंत तुमची बँक माहिती अपडेट केली जाईल याची खात्री करण्यासाठी या लिंकवर क्लिक करा.

साहजिकच, स्कॅमर तुमच्या खात्यात लॉग इन करू शकतात, तुमचे पैसे चोरू शकतात किंवा तृतीय पक्षाला तुमची माहिती विकू शकतात अशी माहिती मिळवण्याचा हा एक प्रयत्न आहे.

युक्ती 6: सोशल प्लॅटफॉर्मवरील विश्वासाचा फायदा घ्या

फेसबुक, मायस्पेस आणि लिंक्डइन या अत्यंत लोकप्रिय सोशल नेटवर्किंग साइट्स आहेत हे गुपित नाही. तज्ञांच्या संशोधनानुसार, लोक अशा प्लॅटफॉर्मवर विश्वास ठेवतात. लिंक्डइन वापरकर्त्यांना लक्ष्य करणारी अलीकडील भाला-फिशिंग घटना या सिद्धांताचे समर्थन करते.

अशा प्रकारे, अनेक वापरकर्ते एखाद्या ईमेलवर विश्वास ठेवतील जर ते फेसबुकचे असल्याचा दावा करतात. सोशल नेटवर्कची देखभाल सुरू असल्याचा दावा करणे ही एक सामान्य युक्ती आहे आणि माहिती अपडेट करण्यासाठी तुम्हाला "येथे क्लिक करा" आवश्यक आहे. म्हणूनच तज्ञांनी शिफारस केली आहे की एंटरप्राइझ कर्मचाऱ्यांनी फिशिंग लिंक्स टाळण्यासाठी वेब पत्ते व्यक्तिचलितपणे प्रविष्ट करावेत.

हे देखील लक्षात ठेवण्यासारखे आहे की अत्यंत दुर्मिळ प्रकरणांमध्ये साइट वापरकर्त्यांना त्यांचे पासवर्ड बदलण्यास किंवा त्यांचे खाते अद्यतनित करण्यास सांगतील.

युक्ती 7. टाइपस्क्वाटिंग

हे दुर्भावनापूर्ण तंत्र ॲड्रेस बारमध्ये URL एंटर करताना हल्लेखोर मानवी त्रुटी, म्हणजे त्रुटी वापरतात या वस्तुस्थितीसाठी लक्षणीय आहे. अशा प्रकारे, फक्त एका अक्षराने चूक करून, वापरकर्ता आक्रमणकर्त्यांनी विशेषतः या उद्देशासाठी तयार केलेल्या वेबसाइटवर समाप्त होऊ शकतो.

सायबर गुन्हेगार टायपोस्कॅटिंगसाठी काळजीपूर्वक मैदान तयार करतात, म्हणून, त्यांची साइट तुम्हाला मुळात भेट देऊ इच्छित असलेल्या कायदेशीर साइटसारखीच असेल. अशा प्रकारे, जर तुम्ही तुमच्या वेब पत्त्याचे चुकीचे शब्दलेखन केले, तर तुम्ही वैध साइटची प्रत मिळवाल, ज्याचा उद्देश एकतर काहीतरी विकणे, किंवा डेटा चोरणे किंवा मालवेअर वितरित करणे आहे.

युक्ती 8. शेअर बाजारावर प्रभाव टाकण्यासाठी FUD वापरणे

FUD ही एक मनोवैज्ञानिक हाताळणीची युक्ती आहे जी सर्वसाधारणपणे विपणन आणि प्रचारामध्ये वापरली जाते, ज्यामध्ये एखाद्या गोष्टीची (विशेषतः, उत्पादन किंवा संस्था) माहिती अशा प्रकारे सादर केली जाते की त्याच्या गुणांबद्दल प्रेक्षकांमध्ये अनिश्चितता आणि शंका पेरतात आणि त्यामुळे त्याची भीती.

Avert च्या नवीनतम संशोधनानुसार, उत्पादनांची सुरक्षा आणि असुरक्षा आणि अगदी संपूर्ण कंपन्यांचा शेअर बाजारावर परिणाम होऊ शकतो. उदाहरणार्थ, संशोधकांनी कंपनीच्या स्टॉकवर Microsoft पॅच मंगळवार सारख्या घटनांचा प्रभाव अभ्यासला आहे, असुरक्षिततेबद्दल माहिती प्रकाशित झाल्यानंतर दर महिन्याला लक्षणीय चढ-उतार आढळले आहेत.

आपण हे देखील लक्षात ठेवू शकता की 2008 मध्ये, हल्लेखोरांनी स्टीव्ह जॉब्सच्या आरोग्याविषयी खोटी माहिती कशी पसरवली, ज्यामुळे ऍपलच्या शेअर्समध्ये मोठी घसरण झाली. दुर्भावनापूर्ण हेतूंसाठी वापरल्या जाणाऱ्या FUD चे हे सर्वात सामान्य उदाहरण आहे.

याव्यतिरिक्त, "पंप-अँड-डंप" तंत्र (शेअर मार्केट किंवा क्रिप्टोकरन्सी मार्केटवरील विनिमय दरात नंतरच्या संकुचिततेसह फेरफार करण्याची योजना) लागू करण्यासाठी ईमेलचा वापर लक्षात घेण्यासारखे आहे. या प्रकरणात, आक्रमणकर्ते त्यांनी आगाऊ खरेदी केलेल्या स्टॉकच्या आश्चर्यकारक संभाव्यतेचे वर्णन करणारे ईमेल पाठवू शकतात.

अशा प्रकारे, बरेच जण हे शेअर्स लवकरात लवकर विकत घेण्याचा प्रयत्न करतील आणि त्यांची किंमत वाढेल.

निष्कर्ष

सामाजिक अभियांत्रिकीच्या वापरामध्ये सायबर गुन्हेगार अनेकदा अत्यंत सर्जनशील असतात. त्यांच्या पद्धतींशी परिचित झाल्यानंतर, आम्ही असा निष्कर्ष काढू शकतो की विविध मनोवैज्ञानिक युक्त्या हल्लेखोरांना त्यांचे लक्ष्य साध्य करण्यात मदत करतात. याच्या आधारावर, तुम्ही अनावधानाने स्कॅमर उघड करू शकणाऱ्या कोणत्याही छोट्या गोष्टीकडे लक्ष दिले पाहिजे, तुमच्याशी संपर्क साधणाऱ्या लोकांची माहिती तपासा आणि पुन्हा तपासा, विशेषत: गोपनीय माहितीची चर्चा होत असल्यास.

सोशल इंजिनीअरिंगचा फसवणुकीशी कसा संबंध आहे? निषिद्ध माहिती मिळविण्याचे साधन म्हणून सामाजिक अभियांत्रिकी. सामाजिक अभियांत्रिकीकडे या दोन दृष्टिकोनातून पाहू. तुमच्या लक्षात आले असेल की आर्थिक काळात, घोटाळे करणारे नेहमी विशेषतः सक्रिय असतात. आमच्या तंत्रज्ञानाच्या युगात, ते अधिकाधिक तयार आणि प्रशिक्षित होत आहेत. ते मानसशास्त्र, सामाजिक अभियांत्रिकी, आयटी तंत्रज्ञान आणि इतर अनेक विशेष ज्ञान वापरतात जे लोकांच्या क्रिया व्यवस्थापित करण्यात मदत करतात. अर्थात, त्यांच्या सर्व युक्त्या अभ्यासण्यासाठी पुरेसा वेळ नसेल, परंतु तरीही त्यांनी लावलेल्या सापळ्यात अडकू नये म्हणून ते वापरत असलेल्या युक्त्या आणि तंत्रज्ञानाच्या मूलभूत तत्त्वांकडे लक्ष देणे उपयुक्त आहे.

कोणत्या प्रकारचे लोक बनण्याची सर्वाधिक शक्यता आहे? लोक आणि परिस्थितीचा बळी कसा असावा? ? आमचे कसे? आम्ही आमच्या वेबसाइटवर याबद्दल आणि बरेच काही आधीच लिहिले आहे. आता आपण एका विशेष विज्ञानाबद्दल थोडक्यात बोलूया - ज्या ज्ञानातून "प्रगत" स्कॅमर्स वापरतात - सामाजिक अभियंते.

सामाजिक अभियांत्रिकी म्हणजे काय?

सामाजिक अभियांत्रिकी हे एक तरुण विज्ञान आहे ज्यामध्ये लोकांच्या मानसशास्त्राचे ज्ञान आणि गंभीर परिस्थितीत त्यांचे वर्तन समाविष्ट आहे. सामाजिक अभियांत्रिकीला "मानवी त्रुटींचा खजिना" देखील म्हटले जाऊ शकते कारण हे विज्ञान मानवी घटक आणि त्याच्या वापराशी संबंधित सर्व गोष्टी आत्मसात करते.

अशा ज्ञानामुळे एखाद्या व्यक्तीच्या वर्तनासाठी संभाव्य पर्यायांचा अंदाज लावणे आणि त्याला विशिष्ट प्रतिक्रिया आणण्यासाठी विविध परिस्थिती तयार करणे शक्य होते. घोटाळेबाज-सामाजिक अभियंता-द्वारे उत्तेजित केलेली प्रतिक्रिया एखाद्या व्यक्तीला त्या कृतींकडे घेऊन जाते जे मूळतः स्कॅमरचे ध्येय होते. त्याचे ध्येय काय असू शकते? अर्थात, माहिती शोधण्यासाठी किंवा दुसऱ्याच्या प्रदेशात घुसण्यासाठी किंवा फक्त तुमचे पैसे मिळवण्यासाठी. या संदर्भात सोशल इंजिनीअर्सना सोशल हॅकर्स देखील म्हणतात.

हा समाज अभियंता कोणत्या प्रकारचा आहे?

सामाजिक अभियंता, ही कोणती व्यक्ती आहे? या व्यक्तीकडे सामाजिक अभियांत्रिकीचे ज्ञान आहे आणि ते कुशलतेने वापरते. हा एक मानसशास्त्रज्ञ आहे जो गुंतागुंत, कमकुवतपणा, पूर्वग्रह, सवयी, प्रतिक्षेप इ. विचारात घेतो. लोक

केविन मिटनिक, जो पूर्वी सोशल हॅकर असायचा आणि आता सुरक्षेच्या मुद्द्यांवर सल्लामसलत करतो, म्हणाला की विविध हॅकिंग प्रोग्राम्स आणण्यापेक्षा युक्त्या वापरून आवश्यक माहिती मिळवणे खूप सोपे आहे.

"सोशल हॅकर्स" पासून स्वतःचे संरक्षण कसे करावे? यशस्वी हल्ल्यांची उदाहरणे.

जर तुम्हाला त्यांच्याबद्दल काहीही माहित नसेल तर हे खूप कठीण, जवळजवळ अशक्य असू शकते. आणि, त्यांच्या युक्त्या जाणून घेतल्यास, तुम्ही आमिषाला बळी पडू शकता, कारण ते तुमच्या उत्स्फूर्त प्रतिक्रिया, प्रतिक्षेप, ऑटोमॅटिझम इत्यादींमध्ये तज्ञ आहेत. सावध राहा!

तर, नुकतेच, या वर्षाच्या जानेवारीमध्ये, इंटरनेट अक्षरशः खालील बातम्यांनी भरले होते:

हॅकर्सची गणना सोपी होती - मेलिंग लिस्टचे प्राप्तकर्ते व्यवस्थापनाच्या वतीने स्कॅमर्सची विनंती पूर्ण करतील जेणेकरून या व्यवस्थापनाकडून फटकारला जाऊ नये. आणि तसे झाले. सोशल हॅकर्सच्या सूचनेनुसार, बेल्जियन बँक क्रेलनच्या बँक कर्मचाऱ्यांनी स्कॅमर्सना आवश्यक असलेल्या कृती अतिरिक्त धनादेशांशिवाय केल्या. हॅकर्सच्या ईमेल संदेशात व्यवहार तातडीने पूर्ण करण्याची विनंती होती. गुन्हेगारांनी कंपनीचे लोगो आणि सुप्रसिद्ध डोमेनच्या प्रती वापरल्यापासून ते अगदी विश्वासार्ह वाटले.

बेल्जियन बँकेच्या परिस्थितीपूर्वी मानसशास्त्रज्ञांनी असेच प्रयोग केले. म्हणून, इंग्लंडमधील संशोधकांनी त्यांच्या कंपनीच्या सिस्टम प्रशासकाच्या वतीने मोठ्या कॉर्पोरेशनच्या कर्मचाऱ्यांना संदेश पाठवले. मेसेजमध्ये शेड्यूल केलेल्या उपकरण तपासणीच्या संदर्भात पासवर्ड पाठवण्याची विनंती होती. परिणाम दुःखी होता - बहुतेक कर्मचारी (75%) हल्लेखोरांच्या सूचनांचे पालन करतात.

जसे आपण पाहू शकतो, मानवी क्रिया अगदी सहजपणे प्रोग्राम केल्या जातात. शिवाय, खूप हुशार, सुशिक्षित आणि उच्च हुशार लोक घोटाळेबाजांना बळी पडू शकतात. इतर लोक आहेत जे वेगवेगळ्या लोकांच्या क्रिया, ऑटोमॅटिझम आणि प्रतिक्रियांचा अभ्यास करतात हे लक्षात घेऊन येथे काहीही विचित्र नाही. अतिशय हुशार लोकांसह.

दुसरे उदाहरण

एका सामाजिक अभियंत्याने लोकांच्या विचार पद्धतींचा गैरफायदा घेऊन प्रतिबंधित क्षेत्रात कसे घुसले याचे वर्णन केले आहे. सुरक्षा रक्षकही माणसेच! या माणसाने (सामाजिक अभियंता) कंपनीच्या कर्मचाऱ्यांना कोणते बॅज हवे होते ते पाहिले, ते स्वतः बनवले, संगणकावर छापले आणि आस्थापनातील कर्मचाऱ्यांसह मागच्या दाराने बाहेर पडले.

अर्थात, त्याच्याकडे दारासाठी चिप नव्हती, परंतु त्याने "ट्रेन" पद्धत वापरली. त्याचे सार सोपे आहे. जेव्हा लोकांचा समूह दरवाज्यासमोर जमा होतो, तेव्हा तो पूर्णपणे बंद होत नाही आणि जे समोरून चालत असतात ते त्यांच्या मागे जाणाऱ्यांसाठी दरवाजा धरतात. सामान्य सौजन्य. शेवटी, ते बॅजवरून पाहू शकतात की हा देखील एक कर्मचारी आहे. रक्षकांना समान बॅज असलेल्या लोकांचा समूह दिसतो आणि त्यांच्याकडे जास्त लक्ष देत नाही. शिवाय, भिंतीवर मोठमोठ्या अक्षरात लटकवणे ही घोषणाही नाही, तर प्रत्येकाने एका वेळी एकातून जावे असा इशारा देणारे पोस्टर आहे. प्रत्येकाच्या सुरक्षेसाठी तुमच्या मागे चालणाऱ्याला तुम्ही दार रोखू शकत नाही! पण मित्रांचा समूह हे करेल का? या कंपनीतील लोकांपैकी कोणाला म्हणेल: "कृपया बाहेर जा आणि तुमची चावी (चिप) घेऊन परत या कारण मी तुम्हाला ओळखत नाही." असे होण्याची शक्यता फारच कमी आहे. पण तुम्हाला हे कसे करावे लागेल.

त्यामुळे असे दिसून आले की कर्मचारी हेवा करण्यायोग्य सुसंगततेसह सुरक्षा आवश्यकतांचे उल्लंघन करतात आणि घोटाळेबाज समान सुसंगततेसह वर वर्णन केलेल्या ऑटोमॅटिझमचा वापर करतात. असे लोक नेहमीच असतील जे घोटाळेबाजांच्या नेतृत्वाचे अनुसरण करतात, त्यांना कितीही चेतावणी दिली आणि शिकवली गेली तरीही. सामाजिक अभियंत्यांना हे चांगले ठाऊक आहे आणि म्हणून कोणती युक्ती आणायची याबद्दल जास्त काळजी करू नका. ते फक्त समान पद्धती वापरतात. शेवटी, लोकांचे ऑटोमॅटिझम फारसे बदलत नाहीत, म्हणूनच ते ऑटोमॅटिझम आहेत. मूळ व्हा. स्टिरियोटाइपिक विचार करू नका! अनपेक्षित किंवा भितीदायक संदेशांपासून नेहमी सावध रहा. चेतावणी सूचनांकडे लक्ष द्या.

सर्वात जास्त वापरलेली सामाजिक अभियांत्रिकी तंत्रे मानवी दुर्बलतेवर आधारित आहेत जसे की दया, भीती आणि लवकर श्रीमंत होण्याची इच्छा. दयाळूपणाबद्दल बोलणे, हॅकर्स लोकांमध्ये हा गुणधर्म विविध प्रकारे वापरतात. उदाहरणार्थ, ते तुमच्या मित्रांच्या किंवा नातेवाईकांच्या वतीने मदतीसाठी फोनद्वारे किंवा सोशल नेटवर्क्सद्वारे संदेश पाठवतात.

सामाजिक अभियंता / सामाजिक अभियांत्रिकीच्या पद्धती

सामाजिक अभियांत्रिकीच्या सर्व पद्धती मानवी घटकांवर आधारित आहेत, म्हणजे, लोकांच्या मानसिकतेच्या वैशिष्ट्यांवर: घाबरणे, विशिष्ट परिस्थितीत त्याच प्रकारे प्रतिक्रिया देणे, दक्षता गमावणे, थकणे, सहानुभूती दाखवणे, भीती अनुभवणे आणि बरेच काही. . उदाहरण म्हणून, आम्ही फक्त काही तंत्रे देऊ, आणि सोशल इंजिनियरने येथे कोणते मानसिक वैशिष्ट्य वापरले हे तुम्ही स्वतः ठरवण्याचा प्रयत्न करा:

1. भूखंडांपैकी एक असा असू शकतो: मित्र शहराबाहेर आहे, तो आता स्वतःला कॉल करू शकत नाही - ही एक गंभीर समस्या आहे, पैशाची तातडीने गरज आहे. ते तुमच्या खात्यावर किंवा बँक कार्ड क्रमांकावर पाठवण्यास सांगते. जरी प्रत्येकजण सकारात्मक प्रतिक्रिया देईल असे नाही, परंतु केवळ काही टक्के प्रतिसादकर्त्यांनी हे घडेल हे हॅकरला माहीत आहे. हे त्याला त्रास देत नाही, कारण त्याने प्रोग्राम केलेले संदेश मशीनद्वारे पाठवले जातात. हे एसएमएस कुठून येतात हे न तपासता तातडीने मदत करणारेही आहेत. शेवटी, एक मित्र अडचणीत आहे.. आणि निकडामुळे, बरेच लोक स्त्रोत तपासत नाहीत.
2. याच हिशेबात काही काळापूर्वी अनेक महिलांना त्यांच्या मुलाकडून अडचणीत सापडलेले एसएमएस संदेश आले होते. तो स्वत: अर्थातच, जोपर्यंत त्याची आई ही समस्या सोडवण्यासाठी पैसे पाठवत नाही तोपर्यंत तो परत कॉल करू शकत नाही. आणि मातांनी ते पाठवले, कोठे किंवा कोणाला माहित नाही. काहीही न तपासता (माझ्या मुलाने विचारल्याप्रमाणे).
3. तसेच, मित्रांच्या वतीने, ते वैयक्तिक माहिती चोरतात आणि टिप्पण्यांसह दुर्भावनापूर्ण लिंक पाठवतात. उदाहरणार्थ: “अहो, तुम्हाला हसायचे आहे का? या दुव्याचे अनुसरण करा आणि तुम्हाला आवडणारे कोणतेही दूरध्वनी संभाषण (किंवा एसएमएस पत्रव्यवहार) तुम्ही ऐकू शकता.” किंवा असे काहीतरी, मुख्य गोष्ट म्हणजे आपण लिंकवर क्लिक करा.
4. जेव्हा ते खरेदीदारासाठी “काम” करतात तेव्हा सामाजिक अभियंत्यांच्या शस्त्रागारात एक पर्याय देखील असतो. अनेक वापरकर्ते त्यांच्या वस्तू विक्रीसाठी ठेवतात, उदाहरणार्थ अविटो वर. असा “खरेदीदार” काहीतरी अधिक महाग (कार, घरे इ.) शोधत असतो, खऱ्या विक्रेत्याशी संपर्क साधतो आणि तुमची महागडी वस्तू खरेदी करण्याची त्याची इच्छा जाहीर करतो. अर्थात, विक्रेता आनंदी आहे. व्वा, किती लवकर, सर्वकाही कसे विकले हे दाखवण्यासाठी माझ्याकडे वेळ नव्हता. तो आधीच आपल्या उत्पन्नाचा हिशोब मनात ठेवत असतो. खरे आहे, खरेदीदारास कळवल्याने दुःख झाले की तो केवळ दोन किंवा तीन दिवसांतच वस्तू उचलण्यास सक्षम असेल. बरं, तुम्ही ही मौल्यवान वस्तू दुसऱ्याला विकू नये म्हणून, तो Avito मधून जाहिरात काढून टाकण्यास सांगतो आणि हमी देण्यासाठी, आजच किंमतीच्या अर्धा किंवा 75% देण्यास तयार आहे. "नक्कीच!", तुम्ही विचार करता, "आनंदाने! त्याला पैसे देऊ द्या!” "खरेदीदार" विचारतो की तो तुम्हाला पैसे हस्तांतरित करण्यासाठी कोणते कार्ड वापरू शकेल. आणि तुम्ही या अनोळखी व्यक्तीला कार्डचे सर्व तपशील सांगा. केवळ त्याचे पैसे मिळवण्याऐवजी, तुम्ही तुमची सर्व बचत गमावाल. तो तुम्हाला तुमच्या फोनवर पाठवलेला कोड सांगण्यासही सांगू शकतो.

जर आपण त्वरीत आणि जास्त प्रयत्न न करता श्रीमंत होण्याच्या इच्छेसारख्या वैशिष्ट्याबद्दल बोललो तर हा एक दुर्गुण आहे ज्याचा वापर करून सामाजिक अभियंते बराच काळ शोध आणि शोध लावू शकतात. शेवटी, लोक स्वतःच हे "रोमांच" शोधत आहेत आणि त्याच रेकवर पाऊल ठेवण्यास तयार आहेत. म्हणूनच घोटाळे करणारे सतत चित्रण करत आहेत: एक प्रसिद्ध ब्रँड वेड्या भेटवस्तू देणारा; मग आकर्षक सवलतीचे आश्वासन देणारी कंपनी; नंतर अल्प व्याजदराने कर्ज घेण्याची ऑफर देणारी बँक; मग एखादा नियोक्ता जो तुम्हाला इंटरनेटवर किंवा इतरत्र सहज पैसे कमविण्यात मदत करेल... फक्त, यातून काहीही मिळवण्यासाठी, तुम्ही प्रथम कार्ड तपशील प्रदान करणे आवश्यक आहे... शेवटी, नवीन नियोक्ता किंवा चांगल्या बँकेने हस्तांतरण केले पाहिजे. तुमच्याकडे कुठेतरी पैसे... त्यांनी कार्डचे तपशील एका अपरिचित व्यक्तीला दिले, तुम्ही त्यातील सामग्रीला निरोप देऊ शकता.

तुम्हाला याबद्दल माहिती का हवी आहे?

अलीकडे, सामाजिक अभियांत्रिकीमध्ये रस खूप वाढला आहे. इंटरनेटवरील या विनंतीच्या लोकप्रियतेवरून हे स्पष्ट होते. याचा अर्थ हॅकर्सची संख्या आणि त्यांच्या हल्ल्यांपासून संरक्षण करण्यासाठी प्रोग्रामची मागणी केवळ वाढेल. आणि केवळ हॅकर्सच नाही तर कोणत्याही प्रकारचे फसवणूक करणारे त्यांच्या स्वतःच्या हेतूंसाठी सोशल इंजिनिअरिंग पद्धती वापरतात.

माहिती मिळविण्यासाठी आणि म्हणून सशस्त्र, आपण या विषयावरील साहित्य वाचू शकता:

सोशल इंजिनिअरिंग आणि सोशल हॅकर्स." मॅक्सिम कुझनेत्सोव्ह, इगोर सिमद्यानोव्ह.

सावध राहा! स्वतःची फसवणूक होऊ देऊ नका.

सामाजिक अभियांत्रिकी मानसशास्त्र आणि मानवी घटकांचे ज्ञान वापरते. अत्यंत सावधगिरी बाळगा, सोशल हॅकर्स तुम्हाला चांगले ओळखतात.

हे जाणून घेणे देखील मनोरंजक असेल की तुम्हाला सोशल इंजिनियरिंग आणि त्यामागील लोक वापरत असलेल्या धूर्त तंत्रांबद्दल माहिती आहे का?

विनम्र, वेबसाइट तुम्हाला नवीन लेख प्राप्त करायचे असल्यास, आमच्या वृत्तपत्राची सदस्यता घ्या.

(6,277 वेळा भेट दिली, 2 भेटी आज)

या लेखात आपण "सामाजिक अभियांत्रिकी" या संकल्पनेकडे लक्ष देऊ. येथे आपण या संकल्पनेचे संस्थापक कोण होते हे देखील जाणून घेऊ. हल्लेखोरांद्वारे वापरल्या जाणाऱ्या मुख्य सामाजिक अभियांत्रिकी पद्धतींबद्दल स्वतंत्रपणे बोलूया.

परिचय

तांत्रिक साधनांचा वापर न करता मानवी वर्तन सुधारणे आणि त्याच्या क्रियाकलापांचे व्यवस्थापन करणे शक्य करणाऱ्या पद्धती सामाजिक अभियांत्रिकीची सामान्य संकल्पना तयार करतात. सर्व पद्धती या विधानावर आधारित आहेत की मानवी घटक ही कोणत्याही प्रणालीची सर्वात विनाशकारी कमजोरी आहे. बहुतेकदा ही संकल्पना बेकायदेशीर क्रियाकलापांच्या पातळीवर मानली जाते, ज्याद्वारे गुन्हेगार पीडिताकडून अप्रामाणिक मार्गाने माहिती मिळविण्याच्या उद्देशाने कृती करतो. उदाहरणार्थ, हे विशिष्ट प्रकारचे हाताळणी असू शकते. तथापि, सामाजिक अभियांत्रिकी देखील मानवाकडून कायदेशीर क्रियाकलापांमध्ये वापरली जाते. आज, बहुतेकदा हे वर्गीकृत किंवा मौल्यवान माहितीसह संसाधनांमध्ये प्रवेश करण्यासाठी वापरले जाते.

संस्थापक

सोशल इंजिनिअरिंगचे संस्थापक केविन मिटनिक आहेत. तथापि, ही संकल्पना समाजशास्त्रातूनच आपल्याकडे आली. हे लागू केलेल्या सोशल मीडियाद्वारे वापरल्या जाणाऱ्या दृष्टिकोनांचा एक सामान्य संच दर्शवते. मानवी वर्तन निश्चित करण्यास आणि त्यावर नियंत्रण ठेवण्यास सक्षम असलेल्या संस्थात्मक संरचना बदलण्यावर विज्ञानाने लक्ष केंद्रित केले. केविन मिटनिक हे या विज्ञानाचे संस्थापक मानले जाऊ शकतात, कारण त्यांनीच सोशल मीडियाला लोकप्रिय केले. 21 व्या शतकाच्या पहिल्या दशकात अभियांत्रिकी. केविन स्वतः पूर्वी एक हॅकर होता, विविध प्रकारच्या डेटाबेसला लक्ष्य करत होता. त्यांनी असा युक्तिवाद केला की मानवी घटक हा कोणत्याही पातळीच्या जटिलतेच्या आणि संस्थेच्या प्रणालीचा सर्वात असुरक्षित मुद्दा आहे.

जर आपण गोपनीय डेटा वापरण्यासाठी (सामान्यत: बेकायदेशीर) अधिकार मिळविण्याचा एक मार्ग म्हणून सामाजिक अभियांत्रिकी पद्धतींबद्दल बोललो, तर आपण असे म्हणू शकतो की ते बर्याच काळापासून ज्ञात आहेत. तथापि, के. मिटनिक हेच त्यांचे अर्थ आणि उपयोगाची वैशिष्ट्ये यांचे महत्त्व सांगू शकले.

फिशिंग आणि अस्तित्वात नसलेले दुवे

कोणतीही सामाजिक अभियांत्रिकी तंत्र संज्ञानात्मक विकृतीच्या उपस्थितीवर आधारित असते. वर्तणुकीतील त्रुटी कुशल अभियंत्याच्या हातात एक "शस्त्र" बनतात, जो भविष्यात महत्त्वपूर्ण डेटा मिळविण्याच्या उद्देशाने हल्ला करू शकतो. सामाजिक अभियांत्रिकी पद्धतींमध्ये फिशिंग आणि अस्तित्वात नसलेल्या लिंक्सचा समावेश होतो.

फिशिंग ही एक इंटरनेट फसवणूक आहे जी वैयक्तिक माहिती मिळविण्यासाठी डिझाइन केलेली आहे, उदाहरणार्थ, लॉगिन आणि पासवर्ड.

अस्तित्त्वात नसलेला दुवा - प्राप्तकर्त्याला काही फायदे मिळवून देणाऱ्या दुव्याचा वापर ज्यावर क्लिक करून आणि विशिष्ट साइटला भेट देऊन मिळवता येऊ शकते. बहुतेकदा ते मोठ्या कंपन्यांची नावे वापरतात, त्यांच्या नावांमध्ये सूक्ष्म समायोजन करतात. पीडित, दुव्यावर क्लिक करून, "स्वेच्छेने" त्याचा वैयक्तिक डेटा हल्लेखोराकडे हस्तांतरित करेल.

ब्रँड, सदोष अँटीव्हायरस आणि फसव्या लॉटरी वापरण्याच्या पद्धती

सामाजिक अभियांत्रिकी सुप्रसिद्ध ब्रँड, दोषपूर्ण अँटीव्हायरस आणि बनावट लॉटरी वापरून फसवणूक पद्धती देखील वापरते.

"फसवणूक आणि ब्रँड" ही फसवणूक करण्याची एक पद्धत आहे, जी फिशिंग विभागाशी देखील संबंधित आहे. यामध्ये मोठ्या आणि/किंवा "प्रचारित" कंपनीचे नाव असलेल्या ईमेल आणि वेबसाइटचा समावेश आहे. विशिष्ट स्पर्धेतील तुमचा विजय तुम्हाला सूचित करणारे संदेश त्यांच्या पृष्ठांवरून पाठवले जातात. पुढे, तुम्हाला महत्त्वाची खाते माहिती प्रविष्ट करणे आणि ती चोरणे आवश्यक आहे. फसवणुकीचा हा प्रकार फोनवरूनही केला जाऊ शकतो.

बनावट लॉटरी ही एक अशी पद्धत आहे ज्यामध्ये पीडितेला त्याने/तिने लॉटरी जिंकली आहे असा संदेश पाठवला जातो. बहुतेकदा, अधिसूचना मोठ्या कॉर्पोरेशनची नावे वापरून प्रच्छन्न केली जाते.

खोटे अँटीव्हायरस हे सॉफ्टवेअर घोटाळे आहेत. हे अँटीव्हायरससारखे दिसणारे प्रोग्राम वापरते. तथापि, प्रत्यक्षात, ते विशिष्ट धोक्याबद्दल खोट्या सूचनांच्या निर्मितीस कारणीभूत ठरतात. ते वापरकर्त्यांना व्यवहाराच्या क्षेत्रात आकर्षित करण्याचा प्रयत्न करतात.

विशिंग, फ्रेकिंग आणि बहाणा करणे

नवशिक्यांसाठी सामाजिक अभियांत्रिकीबद्दल बोलत असताना, विशिंग, फ्रेकिंग आणि बहाणे यांचा उल्लेख करणे देखील योग्य आहे.

विशिंग हा एक प्रकारचा फसवणूक आहे जो टेलिफोन नेटवर्क वापरतो. हे पूर्व-रेकॉर्ड केलेले व्हॉईस संदेश वापरते, ज्याचा उद्देश बँकिंग स्ट्रक्चर किंवा इतर कोणत्याही IVR प्रणालीचा "अधिकृत कॉल" पुन्हा तयार करणे आहे. बहुतेकदा तुम्हाला कोणत्याही माहितीची पुष्टी करण्यासाठी लॉगिन आणि/किंवा पासवर्ड टाकण्यास सांगितले जाते. दुसऱ्या शब्दांत, सिस्टमला वापरकर्त्याने पिन कोड किंवा पासवर्ड वापरून प्रमाणीकरण करणे आवश्यक आहे.

फ्रेकिंग हा टेलिफोनच्या फसवणुकीचा आणखी एक प्रकार आहे. ध्वनी हाताळणी आणि टोन डायलिंग वापरून ही एक हॅकिंग प्रणाली आहे.

बहाणा करणे हा पूर्व-विचार योजना वापरून केलेला हल्ला आहे, ज्याचा सार दुसऱ्या विषयावर सादर करणे आहे. फसवणूक करण्याची एक अत्यंत कठीण पद्धत, कारण त्यासाठी काळजीपूर्वक तयारी आवश्यक आहे.

Quid-pro-quo आणि "रोड ऍपल" पद्धत

सामाजिक अभियांत्रिकीचा सिद्धांत हा एक बहुआयामी डेटाबेस आहे ज्यामध्ये फसवणूक आणि हाताळणी या दोन्ही पद्धती आणि त्यांचा सामना करण्याचे मार्ग समाविष्ट आहेत. आक्रमणकर्त्यांचे मुख्य कार्य, एक नियम म्हणून, मौल्यवान माहिती काढणे आहे.

इतर प्रकारच्या घोटाळ्यांमध्ये हे समाविष्ट आहे: क्विड-प्रो-क्वो, “रोड ऍपल” पद्धत, शोल्डर सर्फिंग, ओपन सोर्सचा वापर आणि रिव्हर्स सोशल मीडिया. अभियांत्रिकी

Quid-pro-quo (लॅटिनमधून - "यासाठी") हा कंपनी किंवा फर्मकडून माहिती काढण्याचा प्रयत्न आहे. हे तिच्याशी फोनद्वारे संपर्क करून किंवा ईमेलद्वारे संदेश पाठवून घडते. बर्याचदा, हल्लेखोर स्वतःला तांत्रिक कर्मचारी म्हणून ओळखतात. कर्मचाऱ्यांच्या कामाच्या ठिकाणी विशिष्ट समस्येच्या उपस्थितीचा अहवाल देणारे समर्थन. ते नंतर ते दूर करण्याचे मार्ग सुचवतात, उदाहरणार्थ, सॉफ्टवेअर स्थापित करून. सॉफ्टवेअर सदोष असल्याचे निष्पन्न होते आणि गुन्ह्याच्या प्रगतीस हातभार लावते.

रोड ऍपल ही आक्रमण पद्धत आहे जी ट्रोजन हॉर्सच्या कल्पनेवर आधारित आहे. त्याचे सार भौतिक माध्यमांचा वापर आणि माहितीच्या प्रतिस्थापनामध्ये आहे. उदाहरणार्थ, ते विशिष्ट "चांगले" असलेले मेमरी कार्ड देऊ शकतात जे पीडिताचे लक्ष वेधून घेतील, त्यांना फाइल उघडण्याची आणि वापरू इच्छितात किंवा फ्लॅश ड्राइव्ह दस्तऐवजांमध्ये निर्दिष्ट केलेल्या लिंकचे अनुसरण करू शकतात. "रोड ऍपल" ऑब्जेक्ट सामाजिक ठिकाणी टाकला जातो आणि काही संस्था हल्लेखोराची योजना लागू करेपर्यंत प्रतीक्षा करते.

खुल्या स्त्रोतांकडून माहिती गोळा करणे आणि शोधणे हा एक घोटाळा आहे ज्यामध्ये डेटा मिळवणे हे मनोवैज्ञानिक पद्धतींवर आधारित आहे, लहान गोष्टी लक्षात घेण्याची क्षमता आणि उपलब्ध डेटाचे विश्लेषण, उदाहरणार्थ, सोशल नेटवर्कवरील पृष्ठे. सामाजिक अभियांत्रिकीची ही एक नवीन पद्धत आहे.

खांद्यावर सर्फिंग आणि रिव्हर्स सोशल. अभियांत्रिकी

"शोल्डर सर्फिंग" ची संकल्पना स्वतःला शब्दशः एखादा विषय थेट पाहणे म्हणून परिभाषित करते. या प्रकारच्या डेटा मायनिंगसह, हल्लेखोर सार्वजनिक ठिकाणी जातो, उदाहरणार्थ, कॅफे, विमानतळ, रेल्वे स्टेशन आणि लोकांचे निरीक्षण करतो.

या पद्धतीला कमी लेखले जाऊ नये, कारण अनेक सर्वेक्षणे आणि अभ्यास दर्शवितात की लक्ष देणारी व्यक्ती केवळ निरीक्षण करून बरीच गोपनीय माहिती मिळवू शकते.

सामाजिक अभियांत्रिकी (समाजशास्त्रीय ज्ञानाची पातळी म्हणून) डेटा "कॅप्चर" करण्याचे एक साधन आहे. डेटा मिळविण्याचे मार्ग आहेत ज्यामध्ये पीडित स्वतः आक्रमणकर्त्याला आवश्यक माहिती प्रदान करते. तथापि, ते समाजाच्या हितासाठी देखील कार्य करू शकते.

उलट सामाजिक अभियांत्रिकी ही या शास्त्राची दुसरी पद्धत आहे. आम्ही वर नमूद केलेल्या प्रकरणात या शब्दाचा वापर योग्य ठरतो: पीडित व्यक्ती स्वतः आक्रमणकर्त्याला आवश्यक माहिती देईल. हे विधान निरर्थक मानू नये. वस्तुस्थिती अशी आहे की क्रियाकलापांच्या विशिष्ट क्षेत्रांमध्ये अधिकार प्राप्त केलेले विषय अनेकदा विषयाच्या स्वतःच्या विवेकबुद्धीनुसार ओळख डेटामध्ये प्रवेश मिळवतात. येथे आधार विश्वास आहे.

लक्षात ठेवणे महत्वाचे! सहाय्यक कर्मचारी कधीही वापरकर्त्याला पासवर्ड विचारणार नाहीत, उदाहरणार्थ.

जागरूकता आणि संरक्षण

सामाजिक अभियांत्रिकी प्रशिक्षण एखाद्या व्यक्तीद्वारे वैयक्तिक पुढाकाराच्या आधारे आणि विशेष प्रशिक्षण कार्यक्रमांमध्ये वापरल्या जाणाऱ्या मॅन्युअलच्या आधारावर केले जाऊ शकते.

गुन्हेगार फसवणुकीच्या विविध प्रकारांचा वापर करू शकतात, ज्यामध्ये फसवणुकीपासून ते आळशीपणा, मूर्खपणा, वापरकर्ता दयाळूपणा इ. ) फसवले गेले आहे. या धोक्याच्या पातळीवर त्यांच्या डेटाचे संरक्षण करण्यासाठी विविध कंपन्या आणि कंपन्या सहसा सामान्य माहितीचे मूल्यांकन करतात. पुढे, आवश्यक संरक्षण उपाय सुरक्षा धोरणामध्ये समाकलित केले जातात.

उदाहरणे

जागतिक फिशिंग मेलिंगच्या क्षेत्रात सोशल इंजिनिअरिंगचे (त्याचे कार्य) उदाहरण म्हणजे 2003 मध्ये घडलेली घटना. या घोटाळ्यादरम्यान, ईबे वापरकर्त्यांना ईमेल पाठवले गेले. त्यांनी दावा केला की त्यांच्या मालकीची खाती ब्लॉक करण्यात आली आहेत. अवरोधित करणे रद्द करण्यासाठी, तुम्हाला तुमची खाते माहिती पुन्हा प्रविष्ट करावी लागेल. मात्र, ती पत्रे बनावट होती. त्यांनी अधिकृत पृष्ठाप्रमाणेच, परंतु बनावट पृष्ठावर पुनर्निर्देशित केले. तज्ञांच्या अंदाजानुसार, नुकसान फारसे लक्षणीय नव्हते (एक दशलक्ष डॉलर्सपेक्षा कमी).

जबाबदारीची व्याख्या

सामाजिक अभियांत्रिकी काही प्रकरणांमध्ये दंडनीय असू शकते. अनेक देशांमध्ये, उदाहरणार्थ, युनायटेड स्टेट्स, बहाणा करणे (दुसऱ्या व्यक्तीची तोतयागिरी करून फसवणूक करणे) हे गोपनीयतेच्या आक्रमणासारखे आहे. तथापि, जर बहाणा करताना प्राप्त केलेली माहिती विषयाच्या किंवा संस्थेच्या दृष्टिकोनातून गोपनीय असेल तर हे कायद्याने दंडनीय असू शकते. टेलिफोन संभाषण रेकॉर्ड करणे (सामाजिक अभियांत्रिकीची पद्धत म्हणून) कायद्याने देखील प्रदान केले आहे आणि त्यासाठी $250,000 दंड भरावा लागेल किंवा व्यक्तींना दहा वर्षांपर्यंत कारावास द्यावा लागेल. व्यक्ती संस्थांना $500,000 भरणे आवश्यक आहे; अंतिम मुदत समान राहते.