Ijtimoiy muhandislik (xavfsizlik) - Social engineering (security)

OPSEC ogohlantirish

Kontekstida axborot xavfsizligi, ijtimoiy muhandislik bo'ladi psixologik manipulyatsiya odamlarning harakatlarni amalga oshirishga yoki oshkor qilishga maxfiy ma'lumotlar. Bu maxfiy ma'lumotlarni oshkor qilish bilan bog'liq bo'lmagan ijtimoiy fanlar doirasidagi ijtimoiy muhandislikdan farq qiladi. Bir turi ishonch hiyla-nayrang ma'lumot to'plash, firibgarlik yoki tizimga kirish maqsadida u an'anaviy "kon" dan farq qiladi, chunki u ko'pincha murakkab firibgarlik sxemasining ko'p bosqichlaridan biri hisoblanadi.^[1]

Shuningdek, u "inson manfaatlariga javob beradigan yoki bo'lmasligi mumkin bo'lgan harakatni amalga oshirishga ta'sir qiladigan har qanday harakat" deb ta'riflangan.^[2]

Axborot xavfsizligi madaniyati

Xodimlarning xatti-harakatlari tashkilotlarda axborot xavfsizligiga katta ta'sir ko'rsatishi mumkin. Madaniy tushunchalar tashkilotning turli segmentlariga samarali ishlashga yordam berishi yoki tashkilot ichidagi axborot xavfsizligi samaradorligiga qarshi harakat qilishi mumkin. "Tashkiliy madaniyat va axborot xavfsizligi madaniyati o'rtasidagi munosabatlarni o'rganish" axborot xavfsizligi madaniyatiga quyidagi ta'rifni beradi: "ISC - bu har qanday turdagi axborotni himoya qilishga hissa qo'shadigan tashkilotdagi xulq-atvor shakllarining umumiyligi".^[3]

Andersson va Reimers (2014) ishchilar ko'pincha o'zlarini Axborot xavfsizligi tashkilotining bir qismi deb hisoblamaydilar va ko'pincha tashkiliy axborot xavfsizligini engib chiqadigan harakatlarni amalga oshiradilar.^[4] Tadqiqotlar shuni ko'rsatadiki, Axborot xavfsizligi madaniyatini doimiy ravishda takomillashtirish zarur. "Axborot xavfsizligi madaniyati tahlildan o'zgarishga" asarida mualliflar "bu hech qachon tugamaydigan jarayon, baholash va o'zgartirish yoki qo'llab-quvvatlash tsikli" deb izohladilar. Ular axborot xavfsizligi madaniyatini boshqarish uchun besh bosqichni amalga oshirishni taklif qilishadi: oldindan baholash, strategik rejalashtirish, tezkor rejalashtirish, amalga oshirish va baholashdan keyin.^[5]

Oldindan baholash: xodimlarning axborot xavfsizligi to'g'risida xabardorligini aniqlash va mavjud xavfsizlik siyosatini tahlil qilish.
Strategik rejalashtirish: yaxshiroq xabardorlik dasturini ishlab chiqish uchun aniq maqsadlarni belgilashimiz kerak. Odamlarni klasterlash unga erishish uchun foydalidir.
Operativ rejalashtirish: ichki aloqa, sotib olish menejmenti va xavfsizlik to'g'risida xabardorlik va o'qitish dasturiga asoslangan xavfsizlik xavfsizligini o'rnatish.^[5]
Amalga oshirish: Axborot xavfsizligi madaniyatini amalga oshirish uchun to'rt bosqichdan foydalanish kerak. Ular menejmentning majburiyati, tashkilot a'zolari bilan aloqa, barcha tashkilot a'zolari uchun kurslar va xodimlarning majburiyatlari.^[5]

Texnikalar va atamalar

Barcha ijtimoiy muhandislik texnikalari insonning o'ziga xos xususiyatlariga asoslangan Qaror qabul qilish sifatida tanilgan kognitiv tarafkashlik.^[6] Ba'zan "inson apparatlaridagi xatolar" deb nomlangan ushbu noto'g'ri fikrlar hujum kombinatsiyasini yaratish uchun turli xil kombinatsiyalardan foydalaniladi, ularning ba'zilari quyida keltirilgan. Ijtimoiy muhandislikda ishlatiladigan hujumlar xodimlarning maxfiy ma'lumotlarini o'g'irlash uchun ishlatilishi mumkin. Ijtimoiy muhandislikning eng keng tarqalgan turi telefon orqali sodir bo'ladi. Ijtimoiy muhandislik hujumlarining boshqa misollari - bu o'zlarini qirg'in qiluvchilar, o't o'chirish marshallari va texnik xodimlar deb tanishtirgan jinoyatchilar, ular kompaniya sirlarini o'g'irlashlari bilan e'tiborga olinmaydi.

Ijtimoiy muhandislik namunalaridan biri - bu binoga kirib, kompaniyaning byulleteniga rasmiy ko'rinishdagi e'lonni joylashtirib, yordam stoli uchun raqam o'zgargan. Shunday qilib, xodimlar yordam so'rab murojaat qilishganda, shaxs ulardan parollari va shaxsiy identifikatorlarini so'rab, shu bilan kompaniyaning shaxsiy ma'lumotlariga kirish imkoniyatini qo'lga kiritadi. Ijtimoiy muhandislikning yana bir misoli, hacker maqsad bilan aloqa o'rnatishi bo'lishi mumkin. ijtimoiy tarmoq sayti va maqsad bilan suhbatni boshlaydi. Asta-sekin xaker maqsadga ishonchni qozonadi, so'ngra parol yoki bank hisobvarag'ining tafsilotlari kabi maxfiy ma'lumotlarga kirish uchun ushbu ishonchdan foydalanadi.^[7]

Ijtimoiy muhandislik asosan ta'sir o'tkazishning oltita printsipiga asoslanadi Robert Cialdini. Sialdinining ta'sir nazariyasi oltita asosiy printsipga asoslanadi: o'zaro kelishuv, majburiyat va izchillik, ijtimoiy dalil, vakolat, yoqtirish, tanqislik.

Oltita asosiy printsip

O'zaro munosabatlar - Odamlar yaxshilikni qaytarishga moyildirlar, shuning uchun keng tarqalganligi bepul namunalar marketing sohasida. O'z konferentsiyalarida u ko'pincha misolini ishlatadi Efiopiya minglab dollarlik gumanitar yordam ko'rsatmoqda Meksika 1985 yilgi zilziladan so'ng, Efiopiya o'sha paytdagi ocharchilik va fuqarolar urushidan qiynalganiga qaramay. Efiopiya 1935 yilda Italiya Efiopiyaga bostirib kirganida Meksikaning diplomatik yordamini qaytarib kelmoqda yaxshi politsiya / yomon politsiya strategiya ham shu printsipga asoslanadi.
Majburiyat va izchillik - Agar odamlar og'zaki yoki yozma ravishda biron bir g'oya yoki maqsadga sodiq qolsalar, ular ushbu g'oyani yoki maqsadni o'zlariga mos kelishini bildirganliklari uchun ushbu majburiyatni hurmat qilishlari mumkin. o'z-o'zini tasvirlash. Asl rag'batlantirish yoki motivatsiya allaqachon kelishilganidan keyin olib tashlangan bo'lsa ham, ular shartnomani hurmat qilishda davom etadilar. Cialdini xitoycha yozuvlarni qayd etadi miya yuvish Amerika harbiy asirlar o'zlarining rasmlarini qayta yozish va avtomatik ravishda bajarilmagan muvofiqlikni olish. Yana bir misol, foydalanuvchini "Keyinroq ro'yxatdan o'taman" yoki "Yo'q, rahmat, men pul topmaslikni afzal ko'raman" deb popuplarni yopadigan reklamachilar.
Ijtimoiy dalil - Odamlar boshqa odamlar qilayotgan ishlarini ko'rishadi. Masalan, bitta tajribada bir yoki bir nechta konfederantlar osmonga qarashadi; atrofdagilar osmonga qarab, nima etishmayotganini ko'rishardi. Bir vaqtning o'zida bu tajriba bekor qilindi, chunki juda ko'p odamlar yuqoriga qarab, tirbandlikni to'xtatdilar. Qarang muvofiqlik, va Asch muvofiqligi tajribalari.
Vakolat - Odamlar hokimiyat vakillariga bo'ysunishga moyil bo'lishadi, hattoki ular e'tirozli harakatlar qilishlarini so'rashsa ham. Cialdini kabi voqealarni keltiradi Milgram tajribalari 1960-yillarning boshlarida va Mening Lay qirg'inim.
Yoqtirish - Odamlarni o'zlariga yoqadigan boshqa odamlar osongina ishontiradilar. Cialdini marketingini keltiradi Tupperware endi nima deyish mumkin virusli marketing. Odamlar, agar ularga sotadigan odam yoqsa, uni sotib olish ehtimoli ko'proq edi. Ko'proq jozibali odamlarni qo'llab-quvvatlaydigan ko'plab g'arazlarning ba'zilari muhokama qilinadi. Qarang jismoniy jozibadorlik stereotipi.
Kamlik - Sezilgan tanqislik paydo bo'ladi talab. Masalan, takliflar "faqat cheklangan vaqt uchun" mavjud bo'lib, sotuvni rag'batlantiradi.

To'rt ijtimoiy muhandislik vektori

Vishing

Vishing, boshqacha nomi "ovozli fishing ", bu ijtimoiy muhandislikdan foydalanish bo'yicha jinoiy amaliyotdir telefon tizimi moliyaviy mukofotlash maqsadida jamoat tomonidan shaxsiy shaxsiy va moliyaviy ma'lumotlarga kirish huquqini olish. Bundan tashqari, tajovuzkorlar tomonidan foydalaniladi razvedka batafsilroq to'plash uchun maqsadlar aql maqsadli tashkilotda.

Fishing

Fishing - bu firibgarlik yo'li bilan shaxsiy ma'lumotlarni olish texnikasi. Odatda, phisher elektron pochta orqali elektron pochta xabarini yuboradi, u qonuniy biznes - bank yoki kredit karta kompaniyasi - ma'lumotlarning "tekshirilishini" so'rash va ba'zilarini ogohlantirish dahshatli oqibat agar u taqdim etilmagan bo'lsa. Elektron pochta odatda firibgarlar veb-sahifasiga qonuniy ko'rinadigan - firma logotiplari va tarkibiga ega bo'lgan havolani o'z ichiga oladi va uy manzilidan tortib to hamma narsasini talab qiladigan shaklga ega. Bankomat kartasi "s PIN-kod yoki a Kredit karta raqami. Masalan, 2003 yilda fishing firibgarligi mavjud bo'lib, unda foydalanuvchilar elektron pochta xabarlarini olishgan eBay agar yangilanishi uchun berilgan havola bosilmasa, foydalanuvchi akkaunti to'xtatib qo'yilishini talab qilmoqda kredit karta (asl eBay allaqachon mavjud bo'lgan ma'lumot). Qonuniy tashkilotning HTML kodlari va logotiplariga taqlid qilib, soxta Veb-saytni haqiqiy ko'rinishga keltirish nisbatan oddiy. Ushbu firibgarlik ba'zi odamlarni eBay taqdim etilgan havolani bosish orqali o'zlarining hisob qaydnomalari ma'lumotlarini yangilashni talab qilyapti, deb o'ylab topdi. Alohida ravishda spam-xabar nihoyatda katta odamlar guruhi, "fisher" allaqachon eBay hisob qaydnomalariga ega bo'lgan va hiyla-nayranglarning qurboniga aylangan, oz miqdordagi (shu bilan birga) juda ko'p miqdordagi qabul qiluvchilardan nozik moliyaviy ma'lumotlarni olishga umid qildi.

Smishing

Foydalanish harakati SMS jabrlanganlarni muayyan harakat yo'nalishiga jalb qilish uchun matnli xabarlar. Yoqdi fishing bu zararli havolani bosish yoki ma'lumotlarni tarqatish bo'lishi mumkin.

O'zini taqlid qilish

Tizimga yoki binoga jismonan kirish huquqini qo'lga kiritishni maqsad qilgan boshqa shaxs sifatida o'zini ko'rsatish yoki bahona qilish. O'zini taqlid qilish "SIM-kartani almashtirish firibgarligi "firibgarlik.

Boshqa tushunchalar

Bahona

Bahona (adj. bahona) - bu ixtiro qilingan stsenariyni yaratish va ishlatish harakati ( bahona ) jabrlanuvchiga ma'lumotni tarqatish yoki oddiy holatlarda mumkin bo'lmagan harakatlarni amalga oshirish imkoniyatini oshiradigan tarzda maqsadli jabrlanuvchini jalb qilish.^[8] Murakkab yolg'on, bu ko'pincha ba'zi oldingi tadqiqotlar yoki sozlamalar va ushbu ma'lumotdan o'zini taqlid qilish uchun foydalanishni o'z ichiga oladi (masalan., Tug'ilgan sana, Ijtimoiy Havfsizlik raqami, oxirgi qonun loyihasi miqdori) maqsad maqsadida qonuniylikni o'rnatish.^[9] Fon sifatida, bahona ijtimoiy muhandislikning birinchi evolyutsiyasi sifatida talqin qilinishi mumkin va zamonaviy texnologiyalarni o'z ichiga olgan ijtimoiy muhandislik sifatida rivojlanishda davom etmoqda. Hozirgi va o'tmishdagi bahona misollari ushbu rivojlanishni namoyish etadi.

Ushbu texnikadan mijozlarni ma'lumotlarini oshkor qilishda biznesni aldash uchun ham foydalanish mumkin xususiy tergovchilar to'g'ridan-to'g'ri kompaniya xizmatlarining vakillaridan telefon yozuvlarini, yordamchi yozuvlarni, bank yozuvlarini va boshqa ma'lumotlarni olish.^[10] Keyinchalik, menejer bilan qattiqroq so'roq qilishda yanada katta qonuniylikni aniqlash uchun ma'lumotdan foydalanish mumkin, masalan., hisobni o'zgartirish, aniq qoldiqlarni olish va h.k.

Bahona bilan hamkasblari, politsiya, bank, soliq idoralari, ruhoniylar, sug'urta tergovchilari yoki maqsadli jabrlanuvchining ongida vakolat yoki bilish huquqini sezgan har qanday boshqa shaxsni taqlid qilish uchun ham foydalanish mumkin. Erkak kishi jabrlanuvchi tomonidan berilishi mumkin bo'lgan savollarga shunchaki javob tayyorlashi kerak. Ba'zi hollarda, faqat nufuzli ovoz, jiddiy ohang va bahona ssenariysini yaratish uchun oyoq ustida o'ylash qobiliyati kerak.

Vishing

Telefon orqali fishing (yoki "qashshoqlik ") firibgarlikni ishlatadi interfaol ovozli javob (IVR) tizimi bankning yoki boshqa muassasaning IVR tizimining qonuniy ovozli nusxasini yaratish. Jabrlanuvchidan (odatda fishing elektron pochtasi orqali) ma'lumotni "tekshirish" uchun berilgan (ideal holda bepul) raqam orqali "bankka" qo'ng'iroq qilish taklif etiladi. Oddiy "vishing" tizimi tizimga kirishni doimiy ravishda rad etadi, bu jabrlanuvchining bir necha bor PIN-kod yoki parollarni kiritishini ta'minlaydi, ko'pincha bir nechta turli xil parollarni ochib beradi. Keyinchalik rivojlangan tizimlar jabrlanuvchini mijozlarga xizmat ko'rsatish agenti yoki o'zini ko'rsatadigan tajovuzkor / firibgarga o'tkazadi xavfsizlik jabrlanuvchini qo'shimcha so'roq qilish uchun mutaxassis.

Nayza fishing

"Phishing" ga o'xshash bo'lsa-da, nayza fishing - bu juda kam sonli foydalanuvchilarga juda moslashtirilgan elektron pochta xabarlarini yuborish orqali firibgarlik yo'li bilan shaxsiy ma'lumotlarni olish usulidir. Bu fishing hujumlari o'rtasidagi asosiy farqdir, chunki fishing kampaniyalari faqat bir nechta odam javob berishini kutib, katta hajmdagi elektron pochta xabarlarini yuborishga qaratilgan. Boshqa tomondan, nayzali fishing elektron pochta xabarlari tajovuzkordan so'nggi foydalanuvchilarni so'ralgan harakatlarni bajarish uchun "aldash" uchun ularning maqsadlari bo'yicha qo'shimcha tadqiqotlar o'tkazilishini talab qiladi. Nayzali fishing hujumlarining muvaffaqiyatli darajasi, potentsial urinishlarning taxminan 70% bilan taqqoslaganda, taxminan 3% fishing elektron pochta xabarlarini ochadigan odamlar bilan qilingan hujumlardan ancha yuqori. Foydalanuvchilar elektron pochta xabarlarini haqiqatan ham ochishganda, elektron pochta xabarlari havola yoki qo'shimchani bosish uchun nisbiy mo''tadil 5% muvaffaqiyat darajasiga ega bo'lib, nayzali fishing hujumining 50% muvaffaqiyat darajasiga nisbatan.^[11]

Nayzada ovlanadigan muvaffaqiyat miqdori va sifatiga juda bog'liq OSINT tajovuzkor qo'lga kiritishi mumkin bo'lgan (ochiq manbali razvedka). Ijtimoiy tarmoqlar hisob faoliyati OSINT manbasining bir misolidir.

Suvni tozalash

Suvni ajratish - bu foydalanuvchilarning doimiy tashrif buyuradigan veb-saytlaridagi ishonchidan foydalanadigan maqsadli ijtimoiy muhandislik strategiyasi. Jabrlanuvchi boshqa vaziyatda qilolmaydigan ishlarni qilishda o'zini xavfsiz his qiladi. Ehtiyotkor kishi, masalan, kiruvchi elektron pochtadagi havolani bosishdan maqsadli ravishda qochishi mumkin, ammo o'sha odam tez-tez tashrif buyuradigan veb-saytidagi havolani bosishdan qo'rqmaydi. Shunday qilib, tajovuzkor yaxshi sug'oriladigan teshikda ehtiyotkor o'lja uchun tuzoq tayyorlaydi. Ushbu strategiya ba'zi (go'yoki) juda xavfsiz tizimlarga kirish uchun muvaffaqiyatli ishlatilgan.^[12]

Hujumchi nishonga olinadigan guruhni yoki shaxslarni aniqlash orqali yo'lga chiqishi mumkin. Tayyorgarlik xavfsiz tizimdan tez-tez tashrif buyuradigan veb-saytlar haqida ma'lumot to'plashni o'z ichiga oladi. Axborot yig'ish maqsadlar veb-saytlarga kirishini va tizim bunday tashriflarga ruxsat berishini tasdiqlaydi. So'ngra tajovuzkor ushbu veb-saytlarni mehmon tizimiga yuqtirishi mumkin bo'lgan kodni kiritish uchun zaifliklarni tekshiradi zararli dastur. AOK qilingan kod tuzoq va zararli dastur maqsadli guruhga va ular foydalanadigan tizimlarga moslashtirilishi mumkin. Vaqt o'tishi bilan maqsadli guruhning bir yoki bir nechta a'zosi yuqadi va tajovuzkor xavfsiz tizimga kira oladi.

Yemoq

Yemoq haqiqiy hayotga o'xshaydi Troyan oti jismoniy vositalardan foydalanadigan va jabrlanuvchining qiziqishi yoki ochko'zligiga asoslangan.^[13] Bunda hujum, hujumchilar ketmoqda zararli dastur -kasallangan floppi, CD-ROMlar, yoki USB flesh-disklari joylarda ularni odamlar topadi (hammom, liftlar, piyodalar yo'lakchalari, to'xtash joylari va boshqalar), ularga qonuniy va qiziquvchan yorliqlar beradi va qurbonlarni kutadi.

Masalan, tajovuzkor maqsadli veb-saytida mavjud bo'lgan korporativ logotipi tushirilgan disk yaratishi va unga "2012 yil 2-choragida maosh haqida qisqacha ma`lumot" yorlig'i qo'yishi mumkin. Shunda tajovuzkor diskni lift qavatida yoki maqsadli kompaniya qabulxonasining biron bir joyida qoldiradi. O'zi bilmagan xodim uni topishi va qiziqishini qondirish uchun diskni kompyuterga qo'shishi yoki yaxshi samariyalik topib, kompaniyaga qaytarishi mumkin. Qanday bo'lmasin, diskni kompyuterga qo'shish zararli dasturlarni o'rnatadi, shunda tajovuzkorlarga jabrlanuvchining shaxsiy kompyuteriga va, ehtimol, maqsadli kompaniyaning ichki tizimiga kirish huquqi beriladi. kompyuter tarmog'i.

Agar kompyuter infektsiyalarni blokirovka qilmasa, qo'shish kompyuterlarni "avtomatik ishlaydigan" vositalarni buzadi. Dushman qurilmalaridan ham foydalanish mumkin.^[14] Masalan, "omadli g'olib" bepul yuboriladi raqamli audio pleer u ulangan har qanday kompyuterni buzish. A "yo'l olma"(ot uchun so'zlashuv atamasi) go'ng, qurilmaning nomaqbul xususiyatini taklif qilish) har qanday olinadigan ommaviy axborot vositalari fursatchi yoki ko'zga tashlanadigan joylarda qoldirilgan zararli dasturiy ta'minot bilan. Bu CD, DVD yoki bo'lishi mumkin USB flesh haydovchi, boshqa ommaviy axborot vositalari qatorida. Qiziquvchan odamlar uni olib, kompyuterga ulab, uy egasiga va biriktirilgan tarmoqlarga zarar etkazishadi. Shunga qaramay, xakerlar ularga "Xodimlarning maoshi" yoki "Maxfiy" kabi jozibali yorliqlar berishi mumkin.^[15]

2016 yilda o'tkazilgan bir tadqiqotga ko'ra, tadqiqotchilar Illinoys universiteti yotoqxonasi atrofiga 297 ta USB-disk tashlab qo'yishgan. Disklarda tadqiqotchilarga tegishli veb-sahifalarga bog'langan fayllar mavjud edi. Tadqiqotchilar disklarning qanchasida fayl ochilganligini ko'rishga muvaffaq bo'lishdi, ammo qanchasi fayl ochilmasdan kompyuterga kiritilganligini bilishmadi. Tashlab ketilgan 297 diskdan 290 tasi (98%) ko'tarilib, 135 tasi (45%) "uyga chaqirildi".^[16]

Quid pro quo

Quid pro quo degan ma'noni anglatadi biron bir narsa uchun:

Hujumchi biron bir kompaniyada tasodifiy raqamlarga qo'ng'iroq qilib, texnik yordamdan qayta qo'ng'iroq qilayotganini aytmoqda. Oxir oqibat bu kishi kimdir unga yordam berish uchun qayta chaqirayotganidan minnatdor bo'lib, qonuniy muammo bilan kimnidir uradi. Tajovuzkor muammoni hal qilishda "yordam beradi" va bu jarayonda tajovuzkorga kirish yoki ishga tushirishga ruxsat beruvchi foydalanuvchi turi buyruqlariga ega bo'ladi. zararli dastur.
2003 yilda axborot xavfsizligi so'rovnomada, ishchilarning 91% tadqiqotchilarga o'zlari deb da'vo qilgan narsalarni berishdi parol arzon evaziga so'rovnoma savoliga javoban qalam.^[17] Keyingi yillarda o'tkazilgan shunga o'xshash so'rovnomalar shu kabi natijalarni shokolad va boshqa arzon lures yordamida qo'lga kiritdi, ammo parollarni tekshirishga urinishmadi.^[18]

Tailgating

Cheklangan hududga kirishni xohlagan tajovuzkor, qarovsiz, elektron bilan ta'minlangan kirishni boshqarish, masalan. tomonidan RFID karta, shunchaki qonuniy kirish huquqiga ega bo'lgan kishining orqasida yuradi. Umumiy xushmuomalalikdan so'ng, qonuniy shaxs odatda tajovuzkor uchun eshikni ochiq tutadi yoki tajovuzkorlar o'zlari xodimdan eshikni ular uchun ochishini so'rashlari mumkin. Qonuniy shaxs bir necha sabablarga ko'ra identifikatsiyani so'ramasligi yoki tajovuzkor tegishli identifikator belgisini unutganligi yoki yo'qotganligi haqidagi da'volarni qabul qilishi mumkin. Shuningdek, tajovuzkor shaxsni tasdiqlovchi belgini taqdim etish harakatini soxtalashtirishi mumkin.

Boshqa turlari

Umumiy ishonch aldovchilari yoki firibgarlarni keng ma'noda "ijtimoiy muhandislar" deb hisoblash mumkin edi, chunki ular odamlarning qasddan aldashlari va manipulyatsiyasi, shaxsiy manfaatlariga erishish uchun insonning zaif tomonlaridan foydalanadilar. Ular, masalan, IT-firibgarlikning bir qismi sifatida ijtimoiy muhandislik texnikasidan foydalanishlari mumkin.

Yaqinda^{[qachon? ]} ijtimoiy muhandislik texnikasi turi mashhur elektron pochta identifikatorlariga ega bo'lgan odamlarning aldash yoki buzish identifikatorlarini o'z ichiga oladi Yahoo!, Gmail, Hotmail va h.k. aldash uchun ko'plab turtki orasida:

Fishing kredit karta hisob raqamlari va ularning parollari.
Shaxsiy elektron pochta xabarlarini va suhbatlar tarixini buzish va ularni pul undirish uchun ishlatishdan oldin oddiy tahrirlash usullaridan foydalangan holda manipulyatsiya qilish va shaxslar o'rtasida ishonchsizlik.
Kompaniyalar yoki tashkilotlarning veb-saytlarini buzish va ularning obro'siga putur etkazish.
Kompyuter virusli hiyla-nayranglar
Orqali veb-brauzerda zararli kodni ishga tushirishga foydalanuvchilarni ishontirish o'z-o'zini XSS ularning veb-qayd yozuvlariga kirishga ruxsat berish uchun hujum

Qarshi choralar

Tashkilotlar xavfsizlik xavfini quyidagicha kamaytiradi:

Xodimlarni o'qitishXodimlarni o'z lavozimlariga mos keladigan xavfsizlik protokollariga o'rgatish. (masalan, dumga o'tish kabi holatlarda, agar shaxsning shaxsini tasdiqlash mumkin bo'lmasa, u holda xodimlarni xushmuomalalik bilan rad etishga o'rgatish kerak.)

Standart ramkaXodimlar / xodimlar darajasida ishonch doiralarini o'rnatish (ya'ni, qachon va qayerda / nima uchun / qanday qilib nozik ma'lumotlar bilan ishlash kerakligini xodimlarni aniqlang va o'rgating)

Axborotni sinchkovlik bilan tekshirishQaysi ma'lumotning sezgirligini aniqlash va uning ijtimoiy muhandislik ta'sirini va xavfsizlik tizimidagi buzilishlarni (bino, kompyuter tizimi va boshqalarni) baholash

Xavfsizlik protokollariXavfsizlik protokollarini, qoidalarini va maxfiy ma'lumotlarga ishlov berish tartibini o'rnatish.

Voqealar testiXavfsizlik tizimining e'lon qilinmagan, davriy sinovlarini o'tkazish.

EmlashIjtimoiy muhandislik va boshqa hiyla-nayranglarning yoki tuzoqlarning oldini olish, o'xshash yoki o'xshash urinishlar ta'sirida ishontirish urinishlariga qarshilik ko'rsatish.^[19]

Ko'rib chiqishYuqoridagi bosqichlarni muntazam ravishda ko'rib chiqing: axborotning yaxlitligi uchun hech qanday echim mukammal emas.^[20]

Chiqindilarni boshqarishQulflari o'rnatilgan axlat qutilariga ega bo'lgan chiqindilarni boshqarish xizmatidan foydalanish, ularning kalitlari faqat chiqindilarni boshqarish kompaniyasi va tozalash xodimlari bilan cheklangan. Axlatxonani xodimlar nuqtai nazaridan topish, unga kirishga urinish ko'rish yoki tutilish xavfini tug'dirishi mumkin, yoki axlatxonaga kirishga urinishdan oldin odam buzilishi kerak bo'lgan qulflangan eshik yoki to'siq orqasida.^[21]

Ijtimoiy muhandislikning hayot aylanishi

Ma'lumot yig'ish- Axborot yig'ish - bu juda ko'p sabr-toqat va jabrlanuvchining odatlarini sinchkovlik bilan kuzatishni talab qiladigan birinchi va eng qadam. Ushbu qadam jabrlanuvchining manfaatlari to'g'risida ma'lumotlarni to'plash, Shaxsiy ma'lumot. Bu umumiy hujumning muvaffaqiyat darajasini belgilaydi.
Jabrlanuvchi bilan suhbatlashish- Zarur miqdordagi ma'lumotlarni to'plagandan so'ng, tajovuzkor jabrlanuvchi bilan noo'rin narsalarni topmasdan suhbatni muammosiz ochadi.
Hujum-Bu qadam, odatda, maqsad bilan uzoq vaqt ishlagandan so'ng sodir bo'ladi va ushbu ma'lumotdan maqsad ijtimoiy muhandislik yordamida olinadi. Bosqichda tajovuzkor natijalarni maqsaddan oladi.
O'zaro aloqani yopish- Bu jabrlanuvchida shubha tug'dirmasdan tajovuzkorning aloqasini asta-sekin o'chirishni o'z ichiga olgan so'nggi qadam. Shunday qilib, motiv ro'yobga chiqadi, shuningdek qurbon kamdan-kam hollarda hujum sodir bo'lganligini biladi.^[22]

Taniqli ijtimoiy muhandislar

Frank Abagnale kichik

Frank Abagnale kichik u 15 yoshdan 21 yoshgacha bo'lganida sobiq odam, chex soxta va firibgar sifatida tanilgan amerikalik xavfsizlik bo'yicha maslahatchi. U eng taniqli firibgarlardan biriga aylandi,^[23] aviakompaniya uchuvchisi, shifokor, AQSh qamoqxonalar byurosi agenti va advokatni o'z ichiga olgan sakkiz kishidan kam bo'lmagan shaxsni o'z zimmasiga olganini da'vo qilmoqda. Abagnale 22 yoshga to'lgunga qadar politsiya hibsxonasidan ikki marta (bir marta taksindagi samolyotdan va bir marta AQSh federal jazoni ijro etish muassasasidan) qochib ketgan.^[24]

Kevin Mitnik

Kevin Mitnik amerikalik kompyuter xavfsizligi maslahatchi, muallif va xaker 1995 yilda taniqli hibsga olinishi va keyinchalik kompyuter va aloqa bilan bog'liq har xil jinoyatlar uchun besh yillik qamoq jazosi bilan tanilgan.^[25]

Syuzan Xedli

Syuzan Xedli 1970-yillarning oxiri va 1980-yillarning boshlarida faol bo'lgan amerikalik xaker edi. bahona va psixologik buzg'unchilik.^[26] U harbiy kompyuter tizimlarini buzish bo'yicha ixtisosligi bilan mashhur edi, bu ko'pincha harbiylar bilan yotish va uxlayotgan paytda foydalanuvchi nomlari va parollari uchun kiyimlarini ko'rib chiqish.^[27] U qattiq ishtirok etdi qichqirmoq bilan Kevin Mitnik va Lyuis de Peyn Los Anjeles, ammo keyinchalik ularni "US Leasing" dagi nizolardan so'ng tizim fayllarini o'chirib tashlash uchun ramka tuzdi va bu Mitnikning birinchi hukmiga sabab bo'ldi. U professional pokerda nafaqaga chiqdi.^[28]

Badir birodarlar

Tug'ilishdan ko'r bo'lgan aka-uka Rami, Muzher va Shadde Badirlar telefon va kompyuter firibgarligining keng sxemasini tuzishga muvaffaq bo'lishdi. Isroil 1990-yillarda ijtimoiy muhandislik, ovozni taqlid qilish va Brayl-displeyli kompyuterlar.^[29]

Kristofer J. Xadnagi

Kristofer J. Xadnagi amerikalik ijtimoiy muhandis va axborot texnologiyalari xavfsizligi bo'yicha maslahatchi. U ijtimoiy muhandislik va kiberxavfsizlik bo'yicha 4 ta kitob muallifi sifatida tanilgan^[30]^[31]^[32]^[33] Axborot xavfsizligi bo'yicha mutaxassislardan yordam so'rash, ochiq manbali razvedka ma'lumotlaridan (OSINT) foydalanish va huquqni muhofaza qilish organlari bilan hamkorlik qilish kabi turli xil xavfsizlik texnikasi yordamida bolalar savdosini kuzatishda va aniqlashda yordam beradigan "Innocent Lives Foundation" tashkilotining asoschisi.^[34]^[35]

Qonun

Yilda umumiy Qonun, bahona - bu shaxsiy hayotga tajovuz qilish, uni o'zlashtirish.^[36]

Telefon yozuvlarini bahona qilish

2006 yil dekabrda, Amerika Qo'shma Shtatlari Kongressi telefon yozuvlarini bahona qilishni federal deb ataydigan Senatning homiylik qilgan qonun loyihasini ma'qulladi jinoyat 250 ming dollargacha jarima va jismoniy shaxslar uchun o'n yillik qamoq (yoki kompaniyalar uchun 500 ming dollargacha jarima) bilan. Prezident Jorj V.Bush 2007 yil 12 yanvarda imzolagan.^[37]

Federal qonunchilik

1999 yil "GLBA" a AQSh Federal bank yozuvlarini bahona qilishni federal qonunlar bilan jazolanadigan noqonuniy xatti-harakat sifatida aniq ko'rib chiqadigan qonun. Xususiy tergovchi, SIU sug'urtasi bo'yicha tergovchi yoki tartibga soluvchi kabi tadbirkorlik sub'ekti har qanday aldovni qilsa, u vakolatiga kiradi. Federal savdo komissiyasi (FTC). Ushbu federal agentlik iste'molchilarga har qanday adolatsiz yoki aldamchi biznes amaliyotiga duch kelmasliklarini ta'minlash majburiyati va vakolatiga ega. AQSh Federal savdo komissiyasi to'g'risidagi qonun, 5-bo'lim FTCA qisman ta'kidlaydi: "Komissiya har qanday shaxs, sheriklik yoki korporatsiya har qanday adolatsiz raqobat usulini yoki adolatsiz yoki aldamchi xatti-harakatni yoki tijoratga ta'sir ko'rsatadigan yoki ta'sir ko'rsatadigan usulni qo'llagan yoki foydalanmoqda deb hisoblash uchun asosga ega bo'lganda va agar u paydo bo'lsa Komissiyaga, agar u bilan bog'liq ish jamoatchilik manfaatiga to'g'ri kelsa, u ushbu shaxsga, sheriklikka yoki korporatsiyaga o'z ayblovlarini bildirgan holda shikoyat beradi va xizmat qiladi. "

Nizomda aytilishicha, kimdir moliya muassasasi yoki iste'molchidan har qanday shaxsiy, ommaviy bo'lmagan ma'lumotni olganida, ularning harakati qonunga bo'ysunadi. Bu iste'molchining moliya instituti bilan munosabatlari bilan bog'liq. Masalan, iste'molchining bankidan iste'molchining manzilini olish uchun yoki iste'molchini o'z banki nomini oshkor qilish uchun yolg'on bahonalar bilan foydalangan bahona beruvchisi qoplanadi. Belgilash printsipi shundan iboratki, bahona faqat ma'lumot soxta da'vogarlik bilan olinganida sodir bo'ladi.

Uyali telefon yozuvlarini sotish ommaviy axborot vositalarida katta e'tiborni qozongan bo'lsa-da, telekommunikatsiya yozuvlari hozirgi kunga qadar bo'lgan ikkita qonun loyihasining diqqat markazida Amerika Qo'shma Shtatlari Senati, boshqa ko'plab boshqa shaxsiy yozuvlar ommaviy bozorda sotib olinmoqda va sotilmoqda. Uyali telefon yozuvlari uchun ko'plab reklamalar bilan bir qatorda, simli aloqa yozuvlari va qo'ng'iroq kartalari bilan bog'liq yozuvlar ham reklama qilinadi. Jismoniy shaxslar VoIP telefonlariga o'tayotganda, ushbu yozuvlar ham sotuvga qo'yiladi deb taxmin qilish mumkin. Hozirda telefon yozuvlarini sotish qonuniy, ammo ularni olish noqonuniy hisoblanadi.^[38]

1-ma'lumot manbalari bo'yicha mutaxassislar

AQSh vakili Fred Upton (R-Kalamazoo Energiya va tijorat bo'yicha telekommunikatsiyalar va Internet bo'yicha kichik qo'mita raisi (Michigan), uyning Energetika va tijorat qo'mitasining "tinglash paytida Internetdagi shaxsiy mobil telefon yozuvlariga Internetdan oson kirish xavotirini bildirdi."Sotish uchun telefon yozuvlari: Nima uchun telefon yozuvlari bahona berishdan xavfsiz emas?" Illinoys Bosh prokuror Liza Madigan 1-chi ma'lumot bo'yicha mutaxassislarni, Incni sudga berganida, onlayn yozuvlar vositachisini sudga bergan birinchi davlat bo'ldi. Madigan ofisining vakili. Florida shtatida joylashgan kompaniya kostyum nusxasiga ko'ra, uyali telefon yozuvlarini sotadigan bir nechta veb-saytlarni ishlaydi. Florida shtatining bosh prokurorlari va Missuri 1-ma'lumot manbalari bo'yicha mutaxassislarga va Missuri shtatida yana bitta yozuvlar vositachisi - First Data Solutions, Inc.

T-Mobile, Verizon va Cingular kabi bir nechta simsiz provayderlar ilgari yozuvlar vositachilariga qarshi sud da'volari bilan murojaat qilishdi, Cingular birinchi ma'lumotlar echimlari va 1-ma'lumot manbalari bo'yicha mutaxassislarga qarshi sud qarorida g'olib chiqdi. AQSh senatori Charlz Shumer (D-Nyu-York) 2006 yil fevral oyida ushbu amaliyotni to'xtatishga qaratilgan qonunchilikni joriy qildi. 2006 yilgi "Iste'molchilarning telefon yozuvlarini himoya qilish to'g'risida" gi qonun yaratilishi kerak edi jinoyat jinoyatchi mobil telefon yozuvlarini o'g'irlash va sotish uchun jarimalar, shahar telefoni va Internet orqali ovozli protokol (VoIP) abonentlari.

HP

Patrisiya Dann, Hewlett Packardning sobiq raisi, HP boshqaruv kengashi ichidagi qochqinlar uchun kim javobgar ekanligini tekshirish uchun xususiy tergov kompaniyasini yollaganligini xabar qildi. Dann, kompaniya kengash a'zolari va jurnalistlarning telefon yozuvlarini so'rash uchun bahona qilish amaliyotidan foydalanganligini tan oldi. Keyinchalik rais Dann ushbu qilmishi uchun uzr so'radi va agar kengash a'zolari xohlasa, boshqaruv kengashidan ketishni taklif qildi.^[39] Federal qonundan farqli o'laroq, Kaliforniya qonunchiligi bunday bahonani maxsus taqiqlaydi. Dannga qo'yilgan to'rtta og'ir jinoyat ishi bekor qilindi.^[40]

Profilaktika choralari

Ba'zi ehtiyot choralarini ko'rish ijtimoiy muhandislik firibgarliklari qurboniga aylanish xavfini kamaytiradi. Qabul qilinishi mumkin bo'lgan choralar quyidagicha: -

"Haqiqat bo'lish juda yaxshi" ko'rinadigan takliflardan xabardor bo'ling.
Noma'lum manbalardan olingan qo'shimchalarni bosishdan saqlaning.
Shaxsiy ma'lumotlarni elektron pochta, telefon yoki SMS orqali hech kimga bermaslik.
Dan foydalanish spam-filtr dasturiy ta'minot Spam qutisi kabi.
Haqiqiy hayotda bilmagan odamlar bilan do'stlashishdan saqlaning.
Internet orqali bezovtalanish holatlarida bolalarni ishonchli kattalar bilan bog'lanishni o'rgating (kiberhujum ) yoki his qilish tahdid qildi Internetdagi har qanday narsa orqali.^[41]

Ommaviy madaniyatda

Ijtimoiy muhandislik muvaffaqiyatga erishish uchun aniq bir retseptga ega emas va yozma ravishda tasavvur qilish qiyin bo'lishi mumkin bo'lsa-da, ijtimoiy muhandislik tushunchalari va amaliyoti televizion va filmlardagi sahnalarga moslashtirildi. Ushbu misollar bunday hujum qanday amalga oshirilishi mumkinligini ko'rsatadi.

Filmda Okeanning o'n bir (1960/2001), jamoa kazinoni talon-taroj qilish uchun ijtimoiy muhandislikdan foydalanadi.
Kino Mars ayollarga muhtoj (1967) o'zlarining maqsadlariga erishish uchun ushbu usullar bilan shug'ullanganliklari va ulardan foydalanganliklari ko'rsatilgan sayyoraliklar tomonidan amalga oshirilgan ijtimoiy muhandislik misollarini o'z ichiga oladi: reproduktiv maqsadlar uchun sayyoramizning ayollarini erkaklar nisbati bilan qayta tiklash uchun beshta Yer ayolini qo'lga olish.
In Jeyms Bond kino Olmoslar abadiydir (1971), Bond "Whyte" laboratoriyasiga kartani kirishni blokirovka qilishning eng zamonaviy tizimi bilan kirish huquqini olgan. "quyruq "U shunchaki xodim eshikni ochish uchun kelishini kutib turadi, keyin o'zini laboratoriyada yangi boshlang'ich sifatida ko'rsatib, mavjud bo'lmagan kartani soxta solib, xodim unga eshikni ochib qo'yganida.
Televizion shouda Rokford fayllari (1974), Jim Rokfordning xarakteri ko'pincha bahona ishlatadi shaxsiy tergov ish.
Filmda Krossovkalar (1992), personajlardan biri o'zini past daraja sifatida tasvirlaydi Xavfsizlik xizmati xodimi Uni xavfsizlik buzilishi shunchaki a ekanligiga ishontirish uchun ustundir yolg'on signal.
Filmda Xakerlar (1995), qahramon o'zini xavfsizlik kompaniyasidan muhim kompaniya rahbari sifatida ko'rsatgan holda televidenie stantsiyasining modemiga telefon raqamini so'raganda, bahona bilan foydalanadi.
Filmda Tomas Crown ishi (1999), personajlardan biri qo'riqchini o'z lavozimidan uzoqlashtirish uchun telefon orqali muzey qo'riqchisining boshlig'i sifatida o'zini namoyon qiladi.
Filmda Qo'lingdan kelsa meni tut (2002), bosh qahramon haqiqiy voqeaga asoslangan turli xil ijtimoiy muhandislik taktikalarini qo'llaydi.
Jeffri Deaverning kitobida Moviy hech qaerda (2002), maxfiy ma'lumotlarni olish uchun ijtimoiy muhandislik qotil Phate tomonidan qurbonlariga yaqinlashish usullaridan biridir.
Televizion shouda Ruhiy (2006), qahramon Shou Spenser tez-tez bahona bilan foydalanadigan joylarga kirish huquqini qo'lga kiritadi, aks holda politsiya ma'lumotisiz kirishga ruxsat berilmaydi.
Filmda Bepul yashang yoki o'ling (2007), Justin Long otasi yurak xurujidan o'lishni o'ldirayotganini bahona qilib ko'rmoqda Yulduzli yordamchi vakili nima bo'lishini boshlash o'g'irlangan mashina.
Televizion shouda Burn xabarnomasi (2007), ko'plab belgilar ijtimoiy muhandislik yordamida ko'rinadi; Maykl Vesten Uning ruhiy profilida uning ijtimoiy muhandislik sohasida juda malakali ekanligi ta'kidlangan.
Televizion shouda Mentalist (2008), qahramon Patrik Jeyn ko'pincha jinoyatchilarni sodir etgan jinoyatlarini tan olish uchun aldash uchun bahona ishlatadi.
Televizion shouda Kaldıraç (teleserial) (2008), ko'plab belgilar ijtimoiy muhandislik yordamida ko'rinadi.
Televizion shouda Oq yoqalilar (2009), Mett Bomer FBI jinoiy ma'lumoti sifatida ishlaydigan yuqori darajadagi aqlli va ko'p qirrali rassomni ijro etdi.
Maksim Frantinidan frantsuz romanlarida [Journal d'un xaker, L'ombre et la lumière, La cavale, La détermination du fennec] (2012), xakerlar qahramoni Ylian Estevez asosan hujumlari uchun ijtimoiy muhandislikdan foydalanadi.^[42]
Filmda Shaxsiy o'g'ri (2013), Melissa McCarthy ismini, kredit karta raqamini va olish uchun bahona ishlatadigan firibgarni o'ynadi Ijtimoiy Havfsizlik raqami ijro etuvchi shaxs (Jeyson Beytmen), shuning uchun uning shaxsini o'g'irlashi va sodir etishiga imkon beradi kredit karta bilan firibgarlik.
Video o'yinda Qo'riqchi itlar (2014), bosh qahramon Aiden Pirsning ta'kidlashicha, u jinoyat hayotida ulg'ayganida ijtimoiy muhandislikni o'rgangan va o'zi xohlagan ma'lumotni olish uchun o'yin davomida boshqa belgilar bilan manipulyatsiya qilish uchun ijtimoiy muhandislik taktikasidan foydalanadi.
Filmda Men kimman (2014), asosiy belgilar turli xil ijtimoiy muhandislik texnikalari yordamida ko'rinadi.
Televizion shouda Janob Robot (2015), Darlene tarqaladi USB flesh-disklari (zararli dasturlarni o'z ichiga olgan) qamoqxona eshigi tashqarisida, disklardan birini kompyuterining ish stantsiyasiga ulaganda, qamoqxonaning ichki tarmog'iga zarar etkazish uchun qiziquvchan soqchilarni o'ldirish.
Filmda Fokus (2015), belgi Nicky Spurgeon va uning jamoasi pulni o'g'irlash uchun ishonch sxemalarini o'tkazish uchun turli xil ijtimoiy muhandislik usullaridan foydalanadilar.
Filmda O'rgimchak to'ridagi qiz (2018), belgi Lisbet Salander bir nechta vaziyatlarda ijtimoiy muhandislikdan foydalanadi.^[43]

Shuningdek qarang

Sertifikatlangan ijtimoiy muhandislikning oldini olish bo'yicha mutaxassisi (CSEPS)
Shikara kodi
Ishonch fokusi - Biron kishining yoki guruhning ishonchini qozongandan so'ng uni aldashga urinish
Qarshi chora (kompyuter)
Kiber-HUMINT
Kiberheist
Emlash nazariyasi - Qanday qilib munosabat yoki e'tiqodni ta'sirdan himoya qilish, xuddi tanani kasalliklardan himoya qilish mumkinligi haqida tushuntirish
Internet xavfsizligi to'g'risida xabardorlik bo'yicha trening
IT xavfi
Media-o'yinlar, ko'pincha shunga o'xshash taktikalarni qo'llaydi (garchi odatda jinoiy maqsadlar uchun emas)
Penetratsiya testi - kiberhujumni simulyatsiya qilish orqali kompyuter va tarmoq xavfsizligini baholash usuli
Fishing - O'zini ishonchli shaxs sifatida ko'rsatish orqali maxfiy ma'lumotlarni olishga urinish akti
Jismoniy axborot xavfsizligi
Piggybacking (xavfsizlik)
SMS-fishing
Xavf (kompyuter)
Ovozli fishing - moliyaviy tizimda shaxsiy shaxsiy va moliyaviy ma'lumotlarga ega bo'lish uchun telefon tizimida ijtimoiy muhandislikdan foydalangan holda, jinoiy telefon firibgarligining shakli.
Zaiflik (hisoblash) - kompyuter tizimidagi ekspluatatsiya qilinadigan zaiflik

Adabiyotlar

^ Anderson, Ross J. (2008). Xavfsizlik muhandisligi: ishonchli tarqatilgan tizimlarni yaratish bo'yicha qo'llanma (2-nashr). Indianapolis, IN: Uili. p. 1040. ISBN 978-0-470-06852-6. 2-bob, 17-bet
^ "Ijtimoiy muhandislik ta'rifi". Security Through Education. Olingan 3 oktyabr 2018.
^ Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
^ Anderson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date 11 March 2014 publication description INTED2014 (International Technology, Education, and Development Conference)
^ ^a ^b ^v Schlienger, Thomas; Teufel, Stephanie (2003). "Information security culture-from analysis to change". South African Computer Journal. 31: 46–52.
^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
^ Hatfield, Joseph M (June 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Kompyuterlar va xavfsizlik. 83: 354–366. doi:10.1016/j.cose.2019.02.012.
^ The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). "HP Pretexting Scandal by Faraz Davani". Olingan 15 avgust 2011 - Scribd orqali.
^ "Pretexting: Your Personal Information Revealed ", Federal savdo komissiyasi
^ Fagone, Jason (24 November 2015). "The Serial Swatter". The New York Times. Olingan 25 noyabr 2015.
^ "The Real Dangers of Spear-Phishing Attacks". FireEye. 2016 yil. Olingan 9 oktyabr 2016.
^ "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack". invincea.com. 2015 yil 10-fevral. Olingan 23 fevral 2017.
^ "Social Engineering, the USB Way". Light Reading Inc. 7 June 2006. Archived from asl nusxasi 2006 yil 13-iyulda. Olingan 23 aprel 2014.
^ "Arxivlangan nusxa" (PDF). Arxivlandi asl nusxasi (PDF) 2007 yil 11 oktyabrda. Olingan 2 mart 2012.CS1 maint: nom sifatida arxivlangan nusxa (havola)
^ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principles of Computer Security, Fourth Edition (Official Comptia Guide). Nyu-York: McGraw-Hill Ta'lim. 193-194 betlar. ISBN 978-0071835978.
^ Raywood, Dan (4 August 2016). "#BHUSA Dropped USB Experiment Detailed". info security. Olingan 28 iyul 2017.
^ Leyden, John (18 April 2003). "Office workers give away passwords". Ro'yxatdan o'tish. Olingan 11 aprel 2012.
^ "Passwords revealed by sweet deal". BBC yangiliklari. 2004 yil 20 aprel. Olingan 11 aprel 2012.
^ Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.
^ Mitnick, K., & Simon, W. (2005). "The Art of Intrusion". Indianapolis, IN: Wiley Publishing.
^ Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240–241.
^ "social engineering – GW Information Security Blog". blogs.gwu.edu. Olingan 18 fevral 2020.
^ Salinger, Lawrence M. (2005). Encyclopedia of White-Collar & Corporate Crime. SAGE. ISBN 978-0-7619-3004-4.
^ "How Frank Abagnale Would Swindle You". AQSh yangiliklari. 17-dekabr, 2019-yil. Arxivlandi from the original on 28 April 2013. Olingan 17 dekabr 2019.
^ "Kevin Mitnick sentenced to nearly four years in prison; computer hacker ordered to pay restitution to victim companies whose systems were compromised" (Matbuot xabari). United States Attorney's Office, Central District of California. 9 August 1999. Archived from asl nusxasi 2013 yil 13-iyun kuni.
^ "DEF CON III Archives – Susan Thunder Keynote". DEF CON. Olingan 12 avgust 2017.
^ "Arxivlangan nusxa". Arxivlandi asl nusxasi 2001 yil 17 aprelda. Olingan 6 yanvar 2007.CS1 maint: nom sifatida arxivlangan nusxa (havola)
^ Hafner, Katie (August 1995). "Kevin Mitnick, unplugged". Esquire. 124 (2): 80(9).
^ "Wired 12.02: Three Blind Phreaks". Simli. 14 June 1999. Olingan 11 aprel 2012.
^ "43 Best Social Engineering Books of All Time". BookAuthority. Olingan 22 yanvar 2020.
^ (31 August 2018). "Bens Book of the Month Review of Social Engineering The Science of Human Hacking". RSA konferentsiyasi. Olingan 22 yanvar 2020.CS1 maint: raqamli ismlar: mualliflar ro'yxati (havola)
^ "Book Review: Social Engineering: The Science of Human Hacking". The Ethical Hacker Network. 26 iyul 2018 yil. Olingan 22 yanvar 2020.
^ Hadnagy, Christopher; Fincher, Michele (22 January 2020). "Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails". ISACA. Olingan 22 yanvar 2020.
^ "WTVR:"Protect Your Kids from Online Threats"
^ Larson, Selena (14 August 2017). "Hacker creates organization to unmask child predators". CNN. Olingan 14 noyabr 2019.
^ Restatement 2d of Torts § 652C.
^ "Congress outlaws pretexting". 109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006. 2007.
^ Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. ISBN 0-471-23712-4
^ HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 8 September 2006 1:08 PM PDT CNET News.com
^ "Calif. court drops charges against Dunn". CNET. 2007 yil 14 mart. Olingan 11 aprel 2012.
^ "What is Social Engineering | Attack Techniques & Prevention Methods | Imperva". Learning Center. Olingan 18 fevral 2020.
^ "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle". Olingan 30 noyabr 2016.
^ "Analyzing the Hacks: The Girl in the Spider's Web Explained". WonderHowTo. Olingan 13 dekabr 2019.

Qo'shimcha o'qish

Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
Harley, David. 1998 yil Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
Laribee, Lena. 2006 yil iyun Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. Ro'yxatdan o'tish. Retrieved 2004-09-09.
Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 yoki ISBN 978-0-566-08773-8
Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 yoki ISBN 0-7645-4280-X
Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9

Tashqi havolalar

Social Engineering Fundamentals – Securityfocus.com. Retrieved 3 August 2009.
"Social Engineering, the USB Way". Light Reading Inc. 7 June 2006. Archived from asl nusxasi 2006 yil 13-iyulda. Olingan 23 aprel 2014.
Should Social Engineering be a part of Penetration Testing? – Darknet.org.uk. Retrieved 3 August 2009.
"Protecting Consumers' Phone Records", Elektron maxfiylik ma'lumot markazi US Committee on Commerce, Science, and Transportation . Retrieved 8 February 2006.
Plotkin, Hal. Memo to the Press: Pretexting is Already Illegal. Retrieved 9 September 2006.

[1] Anderson, Ross J. (2008). Xavfsizlik muhandisligi: ishonchli tarqatilgan tizimlarni yaratish bo'yicha qo'llanma (2-nashr). Indianapolis, IN: Uili. p. 1040. ISBN 978-0-470-06852-6. 2-bob, 17-bet

[2] "Ijtimoiy muhandislik ta'rifi". Security Through Education. Olingan 3 oktyabr 2018.

[3] Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.

[Andersson_&_Reimers_2014-4] Anderson, D., Reimers, K. and Barretto, C. (March 2014). Post-Secondary Education Network Security: Results of Addressing the End-User Challenge.publication date 11 March 2014 publication description INTED2014 (International Technology, Education, and Development Conference)

[Schlienger,_Thomas_2003-5] v Schlienger, Thomas; Teufel, Stephanie (2003). "Information security culture-from analysis to change". South African Computer Journal. 31: 46–52.

[6] Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.

[7] Hatfield, Joseph M (June 2019). "Virtuous human hacking: The ethics of social engineering in penetration-testing". Kompyuterlar va xavfsizlik. 83: 354–366. doi:10.1016/j.cose.2019.02.012.

[8] The story of HP pretexting scandal with discussion is available at Davani, Faraz (14 August 2011). "HP Pretexting Scandal by Faraz Davani". Olingan 15 avgust 2011 - Scribd orqali.

[9] "Pretexting: Your Personal Information Revealed ", Federal savdo komissiyasi

[The_Serial_Swatter-10] Fagone, Jason (24 November 2015). "The Serial Swatter". The New York Times. Olingan 25 noyabr 2015.

[The_Real_Dangers_of_Spear-Phishing_Attacks-11] "The Real Dangers of Spear-Phishing Attacks". FireEye. 2016 yil. Olingan 9 oktyabr 2016.

[Forbes.com_watering_hole_attack-12] "Chinese Espionage Campaign Compromises Forbes.com to Target US Defense, Financial Services Companies in Watering Hole Style Attack". invincea.com. 2015 yil 10-fevral. Olingan 23 fevral 2017.

[Social_Engineering,_the_USB_Way-13] "Social Engineering, the USB Way". Light Reading Inc. 7 June 2006. Archived from asl nusxasi 2006 yil 13-iyulda. Olingan 23 aprel 2014.

[14] "Arxivlangan nusxa" (PDF). Arxivlandi asl nusxasi (PDF) 2007 yil 11 oktyabrda. Olingan 2 mart 2012.CS1 maint: nom sifatida arxivlangan nusxa (havola)

[15] Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principles of Computer Security, Fourth Edition (Official Comptia Guide). Nyu-York: McGraw-Hill Ta'lim. 193-194 betlar. ISBN 978-0071835978.

[16] Raywood, Dan (4 August 2016). "#BHUSA Dropped USB Experiment Detailed". info security. Olingan 28 iyul 2017.

[17] Leyden, John (18 April 2003). "Office workers give away passwords". Ro'yxatdan o'tish. Olingan 11 aprel 2012.

[18] "Passwords revealed by sweet deal". BBC yangiliklari. 2004 yil 20 aprel. Olingan 11 aprel 2012.

[19] Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.

[20] Mitnick, K., & Simon, W. (2005). "The Art of Intrusion". Indianapolis, IN: Wiley Publishing.

[21] Allsopp, William. Unauthorised access: Physical penetration testing for it security teams. Hoboken, NJ: Wiley, 2009. 240–241.

[22] "social engineering – GW Information Security Blog". blogs.gwu.edu. Olingan 18 fevral 2020.

[23] Salinger, Lawrence M. (2005). Encyclopedia of White-Collar & Corporate Crime. SAGE. ISBN 978-0-7619-3004-4.

[24] "How Frank Abagnale Would Swindle You". AQSh yangiliklari. 17-dekabr, 2019-yil. Arxivlandi from the original on 28 April 2013. Olingan 17 dekabr 2019.

[25] "Kevin Mitnick sentenced to nearly four years in prison; computer hacker ordered to pay restitution to victim companies whose systems were compromised" (Matbuot xabari). United States Attorney's Office, Central District of California. 9 August 1999. Archived from asl nusxasi 2013 yil 13-iyun kuni.

[26] "DEF CON III Archives – Susan Thunder Keynote". DEF CON. Olingan 12 avgust 2017.

[cdne-27] "Arxivlangan nusxa". Arxivlandi asl nusxasi 2001 yil 17 aprelda. Olingan 6 yanvar 2007.CS1 maint: nom sifatida arxivlangan nusxa (havola)

[28] Hafner, Katie (August 1995). "Kevin Mitnick, unplugged". Esquire. 124 (2): 80(9).

[29] "Wired 12.02: Three Blind Phreaks". Simli. 14 June 1999. Olingan 11 aprel 2012.

[BookAuthority-30] "43 Best Social Engineering Books of All Time". BookAuthority. Olingan 22 yanvar 2020.

[rsa-31] (31 August 2018). "Bens Book of the Month Review of Social Engineering The Science of Human Hacking". RSA konferentsiyasi. Olingan 22 yanvar 2020.CS1 maint: raqamli ismlar: mualliflar ro'yxati (havola)

[ethical-32] "Book Review: Social Engineering: The Science of Human Hacking". The Ethical Hacker Network. 26 iyul 2018 yil. Olingan 22 yanvar 2020.

[Isaca-33] Hadnagy, Christopher; Fincher, Michele (22 January 2020). "Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails". ISACA. Olingan 22 yanvar 2020.

[34] "WTVR:"Protect Your Kids from Online Threats"

[CNN-35] Larson, Selena (14 August 2017). "Hacker creates organization to unmask child predators". CNN. Olingan 14 noyabr 2019.

[36] Restatement 2d of Torts § 652C.

[37] "Congress outlaws pretexting". 109th Congress (2005–2006) H.R.4709 – Telephone Records and Privacy Protection Act of 2006. 2007.

[38] Mitnick, K (2002): "The Art of Deception", p. 103 Wiley Publishing Ltd: Indianapolis, Indiana; United States of America. ISBN 0-471-23712-4

[com-39] HP chairman: Use of pretexting 'embarrassing' Stephen Shankland, 8 September 2006 1:08 PM PDT CNET News.com

[40] "Calif. court drops charges against Dunn". CNET. 2007 yil 14 mart. Olingan 11 aprel 2012.

[41] "What is Social Engineering | Attack Techniques & Prevention Methods | Imperva". Learning Center. Olingan 18 fevral 2020.

[42] "Amazon.fr: Maxime Frantini: Livres, Biographie, écrits, livres audio, Kindle". Olingan 30 noyabr 2016.

[43] "Analyzing the Hacks: The Girl in the Spider's Web Explained". WonderHowTo. Olingan 13 dekabr 2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

Psixologik manipulyatsiya
Mukofotlash: yoqimli (ijobiy mustahkamlash )	Diqqat Pora berish Bolalarni parvarish qilish Xushomadgo'ylik Sovg'alar Mamnuniyat Bomba bombasini yoqtirish Yalang'ochlash Maqtov Jozibadorlik Tabassum Yuzaki jozibasi Yuzaki hamdardlik
Aversiv: yoqimsiz (ijobiy jazo )	G'azab Belgilarga suiqasd Yig'lamoq Hissiy shantaj Qo'rqinchli Aftini burish Yaltiroq Aybdorlik safari Diqqat Qo'rqitish Nagging Nit tanqid qilish Passiv tajovuz Aloqaviy tajovuz Sadizm Shaming Jim davolash Ijtimoiy rad etish Qasam ichish Tahdidlar Jabrlanuvchini ayblash Jabrlanuvchi o'ynamoqda Baqirish
Vaqti-vaqti bilan yoki qisman salbiy mustahkamlash	Qo'rquv iqlimi Shikastlanish
Boshqa usullar	Yemoqni almashtirish Yolg'on Rad etish Deplatforming Dasturlash Dezinformatsiya Buzilish; xato ko'rsatish Diversiya Bo'ling va hukmronlik qiling Ikki marta bog'lash Qabul qilish Qochish Mubolag'a Yoritish Yaxshi politsiyachi / yomon politsiyachi Ta'lim berish Balli to'p Yolg'on Minimallashtirish Darvoza ustunlarini harakatlantirish Ego va mag'rurlik pastga tushdi Ratsionalizatsiya Reid texnikasi Xatolik uchun sozlash Troyan oti Siz yoki biz bilan, yoki bizga qarshisiz
Kontekstlar	Suiiste'mol qilish Shafqatsiz kuch va boshqaruv Reklama Bezorilik Katolik aybdorligi Ishonch fokusi Aybdorlik madaniyati So'roq qilish Yahudiy ona stereotipi Axloqiy vahima Ommaviy axborot vositalarida manipulyatsiya Aqlni boshqarish Aqlli o'yinlar Mobbing Targ'ibot Savdo mahorati Qopqoq yurish Uyat madaniyati Tuhmat kampaniyasi Ijtimoiy muhandislik Spin Tavsiya etilishi Pichirlash kampaniyasi
Tegishli mavzular	Antisotsial shaxsning buzilishi Qat'iylik Ayb Chegarada shaxsning buzilishi Sabzi va tayoq Yiqilib tushdi Yoqish Yiqilish Femme fatale Tizimni o'yin Ishonchsizlik Gistrionik shaxsiyat buzilishi Taassurotlarni boshqarish Makiavellizm Narsizm Narsissistik shaxsiyat buzilishi Shaxsiy chegaralar Ishontirish Ommaboplik Loyihalash Psixopatiya Madaniyatlarning ayb-sharmandalik-qo'rquv spektri