Social engineering: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Ttamm (talk | contribs)
Lliba (talk | contribs)
m Struktuur korda ja <ref> tagide korrektsem kasutus.
Line 1: Line 1:
'''Social engineering''' on inimeste psüühiline manipuleerimine konfidentsiaalse informatsiooni kätte saamiseks, olgu need siis kasutajanimed, paroolid, pangaandmed. Kuigi enamasti on eesmärgiks saada kätte petta saava inimese hallatav(ad) informatsioon(id), siis tihti on prioriteediks ka saada ligi inimese arvutile, et salaja installida sinna pahavara (lisaks isiklikele andmetele saadakse ka kontroll kasutaja arvuti üle)<ref>https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering</ref>. "Kriminaalid" eelistavad tihtipeale just sellist lähenemist, sest inimeste usalduse võitmine on tunduvalt lihtsam, kui ise hakata välja uurima kasutaja paroole ja muud olulist informatsiooni. See erineb tavalisest pettusest selle võrra, et see meetod on enamasti ainult üks osa suurest skeemist, mille jaoks informatsiooni vajatakse.<ref>http://searchsecurity.techtarget.com/definition/social-engineering</ref>
"Social engineering" töötabki inimese manipuleerimise baasil. Tihti mängitakse inimese emotsioonidega, harv ei ole olukord, kus ründaja, mängides kedagi, kes ta ei ole (nt sõber, töökaaslane), kirjutab emailis, et ta läks reisile, teda rööviti-rünnati, ja tal ei ole enam rahagi, et koju tagasi saada. Sellises olukorras on rünnatava inimese usaldus juba võidetud (sest tegemist on ju siiski "vana hea sõbraga") ning inimene ei hakkagi mõtlema, et tegu võiks olla mõne pahatahtliku inimesega, kelle ainuke eesmärk on hoopis sind rahast lagedaks teha.
==Autor==
==Autor==
Gert Sikk A21 2015/2016  
Gert Sikk A21 2015/2016  


Esitamise kuupäev 6.12.2015
Esitamise kuupäev 6.12.2015




Line 10: Line 13:
Esitamise kuupäev 7.12.2016
Esitamise kuupäev 7.12.2016


==Sissejuhatus==
==Tehnikad==
 
'''Social engineering''' on inimeste psüühiline manipuleerimine konfidentsiaalse informatsiooni kätte saamiseks, olgu need siis kasutajanimed, paroolid, pangaandmed. Kuigi enamasti on eesmärgiks saada kätte petta saava inimese hallatav(ad) informatsioon(id), siis tihti on prioriteediks ka saada ligi inimese arvutile, et salaja installida sinna pahavara (lisaks isiklikele andmetele saadakse ka kontroll kasutaja arvuti üle)<ref>[https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering]</ref>. "Kriminaalid" eelistavad tihtipeale just sellist lähenemist, sest inimeste usalduse võitmine on tunduvalt lihtsam, kui ise hakata välja uurima kasutaja paroole ja muud olulist informatsiooni. See erineb tavalisest pettusest selle võrra, et see meetod on enamasti ainult üks osa suurest skeemist, mille jaoks informatsiooni vajatakse.<ref>[http://searchsecurity.techtarget.com/definition/social-engineering]</ref>
 
"Social engineering" töötabki inimese manipuleerimise baasil. Tihti mängitakse inimese emotsioonidega, harv ei ole olukord, kus ründaja, mängides kedagi, kes ta ei ole (nt sõber, töökaaslane), kirjutab emailis, et ta läks reisile, teda rööviti-rünnati, ja tal ei ole enam rahagi, et koju tagasi saada. Sellises olukorras on rünnatava inimese usaldus juba võidetud (sest tegemist on ju siiski "vana hea sõbraga") ning inimene ei hakkagi mõtlema, et tegu võiks olla mõne pahatahtliku inimesega, kelle ainuke eesmärk on hoopis sind rahast lagedaks teha.
 
=Tehnikad=


Social engineeringus on väga palju erinevaid nippe, mis on loodud arvestades inimese otsuse tegemist. Neid on ka kutsutud, kui "bugs in the human hardware" ehk inimese tarkvaras esinevaid vigu. Kõige tavapärasem on telefoni teel läbiviidud pettused. <ref>Jaco, K: "CSEPS Course Workbook" (2004); Peatükk 3 Jacob Security Publishing</ref>
Social engineeringus on väga palju erinevaid nippe, mis on loodud arvestades inimese otsuse tegemist. Neid on ka kutsutud, kui "bugs in the human hardware" ehk inimese tarkvaras esinevaid vigu. Kõige tavapärasem on telefoni teel läbiviidud pettused. <ref>Jaco, K: "CSEPS Course Workbook" (2004); Peatükk 3 Jacob Security Publishing</ref>


===Phishing===
===Phishing===
''Phishing'' (tuleneb sõnadest "password" ja "fishing") on tõenäoliselt kõige populaarsem social engineeringu tehnikatest (umbes 91% kõikidest informatsiooni väljapetmistest on ''phishing''-tüüpi)<ref>[https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack] </ref>.  
''Phishing'' (tuleneb sõnadest "password" ja "fishing") on tõenäoliselt kõige populaarsem social engineeringu tehnikatest (umbes 91% kõikidest informatsiooni väljapetmistest on ''phishing''-tüüpi)<ref>https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack</ref>.  


 
Phishing on siis meetod, kus saadetake e-mail ning nähakse usutava firmana olgu selleks siis pank ja nii edasi. E-mailis on olemas link, mis viib lehele, mis näeb välja nagu selle firma enda koduleht koos logodega. Ainuke vahe on nendel lehtedel URL aadressid, mida tuleks jälgida. Sellel lehel soovitakse tavaliselt saada teie panga andmeid, näiteks sisestage oma PIN-kood siia lahtsisse.<ref>https://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx</ref>
 
 
'''Phishing''' on siis meetod, kus saadetake e-mail ning nähakse usutava firmana olgu selleks siis pank ja nii edasi. E-mailis on olemas link, mis viib lehele, mis näeb välja nagu selle firma enda koduleht koos logodega. Ainuke vahe on nendel lehtedel URL aadressid, mida tuleks jälgida. Sellel lehel soovitakse tavaliselt saada teie panga andmeid, näiteks sisestage oma PIN-kood siia lahtsisse.[https://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx]


===Pretexting===
===Pretexting===
'''Pretexting''' on pettus läbi välja mõeldud sündmuste, et võita sihtmärgi usaldust, mis tõttu temal oleks suurem võimalus paljastada salastatud infot. Selleks on vaja ettevalmistust ja infot koguda, et jutt oleks võimalikult usutav sihtmärgile. Selleks kasutatakse tavaliselt isiklike andmeid, mida keegi peale peale inimese ise ja selle firma/isiku ei peaks teadma, kellena esinetakse.[http://www.social-engineer.org/framework/influencing-others/pretexting/]
Pretexting on pettus läbi välja mõeldud sündmuste, et võita sihtmärgi usaldust, mis tõttu temal oleks suurem võimalus paljastada salastatud infot. Selleks on vaja ettevalmistust ja infot koguda, et jutt oleks võimalikult usutav sihtmärgile. Selleks kasutatakse tavaliselt isiklike andmeid, mida keegi peale peale inimese ise ja selle firma/isiku ei peaks teadma, kellena esinetakse.<ref>http://www.social-engineer.org/framework/influencing-others/pretexting/</ref>


===Diversion theft===
===Diversion theft===
'''Diversion theft''' on transpordi ja kuller teenuste vastu suunatud pettus. Inimene, kes on vastutav kohale viimise eest, räägitakse ära, et see saadetis peab jõudma hoopis teise asukohta.[http://www.symantec.com/connect/blogs/what-social-engineering]
Diversion theft on transpordi ja kuller teenuste vastu suunatud pettus. Inimene, kes on vastutav kohale viimise eest, räägitakse ära, et see saadetis peab jõudma hoopis teise asukohta.<ref>http://www.symantec.com/connect/blogs/what-social-engineering</ref>
 
 


===Baiting===
===Baiting===
'''Baiting''' on selline meetod, kus kasutatakse ära heatahtlikust või uudishimu. Selle meetodi puhul jäetakse firmasse nähtavasse kohte USB mälupulk, millel on viirus peal ehk, kui keegi selle arvutisse sisestab, siis see automaatselt nakatab võrgu, mille kaudu on võimalik süsteemidesse sisse saada.[http://www.symantec.com/connect/blogs/what-social-engineering]
Baiting on selline meetod, kus kasutatakse ära heatahtlikust või uudishimu. Selle meetodi puhul jäetakse firmasse nähtavasse kohte USB mälupulk, millel on viirus peal ehk, kui keegi selle arvutisse sisestab, siis see automaatselt nakatab võrgu, mille kaudu on võimalik süsteemidesse sisse saada.<ref>http://www.symantec.com/connect/blogs/what-social-engineering</ref>


===Tailgating===
===Tailgating===
'''Tailgatingu''' puhul on tegemist lihtsalt ootamisega, et saada pääs läbi uste kasutades valveta jäetud uksi, minnes inimese järgi, kellel on pääs ja nii edasi.  
Tailgatingu puhul on tegemist lihtsalt ootamisega, et saada pääs läbi uste kasutades valveta jäetud uksi, minnes inimese järgi, kellel on pääs ja nii edasi.  
[http://www.symantec.com/connect/blogs/what-social-engineering]
<ref>http://www.symantec.com/connect/blogs/what-social-engineering</ref>


==Näited==
==Näited==
'''RSA SecurID Breach'''
===RSA SecurID Breach===
Ründajad saatsid välja 2 Phishing e-maili, kahel erineval päeval ja kahele erinevale töörühmale. Selle e-maili pealkiri oli "2011 Recruitment Plan" ehk 2011 aasta värbamise plaan. See e-mail oli nii hästi koostatud, et üks töötaja võttis selle oma räpsmailist ja laadis alla .xls faili. Selles olnud viirus lõi firma süsteemi tagaukse läbi Adobe Flashi. Selline väike apsakas läks firmale maksma 66 miljonit dollrait. See on üks suuremaid rünnakuid küberkaitse firmade vastu.[http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=3]
Ründajad saatsid välja 2 Phishing e-maili, kahel erineval päeval ja kahele erinevale töörühmale. Selle e-maili pealkiri oli "2011 Recruitment Plan" ehk 2011 aasta värbamise plaan. See e-mail oli nii hästi koostatud, et üks töötaja võttis selle oma räpsmailist ja laadis alla .xls faili. Selles olnud viirus lõi firma süsteemi tagaukse läbi Adobe Flashi. Selline väike apsakas läks firmale maksma 66 miljonit dollrait. See on üks suuremaid rünnakuid küberkaitse firmade vastu.<ref>http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=3</ref>


'''Suur teemanti rööv'''
===Suur teemanti rööv===
Üks mees suutis varastada 21 milljoni dollari väärtuses teemanteid, keset tööaega ning kaduda igaveseks. Tema ainuke relv oli tema sharm. Ta viis telleritele kingitusi ning suutis mingi aja jooksul saada võtme, et teha koopia ning sai infot, kus teemantid asuvad.[http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=5]
Üks mees suutis varastada 21 milljoni dollari väärtuses teemanteid, keset tööaega ning kaduda igaveseks. Tema ainuke relv oli tema sharm. Ta viis telleritele kingitusi ning suutis mingi aja jooksul saada võtme, et teha koopia ning sai infot, kus teemantid asuvad.<ref>http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=5</ref>


==Lisa lugemine==
===Lisa lugemine===
Huvi korral on siin link[http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411], kust saate lugeda tervet artiklit ülal toodud näidete kohta lähemalt ja täpsemalt.
Huvi korral saate lugeda tervet [http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411 artiklit] ülal toodud näidete kohta lähemalt ja täpsemalt.


==Kokkuvõte==
==Kokkuvõte==
'''Social engineering''' on manipuleerimine inimestega, et saada infot või füüsilist ligipääsu kohtadele, kust oleks võimalik saada salastatud informatsiooni firmade kohta.Selleks kasutatakse palju erinevaid meetodeid, millest, üleval pool pikemalt räägiti. Minu arvates on väga kavalad nipid välja mõeldud, et saada infot. See on ka ilmselt parim võimalik viis saada tänapäeval infot, kui vöga palju turvaauke on parandatud ja küberturve nii hästi arenenud, et rünnetele vastu saada.
Social engineering on manipuleerimine inimestega, et saada infot või füüsilist ligipääsu kohtadele, kust oleks võimalik saada salastatud informatsiooni firmade kohta.
 
Selleks kasutatakse palju erinevaid meetodeid, millest, üleval pool pikemalt räägiti. Minu arvates on väga kavalad nipid välja mõeldud, et saada infot.
See on ka ilmselt parim võimalik viis saada tänapäeval infot, kui väga palju turvaauke on parandatud ja küberturve nii hästi arenenud, et rünnetele vastu saada.


==Viited==
==Viited==
 
<references />
1.http://searchsecurity.techtarget.com/definition/social-engineering <br>
2.http://www.social-engineer.org/framework/influencing-others/pretexting/ <br>
3.http://www.symantec.com/connect/blogs/what-social-engineering <br>
4.https://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx <br>
5.http://www.symantec.com/connect/blogs/what-social-engineering <br>
6.http://www.symantec.com/connect/blogs/what-social-engineering <br>
7.http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=3 <br>
8.http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=5 <br>
9.http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411 <br>


[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Revision as of 14:36, 11 October 2016

Social engineering on inimeste psüühiline manipuleerimine konfidentsiaalse informatsiooni kätte saamiseks, olgu need siis kasutajanimed, paroolid, pangaandmed. Kuigi enamasti on eesmärgiks saada kätte petta saava inimese hallatav(ad) informatsioon(id), siis tihti on prioriteediks ka saada ligi inimese arvutile, et salaja installida sinna pahavara (lisaks isiklikele andmetele saadakse ka kontroll kasutaja arvuti üle)[1]. "Kriminaalid" eelistavad tihtipeale just sellist lähenemist, sest inimeste usalduse võitmine on tunduvalt lihtsam, kui ise hakata välja uurima kasutaja paroole ja muud olulist informatsiooni. See erineb tavalisest pettusest selle võrra, et see meetod on enamasti ainult üks osa suurest skeemist, mille jaoks informatsiooni vajatakse.[2]

"Social engineering" töötabki inimese manipuleerimise baasil. Tihti mängitakse inimese emotsioonidega, harv ei ole olukord, kus ründaja, mängides kedagi, kes ta ei ole (nt sõber, töökaaslane), kirjutab emailis, et ta läks reisile, teda rööviti-rünnati, ja tal ei ole enam rahagi, et koju tagasi saada. Sellises olukorras on rünnatava inimese usaldus juba võidetud (sest tegemist on ju siiski "vana hea sõbraga") ning inimene ei hakkagi mõtlema, et tegu võiks olla mõne pahatahtliku inimesega, kelle ainuke eesmärk on hoopis sind rahast lagedaks teha.

Autor

Gert Sikk A21 2015/2016

Esitamise kuupäev 6.12.2015


Triinu Tamm A21 2016/2017

Esitamise kuupäev 7.12.2016

Tehnikad

Social engineeringus on väga palju erinevaid nippe, mis on loodud arvestades inimese otsuse tegemist. Neid on ka kutsutud, kui "bugs in the human hardware" ehk inimese tarkvaras esinevaid vigu. Kõige tavapärasem on telefoni teel läbiviidud pettused. [3]

Phishing

Phishing (tuleneb sõnadest "password" ja "fishing") on tõenäoliselt kõige populaarsem social engineeringu tehnikatest (umbes 91% kõikidest informatsiooni väljapetmistest on phishing-tüüpi)[4].

Phishing on siis meetod, kus saadetake e-mail ning nähakse usutava firmana olgu selleks siis pank ja nii edasi. E-mailis on olemas link, mis viib lehele, mis näeb välja nagu selle firma enda koduleht koos logodega. Ainuke vahe on nendel lehtedel URL aadressid, mida tuleks jälgida. Sellel lehel soovitakse tavaliselt saada teie panga andmeid, näiteks sisestage oma PIN-kood siia lahtsisse.[5]

Pretexting

Pretexting on pettus läbi välja mõeldud sündmuste, et võita sihtmärgi usaldust, mis tõttu temal oleks suurem võimalus paljastada salastatud infot. Selleks on vaja ettevalmistust ja infot koguda, et jutt oleks võimalikult usutav sihtmärgile. Selleks kasutatakse tavaliselt isiklike andmeid, mida keegi peale peale inimese ise ja selle firma/isiku ei peaks teadma, kellena esinetakse.[6]

Diversion theft

Diversion theft on transpordi ja kuller teenuste vastu suunatud pettus. Inimene, kes on vastutav kohale viimise eest, räägitakse ära, et see saadetis peab jõudma hoopis teise asukohta.[7]

Baiting

Baiting on selline meetod, kus kasutatakse ära heatahtlikust või uudishimu. Selle meetodi puhul jäetakse firmasse nähtavasse kohte USB mälupulk, millel on viirus peal ehk, kui keegi selle arvutisse sisestab, siis see automaatselt nakatab võrgu, mille kaudu on võimalik süsteemidesse sisse saada.[8]

Tailgating

Tailgatingu puhul on tegemist lihtsalt ootamisega, et saada pääs läbi uste kasutades valveta jäetud uksi, minnes inimese järgi, kellel on pääs ja nii edasi. [9]

Näited

RSA SecurID Breach

Ründajad saatsid välja 2 Phishing e-maili, kahel erineval päeval ja kahele erinevale töörühmale. Selle e-maili pealkiri oli "2011 Recruitment Plan" ehk 2011 aasta värbamise plaan. See e-mail oli nii hästi koostatud, et üks töötaja võttis selle oma räpsmailist ja laadis alla .xls faili. Selles olnud viirus lõi firma süsteemi tagaukse läbi Adobe Flashi. Selline väike apsakas läks firmale maksma 66 miljonit dollrait. See on üks suuremaid rünnakuid küberkaitse firmade vastu.[10]

Suur teemanti rööv

Üks mees suutis varastada 21 milljoni dollari väärtuses teemanteid, keset tööaega ning kaduda igaveseks. Tema ainuke relv oli tema sharm. Ta viis telleritele kingitusi ning suutis mingi aja jooksul saada võtme, et teha koopia ning sai infot, kus teemantid asuvad.[11]

Lisa lugemine

Huvi korral saate lugeda tervet artiklit ülal toodud näidete kohta lähemalt ja täpsemalt.

Kokkuvõte

Social engineering on manipuleerimine inimestega, et saada infot või füüsilist ligipääsu kohtadele, kust oleks võimalik saada salastatud informatsiooni firmade kohta. Selleks kasutatakse palju erinevaid meetodeid, millest, üleval pool pikemalt räägiti. Minu arvates on väga kavalad nipid välja mõeldud, et saada infot. See on ka ilmselt parim võimalik viis saada tänapäeval infot, kui väga palju turvaauke on parandatud ja küberturve nii hästi arenenud, et rünnetele vastu saada.

Viited