ТЕОРИЯ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ в социальной инженерии Любая информация является секретной, кроме предназначенной для общественного пользования К. Митник Деловой Интернет 2010, ОЦ Загорье
//Как понять? Теория управления информацией с точки зрения социальной инженерии – комплексные знания по использованию минимального объёма информации с целью получения максимально положительного результата Социальная инженерия – методы и технологии использования человеческого фактор с целью манипуляции человеком (группой людей) для получения той или иной выгоды
//Элементы И пр… On-line офис Люди Социальные сети Ключевые элементы Нетворкинг Социальная инженерия Психология Интернет
//Некоторые тактики QUI PRO QUO (что-либо вместо чего либо) Представился другом – расскажут секрет ; ) ПРЕТЕКСТИНГ (готовь сценарий) А B C !!! ФИШИНГ (РЫБАЛКА ; ) ) Забросил удочку и ожидай рыбку БЕЙТИНГ (a-ka троян) В отличие от трояна – целевой ВОЗВРАТНЫЙ МЕХАНИЗМ (обратная социальная инженерия) Добыча засунет ногу в капкан сама, и ещё захлопнуть поможет
//Вероятность атаки Стать объектом атаки может любой, более менее активный пользователь се СОЦИАЛЬНЫЕ СЕТИ (классические) нецеленаправленная атака: 73 -75%% IM, КОММУНИКАТОРЫ нецеленаправленная атака: 80 -85%% БЛОГИ БЛОГПЛАТФОРМЫ нецеленаправленная атака: 7 -8%% КОРПОРАТИВНЫЕ САЙТ нецеленаправленная атака: 0 -0, 03%%
//Угроза высокого уровня Не являются: • Разрыв личных взаимоотношений • Скандалы в семье • Преобладание on-line жизни, над реалом Высокий уровень это: • Утрата конфиденциальной информации • Потеря контроля над личным информационным потоком • Моральная ответственность за безалаберность
//Мы марионетки В руках профессионала, мы всего лишь марионетки, независимо от пола, возраста и тд.
//Пример А: 15 минут Объект: парень, 28 лет, работает в международной строительной компании, из деталей – знаем email (mail. ru) Цель: получение рабочей информации – заказчики, исполнители, личные счета Результат получен через 14 минут фактической работы
//Пример В: 2 недели и 4 дня Объект: филиал банка Цель: получение рабочей информации – заказчики, исполнители, доступ к бухгалтерии На сайте в разделе контакты ФИО специалистов. Объектом выбран с виду молодой IT специалист. Общение с субъектом. Оправданный вариант: вдвоем работают за одним ПК Определение субъекта. Получение дополнительной информации Тематический фейк Работать с субъектом? – РИСК! Работать через родственника? – сестра 16 лет Цель: получить доступ к личному ПК субъекта.
//Пример В: 2 недели и 4 дня Общение с субъектом. Оправданный вариант: вдвоем работают за одним ПК Результат – 80% предоставили логины и пароли от программ банковской бухгалтерии и рабочих ПК Рассылка анкеты из 30+ вопросов, где одним из является вопрос о паролях доступа к рабочему ПК. Получение доверия у субъекта. После – передача заведомо неработающей программы, для, например, «обработки фото» . Предложение установить teamviever. Получение полноценного доступа. Проверка сохраненных паролей в браузере. Поиск почтового клиента. Обнаружение почтового клиента, со списками рассылок, в т. ч. финансовый отдел
//Останови кукловода КОНФЕДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ зачем рассказывать о том, о чем рассказывать не стоит? ПАРОЛИ… храните их в ЗАПАРОЛЕНОМ месте РУКИ ЧЕШУТСЯ ПРОСМОТРЕТЬ СТРАННЫЙ ДИСК? Ну вы же не беретё в рот, что под руки попадет? Не стоит и в ПК совать что попало… ДРУГ ПРИСЛАЛ КЛАССНУЮ ССЫЛКУ? ПО ЕГО СЛОВАМ… Ну хотя бы спросите, что это за ссылка? И ДА, САЙТАХ ЗНАКОМСТВ… …секса на халяву не бывает!
//Кто использует данные технологии Технологии управления информацией могут использовать ВСЕ, независимо от профессии и рода деятельности. В политике, в хакинге, в PR-е, в SMO…
//Вопросы? ! Вопросы задавать:
Скачать презентацию ТЕОРИЯ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ в социальной инженерии Любая информация
f1b1cfade43f76fb6328e1f5131ca605.ppt