についてたくさん書いてきましたソーシャルエンジニアリング、他の場所でも読んだことがあるかもしれません。ソーシャル エンジニアリングとは、ソーシャル エンジニア (つまりハッカー) がキーボードに触れる必要さえなく機密データを取得できる手法です。方法はさまざまであり、数え上げるのは困難です。少し勉強したところ、以下に示すように、これらの方法をさまざまな見出しに分類できることがわかりました。この記事では、数多くの方法のうち、トップ 5 について説明します。ソーシャルエンジニアリングの一般的な手法。
ソーシャルエンジニアリングの手法
について触れていましたが、ソーシャルエンジニアリング技術以前。この記事は、リンクされた記事の続きとして考えることができます。以下は最もよく使用される方法です。ただし、ソーシャルエンジニアリングされたマルウェア。
自信を得る
ソーシャル エンジニアリングで最もよく使用される手法は、対象となる企業の従業員の信頼を獲得することです。この記事の他の見出しもこのカテゴリに当てはまりますが、詳細を説明できるように個別に書きました。
友達や信頼できる人たちには、どんなことでも話すことができます。問題が発生した場合は、彼らに連絡して、困っていることを何でも伝えます。そして、そのようなときに、相手があなたに質問をしたとしても、答える前に、なぜその人がその質問をしているのかを考え直すことはありません。ソーシャル エンジニアは人間の感情を操作し、それを利用して必要なデータや情報を取得します。
最も簡単な方法は、権威を装うことです。ソーシャル エンジニアが偽の身元を証明し、ユーザーを信頼させるために偽の ID カードを使用するのはよくあることです。一度彼らの罠に陥ると、彼らは望むあらゆる種類の情報を簡単に入手してしまいます。
このテーマについて私が読んだところによると、ほとんどのソーシャル エンジニアは、あなたが会社で働くために何らかの問題に直面しており、彼らがあなたを助けようとしていると示します。恐怖に陥ったとき、あなたはオウムのように話し、彼らに必要な情報を与えます。
あるウェブサイトには、怒りを持って行動すると、他の人があなたの行為に服従するようになる、と書かれていました。私は心理学者ではないので完全にはわかりませんが、知りたい方のためにここで言及しておきます。通常、ソーシャル エンジニアは怒りを装って情報を扱う部門に向かうと言われています。人々は怒りを避けたいと思っていますが、あなたが怒っているのを見ても止めはしません。それは、怒っている人に対処する代わりに、距離を置いて気分を安定させようとするあなたの側の試みです。この記事では、カップルがアルコールの入ったボトルをこっそり公園に持ち込もうとしたとき、警備員が彼らを呼び寄せたため、そのカップルは怒った態度をとり、ただ警備員が彼らを呼び寄せただけで、フリスクゾーンを迂回したという例を挙げています。これがどの程度効果があるのかはわかりませんが、どうやら可能性はあるようです。いくつかのロジック。それが本当なら、顧客がどのように行動しているかに関係なく、ルールを守るように警備員に伝えるべきです。そのうちの 1 人は単なるソーシャル エンジニアかもしれません。
友達を作ることも人気のある方法です。これについては次のセクションで説明します。
ソーシャル エンジニアリングに水場を使用する
友達はどこでも作れますが、大切な人の水飲み場(バーやパブなど)についていくのが自信を得る最良の方法です。このような場所では、あなたが彼らを挑発すると、人々は通常よく話します。彼らはそこでくつろぐので、話したり、感情を吐き出したりする必要があります。彼らがあなたに何度も会えば、あなたのことをもっと知りたいと思うのは当然です。そして、このシナリオでは、彼らの信頼を得るのは非常に簡単です。相手に自信を持てたら、会話を相手の職場に誘導するだけで、必要な情報を得ることができます。
データを取得するためのインタビューの使用
ソーシャルエンジニアリングのその他の人気手法の中でも、対象となる企業の面接に同席することも目立っています。面接官はあなたに質問をした後、質問を受ける準備ができています。会社のことや強みなどを一般的な質問として聞くことができます。ただし、面接パネルの信頼を得ることができた場合は、必要な情報を提供する質問をすることもできます。会社の業績や、あなたが確信している注文をどのようにして獲得したか、そのようなことに関する質問である可能性があります。彼らにとって、あなたはただの正直な取材対象者ですが、実際には情報収集を目的としてそこに行ったのです。
ソーシャルエンジニアリングの雇用
場合によっては、ソーシャル エンジニアがターゲット企業に就職して、必要な情報を掘り出すこともあります。ソーシャル エンジニアの中には、面接だけで必要な情報を得るのに十分な人もいますが、より大きな計画を立てて就職に向けて取り組む人もいます。彼らは従業員であるため、自分の議題に使用する会社の機械にアクセスできます。
彼らはトレーニングを利用して、対象となるビジネスがどのように機能しているかを知ることになります。そうすれば、彼らには友達になれる同僚ができるでしょう。彼らはタバコを吸ったり、休憩したり、場合によっては勤務時間後も一緒に過ごします。最善の方法は、自分の役割について話し、相手に話をしてもらうことです。最初に簡単な質問をしてから、必要な情報に進みます。
この種のソーシャル エンジニアは、長期間にわたり、自分の主人や雇った人に情報を提供できます。従業員である彼らは、ある部門から別の部門に移動することもでき、あたかも理解していないか、プロセスのやり方に満足していないかのように、特定のプロセスの機能について質問を投げかけ、マネージャーを口説くかもしれません。動作します。そうなると、マネージャーがプロセスについて話し、知らず知らずのうちにソーシャル エンジニアに情報を提供してしまうことになります。
ハニー トラップ: ソーシャル エンジニアリングのテクニック
これは、リスクが高い場合によく使用されるソーシャル エンジニアリング手法の 1 つです。私が見たインド首相の暗殺についての映画によると、通常、男性は女性に比べてハニートラップにかかりやすいそうです。この方法はサードパーティを利用するため、コストがかかる可能性があります。また、閉じ込められた人は、残りの人生で罪悪感を背負うことになるのは言うまでもなく、絶え間ない恐怖とストレスの下で生きることになるため、それはかなり悪いことです。
この危険な方法は次の手順で説明できます。
- 対象企業内で優れたインサイダー情報を持っている人物を特定する
- 人を誘惑する高級売春婦を雇う
- 彼らが演技しているときにそれを撮影してください
- フィルムを使って閉じ込められた人を脅迫する
最近のインドのパタンコート空軍基地(2016年)のテロ攻撃でも同じ手法が使われた。映画/ビデオはソーシャル エンジニアと一緒にあるため、その人は欲しいものは何でも手に入れることができます。彼らは、閉じ込められた人に、決してやろうとも思わないことをさせることさえできます。場合によっては、ストレスと罪悪感が非常に高くなり、閉じ込められた人は自殺する可能性があります。
ハニートラップの場合、従業員を教育する以外にできることはあまりありません。しかし、それは人間の基本的な傾向に影響するため、保証された解決策ではありません。同様に、上記のソーシャル エンジニアリングの手法に対して 100% のファイアウォールはありません。人々は間違いを犯しますが、そこからソーシャル エンジニアが利益を得ます。できるのは教育することだけで、従業員が理解してくれればそれでいいのですが、そうしないと従業員自身だけでなく会社もソーシャルエンジニアリングの危険にさらされることになります。
