Razlika između verzija stranice "Socijalni inženjering (informacijska sigurnost)"
| [pregledana izmjena] | [pregledana izmjena] |
m razne ispravke |
m Vraćene izmjene korisnika 95.168.105.22 (razgovor) na posljednju izmjenu korisnika WumpusBot oznaka: vraćanje |
||
| (Nije prikazana 9 međuverzija 7 korisnika) | |||
| Red 6: | Red 6: | ||
Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.<ref>Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.</ref> |
Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.<ref>Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.</ref> |
||
Društveni inženjering je korišten od strane [[Islamska Država|Islamske Države]] i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi. |
Društveni inženjering je korišten od strane [[Islamska Država|Islamske Države]] i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi.<ref>{{Cite web|url=https://red-goat.com/social-engineering/online-radicalisation-and-se/|title=What online radicalisation can teach you about security|date=27. 2. 2019|website=Red Goat Cyber Security|language=en-US|access-date=26. 2. 2020}}</ref> |
||
== Tehnike i termini == |
== Tehnike i termini == |
||
| Red 52: | Red 52: | ||
* [[Code Shikara (Computer worm)|Code Shikara (Kompjuterski crv)]] |
* [[Code Shikara (Computer worm)|Code Shikara (Kompjuterski crv)]] |
||
* Trik |
* Trik povjerenja |
||
* [[Rizik u informatici|IT rizik]] |
* [[Rizik u informatici|IT rizik]] |
||
* [[Penetration test|Test penetracije]] |
* [[Penetration test|Test penetracije]] |
||
| Red 59: | Red 59: | ||
* [[Piggybacking (sigurnost)]] |
* [[Piggybacking (sigurnost)]] |
||
* [[SMS phishing]] |
* [[SMS phishing]] |
||
* |
*[[Prijetnja (računarstvo)]] |
||
* |
*[[Glasovni phishing]] |
||
* |
*[[Ranjivost (računarstvo)]] |
||
*[[Tavistock institut]] |
|||
== Reference == |
== Reference == |
||
| Red 82: | Red 83: | ||
* [http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics Osnove socijalnog inženjeringa] - ''Securityfocus.com'' . Preuzeto 3. augusta 2009. godine. |
* [http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics Osnove socijalnog inženjeringa] - ''Securityfocus.com'' . Preuzeto 3. augusta 2009. godine. |
||
* {{Cite web|url=http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|title=Social Engineering, the USB Way|date=7. 6. 2006|publisher=Light Reading Inc| |
* {{Cite web|url=http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|title=Social Engineering, the USB Way|date=7. 6. 2006|publisher=Light Reading Inc|archive-url=https://web.archive.org/web/20060713134051/http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|archive-date=13. 7. 2006|access-date=23. 4. 2014}} |
||
* [http://www.darknet.org.uk/2006/03/should-social-engineering-a-part-of-penetration-testing/ Da li socijalni inženjering treba da bude dio testa penetracije?] - ''Darknet.org.uk'' . Preuzeto 3. augusta 2009. godine. |
* [http://www.darknet.org.uk/2006/03/should-social-engineering-a-part-of-penetration-testing/ Da li socijalni inženjering treba da bude dio testa penetracije?] - ''Darknet.org.uk'' . Preuzeto 3. augusta 2009. godine. |
||
* [http://www.epic.org/privacy/iei/sencomtest2806.html "Zaštita telefonskih listinga"], elektronski centar za informacije o privatnosti ''američkog komiteta za trgovinu, nauku i transport'' . Preuzeto 8. februara 2006. godine. |
* [http://www.epic.org/privacy/iei/sencomtest2806.html "Zaštita telefonskih listinga"], elektronski centar za informacije o privatnosti ''američkog komiteta za trgovinu, nauku i transport'' . Preuzeto 8. februara 2006. godine. |
||
* Plotkin, Hal. [https://web.archive.org/web/20061012064802/http://www.plotkin.com/blog-archives/2006/09/memo_to_the_pre.html Memo za štampu: Izgovorje već nedozvoljen] . Preuzeto 9. septembra 2006. godine. |
* Plotkin, Hal. [https://web.archive.org/web/20061012064802/http://www.plotkin.com/blog-archives/2006/09/memo_to_the_pre.html Memo za štampu: Izgovorje već nedozvoljen] . Preuzeto 9. septembra 2006. godine. |
||
* [http://www.msnbc.msn.com/id/21566341/ Striptiz za šifre] - ''MSNBC.'' ''MSN.com'' . Preuzeto 1. novembra 2007. godine. |
* [http://www.msnbc.msn.com/id/21566341/ Striptiz za šifre] {{Webarchive|url=https://web.archive.org/web/20121026040812/http://www.msnbc.msn.com/id/21566341/ |date=26. 10. 2012 }} - ''MSNBC.'' ''MSN.com'' . Preuzeto 1. novembra 2007. godine. |
||
{{Commonscat|Social engineering (computer security)}} |
|||
[[Kategorija:Obmana]] |
[[Kategorija:Obmana]] |
||
Verzija na dan 7 oktobar 2023 u 11:19
Socijalni inženjering, u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.[1]
Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."[2]
Kultura informatičke sigurnosti
Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.[3]
Društveni inženjering je korišten od strane Islamske Države i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi.[4]
Tehnike i termini
Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.[5] Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona.
Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao Robert Cialdini. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica.
- Reciprocitet - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu.
- Posvećenost i dosljednost - Ako se ljudi posevete, usmeno ili pismeno, na ideju ili cilj, veća je vjerovatnoća da će ispuniti tu obvezu jer su izjavili da ta ideja ili cilj odgovara njihovoj slici o sebi. Cialdini ukazuje na pranje mozga američkih ratnih zarobljenika od strane Kineza kako bi im preoblikovali sliku o sebi kako bi od njih dobili suradnju i bez korištenja sile. Još jedan primjer su marketinški stručnjaci prave skočne prozore na internetu, sa porukama kao što su: “Ja ću se kasnije prijaviti” ili “Ne, hvala, ne želim da zarađujem novac”.
- Društveni dokaz - Ljudi će raditi stvari koje vide drugi ljudi. Na primjer, u jednom eksperimentu, jedan ili više saučesnika bi gledali u nebo; ostali posmatrači bi onda pogledali u nebo da vide ima li nešto na nebu što su oni promašili. U jednom trenutku ovaj eksperiment je prekinut, jer je toliko ljudi gledalo gore da su zaustavili saobraćaj.
- Autoritet - Ljudi teže prema tome da poštuju autoritetske figure, čak i ako se od njih traži da izvrše nepoželjne radnje. Cialdini navodi incidente kao što su Milgramovi eksperimenti početkom 1960-ih i Masakr u My Lai .
- Sklonost - Ljudi će prije povjerovati drugim ljudima koje vole. Cialdini citira marketing Tupperwarea što se kasnije može prepoznati kao viralni marketing. Ljudi su bili skloniji kupovini ako im se dopada osoba koja ih prodaje.
- Nedostatak - Percipirani nedostatak nečega stvara potražnju. Na primjer, kada kažu da su ponude dostupne samo za neko "ograničeno vreme", podstiče se prodaja.
Četiri vektora socijalnog inženjeringa
Vishing
Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji.
Phishing
Phishing je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura.
Smishing
Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i phishing, možete kliknuti na zlonamjerni link ili otkriti informacije.
Pretvaranje
Pretvaranje ili stvaranje izgovora da je druga osoba s ciljem fizičkog pristupa sistemu ili zgradi.
Protumjere
Obuka zaposlenih Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti)
Standardni okviri Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije)
Proučavanje informacija Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.)
Sigurnosni protokoli Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama.
Testiranje Izvođenje nenajavljenih, periodičnih testova sigurnosnog okvira.
Inokulacija Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.[6]
Pregled Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.[7]
Također pogledajte
- Code Shikara (Kompjuterski crv)
- Trik povjerenja
- IT rizik
- Test penetracije
- Phishing
- Fizička bezbjednost informacija
- Piggybacking (sigurnost)
- SMS phishing
- Prijetnja (računarstvo)
- Glasovni phishing
- Ranjivost (računarstvo)
- Tavistock institut
Reference
- ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2nd izd.). Indianapolis, IN: Wiley. str. 1040. ISBN 978-0-470-06852-6.
- ^ "Social Engineering Defined - Security Through Education". Security Through Education (jezik: engleski). Pristupljeno 3. 10. 2018.
- ^ Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
- ^ "What online radicalisation can teach you about security". Red Goat Cyber Security (jezik: engleski). 27. 2. 2019. Pristupljeno 26. 2. 2020.
- ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- ^ Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.
- ^ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
Dalje čitanje
- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
- Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
- Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
- Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
- Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9
Vanjski linkovi
- Osnove socijalnog inženjeringa - Securityfocus.com . Preuzeto 3. augusta 2009. godine.
- "Social Engineering, the USB Way". Light Reading Inc. 7. 6. 2006. Arhivirano s originala, 13. 7. 2006. Pristupljeno 23. 4. 2014.
- Da li socijalni inženjering treba da bude dio testa penetracije? - Darknet.org.uk . Preuzeto 3. augusta 2009. godine.
- "Zaštita telefonskih listinga", elektronski centar za informacije o privatnosti američkog komiteta za trgovinu, nauku i transport . Preuzeto 8. februara 2006. godine.
- Plotkin, Hal. Memo za štampu: Izgovorje već nedozvoljen . Preuzeto 9. septembra 2006. godine.
- Striptiz za šifre Arhivirano 26. 10. 2012. na Wayback Machine - MSNBC. MSN.com . Preuzeto 1. novembra 2007. godine.
