Razlika između verzija stranice "Socijalni inženjering (informacijska sigurnost)"
| [pregledana izmjena] | [pregledana izmjena] |
Uklonjeni sadržaj Dodani sadržaj
m →Vanjski linkovi: uklanjanje deadurl=yes prema postavkama modula za reference |
m razne ispravke |
||
| Red 1: | Red 1: | ||
| ⚫ | '''Socijalni inženjering''', u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.<ref>{{Cite book|url=https://books.google.com/books?id=ILaY4jBWXfcC|title=Security engineering: a guide to building dependable distributed systems|last=Anderson|first=Ross J.|publisher=Wiley|year=2008|isbn=978-0-470-06852-6|edition=2nd|location=Indianapolis, IN|page=1040|author-link=Ross J. Anderson}}</ref> |
||
| ⚫ | Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."<ref>{{Cite news|url=https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/|title=Social Engineering Defined - Security Through Education|work=Security Through Education|language=en-US|access-date=3. 10. 2018}}</ref> |
||
| ⚫ | '''Socijalni inženjering''', u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.<ref>{{Cite book|url=https://books.google.com/books?id=ILaY4jBWXfcC|title=Security engineering: a guide to building dependable distributed systems|last=Anderson|first=Ross J.|publisher=Wiley|year=2008|isbn=978-0-470-06852-6|edition=2nd|location=Indianapolis, IN|page=1040|author-link=Ross J. Anderson}}</ref> |
||
| ⚫ | Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."<ref>{{Cite news|url=https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/|title=Social Engineering Defined - Security Through Education|work=Security Through Education|language=en-US|access-date= |
||
== Kultura informatičke sigurnosti == |
== Kultura informatičke sigurnosti == |
||
Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.<ref>Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.</ref> |
Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.<ref>Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.</ref> |
||
Društveni inženjering je korišten od strane [[Islamska Država|Islamske Države]] i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi. |
Društveni inženjering je korišten od strane [[Islamska Država|Islamske Države]] i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi. |
||
== Tehnike i termini == |
== Tehnike i termini == |
||
Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.<ref>Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.</ref> Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona. |
Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.<ref>Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.</ref> Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona. |
||
Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao [[Robert Cialdini]]. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica. |
Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao [[Robert Cialdini]]. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica. |
||
#'''Reciprocitet''' - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu. |
#'''Reciprocitet''' - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu. |
||
| Red 24: | Red 23: | ||
==== Vishing ==== |
==== Vishing ==== |
||
Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji. |
Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji. |
||
==== Phishing ==== |
==== Phishing ==== |
||
[[Phishing]] je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura. |
[[Phishing]] je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura. |
||
==== Smishing ==== |
==== Smishing ==== |
||
Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i [[phishing]], možete kliknuti na zlonamjerni link ili otkriti informacije. |
Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i [[phishing]], možete kliknuti na zlonamjerni link ili otkriti informacije. |
||
==== Pretvaranje ==== |
==== Pretvaranje ==== |
||
Pretvaranje ili stvaranje izgovora da je druga osoba s ciljem fizičkog pristupa sistemu ili zgradi. |
Pretvaranje ili stvaranje izgovora da je druga osoba s ciljem fizičkog pristupa sistemu ili zgradi. |
||
== Protumjere == |
== Protumjere == |
||
'''Obuka zaposlenih''' Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti) |
'''Obuka zaposlenih''' Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti) |
||
'''Standardni okviri''' Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije) |
'''Standardni okviri''' Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije) |
||
'''Proučavanje informacija''' Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.) |
'''Proučavanje informacija''' Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.) |
||
'''Sigurnosni protokoli''' Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama. |
'''Sigurnosni protokoli''' Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama. |
||
'''Testiranje''' Izvođenje nenajavljenih, periodičnih testova sigurnosnog okvira. |
'''Testiranje''' Izvođenje nenajavljenih, periodičnih testova sigurnosnog okvira. |
||
'''Inokulacija''' Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.<ref>Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.</ref> |
'''Inokulacija''' Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.<ref>Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.</ref> |
||
'''Pregled''' Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.<ref>Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.</ref> |
'''Pregled''' Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.<ref>Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.</ref> |
||
== Također pogledajte == |
== Također pogledajte == |
||
| Red 62: | Red 61: | ||
* Prijetnja (računarstvo) |
* Prijetnja (računarstvo) |
||
* Glasovni phishing |
* Glasovni phishing |
||
* Ranjivost (računarstvo) |
* Ranjivost (računarstvo) |
||
== Reference == |
== Reference == |
||
| Red 83: | Red 82: | ||
* [http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics Osnove socijalnog inženjeringa] - ''Securityfocus.com'' . Preuzeto 3. augusta 2009. godine. |
* [http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics Osnove socijalnog inženjeringa] - ''Securityfocus.com'' . Preuzeto 3. augusta 2009. godine. |
||
* {{Cite web|url=http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|title=Social Engineering, the USB Way|date=7 |
* {{Cite web|url=http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|title=Social Engineering, the USB Way|date=7. 6. 2006|publisher=Light Reading Inc|archiveurl=https://web.archive.org/web/20060713134051/http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1|archivedate=13. 7. 2006|accessdate=23. 4. 2014}} |
||
* [http://www.darknet.org.uk/2006/03/should-social-engineering-a-part-of-penetration-testing/ Da li socijalni inženjering treba da bude dio testa penetracije?] - ''Darknet.org.uk'' . Preuzeto 3. augusta 2009. godine. |
* [http://www.darknet.org.uk/2006/03/should-social-engineering-a-part-of-penetration-testing/ Da li socijalni inženjering treba da bude dio testa penetracije?] - ''Darknet.org.uk'' . Preuzeto 3. augusta 2009. godine. |
||
* [http://www.epic.org/privacy/iei/sencomtest2806.html "Zaštita telefonskih listinga"], elektronski centar za informacije o privatnosti ''američkog komiteta za trgovinu, nauku i transport'' . Preuzeto 8. februara 2006. godine. |
* [http://www.epic.org/privacy/iei/sencomtest2806.html "Zaštita telefonskih listinga"], elektronski centar za informacije o privatnosti ''američkog komiteta za trgovinu, nauku i transport'' . Preuzeto 8. februara 2006. godine. |
||
* Plotkin, Hal. [https://web.archive.org/web/20061012064802/http://www.plotkin.com/blog-archives/2006/09/memo_to_the_pre.html Memo za štampu: Izgovorje već nedozvoljen] . Preuzeto 9. septembra 2006. godine. |
* Plotkin, Hal. [https://web.archive.org/web/20061012064802/http://www.plotkin.com/blog-archives/2006/09/memo_to_the_pre.html Memo za štampu: Izgovorje već nedozvoljen] . Preuzeto 9. septembra 2006. godine. |
||
* [http://www.msnbc.msn.com/id/21566341/ Striptiz za šifre] - ''MSNBC.'' ''MSN.com'' . Preuzeto 1. novembra 2007. godine. |
* [http://www.msnbc.msn.com/id/21566341/ Striptiz za šifre] - ''MSNBC.'' ''MSN.com'' . Preuzeto 1. novembra 2007. godine. |
||
[[Kategorija:Obmana]] |
[[Kategorija:Obmana]] |
||
[[Kategorija:Pages with unreviewed translations]] |
[[Kategorija:Pages with unreviewed translations]] |
||
Verzija na dan 18 februar 2020 u 21:42
Socijalni inženjering, u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.[1]
Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."[2]
Kultura informatičke sigurnosti
Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.[3]
Društveni inženjering je korišten od strane Islamske Države i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi.
Tehnike i termini
Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.[4] Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona.
Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao Robert Cialdini. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica.
- Reciprocitet - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu.
- Posvećenost i dosljednost - Ako se ljudi posevete, usmeno ili pismeno, na ideju ili cilj, veća je vjerovatnoća da će ispuniti tu obvezu jer su izjavili da ta ideja ili cilj odgovara njihovoj slici o sebi. Cialdini ukazuje na pranje mozga američkih ratnih zarobljenika od strane Kineza kako bi im preoblikovali sliku o sebi kako bi od njih dobili suradnju i bez korištenja sile. Još jedan primjer su marketinški stručnjaci prave skočne prozore na internetu, sa porukama kao što su: “Ja ću se kasnije prijaviti” ili “Ne, hvala, ne želim da zarađujem novac”.
- Društveni dokaz - Ljudi će raditi stvari koje vide drugi ljudi. Na primjer, u jednom eksperimentu, jedan ili više saučesnika bi gledali u nebo; ostali posmatrači bi onda pogledali u nebo da vide ima li nešto na nebu što su oni promašili. U jednom trenutku ovaj eksperiment je prekinut, jer je toliko ljudi gledalo gore da su zaustavili saobraćaj.
- Autoritet - Ljudi teže prema tome da poštuju autoritetske figure, čak i ako se od njih traži da izvrše nepoželjne radnje. Cialdini navodi incidente kao što su Milgramovi eksperimenti početkom 1960-ih i Masakr u My Lai .
- Sklonost - Ljudi će prije povjerovati drugim ljudima koje vole. Cialdini citira marketing Tupperwarea što se kasnije može prepoznati kao viralni marketing. Ljudi su bili skloniji kupovini ako im se dopada osoba koja ih prodaje.
- Nedostatak - Percipirani nedostatak nečega stvara potražnju. Na primjer, kada kažu da su ponude dostupne samo za neko "ograničeno vreme", podstiče se prodaja.
Četiri vektora socijalnog inženjeringa
Vishing
Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji.
Phishing
Phishing je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura.
Smishing
Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i phishing, možete kliknuti na zlonamjerni link ili otkriti informacije.
Pretvaranje
Pretvaranje ili stvaranje izgovora da je druga osoba s ciljem fizičkog pristupa sistemu ili zgradi.
Protumjere
Obuka zaposlenih Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti)
Standardni okviri Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije)
Proučavanje informacija Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.)
Sigurnosni protokoli Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama.
Testiranje Izvođenje nenajavljenih, periodičnih testova sigurnosnog okvira.
Inokulacija Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.[5]
Pregled Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.[6]
Također pogledajte
- Code Shikara (Kompjuterski crv)
- Trik poverenja
- IT rizik
- Test penetracije
- Phishing
- Fizička bezbjednost informacija
- Piggybacking (sigurnost)
- SMS phishing
- Prijetnja (računarstvo)
- Glasovni phishing
- Ranjivost (računarstvo)
Reference
- ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2nd izd.). Indianapolis, IN: Wiley. str. 1040. ISBN 978-0-470-06852-6.
- ^ "Social Engineering Defined - Security Through Education". Security Through Education (jezik: engleski). Pristupljeno 3. 10. 2018.
- ^ Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
- ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- ^ Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.
- ^ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
Dalje čitanje
- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
- Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks EICAR Conference.
- Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
- Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
- Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9
Vanjski linkovi
- Osnove socijalnog inženjeringa - Securityfocus.com . Preuzeto 3. augusta 2009. godine.
- "Social Engineering, the USB Way". Light Reading Inc. 7. 6. 2006. Arhivirano s originala, 13. 7. 2006. Pristupljeno 23. 4. 2014. CS1 održavanje: nepreporučeni parametar (link)
- Da li socijalni inženjering treba da bude dio testa penetracije? - Darknet.org.uk . Preuzeto 3. augusta 2009. godine.
- "Zaštita telefonskih listinga", elektronski centar za informacije o privatnosti američkog komiteta za trgovinu, nauku i transport . Preuzeto 8. februara 2006. godine.
- Plotkin, Hal. Memo za štampu: Izgovorje već nedozvoljen . Preuzeto 9. septembra 2006. godine.
- Striptiz za šifre - MSNBC. MSN.com . Preuzeto 1. novembra 2007. godine.