Վիքիպեդիա

Մասնակից:Siriusnal.21/Ավազարկղ

< Մասնակից:Siriusnal.21

Սոցիալական ինժեներություն, տեղեկատվական անվտանգության համատեքստում մարդկանց հանդեպ հոգեբանական մանիպուլյացիոն գործողություններ կատարելու կամ գաղտնի տեղեկությունները բաժանելու գործընթաց: Սա տարբերվում է սոցիալական գիտությունների մաս կազմող սոցիալական ինժեներիայից, որը որևէ կապ չունի գաղտնի տեղեկատվության բաժանման հետ: Լինելով վստահություն շահելու հնարք՝ տեղեկատվության հավաքման, խարդախության կամ համակարգ մուտք գործելու նպատակով, այն տարբերվում է ավանդական «խարդախությունից» նրանով, որ այն հաճախ խարդախությունների ավելի բարդ սխեմայի բազմաթիվ քայլերից մեկն է:

Այն սահմանվել է նաև որպես «ցանկացած գործողություն, որի ազդեցության տակ մարդը կարող է կատարել այնպիսի գործողություններ, որոնք կարող են բխել կամ չբխել իրենց շահերից »:

Տեղեկատվական անվտանգության մշակույթ

խմբագրել

Աշխատակիցների վարքը կարող է մեծ ազդեցություն ունենալ կազմակերպություններում տեղեկատվական անվտանգության վրա: Մշակութային հասկացությունները կարող են օգնել կազմակերպության տարբեր հատվածներին արդյունավետ աշխատել կամ էլ աշխատել կազմակերպության ներսում տեղեկատվական անվտանգությանն ուղղված արդյունավետության դեմ: «Կազմակերպության մշակույթի և տեղեկատվական անվտանգության մշակույթի միջև փոխհարաբերությունների ուսումնասիրումը» տալիս է տեղեկատվական անվտանգության մշակույթի հետևյալ սահմանումը. «ՏԱՄ-ն կազմակերպությունում վարքագծի ձևերի ամբողջությունն է, որը նպաստում է բոլոր տեսակի տեղեկատվության պաշտպանությանը»:

Անդերսոնը և Ռեյմերսը (2014) պարզել են, որ աշխատակիցները հաճախ իրենց չեն համարում կազմակերպության Տեղեկատվական անվտանգության «ջանքերի» մաս և հաճախ այնպիսի գործողություններ են ձեռնարկում, որոնք անտեսում են կազմակերպչական տեղեկատվական անվտանգության լավագույնս դրսևորվող շահերը: Հետազոտությունները ցույց են տալիս, որ տեղեկատվական անվտանգության մշակույթը պետք է անընդմեջ բարելավվի: «Տեղեկատվական անվտանգության մշակույթի վերլուծությունից մինչև փոփոխություն» հոդվածում հեղինակները մեկնաբանում են, որ «այն երբեք չավարտվող գործընթաց է, գնահատման և փոփոխությունների կամ պահպանման փուլ»: Նրանք առաջարկում են տեղեկատվական անվտանգության մշակույթը կառավարելու համար կատարել անհրաժեշտ հինգ քայլ՝ նախնական գնահատում, ռազմավարության պլանավորում, օպերատիվ պլանավորում, իրականացում և հետագա գնահատում:

  • Նախնական գնահատում. Աշխատակիցների շրջանում տեղեկատվական անվտանգության տեղեկացվածությունը պարզելու և անվտանգության ներկայիս քաղաքականությունը վերլուծելու համար:
  • Ռազմավարության պլանավորում. Ավելի լավ իրազեկման ծրագիր մշակելու համար մենք պետք է հստակ նպատակներ դնենք: Մարդկանց խմբավորումը օգտակար է դրան հասնելու համար:
  • Օպերատիվ պլանավորում. Ստեղծել լավ անվտանգության մշակույթ՝ հիմնվելով ներքին հաղորդակցության, կառավարման-գնումների և անվտանգության իրազեկման ու վերապատրաստման ծրագրի վրա:
  • Իրականացում. Տեղեկատվական անվտանգության մշակույթի իրականացման համար պետք է օգտագործվի չորս փուլ: Դրանք կառավարման պարտավորություններն են, կազմակերպչության անդամների հետ շփումը, կազմակերպչության բոլոր անդամների համար դասընթացները և աշխատակիցների նվիրվածությունը:

Մեթոդներ և պայմաններ

խմբագրել

Սոցիալական ինժեներության բոլոր մեթոդները հիմնված են մարդու որոշումների կայացման հատուկ հատկանիշների վրա, որոնք հայտնի են որպես ճանաչողական կենտրոնացումներ: Այս կենտրոնացումները, որոնք երբեմն կոչվում են «մարդկային ապարատների սխալներ», օգտագործվում են տարբեր կոմբինացիաներում՝ հարձակման տեխնիկայի ստեղծման նպատակով, որոնցից մի քանիսը ներկայացված են ստորև: Սոցիալական ինժեներության մեջ օգտագործված հարձակումները աշխատակիցների գաղտնի տեղեկությունները գողանալու համար են: Սոցիալական ինժեներության ամենատարածված տեսակը կատարվում է հեռախոսի միջոցով: Սոցիալական ինժեներույան մեկ այլ օրինակ են հանդիսանում հանցագործները, որոնք իրենց ներկայացնում են որպես հրշեջներ, տեխնիկներ, որոնք ընկերության գաղտնիքները գողանալիս աննկատ են մնում։

Սոցիալական ինժեներության մեկ այլ օրինակ է այն անհատը, որը շրջում է շենքերում և պաշտոնական հայտարարություններ ավելացնում ընկերության տեղեկագրում, որում ասվում է, որ տեղեկատուի հեռախոսահամարը փոխվել է: Այսպիսով, երբ աշխատակիցները օգնության կարիք են ունենում, անհատը նրանցից խնդրում է իրենց գաղտնաբառերն ու ID-ները` այդպիսով ձեռք բերելով ընկերության անձնական տեղեկատվություն մուտք ունենալու հնարավորություն: Սոցիալական ինժեներության մեկ այլ օրինակ է, երբ հաքերը դիմում է թիրախին սոցիալական ցանցի միջոցով և զրույցի բռնվում նրա հետ։ Աստիճանաբար հաքերը ձեռք է բերում թիրախի վստահությունը և այնուհետև օգտագործում այդ փաստը այնպիսի գաղտնի տեղեկություներ ստանալու համար, ինչպիսիք են գաղտնաբառը կամ բանկային հաշվի մանրամասները:

Սոցիալական ինժեներությունը մեծապես կախված է Ռոբերտ Սիալդինիի կողմից հաստատված ազդեցության 6 սկզբունքներից: Սիալդինիի ազդեցության տեսությունը հիմնված է վեց հիմնական սկզբունքների վրա` փոխադարձություն, նվիրվածություն և հետևողականություն, սոցիալական ապացույց, հեղինակություն, ընկերություն, սակավություն:

Վեց հիմնական սկզբունքներ

խմբագրել
  1. Փոխադարձություն - Մարդիկ, որպես կանոն, փոխադարձ ծառայություն են մատուցում, այդ պատճառով էլ մարկետինգում ավելանում են անվճար նմուշները։ Իր գիտաժողովներում նա հաճախ օգտագործում է Եթովպիայի օրինակը, որը հազարավոր դոլարների մարդասիրական օգնություն է ցուցաբերում Մեքսիկային 1985 թվականի երկրաշարժից ի վեր, չնայած այն ժամանակ Եթովպիան տառապում էր կոտորածից, սովից և քաղաքացիական պատերազմից: Եթովպիան վերսկսում էր Մեքսիկայի դիվանագիտական աջակցությունը, երբ 1935 թվականին Իտալիան ներխուժեց Եթովպիա: Լավ/վատ ոստիակն ռազմավարությունը նույնպես հիմնված է այս սկզբունքի վրա:
  2. Պարտավորվածություն և հետևողականություն - Եթե մարդիկ պարտավորվում են, բանավոր կամ գրավոր, կատարել որևէ գաղափար կամ նպատակ, ապա նրանք ավելի հավանական է, որ հարգեն այդ հանձնառությունը, քանի որ նրանք հայտարարել են, որ այդ գաղափարը կամ նպատակը համապատասխանում է իրենց ինքնապատկերացմանը։ Նույնիսկ եթե սկզբնական խթանը կամ շարժառիթը դուրս է մղվում, բայց նրանք արդեն պայմանավորված են լինում, շարունակում են հետևելլ համաձայնագրի պայմաններին: Սիալդինին նշում է, որ չինացիները «լվանում են» ամերիկացի ռազմագերիների ուղեղները, որպեսզի նորից ստեղծեն նրանց ինքնապատկերացումը և ավտոմատ կերպով պարտադրեն հնազանդվել: Մեկ այլ օրինակ են այն շուկայագետները, ովքեր ստիպում են օգտատիրոջը փակել ընտրացանկի պատուհանը՝ ասելով «Հետո կստորագրեմ» կամ «Շնորհակալ եմ, ես չեմ ուզում գումար վաստակել»։
  3. Սոցիալական ապացույց - Մարդիկ անում են այն, ինչ տեսանելի է մյուսներին։ Օրինակ, փորձի ընթացքում եթե դաշնակիցներից մեկը կամ երկուսը նայեին երկնքին, անցորդները նույնպես կնայեին երկնքին՝ տեսնելու համար, թե ինչն այն չէ։ Այս փորձը ինչ-որ առումով ձախողվեց, քանի որ այնքան մարդ էր նայում երկնքին, որ երթևեկությունը կանգ էր առել։ Տե՛ս, կոնֆորմիզմ և Աշի գիտափորձ։
  4. Իշխանություն - Մարդիկ հնազանդվում են հեղինակավոր անձանց, նույնիսկ եթե նրանց խնդրում են կատարել առարկայական գործողություններ: Սիալդինին վկայակոչում է այնպիսի դեպքեր, ինչպիսիք են 1960-ականների սկզբին կատարված Միլգրամի փորձերը և Մայ Լայի կոտորածը:
  5. Ընկերությու - Մարդկանց ավելի հեշտ է համոզել այն մարդկանց օգնությամբ, ում հավանում են: Սիալդինին վկայակոչում է Tupperware-ի մարկետինգը, որն այժմ կարելի է անվանել վիրուսային մարկետինգ: Ավելի հավանական է, որ մարդիկ ապրանք կգնեն այն մարդուց, ում հավանում են։ Կողմնակալությունների որոշ մասը վերաբերվում է գրավիչ մարդկանց։ Տե՛ս, արտաքին գրավչության կարծրատիպ։
  6. Սակավություն - Սակավության ընկալումն առաջ է բերում պահանջարկ։ Օրինակ, երբ ասվում է, որ առաջարկները հասանելի են «սահմանափակ ժամկետով», դա միայն խթանում է առևտուրը։

Սոցիալական ինժեներիայի չորս վեկտորներ

խմբագրել

Վիշինգ

խմբագրել

Վիշինգը, այլ կերպ ասած «ձայնային ալիքների որսը», հանդիսանում է սոցիալական ինժեներութանը հեռախոսային համակարգում հանրային վայրից անձնական և ֆինանսական տեղեկատվություն ստանալու համար օգտագործվող հանցավոր պրակտիկա՝ ֆինանսական հատուցում ստանալու նպատակով: Այն նաև հարձակվողների կողմից օգտագործվում է հետախուզական նպատակներով՝ թիրախ կազմակերպության վերաբերյալ ավելի մանրամասն տեղեկություն հավաքելու համար:

Ֆիշինգ

խմբագրել

Ֆիշինգը մասնավոր տեղեկատվությունը խարդախորեն ձեռք բերելու տեխնիկա է: Սովորաբար, ֆիշերը էլեկտրոնային փոստով հաղորդագրություն է ուղարկում, որը, ըստ երևույթին, ստացվում է օրինական կառույցից՝ բանկից կամ վարկային քարտերի ընկերությունից, որում խնդրվում է «ստուգել» տեղեկատվությունը և նախազգուշացվում է լուրջ հետևանքների ի հայտ գալու մասին այն չուղարկելու դեպքում։ Էլ.փոստը սովորաբար պարունակում է հղում դեպի կեղծ վեբ կայք, որը, կարծես, պաշտոնական է՝ ընկերության պատկերանշաններով և բովանդակությամբ, և որտեղ կա մի պատուհան, որում պահանջվում է լրացնել ամեն ինչ՝ տան հասցեից մինչև բանկոմատների քարտի PIN կամ վարկային քարտի համար: Օրինակ, 2003 թվականին ստեղծվեց ֆիշինգ, որի միջոցով eBay-ի օգտատերերը նամակներ ստացան, որոնցում ասվում էր, որ օգտատիրոջ հաշիվը կսառեցվելու է, քանի դեռ վարկային քարտի թարմացման համար որևէ հղում չի ստացվել, որն էլ թույլ կտա թարմացնել վարկային քարտը (տեղեկություններ, որոնք իրական eBay-ն արդեն ուներ): Օրինական կազմակերպության HTML կոդն ու պատկերանշանները ընդօրինակելով, կեղծ կայքին ճշգրիտ տեսք տալը համեմատաբար պարզ գործընթաց է: Խաբեյության միջոցով մի շարք մարդկանց հավատացրին, որ eBay-ը պահանջում է իրենց հաշվի մասին տեղեկությունների թարմացում՝ անցնելով տրված հղումով։ Անխտիր բոլորին սպամ հաղորդագրություն ուղարկելով ֆիշերը նպատակ ուներ գաղտնի ֆինանսական տեղեկատվություն ստանալ հաղորդագրությունը ստացողների թեկուզ փոքր տոկոսից (սակայն քանակապես մեծ թվով), ովքեր արդեն ունեն eBay-ի հաշիվներ և դառնում են խարդախության զոհ։

Սմիշինգ

խմբագրել

SMS հաղորդագրությունների միջոցով որոշակի գործողության համար զոհերին գայթակղելու գործընթաց։ Ֆիշինգի նման այն նույնպես կարող է պարունակել հղումով անցնելու կամ տեղեկատվության տարածման գործողություն։

Մարմնավորում

խմբագրել

Մեկ այլ անձի մարմնավորում կամ կեղծում՝ ֆիզիկապես համակարգ կամ շենք մուտք գործելու նպատակով։ Մարմնավորումը օգտագործվում է «SIM քարտի փոխանակում» խարդախության մեջ։

Ստացված է «https://hy.wikipedia.org/w/index.php?title=Մասնակից:Siriusnal.21/Ավազարկղ&oldid=6864440» էջից