Социальная инженерия

сетей

систем защиты информации и
копирования или модификации информации ограниченного доступа

фактически является именем нарицательным. Ныне является консультантом по компьютерной безопасности,

автором и бывшим компьютерным хакером. В конце XX века был признан виновным в различных компьютерных и коммуникационных преступлениях. На момент ареста был наиболее разыскиваемым компьютерным преступником в США.

с целью ее дальнейшего разрушения.
Проникновение в сеть организации для

дестабилизации работы основных узлов с какой-либо целью.
Фишинг и другие способы получения паролей для доступа информации ограниченного доступа.
Конкурентная разведка.

информация об организации (используется для рейдерских атак).
Информация о наиболее перспективных

сотрудниках с целью их дальнейшего «переманивания» в свою организацию.

выполняя различные бессмысленные, но целенаправленные действия

источников
Спам

совершить определенное действие или предоставить определенную информацию.

Телефон Почта

по корпоративному телефону.

состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD,

или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка).

сбор из открытых источников, главным образом из социальных сетей.

с помощью обычного телефонного звонка или путем проникновения в организацию

под видом ее служащего.
Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе.
Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т. п.).
Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа.
Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации.

заставить цель самой рассказать о своих паролях, информацию о компании.
Пример:
При использовании эл.

почты многие делают секретным вопросом "девичья фамилия матери" — тогда хакер звонит жертве и представляется сотрудником социальной (опрашиваемой, государственной, муниципальной и др.) службы, проводит опрос о родителях — и одним из вопросов является вопрос о девичьей фамилии матери — жертва её называет и даже не предполагает что только это и нужно было злоумышленнику, т. к. человеческий мозг не смог связать безопасность своей почтовой системы и опрос о родителях.

удобных мишеней воздействия.
Создание нужных условий для воздействия на объект.
Понуждение к

нужному действию.
Использование результатов воздействия.

безопасности.
Изучение и внедрение необходимых методов и действий для повышения защиты

информационного обеспечения.
Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.

Техническая защита

К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.

средств наблюдения (дежурных и специальных).

оно совершено неумышленно.
Есть умышленное нарушение.

наблюдений
Установленные на основании информации, полученной из иных источников

времени компьютерных систем (журналов ЭВМ) или их полное отсутствие;
необоснованные манипуляции

с данными: производится перезапись (тиражирование, копирование), замена, изменение, либо стирание без серьезных на то причин, либо данные не обновляются своевременно по мере их поступления (накопления);
появление подложных либо фальсифицированных документов или бланков строгой отчетности;

без видимых на то причин, проявление повышенного интереса к сведениям,

не относящимся к их функциональным обязанностям, либо посещение других подразделений и служб организации;
выражение сотрудниками открытого недовольства по поводу осуществления контроля за их деятельностью;
многочисленные жалобы клиентов.