Što je socijalni inženjering i kako ga možete izbjeći?
Zlonamjerni softver nije jedina prijetnja na mreži za koju treba brinuti. Socijalni inženjering je velika prijetnja i može vas pogoditi u bilo kojem operativnom sustavu. Zapravo, socijalni inženjering se također može pojaviti preko telefona i licem u lice.
Važno je biti svjestan društvenog inženjeringa i biti na vidikovcu. Sigurnosni programi vas neće zaštititi od većine prijetnji socijalnog inženjeringa, pa se morate zaštititi.
Objašnjenje socijalnog inženjerstva
Tradicionalni računalni napadi često ovise o pronalaženju ranjivosti u računalnom kodu. Na primjer, ako koristite zastarjelu verziju programa Adobe Flash - ili, ne daj bože, Javu, koja je bila razlog 91% napada u 2013. prema Cisco-u - mogli biste posjetiti zlonamjernu web-lokaciju i tu web-lokaciju će iskoristiti ranjivost u vašem softveru za pristup vašem računalu. Napadač manipulira bugovima u softveru kako bi dobio pristup i prikupio privatne informacije, možda s keyloggerom koji instaliraju.
Trikovi socijalnog inženjeringa su različiti jer umjesto toga uključuju psihološku manipulaciju. Drugim riječima, oni iskorištavaju ljude, a ne softver.
Vjerojatno ste već čuli za phishing, koji je oblik socijalnog inženjeringa. Možda ćete primiti poruku e-pošte u kojoj se navodi da se radi o banci, tvrtki koja izdaje kreditnu karticu ili nekoj drugoj pouzdanoj tvrtki. Mogu vas uputiti na lažnu web-lokaciju prikrivenu da izgleda kao prava ili zatražiti da preuzmete i instalirate zlonamjerni program. No, takvi socijalni inženjerski trikovi ne moraju uključivati lažne web-lokacije ili malware. E-mail za krađu identiteta može od vas zatražiti da pošaljete odgovor e-poštom s privatnim podacima. Umjesto da pokušavaju iskoristiti bug u softveru, pokušavaju iskoristiti normalne ljudske interakcije. Krađa krađe može biti još opasnija, jer je to oblik krađe identiteta koji je namijenjen određenim pojedincima.
Primjeri socijalnog inženjerstva
Jedan popularan trik u chat uslugama i online igrama je registriranje računa s imenom poput "Administrator" i slanje ljudi zastrašujućim porukama poput "UPOZORENJE: Otkrili smo da netko može hakirati vaš račun, odgovoriti na vašu lozinku kako biste se autentificirali." Ako cilj odgovara sa svojom zaporkom, pali su zbog trika, a napadač sada ima zaporku računa.
Ako netko ima osobne podatke o vama, mogli bi ga upotrijebiti za pristup vašim računima. Na primjer, podaci kao što su datum rođenja, broj socijalnog osiguranja i broj kreditne kartice često se koriste za identifikaciju. Ako netko ima te informacije, oni mogu kontaktirati tvrtku i pretvarati se da ste vi. Ovaj trik bio je poznato korišten od strane napadača kako bi dobio pristup Yahoo! Račun za e-poštu u 2008, slanje dovoljno osobnih podataka kako bi dobili pristup računu putem Yahoo! Isti se način može koristiti i za telefoniranje ako imate osobne podatke koje tvrtka zahtijeva za autentifikaciju. Napadač s nekim informacijama o meti može se pretvarati da je on i dobiti pristup do više stvari.
Društveni inženjering se također može koristiti osobno. Napadač može ući u posao, obavijestiti tajnicu da je osoba za popravak, novi zaposlenik, ili vatrogasni inspektor u autoritativnom i uvjerljivom tonu, a zatim lutati po dvoranama i potencijalno ukrasti povjerljive podatke ili pogurati greške radi korporativne špijunaže. Ovaj trik ovisi o tome kako se napadač predstavlja kao netko tko nije. Ako tajnik, vratar ili tko god drugi upravlja, ne postavlja previše pitanja ili ne gleda pažljivo, trik će biti uspješan.
Društveno-inženjerski napadi obuhvaćaju niz lažnih web-mjesta, lažnih poruka e-pošte i zlog chat poruka sve do oponašanja nekoga telefonom ili osobno. Ovi napadi dolaze u raznim oblicima, ali svi imaju jednu zajedničku stvar - ovise o psihološkim trikovima. Društveni inženjering naziva se umjetnošću psihološke manipulacije. To je jedan od glavnih načina na koji „hakeri“ zapravo „hakiraju“ račune na mreži.
Kako izbjeći socijalno inženjerstvo
Poznavanje socijalnog inženjeringa može vam pomoći u borbi s njim. Budite sumnjičavi prema neželjenim porukama e-pošte, chat porukama i telefonskim pozivima koji traže privatne informacije. Nikada ne otkrivajte financijske informacije ili važne osobne podatke putem e-pošte. Nemojte preuzimati potencijalno opasne privitke e-pošte i pokretati ih, čak i ako e-pošta tvrdi da su važni.
Također ne biste trebali slijediti veze u e-pošti s osjetljivim web-lokacijama. Na primjer, nemojte kliknuti vezu u poruci e-pošte koja se čini da je iz vaše banke i prijavite se. To vas može odvesti na lažnu web-lokaciju za krađu identiteta prerušenu u web-lokaciju banke, ali s suptilno različitim URL-om. Umjesto toga posjetite web-lokaciju.
Ako primite sumnjivi zahtjev - na primjer, telefonski poziv iz vaše banke traži osobne podatke - kontaktirajte izravno izvor zahtjeva i zatražite potvrdu. U ovom primjeru nazvali biste svoju banku i pitali što žele, a ne otkriti informacije nekome tko tvrdi da je vaša banka.
Programi e-pošte, web-preglednici i sigurnosni apartmani općenito imaju filtre za krađu identiteta koji će vas upozoriti kada posjetite poznatu web-lokaciju za krađu identiteta. Sve što mogu učiniti je da vas upozore kada posjetite poznatu web-lokaciju za krađu identiteta ili primite poznatu poruku za krađu identiteta, a ne znaju sve web-lokacije ili poruke e-pošte s kojih se provodi krađa identiteta. Za veći dio, na vama je da se zaštitite - sigurnosni programi mogu samo malo pomoći.
Dobra je ideja imati zdravu sumnju kada se bavite zahtjevima za privatne podatke i bilo što drugo što bi moglo biti društveno-inženjerski napad. Sumnja i oprez će vas zaštititi, online i offline.
Zasluge za sliku: Jeff Turnet na Flickru