Socijalni inžinjering
Autor: Nikola Todorović
Socijalni inžinjering (eng. Social Engineering) je akt psihološke manipulacije kojim se ljudi navode da odaju poverljive informacije. Ova tehnika se zasniva na ometanju pažnje određenog lica s ciljem prikupljanja informacija koje ono inače ne bi odalo (korisničko ime, lozinka ili podaci o platnim karticama), a kako bi se ti podaci kasnije zloupotrebili. Suština ove veštine je u lažnom predstavljanju, bilo da se ono odvija lično ili putem telefona, interneta ili nekog drugog elektronskog sredstva.
Cilj napadača uglavnom nije žrtva sama, već neki resursi koji su napadaču interesantni, kao što je, na primer, mogućnost pristupa nekom serveru sa podacima. Staro je pravilo da je u bilo kom sistemu bezbednosti čovek, i samo čovek, najslabija tačka. A to je upravo ono mesto gde se socijalnim inžinjeringom deluje, tako da primena čisto tehničkih sredstava za zaštitu uglavnom ne pomaže.
Napadi socijalnih inženjera su raznoliki, no, u principu, mogu se podeliti u dve osnovne metode — sa upotrebom tehnologija i bez upotrebe tehnologija.
Metode napada bez upotrebe tehnologije su izmišljanje scenarija, usluga za uslugu i uhođenje.
Izmišljanje scenarija
Jedna od najčešćih metoda socijalnog inžinjeringa usmerenih na osobe je stvaranje scenarija (eng. pretexting). Radi se o postupku korišćenja scenarija za navođenje osobe na otkrivanje informacija ili izvođenje neke radnje. Obično se izvodi preko telefona, a uključuje prethodno istraživanje te slaganje delova informacija za uspostavljanje poverenja kod žrtve. Ova se tehnika često koristi za neovlašćeno dobijanje informacija o kupcima, telefonskim zapisima, bankovnim računima i drugim poverljivim informacijama.
Usluga za uslugu
Usluga za uslugu (lat. quid pro quo) predstavlja napad u kom vam obmanjivač nudi uslugu ili novac u zamenu za neku poverljivu informaciju. Često se predstavlja kao neko ko će vam rešiti problem, a od vas će očekivati samo da mu kažete korisničko ime i lozinku koji su mu neophodni za rešavanje problema.
Uhođenje
Primer uhođenja (eng. tailgating) kao metode je kada napadač čeka priliku da neko od zaposlenih otključa ulaz u prostor, potom ga zamoli da mu pridrži vrata da uđe pod izgovorom da je zaboravio svoju karticu za otključavanje. Takođe, pod ovim napadom se podrazumeva i pozajmljivanje laptopa ili telefona radi izvršenja neke proste radnje (poziv ili provera elektronske pošte) kada, ustvari, obmanjivač instalira maliciozni softver na vaš uređaj.
Metode napada uz upotrebu tehnologije
Pecanje
Kao jedna od metoda socijalnog inžinjeringa usmerenih na tehnologiju, pecanje (eng. phishing) predstavlja skup aktivnosti kojima neovlašćeni korisnici pomoću lažnih poruka elektronske pošte i lažnih veb stranica pokušavaju korisnika navesti na otkrivanje poverljivih ličnih podataka (npr. JMBG, korisnička imena i lozinke, PIN brojevi i brojevi kreditnih kartica). Lažni imejlovi ili lažne veb stranice izgledom sasvim odgovaraju legitimnim veb stranicama banki, društvenih mreža ili veb trgovina.
Nažalost, veliki broj korisnika nije upoznat sa ovim tipom prevare. Jednom kad dođu do ovih informacija, zlonamerni korisnici se njima koriste za sticanje finansijske koristi ili prikrivanje kriminalnih aktivnosti identitetom prevarenog korisnika, ili ih prodaju zainteresovanim stranama.
Postavljanje klopke
Postavljanje klopke (eng. baiting) je kada napadač ostavi malicioznim softverom zaražen fizički uređaj (USB fleš memoriju, CD i sl.) na vidljivo mesto gde će ga željena žrtva sigurno pronaći. Potom, kad neki od tih uređaja budu povezani na računar, maliciozni softver će biti automatski instaliran. Klopka može biti u obliku filma ili muzike koji će biti skinuti sa interneta i potom zaraziti računar.
Saveti za odbranu od napada socijalnih inžinjera
- Zaštitite poverljive informacije a pogotovo lične podatke. Podaci kao što su: JMBG, devojačko prezime vaše majke, ime deteta ili kućnog ljubimca, naziv vaše banke ili telefonske kompanije su obično podaci koji često služe kao sigurnosna provera vašeg identiteta prilikom realizacije nekih usluga (npr. bankarske veb usluge i internetske kupovine)
- Sigurnost pre ljubaznosti.
- Proverite identitet nepoznatog pozivatelja (npr. povratnim pozivom). Ne otvarajte nepoznate linkove.
- Ukoliko vas neko požuruje na reakciju (npr. brzu kupovinu radi ostvarenja popusta) budite skeptični i nikada ne popustite pod pritiskom već pažljivo razmotrite svoju reakciju.
- Oprezno se ponašajte na društvenim mrežama i javnim prostorima -– ne delite sa svima podatke iz privatnog života.
- Zaštitite svoj računar i internetsku vezu – koristite tzv. antifišing programe.