Социјални инжињеринг

Аутор: Никола Тодоровић

Социјални инжињеринг (енг. Social Engineering) је акт психолошке манипулације којим се људи наводе да одају поверљиве информације. Ова техника се заснива на ометању пажње одређеног лица с циљем прикупљања информација које оно иначе не би одало (корисничко име, лозинка или подаци о платним картицама), а како би се ти подаци касније злоупотребили. Суштина ове вештине је у лажном представљању, било да се оно одвија лично или путем телефона, интернета или неког другог електронског средства.

Циљ нападача углавном није жртва сама, већ неки ресурси који су нападачу интересантни, као што је, на пример, могућност приступа неком серверу са подацима. Старо је правило да је у било ком систему безбедности човек, и само човек, најслабија тачка. А то је управо оно место где се социјалним инжињерингом делује, тако да примена чисто техничких средстава за заштиту углавном не помаже.

Напади социјалних инжењера су разнолики, но, у принципу, могу се поделити у две основне методе — са употребом технологија и без употребе технологија.

Методе напада без употребе технологије су измишљање сценарија, услуга за услугу и ухођење.

Једна од најчешћих метода социјалног инжињеринга усмерених на особе је стварање сценарија (енг. pretexting). Ради се о поступку коришћења сценарија за навођење особе на откривање информација или извођење неке радње. Обично се изводи преко телефона, а укључује претходно истраживање те слагање делова информација за успостављање поверења код жртве. Ова се техника често користи за неовлашћено добијање информација о купцима, телефонским записима, банковним рачунима и другим поверљивим информацијама.

Услуга за услугу (лат. quid pro quo) представља напад у ком вам обмањивач нуди услугу или новац у замену за неку поверљиву информацију. Често се представља као неко ко ће вам решити проблем, а од вас ће очекивати само да му кажете корисничко име и лозинку који су му неопходни за решавање проблема.

Пример ухођења (енг. tailgating) као методе је када нападач чека прилику да неко од запослених откључа улаз у простор, потом га замоли да му придржи врата да уђе под изговором да је заборавио своју картицу за откључавање. Такође, под овим нападом се подразумева и позајмљивање лаптопа или телефона ради извршења неке просте радње (позив или провера електронске поште) када, уствари, обмањивач инсталира малициозни софтвер на ваш уређај.

Као једна од метода социјалног инжињеринга усмерених на технологију, пецање (енг. phishing) представља скуп активности којима неовлашћени корисници помоћу лажних порука електронске поште и лажних веб страница покушавају корисника навести на откривање поверљивих личних података (нпр. ЈМБГ, корисничка имена и лозинке, ПИН бројеви и бројеви кредитних картица). Лажни имејлови или лажне веб странице изгледом сасвим одговарају легитимним веб страницама банки, друштвених мрежа или веб трговина.

Нажалост, велики број корисника није упознат са овим типом преваре. Једном кад дођу до ових информација, злонамерни корисници се њима користе за стицање финансијске користи или прикривање криминалних активности идентитетом превареног корисника, или их продају заинтересованим странама.

Постављање клопке (енг. baiting) је када нападач остави малициозним софтвером заражен физички уређај (УСБ флеш меморију, ЦД и сл.) на видљиво место где ће га жељена жртва сигурно пронаћи. Потом, кад неки од тих уређаја буду повезани на рачунар, малициозни софтвер ће бити аутоматски инсталиран. Клопка може бити у облику филма или музике који ће бити скинути са интернета и потом заразити рачунар.

• Заштитите поверљиве информације а поготово личне податке. Подаци као што су: ЈМБГ, девојачко презиме ваше мајке, име детета или кућног љубимца, назив ваше банке или телефонске компаније су обично подаци који често служе као сигурносна провера вашег идентитета приликом реализације неких услуга (нпр. банкарске веб услуге и интернетске куповине)
• Сигурност пре љубазности.
• Проверите идентитет непознатог позиватеља (нпр. повратним позивом). Не отварајте непознате линкове.
• Уколико вас неко пожурује на реакцију (нпр. брзу куповину ради остварења попуста) будите скептични и никада не попустите под притиском већ пажљиво размотрите своју реакцију.
• Опрезно се понашајте на друштвеним мрежама и јавним просторима -– не делите са свима податке из приватног живота.
• Заштитите свој рачунар и интернетску везу – користите тзв. антифишинг програме.