Što je društveni inženjering?

U računalnoj sigurnosti mnogi se problemi javljaju unatoč korisnikovim najvećim naporima. Na primjer, u bilo kojem trenutku možete biti pogođeni zlonamjernim softverom zbog zlonamjernog oglašavanja, zapravo je to loša sreća. Postoje koraci koje možete poduzeti kako biste smanjili rizik, kao što je upotreba blokatora oglasa. Ali ovakav udarac nije korisnikova krivnja. Ostali napadi ipak su usmjereni na navođenje korisnika da nešto učini. Ove vrste napada spadaju pod široku zastavu napada društvenim inženjeringom.

Društveni inženjering uključuje korištenje analize i razumijevanja načina na koji ljudi rješavaju određene situacije kako bi se manipuliralo ishodom. Društveni inženjering može se provoditi protiv velikih skupina ljudi. U smislu računalne sigurnosti, međutim, obično se koristi protiv pojedinaca, iako potencijalno kao dio velike kampanje.

Primjer društvenog inženjeringa protiv grupe ljudi mogu biti pokušaji izazivanja panike kao distrakcije. Na primjer, vojska izvodi operaciju pod lažnom zastavom ili netko viče "vatra" na prometnoj lokaciji, a zatim krade u kaosu. Na određenoj razini, jednostavna propaganda, kockanje i oglašavanje također su tehnike društvenog inženjeringa.

Međutim, u računalnoj sigurnosti radnje su više individualne. Phishing pokušava uvjeriti korisnike da kliknu i povežu te unesu pojedinosti. Mnoge prijevare pokušavaju manipulirati na temelju straha ili pohlepe. Napadi društvenog inženjeringa u računalnoj sigurnosti mogu se čak odvažiti i na stvarni svijet, poput pokušaja neovlaštenog pristupa serverskoj sobi. Zanimljivo je da se u svijetu kibernetičke sigurnosti ovaj posljednji scenarij i oni slični njemu obično misli kada se govori o napadima društvenog inženjeringa.

Širi društveni inženjering – online

Phishing je klasa napada koji pokušava društvenim inženjeringom žrtve dati pojedinosti napadaču. Phishing napadi obično se isporučuju u vanjskom sustavu kao što je putem e-pošte, pa imaju dvije različite točke društvenog inženjeringa. Prvo moraju uvjeriti žrtvu da je poruka legitimna i natjerati je da klikne poveznicu. Ovo zatim učitava stranicu za krađu identiteta, gdje će se od korisnika tražiti da unese pojedinosti. Obično će to biti njihovo korisničko ime i lozinka. To se oslanja na početnu e-poštu i stranicu za krađu identiteta koje izgledaju dovoljno uvjerljivo da natjeraju korisnika da im vjeruje društvenim inženjeringom.

Mnoge prijevare pokušavaju natjerati žrtve na društveni inženjering da predaju novac. Klasična prijevara "nigerijskog princa" obećava veliku isplatu ako žrtva može platiti malu naknadu unaprijed. Naravno, nakon što žrtva plati "naknadu" ne dobiva isplatu. Druge vrste prijevarnih napada rade na sličnim principima. Uvjerite žrtvu da učini nešto, obično preda novac ili instalira zlonamjerni softver. Ransomware je čak i primjer za to. Žrtva mora predati novac ili riskira gubitak pristupa podacima koji su šifrirani.

In-personal social engineering

Kada se u svijetu kibernetičke sigurnosti spominje društveni inženjering, on se obično odnosi na akcije u stvarnom svijetu. Postoji mnogo primjera scenarija. Jedan od najosnovnijih naziva se tail-gating. Ovo lebdi dovoljno blizu iza nekoga da drže otvorena vrata s kontroliranim pristupom kako bi vas propustili. Prikrivanje repa može se poboljšati postavljanjem scenarija u kojem bi vam žrtva mogla pomoći. Jedna od metoda je družiti se s pušačima vani na pauzi za dim, a zatim se vratiti unutra s grupom. Druga metoda je da se vidi da nosite nešto nezgrapno. Još je vjerojatnije da će ova tehnika uspjeti ako ono što nosite može biti za druge. Na primjer, ako imate pladanj sa šalicama za kavu za "svoj tim", postoji društveni pritisak da vam netko pridrži otvorena vrata.

Velik dio osobnog društvenog inženjeringa oslanja se na postavljanje scenarija, a zatim na samopouzdanje unutar njega. Na primjer, socijalni inženjer mogao bi se predstavljati kao neka vrsta građevinskog radnika ili čistača kojeg se općenito može zanemariti. Predajući se kao dobri Samaritanac, predaja "izgubljenog" USB flash pogona mogla bi dovesti do toga da ga zaposlenik uključi. Namjera bi bila vidjeti kome pripada, ali bi onda mogao zaraziti sustav zlonamjernim softverom.

Ove vrste osobnih napada društvenim inženjeringom mogu biti vrlo uspješne, jer nitko ne očekuje da će biti prevaren na takav način. Oni, međutim, nose veliki rizik za napadača koji ima vrlo realne šanse da bude uhvaćen na djelu.

Zaključak

Društveni inženjering je koncept manipuliranja ljudima radi postizanja ciljanog cilja. Jedan od načina uključuje stvaranje situacije koja izgleda stvarno kako bi se žrtva navela da povjeruje u nju. Također možete stvoriti scenarij u kojem postoji društveni pritisak ili očekivanje da žrtva postupi suprotno standardnim sigurnosnim savjetima. Međutim, svi napadi društvenog inženjeringa oslanjaju se na navođenje jedne ili više žrtava da izvrše radnju koju napadač želi.