Kas yra socialinė inžinerija?

Kompiuterių saugumo srityje daugelis problemų kyla nepaisant visų vartotojo pastangų. Pavyzdžiui, bet kuriuo metu galite užsikrėsti kenkėjiška programa, nes tai iš tikrųjų priklauso nuo nesėkmės. Yra veiksmų, kurių galite imtis norėdami sumažinti riziką, pavyzdžiui, naudoti skelbimų blokatorių. Tačiau toks smūgis nėra vartotojo kaltė. Tačiau kitos atakos yra nukreiptos į vartotojo apgaudinėjimą ką nors padaryti. Tokio tipo atakos patenka į plačią socialinės inžinerijos atakų reklamą.

Socialinė inžinerija apima analizę ir supratimą, kaip žmonės elgiasi tam tikrose situacijose, kad manipuliuotų rezultatu. Socialinė inžinerija gali būti vykdoma prieš dideles žmonių grupes. Tačiau kalbant apie kompiuterių saugumą, jis paprastai naudojamas prieš asmenis, nors galbūt kaip didelės kampanijos dalis.

Socialinės inžinerijos, nukreiptos prieš žmonių grupę, pavyzdys galėtų būti bandymai sukelti paniką, kaip atitraukti dėmesį. Pavyzdžiui, kariškiai, atliekantys netikros vėliavos operaciją, arba kažkas judrioje vietoje šaukiantis „ugnis“, o po to vagiliaujantis chaose. Tam tikru lygiu paprasta propaganda, azartiniai lošimai ir reklama taip pat yra socialinės inžinerijos metodai.

Tačiau kompiuterių saugumo srityje veiksmai yra labiau individualūs. Sukčiavimas bando įtikinti vartotojus spustelėti, susieti ir įvesti išsamią informaciją. Daugeliu sukčiavimo atvejų bandoma manipuliuoti remiantis baime ar godumu. Socialinės inžinerijos atakos kompiuterių saugumo srityje gali netgi patekti į realų pasaulį, pavyzdžiui, bandymas gauti neteisėtą prieigą prie serverio patalpos. Įdomu tai, kad kibernetinio saugumo pasaulyje kalbant apie socialinės inžinerijos atakas paprastai turima omenyje pastarasis ir panašūs scenarijai.

Platesnė socialinė inžinerija – internete

Sukčiavimas yra atakų klasė, kuria bandoma socialiai priversti auką pateikti užpuolikui išsamią informaciją. Sukčiavimo atakos paprastai pateikiamos išorinėje sistemoje, pvz., el. paštu, todėl turi du skirtingus socialinės inžinerijos taškus. Pirma, jie turi įtikinti auką, kad pranešimas yra teisėtas, ir priversti jį spustelėti nuorodą. Tada įkeliamas sukčiavimo puslapis, kuriame naudotojo bus paprašyta įvesti išsamią informaciją. Paprastai tai bus jų vartotojo vardas ir slaptažodis. Tai priklauso nuo to, kad pradinis el. laiškas ir sukčiavimo puslapis atrodo pakankamai įtikinami, kad socialinė inžinerija paskatintų vartotoją jais pasitikėti.

Daugelis apgavysčių bando socialiai priversti savo aukas perduoti pinigus. Klasikinė „Nigerijos princo“ sukčiai žada didelę išmoką, jei auka gali sumokėti nedidelį avansinį mokestį. Žinoma, kai auka sumoka „mokestį“, jokia išmoka negaunama. Kiti sukčiavimo atakų tipai veikia panašiais principais. Įtikinkite auką ką nors padaryti, paprastai perduokite pinigus arba įdiekite kenkėjišką programą. „Ransomware“ netgi yra to pavyzdys. Auka turi perduoti pinigus arba rizikuoja prarasti prieigą prie bet kokių duomenų, kurie buvo užšifruoti.

Asmeninė socialinė inžinerija

Kai socialinė inžinerija minima kibernetinio saugumo pasaulyje, tai paprastai reiškia veiksmus realiame pasaulyje. Yra daugybė scenarijų pavyzdžių. Vienas iš elementariausių yra vadinamas tail-gating. Jis slysta pakankamai arti už žmogaus, kad jis atidarytų kontroliuojamas duris, kad įleistų jus. Uždarymas gali būti sustiprintas nustatant scenarijų, pagal kurį auka galėtų jums padėti. Vienas iš būdų yra pabūti su rūkančiais lauke per dūmų pertrauką ir grįžti į vidų su grupe. Kitas būdas – matyti, kad nešiojate kažką nepatogaus. Ši technika dar labiau pasiteisins, jei tai, ką nešiojate, gali būti skirta kitiems. Pavyzdžiui, jei turite padėklą kavos puodelių „savo komandai“, socialinis spaudimas kam nors atvertų jums duris.

Didžioji dalis asmeninės socialinės inžinerijos priklauso nuo scenarijaus sudarymo ir pasitikėjimo juo. Pavyzdžiui, socialinis inžinierius gali pasirodyti kaip koks nors statybininkas ar valytojas, į kurį paprastai nekreipiama dėmesio. Apsimetus geruoju samariečiu, pateikęs „pamestą“ USB atmintinę, darbuotojas gali jį prijungti. Tikslas būtų išsiaiškinti, kam jis priklauso, bet tada sistema gali užkrėsti kenkėjiška programa.

Tokio tipo asmeninės socialinės inžinerijos atakos gali būti labai sėkmingos, nes niekas tikrai nesitiki, kad bus taip apgautas. Tačiau jie kelia didelę riziką užpuolikui, kuris turi labai realią galimybę būti sučiuptam neteisėtai.

Išvada

Socialinė inžinerija yra manipuliavimo žmonėmis sąvoka siekiant užsibrėžto tikslo. Vienas iš būdų yra sukurti tikroviškai atrodančią situaciją, siekiant apgauti auką ja patikėti. Taip pat galite sukurti scenarijų, kai yra socialinis spaudimas arba tikimasi, kad auka pasielgs prieš standartinius saugumo patarimus. Tačiau visos socialinės inžinerijos atakos grindžiamos vienos ar kelių aukų apgaudinėjimu atlikti veiksmus, kurių užpuolikas nori.