Kaj je socialni inženiring?

Pri računalniški varnosti se kljub vsem prizadevanjem uporabnika pojavijo številne težave. Na primer, kadar koli vas lahko zadene zlonamerna programska oprema zaradi zlonamernega oglaševanja, kar je v resnici smola. Obstajajo koraki, ki jih lahko storite, da zmanjšate tveganje, kot je uporaba zaviralca oglasov. Toda za takšen udarec ni kriv uporabnik. Drugi napadi pa se osredotočajo na pretentanje uporabnika, da nekaj stori. Te vrste napadov spadajo pod široko zastavo napadov socialnega inženiringa.

Socialni inženiring vključuje uporabo analize in razumevanja, kako ljudje ravnajo v določenih situacijah, da bi manipulirali z izidom. Socialni inženiring se lahko izvaja proti velikim skupinam ljudi. Z vidika računalniške varnosti pa se običajno uporablja proti posameznikom, čeprav potencialno kot del velike kampanje.

Primer socialnega inženiringa proti skupini ljudi bi lahko bili poskusi povzročanja panike kot odvračanje pozornosti. Na primer vojska, ki izvaja operacijo pod lažno zastavo, ali nekdo, ki kriči "ogenj" na prometni lokaciji in nato krade v kaosu. Na neki ravni so tehnike socialnega inženiringa tudi preprosta propaganda, igre na srečo in oglaševanje.

Pri računalniški varnosti pa so dejanja bolj individualna. Lažno predstavljanje skuša uporabnike prepričati, da kliknejo povezavo in vnesejo podrobnosti. Številne prevare poskušajo manipulirati na podlagi strahu ali pohlepa. Napadi socialnega inženiringa v računalniški varnosti lahko celo zaidejo v resnični svet, kot je poskus pridobitve nepooblaščenega dostopa do strežniške sobe. Zanimivo je, da je v svetu kibernetske varnosti ta zadnji scenarij in njemu podobni običajno mišljeno, ko govorimo o napadih socialnega inženiringa.

Širši socialni inženiring – na spletu

Lažno predstavljanje je vrsta napadov, ki poskušajo žrtev socialnega inženiringa posredovati napadalcu podrobnosti. Napadi z lažnim predstavljanjem se običajno izvedejo v zunanjem sistemu, na primer prek e-pošte, in imajo tako dve različni točki socialnega inženiringa. Najprej morajo žrtev prepričati, da je sporočilo legitimno, in jo prepričati, da klikne povezavo. To nato naloži stran z lažnim predstavljanjem, kjer bo uporabnik nato pozvan, da vnese podrobnosti. Običajno bo to njihovo uporabniško ime in geslo. To se zanaša na prvotno e-pošto in stran z lažnim predstavljanjem, ki sta videti dovolj prepričljivo, da socialni inženiring spodbudi uporabnika, da jima zaupa.

Številne prevare poskušajo svoje žrtve socialno načrtovati, da jim predajo denar. Klasična prevara "nigerijski princ" obljublja veliko izplačilo, če lahko žrtev plača majhno predplačilo. Seveda, ko žrtev plača "pristojbino", nikoli ne prejme nobenega izplačila. Druge vrste prevar delujejo po podobnih načelih. Prepričajte žrtev, da nekaj stori, običajno preda denar ali namesti zlonamerno programsko opremo. Izsiljevalska programska oprema je celo primer tega. Žrtev mora predati denar ali tvega izgubo dostopa do podatkov, ki so bili šifrirani.

Osebni socialni inženiring

Ko se v svetu kibernetske varnosti omenja socialni inženiring, se običajno nanaša na dejanja v resničnem svetu. Primerov scenarijev je veliko. Eden najosnovnejših se imenuje zapiranje repa. Ta lebdi dovolj blizu za nekom, da drži odprta vrata z nadzorovanim dostopom, da te spustijo skozi. Zadrževanje repa je mogoče izboljšati z nastavitvijo scenarija, v katerem bi vam žrtev lahko pomagala. Eden od načinov je, da se družite s kadilci zunaj na premoru za prekajevanje in se nato s skupino vrnete noter. Druga metoda je videti, da nosi nekaj nerodnega. Ta tehnika bo še bolj uspešna, če bo to, kar nosite, namenjeno drugim. Na primer, če imate pladenj s kavnimi skodelicami za »vašo ekipo«, obstaja socialni pritisk, da vam nekdo pridrži vrata.

Velik del osebnega socialnega inženiringa temelji na pripravi scenarija in nato samozavesti v njem. Na primer, socialni inženir se lahko predstavlja kot nekakšen gradbeni delavec ali čistilec, ki je na splošno spregledan. Če se predstavljate kot usmiljeni Samarijan, lahko izročite »izgubljeni« ključek USB in ga priklopite na uslužbenca. Namen bi bil videti, komu pripada, vendar bi lahko nato okužil sistem z zlonamerno programsko opremo.

Te vrste osebnih napadov socialnega inženiringa so lahko zelo uspešne, saj nihče ne pričakuje, da bo tako prevaran. Vseeno pa predstavljajo veliko tveganje za napadalca, ki ima zelo realne možnosti, da ga ujamejo pri dejanju.

Zaključek

Socialni inženiring je koncept manipuliranja z ljudmi za dosego cilja. Eden od načinov je ustvarjanje resnične situacije, da žrtev pretentate, da ji verjame. Ustvarite lahko tudi scenarij, v katerem obstaja družbeni pritisk ali pričakovanje, da bo žrtev ravnala v nasprotju s standardnimi varnostnimi nasveti. Vsi napadi socialnega inženiringa pa temeljijo na tem, da eno ali več žrtev pretentajo, da izvedejo dejanje, ki ga napadalec želi.