Šta je socijalni inženjering?
Socijalni inženjering se ne odnosi isključivo na sajber bezbednost, ali uvek koristi ljudsku ranjivost za ostvarenje ciljeva.
Manipulacija, nagovaranje, ubeđivanje i uticaj su dobro poznati termini koji često imaju negativnu konotaciju, čak i u krugovima sajber bezbednosti. Pomenute termine mnogi će povezati sa ljudskim faktorom u oblasti sajber bezbednosti, ali ti termini sami po sebi nisu tehnički, odnosno bezbednosni. Međutim, svi zajedno u kontekstu sajber bezbednosti opisuju pojavu koju najčešće nazivamo socijalni inženjering.
Socijalni inženjering se ne odnosi isključivo na sajber bezbednost, već je u pitanju šira pojava koja svoju primenu ima u kliničkoj psihologiji, prodaji, marketingu itd. Socijalni inženjering nije jednokratna aktivnost, već je u pitanju proces, odnosno serija osmišljenih koraka. Nije u pitanju nužno negativna pojava, već zavisi od ciljeva koji stoje iza njega. Po pravilu, socijalni inženjering donosi korist svom autoru, a posledice po metu mogu biti pozitivne ili negativne.
Dakle, socijalni inženjering je proces prenošenja informacija meti kako bi ona preduzela željenu akciju (koja može, ali ne mora nužno biti štetna po nju).
Da se vratimo na teren sajber bezbednosti.
Često govorimo o ranjivosti softvera. Ljudski ekvivalent softverskoj ranjivosti su emocije. Kada su suočeni sa zastrašujućim scenarijom, ljudi često reaguju impulsivno, „na prvu“, a tek kasnije razmisle. Hakeri upravo na ovoj „ranjivosti“ zasnivaju tehnike socijalnog inženjeringa pomoću kojih izvode uspešne sajber napade.
Vrste napada pomoću tehnike socijalnog inženjeringa
Sajber kriminalci koriste socijalni inženjering kako bi prevarili korisnike da im otkriju poverljive informacije. S obzirom na to da se socijalni inženjering zasniva na ljudskoj prirodi i emocijama, postoje brojni načini na koje napadači mogu da prevare žrtvu, bilo online ili offline. Najčešće su u pitanju sledeće tehnike: baiting, phishing, hakovanje emaila i spamovanje kontakata, pretexting, quid pro quo, spear phishing, vishing, smishing, hunting i farming.
Baiting
Ljudi su radoznali, a to je od ključnog značaja za ovaj scenario napada. Sajber kriminalac na javnom mestu ostavi uređaj (npr. USB) koji je zaražen malverom. Žrtva pronađe USB, poveže ga na računar da vidi šta se na njemu nalazi i zatim „pokupi“ malver.
Phishing
U pitanju je nastariji trik iz knjige sajber prevara, trik koji je i dalje najuspešniji. Sajber kriminalci imaju brojne metode kojima pokušavaju da izvuku informacije od žrtve. Veoma su popularne taktike zastrašivanja, jer stavljaju žrtvu u vremenski tesnac i zahtevaju od nje brzo reagovanje, naročito kada je cilj doći do bankarskog ili nekog drugog online naloga. Kod phishinga, napadači očekuju da će žrtva doneti odluku u strahu (vodeći se emocijama) umesto da racionalno sagleda i prepozna pretnju. Jedna od varijanti phishinga je kada žrtva misli da email stiže od kolege iz kompanije (na sličnom ili višem hijerarhijskom nivou) i koji navodno od nje zahteva kredencijale kako bi se ulogovao u sistem. Ljudi često nasednu na ovu prevaru.
Popularna phishing taktika su email poruke u kojima se očekuje brza reakcija primaoca, kao što su poruke u kojima se nude veliki popusti uz ograničenu količinu proizvoda. Takve ponude deluju primamljivo i smanjuju korisniku vreme za razmišljanje zbog čega se odluka donosi impulsivno.
Hakovanje emaila i spamovanje kontakata
Ljudi prirodno ne sumnjaju u verodostojnost poruke koja im stiže od poznatog pošiljaoca. Recimo, prijatelj vam pošalje poruku da posetite neki „odličan“ sajt. Zbog toga sajber kriminalci kradu email adrese i lozinke. Kada dođu do kredencijala nekog email naloga, imaju mogućnost da spamuju sve kontakte koji na nalogu postoje. Glavni cilj je širenje malvera i obmana žrtve da bi se došlo do ličnih i drugih osetljivih informacija.
Pretexting
Kod ove vrste socijalnog inženjeringa, napadač pravi detaljnu priču kojom pokušava da „upeca“ žrtve. Nekada je to tužna priča o tome kako se našao sam u stranoj zemlji bez novca, nekada je u pitanju „princ“ kome je nedavno otac preminuo i kome treba par stotina dolara da postane kralj. Kod ovakvih prevara, napadač računa da će ljudi pomoći osobi koja je u nevolji. Ova tehnika se često kombinuje sa drugim tehnikama , jer je kod ovakvih scenarija potrebno osmisliti priču koja će privući pažnju žrtve, a nekada napadač mora da se pretvara da je neko drugi preko telefona.
Quid Pro Quo
Nešto za nešto. Ovde se korisnicima nude nagrade ili popusti na skupe proizvode, ali tek nakon što popune formu u kojoj ostavljaju gomilu ličnih informacija. Zatim se prikupljeni podaci koriste za krađu identiteta.
Spear Phishing
Spear phishing je ciljana phishing kampanja u kojoj su meta zaposleni u tačno određenoj kompaniji ili organizaciji iz koje sajber kriminalci pokušavaju da ukradu podatke i/ili novac. Napadači izaberu metu u datoj organizaciji, a zatim obave online istraživanje o njoj (prikupljaju lične informacije sa društvenih mreža itd.). Kada upoznaju metu, započinju slanje email poruka čiji je sadržaj prilagođen upravo njoj. U poruci se nalazi maliciozni link ili fajl za preuzimanje. Kada korisnik klikne na link ili preuzme zaraženi fajl, malver ulazi u sistem i lako se širi na ostale računare u mreži.
Vishing
U pitanju je prevara koja zahteva najviše ljudske interakcije od svih nabrojanih. Vishing je phishing koji se obavlja preko telefona. Napadač zove telefonom zaposlenog u kompaniji i predstavlja se kao poznati saradnik, bankarski službenik ili predstavnik partnerske kompanije i pokušava da dođe do informacija (npr. „izgubio“ je svoju lozinku pa traži vašu) ili vam postavlja niz pitanja da „potvrdi vaš identitet“.
Smishing
U pitanju je vrsta phishinga koja se izvodi preko tekstualne ili SMS poruke. Napadač pokušava da ubedi žrtvu da mu pošalje privatne informacije preko tekstualne poruke. Velika opasnost se krije u tome što su ljudi skloniji da poveruju u verodostojnost tekstualne poruke nego emaila. Mnogi ljudi su danas svesni opasnosti koje nosi otvaranje linkova u emailu, ali se isto ne može reći za tekstualne poruke.
Napadači kod ove prevare od žrtve pokušavaju da izvuku različite informacije – od online lozinki do matičnih brojeva, brojeva kreditnih kartica itd. Ponekad napadači koriste sledeću taktiku: napišu žrtvi da unese lične informacije preko linka koji joj pošalju ukoliko ne želi da joj bude naplaćena određena usluga. Ukoliko se niste prijavili za datu uslugu, ignorišite ovakve poruke. Ukoliko primetite neautorizovane troškove na kreditnoj kartici, obavezno se obratite svojoj banci.
Socijalni inženjering se može obaviti na 2 načina – kao jedan napad (npr. phishing email) ili kao kompleksniji poduhvat čija su meta najčešće institucije. Ova dva metoda zovemo hunting i farming.
Hunting
Ovo je kraća verzija napada zasnovanih na socijalnom inženjeringu. Sajber kriminalci ovde koriste phishing, baiting i hakovanje emaila kako bi izvukli što više informacija od žrtve uz što manje interakcije.
Farming
U pitanju je kompleksnija prevara na duže staze. Ovde napadači istražuju profile na društvenim mrežama i na osnovu prikupljenih informacija pokušavaju da formiraju odnos sa budućom žrtvom. Ovakvi napadi se veoma oslanjaju na pretexting, jer je cilj napadača da što duže „zavlači“ žrtvu kako bi izvukao što je moguće više informacija.
Socijalni inženjering se nalazi svuda, i online i offline. Ima puno uspeha jer uključuje jedini element na koji se ne može instalirati bezbednosno rešenje – čoveka. Najbolja odbrana od socijalnog inženjeringa je edukacija i periodično testiranje zaposlenih, kao i stalno prisutna svest o potencijalnim opasnostima.
Izvor: Norton