Шта је социјални инжењеринг и како га можете избећи?
Злонамјерни софтвер није једина пријетња на мрежи за коју треба бринути. Социјални инжењеринг је велика претња и може вас погодити у било којем оперативном систему. У ствари, социјални инжењеринг се такође може јавити преко телефона и лицем у лице.
Важно је бити свјестан социјалног инжењеринга и бити на видику. Сигурносни програми вас неће заштитити од већине пријетњи социјалног инжењеринга, тако да се морате заштитити.
Објашњење социјалног инжењерства
Традиционални рачунарски базирани напади често зависе од проналажења рањивости у коду рачунара. На пример, ако користите застарелу верзију Адобе Фласх-а - или, не дај боже, Јава, која је била разлог 91% напада у 2013. према Цисцо-у - могли бисте да посетите малициозни веб сајт и тај сајт би искористио рањивост у вашем софтверу да би добио приступ вашем рачунару. Нападач манипулише грешкама у софтверу да би добио приступ и сакупио приватне информације, можда са кеилоггером који инсталирају.
Трикови социјалног инжењеринга су различити јер уместо тога укључују психолошку манипулацију. Другим речима, они експлоатишу људе, а не њихов софтвер.
Вероватно сте већ чули за пхисхинг, који је облик социјалног инжењеринга. Можда ћете добити е-поруку у којој се тврди да је из ваше банке, компаније за издавање кредитних картица или неке друге поуздане компаније. Могу вас упутити на лажну веб-локацију маскирану да изгледа као права или тражити да преузмете и инсталирате злонамјерни програм. Али такви социјални инжењерски трикови не морају укључивати лажне веб странице или малваре. Емаил за пхисхинг може једноставно од вас тражити да пошаљете одговор е-поштом са приватним информацијама. Уместо да покушају да искористе буг у софтверу, они покушавају да искористе нормалне људске интеракције. Крађа пхисхинга може бити још опаснија, јер је то облик пхисхинга који је дизајниран за циљање одређених појединаца.
Примери социјалног инжењерства
Један популаран трик у цхат услугама и онлине играма је регистровање налога са именом као што је „Администратор“ и слање људи застрашујућим порукама као што је „УПОЗОРЕЊЕ: Открили смо да неко може да хакује ваш налог, одговара вашом лозинком да бисте се аутентификовали“. Ако циљ одговара са својом лозинком, пали су на трик и нападач сада има своју лозинку за налог.
Ако неко има ваше личне податке, они би могли да га искористе за приступ вашим рачунима. На пример, информације као што су датум рођења, број социјалног осигурања и број кредитне картице често се користе за идентификацију. Ако неко има те информације, они могу контактирати посао и претварати се да сте ви. Овај трик је познат по томе што је нападач користио приступ Иахоо! Маил аццоунт у 2008, слање довољно личних података за приступ рачуну путем Иахоо! Исти метод се може користити и преко телефона ако имате личне податке које компанија захтева да би вас аутентификовала. Нападач са неким информацијама о мети може се претварати да је он и добити приступ до више ствари.
Друштвени инжењеринг се такође може користити лично. Нападач може ући у посао, обавијестити секретарицу да је особа за поправке, нови запосленик или инспектор за ватру у ауторитативном и увјерљивом тону, а затим лутати по дворанама и потенцијално украсти повјерљиве податке или погурати грешке ради корпоративне шпијунаже. Овај трик зависи од тога да ли се нападач представља као неко ко није. Ако секретарица, портир или ко год други није задужен, не поставља превише питања или пажљиво гледа, трик ће бити успешан.
Друштвено-инжењерски напади обухватају читав низ лажних веб страница, лажних е-порука и необичних цхат порука све до опонашања некога телефоном или особно. Ови напади долазе у разним облицима, али сви имају једну заједничку ствар - зависе од психолошких трикова. Социјално инжењерство се назива уметност психолошке манипулације. То је један од главних начина на који „хакери“ заправо „хакују“ рачуне на мрежи.
Како избећи социјални инжењеринг
Познавање социјалног инжењеринга може вам помоћи да се борите против њега. Будите сумњичави према нежељеним е-порукама, порукама за ћаскање и телефонским позивима који траже приватне информације. Никада не откривајте финансијске информације или важне личне информације путем е-поште. Не преузимајте потенцијално опасне прилоге е-поште и покрећите их, чак и ако е-пошта тврди да су важни.
Такође не би требало да пратите везе у е-поруци са осетљивим Веб локацијама. На пример, немојте кликнути везу у е-поруци која изгледа као да је из ваше банке и пријавите се. Она вас може одвести на лажни пхисхинг сајт прикривен да изгледа као сајт ваше банке, али са суптилно различитим УРЛ-ом. Посетите веб локацију директно.
Ако примите сумњиви захтев - на пример, телефонски позив ваше банке тражи личне податке - контактирајте извор директно и затражите потврду. У овом примеру бисте позвали своју банку и питали шта желе, а не откривати информације некоме ко тврди да је ваша банка.
Програми за е-пошту, веб прегледачи и безбедносни пакети обично имају филтере за пхисхинг који ће вас упозорити када посетите познато место за крађу идентитета. Све што могу да ураде је да вас упозоре када посетите познато место за крађу идентитета или да примите познату пхисхинг е-пошту, а они не знају за све локације или е-поруке за крађу идентитета. Већином је на вама да се заштитите - безбедносни програми могу само мало да помогну.
Добра је идеја да користите здраву сумњу када се бавите захтевима за приватним подацима и било чим другим што би могло бити напад на социјално-инжењерство. Сумња и опрез ће вас заштитити, и онлине и оффлине.
Имаге Цредит: Јефф Турнет на Флицкр-у