Zlonamjerni softver nije jedina prijetnja na mreži koja se brine. Društveno je inženjerstvo ogromna prijetnja i može vas pogoditi na bilo kojem operativnom sustavu. U stvari, socijalni inženjering se također može dogoditi preko telefona i u licem u lice situacijama.
Važno je biti svjestan društvenog inženjeringa i biti na vidikovcu. Sigurnosni programi neće vas zaštititi od većine društvenih prijetnji, stoga se morate zaštititi.
Tradicionalni napadi na računalu često ovise o pronalaženju ranjivosti u kodu računala. Na primjer, ako upotrebljavate zastarjele verzije Adobe Flasha - ili, zabranite, Java, koji je bio uzrok 91% napada u 2013. prema Ciscu - mogli biste posjetiti zlonamjernu web stranicu i tu web stranicu iskoristit će ranjivost vašeg softvera za pristup vašem računalu. Napadač manipulira bugovima u softveru kako bi dobio pristup i prikupio privatne podatke, možda s keyloggerom koji instalira.
Društvene inženjerske trikove su različite jer uključuju umjesto psihološke manipulacije. Drugim riječima, oni iskorištavaju ljude, a ne njihov softver.
Vjerojatno ste već čuli za phishing, što je oblik društvenog inženjeringa. Možete primiti e-poruku koja tvrdi da je iz vaše banke, tvrtke s kreditnom karticom ili nekog drugog pouzdane tvrtke. Oni bi vas mogli usmjeriti na lažnu web stranicu prikrivenu kako bi izgledala kao pravi ili će vas tražiti da preuzmete i instalirajte zloban program. No takve društveno-inženjerske trikove ne moraju uključivati lažne web stranice ili zlonamjerni softver. E-pošta za phishing možda će vas jednostavno zatražiti da pošaljete odgovor e-poštom privatnim informacijama. Umjesto da pokušaju iskoristiti bug u softveru, pokušavaju iskoristiti normalne ljudske interakcije. Krađa za krađu identiteta mogu biti još opasnija, jer je to oblik krađe identiteta dizajniran za ciljanje određenih pojedinaca.
Jedan od popularnih trikova u chat uslugama i online igrama bio je registriranje računa s imenom "Administrator" i slanje ljudi zastrašujućim porukama poput "UPOZORENJE: otkrili smo da netko može hakirati vaš račun i odgovoriti vašom lozinkom kako bi se autentično provjerio". Ako cilj reagira s lozinkom, pali su za trik i napadač sada ima zaporku računa.
Ako netko ima osobne podatke o vama, mogli bi je koristiti za pristup vašim računima. Na primjer, informacije kao što su datum rođenja, broj socijalnog osiguranja i broj kreditne kartice često se koriste za identifikaciju. Ako netko ima ove informacije, mogli bi kontaktirati tvrtku i pretvarati se da ste vi. Ovaj trik je poznato da je napadač pristupio Sarah Palin's Yahoo! Mail računa u 2008, podnošenje dovoljno osobnih podataka kako bi dobili pristup računu putem Yahoo! 'S lozinke za oporavak obrazac. Ista se metoda može upotrebljavati preko telefona ako imate osobne podatke koje tvrtka zahtijeva da vas autentičnu. Napadač s nekim informacijama o cilju može se pretvarati da je njima i da ima pristup više stvari.
Socijalno inženjerstvo također se može koristiti osobno. Napadač može ući u posao, obavijestiti tajnicu da je to osoba za popravak, novi zaposlenik ili vatrogasni inspektor u autoritativnom i uvjerljivom tonu, a potom lutaju dvorane i potencijalno kradu povjerljive podatke ili biljne greške za obavljanje špijunaža poduzeća. Ovaj trik ovisi o tome da se napadač predstavlja kao netko tko nije. Ako tajnik, vratar, ili tko god je zadužen, ne postavlja previše pitanja ili ne gleda previše, trik će biti uspješan.
Socijalni inženjerski napadi obuhvaćaju niz lažnih web stranica, lažnih e-poruka i nejasnih chat poruka sve do lažno predstavljanja nekoga na telefonu ili osobi. Ovi napadi dolaze u širokom rasponu oblika, ali svi imaju jednu zajedničku stvar - oni ovise o psihološkoj varljivosti. Socijalno inženjerstvo nazvano je umjetnošću psihološke manipulacije. To je jedan od glavnih načina "hakera" koji zapravo "hack" račune online.
Znanje o socijalnom inženjerstvu postoji može vam pomoći u borbi. Budite sumnjičavi za neželjene poruke e-pošte, chat poruke i telefonske pozive koji traže privatne informacije. Nikad ne objavljujte financijske informacije ili važne osobne podatke putem e-pošte. Nemojte preuzeti potencijalno opasne privitke e-pošte i pokrenuti ih, čak i ako e-adresa tvrdi da su važni.
Također ne biste trebali slijediti veze u e-poruci osjetljivim web stranicama. Na primjer, nemojte klikati vezu u e-poruci koja izgleda kao da je iz vaše banke i prijavite se. Može vas odvesti na lažnu web lokaciju za krađu identiteta prikrivenu kako bi izgledala kao web-lokacija banke, ali s podesno različitim URL-om. Posjetite izravno web stranicu.
Ako primite sumnjivi zahtjev - na primjer, telefonski poziv od banke traži osobne podatke - izravno se obratite izvoru zahtjeva i zatražite potvrdu. U ovom ćete primjeru nazvati vašu banku i pitati što žele, a ne otkrivati informacije nekome tko tvrdi da je vaša banka.
Programi e-pošte, web-preglednici i sigurnosni paketi općenito sadrže filtre za krađu identiteta koji će vas upozoriti kada posjetite poznatu web-lokaciju za krađu identiteta. Sve što mogu učiniti je upozoriti vas kada posjetite poznato mjesto za krađu identiteta ili primite poznatu e-poštu za krađu identiteta i ne znate o svim web-lokacijama za krađu identiteta ili e-pošti vani. Za veći dio, na vama je da se zaštitite - sigurnosni programi mogu pomoći samo malo.
Dobro je iskoristiti zdrave sumnje kada se bave zahtjevima za privatnim podacima i bilo što drugo što bi moglo biti socijalno-tehnički napad. Sumnja i oprez će vas zaštititi, kako online tako i offline.
Slika: Jeff Turnet na Flickr
