Što je socijalni inženjering?
Društveni inženjering je čin iskorištavanja ljudskih slabosti za pristup osobnim informacijama i zaštićenim sustavima. Socijalni inženjering oslanja se na manipuliranje pojedincima, a ne na hakiranje računalnih sustava kako bi prodrli na račun cilja.
Razumijevanje socijalnog inženjeringa
Na primjer, žena može nazvati banku žrtve muškarca i pretvarati se da je njegova supruga koja traži hitne slučajeve i traži pristup njegovom računu. Ako žena može uspješno socijalno inženjerirati predstavnika službe za korisnike banaka tako što će se žaliti na empatičnu tendenciju zastupnika, ona će možda uspjeti dobiti muški račun i moći ukrasti njegov novac. Slično tome, napadač se može obratiti odjelu za korisnike usluga davatelja usluga e-pošte kako bi dobio resetiranje zaporke što omogućava napadaču da kontrolira račun e-pošte cilja, a ne da hakira taj račun.
Socijalni inženjering odnosi se na manipuliranje metom, tako da oni odustaju od ključnih informacija. Pored krađe identiteta pojedinca ili ugrožavanja kreditne kartice ili bankovnog računa, društveni se inženjering može primijeniti u dobivanju poslovne tajne tvrtke ili iskorištavanju nacionalne sigurnosti.
Društveni inženjering je teško spriječiti potencijalne ciljeve. Upotrebljavaju se mjere opreza poput upotrebe jakih lozinki i dvofaktorske provjere autentičnosti za račune, ali treće strane račune i dalje mogu ugroziti s pristupom svojim računima, poput zaposlenika banke. Međutim, pojedinci mogu umanjiti rizik tako što izbjegavaju davanje povjerljivih podataka, budu oprezni pri razmjeni informacija na društvenim medijima, ne ponavljaju lozinke, koriste dvofaktornu provjeru autentičnosti, koriste lažne ili teško pogodive odgovore na pitanja sigurnosti računa i drže pomno pazite na račune, posebno financijske račune.
Napadači često koriste iznenađujuće jednostavne taktike u shemama socijalnog inženjeringa, kao što je moljenje ljudi za pomoć. Druga taktika je iskorištavanje žrtava katastrofe tražeći od njih da pruže osobne podatke kao što su djevojačka imena, adrese, datum rođenja i brojevi socijalnog osiguranja za nestale ili umrle najmilije - podatke koji se kasnije mogu koristiti za krađu identiteta.
Pozitivni profesionalci ili osobe koje se bave isporukom jednostavni su načini za neovlašteni pristup računu, kao što je slanje naizgled legitimne poruke e-pošte sa zlobnim privitkom. Takve se poruke e-pošte često šalju na radnu adresu e-pošte na kojoj je manje vjerojatno da će ljudi biti sumnjivi prema nepoznatom pošiljatelju.
E-poruke se mogu prikriti kao da potječu od poznatog pošiljatelja kad ih je zapravo poslao haker. Razrađenije taktike koje su usmjerene na određene ljude mogu uključivati učenje o njihovim interesima, a zatim cilju slanje veze povezanu s tim interesom. Poveznica može sadržavati zlonamjerni kôd koji može ukrasti osobne podatke s njihovih računala. Popularne tehnike društvenog inženjeringa uključuju phishing, ribolov mačaka, lov na rep i mamac.
