Primjeri društvenog inženjeringa
Jedan popularan trik u chat servisima i online igricama je registracija računa s imenom kao što je “Administrator” i slanje zastrašujućih poruka ljudima poput “UPOZORENJE: Otkrili smo da neko možda hakuje vaš račun, odgovorite sa svojom lozinkom da se autentifikujete.” Ako meta odgovori svojom lozinkom, nasjeli su na trik i napadač sada ima svoju lozinku za račun.
Ako neko ima lične podatke o vama, mogao bi ih koristiti za pristup vašim računima. Na primjer, informacije kao što su datum rođenja, broj socijalnog osiguranja i broj kreditne kartice često se koriste za vašu identifikaciju. Ako neko ima ove informacije, mogao bi kontaktirati firmu i pretvarati se da ste vi. Ovaj trik je poznato koristio napadač da bi dobio pristup Yahoo-u Sarah Palin! Pošta račun 2008. godine, podnošenjem dovoljno ličnih podataka za pristup računu putem Yahoo! obrasca za oporavak lozinke. Ista metoda se može koristiti i za telefoniranje ako imate lične podatke koje su poslovnim subjektima potrebni da vas autentifikuju. Napadač sa nekim informacijama o meti može se pretvarati da je on i dobiti pristup više stvari.
Društveni inženjering se takođe može koristiti lično. Napadač bi mogao ući u posao, obavijestiti sekretaricu da je osoba za popravku, novi zaposlenik ili vatrogasni inspektor autoritativnim i uvjerljivim tonom, a zatim lutati hodnicima i potencijalno ukrasti povjerljive podatke ili podmetnuti greške za obavljanje korporativne špijunaže. Ovaj trik zavisi od toga da se napadač predstavi kao neko ko nije. Ako sekretarica, vratar ili bilo tko drugi zadužen ne postavlja previše pitanja ili gleda previše izbliza, trik će biti uspješan.
Napadi društvenog inženjeringa obuhvataju niz lažnih web stranica, lažnih e-poruka i podlih poruka u ćaskanju, sve do lažnog predstavljanja nekoga preko telefona ili uživo. Ovi napadi dolaze u raznim oblicima, ali svi imaju jednu zajedničku stvar – zavise od psiholoških trikova. Socijalni inženjering se naziva umjetnošću psihološke manipulacije. To je jedan od glavnih načina na koji "hakeri" zapravo "hakuju" račune na mreži.
Kako izbjeći društveni inženjering
Saznanje o postojanju društvenog inženjeringa može vam pomoći u borbi protiv njega. Budite sumnjičavi prema neželjenim e-porukama, chat porukama i telefonskim pozivima koji traže privatne informacije. Nikada nemojte otkrivati finansijske informacije ili važne lične podatke putem e-pošte. Nemojte preuzimati potencijalno opasne priloge e-pošte i pokretati ih, čak i ako se u e-poruci tvrdi da su važni.
Također ne biste trebali pratiti linkove u e-poruci na osjetljive web stranice. Na primjer, nemojte kliknuti na link u e-poruci za koju se čini da je iz vaše banke i prijavite se. Može vas odvesti na lažnu phishing stranicu prerušenu da izgleda kao stranica vaše banke, ali sa suptilno drugačijim URL-om. Umjesto toga posjetite web stranicu direktno.
Ako primite sumnjiv zahtjev - na primjer, telefonski poziv iz vaše banke traži lične podatke - kontaktirajte direktno izvor zahtjeva i zatražite potvrdu. U ovom primjeru, nazvali biste svoju banku i pitali šta žele umjesto da otkrijete informacije nekome ko tvrdi da je vaša banka.
Programi za e-poštu, web pretraživači i sigurnosni paketi općenito imaju filtere za krađu identiteta koji će vas upozoriti kada posjetite poznatu phishing stranicu. Sve što mogu učiniti je da vas upozore kada posjetite poznatu phishing stranicu ili primite poznatu phishing e-poštu, a ne znaju za sve phishing stranice ili e-poruke. Uglavnom, na vama je da se zaštitite - sigurnosni programi mogu samo malo pomoći.
Dobra je ideja imati zdravu sumnju kada se bavite zahtjevima za privatnim podacima i bilo čim drugim što bi moglo biti napad društvenog inženjeringa. Sumnja i oprez će vas zaštititi, kako na mreži tako i van mreže.
