Kaj je socialni inženiring?
Socialni inženiring je dejanje izkoriščanja človeških slabosti za dostop do osebnih informacij in zaščitenih sistemov. Socialni inženiring se pri prodoru na cilj zanaša na manipuliranje posameznikov in ne na hektanje računalniških sistemov.
Razumevanje socialnega inženiringa
Na primer, ženska lahko pokliče banko žrtve moškega in se pretvarja, da je njegova žena, ki zahteva nujne primere in zahteva dostop do njegovega računa. Če ženska lahko uspešno predstavlja socialni inženir bančnega zastopnika za stranke s pritožbami na empatično nagnjenost zastopnika, bo morda uspela pridobiti dostop do moškega računa in mu lahko ukradla svoj denar. Podobno se lahko napadalec obrne na oddelek za pomoč strankam ponudnika e-pošte, da pridobi ponastavitev gesla, ki napadalcu omogoča nadzor nad e-poštnim računom cilja, namesto da bi se vdrl v ta račun.
Socialni inženiring se nanaša na manipulacijo cilja, tako da se ti odrečejo ključnim informacijam. Poleg kraje identitete posameznika ali ogrožanja kreditne kartice ali bančnega računa se lahko uporabi socialni inženiring za pridobivanje poslovnih skrivnosti podjetja ali izkoriščanje nacionalne varnosti.
Socialni inženiring je potencialne cilje težko preprečiti. Uporabljajo se previdnostni ukrepi, kot sta uporaba močnih gesel in dvofaktorska overitev za račune, vendar lahko računi še vedno ogrožajo tretje osebe z dostopom do svojih računov, na primer bančni uslužbenci. Vendar lahko posamezniki zmanjšajo svoje tveganje tako, da se izognejo zaupnim informacijam, bodijo previdni pri deljenju informacij na družbenih medijih, ne ponavljajo gesla, uporabljajo dvofaktorsko preverjanje pristnosti, uporabljajo ponarejene ali težko ugibljive odgovore na vprašanja o varnosti računa in vodijo pozorno spremljajte račune, zlasti finančne račune.
Napadalci pogosto uporabljajo presenetljivo preproste taktike v shemah socialnega inženiringa, na primer prosijo ljudi za pomoč. Druga taktika je izkoriščanje žrtev nesreč tako, da jih prosijo, naj posredujejo osebne podatke, kot so dekliška imena, naslovi, datumi rojstva in številke socialnega zavarovanja za pogrešane ali umrle ljubljene osebe - podatke, ki jih lahko kasneje uporabimo za krajo identitete.
Kot strokovnjak za tehnično podporo ali dobavitelj sta preprosta načina za pridobitev nepooblaščenega dostopa do računa, pa tudi pošiljanje navidezno zakonitega e-poštnega sporočila s škodljivo prilogo. Takšna e-poštna sporočila se pogosto pošljejo na delovni e-poštni naslov, kjer je manj verjetno, da bi bili ljudje neznani pošiljatelja.
E-poštna sporočila se lahko prikrijejo, kot da bi prišla od znanega pošiljatelja, ko jih dejansko pošlje heker. Bolj zapletene taktike, ki so namenjene določenim ljudem, lahko vključujejo spoznavanje njihovih interesov in nato pošljete cilju povezavo, povezano s tem zanimanjem. Povezava lahko vsebuje zlonamerno kodo, ki lahko ukrade osebne podatke iz njihovih računalnikov. Priljubljene tehnike socialnega inženiringa vključujejo lažno predstavljanje, lov na mačke, lov na rep in vabo.
