Socijalni inžinjering

Socijalni inžinjering je sofisticirana i često subtilna tehnika koja zahtijeva temeljno razumijevanje ljudske psihologije i interakcija, ili prostim riječima umjetnost manipulacije ljudima. Iskorišćavanje ljudskih psiholoških karakteristika se sprovodi radi dobijanja neovlašćenog pristupa raznim resursima (informacije, sistemi, …), kod krađe indetiteta, raznih prevara, širenja malvera itd.

Mete socijalnog inžinjeringa mogu biti pojedinci, kompanije, vladine institucije, finansijske organizacije, web sajtovi i drugi entiteti koji su podložni manipulaciji putem ljudskih interakcija.

Tehnike socijalnog inžinjeringa

Najčešće tehnike socijalnog inžinjeringa uključuju:

• Phishing - slanje lažnih e-mailova koji izgledaju kao da dolaze od legitimnih izvora sa ciljem da se korisnici navedu da otkriju osjetljive informacije.
• Pretexting - stvaranje izmišljenog scenarija (preteksta) kako bi se od mete izvukle informacije.
• Baiting - nuđenje nečega privlačnog (npr. besplatan softver, …) kako bi se korisnici naveli da instaliraju malver ili otkriju osjetljive informacije.
• Quid pro quo - obećavanje koristi u zamjenu za informacije ili pristup.
• Tailgating - neovlašćeni ulazak u zaštićeni prostor prateći nekog ko ima pristup.
• Vishing - socijalni inžinjering preko telefona, gdje napadač pokušava da izvuče osjetljive informacije.

Koraci u procesu sprovođenja SI

Najčešći koraci koji prate socijalni inžinjering:

• Istraživanje - detaljno prikupljanje informacija o meti kako bi se napravila vjerodostojna obmana/prevara. Proces istraživanja obično uključuje prikupljanje:
  • ličnih podataka, profesionalnih informacija, navika, iteresovanja.
  • povezanost sa sajtovima, kompanijama i ponašanje na internetu.
  • indetifikacija ljudi sa kojima je meta povezana, njihova imena, e-mail adrese, br. telefona, profili na društvenim mrežama.
  • indetifikacija svih naloga povezanih sa društvenim mrežama, profili i aktivnosti na istim.
• Planiranje - sprovodi se na osnovu prikupljenih informacija i podrazumijeva razvoj strategije napada.
• Izgradnja povjerenja - stvaranje veze sa metom i uspostavljanje povjerenja kroz komunikaciju.
• Eksploatacija - korišćenje izgrađenog povjerenja ili stvorenog scenarija da se izvrši napad.
• Izlazna strategija - napuštanje interakcije na način koji neće izazvati sumnju ili otkriti napadača.

Prevencija i zaštita od socijalnog inžinjeringa

• Edukacija i svijest - redovno obučavanje zaposlenih i osvješćivanje o taktikama socijalnog inžinjeringa.
• Dvofaktorska autentifikacija - korišćenje više oblika verifikacije kako bi se smanjila šansa za neovlašćeni pristup.
• Pravila i procedure - uspostavljanje strogih protokola za rukovanje osjetljivim informacijama.
• Redovna provjera sigurnosti - simuliranje napada socijalnog inžinjeringa kako bi se testirala spremnost organizacije.
• Tehnička zaštita - korišćenje softvera za filtriranje e-mailova, anti-malver alata i drugih sigurnosnih sistema.

Zaštita od socijalnog inžinjeringa zahtijeva sveobuhvatan pristup koji obuhvata kako tehničke tako i ljudske faktore. Organizacije moraju kontinuirano raditi na unapređenju svojih sigurnosnih mjera i edukaciji zaposlenih kako bi minimizirale rizike od ovakvih napada.