Główna » jak » Czym jest inżynieria społeczna i jak można jej uniknąć?

    Czym jest inżynieria społeczna i jak można jej uniknąć?

    Złośliwe oprogramowanie nie jest jedynym zagrożeniem internetowym. Inżynieria społeczna stanowi ogromne zagrożenie i może uderzyć w dowolny system operacyjny. W rzeczywistości inżynieria społeczna może również zachodzić przez telefon i sytuacje twarzą w twarz.

    Ważne jest, aby mieć świadomość inżynierii społecznej i być czujnym. Programy zabezpieczające nie ochronią Cię przed większością zagrożeń związanych z inżynierią społeczną, więc musisz się chronić.

    Objaśnienie Inżynierii Społecznej

    Tradycyjne ataki oparte na komputerach często polegają na wykryciu luki w kodzie komputera. Na przykład, jeśli używasz przestarzałej wersji Adobe Flash - lub, nie daj Boże, Java, która była przyczyną 91% ataków w 2013 roku według Cisco - możesz odwiedzić złośliwą witrynę i tę witrynę wykorzysta lukę w oprogramowaniu, aby uzyskać dostęp do twojego komputera. Atakujący manipuluje błędami w oprogramowaniu, aby uzyskać dostęp i zbierać prywatne informacje, być może z zainstalowanym keyloggerem.

    Sztuczki inżynierii społecznej są inne, ponieważ w zamian wiążą się z psychologiczną manipulacją. Innymi słowy, wykorzystują ludzi, a nie ich oprogramowanie.

    Prawdopodobnie słyszałeś już o phishingu, który jest formą inżynierii społecznej. Możesz otrzymać wiadomość e-mail z informacją, że pochodzi z banku, firmy wydającej karty kredytowe lub innej zaufanej firmy. Mogą skierować cię na fałszywą stronę internetową, przebrana za prawdziwą, lub poprosić o pobranie i zainstalowanie złośliwego programu. Ale takie sztuczki socjotechniczne nie muszą obejmować fałszywych stron internetowych lub złośliwego oprogramowania. Wiadomość phishingowa może po prostu poprosić o wysłanie odpowiedzi e-mail z prywatnymi informacjami. Zamiast próbować wykorzystać błąd w oprogramowaniu, starają się wykorzystać normalne ludzkie interakcje. Ataki typu "spear phishing" mogą być jeszcze bardziej niebezpieczne, ponieważ jest to forma phishingu, której celem jest docieranie do określonych osób.

    Przykłady inżynierii społecznej

    Popularną sztuczką w czatach i grach online było zarejestrowanie konta o nazwie "Administrator" i wysyłanie ludziom przerażających wiadomości, takich jak "OSTRZEŻENIE: Wykryliśmy, że ktoś może włamać się na Twoje konto, odpowiedzieć hasłem, aby się uwierzytelnić". Jeśli cel odpowiada hasłem, wpadł na podstęp i atakujący ma teraz hasło do konta.

    Jeśli ktoś ma twoje dane osobowe, może go użyć, by uzyskać dostęp do twoich kont. Na przykład informacje takie jak data urodzenia, numer ubezpieczenia społecznego i numer karty kredytowej są często używane do identyfikacji Ciebie. Jeśli ktoś ma te informacje, może skontaktować się z firmą i udawać, że jest tobą. Ta sztuczka została wykorzystana przez atakującego, aby uzyskać dostęp do Yahoo! Sarah Palin! Konto pocztowe w 2008 roku, zawierające wystarczającą ilość danych osobowych, aby uzyskać dostęp do konta za pomocą formularza odzyskiwania hasła Yahoo! Ta sama metoda może zostać wykorzystana do połączenia przez telefon, jeśli posiadasz dane osobowe, których firma wymaga do uwierzytelnienia. Osoba atakująca z pewnymi informacjami na temat celu może udawać, że jest nimi i uzyskać dostęp do większej liczby rzeczy.

    Inżynieria społeczna może być również wykorzystywana osobiście. Osoba atakująca może wejść do firmy, poinformować sekretarza, że ​​jest osobą zajmującą się naprawą, nowym pracownikiem lub inspektorem straży pożarnej, autorytatywnie i przekonująco, a następnie wędrować po halach i potencjalnie wykraść poufne dane lub zasugerować błędy, aby przeprowadzić szpiegostwo korporacyjne. Ta sztuczka zależy od tego, czy napastnik przedstawi się jako ktoś, kim nie jest. Jeśli sekretarz, portier lub ktokolwiek inny jest odpowiedzialny, nie zadaje zbyt wielu pytań ani nie przygląda się zbyt uważnie, to trik się powiedzie.

    Ataki socjotechniczne obejmują szereg fałszywych stron internetowych, fałszywych wiadomości e-mail i nieczytelnych wiadomości na czacie, aż do podszywania się pod kogoś pod telefon lub osobę. Ataki te występują w wielu różnych formach, ale wszystkie mają jedną wspólną cechę - zależą od psychologicznej sztuczki. Inżynieria społeczna została nazwana sztuką manipulacji psychologicznej. Jest to jeden z głównych sposobów, w jaki "hakerzy" faktycznie "hackują" konta online.

    Jak unikać inżynierii społecznej

    Wiedza o inżynierii społecznej może pomóc ci w walce z nią. Bądź podejrzliwy wobec niechcianych wiadomości e-mail, wiadomości czatu i połączeń telefonicznych, które wymagają prywatnych informacji. Nigdy nie ujawniaj informacji finansowych lub ważnych danych osobowych e-mailem. Nie pobieraj potencjalnie niebezpiecznych załączników do wiadomości e-mail i nie uruchamiaj ich, nawet jeśli wiadomość e-mail twierdzi, że są one ważne.

    Nie powinieneś także podążać za linkami w wiadomościach e-mail do wrażliwych stron internetowych. Na przykład nie klikaj linku w e-mailu, który wydaje się pochodzić z Twojego banku i zaloguj się. Może to doprowadzić do fałszywej witryny phishingowej przebranej za stronę Twojego banku, ale z nieco innym adresem URL. Zamiast tego odwiedź stronę internetową.

    Jeśli otrzymasz podejrzaną prośbę - na przykład rozmowa telefoniczna z Twojego banku wymaga podania danych osobowych - skontaktuj się bezpośrednio ze źródłem żądania i poproś o potwierdzenie. W tym przykładzie możesz zadzwonić do swojego banku i zapytać, czego chce, zamiast ujawniać informacje osobie, która twierdzi, że jest bankiem.

    Programy pocztowe, przeglądarki internetowe i pakiety zabezpieczeń zazwyczaj mają filtry phishingowe, które ostrzegają, gdy odwiedzasz znaną stronę wyłudzającą informacje. Wszystko, co mogą zrobić, to ostrzec cię, gdy odwiedzasz znaną stronę wyłudzającą informacje lub otrzymujesz znany e-mail phishingowy i nie wiedzą oni o wszystkich witrynach wyłudzających informacje lub wiadomościach e-mail. W większości przypadków ochrona zależy od Ciebie - programy bezpieczeństwa mogą tylko trochę pomóc.


    Dobrze jest zachować zdrową podejrzliwość przy rozpatrywaniu wniosków o prywatne dane i wszystko, co może być atakiem socjotechnicznym. Podejrzenie i ostrożność pomogą chronić Cię zarówno w trybie online, jak i offline.

    Image Credit: Jeff Turnet na Flickr