Socijalni inženjering vrsta je napada koji se oslanja na manipulaciju ili prevaru pojedinaca da odaju osjetljive informacije ili izvrše određenu radnju. Napade socijalnim inženjeringom cyber kriminalci često koriste za pristup osjetljivim informacijama, kao što su lozinke, brojevi kreditnih kartica ili osobni podaci, ili za dobivanje neovlaštenog pristupa računarskim sistemima ili mrežama.
Jedan od najčešćih oblika socijalnog inženjeringa je phishing. U phishing napadu, napadač šalje e-poštu ili poruku koja izgleda kao da je iz renomiranog izvora, kao što je banka ili poznata firma, i zahtijeva osjetljive informacije, kao što su lozinka ili broj kreditne kartice. Poruka također može sadržavati link koji, kada se klikne, preuzima malware na žrtvin računar.
Drugi oblik socijalnog inženjeringa je pretexting – izgovor, u kojem napadač stvara lažni identitet ili scenarij kako bi stekao povjerenje žrtve. Na primjer, napadač se može pretvarati da je predstavnik službe za korisnike firme i zatražiti osjetljive informacije od kupca koji ništa ne sumnja.
Spear phishing ciljani je oblik phishinga koji je posebno prilagođen određenom pojedincu ili organizaciji. Napadač će istražiti metu i upotrijebiti informacije koje je naučio za izradu poruke koja se čini legitimnom. Ovo je uobičajena taktika koja se koristi za dobivanje pristupa osjetljivim informacijama ili za širenje zlonamjernog softvera.
Baiting – Mamljenje je još jedan oblik socijalnog inženjeringa gdje napadač nudi primamljivu nagradu ili poticaj, poput besplatnog poklona ili nagrade, u zamjenu za osobne podatke. To se može učiniti putem e-pošte ili tekstualnih poruka ili putem društvenih medija.
Još jedan oblik socijalnog inženjeringa zove se Scareware, što je vrsta zlonamjernog softvera koji koristi taktiku straha kako bi uvjerio žrtvu da instalira zlonamjerni softver na svoj računar. Ove vrste napada često tvrde da je žrtvin računar zaražen virusom i da je zlonamjerni softver jedino rješenje za njegovo uklanjanje.
Još jedan oblik socijalnog inženjeringa je “vishing” ili “voicephishing”, što je telefonski napad sličan phishingu, ali umjesto upotrebe e-pošte, napadači koriste telefonske pozive kako bi prevarili žrtve da daju osobne podatke ili prebace novac. U ovoj metodi, napadač će lažno predstavljati firmu ili organizaciju i pokušati navesti žrtvu da prenese novac, pruži osobne podatke ili čak instalira malware na svoje računar.
Quid Pro Quo, je oblik socijalnog inženjeringa u kojem napadač nudi nešto vrijedno, poput tehničke podrške, u zamjenu za osobne podatke. To se može učiniti putem telefona, putem e-pošte ili tekstualnih poruka ili putem društvenih medija.
Sve ove vrste socijalnog inženjeringa su opasne jer se oslanjaju na manipulaciju ili prevaru pojedinaca da odaju osjetljive informacije ili izvrše određenu radnju. Napade društvenim inženjeringom može biti teško otkriti i spriječiti jer često uključuju naizgled legitimne zahtjeve ili ponude.
Društveni inženjering također se može dogoditi fizičkim sredstvima, kao što je dumpster diving ili shoulder surfing.
Dumpster diving je čin pregledavanja nečijeg smeća kako bi se pronašli osobni podaci, dok je shoulder surfing čin gledanja preko nečijeg ramena kako bi se prikupile informacije dok ih unosi na računaru ili mobilnom uređaju.
Ove su taktike posebno opasne jer iskorištavaju ljudske emocije i povjerenje, umjesto iskorištavanja tehničkih ranjivosti. Mogu se koristiti za dobijanje pristupa osjetljivim informacijama, kao što su finansijski podaci, osobni identifikacijski brojevi i akreditivi za prijavu, koje se mogu koristiti za krađu identiteta, finansijske prevare i druge zlonamjerne aktivnosti.
Za zaštitu od rizika socijalnog inženjeringa, važno je biti svjestan taktika koje se obično koriste i poduzeti mjere opreza kao što su:
- Budite oprezni s neželjenom e-poštom ili telefonskim pozivima, osobito onima u kojima se traže osobni podaci.
- Provjera identiteta osobe ili organizacije prije davanja osobnih podataka.
- Biti sumnjičav prema ponudama koje se čine previše dobrima da bi bile istinite.
- Korištenje jakih i jedinstvenih lozinki za sve račune.
- Održavanje antivirusnog i antimalware softvera ažurnim.
- Ne klikati na linkove ili preuzimati attachmente iz nepoznatih ili sumnjivih izvora.
- Biti svjestan svoje okoline prilikom unosa osobnih podataka.
- Redovito praćenje finansijskih izvoda i izvoda kreditnih kartica u potrazi za sumnjivim aktivnostima.
- Edukacija zaposlenika i članova porodice o rizicima socijalnog inženjeringa i zaštiti od njih.
Sve u svemu, društveni inženjering je ozbiljna prijetnja ličnoj i organizacijskoj sigurnosti i važno je biti svjestan taktika koje se obično koriste i poduzeti korake za zaštitu od njih. Razumijevanjem načina na koji funkcionira društveni inženjering i primjenom snažnih sigurnosnih praksi, pojedinci i organizacije mogu se bolje zaštititi od ovih rizika.
- Ovaj tekst je napisan uz pomoć vještačke inteligencije