При компютърната сигурност възникват много проблеми въпреки най-добрите усилия на потребителя. Например, можете да бъдете засегнати от злонамерен софтуер от злонамерена реклама по всяко време, това наистина се свежда до лош късмет. Има стъпки, които можете да предприемете, за да минимизирате риска, като например използване на рекламен блокер. Но да бъдеш ударен по този начин не е по вина на потребителя. Други атаки обаче се фокусират върху подвеждането на потребителя да направи нещо. Тези видове атаки попадат под широкото знаме на атаките със социално инженерство.
Социалното инженерство включва използване на анализ и разбиране на това как хората се справят с определени ситуации, за да манипулират резултата. Социалното инженерство може да се извършва срещу големи групи хора. По отношение на компютърната сигурност обаче, той обикновено се използва срещу физически лица, макар и потенциално като част от голяма кампания.
Пример за социално инженерство срещу група хора могат да бъдат опитите за предизвикване на паника като разсейване. Например военни, които извършват операция под фалшив флаг, или някой, който крещи „пожар“ на оживено място и след това краде в хаоса. На някакво ниво простата пропаганда, хазартът и рекламата също са техники за социално инженерство.
При компютърната сигурност обаче действията са по-скоро индивидуални. Фишингът се опитва да убеди потребителите да кликнат и да направят връзка и да въведат подробности. Много измами се опитват да манипулират въз основа на страх или алчност. Атаките чрез социално инженерство в компютърната сигурност могат дори да се впуснат в реалния свят, като например опит за получаване на неоторизиран достъп до сървърна стая. Интересното е, че в света на киберсигурността този последен сценарий и подобни на него обикновено се имат предвид, когато се говори за атаки чрез социално инженерство.
По-широко социално инженерство – онлайн
Фишингът е клас атака, която се опитва да създаде социално инженерство на жертвата, за да предостави подробности на нападателя. Фишинг атаките обикновено се доставят във външна система, като например чрез имейл, и така имат две различни точки на социално инженерство. Първо, те трябва да убедят жертвата, че съобщението е законно и да я накарат да кликне върху връзката. След това зарежда фишинг страницата, където потребителят ще бъде помолен да въведе подробности. Обикновено това ще бъде тяхното потребителско име и парола. Това разчита на това, че първоначалният имейл и фишинг страницата изглеждат достатъчно убедителни, за да накарат потребителя да им се довери чрез социално инженерство.
Много измами се опитват да накарат жертвите си чрез социално инженерство да предадат пари. Класическата измама „нигерийски принц“ обещава голямо изплащане, ако жертвата може да плати малка авансова такса. Разбира се, след като жертвата плати „таксата“, никога не се получава плащане. Други видове измамни атаки работят на подобни принципи. Убедете жертвата да направи нещо, обикновено предайте пари или инсталирайте зловреден софтуер. Ransomware дори е пример за това. Жертвата трябва да предаде пари или рискува да загуби достъп до данните, които са криптирани.
Лично социално инженерство
Когато се споменава социално инженерство в света на киберсигурността, то обикновено се отнася до действия в реалния свят. Има много примерни сценарии. Един от най-основните се нарича опашка. Това е достатъчно близо зад някого, че той държи отворена врата с контролиран достъп, за да ви пусне да преминете. Откриването на опашка може да бъде подобрено чрез създаване на сценарий, при който жертвата може да ви помогне. Един от методите е да се мотаете с пушачите навън на пауза за дим и след това да се върнете вътре с групата. Друг метод е да се види, че носите нещо неудобно. Тази техника е дори по-вероятно да успее, ако това, което носите, може да бъде за други. Например, ако имате поднос с чаши за кафе за „вашия екип“, има социален натиск някой да държи вратата отворена за вас.
Голяма част от личното социално инженерство разчита на създаване на сценарий и след това да бъдете уверени в него. Например, социален инженер може да се представя за някакъв вид строителен работник или чистач, който обикновено може да бъде пренебрегнат. Представяйки се за добър самарянин, предаването на „изгубено“ USB флаш устройство може да доведе до това служител да го включи. Целта е да се види на кого принадлежи, но след това може да зарази системата със зловреден софтуер.
Тези видове лични атаки чрез социално инженерство могат да бъдат много успешни, тъй като никой не очаква да бъде измамен по този начин. Те обаче носят голям риск за нападателя, който има много реални шансове да бъде хванат на местопрестъплението.
Заключение
Социалното инженерство е концепцията за манипулиране на хората за постигане на набелязана цел. Един от начините е да създадете реално изглеждаща ситуация, за да подмамите жертвата да повярва. Можете също така да създадете сценарий, при който има социален натиск или очакване жертвата да действа срещу стандартните съвети за сигурност. Всички атаки със социално инженерство обаче разчитат на подмамване на една или повече жертви да извършат действие, което нападателят иска от тях.