Arvutiturbe valdkonnas ilmnevad paljud probleemid hoolimata kasutaja parimatest jõupingutustest. Näiteks võite igal hetkel sattuda pahavara ründetegevuse tõttu, see on tegelikult tingitud halvast õnnest. Riski minimeerimiseks saate astuda samme, näiteks kasutada reklaamiblokeerijat. Kuid niimoodi löömine ei ole kasutaja süü. Teised rünnakud keskenduvad aga kasutaja meelitamisele midagi teha. Seda tüüpi rünnakud kuuluvad sotsiaalse manipuleerimise rünnakute laia lipu alla.
Sotsiaalne manipuleerimine hõlmab analüüsi ja arusaamist sellest, kuidas inimesed teatud olukordades käituvad, et tulemusega manipuleerida. Sotsiaalset manipuleerimist saab läbi viia suurte inimrühmade vastu. Arvutiturbe seisukohalt kasutatakse seda aga tavaliselt üksikisikute vastu, ehkki potentsiaalselt osana suurest kampaaniast.
Inimeste rühma vastu suunatud sotsiaalse manipuleerimise näide võiks olla katsed tekitada paanikat tähelepanu hajutamiseks. Näiteks sõjaväelane, kes sooritab valelipuoperatsiooni või keegi karjub hõivatud kohas "tuld" ja varastab seejärel kaoses. Mingil tasandil on ka lihtne propaganda, hasartmängud ja reklaam sotsiaalse inseneri võtted.
Arvutiturbe valdkonnas kipuvad toimingud siiski olema individuaalsemad. Andmepüük püüab veenda kasutajaid klõpsama ja linkima ning üksikasju sisestama. Paljud kelmused püüavad manipuleerida hirmu või ahnuse põhjal. Arvutiturbe sotsiaalse manipuleerimise rünnakud võivad jõuda isegi reaalsesse maailma, näiteks serveriruumi volitamata juurdepääsu katse. Huvitav on see, et küberturvalisuse maailmas peetakse seda viimast ja sarnaseid stsenaariume tavaliselt silmas, kui räägitakse sotsiaalse manipuleerimise rünnakutest.
Laiem sotsiaalne manipuleerimine – võrgus
Andmepüük on rünnete klass, mille käigus püütakse ohvrit sotsiaalselt mõjutada ründajale üksikasju edastama. Andmepüügirünnakud edastatakse tavaliselt välises süsteemis, näiteks e-posti teel, ja seega on neil kaks erinevat sotsiaalse manipuleerimise punkti. Esiteks peavad nad veenma ohvrit, et sõnum on õigustatud, ja sundima teda lingil klõpsama. Seejärel laaditakse andmepüügileht, kus kasutajal palutakse sisestada üksikasjad. Tavaliselt on selleks nende kasutajanimi ja parool. See sõltub sellest, et esialgne meil ja andmepüügileht näevad mõlemad piisavalt veenvad välja, et kasutajat sotsiaalselt usaldada.
Paljud pettused püüavad oma ohvreid raha üle anda sotsiaalselt. Klassikaline "Nigeeria printsi" kelmus lubab suurt väljamakset, kui ohver saab tasuda väikese ettemaksu. Muidugi, kui ohver maksab "lõivu", siis väljamakseid ei maksta. Muud tüüpi kelmuste rünnakud toimivad sarnastel põhimõtetel. Veena ohver midagi tegema, tavaliselt raha üle andma või pahavara installima. Lunavara on isegi selle näide. Ohver peab raha üle andma, vastasel juhul võib ta kaotada juurdepääsu krüpteeritud andmetele.
Isiklik sotsiaalne manipuleerimine
Kui küberturvalisuse maailmas viidatakse sotsiaalsele manipuleerimisele, viitab see tavaliselt tegevustele reaalses maailmas. Näidisstsenaariume on palju. Üks kõige elementaarsemaid on nn tail-gating. See hõljub kellegi selja taga piisavalt lähedal, et nad hoiavad lahti juurdepääsukontrolliga ust, et teid läbi lasta. Tagatilumist saab tõhustada, kui koostate stsenaariumi, mille puhul ohver võib teid aidata. Üheks meetodiks on suitsetajatega väljas suitsupausil aega veeta ja siis seltskonnaga tagasi sisse minna. Teine meetod on näha, et teil on midagi ebamugavat. See tehnika õnnestub veelgi tõenäolisemalt, kui see, mida te kannate, sobib teistele. Näiteks kui teil on "oma meeskonna" jaoks kohvikruuside kandik, on sotsiaalne surve, et keegi peaks teie jaoks ust lahti hoidma.
Suur osa isiklikust sotsiaalsest manipuleerimisest põhineb stsenaariumi seadistamisel ja seejärel selles enesekindlal olemisel. Näiteks võib sotsiaalinsener esineda mõne ehitustöölise või koristajana, kes võib üldiselt tähelepanuta jääda. Hea samaarlasena esinemine ja "kadunud" USB-mälupulga üleandmine võib põhjustada selle, et töötaja ühendab selle vooluvõrku. Eesmärk oleks näha, kellele see kuulub, kuid see võib siis süsteemi pahavaraga nakatada.
Seda tüüpi isiklikud sotsiaalse manipuleerimise rünnakud võivad olla väga edukad, kuna keegi ei oota, et teda niimoodi pettaks. Kuid nendega kaasneb suur oht ründajale, kellel on väga reaalne võimalus teolt vahele jääda.
Järeldus
Sotsiaalne manipuleerimine on inimestega manipuleerimise kontseptsioon eesmärgi saavutamiseks. Üks võimalus hõlmab tõelise olukorra loomist, et petta ohver seda uskuma. Samuti saate luua stsenaariumi, mille puhul on sotsiaalne surve või ootus, et ohver käitub tavapäraste turvanõuannete vastaselt. Kõik sotsiaalse manipuleerimise rünnakud põhinevad aga ühe või mitme ohvri petmisel sooritama toimingut, mida ründaja soovib.