A számítógép-biztonság területén a felhasználó minden erőfeszítése ellenére sok probléma merül fel. Például a rosszindulatú hirdetésekből bármikor eltalálhat rosszindulatú program, ez valójában a balszerencsén múlik. Vannak olyan lépések, amelyeket megtehet a kockázat minimalizálására, például reklámblokkolót használ. De az ilyen ütés nem a felhasználó hibája. Más támadások azonban arra összpontosítanak, hogy rávegyék a felhasználót valamire. Az ilyen típusú támadások a social engineering támadások széles zászlaja alá tartoznak.
A társadalmi tervezés magában foglalja az elemzést és annak megértését, hogy az emberek hogyan kezelnek bizonyos helyzeteket az eredmény manipulálására. A social engineering nagy embercsoportok ellen is végrehajtható. A számítógépes biztonság szempontjából azonban jellemzően egyének ellen használják, bár potenciálisan egy nagy kampány részeként.
Az emberek egy csoportja elleni szociális tervezés példája lehet a pánik keltésére tett kísérlet, mint figyelemelterelés. Például egy katona, aki hamis zászlót hajt végre, vagy valaki „tüzet” kiabál egy forgalmas helyen, majd a káoszban lop. Valamilyen szinten az egyszerű propaganda, a szerencsejáték és a reklám is társadalmi tervezési technikák.
A számítógépes biztonságban azonban a tevékenységek általában egyénibbek. Az adathalászat megpróbálja meggyőzni a felhasználókat, hogy kattintsanak, linkeljenek, és adjanak meg részleteket. Sok csalás félelem vagy kapzsiság alapján próbál manipulálni. A számítógépes biztonság területén végrehajtott social engineering támadások akár a való világba is bemerészkedhetnek, például megpróbálhatnak jogosulatlan hozzáférést szerezni egy szerverszobához. Érdekes módon a kiberbiztonság világában ez az utolsó forgatókönyv és az ehhez hasonlók általában az, amit a social engineering támadásokról beszélünk.
Szélesebb körű social engineering – online
Az adathalászat a támadások egy csoportja, amely megpróbálja rávenni az áldozatot, hogy részleteket adjon meg a támadónak. Az adathalász támadások általában külső rendszeren, például e-mailen keresztül valósulnak meg, és ezért két különböző szociális tervezési pontjuk van. Először is meg kell győzniük az áldozatot az üzenet jogszerűségéről, és rá kell venniük, hogy kattintson a hivatkozásra. Ez betölti az adathalász oldalt, ahol a felhasználót felkérik a részletek megadására. Általában ez a felhasználónév és a jelszó. Ez azon múlik, hogy a kezdeti e-mail és az adathalász oldal is elég meggyőzőnek tűnik ahhoz, hogy a felhasználót úgy alakítsa ki, hogy bízzon bennük.
Sok csalás próbálja rávenni áldozatait, hogy pénzt adjanak át. A klasszikus „nigériai herceg” átverés nagy kifizetést ígér, ha az áldozat egy kis előleget fizet. Természetesen, ha az áldozat kifizette a „díjat”, soha nem érkezik kifizetés. Az átverési támadások más típusai is hasonló elven működnek. Győzd meg az áldozatot, hogy tegyen valamit, általában adjon át pénzt vagy telepítsen rosszindulatú programot. Még a Ransomware is egy példa erre. Az áldozatnak pénzt kell átadnia, különben azt kockáztatja, hogy elveszíti a hozzáférést a titkosított adatokhoz.
Személyes social engineering
Amikor a social engineeringre utalnak a kiberbiztonság világában, az általában a való világban végzett cselekvésekre utal. Rengeteg példa forgatókönyv van. Az egyik legalapvetőbb az úgynevezett "tail-gating". Ez elég közel lebeg valaki mögött ahhoz, hogy nyitva tartson egy beléptető ajtót, hogy átengedjen. A farokzárás fokozható egy olyan forgatókönyv felállításával, amelyben az áldozat segíthet. Az egyik módszer az, hogy kint lógunk a dohányosokkal egy füstszünetben, majd visszamegyünk a csoportba. Egy másik módszer az, ha valaki valami kínos dolgot hordoz magában. Ez a technika még nagyobb valószínűséggel lesz sikeres, ha az, amit hordsz, másoké is lehet. Például, ha van egy tálca kávésbögrével a „csapatodnak”, akkor társadalmi nyomás nehezedik arra, hogy valaki nyitva tartsa az ajtót előtted.
A személyes szociális tervezés nagy része egy forgatókönyv felállításán, majd a benne való magabiztosságon múlik. Például egy szociális mérnök valamiféle építőmunkásnak vagy takarítónak tűnhet, akit általában figyelmen kívül hagynak. Ha irgalmas szamaritánusnak adja ki magát, egy „elveszett” USB-meghajtó leadása azt eredményezheti, hogy egy alkalmazott bedugja azt. A cél az lenne, hogy megnézzük, kihez tartozik, de akkor megfertőzheti a rendszert rosszindulatú programokkal.
Az ilyen típusú, személyesen végrehajtott social engineering támadások nagyon sikeresek lehetnek, mivel senki sem számít igazán arra, hogy így átverik őket. Ezek azonban nagy kockázatot hordoznak a támadó számára, akinek nagyon valós esélye van arra, hogy tetten érik.
Következtetés
A social engineering az emberek manipulálásának koncepciója egy célzott cél elérése érdekében. Az egyik módja egy valósnak tűnő szituáció létrehozása, amellyel ráveszik az áldozatot, hogy elhiggye. Létrehozhat olyan forgatókönyvet is, amelyben társadalmi nyomás vagy elvárás van az áldozattól, hogy a szokásos biztonsági tanácsokkal szemben cselekedjen. Minden social engineering támadás azonban arra épül, hogy egy vagy több áldozatot rávegyenek a támadó által kívánt művelet végrehajtására.