W bezpieczeństwie komputerowym wiele problemów pojawia się pomimo najlepszych starań użytkownika. Na przykład możesz zostać trafiony złośliwym oprogramowaniem z powodu złośliwej reklamy w dowolnym momencie, tak naprawdę sprowadza się to do pecha. Istnieją kroki, które możesz podjąć, aby zminimalizować ryzyko, takie jak użycie narzędzia do blokowania reklam. Ale takie trafienie nie jest winą użytkownika. Inne ataki koncentrują się jednak na nakłonieniu użytkownika do zrobienia czegoś. Tego typu ataki mieszczą się w szerokim zakresie ataków socjotechnicznych.
Inżynieria społeczna polega na wykorzystaniu analizy i zrozumienia, w jaki sposób ludzie radzą sobie z określonymi sytuacjami, aby manipulować wynikiem. Socjotechnikę można przeprowadzić przeciwko dużym grupom ludzi. Jeśli chodzi o bezpieczeństwo komputera, jest on jednak zwykle używany przeciwko pojedynczym osobom, choć potencjalnie może być częścią dużej kampanii.
Przykładem inżynierii społecznej przeciwko grupie ludzi mogą być próby wywołania paniki jako odwrócenia uwagi. Na przykład wojsko przeprowadzające operację fałszywej flagi lub ktoś krzyczący „pożar” w ruchliwej lokalizacji, a następnie kradnący w chaosie. Na pewnym poziomie prosta propaganda, hazard i reklama to także techniki inżynierii społecznej.
Jednak w przypadku bezpieczeństwa komputerowego działania są bardziej indywidualne. Phishing próbuje przekonać użytkowników do kliknięcia i połączenia oraz wprowadzenia szczegółowych informacji. Wiele oszustw próbuje manipulować w oparciu o strach lub chciwość. Ataki socjotechniczne w bezpieczeństwie komputerowym mogą nawet zapuszczać się w świat rzeczywisty, na przykład próbując uzyskać nieautoryzowany dostęp do serwerowni. Co ciekawe, w świecie cyberbezpieczeństwa ten ostatni scenariusz i podobne są zwykle tym, co mamy na myśli, mówiąc o atakach socjotechnicznych.
Szersza inżynieria społeczna – online
Phishing to klasa ataków, która polega na skłonieniu ofiary do podania szczegółowych informacji atakującemu. Ataki phishingowe są zwykle przeprowadzane w systemie zewnętrznym, takim jak poczta elektroniczna, i dlatego mają dwa różne punkty socjotechniczne. Najpierw muszą przekonać ofiarę, że wiadomość jest wiarygodna i skłonić ją do kliknięcia łącza. Spowoduje to załadowanie strony phishingowej, na której użytkownik zostanie poproszony o wprowadzenie szczegółów. Zwykle będzie to ich nazwa użytkownika i hasło. Opiera się to na początkowym e-mailu i stronie phishingowej, które wyglądają wystarczająco przekonująco, aby użytkownik mógł im zaufać za pomocą socjotechniki.
Wiele oszustw próbuje nakłonić swoje ofiary do przekazania pieniędzy za pomocą socjotechniki. Klasyczne oszustwo „nigeryjskiego księcia” obiecuje dużą wypłatę, jeśli ofiara może uiścić niewielką opłatę z góry. Oczywiście, gdy ofiara uiści „opłatę”, nigdy nie otrzyma żadnej wypłaty. Inne rodzaje oszustw działają na podobnych zasadach. Przekonaj ofiarę do zrobienia czegoś, zazwyczaj do przekazania pieniędzy lub zainstalowania złośliwego oprogramowania. Ransomware jest tego przykładem. Ofiara musi przekazać pieniądze lub ryzykuje utratę dostępu do zaszyfrowanych danych.
Osobista inżynieria społeczna
Kiedy w świecie cyberbezpieczeństwa mówi się o inżynierii społecznej, zazwyczaj odnosi się to do działań w świecie rzeczywistym. Przykładowych scenariuszy jest mnóstwo. Jednym z najbardziej podstawowych jest tzw. tail-gating. To unosi się na tyle blisko kogoś, że przytrzymuje otwarte drzwi z kontrolą dostępu, aby cię przepuścić. Tail-gating można ulepszyć, tworząc scenariusz, w którym ofiara może ci pomóc. Jedną z metod jest spędzanie czasu z palaczami na zewnątrz podczas przerwy na papierosa, a następnie powrót do środka z grupą. Inną metodą jest noszenie czegoś niezręcznego. Ta technika ma jeszcze większe szanse powodzenia, jeśli to, co nosisz, może być dla innych. Na przykład, jeśli masz tacę z kubkami do kawy dla „swojego zespołu”, istnieje presja społeczna, aby ktoś przytrzymał ci otwarte drzwi.
Wiele osobistych inżynierii społecznej polega na stworzeniu scenariusza, a następnie uzyskaniu pewności w jego ramach. Na przykład inżynier społeczny może udawać pracownika budowlanego lub sprzątacza, którego można ogólnie przeoczyć. Podając się za dobrego Samarytanina, oddając „zagubiony” pendrive, pracownik może go podłączyć. Intencją byłoby sprawdzenie, do kogo należy, ale może następnie zainfekować system złośliwym oprogramowaniem.
Tego rodzaju osobiste ataki socjotechniczne mogą być bardzo skuteczne, ponieważ nikt tak naprawdę nie spodziewa się, że zostanie oszukany w taki sposób. Wiążą się jednak z dużym ryzykiem dla atakującego, który ma bardzo realną szansę złapania go na gorącym uczynku.
Wniosek
Inżynieria społeczna to koncepcja manipulowania ludźmi w celu osiągnięcia określonego celu. Jeden ze sposobów polega na stworzeniu realistycznej sytuacji, aby oszukać ofiarę, aby w nią uwierzyła. Możesz także stworzyć scenariusz, w którym istnieje presja społeczna lub oczekiwanie od ofiary działania niezgodnego ze standardowymi zaleceniami dotyczącymi bezpieczeństwa. Wszystkie ataki socjotechniczne polegają jednak na nakłonieniu jednej lub kilku ofiar do wykonania czynności, której oczekuje od nich atakujący.