У рачунарској безбедности, многи проблеми се јављају упркос најбољим напорима корисника. На пример, злонамерни софтвер може да вас погоди у било ком тренутку, у ствари је лоша срећа. Постоје кораци које можете предузети да смањите ризик, као што је коришћење блокатора огласа. Али ово што сте ударили није грешка корисника. Други напади се ипак фокусирају на превару корисника да нешто уради. Ове врсте напада долазе под широким барјаком напада социјалног инжењеринга.
Друштвени инжењеринг подразумева коришћење анализе и разумевања како људи поступају у одређеним ситуацијама да би манипулисали исходом. Социјални инжењеринг се може извести против великих група људи. У погледу рачунарске безбедности, међутим, обично се користи против појединаца, иако потенцијално као део велике кампање.
Пример социјалног инжењеринга против групе људи могу бити покушаји изазивања панике као ометања. На пример, војска која изводи операцију лажне заставе или неко виче „ватра“ на прометној локацији, а затим краде у хаосу. На неком нивоу, једноставна пропаганда, коцкање и оглашавање су такође технике друштвеног инжењеринга.
У рачунарској безбедности, међутим, радње су више индивидуалне. Пецање покушава да убеди кориснике да кликну и повежу и унесу детаље. Многе преваре покушавају да манипулишу на основу страха или похлепе. Напади социјалног инжењеринга у рачунарској безбедности могу чак да се упусте у стварни свет, као што је покушај неовлашћеног приступа серверској соби. Занимљиво је да се у свету сајбер безбедности овај последњи сценарио и слични њему обично мисли када се говори о нападима социјалног инжењеринга.
Шири друштвени инжењеринг – онлајн
Пхисхинг је класа напада која покушава да друштвеном инжењерингу жртву пружи детаље нападачу. Напади пхисхинг-а се обично испоручују у екстерном систему као што је путем е-поште, и тако имају две различите тачке друштвеног инжењеринга. Прво, морају да убеде жртву да је порука легитимна и да је натерају да кликне на везу. Ово затим учитава пхисхинг страницу, где ће се од корисника тражити да унесе детаље. Обично ће то бити њихово корисничко име и лозинка. Ово се ослања на иницијалну е-пошту и на пхисхинг страница који изгледају довољно убедљиво да друштвени инжењеринг корисника наведе да им верује.
Многе преваре покушавају да натерају своје жртве да им предају новац. Класична превара „нигеријског принца“ обећава велику исплату ако жртва може платити малу авансну накнаду. Наравно, када жртва плати „накнаду“, исплата се никада не добија. Друге врсте превара раде на сличним принципима. Убедите жртву да нешто уради, обично преда новац или инсталира малвер. Рансомваре је чак пример за то. Жртва треба да преда новац или ризикује да изгуби приступ подацима који су шифровани.
Лични социјални инжењеринг
Када се у свету сајбер безбедности помиње друштвени инжењеринг, он се обично односи на акције у стварном свету. Постоји много примера сценарија. Један од најосновнијих се зове таил-гатинг. Ово лебди довољно близу иза некога да држи отворена врата са контролисаним приступом како би вас пропустила. Уклањање репа се може побољшати постављањем сценарија у којем би вам жртва могла помоћи. Једна метода је да се дружите са пушачима напољу на паузи за дим, а затим се вратите унутра са групом. Други метод је да се види да носите нешто незгодно. Ова техника ће још вероватније успети ако оно што носите може бити за друге. На пример, ако имате послужавник са шољицама за кафу за „ваш тим“, постоји друштвени притисак да вам неко отвори врата.
Већи део друштвеног инжењеринга који се бави лично се ослања на постављање сценарија, а затим на уверење у њега. На пример, социјални инжењер се може представљати као нека врста грађевинског радника или чистача који се генерално може превидети. Представљајући се као добар Самарићанин, предаја „изгубљеног” УСБ флеш диска може довести до тога да га запослени укључи. Намера би била да се види коме припада, али би онда могло да зарази систем малвером.
Ове врсте личних напада социјалног инжењеринга могу бити веома успешне, јер нико заиста не очекује да ће бити тако преварен. Они, међутим, носе велики ризик за нападача који има врло реалне шансе да буде ухваћен на лицу места.
Закључак
Друштвени инжењеринг је концепт манипулације људима да би се постигао циљани циљ. Један од начина укључује стварање ситуације која изгледа стварно како би се жртва преварила да поверује. Такође можете креирати сценарио у којем постоји друштвени притисак или очекивање да жртва поступи супротно стандардним безбедносним саветима. Међутим, сви напади социјалног инжењеринга се ослањају на превару једне или више жртава да изврше радњу коју нападач жели.