Umjetnost socijalnog inženjeringa: Jeste li uvjetovani?

Ilustracija muškarca u kapuljači pomoću lutkovnih žica na čovjeku je sjedila za stolom.

Kako postajemo bolji u osiguravanju naših računalnih sustava, otkrivamo da je najslabija obrana zapravo ljudsko biće. Socijalni inženjering je mračna umjetnost manipuliranja ljudima. Društveni hakeri možda žele pristupiti zgradi, dobiti informacije koje ne bi trebali imati ili jednostavno povećati njihov status u društvu.

Društveni hakeri proslavili su se u filmovima poput “Uhvati me ako možeš i šest stupnjeva razdvojenosti”, a isti šarm koji im pruža sposobnost manipulacije žrtvama može se pretvoriti u zvijezde za preljubničku javnost.

Socijalno hakiranje može biti u mnogim oblicima, poput telefonskih prijevara i e-pošte, namjerno iskorištavajućih brakova ili čitavih lažnih identiteta koji se održavaju desetljećima.

Ali kako oni to rade? I kako se možemo zaštititi od ljudi koji imaju dar da svi oko sebe odustanu od straže?

1) Na internetu postoji puno informacija o vama

U taktiku zvanu pretexting, haker će izmisliti izgovor da vas kontaktira, putem telefona ili e-pošte ili osobno. Često će to značiti istraživanje ogromne pozadine, obrazovanja, rada, pa čak i uređaja koji posjedujete. Napadači vas mogu iznenaditi nečim što bi moglo izgledati kao insajderski podaci, možda znajući vašu IP adresu ili univerzitetski ID. Mogli bi koristiti informacije koje ste dobrovoljno ponudili negdje drugdje na internetu, a zatim ih zaboravili.

Predtekst se često upotrebljava za dobivanje više informacija od cilja, a ponekad se navodi kao “potvrda” informacija. Može se koristiti za prevaru korisnika u obavljanju sigurnosno osjetljivih zadataka, poput preuzimanja softvera, onemogućavanja vatrozida ili zaobilaženja sigurnosnih mehanizama.

Druga taktika je a tehnika diverzije. To je kada vas napadač uvjeri da izvršite uplatu na drugi račun ili pošaljete svoju pošiljku na drugu adresu. Dovoljno često se ta taktika odnosi na preusmjeravanje komunikacijskih ili šifrirnih ključeva. Netko bi vas mogao nazvati, pretvarajući se da je predstavnik banke ili davatelja usluga e-pošte, a zatim će vam dati korisnu pomoć u vezi s porukom upozorenja. Osoba vam može reći da “sigurno ignorirate” upozorenja. Slično tome, od vas će se možda tražiti da započnete komunikaciju s nekim “iz drugog odjela” ili vam se dodijeli alternativni ključ za šifriranje koji se koristi s vašim računom.

2) Ljubazna ste i poštena osoba

Većina ljudi uživa pomagati druge na neki način i ne sumnjaju u napad iza svakog zahtjeva. I naravno, svoju pomoć ne bismo trebali zamijeniti neizdrživom paranojom.

Teško je održavati zdravu ravnotežu, a često se bilo kakvi znakovi paranoje susreću ismijavanjem.

Manje smo sumnjičavi kada nam se događaju dobre stvari. Skupi USB stick koji nađete na podu može sadržavati zlonamjerni softver ili bi puhasti medo poslani u vaš ured mogao sadržavati kameru ili uređaj za praćenje. Ova taktika je poznata kao ljevičare, a u ekstremnim slučajevima napadači mogu otići toliko daleko da kažu da su se “zaljubili u vas” ili ponuditi velike nagrade za natjecanja kojih se ne sjećate.

Ne vršijući oprez i provjeravajući identitet ljudi koji nam se obraćaju, napadači to mogu uspostaviti vlast nad nama. U velikoj je organizaciji teško znati točno tko je viši zapovjedni lanac, a novi zaposlenici su posebno ranjivi na ovu vrstu prijevara. Korporacija bi mogla biti podložnija ovakvim napadima nakon promjena uprave ili restrukturiranja.

Socijalni hakeri mogu čak iskoristite svoju dobrotu mnogo jasnije, jednostavno traženjem nečega. U teškom radnom okruženju, stresni zaposlenici često vrlo pozitivno reagiraju na ljubazne zahtjeve. U stvari, većina ljudi će ili odgovoriti na ljubaznost ili autoritet.

3) Otkrivate više o sebi nego što mislite

Možda ne znate jeste li vrsta osobe koja bolje reagira na autoritet ili na ljubaznost, ali vješti napadač može to brzo saznati čitajući suptilne znakove na vašim izrazima lica ili gestama ruku.

Victor Lustig, majstor zavjere koji je prevario trgovca otpadnim metalima vjerujući da je kupio Eiffelov toranj, objašnjava:

  • Budite strpljivi slušatelj (ovo je, ne govori se brzo, taj čovjek koji je dobio parove).
  • Pričekajte da druga osoba otkrije politička mišljenja, a zatim se s njima složite.
  • Neka druga osoba otkriva vjerska stajališta, a zatim neka ima ista.
  • Savjet za seksualne razgovore, ali nemojte ih slijediti ako druga osoba ne pokaže veliko zanimanje.
  • Nikada ne razgovarajte o bolesti, osim ako se ne pokaže neka posebna briga.
  • Nikad se ne upuštajte u osobne okolnosti osobe (cilj će vam na kraju sve reći).
  • Nikada se nemojte hvaliti – samo neka vaša važnost bude tiho očita.

Više ciljani i učinkovitiji mogu biti phishing napad. U svom najčešćem obliku, od banke dobijate e-poštu sa zahtjevom za prijavu na svoj račun. Ali umjesto da budete usmjereni na web lokaciju vaše banke, šaljete vas na identičnu web lokaciju u vlasništvu napadača. Ovaj napad može zaobići i dvofaktornu autentičnost. Kada se napadači pokušaju prijaviti na svoj stvarni račun, od banke vam može stići SMS-poruka sa sigurnosnim kodom. Oni će to dobiti jednostavnim traženjem da ga unesete na njihovu lažnu stranicu.

4) Vaš um lako skače do zaključaka

Mrzimo priznati kada ne prepoznajemo ljude koji tvrde da nas poznaju. Pogotovo ako se čini da znaju intimne detalje o sebi. U stvari, mnogo je vjerojatnije da ćemo se zavarati u pomisli da tu osobu moramo poznavati, umjesto da riskiramo sukob radi razjašnjenja prirode naše veze. To se iskorištava u nebrojenim telefonskim prevarama, gdje su ljudi naveli da vjeruju da ih njihovi udaljeni rođaci zovu i trebaju financijsku pomoć.

William Thompson, koji je živio u New Yorku 1840-ih, uvjeravao je slučajne strance ne samo da ga poznaju, već i da mu mogu vjerovati da će se pobrinuti za njihov vrijedan imetak. Brzo je postao poznat u cijeloj zemlji kao “čovjek iz povjerenja”.

5) Skloni ste vjerovanju da su drugi poput vas

Nemate zle namjere, pa zašto bi i drugi? Teško nam je zamisliti da ponekad naoko obični ljudi žele naštetiti vam.

Znate o zlim hakerima, ali oni napadaju samo nacionalne države i aktiviste za građanska prava, zar ne? Zašto bi netko prolazio kroz pokušaje da te uhvati? Nemate slučajeva krađe novca ili poslovne tajne. Pa zašto bi ljudi željeli da vam naštete?

U stvarnosti ste vi i vaši podaci vjerojatno puno vrjedniji nego što mislite, i možda ste već napadnuti na ovaj ili onaj način. Možda je riječ o automatiziranom napadu ili je to samo slučajnost, ali pametno je da sretnim slučajnostima slijepo ne vjerujete. Pazite na iznenadni izgled starog poznanika ili bilo kojeg čudnog zahtjeva koji vam se javi preko telefona.

Pročitajte više savjeta o privatnosti i sigurnosti na Internetu ovdje

Umjetnost socijalnog inženjeringa: Jeste li uvjetovani?
admin Author
Sorry! The Author has not filled his profile.