Kas ir sociālā inženierija un kā to var izvairīties?
Ļaunprātīga programmatūra nav vienīgais tiešsaistes apdraudējums, par ko jāuztraucas. Sociālā inženierija ir milzīgs drauds, un tas var skart jūs jebkurā operētājsistēmā. Faktiski sociālā inženierija var notikt arī pa tālruni un tiešās situācijās.
Ir svarīgi būt informētiem par sociālo inženieriju un būt uzmanīgiem. Drošības programmas neaizsargās jūs no sociālajiem inženierijas draudiem, tāpēc jums ir jāaizsargā sevi.
Sociālās inženierijas paskaidrojums
Tradicionālie uz datoriem balstīti uzbrukumi bieži vien ir atkarīgi no datora koda ievainojamības. Piemēram, ja izmantojat novecojušu Adobe Flash versiju vai, piemēram, dievu, Java, kas bija iemesls 91% no uzbrukumiem 2013. gadā saskaņā ar Cisco, jūs varat apmeklēt ļaunprātīgu vietni un šo vietni varētu izmantot jūsu programmatūras ievainojamību, lai piekļūtu datoram. Uzbrucējs manipulē ar kļūdām programmatūrā, lai piekļūtu un apkopotu privātu informāciju, iespējams, ar instalētu keylogger.
Sociālās inženierijas triki ir atšķirīgi, jo tie ir saistīti ar psiholoģisku manipulāciju. Citiem vārdiem sakot, viņi izmanto cilvēkus, nevis viņu programmatūru.
Jūs, iespējams, jau esat dzirdējuši par pikšķerēšanu, kas ir sociālās inženierijas veids. Jūs varat saņemt e-pasta ziņojumu, kurā apgalvots, ka esat no jūsu bankas, kredītkaršu uzņēmuma vai cita uzticama uzņēmuma. Viņi var novirzīt jūs uz viltotu tīmekļa vietni, kas slēpta, lai izskatītos kā īsts, vai lūgt lejupielādēt un instalēt ļaunprātīgu programmu. Taču šādām sociālo inženieru trikām nav jāietver viltotas tīmekļa vietnes vai ļaunprātīgas programmatūras. Pikšķerēšanas e-pasta adrese var vienkārši lūgt sūtīt e-pasta atbildi ar privātu informāciju. Tā vietā, lai mēģinātu izmantot kļūdu programmatūrā, viņi cenšas izmantot normālas cilvēku mijiedarbības. Spīringa pikšķerēšana var būt vēl bīstamāka, jo tā ir pikšķerēšanas veids, kas paredzēts mērķauditorijai.
Sociālās inženierijas piemēri
Viens populārs triks tērzēšanas pakalpojumos un tiešsaistes spēlēs ir bijis reģistrēt kontu ar nosaukumu “Administrators” un nosūtīt cilvēkiem biedējošus ziņojumus, piemēram, „BRĪDINĀJUMS. Mēs esam atklājuši, ka kāds var ielauzīt jūsu kontu, atbildiet ar savu paroli, lai autentificētu sevi.” Ja mērķis atbilst viņu parolei, viņi ir samazinājušies par triku, un uzbrucējam tagad ir sava konta parole.
Ja kādam ir personiska informācija par jums, viņi var to izmantot, lai piekļūtu jūsu kontiem. Piemēram, jūs identificējat informāciju, piemēram, dzimšanas datumu, sociālās apdrošināšanas numuru un kredītkartes numuru. Ja kādam ir šī informācija, viņi var sazināties ar uzņēmumu un izlikties kā jums. Šis triks tika labi izmantots uzbrucējam, lai piekļūtu Sarah Palin Yahoo! Pasta konts 2008. gadā, iesniedzot pietiekami daudz personas datu, lai piekļūtu kontam, izmantojot Yahoo! To pašu metodi var izmantot, lai tālruni pārsūtītu, ja jums ir personiskā informācija, kas uzņēmumam nepieciešama, lai jūs autentificētu. Uzbrucējs ar zināmu informāciju par mērķi var izlikties par tiem un piekļūt vairākām lietām.
Sociālo inženieriju varētu izmantot arī personīgi. Uzbrucējs var ieiet uzņēmumā, informēt sekretāru, ka viņš ir remontdarbinieks, jauns darbinieks vai ugunsdrošības inspektors ar autoritatīvu un pārliecinošu toni un pēc tam klīst hallēs un, iespējams, nozagt konfidenciālus datus vai augu kļūdas, lai veiktu korporatīvo spiegošanu. Šis triks ir atkarīgs no uzbrucēja, kurš sevi prezentē kā tādu, kuru viņi nav. Ja sekretārs, durvju sargs vai kāds cits, kas ir atbildīgs, neprasa pārāk daudz jautājumu vai izskatās pārāk cieši, triks būs veiksmīgs.
Sociālās inženierijas uzbrukumi aptver viltotu tīmekļa vietņu klāstu, krāpnieciskus e-pasta ziņojumus un nepatīkamus tērzēšanas ziņojumus līdz pat kādam personai, kas atrodas tālrunī vai personīgi. Šie uzbrukumi ir ļoti dažādi, taču tiem visiem ir viena kopīga iezīme - tie ir atkarīgi no psiholoģiskās trikšanas. Sociālo inženieriju sauc par psiholoģiskās manipulācijas mākslu. Tas ir viens no galvenajiem veidiem, kā “hakeri” faktiski „iepako” kontus tiešsaistē.
Kā izvairīties no sociālās inženierijas
Zinot, ka pastāv sociālā inženierija, jūs varat palīdzēt to cīnīties. Esiet aizdomīgi par nevēlamiem e-pasta ziņojumiem, tērzēšanas ziņām un tālruņa zvaniem, kas prasa privātu informāciju. Nekad neatklājiet finanšu informāciju vai svarīgu personisku informāciju pa e-pastu. Neielādējiet potenciāli bīstamus e-pasta pielikumus un nedarbiniet tos pat tad, ja e-pasta ziņojumi ir svarīgi.
Jūs arī nevajadzētu sekot saitēm e-pastā uz jutīgām tīmekļa vietnēm. Piemēram, neklikšķiniet uz saites savā e-pastā, kas, šķiet, ir no jūsu bankas, un piesakieties. Tā var aizvest uz viltotu pikšķerēšanas vietni, kas slēpta, lai izskatītos kā jūsu bankas vietne, bet ar nedaudz atšķirīgu URL. Vietas vietā apmeklējiet vietni.
Ja saņemat aizdomīgu pieprasījumu - piemēram, jūsu bankas telefona zvans pieprasa personisku informāciju, sazinieties ar pieprasījuma avotu un lūdziet apstiprinājumu. Šajā piemērā jūs zvanīsiet savai bankai un jautājiet, ko viņi vēlas, nevis izpaust informāciju kādam, kas apgalvo, ka ir jūsu banka.
E-pasta programmām, tīmekļa pārlūkprogrammām un drošības komplektiem parasti ir pikšķerēšanas filtri, kas brīdinās, kad apmeklējat zināmu pikšķerēšanas vietni. Viss, ko viņi var darīt, ir brīdināt jūs, kad apmeklējat zināmu pikšķerēšanas vietni vai saņemat zināmu pikšķerēšanas e-pastu, un viņi nezina par visām pikšķerēšanas vietnēm vai e-pasta ziņojumiem. Lielākoties tas ir atkarīgs no jums, lai aizsargātu sevi - drošības programmas var palīdzēt mazliet.
Tā ir laba ideja izmantot veselīgas aizdomas, kad nodarbojas ar privāto datu pieprasījumiem, un kaut kas cits, kas varētu būt sociāli inženierijas uzbrukums. Aizdomas un piesardzība palīdzēs aizsargāt jūs gan tiešsaistē, gan bezsaistē.
Image Credit: Jeff Turnet par Flickr