Ce este Ingineria Socială?

În securitatea computerelor, multe probleme apar în ciuda eforturilor depuse de utilizator. De exemplu, puteți fi lovit de malware din publicitate malware în orice moment, într-adevăr se datorează ghinionului. Există pași pe care îi puteți lua pentru a minimiza riscul, cum ar fi utilizarea unui blocant de anunțuri. Dar să fii lovit astfel nu este vina utilizatorului. Alte atacuri se concentrează însă pe păcălirea utilizatorului să facă ceva. Aceste tipuri de atacuri intră sub stindardul larg al atacurilor de inginerie socială.

Ingineria socială implică utilizarea analizei și înțelegerea modului în care oamenii gestionează anumite situații pentru a manipula un rezultat. Ingineria socială poate fi efectuată împotriva unor grupuri mari de oameni. În ceea ce privește securitatea computerelor, totuși, este folosit în mod obișnuit împotriva persoanelor fizice, deși potențial ca parte a unei campanii mari.

Un exemplu de inginerie socială împotriva unui grup de oameni ar putea fi încercările de a provoca panică ca distragere a atenției. De exemplu, un militar care efectuează o operațiune cu steag fals sau cineva care strigă „foc” într-o locație aglomerată și apoi fură în haos. La un anumit nivel, propaganda simplă, jocurile de noroc și publicitatea sunt, de asemenea, tehnici de inginerie socială.

În securitatea computerelor, totuși, acțiunile tind să fie mai individuale. Phishingul încearcă să convingă utilizatorii să facă clic și să conecteze și să introducă detalii. Multe escrocherii încearcă să manipuleze pe baza fricii sau lăcomiei. Atacurile de inginerie socială în securitatea computerelor se pot aventura chiar în lumea reală, cum ar fi încercarea de a obține acces neautorizat la o cameră de server. Interesant este că în lumea securității cibernetice, acest ultim scenariu și altele asemenea sunt de obicei ceea ce se înțelege atunci când se vorbește despre atacuri de inginerie socială.

Inginerie socială mai largă – online

Phishing-ul este o clasă de atac care încearcă să determine victima să ofere detalii unui atacator. Atacurile de tip phishing sunt livrate de obicei într-un sistem extern, cum ar fi prin e-mail, și astfel au două puncte distincte de inginerie socială. În primul rând, trebuie să convingă victima că mesajul este legitim și să o determine să facă clic pe link. Apoi se încarcă pagina de phishing, unde utilizatorului i se va cere apoi să introducă detalii. De obicei, acesta va fi numele de utilizator și parola lor. Acest lucru se bazează pe e-mailul inițial și pe pagina de phishing, ambele fiind suficient de convingătoare pentru a-i determina pe utilizator să aibă încredere în ele.

Multe escrocherii încearcă să-și determine victimele să predea bani. Escrocheria clasică „prințul nigerian” promite o plată mare dacă victima poate primi o mică taxă în avans. Desigur, odată ce victima plătește „taxa” nu se primește niciodată nicio plată. Alte tipuri de atacuri înșelătorii funcționează pe principii similare. Convingeți victima să facă ceva, de obicei să predea bani sau să instaleze programe malware. Ransomware-ul este chiar un exemplu în acest sens. Victima trebuie să predea bani sau riscă să piardă accesul la orice date criptate.

Inginerie socială personală

Când se face referire la ingineria socială în lumea securității cibernetice, se referă de obicei la acțiuni din lumea reală. Există o mulțime de scenarii exemple. Una dintre cele mai de bază se numește tail-gating. Acesta plutește suficient de aproape în spatele cuiva, încât acesta ține deschisă o ușă cu acces controlat pentru a te lăsa să treci. Tail-gate-ul poate fi îmbunătățit prin stabilirea unui scenariu în care victima vă poate ajuta. O metodă este să stai cu fumătorii afară într-o pauză de fum și apoi să te întorci înăuntru cu grupul. O altă metodă este să fii văzut că porți ceva incomodă. Această tehnică are și mai multe șanse să reușească dacă ceea ce porți ar putea fi pentru alții. De exemplu, dacă ai o tavă cu căni de cafea pentru „echipa ta”, există o presiune socială ca cineva să țină ușa deschisă pentru tine.

O mare parte din ingineria socială în persoană se bazează pe configurarea unui scenariu și apoi pe încredere în el. De exemplu, un inginer social s-ar putea prezenta ca un fel de muncitor în construcții sau de curățenie care poate fi în general trecut cu vederea. Prezentarea ca un bun samaritean, predarea unei unități USB „pierdute” ar putea duce la conectarea acesteia de către un angajat. Intenția ar fi să vedem cui îi aparține, dar ar putea apoi infecta sistemul cu malware.

Aceste tipuri de atacuri de inginerie socială în persoană pot avea mare succes, deoarece nimeni nu se așteaptă cu adevărat să fie păcălit așa. Cu toate acestea, ele prezintă un mare risc pentru atacatorul care are șanse foarte reale de a fi prins în flagrant.

Concluzie

Ingineria socială este conceptul de manipulare a oamenilor pentru a atinge un scop vizat. O modalitate presupune crearea unei situații cu aspect real pentru a păcăli victima să creadă asta. De asemenea, puteți crea un scenariu în care există o presiune socială sau o așteptare ca victima să acționeze împotriva sfatului standard de securitate. Totuși, toate atacurile de inginerie socială se bazează pe păcălirea uneia sau mai multor victime pentru a efectua o acțiune pe care atacatorul dorește să o facă.