Uvod

 

Socijalni inženjering, u smislu računalne odnosno informacijske sigurnosti, predstavlja vještinu navođenja ljudi na otkrivanje privatnih i tajnih podataka.

U većini slučajeva se radi o podacima s kojima napadač može ostvariti pristup računalnim sustavima tvrtki, ili čak financijskim računima žrtve. Razlog za provođenje socijalnog inženjeringa leži u činjenici da je čovjek najslabija karika u lancu informacijskog sustava.

Tako napad ne iskorištava propuste u implementaciji operacijskih sustava, protokola ili aplikacija, već psihološkim trikovima navodi korisnike istih na otkrivanje ključnih podataka o tim sustavima ili podataka koji su u tim sustavima pohranjeni. [6]

Često socijalni inženjering zahtijeva lažno predstavljanje napadača, najčešće kao osobe nadređene po hijerarhiji, kako bi se iskoristio autoritet i žrtvina želja za dokazivanjem.

Ponekad, napadač igra na suosjećanje žrtve i bira osobe na istoj razini ili čak podređene žrtvi.

U nekim slučajevima lažno predstavljanje nije niti potrebno. Konačni cilj svakog napada je stjecanje povjerljivih podataka koji bi napadaču osigurali nekakvu dobit, a najčešće se radi o podacima za pristup informacijskim sustavima tvrtki, organizacija ili privatnih korisnika.

 


 

Metode socijalnog inženjeringa

 

 

  • Uvjeravanje ili nagovaranje

 

Kako joj i samo ime govori, radi se o metodi kojom napadač određenim argumentima ili samo količinom podataka nagovara žrtvu na određenu radnju. Primjer iz svakodnevnog života su reklamne kampanje za određene proizvode i marketinški trikovi.

 

 

  • Stvaranje odgovarajuće situacije (eng. Pretexting)

 

Ova metoda podrazumijeva stvaranje scenarija u kojemu je žrtva prisiljena brzo donositi odluke, pod velikim psihološkim pritiskom, te je u takvim uvjetima podložnija odavanju povjerljivih podataka. Ova metoda često uključuje lažno predstavljanje napadača, te je usmjerena na žrtve točno određenih osobina ličnosti, podložnih takvom napadu.

 

  • Moralna odgovornost

 

Prilikom ovog napada, napadač se predstavlja kao netko blizak žrtvi, npr. novi djelatnik u tvrtki. Uspostavlja kontakt sa žrtvom te, igrajući na njezinu moralnu odgovornost i želju za pomaganjem kolegi, polako dolazi do povjerljivih informacija.

 

 

  • Želja za pomaganjem

 

U ovakvom napadu iskorištava se ljudska želja za pomaganjem nekome „u istoj situaciji“. Tako se napadač može lažno predstaviti kao terenski radnik kojem hitno trebaju određeni podaci ili će izgubiti posao. Žrtvu navede na prisjećanje ili zamišljanje slične situacije u kojoj su njoj trebali takvi podaci, uz izgovor kako se radi o malom kršenju protokola.

 

 

  • Iskorištavanje poznanstava

 

U ovakvom napadu žrtva i napadač se najčešće poznaju od ranije, odnosno dijele zajedničku prošlost. Ovakav napad ima visoku razinu uspješnosti i može se relativno brzo izvesti, odnosno priprema za isti nije toliko dugotrajna.

 

  • Pretraživanje smeća

 

Pretraživanje smeća najčešće nije dovoljno za otkrivanje potrebnih informacija, ali se može koristiti za stjecanje informacija koje omogućuju izvršavanje nekog drugog napada npr. za lažno predstavljanje. Pošto napadač već posjeduje neke informacije o žrtvi, lakše će ju uvjeriti da je riječ o vjerodostojnoj situaciji, te nagovoriti na suradnju i odavanje povjerljivih informacija.

 

 

  • Phishing

 

Slanjem lažnih obavijesti putem elektroničke pošte i/ili podizanjem lažnih web stranica, napadači mogu doći u posjed korisničkih podataka i lozinki žrtava.

 

  • Zavirivanje (eng. Shoulder surfing)

 

Još jedna od klasičnih metoda socijalnog inženjeringa je zavirivanje. Bilo da se radi o pogledu u žrtvin ekran i tipkovnicu prilikom unosa tajnih korisničkih podataka ili promatranju žrtvinih pokreta prilikom unosa PIN-a u bankomat, ova metoda temelji se na promatranju i analizi pokreta žrtve.

 

  • Podmetanje

 

Podmetanjem CD-ROM-a ili USB memorije na nekom javnom mjestu u tvrtki, napadač može navesti žrtvu da iz znatiželje provjeri sadržaj iste. Na taj način nesvjesno instalira zlonamjerni program koji napadaču omogućuje pristup žrtvinom računalu, odnosno tvrtkinim informacijskim sustavima.

 

  • Reverzni socijalni inženjering

 

Prilikom napada reverznim socijalnim inženjeringom, napadač se predstavlja žrtvi kao jedina osoba koja može riješiti postojeći problem. Postojeći problem može, ali ni ne mora biti stvoren od strane napadača. U procesu pomoći žrtvi i rješavanju postojećeg problema napadač dobiva puni pristup računalnim sustavima žrtve.

 

 

 

 

Zaštita od socijalnog inženjeringa

 

 

  • Edukacija zaposlenika

 

Kako socijalni inženjering koristi psihološke metode za prijevaru zaposlenika, edukacija zaposlenika kroz upoznavanje s najčešće korištenim metodama napada pokazalo se najboljom metodom u obrani od većine napada socijalnim inženjeringom.

 

  • Sigurnosna politika i prijava incidenta

 

Sigurnosna politika tvrtke bi trebala jasno propisati procedure za pristup određenim povjerljivim podacima. Jednako tako, treba postojati jednostavna procedura prijave sumnje na ostvareni neovlašten pristup podacima. Čest problem prilikom uspješnih napada socijalnim inženjeringom jest i sram prevarenih žrtava, uslijed čega se svi napadi niti ne prijavljuju.

 

  • Fizička sigurnost

 

Važno je ograničiti pristup određenim uređajima, čak i lokacijama, ovisno o poziciji zaposlenika. Potrebno je definirati pravila rukovanja i pristupa povjerljivim podacima. Navedena pravila trebala bi uključivati i preporuke za uništavanje povjerljivih podataka u papirnatom obliku, odnosno starih računala za otpis koja sadrže povjerljive podatke u digitalnom obliku.

 

  • Provjera ranjivosti

 

Jako dobra metoda zaštite jest angažiranje stručnjaka koji bi simulirali napad na organizaciju, te otkrili propuste koje je potrebno ispraviti. Uklanjanje nedostataka može uključivati mjere tehničke zaštite, edukaciju zaposlenika i sl.