Play Video
Miloš Milaković, glumac i kreator sadržaja
Play Video

Socijalni inženjering i ozloglašeni phishing

Socijalni inženjering (eng. Social Engineering) je akt psihološke manipulacije kojim se ljudi navode da odaju poverljive informacije. Ova tehnika se zasniva na ometanju pažnje određenog lica s ciljem prikupljanja informacija koje ono inače ne bi odalo (korisničko ime, lozinka ili podaci o platnim karticama), a kako bi se ti podaci kasnije zloupotrebili. Suština ove veštine je u lažnom predstavljanju, bilo da se ono odvija lično ili putem telefona, interneta ili nekog drugog elektronskog sredstva.

Cilj napadača uglavnom nije žrtva sama, već neki resursi koji su napadaču interesantni, kao što je mogućnost pristupa nekom serveru sa podacima. Staro je pravilo da je u bilo kom sistemu bezbednosti čovek, i samo čovek, najslabija tačka. A to je upravo ono mesto gde se socijalnim inženjeringom deluje, tako da primena čisto tehničkih sredstava za zaštitu uglavnom ne pomaže.

Napadi socijalnih inženjera su raznoliki, no, mogu se podeliti u dve osnovne metode — sa upotrebom tehnologija i bez upotrebe tehnologija.

Metode napada bez upotrebe tehnologije

Izmišljanje scenarija

Jedna od najčešćih metoda socijalnog inženjeringa usmerenih na osobe je stvaranje scenarija (eng. pretexting). Radi se o postupku korišćenja scenarija za navođenje osobe na otkrivanje informacija ili izvođenje neke radnje. Obično se izvodi preko telefona, a uključuje prethodno istraživanje te slaganje delova informacija za uspostavljanje poverenja kod žrtve. Ova se tehnika često koristi za neovlašćeno dobijanje informacija o kupcima, telefonskim zapisima, bankovnim računima i drugim poverljivim informacijama.

Usluga za uslugu

Usluga za uslugu (lat. quid pro quo) predstavlja napad u kom vam obmanjivač nudi uslugu ili novac u zamenu za neku poverljivu informaciju. Često se predstavlja kao neko ko će vam rešiti problem, a od vas će očekivati samo da mu kažete korisničko ime i lozinku koji su mu neophodni za rešavanje problema.

Uhođenje

Primer uhođenja (eng. tailgating) kao metode je kada napadač čeka priliku da neko od zaposlenih otključa ulaz u prostor, potom ga zamoli da mu pridrži vrata da uđe pod izgovorom da je zaboravio svoju karticu za otključavanje. Takođe, pod ovim napadom se podrazumeva i pozajmljivanje laptopa ili telefona radi izvršenja neke proste radnje (poziv ili provera elektronske pošte) kada, ustvari, obmanjivač instalira maliciozni softver na vaš uređaj.

Metode napada uz upotrebu tehnologije

Pecanje

Kao jedna od metoda socijalnog inženjeringa usmerenih na tehnologiju, pecanje (eng. phishing) predstavlja skup aktivnosti kojima neovlašćeni korisnici pomoću lažnih poruka elektronske pošte i lažnih veb-stranica pokušavaju korisnika navesti na otkrivanje poverljivih ličnih podataka (npr. JMBG, korisnička imena i lozinke, PIN brojevi i brojevi kreditnih kartica). Lažni imejlovi ili lažne veb-stranice izgledom sasvim odgovaraju legitimnim veb-stranicama banki, društvenih mreža ili veb-prodavnica.

Nažalost, veliki broj korisnika nije upoznat sa ovim tipom prevare. Jednom kad dođu do ovih informacija, zlonamerni korisnici se njima koriste za sticanje finansijske koristi ili prikrivanje kriminalnih aktivnosti identitetom prevarenog korisnika, ili ih prodaju zainteresovanim stranama.

Postavljanje klopke

Postavljanje klopke (eng. baiting) je kada napadač ostavi malicioznim softverom zaražen fizički uređaj (USB fleš memoriju, CD i sl.) na vidljivo mesto gde će ga željena žrtva sigurno pronaći. Potom, kad neki od tih uređaja budu povezani na računar, maliciozni softver će biti automatski instaliran. Klopka može biti u obliku filma ili muzike koji će biti skinuti sa interneta i potom zaraziti računar.

Saveti za odbranu od napada socijalnih inženjera

  • Zaštitite poverljive informacije, a pogotovo lične podatke. Podaci kao što su: JMBG, devojačko prezime vaše majke, ime deteta ili kućnog ljubimca, u pogrešnim rukama mogu biti itekako zloupotrebljeni posebno ako služe kao sigurnosna provera vašeg identiteta prilikom realizacije nekih usluga (npr. bankarske veb-usluge i onlajn kupovine).
  • Sigurnost, pre ljubaznosti. Najpre pitajte sebe, a onda pitajte i osobu koja traži informaciju, šta će joj takva informacija.
  • Koristite višefaktorsku proveru identiteta za sve, a posebno važne servise kojima pristupate onlajn.
  • Ne otvarajte nepoznate linkove. Kompanije vam neće pisati sa privatnih imejl adresa. Sadržaj imejla koji obiluje gramatičkim i pravopisnim greškama najčešće sadrži fišing link, čak i ako linkovan tekst u imejlu izgleda kao validna adresa sajta ili e-pošte.
  • Obratite pažnju na nazive domena u adresama sa kojih stiže e-pošta (pogrešno napisano ime firme, adresa na trećem ili pak četvrtom nivou).
  • Ukoliko vas neko požuruje na reakciju (npr. brzu kupovinu radi ostvarenja popusta) ili se poziva na neki autoritet (važan sektor u vašoj firmi, neki javni servis i sl.) budite skeptični i nikada ne popustite pod pritiskom već pažljivo razmotrite svoju reakciju.
  • Oprezno se ponašajte na društvenim mrežama i javnim prostorima – ne delite sa svima podatke iz privatnog života.
  • Zaštitite svoj računar i internetsku vezu – koristite tzv. antifišing programe.

Autor teksta: Nikola Todorović, trener Nacionalnog tima Srbije u sajber bezbednosti