Čo je Sociálne inžinierstvo? 11 príkladov, na ktoré si treba dať pozor
Obsah
Čo je vlastne sociálne inžinierstvo?
Sociálne inžinierstvo sa vzťahuje na akt manipulácie ľudí s cieľom získať ich dôverné informácie. Druh informácií, ktoré zločinci hľadajú, sa môže líšiť. Zvyčajne sú jednotlivci zacielení na svoje bankové údaje alebo heslá účtu. Zločinci sa tiež pokúšajú dostať do počítača obete, aby si nainštalovali škodlivý softvér. Tento softvér im potom pomáha získať akékoľvek informácie, ktoré by mohli potrebovať.
Zločinci používajú taktiku sociálneho inžinierstva, pretože je často ľahké zneužiť človeka tým, že si získa jeho dôveru a presvedčí ho, aby sa vzdal svojich osobných údajov. Je to pohodlnejší spôsob, ako sa priamo nabúrať do niekoho počítača bez jeho vedomia.
Príklady sociálneho inžinierstva
Budete sa môcť lepšie chrániť tým, že budete informovaní o rôznych spôsoboch, akými sa sociálne inžinierstvo vykonáva.
1. Pretextovanie
Pretexting sa používa, keď zločinec chce získať prístup k citlivým informáciám od obete na vykonanie kritickej úlohy. Útočník sa snaží získať informácie prostredníctvom niekoľkých starostlivo vytvorených klamstiev.
Zločinec začína tým, že si s obeťou vytvorí dôveru. Dá sa to urobiť tak, že sa vydajú za svojich priateľov, kolegov, bankových úradníkov, políciu alebo iné orgány, ktoré môžu požadovať takéto citlivé informácie. Útočník im kladie sériu otázok pod zámienkou potvrdenia ich identity a v tomto procese zhromažďuje osobné údaje.
Táto metóda sa používa na extrahovanie všetkých druhov osobných a oficiálnych údajov od osoby. Takéto informácie môžu zahŕňať osobné adresy, rodné čísla, telefónne čísla, telefónne záznamy, bankové údaje, dátumy dovoleniek zamestnancov, bezpečnostné informácie súvisiace s podnikmi atď.
2. Krádež odklonu
Ide o typ podvodu, ktorý je vo všeobecnosti zameraný na kuriérske a prepravné spoločnosti. Zločinec sa snaží oklamať cieľovú spoločnosť tým, že ju prinúti poskytnúť zásielku na iné miesto doručenia, než bolo pôvodne zamýšľané. Táto technika sa používa na odcudzenie vzácneho tovaru, ktorý je doručovaný poštou.
Tento podvod môže byť vykonaný offline aj online. Personál nesúci balíky môže byť oslovený a môže sa presvedčiť, aby odovzdal dodávku na inom mieste. Útočníci môžu tiež získať prístup k online systému doručovania. Potom môžu zachytiť harmonogram dodávok a vykonať v ňom zmeny.
3.Phishing
Phishing je jednou z najpopulárnejších foriem sociálneho inžinierstva. Phishingové podvody zahŕňajú e-mailové a textové správy, ktoré môžu v obetiach vyvolať pocit zvedavosti, strachu alebo naliehavosti. Text alebo e-mail ich podnecuje, aby klikli na odkazy, ktoré by viedli na škodlivé webové stránky alebo prílohy, ktoré by do ich zariadení nainštalovali malvér.
Používatelia online služby môžu napríklad dostať e-mail s tvrdením, že došlo k zmene zásad, ktorá od nich vyžaduje okamžitú zmenu hesiel. E-mail bude obsahovať odkaz na nelegálnu webovú stránku, ktorá je identická s pôvodnou webovou stránkou. Používateľ potom zadá poverenia svojho účtu na túto webovú stránku, pretože ju považuje za legitímnu. Po predložení ich údajov budú informácie prístupné zločincovi.
4. Spear Phishing
Ide o typ phishingového podvodu, ktorý je viac zameraný na konkrétneho jednotlivca alebo organizáciu. Útočník prispôsobuje ich správy na základe pracovných pozícií, charakteristík a zmlúv súvisiacich s obeťou, aby mohli pôsobiť skutočnejšie. Spear phishing si vyžaduje zo strany zločinca viac úsilia a môže zabrať oveľa viac času ako bežný phishing. Sú však ťažšie identifikovateľné a majú lepšiu úspešnosť.
Napríklad útočník, ktorý sa pokúša o phishing v organizácii, pošle e-mail zamestnancovi, ktorý sa vydáva za IT konzultanta firmy. E-mail bude orámovaný spôsobom, ktorý je presne podobný tomu, ako to robí konzultant. Bude pôsobiť dostatočne autenticky na to, aby oklamalo príjemcu. E-mail vyzve zamestnanca, aby si zmenil heslo tak, že mu poskytne odkaz na škodlivú webovú stránku, ktorá zaznamená ich informácie a odošle ich útočníkovi.
5. Vodné dierovanie
Podvod využíva dôveryhodné webové stránky, ktoré pravidelne navštevuje veľa ľudí. Zločinec zhromaždí informácie o cieľovej skupine ľudí, aby zistil, ktoré webové stránky často navštevujú. Tieto webové stránky budú následne testované na zraniteľnosť. Postupom času sa jeden alebo viacerí členovia tejto skupiny nakazia. Útočník potom bude mať prístup k zabezpečenému systému týchto infikovaných používateľov.
Názov pochádza z analógie, ako zvieratá pijú vodu tým, že sa zhromažďujú na svojich dôveryhodných miestach, keď sú smädné. Nerozmýšľajú dvakrát nad prijatím preventívnych opatrení. Predátori sú si toho vedomí, a tak čakajú neďaleko, pripravení na nich zaútočiť, keď ich stráž nepadne. Narážanie vody v digitálnom prostredí sa dá použiť na uskutočnenie niektorých z najničivejších útokov na skupinu zraniteľných používateľov súčasne.
6. Vnadenie
Ako je zrejmé z názvu, návnada zahŕňa použitie falošného sľubu na spustenie zvedavosti alebo chamtivosti obete. Obeť je nalákaná do digitálnej pasce, ktorá zločincovi pomôže ukradnúť ich osobné údaje alebo nainštalovať malvér do ich systémov.
Návnady sa môžu uskutočňovať prostredníctvom online aj offline médií. Ako príklad offline môže zločinec zanechať návnadu vo forme flash disku, ktorý bol infikovaný škodlivým softvérom na nápadných miestach. Môže to byť výťah, kúpeľňa, parkovisko atď. cieľovej spoločnosti. Flash disk bude mať autentický vzhľad, vďaka čomu ho obeť vezme a vloží do svojho pracovného alebo domáceho počítača. Flash disk potom automaticky exportuje malvér do systému.
Online formy návnady môžu byť vo forme atraktívnych a lákavých reklám, ktoré povzbudzujú obete, aby na ne klikli. Odkaz môže stiahnuť škodlivé programy, ktoré potom infikujú ich počítač škodlivým softvérom.
7. Quid Pro Quo
Útok quid pro quo znamená útok „niečo za niečo“. Je to variácia techniky vnadenia. Namiesto návnady obetí prísľubom prospechu, útok quid pro quo sľubuje službu, ak bola vykonaná konkrétna akcia. Útočník ponúka obeti falošnú výhodu výmenou za prístup alebo informácie.
Najbežnejšou formou tohto útoku je, keď sa zločinec vydáva za IT zamestnancov spoločnosti. Zločinec následne kontaktuje zamestnancov firmy a ponúkne im nový softvér alebo upgrade systému. Zamestnanec bude potom požiadaný, aby deaktivoval svoj antivírusový softvér alebo nainštaloval škodlivý softvér, ak chce aktualizáciu.
8. Tailgating
Útok tailgating sa tiež nazýva piggybacking. Zahŕňa zločinca, ktorý sa snaží o vstup do obmedzeného priestoru, ktorý nemá náležité autentifikačné opatrenia. Zločinec môže získať prístup tak, že vojde za inou osobou, ktorá má oprávnenie vstúpiť do priestoru.
Zločinec sa môže napríklad vydávať za vodiča dodávky, ktorý má plné ruky balíkov. Čaká, kým do dverí vstúpi poverený zamestnanec. Podvodný doručovateľ potom požiada zamestnanca, aby mu podržal dvere, čím mu umožní prístup bez akéhokoľvek povolenia.
9. Medová pasca
Tento trik spočíva v tom, že zločinec predstiera, že je atraktívnou osobou online. Osoba sa spriatelí so svojimi cieľmi a predstiera s nimi online vzťah. Zločinec potom využije tento vzťah na získanie osobných údajov svojich obetí, požičiavanie si peňazí od nich alebo ich prinúti nainštalovať malvér do svojich počítačov.
Názov „pasca na med“ pochádza zo starej špionážnej taktiky, kde sa ženy používali na zameriavanie sa na mužov.
10. Nezbedník
Nečestný softvér sa môže objaviť vo forme nečestného anti-malvéru, nečestného skenera, nečestného scareware, anti-spywaru atď. Tento typ počítačového malvéru zavádza používateľov, aby zaplatili za simulovaný alebo falošný softvér, ktorý sľuboval odstránenie škodlivého softvéru. Nečestný bezpečnostný softvér sa v posledných rokoch stáva čoraz väčším problémom. Nič netušiaci používateľ sa môže ľahko stať obeťou takéhoto softvéru, ktorého je k dispozícii veľa.
11. Škodlivý softvér
Cieľom malvérového útoku je prinútiť obeť, aby si nainštalovala malvér do svojich systémov. Útočník manipuluje s ľudskými emóciami, aby obeť prinútil vpustiť malvér do svojich počítačov. Táto technika zahŕňa použitie okamžitých správ, textových správ, sociálnych médií, e-mailu atď. na odosielanie phishingových správ. Tieto správy oklamú obeť, aby klikla na odkaz, ktorý otvorí webovú stránku, ktorá obsahuje malvér.
Na správy sa často používajú taktiky vystrašenia. Môžu povedať, že s vaším účtom nie je niečo v poriadku a že musíte okamžite kliknúť na uvedený odkaz, aby ste sa prihlásili do svojho účtu. Odkaz vás potom prinúti stiahnuť si súbor, prostredníctvom ktorého sa malvér nainštaluje do vášho počítača.
Buďte informovaní, zostaňte v bezpečí
Udržiavať si informácie je prvým krokom k tomu, aby ste sa pred tým ochránili útoky sociálneho inžinierstva. Základným tipom je ignorovať všetky správy požadujúce vaše heslo alebo finančné informácie. Na označenie takýchto e-mailov môžete použiť spamové filtre, ktoré sú súčasťou vašich e-mailových služieb. Získanie dôveryhodného antivírusového softvéru tiež pomôže zabezpečiť váš systém.
