Уметност социјалног инжењеринга: Да ли сте условљени?

Илустрација човека у дуксерици помоћу луткарских жица на човеку седела је за столом.


Како постајемо бољи у осигуравању наших рачунарских система, откривамо да је најслабија одбрамбена линија уствари људско биће. Социјални инжењеринг је мрачна вештина манипулисања људима. Социјални хакери можда желе приступ згради, добијање информација које не треба да имају или једноставно да повећају свој статус у друштву.

Друштвени хакери су глорификовани у филмовима попут “Ухвати ме ако можеш” и “Шест ступњева раздвојености”, а исти шарм који им даје могућности да манипулишу жртвама може се претворити у звезде за одбојну јавност.

Социјално хакирање може бити у многим облицима, као што су телефонске и е-маил преваре, намерно експлоатативни бракови или читави лажни идентитети који се одржавају деценијама.

Али како они то раде? И како се можемо заштитити од људи који имају дар да сви око себе одбаце своје страже?

1) На интернету постоји пуно информација о вама

У тактизи под називом предтекст, хакер ће измислити изговор да вас контактира, телефоном или е-поштом или лично. Често ће то значити вршење огромних истраживања о вашој позадини, вашем образовању, вашем раду, па чак и уређајима које имате. Нападачи вас могу изненадити нечим што изгледа попут инсајдерских информација, можда познавањем ваше ИП адресе или универзитетског ИД-а. Могу искористити информације које сте добровољно понудили негде другде на Интернету, а затим их заборавили.

Предтекст се често користи да би се добило више информација од циља, а понекад се наводи као “потврда” информација. Може се користити за превару корисника у обављању сигурносно осетљивих задатака, попут преузимања софтвера, онемогућавања фиревалл-а или заобилажења безбедносних механизама.

Друга тактика је: техника диверзије. То је случај када вас нападач убеди да извршите уплату на неки други рачун или да пошаљете пошиљку на другу адресу. Довољно често се та тактика односи на преусмеравање комуникацијских или шифрирних кључева. Неко би могао да вас назове, претварајући се да је представник банке или провајдера е-поште, а затим ће вам дати корисну помоћ у вези са поруком упозорења. Особа вам може рећи да „сигурно игноришете“ упозорења. Слично томе, од вас ће се можда затражити да започнете комуникацију с неким „из другог одељења“ или ћете добити алтернативни кључ за шифровање који бисте користили са својим налогом.

2) Ви сте добра и искрена особа

Већина људи ужива помагање другима на неки начин и не сумњају у напад иза сваког захтева. И наравно, своју корисност не треба заменити неподношљивом паранојом.

Тешко је одржавати здраву равнотежу, а често се било какви знакови параноје сусрећу са исмевањем.

Мање смо сумњиви када нам се догоде добре ствари. Скупи УСБ стицк који нађете на поду може садржавати злонамјерни софтвер или би пухасти медо послани у вашу канцеларију могао садржавати камеру или уређај за праћење. Ова тактика је позната као мамац, иу екстремним случајевима нападачи могу отићи толико далеко да кажу да су се „заљубили у вас“ или да нуде велике награде за такмичења којих се не сећате.

Не извршавајући опрез и проверавајући идентитет људи који нам се обраћају, нападачи то могу успоставити власт над нама. У великој организацији тешко је знати ко је више у ланцу командовања, а нови запослени су посебно рањиви на ову врсту преваре. Корпорација би могла бити подложнија оваквим нападима након промене менаџмента или реструктурирања.

Социјални хакери могу чак искористите своју доброту много јасније, једноставно тражењем нечега. У тешком радном окружењу, запослени под стресом често врло позитивно одговарају на љубазне захтеве. У ствари, већина људи ће или одговорити на љубазност или ауторитет.

3) Откривате више о себи него што мислите

Можда не знате да ли сте она особа која боље реагује на ауторитет или на љубазност, али вешт нападач може то брзо сазнати читајући суптилне знакове у вашим изразима лица или гестикулацијом руку..

Вицтор Лустиг, мајстор преваре који је преварио трговца отпадним металима верујући да је купио Ајфелов торањ, објашњава:

  • Будите стрпљиви слушалац (ово, не брзи разговор, добија преваранта на његовом удару).
  • Сачекајте да друга особа открије политичка мишљења, а затим се с њима сложите.
  • Нека друга особа открије религиозне погледе, а затим нека има иста.
  • Наговестите сексуалне разговоре, али немојте их следити ако друга особа не покаже велико интересовање.
  • Никада не разговарајте о болести, осим ако се не покаже нека посебна брига.
  • Никада не улазите у личне околности неке особе (мета ће вам на крају све рећи).
  • Никада се не хвалите – само нека ваша важност буде тихо очигледна.

Више циљани и ефикаснији могу бити пхисхинг напад. У свом најчешћем облику, од банке добијате е-пошту са захтевом за пријаву на свој рачун. Али уместо да будете усмерени на веб локацију своје банке, шаљете вас на идентичан сајт у власништву нападача. Овај напад може чак заобићи двофакторну аутентификацију. Када се нападачи покушају пријавити на ваш стварни рачун, од банке вам може стићи текстуална порука са сигурносним кодом. Они ће ово добити једноставним тражењем да га унесете на њихову лажну страницу.

4) Ваш ум лако скаче на закључке

Мрзимо признати када не препознајемо људе који тврде да нас познају. Поготово ако се чини да знају интимне детаље о себи. У ствари, много је вероватније да ћемо се преварити у помисли да ту особу морамо познавати, уместо да ризикујемо сукоб ради разјашњења природе наше везе. То се искориштава у безброј телефонских превара, где су људи преварени да верују како их удаљени рођаци зову и којима је потребна финансијска помоћ.

Виллиам Тхомпсон, који је живео у Нев Иорк Цитију 1840-их, уверио је случајне странце не само да га познају, већ и да му могу веровати да ће се побринути за њихов драгоцени иметак. Убрзо је постао познат широм земље као “човек из самопоуздања.”

5) Склони сте веровању да су други попут вас

Немате зле намере, па зашто би и други? Тешко нам је да замислимо да понекад наизглед обични људи желе да вам науде.

Знате за зле хакере, али они нападају само националне државе и активисте за грађанска права, зар не? Зашто би неко пролазио кроз покушаје да те ухвати? Немате случајева да новац или пословне тајне краду. Па зашто би људи желели да вам наштете?

У стварности сте ви и ваши подаци вероватно много вреднији него што мислите, и можда сте већ нападнути на овај или онај начин. Можда је то аутоматизовани напад или је то само случајност, али мудри сте да не верујете слепо случајности случајно. Пазите на изненадни изглед старог познаника или било којег чудног захтева који вам се јави преко телефона.

Прочитајте више савета о приватности и безбедности на Интернету овде

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map