Internet prevare i socijalni inženjering

Dobro poznati negativni termini kao što su manipulacija, nagovaranje i uticaj, često se sreću i u krugovima internet bezbednosti. Svi ti negativni termini u svetu interneta, mogu se grupisati i nazvati socijalnim inženjeringom.

Socijalni inženjering je pojava koja se javlja u kliničkoj psihologiji, marketingu, prodaji. Predstavlja ceo proces koji ne mora biti negativna pojava, ali zavisi od krajnjih ciljeva, u većini slučajeva donosi korist akteru, a štetu žrtvi.

Vrste napada

Sajber kriminalci uvek koriste neku od tehnika socijalnog inženjeringa kako bi prevarili žrtvu i došli do poverljivih informacija.

• Baiting

Obično se izvršava preko USB-a ili sličnog uređaja do koga žrtva dođe i kada ga poveže na svoj računar preuzima malver.

• Phishing

Predstavlja najstariji način napada, ali i najuspešniji. Zasniva se u zastrašivanju žrtve, obično tako što napadač zahteva da žrtva uradi nešto u kratkom vremenskom roku, najčešće kada je cilj doći do bankovnog računa. Jedan od načina je i slanje mail-a žrtvi od kolege sa posla u kome se traže korisničko ime i lozinka za pristup sistemu na kome rade ili mail-ovi koji nude ogromne popuste za određene proizvode.

• Hakovanje mail -a i spamovanje kontakata

Korisnici u većini slučajeva ne sumnjaju u poruke koje dobiju od svojih prijatelja. Iz tih razloga napadači dolaze do kredencijala za mail adresu i tada imaju pristup kontaktima kojima šalju poruke koje sadrže malvere.

• Pretexting

Predstavlja prevaru koja se zasniva na dobro razrađenom scenariju neke tužne priče gde je navodnoj žrtvi potreban novac da ostvari neki cilj ili se vrati iz strane zemlje i sl. Napadač se pretvara da je neko ko je ugrožen nadajući se da će mu žrtva pomoći.

• Quid pro quo  (usluga za uslugu)

Prevara koja žrtvama nudi skupe poklone ili popuste do kojih se dolazi nakon što žrtve pošalju svoje podatke.

• Vishing

Vrsta phishing-a koja se izvodi tako što napadač telefonom kontaktira žrtvu i predstavlja se kao neko od saradnika, bankara ili poslovnih partnera i kroz razgovor potvrđuje identitet žrtve ili dolazi do ličnih informacija.

• Smishing

Vrsta phishing-a koja se izvodi preko SMS poruke koja zahteva podatke žrtve. Ljudi u većini slučajeva proveravaju verodostojnost SMS poruka što nije slučaj sa mail porukama u kome mogu naići na dosta linkova koji sadrže viruse.

Socijalni inženjering nekada obuhvata samo jednu vrstu napada, a nekada je to kompleksiji zahvat kada su žrtve kompanije.

• Hunting

Predstavlja kombinaciju više vrsta napada kao što su phishing, baiting i hakovanje, a sve u cilju prikupljanja što više informacija od žrtve.

• Farming

Vrsta prevare koja je dugotrajna i uključuje analizu profila žrtava na društvenim mrežama, na osnovu informacija kreira se način pristupa žrtvi. Obično uključuje i pretexting jer je cilj biti što duže u kontaktu sa žrtvom kako bi napadači došli do što više informacija.

Jedina odbrana od socijalnog inženjeringa jeste edukacija i stalno prisutna svest o opasnostima koje se nalaze svuda oko nas i to da i mi vrlo lako možemo postati žrtva.