Nacionalni CERT

O socijalnom inženjeringu

Socijalni je inženjering niz tehnika pomoću kojih pojedinac, iskorištavanjem ljudskih pogrešaka i slabosti, utječe na drugog pojedinca kako bi ga naveo da učini nešto što nije u njegovom interesu. Socijalni se inženjering najčešće koristi u svrhu otkrivanja njihovih povjerljivih informacija ili dobivanja pristupa nekim drugim resursima do kojih napadač inače ne bi mogao doći. 

Napadači se često služe ovom tehnikom jer im za uspješan napad nije potrebno složeno probijanje korisnikove sigurnosne zaštite, korištenje ranjivosti njegovog softvera i sl.  Pojam socijalnog inženjeringa je popularizirao poznati i osuđeni haker Kevin Mitnick, koji tvrdi kako je mnogo lakše nekoga prevariti služeći se socijalnim inženjeringom nego probiti njegov informacijski sustav. 

Napadači uvijek žele ostaviti dojam legitimnosti, odnosno uvjerljivosti. Tako npr. u porukama elektroničke pošte često navedu neki poznati podatak o korisniku (najčešće njegovo ime koje može biti vidljivo iz adrese elektroničke pošte), datum rođenja itd. Napadači se najčešće pouzdaju u zakon velikih brojeva i šire velike količine poruka (engl. spam) kako bi, koristeći socijalni inženjering, iskoristili povjerenje dijela ciljanih korisnika i nagnali ih da učine ono što napadači žele. Valja napomenuti kako se napadači mogu usmjeriti prema prikupljanju detaljnih informacija vezanih uz zasebnog korisnika umjesto prikupljanja osnovnih informacija o velikom broju korisnika čime otvaraju sebi mogućnost slanja mnogo osobnije poruke elektroničke pošte koja može biti vezana uz specifične interese korisnika, privatne informacije te bliske ljude iz okoline. Tako umanjuju broj poslanih poruka, ali povećavaju dojam legitimnosti poruke čime uvećavaju šansu uspješnog ostvarivanja kontakta sa žrtvom. 

Socijalni inženjering najčešće susrećemo u 3 različita oblika: phishing, vishing i impersonation. Phishing se odnosi na slanje poruka s izvora koji djeluje pouzdano u svrhu dobivanja informacija ili utjecaja. Prikupljene informacije mogu uključivati brojeve kreditnih kartica, lozinke različitih korisničkih računa i sl. S druge strane, vishing podrazumijeva sakupljanje informacija putem telefona, često uz lažiranje broja pozivatelja. Naposljetku, impersonation (hrv. lažno predstavljanje) uključuje dobivanje pristupa informacijama i utjecaja korištenjem lažnog identiteta. 

Većina je napada koji koriste socijalni inženjering podijeljena na 4 segmenta. Ti segmenti su: sakupljanje informacija o žrtvi, uspostavljanje veze sa žrtvom, pristupanje žrtvi te realizacija napada. Posljedice uspješno izvedenog napada mogu biti višestruke, a najčešće su materijalni gubitak, gubitak privatnih ili službenih povjerljivih informacija, gubitak ugleda, korištenje podataka za daljnje napade te emocionalni pritisak što ga žrtva osjeća. 

Zaštititi se od socijalnog inženjeringa možemo tako što ćemo se upoznati s vrijednostima podataka, provjeravati identitet osoba s kojima stupamo u kontakt putem mreže, s povjerljivim podacima postupati odgovorno i promišljeno te smireno djelovati u potencijalno nesigurnim situacijama. 

Pogotovo je važno osvijestiti činjenicu kako se tehnike napada usavršavaju svakodnevno i kako ne postoji univerzalna zaštita za sve oblike napada. Bitno je kritički promatrati svoju okolinu te se služiti internetom odgovorno i savjesno kako bi umanjili mogućnost napada i pravovremeno te ispravno reagirali. Zaključno, zadaća je svih korisnika interneta da saznanja o mogućim propustima i prijetnjama podijele s članovima svoje zajednice, upozore ih na propuste te djeluju na povećanju opće razine sigurnosti pravovremenom edukacijom najranjivijih skupina.