Statistika kaže da je socijalni inženjering dio čak 70% krađe podataka.
Specifičnost socijalnog inženjeringa leži u psihološkom manipuliranju osobe. Cilj prevaranata je dobiti povjerenje od žrtava kako bi ih uvjerili na predaju osobnih podataka poput lozinki ili pristupa računalu.
Kako bi se povećala informacijska sigurnost, nacionalno tijelo za prevenciju i zaštitu računalnih ugroza sigurnosti – CERT, objavljuje korisne informacije o novim prijetnjama cyber napada i vrstama socijalnog inženjeringa.
U današnje doba zaštita informacijskih sustava od neželjenog pristupa je najvažniji aspekt digitalne sigurnosti.
Što je socijalni inženjering?
Socijalni inženjering je popularna metoda kojom se koriste prevaranti kako bi izvukli povjerljive informacije od svojih žrtava. U socijalnom inženjeringu, kriminalci se koriste psihološkim trikovima kako bi izvukli osjetljive podatke te preuzeli kontrolu nad uređajima svojih žrtava.
98% cyber napada koristi određenu razinu socijalnog inženjeringa.
Socijalni inženjering iskorištava ljudske mane kako bi osobe nesvjesno predale pristup svojim korisničkim računima, lozinkama, bankovnim računima i slično. Time se socijalni inženjering razlikuje od samog hakiranja računala jer uključuje ljudsku interakciju kako bi izvršili svoj cilj.
Faze prijevare socijalnog inženjeringa
Istraživanje. Zločinac prvo odabere svoju žrtvu, skuplja informacije o njoj te odabire metodu napada.
Postavljanje mamca. Kriminalac se povezuje sa žrtvom te preuzima kontrolu nad interakcijom u kojoj dobiva povjerenje od žrtve.
Krađa informacija. Kriminalac izvršuje napad i krade važne podatke poput lozinki i privatnih informacija žrtve.
Prestanak napada. Haker briše svoje ‘tragove’ s ciljem da ga je teže pronaći.
Najčešće vrste digitalnog socijalnog inženjeringa
Scareware
Scareware je vrsta socijalnog inženjeringa koji koristi psihološke trikove te iskorištava strahove korisnika.
Cilj scareware-a je prodaja i širenje malicioznih tehnologija koje su prikazane kao legitimni programi. Krajni cilj, kao i kod svake vrste socijalnog inženjeringa, je ukrasti osjetljive informacije. Prevareni korisnik instalira maliciozni softver, vjerujući da je legitiman program.
Scareware je najčešće u obliku pop-up oglasa.
Takvi lažni antivirusni programi zastrašuju korisnike s ciljem da ih uvjere u instalaciju lažnog programa. Naime, ti programi se prikazuju korisnicima na web stranicama te ih ‘bombardiraju’ s lažnim alarmima i prijetnjama. Primjerice: ‘Vaše računalo je u opasnosti, instalirajte ovaj program kako bi se zaštitili!’
Žrtve koje su upale u zamku, instaliraju lažan softver koji je zapravo malware.
Scareware često uključuje i ransomware, pomoću kojeg hakeri prijete korisnicima da će podijeliti njihove privatne informacije ako im ne plate određenu svotu novaca.
Prevarantske tekstualne poruke
Prijevara gdje zločinac pokušava prikupiti informacije od svoje žrtve pretvarajući se da je osoba od povjerenja. Primjerice kolega s posla, dio obitelji, prijatelj…
Ako se haker uspješno predstavi kao osoba poznata žrtvi, počinje ispitivati žrtvu o njenim osobnim informacijama.
Najčešći podaci koje hakeri prikupe ovakvim prijevarama su adrese i telefonski brojevi, lozinke bankovnih i korisničkih računa, pristupni podaci za interni sustav poduzeća…
Phishing prijevare
Najpopularniji napadi socijalnog inženjeringa, phishing prijevare, se koriste elektroničkim poštama i tekstualnim porukama kako bi pridobili važne informacije. Phishing funkcionira tako da žrtva klikne na lažan link unutar e-maila koji dovodi do maliciozne web stranice.
Na malicioznim web stranicama koje se doimaju legitimno, žrtva upisuje svoje pristupne podatke koje su potom u rukama hakera. Klikom na maliciozni link, žrtva nesvjesno može instalirati malware na svoj uređaj.
Primjerice, česte su phishing kampanje koje se pretvaraju da su banka korisnika. Korisnik dobiva lažan e-mail u kojem se od traži promjena lozinke. Korisnik klikne na lažan link koji ga odvede na prevarantsku stranicu gdje upisuje svoje pristupne podatke.
Ovakve lažne web stranice na očigled se doimaju legitimnima, zbog čega žrtve često padaju u ovu zamku.
Baiting (postavljanje mamca)
Baiting je specifična vrsta prijevare čiji je cilj iskorištavanje radoznalosti i pohlepe ljudi. Naime, hakeri često na javnim mjestima ostavljaju USB-ove inficirane malicioznom tehnologijom, nadajući se da će ga osobe uzeti.
Hakeri znaju ostavljati uređaje na javnim mjestima, računajući na radoznalost prolaznika koji će uzeti inficirani USB i priključili ga u svoje računalo.
Žrtva će uzeti USB te kada ga priključi u svoj uređaj, malware će se automatski instalirati na njegovo računalo. Cilj ovakve vrste socijalnog inženjeringa je pristup osjetljivim informacijama te iskorištavanje neopreznosti prolaznika.
Stoga ako pronađete izgubljeni USB na javnom mjestu, nemojte ga priključiti u svoj uređaj i riskirati malware napad.
Quid Pro Quo prijevare
Quid Pro Quo prijevaru zovu i ‘nešto za nešto’ ili ‘give and take’.
Naime, ova vrsta prijevare socijalnog inženjeringa obećaje žrtvi određeni benefit, uz uvjet da preda osobne informacije.
Quid pro quo napadi su bazirani na iskorištavanju povjerenja žrtve.
Hakeri žrtvine informacije koriste kako bi pristupili bankovnom računu, važnim informacijama ili preuzeli potpunu kontrolu nad uređajem i korisničkim računima žrtve.
Primjerice, haker se pretvara da je kolega iz IT odjela. Haker šalje žrtvi poruku u kojoj nudi uslugu da će očistiti viruse s njezinog računala. Zauzvrat traži login podatke kako bi mogao izvršiti tu ‘uslugu’. Žrtva daje svoje login podatke te nesvjesno predaje hakeru kontrolu nad računalom.
Google i Facebook – najveći slučaj socijalnog inženjeringa
Najveći slučaj socijalnog inženjeringa do sada je phishing napad na Google i Facebook.
Ni tehnološki divovi poput Googlea i Facebooka nisu imuni na hakerske prijevare.
Hakerska grupa je stvorila lažnu kompaniju koja se pretvarala da su tajvanski proizvođač računalne opreme – Quanta. Naime, Quanta je doista bio partner Google-a i Facebooka, ali je hakerska grupa otvorila lažnu verziju te kompanije sa svojim bankovnim računima u Latviji i Cipru.
Prevaranti su poslali vrlo uvjerljivu phishing elektroničku poštu gdje su tražili naplatu lažnih računa. Naravno usmjerili su ih na lažne bankovne račune gdje su zaposlenici Googlea i Facebooka redovito uplaćivali multimilijunske transakcije.
Prijevara je trajala čak dvije godine te je hakerska grupa ukrala preko 100 milijuna dolara.
Ovo je do sada najveća prijevara jer je trajala od 2013. do 2015. godine. Glavni počinitelj je litvijac Evaldas Rimasauskras te je 2019. osuđen na 5 godina zatvora.
Kako se zaštititi od socijalnog inženjeringa?
- Razmislite prije nego što kliknete. Nemojte otvarati elektroničke pošte i privitke u njima ako su iz sumnjivih izvora ili ako ne poznajete pošiljatelja.
- Koristite dvofaktorsku autentifikaciju.
- Ako vam ponuda proizvoda ili usluge zvuči predobro da bude istinita – vrlo vjerojatno je prijevara.
- Ažurirajte legitimne antivirusne programe i anti-malware softvere. Uz to, podesite e-mail filtere koje će odvajati spam poruke u zasebni pretinac.
- Limitirajte osobne informacije na društvenim medijima.
- Ne uključujte nepoznati USB u svoje uređaje. Svaki USB uređaj skenirajte antivirusnim programom prije nego što ga otvorite.
- Onemogućite Windows Autorun opciju na vašem uređaju. Ova opcija je najčešće uključena prema zadanim postavkama Windowsa. Time se zlonamjerni programi mogu instalirati čim se priključe na uređaj.
- Dokumente s osobnim informacijama obrišite ili ih ne čuvajte na neosiguranim računalima.
Socijalni inženjering je opasan jer se koristi vještom manipulacijom ljudskih strahova i radoznalosti. Prijetnje, upozorenja, alarmi, sumnjive ponude su samo neki od načina na koje kiber kriminalci preuzimaju kontrolu nad uređajima te kradu privatne informacije žrtava.
Vrlo je važno informirati se o posljednjim hakerskim prijetnjama. Naš DuplicoIT Tech blog nudi obilje članaka na temu informacijske sigurnosti te savjete kako sprječiti hakerske napade.
Ako se dodatno želite educirati o cyber sigunosti u poslovnom svijetu, skinite naš besplatan e-book “Cyber sigurnost u službi modernog poslovanja”.