Kaj je socialni inženiring?

Socialni inženiring je tehnika hekerskih napadov, ki za doseganje cilja v prvi vrsti izrablja človeka. Socialni inženir z različnimi psihološkimi tehnikami, kot so prigovarjanje, uporaba vpliva in moči, igranje žrtve ipd., zlorabi zaupanje napadenega in od žrtve pridobi zaupne podatke.

Pridobljene podatke napadalci največkrat uporabijo za pridobivanje denarnih sredstev, pogosto pa pride tudi do izsiljevanja, kraje podatkov za nakupe v spletnih trgovinah ter do šikaniranja.

Metode socialnega inženiringa

Napadalci za doseganje svojih ciljev uporabljajo naslednje metode:

  • Ribarjenje (ang. phishing)
  • Zbiranje informacij preko socialnih omrežij
  • Virusi, trojanski konji, črvi, izsiljevalski virusi
  • Vishing oz. ribarjenje preko sistema VoIP
  • Socialni inženiring preko telefona
  • »Fizični napadi« z neposrednim pristopom

Potek socialnega inženiringa

Napadalec najprej zbira informacije o tarči. Tarča je lahko oseba ali informacijski sistem. Ko zbere dovolj informacij, vzpostavi stik z žrtvijo. Ta stopnja lahko traja dalj časa, odvisno od uspešnosti napadalca in ozaveščenosti žrtve. Ko napadalec pridobi zaupanje žrtve, poskuša to zaupanje izkoristiti. Če je uspešen, pridobi podatke. V naslednjem koraku socialni inženir izvede napad, ki ga privede do zastavljenega cilja.

S tem pa proces socialnega inženiringa še ni zaključen, saj lahko napadalec vaše podatke vedno znova uporabi ali jih preproda tretjim osebam.

Kako se zaščititi pred napadi?

Stalno ozaveščanje in izobraževanje zagotovo najbolj pripomore k prepoznavanju napadov. V svoji organizaciji vpeljite program varnostnega ozaveščanja, s katerim boste sistematično gradili ozaveščenost o pomenu informacijske varnosti.

Pomembno je, da se o problematiki socialnega inženiringa izobražujejo vsi zaposleni – od vratarja do direktorja. Napadalec išče najlažjo pot, kako priti do podatkov. Če razpošlje sporočila s škodljivo povezavo na vse naslove v organizaciji, je le od zaposlenih odvisno, ali bodo napadalcu omogočili dostop ali ne.

Varnostno ozaveščanje je proces, pri katerem ne moremo točno določiti trajanja niti rezultatov, saj je napredek odvisen od interesa posameznikov. Vzpostavitev in zagotavljanje informacijske varnosti ni enkraten projekt oddelka za IT, temveč strateški cilj celotne organizacije.