Najlepsze programy antywirusowe, najskuteczniejsze zapory sieciowe, najefektywniejsze algorytmy szpiegowskie – absolutnie nic nie daje tak spektakularnych rezultatów w dziedzinie hakowania jak inżynieria społeczna. Jakby przeanalizować najgłośniejsze wycieki danych lub innego rodzaju włamania do sieci, wszędzie zauważysz, że podstawą ich skuteczności było złamanie nie systemu, a człowieka. Co wiemy o inżynierii społecznej i dlaczego najsłabszym elementem zabezpieczeń Twojego komputera jesteś Ty sam?
Najkrótszą i zarazem bardzo treściwą definicją inżynierii społecznej (ang. social engineering) jest sposób hakowania, polegający na wykorzystywaniu małej wiedzy ofiary odnośnie zabezpieczeń i próba wydobycia niezbędnych informacji, by dostać się do poufnych danych.
Najprostszym przykładem włamania, bazującego na inżynierii społecznej, jest wysłanie maila, który do złudzenia przypomina wiadomość od instytucji cieszącej się zaufaniem (np. bank lub poczta). Wiadomość zawiera treści, których celem jest nakłonienie ofiary do podania np. loginu i hasła do swojego konta.
Ofiarą takich ataków padają osoby, które w tym konkretnym przypadku nie sprawdzają, czy dana wiadomość to „spam” lub nie mają programu antywirusowego, który przeskanowałby maila, w poszukiwaniu wirusów.
Inżynieria społeczna – nie tylko offline
Ale czy inżynieria społeczna funkcjonuje tylko i wyłącznie w świecie komputerów? Nie. Od kiedy posiadałeś umiejętność mówienia i poznałeś chodź trochę ludzką naturę, już w tej chwili zacząłeś stosować techniki inżynierii społecznej. Absolutnymi mistrzami są w tej dziedzinie handlowcy i telemarketerzy, których głównym zadaniem jest dostać się do osoby decyzyjnej i sprzedać mu produkt.
Jak to wygląda?
W pierwszej kolejności, handlowiec poszukuje imienia i nazwiska osoby, która decyduje o zakupie jego produktu. Następnie dzwoni pod dostępny numer i najczęściej napotyka pierwszą zaporę – sekretarkę lub asystentkę.
Pierwszym działaniem, w ramach inżynierii społecznej, jest prośba o połączenie z osobą decyzyjną. W czym jest haczyk? Handlowiec, który prosi o kontakt z „osobą decyzyjną” traktowany jest z góry jako osoba obca i zostaje odprawiony z kwitkiem.
Jeśli jednak od razu poda imię i nazwisko decydenta, często zostaje połączony, bo sekretarka wychodzi z założenia, że skoro zna dokładnie imię i nazwisko danej osoby, to znaczy, że się znają i ma wręcz obowiązek go połączyć.
Zastanów się teraz, ile miałeś podobnych sytuacji, kiedy poprzez taki niewinny podstęp, próbowałeś się do czegoś lub kogoś „włamać”?
Powracając do przestrzeni Internetu, inżynieria społeczna skupia się tu przede wszystkim na skromnej wiedzy ludzi odnośnie praktyk bezpieczeństwa i metod włamywania. Nawet najbardziej skomplikowane programy antywirusowe będą kompletnie bezużyteczne, jeśli np. stosujesz słabe hasło, a co gorsza, takie samo we wszystkich kontach. Podobnie, zaawansowane zapory sieciowe, stosowane szczególnie w dużych korporacjach, będą bezużyteczne, jeśli pracownicy otwierają maile o podejrzanej treści lub wchodzą na strony nie posiadające w linku https://.
Człowiek łatwiejszy od systemu
Każdy haker lub inżynier bezpieczeństwa sieci powie Ci, że o wiele łatwiej jest zhakować człowieka niż system. Najlepszym przykładem jest wyciek danych Apple. Chodziło przede wszystkim o to, że ofiary podawały pytania z odpowiedzią, którą można było uzyskać przy odrobinie wysiłku, np. Jakiej marki jest twój samochód? Haker w tym przypadku do skutku wpisywał nazwy marek, aż w końcu trafił. I gotowe.
Czy istnieje broń, wobec której inżynieria społeczna nie ma szans? Tak.
Wiedza i ograniczone zaufanie. W trybie awaryjnym regularnie publikujemy praktyczne porady, dzięki którym możesz wygrywać z technikami social engineering.
Zacznij od bardzo mocnego hasła oraz solidnego programu antywirusowego. Jeśli będziesz śledził Nasz blog, znacznie poszerzysz swoją wiedzę i surowszym okiem spojrzysz na nieoczekiwane maile lub podejrzane strony. Wówczas inżynieria społeczna nie będzie miała z Tobą szans.
Wymieniłam ciekawe techniki związane z inżynierią społeczną ale jestem pewna, że podczas lektury tekstu sam sobie przypomniałeś inne metody, szczególnie teraz, gdy wiesz jak działają w praktyce. Koniecznie podziel się nimi w komentarzu!