Çfarë është Inxhinieri Sociale? 11 shembuj për t'u kujdesur
Përmbajtje
Çfarë është saktësisht Inxhinieria Sociale, gjithsesi?
Inxhinieria sociale i referohet aktit të manipulimit të njerëzve për të nxjerrë informacionin e tyre konfidencial. Lloji i informacionit që kërkojnë kriminelët mund të ndryshojë. Zakonisht, individët janë në shënjestër për detajet e tyre bankare ose fjalëkalimet e llogarisë së tyre. Kriminelët gjithashtu përpiqen të hyjnë në kompjuterin e viktimës në mënyrë që ata të instalojnë softuer me qëllim të keq. Ky softuer më pas i ndihmon ata të nxjerrin çdo informacion që mund t'u nevojitet.
Kriminelët përdorin taktika të inxhinierisë sociale sepse shpesh është e lehtë të shfrytëzosh një person duke fituar besimin e tyre dhe t'i bindësh të heqin dorë nga të dhënat e tyre personale. Është një mënyrë më e përshtatshme sesa të hakoni drejtpërdrejt në kompjuterin e dikujt pa dijeninë e tij.
Shembuj të Inxhinierisë Sociale
Ju do të jeni në gjendje të mbroni veten më mirë duke u informuar për mënyrat e ndryshme në të cilat bëhet inxhinieria sociale.
1. Pretekst
Preteksti përdoret kur krimineli dëshiron të aksesojë informacione të ndjeshme nga viktima për kryerjen e një detyre kritike. Sulmuesi përpiqet të marrë informacionin përmes disa gënjeshtrave të hartuara me kujdes.
Krimineli fillon duke krijuar besim me viktimën. Kjo mund të bëhet duke imituar miqtë e tyre, kolegët, zyrtarët e bankës, policinë ose autoritete të tjera që mund të kërkojnë informacione të tilla të ndjeshme. Sulmuesi u bën atyre një sërë pyetjesh me pretekstin e konfirmimit të identitetit të tyre dhe mbledh të dhëna personale në këtë proces.
Kjo metodë përdoret për të nxjerrë të gjitha llojet e detajeve personale dhe zyrtare nga një person. Një informacion i tillë mund të përfshijë adresat personale, numrat e sigurimeve shoqërore, numrat e telefonit, të dhënat e telefonit, detajet bankare, datat e pushimeve të stafit, informacionet e sigurisë në lidhje me bizneset, etj.
2. Vjedhja me Diversion
Ky është një lloj mashtrimi që në përgjithësi synohet drejt korrierëve dhe kompanive të transportit. Krimineli përpiqet të mashtrojë kompaninë e synuar duke i bërë ata të ofrojnë paketën e tyre të dorëzimit në një vend të ndryshëm dërgese nga ai i synuar fillimisht. Kjo teknikë përdoret për të vjedhur mallra të çmuara që dërgohen përmes postës.
Ky mashtrim mund të kryhet si offline ashtu edhe online. Personeli që mban pakot mund t'i afrohet dhe të bindet që ta dorëzojë dorëzimin në një vend tjetër. Sulmuesit gjithashtu mund të kenë akses në sistemin e shpërndarjes në internet. Më pas ata mund të përgjojnë orarin e dorëzimit dhe të bëjnë ndryshime në të.
3. phishing
Phishing është një nga format më të njohura të inxhinierisë sociale. Mashtrimet e phishing përfshijnë email dhe mesazhe me tekst që mund të krijojnë një ndjenjë kurioziteti, frike ose urgjence tek viktimat. Teksti ose emaili i nxit ata të klikojnë në lidhje që do të çonin në faqe interneti keqdashëse ose bashkëngjitje që do të instalonin malware në pajisjet e tyre.
Për shembull, përdoruesit e një shërbimi online mund të marrin një email që pretendon se ka pasur një ndryshim të politikës që kërkon që ata të ndryshojnë menjëherë fjalëkalimet e tyre. Posta do të përmbajë një lidhje me një faqe interneti të paligjshme që është identike me faqen origjinale të internetit. Përdoruesi më pas do të futë kredencialet e llogarisë së tij në atë faqe interneti, duke e konsideruar atë si të ligjshmen. Me dorëzimin e të dhënave të tyre, informacioni do të jetë i aksesueshëm për kriminelin.
4. Spear Phishing
Ky është një lloj mashtrimi phishing që synohet më shumë drejt një individi ose një organizate të caktuar. Sulmuesi i personalizon mesazhet e tij bazuar në pozicionet e punës, karakteristikat dhe kontratat që lidhen me viktimën, në mënyrë që ato të duken më të vërteta. Spear phishing kërkon më shumë përpjekje nga ana e kriminelit dhe mund të marrë shumë më tepër kohë sesa phishing i rregullt. Megjithatë, ato janë më të vështira për t'u identifikuar dhe kanë një shkallë më të mirë suksesi.
Për shembull, një sulmues që përpiqet të phishing me shtizë në një organizatë do t'i dërgojë një email një punonjësi që imiton konsulentin e IT të firmës. Email-i do të përshtatet në një mënyrë që është saktësisht e ngjashme me mënyrën se si e bën konsulenti. Do të duket mjaft autentike për të mashtruar marrësin. Email-i do ta nxisë punonjësin të ndryshojë fjalëkalimin e tij duke i ofruar atij një lidhje me një faqe interneti me qëllim të keq që do të regjistrojë informacionin e tyre dhe do t'ia dërgojë sulmuesit.
5. Vrima e ujit
Mashtrimi i grumbullimit të ujit përfiton nga faqet e internetit të besueshme që vizitohen rregullisht nga shumë njerëz. Krimineli do të mbledhë informacion në lidhje me një grup të synuar njerëzish për të përcaktuar se cilat faqe interneti po vizitojnë shpesh. Këto faqe interneti më pas do të testohen për dobësi. Me kalimin e kohës, një ose më shumë anëtarë të këtij grupi do të infektohen. Sulmuesi më pas do të jetë në gjendje të hyjë në sistemin e sigurt të këtyre përdoruesve të infektuar.
Emri vjen nga analogjia se si kafshët pinë ujë duke u mbledhur në vendet e tyre të besuara kur janë të etur. Ata nuk mendojnë dy herë për marrjen e masave paraprake. Grabitqarët janë të vetëdijshëm për këtë, kështu që ata presin aty pranë, gati për t'i sulmuar kur rojet e tyre janë ulur. Vrima e ujit në peizazhin dixhital mund të përdoret për të kryer disa nga sulmet më shkatërruese ndaj një grupi përdoruesish të cenueshëm në të njëjtën kohë.
6. Karrem
Siç duket edhe nga emri, karremi përfshin përdorimin e një premtimi të rremë për të nxitur kureshtjen ose lakminë e viktimës. Viktima joshet në një kurth dixhital që do ta ndihmojë kriminelin të vjedhë të dhënat e tyre personale ose të instalojë malware në sistemet e tyre.
Baiting mund të bëhet nëpërmjet të dy mediave online dhe offline. Si shembull jashtë linje, krimineli mund ta lërë karremin në formën e një flash drive që është infektuar me malware në vende të dukshme. Ky mund të jetë ashensori, banjo, parkingu, etj., i kompanisë së synuar. Flash drive do të ketë një pamje autentike, gjë që do ta bëjë viktimën ta marrë atë dhe ta futë në kompjuterin e punës ose të shtëpisë. Më pas, flash drive do të eksportojë automatikisht malware në sistem.
Format online të karremit mund të jenë në formën e reklamave tërheqëse dhe joshëse që do t'i inkurajonin viktimat të klikonin mbi të. Lidhja mund të shkarkojë programe me qëllim të keq, të cilët më pas do të infektojnë kompjuterin e tyre me malware.
7. Quid Pro Quo
Një sulm quid pro quo do të thotë një sulm "diçka për diçka". Është një variant i teknikës së karremit. Në vend që t'i karrem viktimat me premtimin e një përfitimi, një sulm quid pro quo premton një shërbim nëse një veprim specifik është ekzekutuar. Sulmuesi ofron një përfitim të rremë për viktimën në këmbim të aksesit ose informacionit.
Forma më e zakonshme e këtij sulmi është kur një kriminel imiton një staf IT të një kompanie. Krimineli më pas kontakton punonjësit e kompanisë dhe u ofron atyre një softuer të ri ose një përmirësim të sistemit. Më pas, punonjësit do t'i kërkohet të çaktivizojë softuerin e tij antivirus ose të instalojë softuer me qëllim të keq nëse dëshiron përmirësimin.
8. Mbushje bishti
Një sulm i tailgating quhet gjithashtu piggybacking. Ai përfshin kriminelin që kërkon hyrjen brenda një lokacioni të kufizuar që nuk ka masa të duhura vërtetimi. Krimineli mund të ketë akses duke hyrë pas një personi tjetër i cili është autorizuar të hyjë në zonë.
Për shembull, krimineli mund të imitojë një shofer transporti që i ka duart plot me pako. Ai pret që një punonjës i autorizuar të hyjë në derë. Djaloshi i dorëzuesit mashtrues më pas i kërkon punonjësit që të mbajë derën për të, duke e lënë atë të hyjë pa asnjë autorizim.
9. Kurth mjalti
Ky mashtrim përfshin kriminelin që pretendon të jetë një person tërheqës në internet. Personi miqësohet me objektivat e tyre dhe falsifikon një marrëdhënie në internet me ta. Krimineli më pas përfiton nga kjo marrëdhënie për të nxjerrë të dhënat personale të viktimave të tyre, për të marrë hua para prej tyre ose për t'i bërë ata të instalojnë malware në kompjuterët e tyre.
Emri 'kurth mjalti' vjen nga taktikat e vjetra të spiunazhit ku gratë përdoreshin për të shënjestruar burrat.
10. Mashtrues
Softueri mashtrues mund të shfaqet në formën e anti-malware-ve mashtrues, skanerit mashtrues, softuerit mashtrues, anti-spyware, etj. Ky lloj malware kompjuterik i mashtron përdoruesit që të paguajnë për një softuer të simuluar ose të rremë që premton të heqë malware. Softueri mashtrues i sigurisë është bërë një shqetësim në rritje vitet e fundit. Një përdorues që nuk dyshon lehtësisht mund të bëhet pre e një softueri të tillë, i cili është i disponueshëm në shumë.
11. Malware
Objektivi i një sulmi malware është që ta detyrojë viktimën të instalojë malware në sistemet e tyre. Sulmuesi manipulon emocionet njerëzore për ta bërë viktimën të lejojë malware në kompjuterët e tyre. Kjo teknikë përfshin përdorimin e mesazheve të çastit, mesazheve me tekst, mediave sociale, emailit, etj., për të dërguar mesazhe phishing. Këto mesazhe mashtrojnë viktimën që të klikojë një lidhje që do të hapë një faqe interneti që përmban malware.
Taktikat e frikësimit përdoren shpesh për mesazhet. Ata mund të thonë se ka diçka që nuk shkon me llogarinë tuaj dhe se duhet të klikoni menjëherë në lidhjen e dhënë për t'u identifikuar në llogarinë tuaj. Më pas, lidhja do t'ju bëjë të shkarkoni një skedar përmes të cilit malware do të instalohet në kompjuterin tuaj.
Qëndroni të vetëdijshëm, qëndroni të sigurt
Mbajtja e vetes së informuar është hapi i parë drejt mbrojtjes nga sulmet e inxhinierisë sociale. Një këshillë bazë është të injoroni çdo mesazh që kërkon fjalëkalimin tuaj ose informacionin financiar. Ju mund të përdorni filtrat e postës së padëshiruar që vijnë me shërbimet tuaja të postës elektronike për të shënuar emaile të tillë. Marrja e një softueri të besuar anti-virus do të ndihmojë gjithashtu në sigurimin e mëtejshëm të sistemit tuaj.
