Злонамереният софтуер не е единствената онлайн заплаха, за която да се притеснявате. Социалното инженерство е огромна заплаха и може да ви удари по всяка операционна система. Всъщност социалното инженерство може да се случи и по телефона и в ситуация "лице в лице".
Важно е да сте наясно със социалното инженерство и да сте нащрек. Програмите за сигурност няма да ви защитят от повечето социални заплахи, така че трябва да се предпазите.
Традиционните компютърни атаки често зависят от намирането на уязвимост в кода на компютъра. Например, ако използвате една неактуална версия на Adobe Flash - или, забранено, Java, което е причина за 91% от атаките през 2013 г. според Cisco - можете да посетите злонамерен уебсайт и уебсайта биха използвали уязвимостта във вашия софтуер, за да получат достъп до вашия компютър. Нападателят манипулира програмни грешки, за да получи достъп и да събере частна информация, може би с инсталиран от тях кийлогър.
Социалните инженерни трикове са различни, защото вместо това включват психологическа манипулация. С други думи, те използват хората, а не техния софтуер.
Вероятно вече сте чували за фишинг, което е форма на социално инженерство. Може да получите имейл, който твърди, че е от вашата банка, компания за кредитни карти или друг доверен бизнес. Те могат да ви насочват към фалшив уебсайт, прикрит, за да изглежда като истински, или да ви помоля да изтеглите и инсталирате злонамерена програма. Но такива социално-инженерни трикове не трябва да включват фалшиви уеб сайтове или злонамерен софтуер. Ефишният имейл може просто да ви помоли да изпратите имейл отговор с лична информация. Вместо да се опитват да използват бъг в софтуера, те се опитват да експлоатират нормални човешки взаимодействия. Спирането на копирането може да бъде дори още по-опасно, тъй като това е форма на фишинг, предназначена за насочване към конкретни хора.
Един популярен трик в чат услугите и онлайн игрите е да се регистрира акаунт с име като "Administrator" и да се изпращат хора страшни съобщения като "WARNING: Установихме, че някой може да е хакер на вашия акаунт, да отговори с вашата парола, за да се самоустановите." Ако целта отговаря с паролата си, те са паднали за трика и атакуващият вече има паролата за профила си.
Ако някой има лична информация за вас, той може да го използва, за да получи достъп до профилите Ви. Например информация, като например датата на раждане, номера на социалното осигуряване и номера на кредитната ви карта, често се използва за идентифициране на вас. Ако някой има такава информация, той може да се свърже с фирма и да се преструва, че е ти. Този трик е бил използван от атакуващия, за да получи достъп до Yahoo! на Сара Пейлин През 2008 г., изпращане на достатъчно лични данни, за да получите достъп до профила чрез формуляра за възстановяване на паролата на Yahoo!. Същият метод може да се използва и по телефона, ако имате личната информация, която бизнесът изисква, за да ви удостовери. Атакуващият с информация за дадена цел може да се преструва, че е и да получи достъп до повече неща.
Социалното инженерство може да се използва и лично. Нападателят може да влезе в бизнеса, да информира секретаря, че е ремонт, нов служител или пожарен инспектор с авторитетен и убедителен тон, а след това да обикаля залите и евентуално да открадне поверителни данни или да изпрати грешки, за да извършва корпоративен шпионаж. Този трик зависи от това, че нападателят се представя като човек, когото не са. Ако секретар, портиер или онзи, който отговаря, не пита твърде много въпроси или изглежда твърде внимателно, трикът ще бъде успешен.
Социалните инженерни атаки обхващат широк спектър от фалшиви уебсайтове, измамни имейли и нечестни съобщения по чата, докато се представят за някой по телефона или лично. Тези атаки идват в най-различни форми, но всички те имат едно общо нещо - те зависят от психологическата измама. Социалното инженерство се нарича изкуство на психологическата манипулация. Това е един от основните начини "хакерите" всъщност "хак" сметки онлайн.
Знаейки социалното инженерство, може да ви помогне да се биете. Бъдете подозрителни към нежеланите имейли, съобщенията в чата и телефонните обаждания, които изискват лична информация. Никога не разкривайте финансова информация или важна лична информация по имейл. Не изтегляйте потенциално опасни прикачени файлове към електронната поща и ги пускайте, дори ако даден имейл твърди, че са важни.
Също така не трябва да следвате връзките в имейл до чувствителни уеб сайтове. Например не кликвайте върху връзка в имейл, който изглежда да е от банката ви и да влезете в профила си. Може да ви отведе до фалшив фишинг сайт, прикрит, за да изглежда като сайт на банката ви, но с по-различен URL адрес. Посетете директно уебсайта.
Ако получите подозрителна заявка - например телефонно обаждане от банката ви изисква лична информация - се свържете директно с източника на искането и поискайте потвърждение. В този пример бихте се обадили на банката си и попитали какво искат, вместо да разкриват информацията на някой, който твърди, че е вашата банка.
Програмите за електронна поща, уеб браузърите и пакетите за защита обикновено имат фишинг филтри, които ще ви предупреждават, когато посещавате известен фишинг сайт. Всичко, което могат да направят, е да ви предупреждават, когато посещавате известен фишинг сайт или получавате известен фишинг имейл, и те не знаят за всички фишинг сайтове или имейли там. В по-голямата си част зависи от вас да се предпазите - програмите за сигурност могат да помогнат само малко.
Добра идея е да се подлагате на здравословно подозрение, когато се занимавате с искания за лични данни и всичко друго, което би могло да бъде социално-инженерна атака. Подозрението и предпазливостта ще ви помогнат да се предпазите, както онлайн, така и офлайн.
Image Credit: Джеф Търут във Flickr
