Social Engineering (po polsku inżynieria społeczna) brzmi groźnie. Ale nic strasznego, termin w miarę nowy, ale działanie jego zna każdy.
Inżynieria społeczna co to takiego ?
Inżynieria społeczna służy białym, czarnym i szarym kapeluszom do przekonania ofiary, w tym wypadku Ciebie, do wykonania rzeczy, której normalnie byś nie wykonał. Nie zawsze jest to coś złego. Ale służy ona do wymuszenia, wykorzystania emocji, abyś zrobił to, czego chce napastnik.
By lepiej Ci przedstawić, na czym polega inżynieria społeczna, podam Ci przykłady. Ja należę do osób praktycznych, teoria dla mnie nie ma wartości, dopóki nie mogę sprawdzić jej w praktyce ;).
Social Engineering: Pierwszy przykład
Dobrze, więc załóżmy, że masz pięcioletnie dziecko – niech będzie to dziewczynka. Idąc na zakupy, musisz zabrać ją ze sobą. Nie możesz zostawić jej samej w domu, ponieważ żona/mąż jest już na mieście. Wchodzisz do supermarketu, chodzisz między tymi alejkami i masz już dość, a tu wiesz, że będzie Cię czekać jeszcze godzina w kolejce przy kasie.
Przechodzisz obok słodyczy i się zaczyna: mała widzi swoje ulubione cukierki. Najpierw zaczyna męczyć „tata/mama, kup mi te cukierki”. Mówisz, że nie kupisz bo ma cukierki w domu. Wtedy ona zaczyna krzyczeć, złościć się, płakać i na końcu prosi, żeby jej kupić. Robi wielki harmider w sklepie. A Ty, czując na sobie presję społeczną, czując, jak się na Ciebie patrzą, ze zmęczenia lub po prostu dla świętego spokoju kupujesz jej te cukierki.
A tu video jak to wygląda w życiu
Druga sytuacja: masz do zrobienia projekt, który jest na liście, ale nie jest na liście pilnych.
Robisz go pomalutku, ale wiesz, że masz na to czas, więc dłubiesz go, zajmując się pilniejszymi projektami. Lecz nagle dzwoni do Ciebie główna szefowa firmy i domaga się, byś zajął/a się pilnie tym projektem.
Nie tłumaczy dlaczego. A Ty zmieniasz front i cały nakład Twych sił przeznaczasz na wykonanie właśnie tego projektu. A nawet bierzesz sobie do pomocy kogoś, by szybko go skończyć.
W obu powyższych sytuacjach została wykorzystana inżynieria społeczna. Ale tak od razu nie wyłożę Ci na tacy, które z emocji zostały tu wykorzystane. Napisz mi w komentarzu, o jakich myślisz. Ułatwię Ci jednak i opiszę każdą z emocji, którą można wykorzystać w inżynierii społecznej, by wywrzeć wpływ na daną osobę. Osobę, którą chcemy wykorzystać, by zrobiła to, czego wcale nie zamierzała zrobić lub też czego wcale nie chciałaby zrobić i w normalnych warunkach by nie zrobiła.
W inżynierii społecznej wykorzystujemy takie emocje, jak strach, roztargnienie, chciwość, współczucie, chęć pomocy.
Można kogoś zastraszyć, by na przykład wpiął pendrive’a w firmowy komputer. Można wykorzystać władzę. Mam na myśli podanie się za szefa danego działu – i wymusić, by ktoś kliknął link w danym pliku. Wykorzystywany jest też czas – im jest go mniej, tym jest pewniejsze, że klikniesz w link czy dany plik.
Można wykorzystać współczucie i chęć pomocy – to działa zawsze, ponieważ nikt z nas nie chce wyjść na gbura, chama i bezduszną osobę, więc pomagamy sobie na każdym kroku:) Tacy już jesteśmy, my, ludzie. Ty również możesz mi ściemniać prosto w oczy. Ale ja wiem, co Ty tam w główce myślisz i że chętnie pomagasz, jeśli masz okazję.
Teraz dam Ci przykład, jak powyższe emocje może wykorzystać napastnik.
Załóżmy, że masz projekt, który robisz dla jakiejś wielkiej firmy . Pochwaliłeś się nim na swojej stronie internetowej. I w trakcie trwania tego projektu dostajesz od Patryka, kolegi z pracy, z którym robisz ten projekt, wiadomość o następującej treści:
„Hej Andrzej,
Jest pilna sprawa. Twój szef poprosił mnie o wykonanie na już zapisu w tym projekcie. Potrzebuję Twojej pomocy w tej sprawie, sam nie dam sobie rady. Nie będzie to dużo pracy, zajmie nam to może z pół godziny, a zamkniemy projekt i dostaniemy w końcu premię:). To co, pomożesz?”
Odpowiadasz mu, że oczywiście. Im szybciej, tym lepiej. Pytasz, co masz zrobić. A w drugiej wiadomości dostajesz linka z informacjami, co masz uzupełnić, jak już na tego linka klikniesz. Nie wiesz tylko tego, że Patryk jest akurat chory i nie mógł napisać tej wiadomości – to ja się pod niego podszyłem. A Ty poprzez kliknięcie w link wgrałeś malware na swój komputer i teraz mam wszystkie dane, które tam przechowujesz. A to było tylko jedno „niewinne” kliknięcie.
Jak widzisz, ja jako napastnik wykorzystałem tu pełną gamę emocji. Najważniejszą z nich była chęć pomocy, było tam i też współczucie („sam nie dam rady”). Wykorzystałem motyw władzy, powołując się na Twojego szefa. Wykorzystałem czas („pilny projekt”), ostatecznie wykorzystałem Twoją chciwość, by dostać premię za projekt szybciej.
Najsłabszym ogniwem jesteśmy my.
Choć takie spersonalizowane maile trafiają się rzadziej, bo to spear phishing (spersonalizowany phishing, celem zazwyczaj jest gruba ryba w firmie), to się zdarzają i ludzie klikają. Najsłabszym ogniwem jesteśmy my i musimy zwracać uwagę na niuanse. Jeśli ktoś prosi nas o pomoc, zamiast od razu reagować, zastanówmy się i zapytajmy ludzi od bezpieczeństwa w firmie, czy możemy . Jeśli ktoś chce coś od nas w firmie „na już”, sprawdźmy czy ta osoba rzeczywiście jest w firmie, czy czasem nie ma wolnego itp.
A tu jeszcze dam jeszcze kroki wykonywane podczas Social Engineering. Nie jest to moja grafika, więc wklejam link.
Bezpieczeństwo w firmie czy na prywatnych komputerach w 50%-60% zależy od nas i nieważne, na jakim stanowisku jesteśmy. Czujmy się spokojni i bądźmy bezpieczni.
Pamiętaj że jest tu tylko parę przykładów. Nie sposób opisać ich ilości. Pamiętaj że inżynieria społeczna zaczyna się tam gdzie ktoś zmusza cie po przez różnego rodzaju emocje do zrobienia tego co normalnie byś nie zrobił.
Podsumowanie
Już wiesz, na czym polega Social Engineering. Teraz musisz się dowiedzieć jak się go ustrzec. To jest proste nie poddawaj się emocja.
Odczekaj chwile zastanów się przy każdej niecodziennej sytuacji 2 razy się zastanów. Dodaliśmy kolejną warstwę do naszego bezpieczeństwa. Tym razem poznaliśmy, czym jest Social Engineering. Bądźmy jak cebula, składajmy się z warstw 🙂
Zapraszam do ocenienia artykułu, by poinformować mnie jak i przyszłych czytelników o jego wartości.
Pozdrawiam – Pusz 😉
The form you have selected does not exist.
Test
[WATU 4]
Funkcja trackback/Funkcja pingback