Ingineria socială reprezintă în principal omul și greșelile lui. Atacatorul trebuie să posede „abilități sociale” sau carismă și să câștige încrederea utilizatorilor sau administratorilor, pentru a obține permisiuni cu ajutorul cărora va putea prelua controlul asupra computerului victimei sau va putea fura informații personale și financiare. Această metodă este cea mai ușoară formă de atac.
Istoric:
Atacurile de tip „inginerie socială” au apărut cu mult timp în urmă, chiar înainte de era computerelor și a internetului. Printre primele utilizări se numără cea a lui Samuel Williams din 1849, așa-numitul „om de încredere”.
El începea prin a întreba: „Ai suficientă încredere în mine ca să-mi lași ceasul tău până mâine?”. Astfel, oamenii din acea vreme, neștiind aceste metode, cădeau în capcană și mulți rămâneau fără ceasurile lor valoroase.
Un alt atac de acest fel a avut loc în 2007, când un tip misterios a furat bijuterii și diamante în valoare de 21 de milioane de euro de la ABN Amro Bank, Belgia, fără să folosească vreun instrument tehnologic. A folosit doar farmecul său, cumpărând ciocolată și comportându-se foarte frumos cu toți angajații. În acest fel, a obținut cheile ușilor și informații despre depozite.
Apoi, copiind cheile, a intrat în bancă și a plecat foarte ușor cu o geantă plină de bijuterii.
Cea mai folosită formă de inginerie socială în domeniul informatic:
Navighezi pe internet și apare un pop‑up care spune că computerul tău este infectat cu un virus. Ți se recomandă să vizitezi un site, să suni pe cineva sau să descarci un „antivirus” și să plătești pentru el. Nu doar că ai descărcat un software nedorit, dar ai și plătit pentru el.
Tipuri de atacuri de inginerie socială
- Phishing: Probabil cea mai comună formă, phishingul implică trimiterea de emailuri sau mesaje frauduloase care par a fi de la entități legitime, încercând să te facă să dezvălui informații sensibile precum parole sau date financiare.
- Pretexting: Atacatorii creează un scenariu sau un pretext pentru a extrage informații de la victime. Ei pot pretinde că sunt o persoană de încredere sau o autoritate.
- Baiting: Similar phishingului, baitingul presupune atragerea țintei într-o capcană oferind ceva gratuit, precum un premiu pentru care trebuie introduse date personale într-un formular sau un software gratuit care conține malware.
- Tailgating: Aceasta implică urmarea fizică a unei persoane autorizate într-o zonă restricționată, exploatând tendința oamenilor de a ține ușa deschisă pentru alții fără a verifica identitatea.
Prevenirea ingineriei sociale
- Nu deschide atașamente din emailuri dacă provin din surse suspecte: Chiar dacă cunoști expeditorul, dar mesajul pare suspect, cel mai bine este să suni persoana pentru a-i confirma intenția.
- MFA (Autentificare Multi‑Factor): Folosirea MFA te poate proteja de cineva care îți cunoaște deja credențialele pentru site‑uri, aplicații bancare, email etc., solicitând o metodă suplimentară de autorizare după introducerea corectă a utilizatorului și parolei.
- Folosește rețelele sociale cu moderație. Inginerii sociali caută pe internet orice informație disponibilă despre o persoană. Cu cât ai postat mai multe informații despre tine, cu atât este mai probabil ca un infractor să îți trimită un atac de phishing țintit.
- Evită conectarea dispozitivelor necunoscute la computer: Cu atât de mulți viruși pe dispozitive în prezent, poți conecta un stick USB necunoscut care va rula un software malițios și îți va copia informațiile sensibile sau îți va infecta PC‑ul cu malware.
Concluzie
În era în care tehnologia evoluează cu viteza luminii, este foarte ușor să trecem cu vederea factorul uman în securitatea cibernetică. Totuși, atacurile de inginerie socială sunt în creștere și devin din ce în ce mai precise. Prin creșterea gradului de conștientizare și promovarea celor mai bune practici, poți evita să devii următoarea victimă.
