Socijalni inženjering, u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.[1]
Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."[2]
Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.[5] Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona.
Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao Robert Cialdini. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica.
Reciprocitet - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu.
Posvećenost i dosljednost - Ako se ljudi posevete, usmeno ili pismeno, na ideju ili cilj, veća je vjerovatnoća da će ispuniti tu obvezu jer su izjavili da ta ideja ili cilj odgovara njihovoj slici o sebi. Cialdini ukazuje na pranje mozga američkih ratnih zarobljenika od strane Kineza kako bi im preoblikovali sliku o sebi kako bi od njih dobili suradnju i bez korištenja sile. Još jedan primjer su marketinški stručnjaci prave skočne prozore na internetu, sa porukama kao što su: “Ja ću se kasnije prijaviti” ili “Ne, hvala, ne želim da zarađujem novac”.
Društveni dokaz - Ljudi će raditi stvari koje vide drugi ljudi. Na primjer, u jednom eksperimentu, jedan ili više saučesnika bi gledali u nebo; ostali posmatrači bi onda pogledali u nebo da vide ima li nešto na nebu što su oni promašili. U jednom trenutku ovaj eksperiment je prekinut, jer je toliko ljudi gledalo gore da su zaustavili saobraćaj.
Autoritet - Ljudi teže prema tome da poštuju autoritetske figure, čak i ako se od njih traži da izvrše nepoželjne radnje. Cialdini navodi incidente kao što su Milgramovi eksperimenti početkom 1960-ih i Masakr u My Lai .
Sklonost - Ljudi će prije povjerovati drugim ljudima koje vole. Cialdini citira marketing Tupperwarea što se kasnije može prepoznati kao viralni marketing. Ljudi su bili skloniji kupovini ako im se dopada osoba koja ih prodaje.
Nedostatak - Percipirani nedostatak nečega stvara potražnju. Na primjer, kada kažu da su ponude dostupne samo za neko "ograničeno vreme", podstiče se prodaja.
Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji.
Phishing je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura.
Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i phishing, možete kliknuti na zlonamjerni link ili otkriti informacije.
Obuka zaposlenih Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti)
Standardni okviri Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije)
Proučavanje informacija Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.)
Sigurnosni protokoli Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama.
Inokulacija Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.[6]
Pregled Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.[7]
^Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
^Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.
^Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN978-1-59749-215-7
Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN0-566-08773-1 or ISBN978-0-566-08773-8
"Zaštita telefonskih listinga", elektronski centar za informacije o privatnosti američkog komiteta za trgovinu, nauku i transport . Preuzeto 8. februara 2006. godine.