Socijalni inženjering (informacijska sigurnost)

Socijalni inženjering, u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.[1]

Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."[2]

Kultura informatičke sigurnosti

[uredi | uredi izvor]

Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.[3]

Društveni inženjering je korišten od strane Islamske Države i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi.[4]

Tehnike i termini

[uredi | uredi izvor]

Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.[5] Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona.

Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao Robert Cialdini. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica.

  1. Reciprocitet - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu.
  2. Posvećenost i dosljednost - Ako se ljudi posevete, usmeno ili pismeno, na ideju ili cilj, veća je vjerovatnoća da će ispuniti tu obvezu jer su izjavili da ta ideja ili cilj odgovara njihovoj slici o sebi. Cialdini ukazuje na pranje mozga američkih ratnih zarobljenika od strane Kineza kako bi im preoblikovali sliku o sebi kako bi od njih dobili suradnju i bez korištenja sile. Još jedan primjer su marketinški stručnjaci prave skočne prozore na internetu, sa porukama kao što su: “Ja ću se kasnije prijaviti” ili “Ne, hvala, ne želim da zarađujem novac”.
  3. Društveni dokaz - Ljudi će raditi stvari koje vide drugi ljudi. Na primjer, u jednom eksperimentu, jedan ili više saučesnika bi gledali u nebo; ostali posmatrači bi onda pogledali u nebo da vide ima li nešto na nebu što su oni promašili. U jednom trenutku ovaj eksperiment je prekinut, jer je toliko ljudi gledalo gore da su zaustavili saobraćaj.
  4. Autoritet - Ljudi teže prema tome da poštuju autoritetske figure, čak i ako se od njih traži da izvrše nepoželjne radnje. Cialdini navodi incidente kao što su Milgramovi eksperimenti početkom 1960-ih i Masakr u My Lai .
  5. Sklonost - Ljudi će prije povjerovati drugim ljudima koje vole. Cialdini citira marketing Tupperwarea što se kasnije može prepoznati kao viralni marketing. Ljudi su bili skloniji kupovini ako im se dopada osoba koja ih prodaje.
  6. Nedostatak - Percipirani nedostatak nečega stvara potražnju. Na primjer, kada kažu da su ponude dostupne samo za neko "ograničeno vreme", podstiče se prodaja.

Četiri vektora socijalnog inženjeringa

[uredi | uredi izvor]

Vishing

[uredi | uredi izvor]

Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji.

Phishing

[uredi | uredi izvor]

Phishing je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura.

Smishing

[uredi | uredi izvor]

Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i phishing, možete kliknuti na zlonamjerni link ili otkriti informacije.

Pretvaranje

[uredi | uredi izvor]

Pretvaranje ili stvaranje izgovora da je druga osoba s ciljem fizičkog pristupa sistemu ili zgradi.

Protumjere

[uredi | uredi izvor]

Obuka zaposlenih Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti)

Standardni okviri Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije)

Proučavanje informacija Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.)

Sigurnosni protokoli Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama.

Testiranje Izvođenje nenajavljenih, periodičnih testova sigurnosnog okvira.

Inokulacija Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.[6]

Pregled Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.[7]

Također pogledajte

[uredi | uredi izvor]

Reference

[uredi | uredi izvor]
  1. ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2nd izd.). Indianapolis, IN: Wiley. str. 1040. ISBN 978-0-470-06852-6.
  2. ^ "Social Engineering Defined - Security Through Education". Security Through Education (jezik: engleski). Pristupljeno 3. 10. 2018.
  3. ^ Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
  4. ^ "What online radicalisation can teach you about security". Red Goat Cyber Security (jezik: engleski). 27. 2. 2019. Pristupljeno 26. 2. 2020.
  5. ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  6. ^ Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.
  7. ^ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.

Dalje čitanje

[uredi | uredi izvor]

Vanjski linkovi

[uredi | uredi izvor]