Većina napada ne počinje malicizoznim softverom; počinju porukom koja izgleda potpuno normalno – bilo da dolazi putem e-pošte, telefonskog poziva ili četa – i upravo to ih čini toliko efikasnim. Ove prijetnje se oslanjaju na psihološku manipulaciju kako bi zaobišle ljude, a ne sigurnosne zidove. Vrši se pritisak, lažira autoritet i oponaša komunikacija.
Prema podacima Avasta, prijetnje putem socijalnog inženjeringa čine većinu cyber prijetnji s kojima se pojedinci suočavaju u 2024. godini.
Neki ljudi su lakše podložni manipulaciji od drugih, ali bez obzira koliko smo dobri u prepoznavanju socijalnog inženjeringa, svako može imati loš dan i spustiti gard.
Nedavan primjer je sigurnosni stručnjak Troy Hunt, kreator platforme Have I Been Pwned (HIBP), koji je otkrio da je nasjeo na vješto osmišljenu phishing poruku. Napadač je dobio pristup njegovom Mailchimp nalogu i ukrao listu e-mail adresa njegovih pretplatnika na bilten.
Postoji mnogo načina na koje kriminalci pokušavaju pronaći emocionalni “prekidač” koji će im pomoći da dobiju ono što žele.
Jedan od najnovijih trendova poznat je kao taktika „prevari sam sebe“. Umjesto da vam direktno ukradu podatke, navedu vas da ih sami date. Možete podijeliti sigurnosni kod, kliknuti na lažni prozorčić ili isključiti sigurnosni korak – jer sve to izgleda kao normalan zadatak. Ovi napadi su efikasni jer se stapaju s našim svakodnevnim alatima i rutinama.
Kako je Josh Taylor, vodeći analitičar cyber sigunosti u kompaniji Fortra, rekao: „Ono što ove napade čini tako opasnima jeste njihova varljiva poznatost. Nema više očiglednih znakova upozorenja. Umjesto toga, pojavljuju se autentično izgledajući prozori koji iskorištavaju naše navike i povjerenje u svakodnevnu tehnologiju.“
Jedan trik iz oblasti socijalnog inženjeringa koji postaje naročito popularan jeste navesti korisnike da instaliraju maliciozni softver putem lažnih poruka o greškama. Istraživači iz kompanije Proofpoint ističu da te poruke često izgledaju kao legitimna sistemska upozorenja, navodeći korisnike da instaliraju root certifikate ili pokrenu sumnjive skripte, sve pod izgovorom da rješavaju neki problem.
Psihologija iza socijalnog inženjeringa
Autoritet
Ljudi su skloniji vjerovati onima koji djeluju kao autoritet. Imitiranje važnih figura, poput šefa ili IT administratora, navodi druge da slijede njihove naredbe. Iskorištavanjem tog povjerenja, ljudi se mogu navesti da urade stvari koje inače ne bi uradili.
Hitnost i strah
Vremenski pritisak i strah često idu ruku pod ruku. Poruke mogu upozoravati da će nalog biti zaključan, da je plaćanje propalo ili da su osjetljivi podaci kompromitovani. Ova kombinacija izaziva paniku i navodi ljude da djeluju prije nego što razmisle. Kada emocije preuzmu kontrolu, greške se lakše prave – posebno kada zadatak izgleda rutinski, ali nije.
Društveni dokaz
Ljudi se prirodno oslanjaju na druge za smjernice. Lažne recenzije ili poruke koje dolaze od „poznatih kolega“ čine da poruka izgleda legitimnije i time povećavaju šansu da joj se vjeruje.
Reciprocitet
Kada nam neko učini uslugu, osjećamo pritisak da uzvratimo. Pružanje pomoći ili besplatnog poklona unaprijed olakšava kasnije traženje ličnih informacija ili pristupa.
Poznatost
Imamo sklonost da vjerujemo onome što nam djeluje poznato. Oponašanje prijatelja, kolega, poznatih e-mailova, web stranica ili poruka čini pokušaje uvjerljivijima, pa ih je teže prepoznati kao prevaru.
Od ulaza do upada
Nisu svi oblici socijalnog inženjeringa digitalni. Ponekad počinju na ulazu u zgradu. Praćenje zaposlenih, kloniranje kredencijala ili pretvaranje da ste dostavljač jednostavni su načini za ulazak u osigurani objekat. Jednom unutra, lakše je priključiti neovlaštene uređaje, pristupiti otključanim računarima ili prikupiti informacije koje su ostavljene na vidnom mjestu.
Kevin Mitnick je pokazao kako se napadači često oslanjaju samo na neobavezni razgovor ili suptilne socijalne znakove kako bi manipulisali ljudima.
„Kod fizičkog upada igraju ulogu mnogi faktori – doba dana, lokacija, nivo sigurnosti i ljudi koji su zaduženi za njegovo održavanje. Svi ti faktori se stalno mijenjaju, često bez najave, što prevenciju čini znatno težom. Mnoge kompanije ulažu minimalno i nadaju se najboljem – sve dok im se ne dokaže suprotno. Ljudska priroda je oduvijek izbjegavala razmišljanje i pripremu za negativne ishode,“ rekao je Jayson E. Street, glavni službenik za napade u kompaniji Secure Yeti.
Uloga vještačke inteligencije u socijalnom inženjeringu
Napadi putem vishinga i phishings deepfake sadržajem su u porastu jer napadači koriste generativnu AI tehnologiju za pojačavanje taktika socijalnog inženjeringa, navodi kompanija Zscaler.
U 2024. godini, video konferencijski poziv kreiran pomoću deepfake tehnologije, u kombinaciji sa taktikama socijalnog inženjeringa, doveo je do krađe više od 25 miliona dolara iz jedne velike multinacionalne kompanije.
„Deepfake sadržaji postaju toliko uvjerljivi, toliko realistični, da čak i iskusni istraživači sada teško mogu razlikovati stvarni od lažnog sadržaja samo gledanjem ili slušanjem medijskog fajla,“ objasnio je Ben Colman, direktor kompanije Reality Defender.
Kako se zaštititi od socijalnog inženjeringa
- Verifikujte identitet: Uvijek potvrdite identitet osobe prije nego što podijelite osjetljive informacije, posebno putem e-pošte ili telefona. Ako sumnjate, pozovite osobu nazad koristeći zvanični broj.
- Edukacija zaposlenih: Redovno organizujte obuke kako biste povećali svijest o phishin, prevarama i drugim tehnikama socijalnog inženjeringa, s naglaskom na skepticizam.
- Ograničite dijeljenje informacija: Izbjegavajte dijeljenje osjetljivih podataka (kao što su radna mjesta ili raspored kancelarija) na javnim platformama ili društvenim mrežama kako biste smanjili izloženost.
- Koristite višefaktorsku autentifikaciju (MFA): Uvedite MFA za sve korporativne naloge kako biste dodali dodatni sloj zaštite od neovlaštenog pristupa.
- Pratite i prijavljujte sumnjivo ponašanje: Ohrabrite zaposlene da prijave sve neobične zahtjeve ili ponašanja, te kontinuirano nadgledajte sisteme radi znakova kompromitacije.
Izvor:Help Net Security
