Društveni inženjering: Noćna mora bezbednosnih kompanija

Društveni inženjering: Noćna mora korisnika i bezbednosnih kompanija

Društveni inženjering (social engineering) nije ništa novo, naprotiv, datira iz vremena u kojima Internet i računari nisu bili ni u začetku. Ovaj pojam opisuje proces istraživanja i manipulacije kako bi se od žrtve dobile neke osetljive informacije. Svaki sistem je ranjiv onoliko koliko je ranjiva njegova najslabija karika. Postoji mnogo tehnika i trikova koji se tom prilikom koriste, a vrlo često žrtva nije ni svesna šta se dešava.

socialengineering

Nigerijske prevare poznate su već više od decenije, i danas većina nas ne naseda kad nas kontaktira službenik neke banke jer nam je rođak bio finansijski savetnik ubijenog Afričkog diktatora, i ostavio 30 miliona dolara. I taj novac je samo za nas, ali samo moramo da platimo troškove transfera. To i vrapci na grani znaju. Nemoguće da neko pada na to. Ipak, analize kažu da je količina novca koju naši građani svake godine uplate kroz ovakve prevare sve veća, i da iznosi stotine hiljada eura. Prevareni često ni ne žele da pričaju o tome da ne bi bili ismejani, ali ako padamo na nešto toliko providno i nerealno, šta li je tek u slučajevima kada neko dobro pripremi teren?

Zašto je društveni inženjering toliko popularan kod hakera?

Još je Kevin Mitnick u svom delu Umetnost obmane rekao da je, tražeći najslabiju kariku, gotovo uvek dolazio do zaključka da je lakše obmanuti osobu koja ima ključne informacije, i dobiti ih od nje, nego provaliti kompleksni računarski sistem koji ih čuva. Sa popularizacijom računara i Interneta naši lični podaci postali su mnogo dostupniji, kanala komunikacije je sve više, a ljudi mahom ne vode računa o osetljivim informacijama.

Bane Pavlović iz kompanije Cybertec Security kaže:

Sve je više kompanija koje obučavaju svoje zaposlene da budu otporniji na ovakve napade. U ovome prednjače međunarodne kompanije koje iskustva donose sa drugih tržišta, kao i lokalne IT kompanije koje prate globalne trendove, pa su samim tim i svesne problema.

Prethodnih nekoliko godina sve češće mediji izveštavaju o posledicama ovakvih napada, ali vrlo retko se govori o uzroku kako je do toga došlo. Često je to „efekat leptira“. Mala greška naizgled nebitne osobe, koja je kroz vreme dovela do problema ogromnih razmera. Bilo da je u pitanju cilj novac, krađa identiteta ili samo uvid u osetljivu prepisku između zaposlenih u nekoj kompaniji, sve počinje naizgled bezazleno.

Kevin Mitnick, jedan od najpoznatijih američkih hakera koji danas pomaže kompanijama da povećaju svoju sigurnost (Izvor: CNET)
Kevin Mitnick, jedan od najpoznatijih američkih hakera koji danas pomaže kompanijama da povećaju svoju sigurnost (Izvor: CNET)

Cilj napadača jeste da iskoristi slabosti. Ako ne uspe da dodje do potrebnih informacija bez direktnog kontakta, pripremiće se i usmeriti na to. Cilj je uvek da stvori lažni osećaj sigurnosti kod druge strane, koji će izazvati to da se zaobiđu uobičajne procedure. Koliko puta ste nešto uradili mimo procedure jer ste poznavali nekoga? Čestitam, i vi ste prevarili sistem.

Ali mi imamo komplikovanu šifru za e-mail…

Pavlović ističe:

U jednom trenutku, klijenti su shvatili da je jako važno da njihovi zaposleni koriste kompleksne šifre za pristup računaru, ili e-mail-u. Pošto su bile kompleksne, mnogi zaposleni su ih čuvali zapisane na papiriću negde na stolu, ili u fiokama. Neki drugi su vodili računa o ovome, ali su recimo za sigurnosna pitanja za e-mail koji koriste imali devojačko prezime majke, ili ime ljubimca, koje je zapravo svako mogao da pronađe čak i letimičnim pogledom na njihov Facebook profil.

Ok, pa to nije toliko strašno. Ili jeste? Vaš e-mail predstavlja mesto na kome su skladištene brojne informacije. Recimo e-mail poruke sa podacima koje dobijate prilikom registracije na brojne servise. Na Dropbox, iCloud, vaše profile na društvenim mrežama. Tu stižu vaši izvodi iz banke, a možda čuvate i mailove u kojima se nalaze vaši lični podaci (matični broj, broj pasoša, lične karte). Dovoljno je da ste nekada kupili putno osiguranje preko Interneta, ili nešto slično. Možda nemate pristupne podatke za neki drugi servis, ali imate podatke koji se mogu iskoristiti za to.

Naši ljudi recimo često postavljaju fotografije aviokarata pred neko putovanje, nesvesni da sa informacijama koje se vide na slici, neko maliciozan može preko sajta aviokompanije napraviti problem, u nekim slučajevima čak i otkazati vašu kartu.

Prošle godine ceo svet je pričao o Celebgate aferi. Da vas podsetimo, govorimo o 31. avgustu 2014. godine kada je Internet bio zasut privatnim fotografijama poznatih ličnosti, koje su inicijalno objavljene na 4chan-u. Više od 30 poznatih ličnosti smo tada imali prilike da vidimo u izdanjima koja nisu za svačije oči.

Posledice "Celebgate" skandala, i daje su vidljive širom Interneta
Posledice „Celebgate“ skandala, i daje su vidljive širom Interneta

Kada se situacija malo smirila, saznalo se da su fotografije potekle sa iCloud naloga tih poznatih ličnosti. Drvlje i kamenje je poletelo u pravcu kompanije Apple, a ispostavilo se da propust nije bio tehničke prirode, već da je posledica toga što su napadači uspešno pogodili šifre ili odgovore na sigurnosna pitanja.

Poseban aspekt cele priče predstavlja sve češća upotreba društvenog inženjeringa u svrhu industrijske špijunaže. Nažalost, mi se o tome ne moramo previše brinuti. Za tako nešto bilo bi potrebno da imamo industriju.

Kako se zaštititi?

Budite na oprezu. Ako je nekom cilj da vas iskoristi na ovaj način, to će uraditi kada o tome ne vodite dovoljno računa. Situacije u kojima prvo delate, a nakon toga razmišljate su idealna prilika. Kada ste u gužvi, pod pritiskom, kada je nešto hitno, ne zaboravite da akcije mogu imati posledice.

Povedite računa o svojim šiframa i drugim sigurnosnim informacijama. Za važne stvari koristite jedinstvene šifre, a potrudite se da odgovore na vaša sigurnosna pitanja zaista znate samo vi.

Pazite gde ostavljate svoje lične informacije i nikada ne šaljite šifre i pristupne podatke drugim stranama putem e-mail-a ili poruka, osim ako niste 100% sigurni da je bezbedno. Takođe, proverite da li su linkovi u e-mail-u kada se otvore u web browseru ispravni i vode na pravo mesto, ili na lokaciju koja samo podseća na originalnu.

Ne razmenjujte one najosetljivije informacije koristeći Wi-Fi u kafićima. Ako nešto morate uraditi, podelite sebi Internet sa telefona. Ako je previše dobro da bi bilo istinito, verovatno ili nije toliko dobro, ili nije istinito.

Greške se dešavaju i najboljima. Dovoljno je da malo spustite gard.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

E-commerce

Gde je nestala besplatna poštarina i da li će AliExpress ikada vratiti ‘Free Shipping’ za Srbiju?

Pisanja medija s početka meseca o tome da AliExpress izbacuje 'free shipping' određenih proizvoda unelo je paniku među mnogima koji kupuju u ovoj online prodavnici. Mi smo analizirali šta je uzrok ovoj promeni i da li uskoro možemo očekivati da se stvari vrate u normalu.

Startapi i poslovanje

3Lateral kupio parcelu u Novom Sadu vrednu €7,7 miliona evra – da li je na pomolu izgradnja njihovog kampusa?

3Lateral kupio je plac u Novom Sadu od skoro 6.500 m2, a koji je plaćen više od 7,7 miliona evra. Znači li to da ova kompanija planira gradnju kampusa?

Kultura 2.0

Kako ste danas?

Pre nekoliko godina jedan lanac privatnih zdravstvenih ustanova preplavio je Beograd bilbordima sa ovim pitanjem. I nikome ko je video nije bilo svejedno. 'Struka' se obrušila na kampanju, a suštinski ni tada ni danas nije bilo jasno koji je tačno problem sa tim što je komunicirano.

Propustili ste

Kultura 2.0

Serbian Bookers: Turizam je i dalje u lošem stanju, ali izdavači računaju na domaće turiste

Kako su se domaći digitalni iznajmljivači snašli tokom pandemije i kakva su im očekivanja za naredni period? Istraživanje platforme Serbian-Bookers ima odgovor.

Intervju

Kako je pandemija uticala na globalno tržište digitalnih usluga i koje pouke se mogu izvući

Ceo svet se preko noći promenio izbijanjem COVID-19 pandemije, a ovaj virus uticao je na sve segmente poslovanja, posebno na globalno tržište IT usluga. Ono je moralo da se prilagodi novonastaloj situaciji i zaposlenima u ovom sektoru nametne potpuno novi izazov - izgradnju internih resursa u cilju što boljeg odgovora na krizu.

Kultura 2.0

Da li i dalje čitamo stripove ili će ovaj kulturološki fenomen ostati u senci digitalizacije?

Ako želiš pobediti, ne smeš izgubiti! Da li i vi često citirate omiljene junake iz stripova, poput čuvenog Alana Forda i jesu li stripovi i dalje deo pop-kulture koji rado konzumirate? Oni su, zapravo, kult koji se ne da tako lako izgubiti u zaboravu, a mi smo analizirali da li će ove male, crtane knjižice i dalje nalaziti put do korisnika - čak i u vreme digitalizacije pisanog i crtanog sadržaja.

Startapi i poslovanje

Kako je beogradski Intelisale porastao za vreme pandemije i prilagodio svoj posao trenutnim potrebama klijenata?

Vratite se koji mesec unazad i zapitajte se - koliko ste svoje poslovanje morali da prilagodite zahtevima klijenata čiji su biznisi bili direktno ili indirektno pogođeni pandemijom COVID-19?

Startapi i poslovanje

Upoznajte Stefana Feješa, najmlađeg programera koji radi u GitHubu i jedinog koji dolazi iz Srbije

Stefan Feješ ima 20 godina, fakultet bi trebalo da završi 2022. godine, a već je kreirao šesti najbrže rastući 'open source' projekat u 2018. godini, govorio na nekim od najpoznatijih 'tech' konferencija širom sveta, a prošlog meseca postao je i najmlađi član GitHub tima.

Kultura 2.0

Kako ste danas?

Pre nekoliko godina jedan lanac privatnih zdravstvenih ustanova preplavio je Beograd bilbordima sa ovim pitanjem. I nikome ko je video nije bilo svejedno. 'Struka' se obrušila na kampanju, a suštinski ni tada ni danas nije bilo jasno koji je tačno problem sa tim što je komunicirano.