Socijalni inženjering (informacijska sigurnost)
Socijalni inženjering, u kontekstu informatičke sigurnosti, odnosi se na psihološku manipulaciju ljudima sa ciljem otkrivanja povjerljivih informacija. To se razlikuje od socijalnog inženjeringa u društvenim naukama, što se ne odnosi na otkrivanje povjerljivih informacija. Socijalni inženjering je tip prevare koja ima svrhu prikupljanja informacija, pronevjere ili pristupa sistemu.[1]
Takođe je definisano kao "svaki čin koji utiče na osobu da preduzme radnju koja može ili ne mora biti u njihovom najboljem interesu."[2]
Kultura informatičke sigurnosti
[uredi | uredi izvor]Ponašanje zaposlenih može imati veliki uticaj na bezbjednost informacija u organizacijama.[3]
Društveni inženjering je korišten od strane Islamske Države i drugih terorističkih grupa za regrutovanje i radikalizaciju mlađih ljudi.[4]
Tehnike i termini
[uredi | uredi izvor]Sve tehnike socijalnog inženjeringa zasnivaju se na specifičnim svojstvima donošenja ljudskih odluka poznatih kao kognitivne predrasude.[5] Ove predrasude, koje se ponekad nazivaju "greške u ljudskom hardveru", iskorištavaju se u različitim kombinacijama za stvaranje tehnika napada. Najčešći tip socijalnog inženjeringa se dešava preko telefona.
Socijalni inženjering se u velikoj mjeri oslanja na 6 principa koje je osnovao Robert Cialdini. Cialdinijeva teorija uticaja zasniva se na šest ključnih principa: reciprocitet, posvećenost i dosljednost, društveni dokaz, autoritet, sklonost, nestašica.
- Reciprocitet - Ljudi imaju tendenciju da uzvrate uslugu, što je razlog mnogih besplatnih uzoraka u marketingu.
- Posvećenost i dosljednost - Ako se ljudi posevete, usmeno ili pismeno, na ideju ili cilj, veća je vjerovatnoća da će ispuniti tu obvezu jer su izjavili da ta ideja ili cilj odgovara njihovoj slici o sebi. Cialdini ukazuje na pranje mozga američkih ratnih zarobljenika od strane Kineza kako bi im preoblikovali sliku o sebi kako bi od njih dobili suradnju i bez korištenja sile. Još jedan primjer su marketinški stručnjaci prave skočne prozore na internetu, sa porukama kao što su: “Ja ću se kasnije prijaviti” ili “Ne, hvala, ne želim da zarađujem novac”.
- Društveni dokaz - Ljudi će raditi stvari koje vide drugi ljudi. Na primjer, u jednom eksperimentu, jedan ili više saučesnika bi gledali u nebo; ostali posmatrači bi onda pogledali u nebo da vide ima li nešto na nebu što su oni promašili. U jednom trenutku ovaj eksperiment je prekinut, jer je toliko ljudi gledalo gore da su zaustavili saobraćaj.
- Autoritet - Ljudi teže prema tome da poštuju autoritetske figure, čak i ako se od njih traži da izvrše nepoželjne radnje. Cialdini navodi incidente kao što su Milgramovi eksperimenti početkom 1960-ih i Masakr u My Lai .
- Sklonost - Ljudi će prije povjerovati drugim ljudima koje vole. Cialdini citira marketing Tupperwarea što se kasnije može prepoznati kao viralni marketing. Ljudi su bili skloniji kupovini ako im se dopada osoba koja ih prodaje.
- Nedostatak - Percipirani nedostatak nečega stvara potražnju. Na primjer, kada kažu da su ponude dostupne samo za neko "ograničeno vreme", podstiče se prodaja.
Četiri vektora socijalnog inženjeringa
[uredi | uredi izvor]Vishing
[uredi | uredi izvor]Vishing, inače poznat kao "glasovni phishing", je kriminalna praksa korištenja socijalnog inženjeringa preko telefona kako bi se dobio pristup privatnim i finansijskim informacijama. Napadači također to koriste i za izviđanje kako bi prikupili detaljnije informacije o ciljanoj organizaciji.
Phishing
[uredi | uredi izvor]Phishing je tehnika prevare u pribavljanju privatnih informacija. Obično, prevarant šalje e-mail koji izgleda kao da dolazi iz legitimnog biznisa - banke ili kompanije za izdavanje kreditnih kartica - tražeći "verifikaciju" informacija i upozoravajući na neke teške posljedice ako se ne osigura.
Smishing
[uredi | uredi izvor]Čin korištenja SMS tekstualnih poruka kako bi se žrtve namamile na određeni način djelovanja. Kao i phishing, možete kliknuti na zlonamjerni link ili otkriti informacije.
Pretvaranje
[uredi | uredi izvor]Pretvaranje ili stvaranje izgovora da je druga osoba s ciljem fizičkog pristupa sistemu ili zgradi.
Protumjere
[uredi | uredi izvor]Obuka zaposlenih Obuka zaposlenih u sigurnosnim protokolima relevantnim za njihovu poziciju. (npr. u situacijama kao što je zatvaranje vrata, ako se identitet osobe ne može provjeriti)
Standardni okviri Uspostavljanje okvira povjerenja na nivou zaposlenika/osoblja (tj. Odrediti i obučiti osoblje kada/gdje/zašto/kako se trebaju obraditi osjetljive informacije)
Proučavanje informacija Identifikacija informacija koje su osjetljive i procjena njene izloženosti socijalnom inženjeringu i kvarova u sigurnosnim sistemima (zgrada, računarski sistem, itd.)
Sigurnosni protokoli Uspostavljanje sigurnosnih protokola, politika i procedura za rukovanje osjetljivim informacijama.
Testiranje Izvođenje nenajavljenih, periodičnih testova sigurnosnog okvira.
Inokulacija Sprečavanje socijalnog inženjeringa i drugih lažnih zamkama usađivanjem otpora pokušajima ubjeđivanja kroz izlaganje sličnim pokušajima.[6]
Pregled Pregledavanje svih navedenih koraka, jer nijedno rješenje za integritet informacija nije savršeno.[7]
Također pogledajte
[uredi | uredi izvor]- Code Shikara (Kompjuterski crv)
- Trik povjerenja
- IT rizik
- Test penetracije
- Phishing
- Fizička bezbjednost informacija
- Piggybacking (sigurnost)
- SMS phishing
- Prijetnja (računarstvo)
- Glasovni phishing
- Ranjivost (računarstvo)
- Tavistock institut
Reference
[uredi | uredi izvor]- ^ Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2nd izd.). Indianapolis, IN: Wiley. str. 1040. ISBN 978-0-470-06852-6.
- ^ "Social Engineering Defined - Security Through Education". Security Through Education (jezik: engleski). Pristupljeno 3. 10. 2018.
- ^ Lim, Joo S., et al. "Exploring the Relationship between Organizational Culture and Information Security Culture." Australian Information Security Management Conference.
- ^ "What online radicalisation can teach you about security". Red Goat Cyber Security (jezik: engleski). 27. 2. 2019. Pristupljeno 26. 2. 2020.
- ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
- ^ Treglia, J., & Delia, M. (2017). Cyber Security Inoculation. Presented at NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, June 3–4.
- ^ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
Dalje čitanje
[uredi | uredi izvor]- Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
- Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks Arhivirano 22. 9. 2016. na Wayback Machine EICAR Conference.
- Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project Master's Thesis, Naval Postgraduate School.
- Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
- Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
- Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
- Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
- Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
- Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9
Vanjski linkovi
[uredi | uredi izvor]- Osnove socijalnog inženjeringa - Securityfocus.com . Preuzeto 3. augusta 2009. godine.
- "Social Engineering, the USB Way". Light Reading Inc. 7. 6. 2006. Arhivirano s originala, 13. 7. 2006. Pristupljeno 23. 4. 2014.
- Da li socijalni inženjering treba da bude dio testa penetracije? - Darknet.org.uk . Preuzeto 3. augusta 2009. godine.
- "Zaštita telefonskih listinga", elektronski centar za informacije o privatnosti američkog komiteta za trgovinu, nauku i transport . Preuzeto 8. februara 2006. godine.
- Plotkin, Hal. Memo za štampu: Izgovorje već nedozvoljen . Preuzeto 9. septembra 2006. godine.
- Striptiz za šifre Arhivirano 26. 10. 2012. na Wayback Machine - MSNBC. MSN.com . Preuzeto 1. novembra 2007. godine.