Što je društveni inženjering?

DLP

Društveni inženjering opisuje način na koji se žrtve manipuliraju da dijele informacije, preuzimaju zlonamjerni softver i šalju novac kriminalcima. Za razliku od zlonamjernih softverskih paketa, ljudski mozak se ne može zakrpati – na osnovnoj razini, svi su jednako ranjivi na društveni inženjering. I dok se javna percepcija društvenog inženjeringa nije mnogo razvila od dana prijevare s nigerijskim princem, napadači su mogli iskoristiti nevjerojatno visoke razine povreda podataka kako bi testirali na stres neke od dosad najopasnijih i najmanipulativnijih tehnika.

Objašnjenje društvenog inženjeringa

Kako funkcionira socijalni inženjering?

Društveni inženjering može imati više različitih oblika, ovisno o pristupu napadača. Za napade na organizacije, predstavljanje kao pouzdani brend ili partner jedan je od najunosnijih. U 2019. kibernetički kriminalci nametnuli su softver temeljen na umjetnoj inteligenciji kako bi oponašali glas izvršnog direktora.

Izvršni direktor energetske korporacije sa sjedištem u Ujedinjenom Kraljevstvu primio je telefonski poziv od svog šefa – ili je barem tako mislio – tražeći od njega da hitno prebaci iznos od € 220,000 ($ 243,000) preko mađarskog dobavljača. Iako ovo predstavlja rijedak slučaj napadača koji koriste umjetnu inteligenciju, većina društvenih inženjera još uvijek je svjesna moći predstavljanja organizacije od povjerenja. Na istom tragu su i napadi koji imaju za cilj oponašanje vladinih i autoritetnih osoba. Povjerenje dano vladinim institucijama predstavlja plodonosnu priliku za zlouporabu za napadače: predstavljanje kao Porezna uprava također može napadima socijalnog inženjeringa dati vremenski ograničenu ili kaznenu prednost, tjerajući žrtve da djeluju bez dužnog razmišljanja.

Metode socijalnog inženjeringa uglavnom se oslanjaju na dvije skupine emocija. Prvi uključuje strah i hitnost. Desetljeća evolucije dovela su do finog usavršavanja tehnika izazivanja straha od kibernetičkih kriminalaca. Neočekivana e-pošta u kojoj se navodi da nedavna transakcija kreditnom karticom nije odobrena, na primjer, stavlja mozak pod veći stres jer žrtva pretpostavlja da je njezina kartica korištena na prijevaru. Ova panika ih vidi kako kliknu na povezanu poveznicu, unesu svoje vjerodajnice na uvjerljivu stranicu za prijavu u banku, samo da bi bili preusmjereni na legitimnu stranicu. Ništa mudrije, žrtva je upravo predala svoje bankovne vjerodajnice prevarantima. Iako je profitabilno za napadače, financije nisu jedini način izazivanja panike: vlasnici malih web stranica i tvrtki mogu primiti poruku u kojoj se lažno tvrdi da slika na njihovoj web stranici krši zakon o autorskim pravima, prema kojem predaju osobne podatke – ili čak novac u obliku novčane kazne. Neki napadi temeljeni na hitnosti čak koriste fasadu vremenski ograničenih dogovora kako bi izvršili pritisak na žrtve da kliknu što prije.

Drugi oblik napada društvenog inženjeringa poziva se na pohlepu; napad nigerijskog princa tradicionalni je primjer toga. Ovdje žrtva prima e-poruku od osobe koja tvrdi da je odbjegli član nigerijske kraljevske obitelji. Pošiljatelj treba nečiji bankovni račun kako bi poslao svoje milijune, ali prvo zahtijeva bankovne podatke svoje žrtve. Žrtvu, koja želi iskoristiti milijune koje treba položiti, može se nagovoriti da pošalje relativno malu predujam ili svoje podatke. U industriji kibernetičkog kriminala, ovaj je napad prastar – ali 2018. još uvijek je donosio stotine tisuća dolara.

Vrste napada društvenim inženjeringom

Društveni inženjering pokriva širok raspon obrazaca napada, od kojih svaki ima svoj pristup manipuliranju žrtvama.

Napadi krađe identiteta

Phishing obuhvaća jednu od najozloglašenijih vrsta napada društvenim inženjeringom. U tim napadima žrtve primaju poruke čiji je cilj navesti ih na dijeljenje osjetljivih informacija ili preuzimanje zlonamjernih datoteka. Prevaranti prepoznaju da je pristigla pošta najranjivije područje svake organizacije, a poruke se izrađuju s povećanjem legitimnosti, oponašajući poznate organizacije, prijatelje primatelja ili vjerodostojne kupce.

Postoji pet glavnih oblika phishing napada; od kojih je najopasnija tehnika spear phishing. Ova taktika cilja na određenu osobu – obično onu kojoj je dodijeljen povlašteni pristup osjetljivim informacijama i mrežama. Napadač će provesti dugotrajnu istragu o ciljanoj osobi, često koristeći društvene mreže za praćenje ponašanja i kretanja. Cilj je stvoriti poruku koju je vjerojatno poslao netko koga meta poznaje i kome vjeruje – ili koja se poziva na situacije s kojima je meta upoznata. Kitolov se odnosi na ovaj proces koji se koristi protiv pojedinaca visokog profila, poput izvršnih direktora. Spear phishing može se pojačati do gotovo nepogrešivog s Business Email Compromise (BEC) – dopuštajući slanje zlonamjernih e-poruka s originalnog računa e-pošte autoriteta.

Sljedeće dvije vrste phishinga odnose se na medij putem kojeg je žrtva kontaktirana. Dok krađa identiteta općenito podsjeća na e-poštu, napadači su više nego spremni iskoristiti bilo koji oblik potencijalnog kontakta sa žrtvama. To može uključivati vishing – kao što je gore spomenuto prevariti glas izvršnog direktora – a uključivanje (prividne) osobe s druge strane linije može dodatno usaditi osjećaj hitnosti kod žrtava.

IBM je objavio podatke koji je pokazao da je uključivanje vishinga u kampanju povećalo njegove šanse za uspjeh do 300%. S druge strane, Smishing vidi kako napadači koriste tekstualne poruke za postizanje istog cilja. Način na koji te različite poruke i e-pošta dolaze do svojih žrtava je višestruk kao i sami napadači: čiji je najosnovniji oblik masovni phishing. Vrlo slične e-poruke – obično prema predlošku – šalju se milijunima primatelja odjednom. Masovni napadači znaju da je krađa identiteta samo igra brojeva – pošaljite ih dovoljnom broju ljudi i na kraju će netko postati žrtva. Ove su poruke e-pošte što je moguće općenitije, jer se čini da potječu od globalnih banaka i velikih internetskih tvrtki. Uobičajene teme su lažne e-poruke za poništavanje lozinke i zahtjevi za ažuriranje kreditne skrbi. Krađa identiteta tražilicama, s druge strane, pokušava stvoriti 'organske' žrtve; napadači izgrade zlonamjerne web stranice koje se zatim rangiraju dovoljno visoko u rezultatima Google pretraživanja da žrtve pretpostave da su legitimne. Na platformama društvenih medija ribiči phisheri biraju žrtve maskirajući se u službene račune tvrtki od povjerenja. Nakon što ih korisnik kontaktira, ti će lažni računi iskoristiti njihove upite i nedoumice kako bi prikupili njihove osobne podatke i podatke o kreditnoj kartici.

Napadi mamcima

Dok se krađa identiteta često oslanja na taktiku hitnosti visokog pritiska, napadi mamcima mame žrtve da djeluju protiv svojih interesa. Godine 2020. FBI izdao je upozorenje organizacijama sa sjedištem u SAD-u; otkriveno je da je zloglasna skupina za kibernetički kriminal FIN7 koristila zlonamjerne USB pogone za isporuku ransomwarea u više organizacija. Ti su USB-ovi bili poslani kao paketi s obavijestima o odnosima s javnošću i javnoj sigurnosti; pronađen je jedan zaplijenjeni paket koji imitira Ministarstvo zdravstva SAD-a, pozivajući se na smjernice za Covid-19, a drugi je pokušavao imitirati poklon paket Amazona, pun lažne darovne kartice i zlonamjernog USB-a.

Tailgating Napadi

Tailgating, ili piggybacking, proizlazi iz ideja oko sigurnosti fizičkog perimetra. Ovdje napadač pomno prati legitimnu i ovlaštenu osobu u područje koje sadrži vrijednu imovinu. Digitalni tailgating jedan je od najjednostavnijih oblika cyber napada koji se uvelike oslanja na nepažnju zaposlenika. To može izgledati kao da zaposlenik ostavlja svoj uređaj bez nadzora dok odlazi u kupaonicu u svojoj lokalnoj knjižnici – to je legitimno kako FBI je uhapsio Rossa Ulbrichta, vlasnik internetske stranice Silk Road za prodaju droga, 2013.

Pretekstiranje napada

Napadi s izgovorom uključuju napadača koji stvara uvjerljivu, ali lažnu situaciju za žrtvu. Nakon što povjeruju laži, žrtvama postaje mnogo lakše manipulirati. Na primjer, mnogi napadi s izgovorom usredotočeni su na to da je žrtva pogođena sigurnosnim propustom – a zatim ponudi da riješi problem, bilo tako što će njihova 'IT podrška' preuzeti daljinsku kontrolu nad žrtvinim uređajem ili prikupiti osjetljive informacije o računu. Tehnički, gotovo svaki pokušaj društvenog inženjeringa uključivat će određeni stupanj izgovora, zahvaljujući njegovoj sposobnosti da žrtvu učini podatnijom.

Quid pro quo napadi

Quid pro quo napadi koriste metodu mamljenja – vješanjem željene robe ili usluge – ispred žrtvinog lica – ali samo nakon što žrtva zauzvrat oda osobne podatke. Bilo da se radi o lažnim dobicima na natjecanjima ili kvizu 'koja si ti Disneyeva princeza', informacije koje ovi napadi daju mogu pridonijeti ozbiljnijim napadima u nastavku.

Scareware napadi

Scareware opisuje bilo koji oblik zlonamjernog softvera koji ima za cilj prestrašiti svoje žrtve da dijele informacije ili preuzimaju daljnji zlonamjerni softver. Dok su lažne poruke tehničke podrške tradicionalni primjer, noviji napadi u potpunosti iskorištavaju osjećaje straha i srama. Nedavno su adrese e-pošte ukradene s web stranice za zapošljavanje i svakoj su poslane lažne ponude za posao; klikom na priloženi dokument pokrenulo bi se preuzimanje trojanskog virusa. Napad je posebno ciljao korporativne adrese e-pošte, znajući da će zaposlenici koji budu žrtve oklijevati reći svojim poslodavcima da su bili zaraženi dok traže alternativno zaposlenje.

Napadi na pojilište

Naposljetku, napadi na pojilište pokazuju da napadači ciljaju na popularne legitimne web stranice. Ubacivanjem zlonamjernog koda na web-mjesta koja obično posjećuju mete, napadači mogu neizravno uhvatiti žrtve pomoću preuzimanja i krađe vjerodajnica.

Kako prepoznati napade društvenog inženjeringa

Napadi društvenim inženjeringom tako su uspješni zahvaljujući svojoj sposobnosti da prođu nezapaženo kao takvi. Stoga je prepoznavanje napada – po mogućnosti prije nego što vas uhvati u zamku – ključni dio prevencije napada. Evo 6 glavnih identifikatora pokušaja napada društvenim inženjeringom:

Sumnjiv pošiljatelj

Jedan od najlakših načina da se lažno predstavljate kao legitimna tvrtka je lažiranje e-pošte. Ovdje će adresa napadača biti gotovo identična adresi prave organizacije – ali ne sasvim. Neki znakovi mogu biti malo promijenjeni ili potpuno izostavljeni; ovo može biti nevjerojatno lukavo, kao što je prebacivanje velikog slova 'I' na malo 'l'.

Generički pozdravi i odjave

Masovne phishing e-poruke gotovo će uvijek koristiti generički pozdrav kao što je gospodine ili gospođo. Međutim, pravi marketinški materijal obično počinje imenom, budući da će pouzdane organizacije normalno koristiti podatke za kontakt uključene u njihovu bazu podataka. Ovaj oblik kontakta od pouzdanih organizacija također će se proširiti na kraj e-pošte, budući da će potpis pošiljatelja često uključivati podatke za kontakt. Kombinacija generičkog pozdrava i nedostatka podataka za kontakt snažan je pokazatelj krađe identiteta.

Lažne hiperveze i web stranice

Jedan od najlakših načina za kompromitiranje uređaja je putem web stranice pune zlonamjernog koda. Zahvaljujući oblikovanju hiperveza na modernim uređajima, bilo koji tekst može se povezati s bilo kojim URL-om. Iako je to moguće provjeriti na osobnom računalu tako što ćete lebdjeti iznad veze i procijeniti njezinu valjanost, korisnici mobilnih uređaja i tableta izloženi su većem riziku od nesvjesnog klikanja. Sposobnost napadača da oponašaju legitimne web-stranice, dodajući slojeve uvjerljivosti napadu, pogoršava pojavu lažnih hiperveza. Lažni URL slijedit će isti obrazac kao lažna adresa e-pošte: varijacije u pravopisu ili domeni, kao što je promjena .gov u .net, neke su od najuspješnijih tehnika.

Sekundarna odredišta

Vrlo je uobičajeno da marketinški materijal i druge poruke uključuju priložene dokumente. Napadači to iskorištavaju usmjeravajući žrtvu na originalan dokument – ili mjesto za hosting – koji žrtvu zauzvrat usmjerava na zlonamjernu stranicu. Ova tehnika se obično primjenjuje protiv timova zaposlenika koji redovito surađuju na poslu. Ako legitiman dokument uključuje poveznicu na zlonamjernu datoteku, ne samo da je vjerodostojniji njegovim žrtvama, već i zaobilazi osnovne sigurnosne mehanizme pristigle pošte.

Pravopis i izgled

Najočitiji pokazatelj phishing napada: loša gramatika i pravopis. Ugledne organizacije gotovo uvijek posvete vrijeme provjeri i lektoriranju korespondencije klijenata. U isto vrijeme, loša gramatika povezana s umjetnošću društvenog inženjeringa ljudskih hakerskih napada djeluje kao inherentni mehanizam filtriranja. Napadači ne žele gubiti vrijeme na obračun sa sumnjivim ljudima: oni koji nasjedaju na lošu gramatiku i pravopis dovoljno su ranjivi da budu lak plijen.

Sumnjivi prilozi

Neželjena e-pošta koja od korisnika traži preuzimanje i otvaranje privitaka trebala bi zazvoniti na uzbunu. U kombinaciji s tonom hitnosti, važno je tu paniku preusmjeriti na osjećaj opreza. U slučajevima kompromitacije poslovne e-pošte, moguće je da čak i nevjerojatno kratke poruke izazovu raširenu pancu: primanje e-poruke od visokog rukovoditelja u kojoj se navodi da "trebam ispisati ovaj dokument, na mom stolu za 10 minuta" moglo bi zavarati pripravnika da previdi gramatička greška iz straha.

Kako spriječiti napade socijalnog inženjeringa

Iako je uobičajeno gledati na phishing napade kao na čisto individualni problem, postoji sve veći zahtjev da se na prevenciju društvenog inženjeringa gleda kao na zajednički napor. Uostalom, napadači jednostavno koriste prirodne reakcije korisnika na strah i paniku kao oružje. Zaštita organizacije – i njezinih korisnika – svodi se na tri ključna područja.

#1. Obuka o svijesti o sigurnosti

Prvo i najvažnije: dati zaposlenicima alate da se obrane. Obuka o svijesti o sigurnosti trebala bi biti relevantna za njihove korisnike, uz naglašavanje nekoliko jednostranih pravila. Zaposlenici trebaju razumjeti da ne klikaju na poveznice u bilo kojoj e-pošti i porukama. Umjesto toga, trebaju izgraditi naviku jednostavnog traženja legitimne verzije. Moderne internetske brzine čine ovo lakim rješenjem.

Higijena lozinki je u ovom trenutku podsjetnik koji je svaki zaposlenik čuo tisuću puta. S obzirom na desetke mrežnih računa koje svaka osoba sada ima, jedinstvene i složene lozinke uistinu su izvedive samo korištenjem upravitelja lozinki. Podrška zaposlenicima na ovaj način može uvelike pomoći u ograničavanju radijusa eksplozije uspješnih napada.

Konačno, zaposlenici moraju shvatiti da su svi ranjivi. Curenje osobnih podataka putem društvenih medija ono je što pokreće iznimno uspješnu industriju krađe identiteta. Iako je dobro imati na umu da škole, kućne ljubimce i mjesta rođenja treba držati podalje od očiju javnosti, nekim će zaposlenicima možda biti lakše postaviti sigurnosna pitanja koja su nezaboravna, ali tehnički neistinita. Na primjer, postavljanje sigurnosnog pitanja 'gdje si išao u školu?' s 'Hogwartsom' mogao potpuno odbaciti sve radoznale napadače.

#2. Pravila kontrole pristupa

Kontrola pristupa svakoj krajnjoj točki vitalni je dio prevencije društvenog inženjeringa. Od procesa provjere autentičnosti korisnika, potrebna je stroga kontrola nad time tko čemu pristupa. Krajnji korisnici trebaju zaključati računala i uređaje svaki put kada se udalje – to bi trebalo pojačati i automatizirati putem kratkih mjerača vremena mirovanja. Kada se uređaji koriste u javnim prostorima, potrebno ih je cijelo vrijeme držati u posjedu zaposlenika. Sva provjera autentičnosti mora biti pojačana s MFA. Ovo može u potpunosti negirati prijetnju od BEC-a i krađe vjerodajnica za prijavu.

U konačnici, jednostavna provjera identiteta otiskom prsta ili telefonom može napraviti razliku između lažirane e-pošte koja je uhvaćena – i BEC napada koji uzrokuje milijunske štete.

#3. Sigurnosne tehnologije

Zaposlenici moraju imati temeljitu podršku sveobuhvatnim paketom sigurnosnih tehnologija. Na primjer, ako filtriranje neželjene pošte programa za e-poštu još uvijek dopušta sumnjive e-poruke u pristiglu poštu, filtri trećih strana mogu pomoći u praćenju i sprječavanju napada društvenog inženjeringa pristupom crne liste URL-ova. Dok je prevencija temeljena na pristigloj pošti važna, ono što je možda još važnije je implementacija visoka kvaliteta sigurnosti preglednika. Ovo će se u idealnom slučaju boriti protiv rootkita, trojanaca i prijevara za krađu vjerodajnica, nudeći daleko dublju zaštitu od djelomičnog prepoznavanja URL-a.

Rješenje LayerX

LayerX-ovo ekstenzija preglednika namijenjena prvom korisniku nudi jedinstven, sveobuhvatan pristup borbi protiv napada društvenog inženjeringa. Sesije preglednika nadziru se na aplikacijskom sloju, dajući potpunu vidljivost svih događaja pregledavanja. Svaka web stranica može ići korak dalje od procesa 'blokiraj ili odbij', uz dubinsku analizu koja omogućuje neutralizaciju prijetnje u stvarnom vremenu. Na taj način granularna provedba može spriječiti čak i vrlo napredne BEC napade da isporuče korisni teret. Umjesto da se oslanja na postupni pristup putem DNS popisa blokiranih, LayerX-ov pristup koji je spreman za budućnost spaja vrhunsku inteligenciju prijetnji s dubokom provedbom na svakoj krajnjoj točki.

Sigurnost korištenja umjetne inteligencije

Sigurnost preglednika za tvrtke

Izvješće o sigurnosti LayerX Enterprise GenAI za 2025.

Partneri

O nama