Socijalni inženjering (Social engineering - SE) predstavlja tehniku manipulacije ljudima koja se zasniva na ljudskoj nepažnji ili neznanju. Koriste se razne tehnike prevara gde se igra na "ljudsku" stranu svakog pojedinca i želju da pomogne drugima ili na kartu autoriteta odnosno lažnog predstavljanja u osobu koja je na neki način autoritet u odnosu na žrtvu. Socijalni inženjer je zapravo osoba koja ne samo što poznaje tehnike i metode napada već izuzetno dobro zna psihologiju i ima visok nivo socijalne inteligencije koja mu pomaže da manipuliše drugima.
Kako je sve počelo?
U početku počelo se sa jednostavnim metodama prevara koje su u prvo vreme bile uglavnom vezane za upotrebu fiksne telefonije. Prva metoda je poznata kao "War dialing" a osnovna ideja jeste da imate uređaj koji će automatski pozivati veliki broj kompanijskih brojeva i na taj način detektovati na kojim brojevima se nalaze uređaji (pristupni modemi ili fax mašine). U vreme kada je ova tehnika bila aktuelna većina daljinskog pristupa (remote access) radila se preko ovih pristupnih modema dok je to danas samo rezervna varijanta u nekim firmama dok većina više i ne koristi takav način rada.
Sledeća stvar koja je bila izuzetno zanimljiva socijalnim inženjerima jeste bežična mreža (WiFi) koja je zbog samo načina prostiranja signala kroz vazduh i slabih metoda zaštite postala meta broj jedan. Tehnika koja je postala izuzetno popularna poznata je kao ratna vožnja (War driving) i koja čak sama po sebi i nije nelegalna. Radi se o pasivnom skeniranju mreža na određenoj teritoriji a izvodi se jednostavno tako što se vozite automobilom gde je aktivan program na laptop računaru koji skenira mreže odnosno pristupne tačke (Access point) i na nekoj vrsti mape a to je najčešće Google mapa postavlja markere koji označavaju bežične pristupne tačke. Osim naziva ovde se mogu beležiti i podaci o tome da li se koristi neka zaštita i ako se koristi koja, zatim koji se kanal koristi i u nekim slučajevima je moguće identifikovati i sam uređaj. Ovo je samo polazna tačka odnosno kako bi se to u vojnoj terminologiji zvalo "izviđanje" gde mi samo prikupljamo informacije a posle ih obradimo i na osnovu toga odlučujemo koji su dalji koraci.
Email i web
Osim bežičnih mreža za socijalne inženjere izuzetno je zanimljiva tehnologija emaila i web-a. Ovo su dva kanala koja se koriste za različite vrste pecanja (Phishing) gde je osnovna ideja naterati korisnika da klikne na određeni link koji će ga ili odvesti na neki lažni sajt gde će ostaviti svoje podatke za logovanje (korisnička imena, lozinke, PIN...) ili druga opcija jeste da se klikom na link pokrene instalacije određenog softvera na računar. U oba slučaja ideja je ista, maskirati pravi URL link u neki drugi kako bi korisnik kliknuo a što će se dalje desiti zavisi od toga šta je osnovni cilj napada. Ovde želim da napomenem da se ova metoda može raditi preko SMS poruka i onda je poznata pod nazivom SMISHING ili preko telefona a onda se radi o VISHING-u.
Društvene mreže
Posle svega ovoga dolazimo do pojave specifičnog fenomena današnjice a to su društvene mreže (social network) koje su se toliko raširile da je njihova upotreba danas postala standard. Nebitno da li je u pitanju Facebook, Twitter, LinkedIn, Instagram ili neka druga mreža socijalni inženjeri su svuda aktivni i igraju igru "predatora" koja osmatra i traži žrtvu. Naravno žrtva u ovom slučaju jeste osoba koja će prihvatiti da igra njihovu igru koju oni i te kako znaju dobro da kreiraju. Ovde treba biti veoma oprezan jer se ovde u nekim slučajevima susreću i pedofili koji koriste društvene mreže kako bi namamili decu i to kroz kreiranje lažnih profila maloletnih lica koja navodno hoće da se druže sa svojim vršnjacima. Ovo može imati elemente teškog krivičnog dela i postoji međunarodna policijska akcija poznata pod nazivom Armagedon koja se uspešno bavi ovom problematikom i gde učestvuje u Srbiji služba za borbu protiv organizovanog kriminala (SBPOK).
Međutim osim toga postoje i problemi koji su vezani za nešto što je poznato kao krađa identiteta a radi se o tome da neko toliko dobro poznaje osobu i njen online identitet da ga može preuzeti. Na svu sreću kod je još uvek dosta dokumenata u papirnom obliku pa je malo teže uraditi potpuno preuzimanje identiteta osobe što je u nekim tehnološki razvijenijim zemljama svakodnevnica.
Kako se zaštititi, ima li zaštite od ovakvih napadača?
Jedini način odbrane jeste nešto što je poznato kao security awareness odnosno podizanje svesti o pretnjama i načinima odbrane od istih. Relativno malo ulaganje u zaposlene i njihov awareness može se veoma isplatiti ako se na taj način spreči velika šteta koja se može izazvati ako zakaže najslabija karika u sistemu zaštite a to je na žalost čovek. Firme treba dobro da razmisle o ovome i da deluju preventivno kako bi bile koliko toliko sigurne.
Što se tiče fizičkih lica odnosno običnih ljudi evo nekoliko saveta šta ne treba raditi:
- Pravi prijatelj na mreži je samo prijatelj koga poznajete iz realnog sveta a ne neko koga nikada fizički niste upoznali ali vam se približio u online svetu.
- Vodite računa kakve podatke stavljate na društvene mreže, nikada nemojte postavljati pitanja vezana za posao koji radite jer samim tim možete nekom reći na čemu trenutno radite ili šta firma ima od softvera ili bezbednosnih uređaja.
- Pazite koje slike stavljate na mreže a pogotovu izbegavajte slike porodice ili dece kao i slike sa kojih se može videti gde su snimljene. Takođe moguće je da slike u sebi ima i metapodatke koji otkrivaju kojim je aparatom slikano i tacna lokacija na mapi sa koordinatama. Ovo je nešto što se ranije koristilo na Facebook mreži ali je brzo njihov tim odreagovao i sada prilikom ubacivanja slike automatski se brišu svi postojeći metapodaci.
- Nemojte se uvek čekirati da ste trenutno na nekoj destinaciji ako smatrate da je moguće da to neko zloupotrebi jer zna da niste kod kuće ili u kancelariji.
- Kad god dobijete neki link bez obzira da li je u pitanju mail, viber, skype ili neki drugi vid razmene poruka uvek pogledajte gde taj link stvarno vodi a ne šta piše (to se može lako uraditi ako dođete miše na sam link i pogledate dole u statusnoj liniji vašeg browsera bi trebalo da vidite pravi link a ne ono što piše u poruci.
- Nikada nemojte unositi svoje podatke na sajtovima koji nemaju SSL sertifikat i koje browser označi kao nesigurno (ovo je obično signalizirano crvenim ili narandžastim katancem dok bi zelenom trebalo da budu označeni bezbedni sajtovi).
- Nikada nemojte davati informacije putem telefona ako niste sigurni u identitet osobe sa druge strane jer njegovo ime ne mora da znači da je pravo i da nije u pitanju prevara.
Na kraju nekoliko zanimljivih linkova za one koji žele da istražuju ovu temu:
Kevin D. Mitnick (otac socijalnog inženjeringa)
- The Art of Invisibility
- The Art of Deception
- The Art of Intrusion
Christopher Hadnagy (sajt koji se bavi ovom temom http://social-engineering.org )
- Social Engineering: The Art of Human Hacking
- Unmasking the Social Engineer: The Human Element of Security
- Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails