Socijalni inženjering na društvenim mrežama
Socijalni inženjering (eng. Social engineering – SE) predstavlja tehniku manipulacije ljudi koja se zasniva na ljudskoj nepažnji ili neznanju. Koriste se razne tehnike prevara, gde se igra na ljudsku stranu svakog pojedinca i želju da pomogne drugima ili na kartu autoriteta odnosno lažnog predstavljanja u osobu koja je na neki način autoritet u odnosu na žrtvu. Socijalni inženjer je zapravo osoba koja ne samo što poznaje tehnike i metode napada već izuzetno dobro zna psihologiju i ima visok nivo socijalne inteligencije koja mu pomaže da manipuliše drugima.
Socijalni inženjering (eng. Social engineering – SE) predstavlja tehniku manipulacije ljudi koja se zasniva na ljudskoj nepažnji ili neznanju. Koriste se razne tehnike prevara, gde se igra na ljudsku stranu svakog pojedinca i želju da pomogne drugima ili na kartu autoriteta odnosno lažnog predstavljanja u osobu koja je na neki način autoritet u odnosu na žrtvu. Socijalni inženjer je zapravo osoba koja ne samo što poznaje tehnike i metode napada već izuzetno dobro zna psihologiju i ima visok nivo socijalne inteligencije koja mu pomaže da manipuliše drugima.
Kako je sve počelo?
U početku radilo se sa jednostavnim metodama prevara koje su uglavnom bile vezane za upotrebu fiksne telefonije. Prva metoda je poznata kao war dialing, a osnovna ideja jeste da imate uređaj koji će automatski pozivati veliki broj kompanijskih brojeva i na taj način detektovati na kojim brojevima se nalaze uređaji (pristupni modemi ili fax mašine). U vreme kada je ova tehnika bila aktuelna većina daljinskog pristupa (eng. remote access) radila se preko ovih pristupnih modema, dok je to danas samo rezervna varijanta u nekim firmama i većina više ne koristi takav način rada.
Sledeća stvar koja je bila izuzetno zanimljiva socijalnim inženjerima jeste bežična mreža (eng. Wi-Fi) koja je zbog samog načina prostiranja signala kroz vazduh i slabih metoda zaštite postala meta broj jedan. Tehnika koja je postala izuzetno popularna poznata je kao ratna vožnja (eng. war driving) i koja čak sama po sebi i nije nelegalna. Radi se o pasivnom skeniranju mreža na određenoj teritoriji, a izvodi se jednostavno tako što se vozite automobilom dok je aktivan program na laptop računaru koji skenira mreže odnosno pristupne tačke (eng. access point). Najčešće se koristi Google Map-a koja postavlja markere koji označavaju bežične pristupne tačke. Osim naziva ovde se mogu beležiti i podaci o tome da li se koristi neka zaštita i koja, zatim koji se kanal koristi, jer u nekim slučajevima je moguće identifikovati i sam uređaj. Ovo je samo polazna tačka ili kako bi se to u vojnoj terminologiji zvalo izviđanje, gde mi samo prikupljamo informacije, a posle ih obradimo i na osnovu toga odlučujemo koji su dalji koraci.
E-mail i web
Osim bežičnih mreža za socijalne inženjere izuzetno je zanimljiva tehnologija e-mail-a i web-a. Ovo su dva kanala koja se koriste za različite vrste pecanja (eng. phishing), gde je osnovna ideja naterati korisnika da klikne na određeni link koji će ga odvesti na neki lažni sajt gde će ostaviti svoje podatke za logovanje kao što su korisničko ime, lozinka, PIN ili da se klikom na link pokrene instalacija određenog softvera na računar. U oba slučaja ideja je ista, maskirati pravi URL link u neki drugi kako bi korisnik kliknuo, a šta će se dalje desiti zavisi od toga šta je osnovni cilj napada. Ovde želim da napomenem da se ova metoda može raditi preko SMS poruka i onda je poznata pod nazivom SMS phishing, a ako je preko telefona onda se radi o vishing-u.
Društvene mreže
Posle svega ovoga dolazimo do pojave specifičnog fenomena današnjice, a to su društvene mreže (eng. social network) koje su se toliko raširile da je njihova upotreba danas postala standard. Nebitno da li je u pitanju Facebook, Twitter, LinkedIn, Instagram ili neka druga mreža, socijalni inženjeri su svuda aktivni i igraju igru predatora koji posmatra i traži žrtvu. Naravno žrtva u ovom slučaju jeste osoba koja će prihvatiti da igra njihovu igru koju oni i te kako znaju dobro da kreiraju. Ovde treba biti veoma oprezan jer se ovde u nekim slučajevima nalaze i pedofili koji koriste društvene mreže kako bi namamili decu i to kroz kreiranje lažnih profila maloletnih lica koja navodno hoće da se druže sa svojim vršnjacima. Ovo može imati elemente teškog krivičnog dela i postoji međunarodna policijska akcija poznata pod nazivom Armagedon koja se uspešno bavi ovom problematikom i gde u Republici Srbiji učestvuje služba za borbu protiv organizovanog kriminala (SBPOK).
Međutim, osim toga postoje i problemi koji su vezani za nešto što je poznato kao krađa identiteta, a radi se o tome da neko toliko dobro poznaje osobu i njen online identitet da ga može preuzeti. Na svu sreću, kod nas je još uvek dosta dokumenata u papirnom obliku pa je malo teže uraditi potpuno preuzimanje identiteta osobe što je u nekim tehnološki razvijenijim zemljama svakodnevnica.
Kako se zaštititi, ima li zaštite od ovakvih napadača?
Jedini način odbrane jeste nešto što je poznato kao security awareness odnosno podizanje svesti o pretnjama i načinima odbrane od istih. Relativno malo ulaganje u zaposlene i njihovu svesnost se može veoma isplatiti. Na taj način sprečava se velika šteta koja se može izazvati ako zakaže najslabija karika u sistemu zaštite, a to je nažalost čovek. Firme treba dobro da razmisle o ovome i da deluju preventivno, kako bi bile koliko toliko sigurne.
Što se tiče fizičkih lica odnosno običnih ljudi, evo nekoliko saveta šta ne treba raditi:
- Pravi prijatelj na mreži je samo prijatelj koga poznajete iz realnog sveta, a ne neko koga nikada fizički niste upoznali koji vam se približio u online svetu.
- Vodite računa kakve podatke stavljate na društvene mreže, nikada nemojte postavljati pitanja vezana za posao koji radite, jer samim tim možete nekom reći na čemu trenutno radite ili šta firma ima od softvera ili bezbednosnih uređaja.
- Pazite koje slike stavljate na mreže, a pogotovu izbegavajte slike porodice ili dece kao i slike sa kojih se može videti gde su snimljene. Takođe, moguće je da slike u sebi imaju i metapodatke koji otkrivaju kojim je aparatom slikano i tačna lokacija na mapi sa koordinatama. Ovo je nešto što se ranije koristilo na Facebook mreži, ali je njihov tim brzo odreagovao i sada prilikom ubacivanja slike automatski se brišu svi postojeći metapodaci.
- Nemojte se uvek čekirati da ste trenutno na nekoj destinaciji ako smatrate da je moguće da to neko zloupotrebi jer zna da niste kod kuće ili u kancelariji.
- Kad god dobijete neki link bez obzira da li je u pitanju e-mail, Viber, Skype ili neki drugi vid razmene poruka uvek pogledajte gde taj link stvarno vodi, a ne šta piše (to se može lako uraditi ako dođete mišem na sam link i pogledate dole u statusnoj liniji vašeg pretraživača pravi link).
- Nikada nemojte unositi svoje podatke na sajtovima koji nemaju SSL sertifikat i koje pretraživač označi kao nesigurne (ovo je obično signalizirano crvenim ili narandžastim katancem dok bi zelenim trebalo da budu označeni bezbedni sajtovi).
- Nikada nemojte davati informacije putem telefona, ako niste sigurni u identitet osobe jer njegovo ime ne mora da znači da je pravo i da nije u pitanju prevara.
Ovo je samo mali deo onoga što postoji u metodologiji socijalnih inženjera i neke tehnike ovde nisam naveo, ali ću za njih praviti pojedinačne člankove jer su teme obimne. Takođe, ovde su navedeni samo neki saveti, ali toga ima još dosta tako da ovo treba shvatiti samo kao temu za razmišljanje.
Na kraju nekoliko zanimljivih link-ova za one koji žele da istražuju ovu temu:
- Kevin D. Mitnick (otac socijalnog inženjeringa);
- The Art of Invisibility;
- The Art of Deception;
- The Art of Intrusion;
- Christopher Hadnagy (sajt koji se bavi ovom temom https://www.social-engineer.org/);
- Social Engineering: The Art of Human Hacking;
- Unmasking the Social Engineer: The Human Element of Security;
- Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails.