Socialni inženiring

Skoči na: navigacija, iskanje

Socialni inženiring (angleško tudi "social engineering") je med prevaranti najpogosteje uporabljena tehnika v primerih zlorabe osebnih podatkov. Gre za tehniko, s katero napadalec od žrtve pridobi zaupne podatke in informacije s pomočjo zlorabe zaupanja. Tako v svetovnem spletu kot tudi v drugih pisnih virih obstaja več definicij, ki razlagajo ta pojem. Kljub velikem številu definicij pa je vsem skupen en imenovalec, ki ga lahko izpostavimo. To je manipulacija, ki je v večini primerov psihološko pogojena, saj napadalec uporablja različne psihološke tehnike  kot so prigovarjanje, vzbujanje zaupanja, uporaba vpliva in podobno, ter z uporabo socialnih veščin ter zlorabo zaupanja pridobi od žrtve zaupne informacije, do katerih sicer ni pooblaščen. Kljub temu, da je socialni inženiring tesno povezan z napadi na informacijske sisteme[1] pa ne smemo pozabiti, da je temeljni cilj te tehnike pridobitev podatka ali informacije, ki se ne pojavlja nujno samo v digitalni obliki, temveč se pojavlja tudi kot pisano besedilo, slika, ustni podatek ali informacija.[2] Pridobljene informacije lahko napadalec uporabi za pridobivanje premoženjske koristi, redkeje pa se lahko zgodi, da jih uporabi tudi v druge namene kot so izsiljevanje, grožnje, šikaniranje ali kakršnokoli drugo spravljanje žrtve v slabši in nelagoden položaj.[3] 

Delitev napadov socialnega inženiringa

Pri socialnem inženiringu lahko rečemo, da gre za umetnost prevare. Njegova »odlika« je, da se pojavlja v različnih oblikah in vedno uporablja dosežke človeške družbe, spoznanja o človekovih socialnih in psiholoških značilnostih, prav tako pa znajo napadalci, ki jim  z drugo besedo rečemo tudi socialni inženirji, izkoristiti dosežke informacijske tehnologije, ki napreduje vsak dan. Še posebej so osredotočeni na dostopnost do osebnih računalnikov in interneta. Napade prav zaradi tega lahko razdelimo v dve skupini. [4]

Napadi s pomočjo računalniške tehnologije

Angleško tem napadom rečemo tudi "computer based" napadi. Za napade, ki so izpeljani s pomočjo računalniške tehnologije je značilno, da komunikacija med napadalcem in žrtvijo poteka preko računalniške opreme ter omrežja internet. Tudi napadi, ki temeljijo na računalniški tehnologiji se spreminjajo iz dneva dan, saj se pojavljajo nove oblike. Najpogosteje uporabljene oblike so ribarjenje (phishing), zvabljanje (pharming), pojavna okna (pop-up windows) in trojanski konji (Trojan horses). Zavedati se moramo tudi, da ne gre za klasične hekerske napade, ampak za t.i. hibridne napade, saj se napadalci poslužujejo tako socialnega inženiringa kot tudi klasičnih tradicionalnih hekerskih metod.[2]

Napadi s pomočjo človeške interakcije

Angleški termin za tovrstne napade socialnega inženiringa je "human based" napadi. Za te napade je značilno, da izkoriščajo temeljni družbeno-kulturni ustroj ter osnovne vedenjske značilnosti človeka. Vse to je seveda storjeno z nekim namenom oziroma ciljem, ki si ga je zadal napadalec. Za ljudi, ki se ukvarjajo s socialnim inženiringom je značilno, da so zelo dobri poznavalci psihologije, človeške interakcije, obenem pa so dobri igralci vlog, retoriki, spretno se znajdejo v nepredvidljivih situacijah, so vztrajni, predvsem pa imajo sposobnost pridobiti zaupanje žrtve. Napadi, ki so izpeljani s pomočjo medsebojnih odnosov so bolj prikriti in jih je težje prepoznati. Problem pa se pojavi, ko se zavemo, da edini požarni zid, ki lahko najbolj ščiti podjetje ali posameznika prav človek sam.[2]

Ko računalniška tehnologija še ni bila dovolj razvita, so ljudje, ki jih danes imenujemo hekerji pridobivali informacije, do katerih niso bili upravičeni prav s pristopom, ki temelji na človeški interakciji.  Šele kasneje, ko se je omenjena tehnologija razvila in se pojavi dostopnost do osebnih računalnikov in interneta, so hekerji začeli s pridobivanjem informacij preko računalniške tehnologije. Tako so v svoje delovanje vključili tudi poznavanje širše informacijske tehnologije. V primerih, ko so napadi izpeljani preko interneta ali kakorkoli drugače preko računalniške tehnologije, so nam v pomoč obrambni sistemi, ki temeljijo na strojni in programski opremi, npr. požarni zidovi, anti-virusni programi in drugi mehanizmi. [5]

Motivi za socialni inženiring

Za vsakim človekovim dejanjem stoji nek motiv.[6] Tudi pri socialnem inženiringu se v ozadju skriva težnja, ki se lahko pri napadalcih tudi razlikuje, se pravi, da je motivov oziroma teženj več. Zavedati se moramo, da napadalci, ki se odločijo napasti podjetje lahko prihajajo iz samega podjetja, čemur rečemo napad od znotraj. Poznamo pa tudi napade od zunaj, npr. iz konkurenčne organizacije. Med dejavniki, ki motivirajo socialnega inženirja so med najpogostejšimi finančni motivi, maščevanje (npr. s strani odpuščenega delavca), zunanji pritisk (gre za izsiljevanje in ustrahovanje), politični motivi, kamor lahko uvrstimo tudi oblike terorizma, kriminalni motivi, industrijsko vohunjenje ter samodokazovanje (predvsem med mladimi hekerji). [7]

Življenjski cikel socialnega inženiringa

Shema življenjskega ciklusa socialnega inženiringa

Vsak napad, izpeljan s pomočjo socialnega inženiringa poteka po določenem vrstnem redu oziroma lahko rečemo, da je sestavljen iz štirih faz, ki so med seboj povezane in soodvisne. Te faze so zbiranje informacij, vzpostavitev odnosa, izkoriščanje odnosa in izvršitev zastavljenega cilja. [8]

Zbiranje informacij

Gre za prvi in verjetno tudi najpomembnejši korak v celotnem ciklu. Za to fazo je značilno, da jo lahko razdelimo na dva dela, ki smo jih omenili že prej in sicer na zbiranje informacij s pomočjo računalniške tehnologije in zbiranje informacij s človeško interakcijo. Na področju računalniške tehnologije se informacije lahko zbirajo predvsem na internetu, npr. na spletnih straneh podjetij, vedno več informacij pa napadalci pridobijo s pomočjo uporabe socialnih omrežij. Načini brez uporabe tehnologije pa so opazovanje, gledanje čez ramo (shoulder surfing), igranje vlog, brskanje po smeteh (dumpster diving) in podobno. Napadalec pridobljene podatke, ki so vezani na ljudi, prav tako pa tudi na stvari uporabi za vzpostavitev in razvoj odnosa z žrtvijo, ki predstavlja drugi korak v ciklusu.[8] 

Vzpostavitev odnosa

Napadalec na tej stopnji vzpostavi in obenem razvija odnos z žrtvijo. V tej fazi napadalec izkoristi prej pridobljene podatke in v dani situaciji odigra vlogo, katere prepričljivost je odvisna od kakovosti in količine pridobljenih podatkov ter igralskih sposobnosti napadalca.[8] Ljudje smo po naravi nagnjeni k temu, da nekatere podatke zaupamo osebi, za katero menimo, da je vredna našega zaupanja in da le tega ne bo izrabila. Cilj te faze je prepričati žrtev, da lahko napadalcu zaupa in zato z njim deli tudi tiste bolj zaupne podatke, ki jih sicer morda nebi. 

Izkoriščanje odnosa

Po sami vzpostavitvi odnosa in pridobitvi zaupanja žrtve, sledi faza v kateri napadalec izkorišča ta odnos in žrtvino zaupanje. V primeru, da je bil napadalec v prejšnji fazi prepričljiv in je žrtev prepričal v to, da je vreden zaupanja, mu bo žrtev velikokrat izdala podatke, ki si jih socialni inženir želi, brez da bi se tega sploh zavedala. 

Izvršitev zastavljenega cilja

Ta faza je zadnja v ciklusu, v kateri napadalec izkoristi pridobljene podatke za dosego zastavljenega cilja. Že same informacije lahko pomenijo uresničitev cilja, lahko pa napadalec informacije uporabi kot pomoč pri vdiranju s pomočjo tehnologije. Poudariti je treba, da življenjski ciklus s tem še ni končan. Napadalec lahko v prihodnje še vedno zbira informacije, lahko pa svoje delovanje razširi na celoten informacijski sitem, pridobiva informacije pri drugi žrtvi ali pa zgolj pridobi informacije, ki mu pomagajo pri izvedbi drugega napada.[8]

Za socialne inženirje z manj izkušnjami in manj znanja se napad na tej točki konča. Za tiste bolj profesionalne in izurjene napadalce pa zatem obstaja še dodatna faza in sicer faza, v kateri brišejo sledi, ki bi lahko dale žrtvi vedeti, da je bilo njegovo zaupanje zlorabljeno. 

Tehnike socialnega inženiringa

Zbiranje informacij s pomočjo interneta

Spletni iskalniki

Socialni inženiring velikokrat poteka po principu izrabe že obstoječih informacij o posamezniku za pridobitev še več in bolj ključnih podatkov. Glede na to, da se skoraj o vsakem izmed nas na internetu pojavljajo določeni podatki, socialni inženir lahko zlahka pridobi podatke o naši preteklosti (o naših hobijih, obiskovanih šolah, profesionalnemu življenju in ostalih aktivnosti). Nemalokrat se zgodi celo, da so na internetu objavljeni določeni osebni podatki (v obliki seznamov, tabel,…) pomotoma, saj za velikimi strežniki in računalniškimi ekrani seveda sedijo ljudje, uredniki spletnih strani, ki lahko objavijo na internetu nekaj, česar pravzaprav niso nameravali. Druga možnost zlorabe je vzpostavitev t.i. lažnih spletnih strani; gre predvsem za stani, ki zahtevajo registracijo oziroma prijavo. Natančneje gre za ponarejene spletne strani, za katere mislimo, da so prave. Od nas zahtevajo, da vpišemo geslo in uporabniško ime ter morda še druge potrebne podatke, ko pa jih vpišemo, se pojavi obvestilo, da je prišlo do napake in da moramo podatke ponovno vpisati. Takrat se nam prikaže originalna stran. Vse to poteka s pomočjo DNS strežnika, ki usmerja internetne domene na IP naslov. Uporabniki se niti ne zavedamo, da nam napadalci na ta način nezakonito kradejo osebne podatke. [9] 

Socialna družabna omrežja

Socialna omrežja imajo iz leta v leto vse več aktivnih uporabnikov. Tovrstna omrežja so vse bolj razširjena, temeljijo pa na ustvarjanju lastnega profila in s tem posledično tudi objavljanjem naših osebnih podatkov. Zaradi svoje razširjenosti in vse več ljudi, ki uporabljajo spletna socialna omrežja, so le ta postala prava zakladnica podatkov za napadalce. 

Ribarjenje (phising)

Izraz ribarjenje podatkov (phishing) izvira iz angleških besed za geslo (password) in ribarjenje (fishing).[9] Gre za nezakonit način zavajanja uporabnikov, pri katerem poskuša prevarant s pomočjo lažnih spletnih strani in elektronskih sporočil od uporabnikov na takšen ali drugačen način izvabiti njihove osebne podatke, kot so številke kreditnih kartic, uporabniška imena in gesla, digitalna potrdila in ostale osebne podatke.

Pharming napadi

Napadi pharming (gre za skovanko med angleškima besedama farming in pharmacy, navezuje pa se na tehniko genetskega inženiringa,v svetu interneta bi lahko govorili o inženiringu naslovov spletnih mest), so za uporabnika zelo nevarni, saj jih je težko prepoznati. Glavna razlika med phishing-om in pharming-om je v tem, da gre pri pharmingu bolj za tehnični napad kot za tehniko socialnega inženiringa, na katerem temelji ribarjenje podatkov. Praviloma gre bodisi za neposreden napad na DNS strežnike, bodisi za napad na določeno datoteko, ki se nahaja na računalniku uporabnika (gre za t.i. datoteko o gostiteljih oz. host file, kjer se nahajajo podatki o URLjih in domenah). Uporabnik je v teh primerih prepričan, da se nahaja na pravi strani, saj je vtipkal pravi URL naslov strani, v resnici pa ga je eden od omenjenih načinov napada preusmeril na lažne strani, ne da bi se pri tem spremenil URL naslov v oknu brskalnika. Uporabnik je seveda v tem lažnem zaupanju dovolj samozavesten, da vnaša svoje osebne podatke v obrazce, ki se nahajajo na takšnih straneh.[8]

Trojanski konj, virusi in črvi

Virusi so predstavniki škodljive kode, ki živijo znotraj datotek kot so npr. datoteke urejevalnika besedil Word, urejevalnika preglednic Excel in ostalih. Ob odprtju okužene datoteke se virus razširi in okuži ostale datoteke na računalniku. Črvi so ravno tako samoreplicirajoči se programi, ki pa so za razliko od virusov nekoliko bolj inteligentni, saj znajo samodejno iskati primerne tarče za okužbo. Tako črvi kakor tudi virusi prinašajo s seboj breme, ki jim omogoča prevzem nadzora nad okuženim računalnikom, brisanje datotek ali tatvino osebnih podatkov. Bežen pregled tovrstnega področja nam pove, da se vsak teden pojavi okrog 500 novih virusov in črvov. Število virusov in črvov se vsako leto poveča za 400 %, pri čemer postajajo njihovi avtorji/kriminalci vse bolj inovativni. [8]Tovrstni predstavniki zlonamerne kode so pogosto doma ravno v nezaželenih elektronskih sporočilih (spam), zato je potrebno biti pri odpiranju tovrstne pošte še posebno pazljiv. Še ena kategorija škodljivcev pa so trojanski konji, ki se v računalnik pritihotapijo v preobleki legitimnega programa. Ko uporabnik namesti legitimni program, se hkrati namesti tudi trojanski konj, ki napadalcu omogoči prevzem nadzora nad računalnikom.

Socialni inženiring preko telefona

Tovrstna izvedba je dokaj enostavna, saj napadalec pokliče žrtev z namenom, da od nje pridobi podatke in informacije. Največkrat so žrtve teh napadov tajnice, asistenti in ostali zaposleni v pisarnah.[4] Omenjeni ljudje so za napadalce primerne žrtve, saj ne poznajo varnostne politike oziroma so z njo slabše seznanjeni, obenem pa se ne zavedajo posledic, ki lahko nastanejo, saj so navajeni, da morajo biti do vsakega klicatelja prijazni in ustrežljivi. 

Vishing

Vishing je novejši poltehnični pristop socialnega inženiringa, ki izkorišča telefonske sisteme vrste VoIP (Voice over IP).[8] Vishing se uporablja predvsem za krajo identitete in drugih zaupnih podatkov. Pri izvedbi klica napadalec skrije pravo številko in jo zamenja s številko, ki je žrtvi poznana ali ji zaupa. Tehniko je mogoče uporabiti v navezi z ribarjenjem, tako da je v elektronski pošti navedena številka namesto spletne povezave. Napad se izvede ob pomoči vnaprej posnetega govora, ki uporabnika opozori, da je z njegovim računom nekaj narobe. Nato ga ta posnetek vodi skozi procese, ki na koncu pripeljejo do želenega razkritja zaupnih informacij.

Neposredni pristop in ankete

Za to metodo velja, da je najpreprostejša, vendar pa je zaradi tega tudi nekoliko manj uspešna kot druge. Za izvedbo ni potrebna posebna priprava in načrtovanje. Osnovna oblika tega napada je, da napadalec enostavno vpraša po želeni informaciji osebo, za katero meni, da z informacijo razpolaga. Ta metoda lahko vsebuje različne pristope napadalca (naključni obiskovalec, pomembni uporabnik, nemočen uporabnik in oseba za tehnično pomoč).[8] 

Gledanje čez ramo (shoulder surfing)

Socialni inženir opazuje čez žrtvino ramo podatke, ko se žrtev prijavlja v poslovni ali drugi sistem. Podatke, ki pomenijo koristno informacijo, na primer uporabniško ime in geslo, si socialni inženir zapomni in se z njimi okoristi. Do takšnega napada prihaja tudi v trgovinah pri plačevanju s kreditnimi karticami ali pri dvigu gotovine na bankomatih. 

Brskanje po smeteh (dumpster diving)

Veliko informacij lahko socialni inženir pridobi z brskanjem po smeteh, kar s tujko imenujemo tudi dumpster diving ali trashing.[8] V smeteh lahko socialni inženir najde marsikaj uporabnega, kar mu koristi pri spoznavanju tarče, kot je na primer stara računalniška oprema, diski s podatki, zavrženi dokumenti z raznimi gesli, telefonski imeniki, naslovi zaposlenih, organizacijske sheme podjetij, koledarji ipd. Vse naštete stvari lahko predstavljajo neprecenljive vire socialnemu inženirju.

Nosilci podatkov (CD/DVD, USB ključki...)

Male nosilce podatkov odlikuje praktičnost, so lahki in prenosni, hkrati pa glede na svojo velikost sprejmejo veliko količino podatkov. Ravno zaradi njihove popularnosti in vsesplošne uporabnosti lahko hitro postanejo način, kako izrabiti nepazljivost žrtve. Socialni inženir napad s pomočjo USB ključka navadno izvede tako, da ključek s škodljivo programsko kodo pusti na javnem kraju, kjer ključek čaka na žrtev. Ker smo ljudje po naravi zvedavi, ključek nekdo pobere in ga pogosto brez pomisleka vtakne v računalnik. Ob tem se na računalniku zažene program, ki z računalnika pobere vsa shranjena gesla in jih pošlje na elektronski naslov napadalca. Lahko se celo zgodi, da se s ključka samodejno namesti trojanski konj ali podobna škodljiva programska oprema.[2]

Ostalo

Poleg zgoraj omenjenih tehnik socialnega inženiringa, ne smemo pozabiti tudi na ostale stvari, ki jih lahko dokaj hitro spregledamo oziroma se nanje ne oziramo. Ljudje se namreč ne zavedamo, da lahko izkušeni napadalci izkoristijo naše pomanjkljivo znanje in premajhno količino pozornosti ter tako pridejo do nekaterih podatkov tudi preko piškotkov, ki se pojavljajo na spletnih straneh, saj le ti včasih lahko kršijo zasebnost, preko mobilnih naprav, na katerih imamo uporabniki veliko aplikacij, katerim pred uporabo dovolimo dostop do podatkov, kot so npr. lokacija, slike, kontakti v imeniku in podobno ter preko brezžičnih omrežij. Vse te stvari, na katere morda nismo dovolj pozorni in se nam morda zdijo celo samoumevne, pridno izkoristijo nepridipravi, ki so dobro podkovani na področju informacijske tehnologije in se tako na prikrit način dokopljejo do naših osebnih podatkov, brez da bi se mi tega sploh zavedali.

Piškotki

Piškotki so majhne tekstovne datoteke, ki se shranijo na uporabnikovem računalniku ob obisku spletne strani. Njihov namen je poenostavitev uporabnikovega dela. Nekatere spletne storitve zahtevajo uporabniško ime in geslo in da ob ponovnem obisku ni potrebno znova vpisovati teh podatkov, nam lahko ob pripadajoči izbiri pomagajo prav piškotki. Piškotki lahko tudi kršijo zasebnost, če posameznik o njih ni ustrezno obveščen in npr. lastniki spletnih strani zaznajo uporabnikovo nakupovalno obnašanje na spletu in tako sestavijo uporabniški profil.[8]

Mobilni telefoni, dlančniki, modri zob

Dnevi, ko smo ljudje uporabljali mobilne telefone zgolj za pogovore so že nekaj časa v ozadju oziroma so prešli. Tehnologija se iz dneva v dan razvija in ustvarja nove možnosti uporabnikom različnim naprav. Tako so tudi mobilni telefoni dandanes postali prave multifunkcijske naprave, saj nam omogočajo vse vrste aplikacij, obenem pa nam omogočajo vsakodnevni dostop do velike količine različnih podatkov in informacij. 

Brezžična omrežja

S to tehnologijo komunicirajo različne naprave, notesniki, mobilni telefoni, tiskalniki, projektorji in druge naprave in sicer so naprave med seboj povezane brez uporabe kablov. Brezžična omrežja namreč izkoriščajo radijske valove. Zato tudi delujejo na različnih frekvenčnih območjih in različnih stopnjah varnosti. Varnost oziroma ranljivost komunikacije je odvisna od same konfiguracije naprav za brezžični pristop. Omogočeno je prestrezanje, saj je nosilec oz. medij zrak, in kljub enkripciji prometa obstaja možnost spremljanja prometa.[10] Najhujši primer je namestitev tujega brezžičnega usmerjevalnika direktno v omrežje podjetja. Obiskovalec namesti usmerjevalnik na prosto mrežno vtičnico in ga nekje skrije. Od zunaj na varnem, recimo na parkirišču, pa brez problema dostopa do zaupnih podatkov.[11]

Posledice napadov

Posledice napadov z uporabo socialnega inženiringa so različne in lahko prizadenejo tako posameznika kot podjetje, kažejo pa se lahko kot nedelovanje računalniške opreme, izguba občutljivih informacij zaupne narave, kraja identitete, kraja osebnih podatkov, motenje zasebnosti in kraja datotek iz osebnih računalnikov, finančne posledice in izguba ugleda. 

Nedelovanje računalniške opreme

Nedelovanje računalnikov se lahko odraža v izgubi časa in denarja. Če želimo ponovno vzpostaviti prejšnje oziroma normalno stanje moramo poskrbeti za to, da zagotovimo ustrezne človeške vire, da bi problem rešili. Izguba časa se pravzaprav pokaže dvojno, saj medtem ko informatiki, zaposleni v podjetju rešujejo nastali problem, ostali zaposleni pa v tem času ne morejo uporabljati računalniške opreme, kar povzroči zmanjšanje produktivnosti. 

Izguba občutljivih informacij zaupne narave

Pri teh informacijah je pomembno, da se zavedamo, da ne mislimo le na izgubo osebnih podatkov, ampak tudi izgubo poslovnih podatkov kot so razvojni načrt, raziskovalno delo podjetja ipd. Ti podatki so po navadi dolgoletno delo podjetja, od katerega je lahko odvisen uspeh podjetja. Obenem so ogrožene tudi druge državne organizacije, ki pri svojem delu uporabljajo veliko število osebnih podatkov državljanov, obenem pa tudi podatke o samem varnostnem sistemu države. To lahko izkoristijo različne teroristične organizacije in kriminalne skupine, ki se vedno bolj poslužujejo informacijske tehnologije in obenem socialnega inženiringa z namenom, da bi se dokopali do teh podatkov in z njihovo pomočjo uresničili zadan cilj. 

Kraja identitete

Kraja identitete se nanaša na prevzem osebnih ali finančnih informacij druge osebe z namenom zlorabe finančnih transakcij in nakupov. Poznamo dve osnovni vrsti kraje identitete, in sicer kraja imena ter prevzem bančnega računa napadenega.

Kraja imena

Pri kraji imena gre predvsem za to, da napadalec podatke, ki jih je ukradel uporabi za odprtje novega bančnega računa, z namenom najema posojil, ki jih ne namerava vračati, ali da koristi različne usluge na žrtvin račun.

Prevzem bančnega računa napadenega

Napadalec uporabi osebne podatke žrtve, da bi pridobil dostop njenega bančnega računa. Pogosto se lahko zgodi, da prevarant spremeni naslov žrtve, ki je s tem bančnim računom povezana ter nato s koriščenjem sredstev oškoduje žrtev.

Kraja osebnih podatkov

Vsaka kraja oziroma zloraba osebnih podatkov je v Kazenskem zakoniku Republike Slovenije, opredeljena kot kaznivo dejanje, ki se preganja po uradni dolžnosti. Kraja osebnih podatkov za oškodovanca pomeni posebno hud poseg v njegovo zasebnost, obenem pa so posledice v nekaterih primerih lahko tako velike, da se po intenziteti in škodi lahko primerjajo z drugimi kaznivimi dejanji, ki se nanašajo predvsem na premoženje, lahko pa tudi na življenje in telo.

Motenje zasebnosti in kraja datotek iz osebnih računalnikov

Žrtev ima v večini primerov, posebej ko se zave, da ji je napadalec vdrl v računalnik, naj si bo to z geslom, do katerega se je dokopal ali pa preko interneta, podoben občutek kot da bi ji nekdo vdrl v stanovanje. 

Finančne posledice

Tarče napada so predvsem finančne ustanove in njihove stranke. Vsaka oseba ali podjetje, ki ima internetno povezavo, ne glede na področje svojega dela, je lahko tarča napada. Finančne ustanove lahko zagotovijo določeno stopnjo varnosti na svoji strani, nimajo pa nadzora nad računalniki svojih strank. Tako lahko v primeru, da se socialni inženir dokoplje do ustreznih podatkov, oškoduje žrtev na način, da prevzame njihov bančni račun in tako pokrade denar, kar lahko pripelje tudi do drugih resnih posledic, npr. izgube nepremičnine in ostalega premoženja, podjetja in ostale organizacije pa lahko spravi v stečaj oziroma bankrot ali pa jih začasno oškoduje, saj ne morejo zagotoviti dovolj finančnih sredstev za stroške, plače zaposlenih, proizvodnjo in ostale reči.

Izguba ugleda

Če gledamo na dolgoročni rok, za nekatere organizacije izguba ugleda predstavlja veliko večjo škodo, kot pa npr. sama izguba dobička. V primeru, da organizacija ohrani ugled in dobro ime, ima še vedno možnost, da zoper pridobi stranke in ostale sodelavce ter morebitne investitorje, kar pa je v primeru izgubljenega ugleda veliko težje, saj ljudje izgubijo zaupanje v sodelovanje in pa organizacijo samo.

Zaščita pred socialnim inženiringom

Ultimativne zaščite proti socialnem inženiringu ni. Lahko le zmanjšamo možnosti ali omilimo posledice. Ključni element obrambe je izobrazba ljudi, da bi se zavedali takšnih prevar tako v organizacijah kot tudi v zasebnem življenju. V podjetjih in drugih organizacijah lahko problem skušamo rešiti z različnimi tečaji, na katerih je ljudi potrebno naučiti tudi postopkov in standardov, ki narekujejo, kako ukrepati ob takšnih situacijah. [9]

Osnovna zaščita, ki je potrebna  je izobrazba in pa poznavanje problema. Zato se tudi obramba razlikuje glede na tip prevare. Pri osebnem pristopu je ključnega pomena spremljanje obiskovalcev v organizaciji od vhoda do izhoda, saj se prevaranti pogosto izdajajo, da so eni izmed zaposlenih. Tako se postavijo v vrsto za vstop takoj za nekom, ki ima kontrolno kartico.Poleg tega pravila je potrebna tudi skrb za identifikacijo zaposlenih, če pa se že nekomu uspe izogniti nadzoru, pa je potrebno zagotoviti, da zaupni podatki niso na vidnih mestih.

Pomembno pri telefonskih pogovorih je, da se gesel in zaupnih podatkov ne posreduje po telefonu. Gre predvsem za to, da osebi, ki kliče nikoli ne smemo popolnoma zaupati.

Na internetu je potrebno izpostaviti problematiko z gesli. Zavedati se moramo dejstva, da so gesla sicer najenostavnejši način identifikacije uporabnika, vendar pa predstavljajo dokaj nizko zaščito. Večina ljudi za dostop do različnih spletnih strani in pa v prvi vrsti za dostop do svoje elektronske pošte, uporablja in izbira gesla, glede na to, kar najbolje poznamo in kar nam je blizu. Največkrat so to imena družinskih članov, rojstni datumi, vzdevki, ime otroka ali partnerja, ime živali in podobno. Potrebno se je zavedati, da se lahko do teh družinskih podatkov z malo spretnosti dokoplje socialni inženir, ki nato preizkusi nekaj kombinacij in tako pride do gesla.

Pravno varstvo

Po 38. Členu Ustave RS[12] je zagotovljeno varstvo osebnih podatkov, ter prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Vsak pa se ima pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob morebitni zlorabi. Kar pomeni, da je v skladu z Ustavo RS dovoljena uporaba tistih osebnih podatkov, ki je vnaprej predvidena in določno vnaprej opredeljena v posameznem zakonu. Torej gre pri pridobivanju osebnih podatkov in drugih informacij, s pomočjo socialnega inženiringa za kaznivo dejanje, saj napadalci sami niso pooblaščeni za dostop do teh podatkov. Tovrstno kaznivo dejanje se torej preganja po uradni dolžnosti. Glede pravnega varstva osebnih podatkov si lahko več preberemo v Kazenskem zakoniku ter Zakonu o varstvu osebnih podatkov.[8]

Prijava kršitev

Vsak posameznik lahko Informacijskemu pooblaščencu vloži prijavo, če meni, da je nekdo kršil Zakon o varstvu osebnih podatkov.[13] Pooblaščenec nato po uradni dolžnosti na podlagi Zakona o inšpekcijskem nadzoru[14] izvede ustrezne inšpekcijske postopke. Če posameznik torej meni, da je t.i. socialni inženir obdeloval njegove osebne podatke brez njegove privolitve ali podlage v zakonu, ali pa je osebne podatke s prevaro izvedel ali pridobil s strani oseb, ki so obdelovale osebne podatke pri upravljavcu zbirk osebnih podatkov, lahko vloži prijavo Informacijskemu pooblaščencu. Škodljive posledice kršitve varstva osebnih podatkov pa so lahko tudi hujše, če izpolnjujejo znake kaznivega dejanja zlorabe osebnih podatkov v skladu s 143. členom KZ-1. V teh primerih se žrtev kaznivega dejanja zlorabe osebnih podatkov lahko obrne na policijo ali tožilstvo ter poda kazensko ovadbo. 

Glej tudi

Viri

  1. ^ Voh Boštic, Anže (4. 1. 2015). "Kiberkriminal v Sloveniji - od spletnih prevar do vohljanja tajnih služb". Pridobljeno dne 10. 12. 2016. 
  2. ^ 2,0 2,1 2,2 2,3 Gregorič, Uroš (Januar 2011). "Socialni inženiring v spletnih socialnih omrežijih". Pridobljeno dne 15. 12. 2016. 
  3. ^ "Socialni inženiring". Pridobljeno dne 10. 12. 2016. 
  4. ^ 4,0 4,1 Gregorič, Uroš. "Socialni inženiring v spletnih socialnih omrežjih" (PDF). Pridobljeno dne 15. 12. 2016. 
  5. ^ "Socialni inženiring". Detektivsko varnostna agencija. Pridobljeno dne 8. 12. 2016. 
  6. ^ Kosem, Matjaž (30. 3. 2016). "Socialni inženiring ali “You’ve been hacked by a smooth criminal”". Pridobljeno dne 7. 12. 2016. 
  7. ^ Potokar, Marko; Androić, Sanja (1. 8. 2015). "SOCIALNI INŽENIRING – ČLOVEK KOT DEL VARNOSTNEGA SISTEMA" (PDF). Pridobljeno dne 16. 12. 2016. 
  8. ^ 8,00 8,01 8,02 8,03 8,04 8,05 8,06 8,07 8,08 8,09 8,10 "Socialni inženiring in kako se pred njim ubraniti?" (PDF). 4. 9. 2009. Pridobljeno dne 17. 12. 2016. 
  9. ^ 9,0 9,1 9,2 Suša, Miloš (2009). "Socialni inženiring na internetu" (PDF). Pridobljeno dne 17. 12. 2016. 
  10. ^ "Brezžično omrežje". 23. 2. 2016. Pridobljeno dne 3. 1. 2017. 
  11. ^ "Socialni inženiring". 12. 9. 2014. Pridobljeno dne 5. 12. 2016. 
  12. ^ "Ustava Republike Slovenije" (PDF). Uradni list RS, št. 68/06. 30. 6. 2006. Pridobljeno dne 11. 12. 2016. 
  13. ^ "Zakon o varstvu osebnih podatkov". Pravno-informacijski sistem. 5. 8. 2004. Pridobljeno dne 10. 12. 2016. 
  14. ^ "Zakon o inšpekcijskem nadzoru". 28. 6. 2002. Pridobljeno dne 11. 12. 2016. 
The article is a derivative under the Creative Commons Attribution-ShareAlike License. A link to the original article can be found here and attribution parties here. By using this site, you agree to the Terms of Use. Gpedia Ⓡ is a registered trademark of the Cyberajah Pty Ltd.