Važno je znati kada vjerovati nekome na riječ, to je bit sigurnosti. Ista je stvar s online interakcijom i korištenjem internetskih stranica – morate vjerovati stranici koju koristite, morate znati kada je sigurno dati svoje podatke.
Društveni inženjering je u biti hakiranje čovjeka, iskorištava sklonost ljudi da povjeruju, kako bi manipulirao ljudima i nagovorio ih da otkriju određene informacije.
Vrste društvenog inženjeringa prema blog.twinstate.com:
Phishing
Phishing je vrsta društvenog inženjeringa u kojemu varalice manipuliraju ljudskom psihologijom. Phishing e-mailovi koriste društveni inženjering kako bi potaknuli korisnike da nešto poduzmu, a da prethodno o tom ne promisle.
Napadači računaju na strah i osjećaj hitnosti. Obično korisnicima kažu da je njihov račun ograničen te da će biti suspendiran ako ne odgovore na e-mail. Zbog straha korisnici ignoriraju uobičajene znakove upozorenja i zaboravljaju sve što znaju o phishingu. Čak i administratori i stručnjaci za sigurnost ponekad nasjednu na phishing.
Vishing
Phishing i vishing imaju isti cilj – dobiti osjetljive podatke od korisnika koji mogu biti iskorišteni za krađu identiteta, financijsku korist ili preuzimanje računa.
Osoba posjeti platformu društvene mreže i klikne na link. Pojavi se plavi ekran s porukom upozorenja da nazovu prikazani besplatni broj telefona kako bi popravili ozbiljni problem na računalu. Stručnjak ugodnog glasa odgovori na poziv, koji je voljan pomoći, no uz naknadu. Nakon što prevareni korisnik upiše podatke o kreditnoj kartici kako bi platio za software koji bi riješio problem, prevara je završena, a žrtva plaća. Software ne radi, a ljubazni stručnjak nestaje. Korisnik postaje žrtva vishinga.
Smishing
Smishing napad je ona vrsta u kojoj kriminalci pošalju SMS žrtvi pretvarajući se da su neka institucija, primjerice banka ili tvrtka, kako bi ukrali osobne informacije. Riječ “smishing” je kombinacija pojmova SMS i “phishing”.
Na primjer, mogli ste dobiti nešto što izgleda kao poruka od tvrtke s kojom poslujete, recimo od banke, mobilnog operatera ili usluge poput Netflixa ili PayPala. U poruci se tvrdi da je vaš račun istekao ili da je zaključan zbog primjerice sumnjive aktivnosti, te da stoga morate dati neke svoje osobne podatke ili kliknuti na link kako biste reaktivirali račun. To znači da prevaranti žele ukrasti vaš novac ili identitet, ili zaraziti vaš uređaj malwareom.
Pretexting
Pretexting je često bit svakog kvalitetnog napada društvenog inženjeringa i ima mnogo definicija, od koje svaka povećava zbrku o tome što zapravo jest. Na primjer, Websterov rječnik definira ga kao: Praksa predstavljanja za nekog drugoga kako bi došao do privatnih informacija.
Definicija je približno točna, no zapravo samo opisuje lažno predstavljanje. Nadalje, cilj ne moraju nužno biti privatne informacije. Razni online izvori definiraju pretexting na isti način na koji se često definira društveni inženjering: Umjetnost manipuliranja osobama i nagovaranju da otkriju osjetljive informacije. Sciencedirect.com definira pretexting kao metodu izmišljanja scenarija kako bi uvjerili žrtve da otkriju informacije koje ne bi smjeli. Pretexting se često koristi protiv korporacija koje posjeduju podatke o klijentima, kao što su banke, kartične kuće, komunalne tvrtke i prijevoznici. „Pretexteri“ obično zatraže podatke od tvrtki pretvarajući se da su klijent, obično putem telefona.
Business Email Compromise (BEC)
Business email compromise (BEC) je vrsta email cyber kriminala u kojemu napadač napada tvrtku. Business email compromise je rastući problem kojemu su cilj organizacije svih veličina u svim industrijama u svijetu.
BEC napad se oslanja na sposobnost da izgleda kao netko u poziciji moći unutar tvrtke ili vanjski partner od povjerenja. Napadač ovo može postići na nekoliko različitih načina, piše Checkpoint.com
Oponašanje domene: Verifikacija e-mail adrese nije sama po sebi ugrađena u e-mail protokol (SMTP). To znači da napadač može krivotvoriti prikazano ime i adresu pošiljatelja da izgleda kao da je došla iz same tvrtke ili od dobavljača od povjerenja. SMTP omogućuje pošiljatelju da odredi drugu adresu na koji će stići odgovor, kako bi bio siguran da će njemu stići bilo kakav odgovor.
Slične domene: One su dizajnirane kako bi iskoristili slova koja se lako mogu pobrkati. Na primjer, domene company.com i cornpany.com izgledaju dovoljno slično da prevare nekoga tko ne obraća pozornost.
Kompromitirani računi: Ako napadač ima pristup legitimnom računu, može ga iskoristiti za BEC napad. To dodaje dozu autentičnosti jer e-mail uistinu dolazi s adrese od povjerenja.
ALFATEC Group vaš može zaštititi od svih ovih prevara. Recite nam svoj problem.
