Svako od nas je barem jednom primio mejl ovakvog ili sličnog
sadržaja:
Čestitamo!!
Obavještavamo Vas da
ste pobijedili u nagradnoj igri. Vaša mejl adresa izabrana je metodom slučajnog
izbora, i pripšala mi je čast da vam saopštim da ste srećni dobitnik nagrade od X00.000 $ . Molim Vas da me kontaktirate na adresu u
nastavku, i pozovete se na kod svog dobitka 1234ABCD, kako bismo se dogovorili
o prezuimanju nagrade...
Iako ovakva poruka izgleda benigno, i mnogi će reći da nikad
ne bi nasjeli na nešto slično, desetine hiljada ljudi je već bilo žrtva prevara
koje su počinjale na sličan način. Socijalni
inženjering, da podsjetim, je kombinovanje socijalnih i psiholoških metoda i
taktika da bi se na pojedinca uticalo da oda povjerljive podatke, ili podatke
koji mogu dovesti do drugih povjerljivih podataka. Budući da su tehnološke
mjere zaštite računarskih sistema danas usavršene, i napadi putem tehnologija postaju
sve teži, stručnjaci u socijalnom inženjeringu idu sve dalje i smišljaju sve mudrije načine da prevare
neoprezne, i u krajnjoj instanci time nekog
oštete i/ili sebi pribave materijalnu korist. Ono što je važno znati : ovakve
prevare ne iniciraju se isključivo u onlajn svijetu!
Svaki put kad neobavezno ćaskate na poslu, preko ograde sa
komšijom ili telefonom, vi možete biti potencijalna žrtva socijalnog
inženjeringa. Drugim riječima, postajete ranjivi na napade hakera. Ne agitujem ovdje protiv razgovora i druženja –
naprosto, neki ljudi jednostavno iznose previše informacija, a cilj socijalnih
inženjera je upravo to: naizgled obična informacija koja će otvoriti put ka
važnijim i vrednijim informacijama. Ponekad čak i stručnjaci u ovoj oblasti, pa
i sami hakeri, postanu žrtva vlastite neopreznosti.
Šta možete uraditi da biste izbegli da budete hakovani? Socijalni inženjer Kris Hadnagi, koji testira bezbjednost računarskih mreža u
kompanijama koristeći tehnike kao što su phishing i keylogging scams , daje savjete
sa gledišta jednog hakera . Interesantno je da je Hadnagi, da bi testirao
ranjivosti kompanija samo u prošloj godini putem phishing napada “obradio” 275.000 ljudi, a ove godine je u planu da taj
broj bude 1.6 milion.
Dakle, šta je
ono šta hakeri ne žele da saznate:
1. Oni tragaju za ulazom, bilo u onlajn ili
oflajn svijetu
Čak i ako ste najpažljiviji na Internetu, ne pokrećete sumnjive
linkove i ne otvarate priloge iz nepoznatih izvora, činjenica je da i dalje
možete biti neoprezni – u oflajn svijetu. Hadnagi je ispričao kako je jednom
došao do konferencijske sale borda direktora jedne kompanije, predstavljajući
se kao radnik agencije za uništavanje štetočina. Zamislite, kako je tek onda
lako ući u vašu kancelariju dok ste na ručku?
Opasnost vreba i od telefonskih razgovora. Hadnagi savjetuje
da se ne plašite reći “ne znam”, svaki
put kad nepoznati i neprovjereni sagovornik traži od vas lične ili povjerljive
podatke.
Čest slučaj ulaska u velike kompanije je i korišćenje
velikih grupa koje su ovlašćene da uđu, prostim “kačenjem na rep” grupe, i
iskorišćavanjem nedovoljne pažnje radnika obezbjeđenja.
Hadnagi naglašava da je potencijalni napadač uvijek u
potrazi za “voćem koje zri dovoljno nisko” i da moramo biti svjesni da živimo u
takvom svijetu.
2. Hakeri vole lijene ljude
Hadnagi kaže i ovo: Nivo paranoje koju pokazujete treba biti
srazmeran vrijednosti podataka koje štitite.
Ne plašite se da budete neko ko će se potruditi da zapamti
lozinku od 16 nasumičnih karaktera. Iako danas postoje mnogi softveri koji vam
nude da čuvaju vaše lozinke i pamte ih, zaboravite na to! Pogotovo pazite da se
vaše lozinke ne pamte na Internetu ili nekoj lokaciji u oblaku. Znam da je jako
teško odoljeti kad se pojavi pitanje “ Da li želite da lozinka bude zapamćena? “
ili izbor “ Ostavi me prijavljenog” . Najsigurnije
mjesto za vašu lozinku je – vaš mozak.
3. Vaša sujeta može biti iskorištena protiv
vas
Socijalni inženjeri treniraju sebe u savladavanju vještine
slušanja drugih ljudi. Oni si uzuzetni slušaoci! To je taktika nazvana “suspenzija
ega” , on vas neće prekinuti niti ispraviti čak ni kad zna da vi niste u pravu a
on jeste. Iskusan haker zna kako da od
vas izvuče najvažnije informacije dok on sluša a vi pričate. U socijalnom inženjeringu “suspenzija ega” je
važan način za pridobijanje povjerenja ljudi i izgradnju prisnog odnosa.
Zato je veoma važno ne pričati mnogo o ličnim podacima, niti
podacima vezanim za radno mjesto. Čak ni sa komšijama i poznanicima. Uvijek se
zapitajte: Šta će nekom moji lični podaci?
4. Što više informacija ostavljate onlajn,
više ste podložni hakerskom napadu
Svi smo u situacijama da se prijavljujemo na neki sajt za
koji smo gotovo sigurni da ga više nikad nećemo posjetiti. Da li uvijek
ostavljate vašu regularnu mejl adresu?
Hadnagi savjetuje da za ove potrebe kreirate elternativni nalog e-pošte.
Na ovaj način, kompanije ne mogu da vas spamuju svojim ponudama, niti da
prodaju vašu pravu adresu drugim stranama.
Takođe, važno je da redovno provjeravamo i čistimo svoje
podatke na mreži. Podaci za prikupljanje podataka kao što je Spokeo.com
prikupljaju vaše lične podatke kao što je mejl adresa, telefon i slično i
omogućuju njihovo pretraživanje. Iako je teško da svoje podatke uklonite sa
ovakvih mjesta, nije nemoguće. Čak je i Google počeo da čisti rezultate
pretrage i da se odgovornije odnosi prema ličnim podacima nakon sudske presude
u korist nekoliko evropskih građana.
5. Niste nepobjedivi
Čak i ako niste uradili ništa loše, nikad ne možete biti sigurni
da nećete postati žrtva hakera. Čak i
Hadnagi priznaje da mu se to desilo. Jednom je zamalo upao u zamku da popuni
svoje podatke u formu koja je stigla od Amazona, kad je primjetio da adresa
sadrži ekstenziju .ru, i shvatio da se radi o phishinhg napadu, ( [sic]! – pa baš .ru ?? N.J.)
Takođe je važno imati na umu da su pametni prevaranti obično
fokusirani da igraju na duge staze, a ne samo kratkoročnu finansijsku dobit. Na
primjer, krađa podataka o kreditnim karticama nije prvenstveno usmjerena na
skidanje novca sa računa, već predstavlja uvertiru u krađu identiteta.
Padanje u zamku zbog uvjerenosti u svoju nepobjedivost je u
ljudskoj prirodi. Razlika je u tome da podizanjem svijesti o potencijalnim
opasnostima bolje vidimo svijet oko sebe, da možemo stati, razmisliti i
korigovati svoj pravac.
Dijelovi teksta preuzeti sa http://www.inc.com/