Najčešći oblici napada socijalnog inženjeringa

Nacionalni CERT, čija je uloga koordinacija prevencije i zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima (IKT sistemima) na nacionalnom nivou, objavio je listu najčešćih oblika napada socijalnog inženjeringa.

Phishing

Stiže nam poruka (mejl ili SMS) koja nam stvara osećaj straha, hitnosti ili radoznalosti - i navodi nas da kliknemo na priloženi link ili otvorimo prilog. Klik na link vodi na lažnu stranicu, koja liči na legitimnu, i kreirana je u cilju prikupljanja podataka kao što su e-adresa i lozinka. Klik na „Enable Content” ili „Enable Editing“ u dokumentu iz priloga, automatski pokreće zlonamerni softver koji ubrizgava određene procese u operativni sistem primaoca, kako bi onemogućio detekciju od strane antivirusa i drugih bezbednosnih softverskih rešenja.

Spear phishing

Ciljana verzija phishing prevare kojom napadač bira određen osobu ili kompanije, kreira tekst poruke na osnovu njihovih karakteristika, radnih mesta i kontakata kako bi napad bio manje upadljiv. Ukoliko se napad vešto izvede, teško ga je detektovati a procenat uspešnosti je visok. Jedan od scenarija je onaj u kojem se napadač predstavlja kao kolega iz IT službe i šalje poruku e-pošte jednom ili više zaposlenih. Tekst poruke, potpis i način komunikacije je vrlo sličan uobičajenom načinu komunikacije sa IT službom što primaoce navodi da misle da je poruka autentična. Porukom se traži od primalaca da promene lozinku klikom na link, koji ih preusmerava na zlonamernu internet stranicu na kojoj napadač snima sve kredencijale koje unesu.

Baiting

Sadrži "mamac" u vidu neke stvari koja će privući žrtvu, ili obećanje da će dobiti neku nagradu. Na primer, napadači ostavljaju USB sa zaraženim malverom na vidljivom mestu gde potencijalne žrtve mogu sigurno da ga vide (npr. toalet, lift, parking, hodnik). USB ima intrigantnu nalepnicu' kako bi ga žrtva iz radoznalosti ubacila u poslovni ili kućni računar i automatski instalirala zlonamerni softver. Onlajn baiting napad za mamac koristi oglase za besplatno preuzimanje muzike, filmova ili aplikacija sa internet stranica koje su zaražene zlonamernim softverom.

Pretexting

Podrazumeva prethodnu radnju sa dobro osmišljenim scenariom kako bi se došlo do ličnih podataka žrtve, i obično se sprovodi telefonom ili u direktnom kontaktu.  Podatke zatim koristi za krađu identiteta ili u za izvršenje nekog drugog krivičnog dela. Napadač se najpre lažno predstavlja ali bira identitet autoriteta (policajac, bankarski ili poreski službenik) kako bi uspostavio odnos poverenja, a zatim traži podatke radi navidne provere (JMBG, adresu stanovanja, telefonske brojeve, datum odmora, bankovne evidencije pa čak i podatke o merama zaštite i bezbednosti kompanije u kojoj je žrtva zaposlena. Napadač može da se predstavi kao spoljni revizor IT usluga i zatraži dozvolu za ulazak u zgradu. Dok fišing napadi uglavnom zloupotrebljavaju strah i hitnost, ovi napadi se oslanjaju na izgradnju lažnog osećaja poverenja sa žrtvom, kroz verodostojnu priču koja žrtvi ostavlja malo prostora za sumnju.

Scareware

Obuhvata lažne alarme ili upozorenja da nam je operativni sistem zaražen, i poziva da instaliramo softver koji će nam navodno pomoći da se rešimo zlonamernog softvera.Uobičajeni primer ovog napada su baneri koji se pojavljuju u veb pretraživaču dok, gde se obično prikazuje tekst poput „Računar može biti zaražen štetnim špijunskim softverom“, ili nam se nudi da instaliramo alat koji je zaražen, a često nas i usmerava na zlonamernu lokaciju na vebu. Može se sprovesti i preko neželjenih mejlova kojima se dostavljaju lažna upozorenja ili nam se nudi kupovina rizičnih usluga.

Tailgating

Podrazumeva fizičko prisustvo napadača u prostorijama firme gde je zabranjen pristup, tako što će pratiti zaposlenog koji ima autentifikaciju. Napadač se može predstavljati kao vozač, koji će uspostaviti komunikaciju sa nekim od zaposlenih koji ulaze u zgradu i ući sa njim, a zatim nastaviti u službene prostorije.

Izvor: Nacionalni CERT