Slovenski informacijski pooblaščenec je o socialnem inženiringu v smernicah o kraji identitete zapisal: Socialni inženiring je nabor tehnik napadalca za prepričevanje uporabnika ali administratorja sistema, da mu izda avtentikacijske podatke, s katerimi se nato nezakonito prijavi v sistem. Socialni inženiring temelji na tako imenovanih spoznavnih odklonih in izkorišča odzivanje ljudi v določenih situacijah (na primer pod pritiskom). Izvajalci socialnega inženiringa lahko s pomočjo obvladovanja veščin prevzemanja identitete drugih ljudi izjemno uspešno pridobijo pomembne podatke. Verjetno najbolj znani heker Kevin Mitnick je slovel ravno po zmožnostih izvabljanja podatkov iz ljudi. Pri socialnem inženiringu so lahko zelo koristna omrežja za spletno druženje (na primer Facebook), kjer ljudje sami od sebe objavljajo številne osebne podatke, ki napadalcu omogočijo boljše poznavanje žrtve in s tem predvidevanje njenega odzivanja.

Vsak napad s pomočjo socialnega inženiringa ima štiri korake, stopnje, ki so med seboj povezane. Prvi je zbiranje podatkov in je najpomembnejši korak, saj je uspeh napada odvisen od količine in kakovosti zbranih podatkov. Zbirajo se splošni podatki, poštni naslov, telefonska številka, osebni podatki, rojstni dan, vzdevek ali kaj podobnega. Skoraj milijarda uporabnikov Facebooka so razlog, zakaj je ta postal obljubljena dežela za socialne hekerje.

Drugi korak je odvisen od načina delovanja oziroma tehnike napada, ki si jo je izbral. Pri vseh pa v tem koraku napadalec vzpostavi in razvija odnose z žrtvijo. Izkoristi zbrane podatke, da odigra določeno vlogo, prepričljivost »igre« pa je odvisna predvsem od kakovosti in količine podatkov ter napadalčevih igralskih spretnosti. Izvesti takšno prevaro v živo je težko, na spletu pa manj, saj se napadalec in žrtev ne vidita iz oči v oči ali se ne pogovarjata po telefonu. Napadalec ima več časa, da premisli svoj naslednji korak. Ljudje smo nagnjeni k temu, da zaupamo določene podatke tistemu, za katerega menimo, da je zaupanja vreden, to pa napadalec doseže predvsem s poznavanjem oziroma posredovanjem podatkov nam. Cilj te faze je prepričati žrtev, da verjame in popolnoma zaupa napadalcu.

Tretja faza pomeni izkoriščanje vzpostavljenega odnosa z žrtvijo oziroma pridobljenega zaupanja. Če je napadalec v drugem koraku prepričal žrtev, mu ta zdaj je iz roke in velikokrat brez zadržkov izda podatke, ki jih želi napadalec. Napadalec lahko v zadnjem koraku izkoristi podatke, ki mu jih je zaupala žrtev, in doseže cilj, ki si ga je zastavil pred napadom. Do zdaj to pomeni krajo identitete, krajo denarja z bančnega računa ali izsiljevanja, vdor v sistem in podobno, v prihodnosti pa bo to pomenilo biohekanje. Vdor v tehnične vsadke, ki jih bomo imeli v telesu, da bodo izboljšali naše umske ali fizične lastnosti. Ko bo hekerjem to uspelo, bomo dejansko lahko govorili, da so vdrli v človeka oziroma ugrabili človeka.

Knjižico o socialnem inženiringu informacijske pooblaščenke najdete na spletnem naslovu http://tinyurl.com/c2tvafb.

Moj mikro, Julij Avgust 2012 | Marjan Kodelja |