Laiemas mõttes võib igasugust käitumispsühholoogiaga seotud manipuleerimist pidada sotsiaalinseneerimiseks. Siiski ei ole see mõiste alati seotud kuritegeliku või petturliku tegevusega. Tegelikult kasutatakse ja uuritakse sotsiaalinseneerimist laialdaselt erinevates kontekstides, näiteks sotsiaalteaduste, psühholoogia ja turunduse valdkonnas.
Küberturvalisuse puhul kasutatakse sotsiaalinseneerimist varjatud motiividega ja see viitab pahatahtlike tegevuste kogumile, millega püütakse manipuleerida inimesi tegema halbu samme, näiteks avaldama isiklikku või konfidentsiaalset teavet, mida saab hiljem nende või nende ettevõtte vastu kasutada. Identiteedipettus on selliste rünnakute tavaline tagajärg ja põhjustab paljudel juhtudel märkimisväärset rahalist kahju.
Sotsiaalinseneerimist esitatakse sageli kui küberohtu, kuid see kontseptsioon on eksisteerinud pikka aega ja seda mõistet võidakse kasutada ka reaalsete petuskeemide kohta, mis hõlmavad tavaliselt esinemist võimude või IT-spetsialistidena. Interneti tekkimine muutis häkkerite jaoks aga palju lihtsamaks manipulatiivsete rünnakute sooritamise laiemas skaalas ja kahjuks leiavad need pahatahtlikud tegevused aset ka krüptoraha kontekstis.
Kuidas see toimib?
Igasugused sotsiaalinseneerimise tehnikad tuginevad inimpsühholoogia nõrkadele külgedele. Petturid kasutavad ära emotsioone, et oma ohvritega manipuleerida ja neid petta. Inimeste hirm, ahnus, uudishimu ja isegi valmisolek teisi aidata pööratakse nende vastu erinevate meetodite abil. Mitmesuguste pahatahtlike sotsiaalinseneerimiste hulgas on andmepüük kindlasti üks levinumaid ja tuntumaid näiteid.
Andmepüük
Andmepüügi e-kirjad imiteerivad sageli seadusliku ettevõtte, näiteks riikliku pangaketi, maineka veebipoe või e-posti teenusepakkuja kirjavahetust. Mõnel juhul hoiatavad need kloonitud e-kirjad kasutajaid, et nende konto vajab uuendamist või on näidanud ebatavalist tegevust, nõudes neilt isikuandmete esitamist, et kinnitada oma identiteeti ja oma kontot regulariseerida. Mõned inimesed klõpsavad hirmust viivitamatult linke ja navigeerivad võltsitud veebisaidile, et esitada nõutud andmed. Sellest hetkest on teave häkkerite käes.
Hirmutusvara (scareware)
Niinimetatud hirmutusvara levitamiseks kasutatakse ka sotsiaalinseneerimise tehnikaid. Nagu nimigi ütleb, on hirmutusvara teatud tüüpi pahavara, mis on loodud kasutajate hirmutamiseks ja šokeerimiseks. Need hõlmavad tavaliselt valehäirete loomist, millega püütakse ohvreid petta, et nad installiksid seaduslikuna näiva pettustarkvara või pääseksid veebilehele, mis nakatab nende süsteemi. Selline tehnika tugineb sageli kasutajate hirmule, et nende süsteem on ohustatud, ning veenab neid klõpsama veebibänneril või hüpikaknal. Sõnumid ütlevad tavaliselt midagi sellist: „Teie süsteem on nakatunud, klõpsake siin, et seda puhastada“.
Peibutamine
Peibutamine on veel üks sotsiaalinseneerimise meetodeid, mis tekitab probleeme paljudele tähelepanematutele kasutajatele. See hõlmab peibutuse kasutamist, et ahnusest või uudishimust lähtudes ohvreid ligi meelitada. Näiteks võivad petturid luua veebilehe, kus pakutakse midagi tasuta, näiteks muusikafaile, videoid või raamatuid. Kuid nendele failidele juurdepääsu saamiseks peavad kasutajad looma konto, esitades oma isikuandmed. Mõnel juhul ei ole kontot vaja, sest failid on otse nakatunud pahavaraga, mis tungib ohvri arvutisüsteemi ja kogub tema tundlikke andmeid.
Peibutusskeemid võivad toimuda ka reaalses maailmas, kasutades USB-pulki ja väliseid kõvakettaid. Petturid võivad tahtlikult jätta nakatunud seadmeid avalikku kohta, nii et iga uudishimulik inimene, kes selle sisu kontrollimiseks kätte võtab, nakatab lõpuks oma isikliku arvuti.
Sotsiaalinseneerimine ja krüptoraha
Ahnusmentaliteet võib finantsturgudel olla üsna ohtlik, muutes kauplejad ja investorid eriti haavatavaks andmepüügirünnakute, Ponzi- või püramiidskeemide ja muud liiki pettuste suhtes. Plokiahela tööstus meelitab krüptorahade tekitatav põnevus suhteliselt lühikese aja jooksul (eriti pulliturgude ajal) ruumi palju uustulnukaid.
Kuigi paljud inimesed ei mõista täielikult, kuidas krüptoraha toimib, kuulevad nad sageli nende turgude potentsiaalist kasumit teenida ja lõpuks investeerida ilma vastavaid uuringuid läbi viimata. Sotsiaalinseneerimine on eriti murettekitav algajaile, kuna nad on sageli oma ahnuse või hirmu lõksus.
Ühest küljest paneb soov kiiresti kerget raha teenida uustulnukad jahtima võlts lubadusi kingituste ja tasuta jagamiste kohta. Teisest küljest võib kasutajate hirm, et nende privaatsed failid on ohustatud, sundida kasutajaid lunaraha maksma. Mõnel juhul puudub reaalne nakkus lunavaraga ning kasutajaid petab valehäire või häkkerite loodud sõnum.
Kuidas vältida sotsiaalinseneerimise rünnakuid
Nagu mainitud, toimivad sotsiaalinseneerimise pettused, sest nad kutsuvad inimloomust üles. Nad kasutavad tavaliselt hirmu motivaatorina, kutsudes inimesi üles tegutsema kohe, et kaitsta end (või oma süsteemi) ebareaalse ohu eest. Rünnakud tuginevad ka inimeste ahnusele, meelitades ohvreid erinevatesse investeerimispettustesse. Seega on oluline meeles pidada, et kui pakkumine tundub liiga hea, et olla tõsi, siis tõenäoliselt see ongi nii.
Kuigi mõned petturid on kogenud, teevad teised ründajad märgatavaid vigu. Mõned andmepüügi e-kirjad ja isegi hirmutusvara-bännerid sisaldavad sageli süntaksivigu või valesti kirjutatud sõnu ning on tõhusad ainult nende vastu, kes ei pööra piisavalt tähelepanu grammatikale ja õigekirjale – seega hoia silmad lahti.
Et vältida sotsiaalinseneerimise rünnakute ohvriks langemist, peaksid kaaluma järgmisi turvameetmeid.
Hari ennast, perekonda ja sõpru. Õpeta neile levinumaid pahatahtliku sotsiaalinseneerimise juhtumeid ja teavita neid peamistest üldistest turvapõhimõtetest.
Ole ettevaatlik e-kirjade manustega ja linkidega. Väldi tundmatu allikaga reklaamidele ja veebilehtedele klõpsamist;
Paigalda endale usaldusväärne viirusetõrje ning hoia oma tarkvararakendused ja operatsioonisüsteem ajakohasena;
Kasuta võimalusel mitmeastmelisi autentimislahendusi, et kaitsta oma e-posti volitusi ja muid isikuandmeid. Seadista oma Binance'i kontol kaheastmeline autentimine (2FA) .
Ettevõtete jaoks: kaalu oma töötajate ettevalmistamist andmepüügirünnakute ja sotsiaalinseneerimise skeemide tuvastamiseks ja ennetamiseks.
Lõppmärkused
Küberkurjategijad otsivad pidevalt uusi meetodeid kasutajate petmiseks, et varastada nende raha ja tundlikku teavet, seega on väga oluline end ja oma lähedasi harida. Internet pakub sellistele petuskeemidele pelgupaika ja neid esineb eriti sageli krüptoraha valdkonnas. Ole ettevaatlik ja tähelepanelik, et vältida sotsiaalinseneerimise lõksu langemist.
Lisaks peaksid kõik, kes otsustavad krüptorahaga kaubelda või sellesse investeerida, läbima eelneva uurimistöö ja veenduma, et neil on hea arusaam nii plokiahela tehnoloogia turgudest kui ka töömehhanismidest.