V širšom zmysle sa akýkoľvek druh manipulácie spojený s behaviorálnou psychológiou môže považovať za sociálne inžinierstvo. Tento koncept však nie vždy súvisí s trestnou alebo podvodnou činnosťou. V skutočnosti sa sociálne inžinierstvo vo veľkej miere používa a študuje v rôznych kontextoch v odvetviach ako sociálne vedy, psychológia a marketing.
Pokiaľ ide o kybernetickú bezpečnosť, sociálne inžinierstvo sa vykonáva s vedľajšími úmyslami a označuje súbor škodlivých aktivít, ktoré sa pokúšajú manipulovať ľudí, aby urobili chybné kroky, ako napríklad vydanie osobných alebo dôverných informácií, ktoré môžu byť neskôr použité proti nim alebo ich spoločnosti. Krádež identity je bežným následkom týchto typov útokov. V mnohých prípadoch vedie k významným finančným stratám.
Sociálne inžinierstvo je často prezentované ako kybernetická hrozba, tento koncept však existuje už dlho. Tento termín sa môže používať aj v súvislosti so skutočnými podvodnými schémami, ktoré zvyčajne zahŕňajú vydávanie sa za úrady alebo IT odborníkov. Nástup internetu však hackerom značne uľahčil vykonávanie manipulatívnych útokov v širšom meradle a, žiaľ, tieto škodlivé aktivity sa nevyhýbajú ani svetu kryptomien.
Ako to funguje?
Všetky typy techník sociálneho inžinierstva sa spoliehajú na slabé stránky ľudskej psychológie. Podvodníci využívajú na manipuláciu a oklamanie svojich obetí emócie. Použitím rôznych metód sa ľudské vlastnosti ako strach, chamtivosť, zvedavosť a dokonca aj ochota pomáhať druhým obracajú proti ľuďom samotným. Spomedzi rôznych druhov škodlivého sociálneho inžinierstva je určite jedným z najbežnejších a najznámejších príkladov phishing.
Phishing
Phishingové e-maily často napodobňujú korešpondenciu od legitímnej spoločnosti, ako napríklad banka, renomovaný internetový obchod alebo poskytovateľ e-mailu. V niektorých prípadoch tieto klonované e-maily upozorňujú používateľov, že ich účet je buď potrebné aktualizovať, alebo vykazuje nezvyčajnú aktivitu. Preto sa od nich vyžaduje, aby poskytli osobné informácie ako spôsob potvrdenia identity a úpravy účtov. Niektorí ľudia zo strachu okamžite kliknú na odkazy a prejdú na falošnú webovú stránku, aby poskytli požadované údaje. V tomto momente sa informácie dostávajú do rúk hackerov.
Scareware
Techniky sociálneho inžinierstva sa používajú aj na šírenie takzvaného scareware. Ako už názov napovedá, scareware je typ škodlivého softvéru, ktorý má používateľov vystrašiť a šokovať. Súčasťou je zvyčajne vytváranie falošných poplachov, ktoré sa pokúšajú oklamať obete, aby si nainštalovali podvodný softvér, ktorý vyzerá ako legitímny, alebo aby prešli na webovú stránku, ktorá infikuje ich systém. Takáto technika sa často spolieha na strach používateľov z ohrozenia ich systému a presvedčí ich, aby klikli na webový banner alebo vyskakovacie okno. Správa zvyčajne uvádza niečo ako: „Váš systém je infikovaný, kliknutím sem ho vyčistite.“
Baiting
Baiting je ďalšou metódou sociálneho inžinierstva, ktorá spôsobuje problémy mnohým nepozorným používateľom. Podstatou je použitie návnad na lákanie obetí na základe ich chamtivosti alebo zvedavosti. Podvodníci môžu napríklad vytvoriť webovú stránku, ktorá ponúka niečo zadarmo, napríklad hudobné súbory, videá alebo knihy. Aby však používatelia mali prístup k týmto súborom, musia si vytvoriť účet a poskytnúť svoje osobné údaje. V niektorých prípadoch nie je potrebný účet, pretože súbory sú priamo infikované malvérom, ktorý prenikne do počítačového systému obete a zhromaždí jej citlivé údaje.
Schémy baitingu sa môžu vyskytnúť aj v reálnom svete pomocou USB kľúčov a externých pevných diskov. Podvodníci môžu úmyselne nechať infikované zariadenia na verejnom mieste, takže každá zvedavá osoba, ktorá sa chytí, aby si pozrela obsah zariadenia, skončí infikovaním svojho osobného počítača.
Sociálne inžinierstvo a kryptomeny
Mentalita chamtivosti môže byť dosť nebezpečná, pokiaľ ide o finančné trhy. Spôsobuje, že obchodníci a investori sú obzvlášť zraniteľnými voči phishingovým útokom, Ponziho schémam alebo pyramídovým hrám a iným typom podvodov. V rámci odvetvia blockchainov vzrušenie, ktoré generujú kryptomeny, priťahuje mnoho nováčikov v relatívne krátkom čase (najmä počas býčích trhov).
Aj keď veľa ľudí úplne nerozumie tomu, ako kryptomeny fungujú, často počúvajú o potenciáli týchto trhov generovať zisky a nakoniec investujú bez toho, aby si urobili riadny prieskum. Sociálne inžinierstvo je obzvlášť znepokojujúce pre nováčikov, pretože sa často ocitajú v pasci vlastnej chamtivosti alebo strachu.
Na jednej strane túžba po rýchlych ziskoch a ľahkom zarábaní peňazí nakoniec vedie nováčikov k naháňaniu falošných sľubov o darčekoch a airdropoch. Na druhej strane strach z ohrozenia ich súkromných súborov môže používateľov prinútiť zaplatiť výkupné. V niektorých prípadoch nejde o skutočnú infekciu ransomvérom a používatelia sú oklamaní falošným poplachom alebo správou vytvorenou hackermi.
Ako zabrániť útokom sociálneho inžinierstva
Ako už bolo spomenuté, podvody v oblasti sociálneho inžinierstva fungujú, pretože využívajú ľudskú povahu. Zvyčajne používajú ako motiváciu strach a vyzývajú ľudí, aby okamžite konali, aby ochránili seba (alebo svoj systém) pred nereálnou hrozbou. Útoky sa spoliehajú aj na ľudskú chamtivosť a lákajú obete na rôzne druhy investičných podvodov. Preto je dôležité mať na pamäti, že ak ponuka vyzerá príliš dobre na to, aby bola pravdivá, pravdepodobne nie je pravdivá.
Hoci niektorí podvodníci sú sofistikovaní, iní útočníci robia viditeľné chyby. Niektoré phishingové e-maily a dokonca aj bannery so scareware často obsahujú gramatické chyby alebo nesprávne napísané slová a sú účinné len proti tým, ktorí nevenujú dostatočnú pozornosť gramatike a pravopisu. Majte preto oči na stopkách.
Aby ste sa nestali obeťou útokov sociálneho inžinierstva, mali by ste zvážiť nasledujúce bezpečnostné opatrenia:
Vzdelávajte seba, svoju rodinu a priateľov. Poučte ich o bežných prípadoch škodlivého sociálneho inžinierstva a informujte ich o hlavných všeobecných bezpečnostných princípoch.
Buďte opatrní s prílohami e-mailov a odkazmi. Vyhnite sa klikaniu na reklamy a webové stránky neznámeho zdroja.
Nainštalujte si dôveryhodný antivírus a udržujte svoje softvérové aplikácie a operačný systém stále aktuálne.
Vždy, keď je to možné, používajte na ochranu svojich e-mailových poverení a iných osobných údajov riešenia viacfaktorového overenia. Nastavte pre svoj účet Binance dvojfaktorové overenie (2FA).
Pre firmy: zvážte informovanie svojich zamestnancov o identifikácii a prevencii phishingových útokov a schém sociálneho inžinierstva.
Záverečné myšlienky
Kyberzločinci neustále hľadajú nové metódy, ako oklamať používateľov. Ich cieľom je ukradnúť im finančné prostriedky a citlivé informácie. Preto je dôležité vzdelávať sa a vzdelávať ľudí vo vašom okolí. Internet poskytuje útočisko pre tieto typy podvodov. Obzvlášť často sa vyskytuje v odvetví kryptomien. Buďte opatrní a ostražití, aby ste sa nechytili do pascí sociálneho inžinierstva.
Okrem toho, každý, kto sa rozhodne obchodovať alebo investovať do kryptomien, by si mal vopred urobiť prieskum a uistiť sa, že dobre rozumie trhom a mechanizmom fungovania technológie blockchain.