Plašākā nozīmē jebkura veida manipulācijas, kas saistītas ar uzvedības psiholoģiju, var uzskatīt par sociālo inženieriju. Tomēr jēdziens ne vienmēr ir saistīts ar noziedzīgām vai krāpnieciskām darbībām. Faktiski sociālā inženierija tiek plaši izmantota un pētīta dažādos kontekstos, tādās jomās kā sociālās zinātnes, psiholoģija un mārketings.
Runājot par kiberdrošību, sociālā inženierija tiek veikta ar slēptiem motīviem, un tā attiecas uz ļaunprātīgu darbību kopumu, kas mēģina manipulēt ar cilvēkiem, lai viņi izdarītu sliktus soļus, piemēram, atsakās no personas vai konfidenciālas informācijas, ko vēlāk var izmantot pret viņiem vai viņu uzņēmumu. Identitātes krāpšana ir bieži sastopamas šāda veida uzbrukumu sekas un daudzos gadījumos rada ievērojamus finansiālus zaudējumus.
Sociālā inženierija bieži tiek pasniegta kā kiberdrauds, taču šis jēdziens pastāv jau ilgu laiku, un šo terminu var lietot arī saistībā ar reālām krāpnieciskām shēmām, kas parasti ietver uzdošanos par iestādēm vai IT speciālistiem. Tomēr interneta parādīšanās hakeriem ievērojami atviegloja manipulatīvus uzbrukumus plašākā mērogā, un diemžēl šīs ļaunprātīgās darbības notiek arī kriptovalūtu kontekstā.
Kā tas darbojas?
Visu veidu sociālās inženierijas metodes balstās uz cilvēka psiholoģijas vājajām vietām. Krāpnieki izmanto emocijas, lai manipulētu un apmānītu savus upurus. Cilvēku bailes, alkatība, zinātkāre un pat vēlme palīdzēt citiem tiek vērsta pret viņiem, izmantojot dažādas metodes. Starp vairākiem ļaunprātīgas sociālās inženierijas veidiem pikšķerēšana noteikti ir viens no visizplatītākajiem un pazīstamākajiem piemēriem.
Pikšķerēšana
Pikšķerēšanas e-pasta ziņojumi bieži atdarina korespondenci no likumīga uzņēmuma, piemēram, valsts banku ķēdes, cienījama tiešsaistes veikala vai e-pasta pakalpojumu sniedzēja. Dažos gadījumos šie klonu e-pasta ziņojumi brīdinās lietotājus par to, ka viņu konts ir jāatjaunina, vai arī tas ir parādījis neparastu darbību, pieprasot sniegt personisku informāciju, lai apstiprinātu savu identitāti un sakārtotu kontus. Baiļu dēļ daži cilvēki nekavējoties noklikšķina uz saitēm un pāriet uz viltotu vietni, lai sniegtu nepieciešamos datus. Šajā brīdī informācija būs hakeru rokās.
Scareware
Sociālās inženierijas metodes tiek izmantotas arī tā sauktās Scareware izplatīšanai. Kā norāda nosaukums, scareware ir ļaunprātīgas programmatūras veids, kas paredzēts lietotāju biedēšanai un šokēšanai. Tie parasti ir saistīti ar viltus trauksmju radīšanu, kas mēģina pievilt upurus instalēt krāpniecisku programmatūru, kas izskatās likumīga, vai piekļūt vietnei, kas inficē viņu sistēmu. Šāda tehnika bieži vien ir atkarīga no lietotāju bailēm, ka viņu sistēma tiek apdraudēta, pārliecinot viņus noklikšķināt uz tīmekļa reklāmkaroga vai uznirstoša loga. Ziņojumos parasti ir kaut kas līdzīgs: "Jūsu sistēma ir inficēta, noklikšķiniet šeit, lai to notīrītu."
Ēsma
Ēsma ir vēl viena sociālās inženierijas metode, kas rada problēmas daudziem neuzmanīgiem lietotājiem. Tas ietver ēsmu izmantošanu, lai pievilinātu upurus, pamatojoties uz viņu alkatību vai zinātkāri. Piemēram, krāpnieki var izveidot vietni, kas piedāvā kaut ko bez maksas, piemēram, mūzikas failus, videoklipus vai grāmatas. Taču, lai piekļūtu šiem failiem, lietotājiem ir jāizveido konts, norādot savu personisko informāciju. Dažos gadījumos konts nav nepieciešams, jo faili ir tieši inficēti ar ļaunprātīgu programmatūru, kas iekļūs upura datorsistēmā un apkopos viņa sensitīvos datus.
Pievilināšanas shēmas var rasties arī reālajā pasaulē, izmantojot USB zibatmiņas un ārējos cietos diskus. Krāpnieki var tīši atstāt inficētas ierīces publiskā vietā, tāpēc jebkura ziņkārīga persona, kas to satver, lai pārbaudītu saturu, inficē savu personālo datoru.
Sociālā inženierija un kriptovalūtas
Mantkārīga mentalitāte var būt diezgan bīstama, ja runa ir par finanšu tirgiem, padarot tirgotājus un investorus īpaši neaizsargātus pret pikšķerēšanas uzbrukumiem, Ponzi vai piramīdas shēmām un cita veida krāpniecību. Blokķēdes nozarē uztraukums, ko rada kriptovalūtas, salīdzinoši īsā laika periodā (īpaši buļļu tirgos) piesaista telpai daudzus jaunpienācējus.
Lai gan daudzi cilvēki pilnībā nesaprot, kā darbojas kriptovalūta, viņi bieži dzird par šo tirgu potenciālu gūt peļņu un galu galā ieguldīt, neveicot atbilstošu izpēti. Sociālā inženierija īpaši satrauc iesācējus, jo viņi bieži tiek ieslodzīti savas alkatības vai baiļu dēļ.
No vienas puses, vēlme gūt ātru peļņu un viegli nopelnīt liek jaunpienācējiem dzīties pakaļ nepatiesiem solījumiem par dāvanām un lidmašīnām. No otras puses, bailes, ka viņu privātie faili tiks apdraudēti, var likt lietotājiem maksāt izpirkuma maksu. Dažos gadījumos nav īstas izpirkuma programmatūras infekcijas, un lietotāji tiek piemānīti ar viltus trauksmi vai hakeru radītu ziņojumu.
Kā novērst sociālās inženierijas uzbrukumus
Kā minēts, sociālās inženierijas krāpniecība darbojas, jo tā piesaista cilvēka dabu. Viņi parasti izmanto bailes kā motivatoru, mudinot cilvēkus nekavējoties rīkoties, lai pasargātu sevi (vai savu sistēmu) no nereāliem draudiem. Uzbrukumi ir balstīti arī uz cilvēku alkatību, ievilinot upurus dažāda veida investīciju krāpniecībā. Tāpēc ir svarīgi paturēt prātā, ka, ja piedāvājums izskatās pārāk labs, lai būtu patiesība, tas, iespējams, ir.
Lai gan daži krāpnieki ir izsmalcināti, citi uzbrucēji pieļauj ievērojamas kļūdas. Dažos pikšķerēšanas e-pastos un pat biedējošo programmu reklāmkarogos bieži ir sintakses kļūdas vai nepareizi uzrakstīti vārdi, un tie ir efektīvi tikai tiem, kuri nepievērš pietiekamu uzmanību gramatikai un pareizrakstībai, tāpēc turiet acis vaļā.
Lai nekļūtu par sociālās inženierijas uzbrukumu upuri, jums jāapsver šādi drošības pasākumi:
Izglītojiet sevi, ģimeni un draugus. Māciet viņus par izplatītākajiem ļaunprātīgas sociālās inženierijas gadījumiem un informējiet viņus par galvenajiem vispārīgajiem drošības principiem.
Esiet piesardzīgs ar e-pasta pielikumiem un saitēm. Neklikšķiniet uz nezināma avota reklāmām un vietnēm;
Instalējiet uzticamu antivīrusu un atjauniniet savas programmatūras lietojumprogrammas un operētājsistēmu;
Kad vien iespējams, izmantojiet daudzfaktoru autentifikācijas risinājumus, lai aizsargātu savus e-pasta akreditācijas datus un citus personas datus. Savā Binance kontā iestatiet divu faktoru autentifikāciju (2FA).
Uzņēmumiem: apsveriet iespēju sagatavot savus darbiniekus, lai identificētu un novērstu pikšķerēšanas uzbrukumus un sociālās inženierijas shēmas.
Noslēguma domas
Kibernoziedznieki pastāvīgi meklē jaunas metodes lietotāju maldināšanai, lai nozagtu viņu līdzekļus un sensitīvu informāciju, tāpēc ir ļoti svarīgi izglītot sevi un apkārtējos. Internets nodrošina patvērumu šāda veida krāpniecībām, un tās ir īpaši izplatītas kriptovalūtu jomā. Esiet piesardzīgs un esiet modrs, lai neiekristu sociālās inženierijas slazdos.
Turklāt ikvienam, kas nolemj tirgoties vai investēt kriptovalūtā, ir jāveic iepriekšēja izpēte un jāpārliecinās, ka viņam ir laba izpratne par blokķēdes tehnoloģijas tirgiem un darbības mehānismiem.
