Ingineria Sociala
Ingineria socială (engleză Social Engineering) este un termen prin care se înţelege arta de a influenţa, de a manipula
şi de a minţi. Cu alte cuvinte, este priceperea unor maeştri în psihologia maselor de a-i face pe alţii să gândească şi să
creadă ceea ce 'maestrul' vrea ca acei "alţii" să creadă.Termenul de inginerie socială a fost pus în circulaţie de un hacker
autointitulat CitiZen-0ne.
Tehnici si termeni de inginerie sociala
1.Pretextul
Pretextul este actul de a crea şi a utiliza un scenariu inventat (pretextul) pentru a convinge o victimă vizata pentru
sustragerea de informaţii sau efectua o acţiune şi se face de obicei prin telefon. Este mai mult decât o simplă minciună,
deoarece de cele mai multe ori, înainte implica multa cercetare sau utilizarea de piese cunoscute de informaţii (de exemplu,
pentru persoane: data naşterii, CNP, suma ultimei facturi) pentru a stabili legitimitatea în mintea ţintă.
Aceasta tehnica este adesea folosita pentru a sparge o afacere spre a afla informaţii despre client, şi este utilizat de
către anchetatori privati de a obţine inregistrari telefonice, utilitarul de înregistrări,înregistrări bancare şi alte
informaţii direct de la compania de servicii reprezentativa. Informaţiile pot fi apoi utilizate pentru a stabili
o mai mare legitimitate, chiar şi în cadrul mai dur, interogatoriu cu un manager (de exemplu, de a face modificări cont etc).
Cum cele mai multe companii din SUA încă autentifica un client, doar prin a cere CNP-ul, data naşterii, sau numele de fată
al mamei, metoda este eficace în multe situaţii şi probabil în viitor va continua să fie o problemă legată de securitate.
Pretextul poate fi, de asemenea, folosit pentru a juca rolul co-lucrătorilor, de poliţie, de bancă, ai autorităţilor fiscale
sau de asigurare a anchetatorilor - sau orice altă persoană care ar putea fi perceput de autoritatea sau de dreptul de a
cunoaşte mintea victimei vizate. Cel ce utilizeaza aceasta tehnica pur şi simplu trebuie să se pregătească de răspunsuri
la întrebările care ar putea fi puse de către victimă. În unele cazuri, tot ceea ce este necesar este o voce care sună
mai autoritar, un ton serios, si o capacitate de a gândi în picioare.
2.Phising
Phishing-ul este încercarea de a obţine în mod fraudulos informaţii confidenţiale, precum numele de utilizator, parola şi
detalii legate de cartea de credit, prin imitarea aproape de perfecţiune a paginii de web a unei companii credibile şi care
are loc prin intermediul unei forme de comunicare electronică; eBay, PayPal şi, în general, băncile care efectuează
tranzacţii online sunt ţintele predilecte; phishingul se face prin intermediul e-mail-ului sau al mesageriei instant şi de
obicei redirecţionează utilizatorii spre o pagină identică cu cea a companiei credibile, unde utilizatorului i se cere să-şi
introducă informaţiile personale; phishingul ar putea fi considerat o formă modernă de inginerie financiară.
3. E-mail Spoofing
E-mail spoofing este un termen folosit pentru a descrie o activitate frauduloasă desfăşurată prin intermediul e-mail-ului şi
prin care adresa expeditorului şi alte părţi ale header-ul e-mailului sunt schimbate, pentru a apărea ca şi cum e-mail-ul
provine de la o altă sursă; tehnica este folosită frecvent în cazul spam-urilor sau a phishing-ului pentru a ascunde originea
exactă a mesajului; prin schimbarea anumitor proprietăţi ale e-mailului, cum ar fi câmpurile “from”, “return-path” sau
“reply-to” (care se găsesc în header-ul mailului), utilizatori rău intenţionaţi pot face ca mesajul să pară ca provenind de
la altcineva; pe lângă e-mail spoofing există şi website spoofing, prin care se imită un site binecunoscut fie cu intenţii
frauduloase, fie ca metodă de critică faţă de activităţile organizaţiei respective.
4.Spam-ul
Spam-ul nu poate fi considerat implicit o infracţiune, poate doar în cazul în care pentru a face spam este utilizat e-mail
spoofing-ul şi presupune trimiterea de e-mail nesolicitat; interesant este faptul că termenul denumea iniţial un sortiment
de carne la conservă (spam= spiced ham) şi îmbracă o serie foarte mare de forme: mobile phone spam (mesaje text
nesolicitate), forum spam (postări de reclame pe forumuri), spamdexing (manipularea unui motor de căutare pentru a crea
iluzia de popularitate pentru o pagină web), spam pe blog (promovarea de produse sau servicii prin comentarii pe bloguri),
messaging spam sau SPIM (utilizarea serviciilor de mesagerie instant pentru reclamă).
Tehnici de protectie:
- Cand cineva doreste anumite informatii de la dumneavoastra de fiecare data puneti intrebari si aflati mai multe informatii
puteti sa utilizati orice mijloc de aflare de mai multe informatii fiti siguri intotdeauna ca persoanele nu doresc informatii
in scopuri personale.
- NU! Da-ti curs tuturor e-mailuri in care se spune ca ati castigat la loterie sau mail`urilor de la diverse banci care cer
informatii asigurati-va mai intai ca totul este in regula intreband unul din oficialii companiilor.
- E de preferat sa nu participati la tot felul de actiuni sau sa va inscrieti in tot felul de firme ce par in neregula sau
care va pot dauna asigurati-va mai intai cerand informatii pana sunteti absolut siguri ca va puteti inscrie, cere-ti dovezi.
Niciun comentariu:
Trimiteți un comentariu