Pojdi na vsebino

Socialni inženiring

Iz Wikipedije, proste enciklopedije

Socialni inženiring (angleško tudi "social engineering") je med prevaranti najpogosteje uporabljena tehnika v primerih zlorabe osebnih podatkov. Gre za tehniko, s katero napadalec od žrtve pridobi zaupne podatke in informacije s pomočjo zlorabe zaupanja. Tako v svetovnem spletu kot tudi v drugih pisnih virih obstaja več definicij, ki razlagajo ta pojem. Kljub velikem številu definicij pa je vsem skupen en imenovalec, ki ga lahko izpostavimo. To je manipulacija, ki je v večini primerov psihološko pogojena, saj napadalec uporablja različne psihološke tehnike  kot so prigovarjanje, vzbujanje zaupanja, uporaba vpliva in podobno, ter z uporabo socialnih veščin ter zlorabo zaupanja pridobi od žrtve zaupne informacije, do katerih sicer ni pooblaščen. Kljub temu, da je socialni inženiring tesno povezan z napadi na informacijske sisteme[1] pa ne smemo pozabiti, da je temeljni cilj te tehnike pridobitev podatka ali informacije, ki se ne pojavlja nujno samo v digitalni obliki, temveč se pojavlja tudi kot pisano besedilo, slika, ustni podatek ali informacija.[2] Pridobljene informacije lahko napadalec uporabi za pridobivanje premoženjske koristi, redkeje pa se lahko zgodi, da jih uporabi tudi v druge namene kot so izsiljevanje, grožnje, šikaniranje ali kakršnokoli drugo spravljanje žrtve v slabši in nelagoden položaj.[3] 

Delitev napadov socialnega inženiringa

[uredi | uredi kodo]

Pri socialnem inženiringu lahko rečemo, da gre za umetnost prevare. Njegova »odlika« je, da se pojavlja v različnih oblikah in vedno uporablja dosežke človeške družbe, spoznanja o človekovih socialnih in psiholoških značilnostih, prav tako pa znajo napadalci, ki jim  z drugo besedo rečemo tudi socialni inženirji, izkoristiti dosežke informacijske tehnologije, ki napreduje vsak dan. Še posebej so osredotočeni na dostopnost do osebnih računalnikov in interneta. Napade prav zaradi tega lahko razdelimo v dve skupini. [4]

Napadi s pomočjo računalniške tehnologije

[uredi | uredi kodo]

Angleško tem napadom rečemo tudi "computer based" napadi. Za napade, ki so izpeljani s pomočjo računalniške tehnologije je značilno, da komunikacija med napadalcem in žrtvijo poteka preko računalniške opreme ter omrežja internet. Tudi napadi, ki temeljijo na računalniški tehnologiji se spreminjajo iz dneva dan, saj se pojavljajo nove oblike. Najpogosteje uporabljene oblike so ribarjenje (phishing), zvabljanje (pharming), pojavna okna (pop-up windows) in trojanski konji (Trojan horses). Zavedati se moramo tudi, da ne gre za klasične hekerske napade, ampak za t.i. hibridne napade, saj se napadalci poslužujejo tako socialnega inženiringa kot tudi klasičnih tradicionalnih hekerskih metod.[2]

Napadi s pomočjo človeške interakcije

[uredi | uredi kodo]

Angleški termin za tovrstne napade socialnega inženiringa je "human based" napadi. Za te napade je značilno, da izkoriščajo temeljni družbeno-kulturni ustroj ter osnovne vedenjske značilnosti človeka. Vse to je seveda storjeno z nekim namenom oziroma ciljem, ki si ga je zadal napadalec. Za ljudi, ki se ukvarjajo s socialnim inženiringom je značilno, da so zelo dobri poznavalci psihologije, človeške interakcije, obenem pa so dobri igralci vlog, retoriki, spretno se znajdejo v nepredvidljivih situacijah, so vztrajni, predvsem pa imajo sposobnost pridobiti zaupanje žrtve. Napadi, ki so izpeljani s pomočjo medsebojnih odnosov so bolj prikriti in jih je težje prepoznati. Problem pa se pojavi, ko se zavemo, da edini požarni zid, ki lahko najbolj ščiti podjetje ali posameznika prav človek sam.[2]

Ko računalniška tehnologija še ni bila dovolj razvita, so ljudje, ki jih danes imenujemo hekerji pridobivali informacije, do katerih niso bili upravičeni prav s pristopom, ki temelji na človeški interakciji.  Šele kasneje, ko se je omenjena tehnologija razvila in se pojavi dostopnost do osebnih računalnikov in interneta, so hekerji začeli s pridobivanjem informacij preko računalniške tehnologije. Tako so v svoje delovanje vključili tudi poznavanje širše informacijske tehnologije. V primerih, ko so napadi izpeljani preko interneta ali kakorkoli drugače preko računalniške tehnologije, so nam v pomoč obrambni sistemi, ki temeljijo na strojni in programski opremi, npr. požarni zidovi, anti-virusni programi in drugi mehanizmi. [5]

Motivi za socialni inženiring

[uredi | uredi kodo]

Za vsakim človekovim dejanjem stoji nek motiv.[6] Tudi pri socialnem inženiringu se v ozadju skriva težnja, ki se lahko pri napadalcih tudi razlikuje, se pravi, da je motivov oziroma teženj več. Zavedati se moramo, da napadalci, ki se odločijo napasti podjetje lahko prihajajo iz samega podjetja, čemur rečemo napad od znotraj. Poznamo pa tudi napade od zunaj, npr. iz konkurenčne organizacije. Med dejavniki, ki motivirajo socialnega inženirja so med najpogostejšimi finančni motivi, maščevanje (npr. s strani odpuščenega delavca), zunanji pritisk (gre za izsiljevanje in ustrahovanje), politični motivi, kamor lahko uvrstimo tudi oblike terorizma, kriminalni motivi, industrijsko vohunjenje ter samodokazovanje (predvsem med mladimi hekerji). [7]

Življenjski cikel socialnega inženiringa

[uredi | uredi kodo]
Shema življenjskega ciklusa socialnega inženiringa

Vsak napad, izpeljan s pomočjo socialnega inženiringa poteka po določenem vrstnem redu oziroma lahko rečemo, da je sestavljen iz štirih faz, ki so med seboj povezane in soodvisne. Te faze so zbiranje informacij, vzpostavitev odnosa, izkoriščanje odnosa in izvršitev zastavljenega cilja. [8]

Zbiranje informacij

[uredi | uredi kodo]

Gre za prvi in verjetno tudi najpomembnejši korak v celotnem ciklu. Za to fazo je značilno, da jo lahko razdelimo na dva dela, ki smo jih omenili že prej in sicer na zbiranje informacij s pomočjo računalniške tehnologije in zbiranje informacij s človeško interakcijo. Na področju računalniške tehnologije se informacije lahko zbirajo predvsem na internetu, npr. na spletnih straneh podjetij, vedno več informacij pa napadalci pridobijo s pomočjo uporabe socialnih omrežij. Načini brez uporabe tehnologije pa so opazovanje, gledanje čez ramo (shoulder surfing), igranje vlog, brskanje po smeteh (dumpster diving) in podobno. Napadalec pridobljene podatke, ki so vezani na ljudi, prav tako pa tudi na stvari uporabi za vzpostavitev in razvoj odnosa z žrtvijo, ki predstavlja drugi korak v ciklusu.[8] 

Vzpostavitev odnosa

[uredi | uredi kodo]

Napadalec na tej stopnji vzpostavi in obenem razvija odnos z žrtvijo. V tej fazi napadalec izkoristi prej pridobljene podatke in v dani situaciji odigra vlogo, katere prepričljivost je odvisna od kakovosti in količine pridobljenih podatkov ter igralskih sposobnosti napadalca.[8] Ljudje smo po naravi nagnjeni k temu, da nekatere podatke zaupamo osebi, za katero menimo, da je vredna našega zaupanja in da le tega ne bo izrabila. Cilj te faze je prepričati žrtev, da lahko napadalcu zaupa in zato z njim deli tudi tiste bolj zaupne podatke, ki jih sicer morda nebi. 

Izkoriščanje odnosa

[uredi | uredi kodo]

Po sami vzpostavitvi odnosa in pridobitvi zaupanja žrtve, sledi faza v kateri napadalec izkorišča ta odnos in žrtvino zaupanje. V primeru, da je bil napadalec v prejšnji fazi prepričljiv in je žrtev prepričal v to, da je vreden zaupanja, mu bo žrtev velikokrat izdala podatke, ki si jih socialni inženir želi, brez da bi se tega sploh zavedala. 

Izvršitev zastavljenega cilja

[uredi | uredi kodo]

Ta faza je zadnja v ciklusu, v kateri napadalec izkoristi pridobljene podatke za dosego zastavljenega cilja. Že same informacije lahko pomenijo uresničitev cilja, lahko pa napadalec informacije uporabi kot pomoč pri vdiranju s pomočjo tehnologije. Poudariti je treba, da življenjski ciklus s tem še ni končan. Napadalec lahko v prihodnje še vedno zbira informacije, lahko pa svoje delovanje razširi na celoten informacijski sitem, pridobiva informacije pri drugi žrtvi ali pa zgolj pridobi informacije, ki mu pomagajo pri izvedbi drugega napada.[8]

Za socialne inženirje z manj izkušnjami in manj znanja se napad na tej točki konča. Za tiste bolj profesionalne in izurjene napadalce pa zatem obstaja še dodatna faza in sicer faza, v kateri brišejo sledi, ki bi lahko dale žrtvi vedeti, da je bilo njegovo zaupanje zlorabljeno. 

Tehnike socialnega inženiringa

[uredi | uredi kodo]

Zbiranje informacij s pomočjo interneta

[uredi | uredi kodo]

Spletni iskalniki

[uredi | uredi kodo]

Socialni inženiring velikokrat poteka po principu izrabe že obstoječih informacij o posamezniku za pridobitev še več in bolj ključnih podatkov. Glede na to, da se skoraj o vsakem izmed nas na internetu pojavljajo določeni podatki, socialni inženir lahko zlahka pridobi podatke o naši preteklosti (o naših hobijih, obiskovanih šolah, profesionalnemu življenju in ostalih aktivnosti). Nemalokrat se zgodi celo, da so na internetu objavljeni določeni osebni podatki (v obliki seznamov, tabel,…) pomotoma, saj za velikimi strežniki in računalniškimi ekrani seveda sedijo ljudje, uredniki spletnih strani, ki lahko objavijo na internetu nekaj, česar pravzaprav niso nameravali. Druga možnost zlorabe je vzpostavitev t.i. lažnih spletnih strani; gre predvsem za stani, ki zahtevajo registracijo oziroma prijavo. Natančneje gre za ponarejene spletne strani, za katere mislimo, da so prave. Od nas zahtevajo, da vpišemo geslo in uporabniško ime ter morda še druge potrebne podatke, ko pa jih vpišemo, se pojavi obvestilo, da je prišlo do napake in da moramo podatke ponovno vpisati. Takrat se nam prikaže originalna stran. Vse to poteka s pomočjo DNS strežnika, ki usmerja internetne domene na IP naslov. Uporabniki se niti ne zavedamo, da nam napadalci na ta način nezakonito kradejo osebne podatke. [9] 

Socialna družabna omrežja

[uredi | uredi kodo]

Socialna omrežja imajo iz leta v leto vse več aktivnih uporabnikov. Tovrstna omrežja so vse bolj razširjena, temeljijo pa na ustvarjanju lastnega profila in s tem posledično tudi objavljanjem naših osebnih podatkov. Zaradi svoje razširjenosti in vse več ljudi, ki uporabljajo spletna socialna omrežja, so le ta postala prava zakladnica podatkov za napadalce. 

Ribarjenje (phising)

[uredi | uredi kodo]

Izraz ribarjenje podatkov (phishing) izvira iz angleških besed za geslo (password) in ribarjenje (fishing).[9] Gre za nezakonit način zavajanja uporabnikov, pri katerem poskuša prevarant s pomočjo lažnih spletnih strani in elektronskih sporočil od uporabnikov na takšen ali drugačen način izvabiti njihove osebne podatke, kot so številke kreditnih kartic, uporabniška imena in gesla, digitalna potrdila in ostale osebne podatke.

Pharming napadi

[uredi | uredi kodo]

Napadi pharming (gre za skovanko med angleškima besedama farming in pharmacy, navezuje pa se na tehniko genetskega inženiringa,v svetu interneta bi lahko govorili o inženiringu naslovov spletnih mest), so za uporabnika zelo nevarni, saj jih je težko prepoznati. Glavna razlika med phishing-om in pharming-om je v tem, da gre pri pharmingu bolj za tehnični napad kot za tehniko socialnega inženiringa, na katerem temelji ribarjenje podatkov. Praviloma gre bodisi za neposreden napad na DNS strežnike, bodisi za napad na določeno datoteko, ki se nahaja na računalniku uporabnika (gre za t.i. datoteko o gostiteljih oz. host file, kjer se nahajajo podatki o URLjih in domenah). Uporabnik je v teh primerih prepričan, da se nahaja na pravi strani, saj je vtipkal pravi URL naslov strani, v resnici pa ga je eden od omenjenih načinov napada preusmeril na lažne strani, ne da bi se pri tem spremenil URL naslov v oknu brskalnika. Uporabnik je seveda v tem lažnem zaupanju dovolj samozavesten, da vnaša svoje osebne podatke v obrazce, ki se nahajajo na takšnih straneh.[8]

Trojanski konj, virusi in črvi

[uredi | uredi kodo]

Virusi so predstavniki škodljive kode, ki živijo znotraj datotek kot so npr. datoteke urejevalnika besedil Word, urejevalnika preglednic Excel in ostalih. Ob odprtju okužene datoteke se virus razširi in okuži ostale datoteke na računalniku. Črvi so ravno tako samoreplicirajoči se programi, ki pa so za razliko od virusov nekoliko bolj inteligentni, saj znajo samodejno iskati primerne tarče za okužbo. Tako črvi kakor tudi virusi prinašajo s seboj breme, ki jim omogoča prevzem nadzora nad okuženim računalnikom, brisanje datotek ali tatvino osebnih podatkov. Bežen pregled tovrstnega področja nam pove, da se vsak teden pojavi okrog 500 novih virusov in črvov. Število virusov in črvov se vsako leto poveča za 400 %, pri čemer postajajo njihovi avtorji/kriminalci vse bolj inovativni. [8]Tovrstni predstavniki zlonamerne kode so pogosto doma ravno v nezaželenih elektronskih sporočilih (spam), zato je potrebno biti pri odpiranju tovrstne pošte še posebno pazljiv. Še ena kategorija škodljivcev pa so trojanski konji, ki se v računalnik pritihotapijo v preobleki legitimnega programa. Ko uporabnik namesti legitimni program, se hkrati namesti tudi trojanski konj, ki napadalcu omogoči prevzem nadzora nad računalnikom.

Socialni inženiring preko telefona

[uredi | uredi kodo]

Tovrstna izvedba je dokaj enostavna, saj napadalec pokliče žrtev z namenom, da od nje pridobi podatke in informacije. Največkrat so žrtve teh napadov tajnice, asistenti in ostali zaposleni v pisarnah.[4] Omenjeni ljudje so za napadalce primerne žrtve, saj ne poznajo varnostne politike oziroma so z njo slabše seznanjeni, obenem pa se ne zavedajo posledic, ki lahko nastanejo, saj so navajeni, da morajo biti do vsakega klicatelja prijazni in ustrežljivi. 

Telefonsko zvabljanje

[uredi | uredi kodo]

Telefonsko zvabljanje ali vishing[10] je novejši poltehnični pristop socialnega inženiringa, ki izkorišča telefonske sisteme vrste VoIP (Voice over IP).[8] Vishing se uporablja predvsem za krajo identitete in drugih zaupnih podatkov. Pri izvedbi klica napadalec skrije pravo številko in jo zamenja s številko, ki je žrtvi poznana ali ji zaupa. Tehniko je mogoče uporabiti v navezi z ribarjenjem, tako da je v elektronski pošti navedena številka namesto spletne povezave. Napad se izvede ob pomoči vnaprej posnetega govora, ki uporabnika opozori, da je z njegovim računom nekaj narobe. Nato ga ta posnetek vodi skozi procese, ki na koncu pripeljejo do želenega razkritja zaupnih informacij.

Neposredni pristop in ankete

[uredi | uredi kodo]

Za to metodo velja, da je najpreprostejša, vendar pa je zaradi tega tudi nekoliko manj uspešna kot druge. Za izvedbo ni potrebna posebna priprava in načrtovanje. Osnovna oblika tega napada je, da napadalec enostavno vpraša po želeni informaciji osebo, za katero meni, da z informacijo razpolaga. Ta metoda lahko vsebuje različne pristope napadalca (naključni obiskovalec, pomembni uporabnik, nemočen uporabnik in oseba za tehnično pomoč).[8] 

Gledanje čez ramo (shoulder surfing)

[uredi | uredi kodo]

Socialni inženir opazuje čez žrtvino ramo podatke, ko se žrtev prijavlja v poslovni ali drugi sistem. Podatke, ki pomenijo koristno informacijo, na primer uporabniško ime in geslo, si socialni inženir zapomni in se z njimi okoristi. Do takšnega napada prihaja tudi v trgovinah pri plačevanju s kreditnimi karticami ali pri dvigu gotovine na bankomatih. 

Brskanje po smeteh (dumpster diving)

[uredi | uredi kodo]

Veliko informacij lahko socialni inženir pridobi z brskanjem po smeteh, kar s tujko imenujemo tudi dumpster diving ali trashing.[8] V smeteh lahko socialni inženir najde marsikaj uporabnega, kar mu koristi pri spoznavanju tarče, kot je na primer stara računalniška oprema, diski s podatki, zavrženi dokumenti z raznimi gesli, telefonski imeniki, naslovi zaposlenih, organizacijske sheme podjetij, koledarji ipd. Vse naštete stvari lahko predstavljajo neprecenljive vire socialnemu inženirju.

Nosilci podatkov (CD/DVD, USB ključki...)

[uredi | uredi kodo]

Male nosilce podatkov odlikuje praktičnost, so lahki in prenosni, hkrati pa glede na svojo velikost sprejmejo veliko količino podatkov. Ravno zaradi njihove popularnosti in vsesplošne uporabnosti lahko hitro postanejo način, kako izrabiti nepazljivost žrtve. Socialni inženir napad s pomočjo USB ključka navadno izvede tako, da ključek s škodljivo programsko kodo pusti na javnem kraju, kjer ključek čaka na žrtev. Ker smo ljudje po naravi zvedavi, ključek nekdo pobere in ga pogosto brez pomisleka vtakne v računalnik. Ob tem se na računalniku zažene program, ki z računalnika pobere vsa shranjena gesla in jih pošlje na elektronski naslov napadalca. Lahko se celo zgodi, da se s ključka samodejno namesti trojanski konj ali podobna škodljiva programska oprema.[2]

Ostalo

[uredi | uredi kodo]

Poleg zgoraj omenjenih tehnik socialnega inženiringa, ne smemo pozabiti tudi na ostale stvari, ki jih lahko dokaj hitro spregledamo oziroma se nanje ne oziramo. Ljudje se namreč ne zavedamo, da lahko izkušeni napadalci izkoristijo naše pomanjkljivo znanje in premajhno količino pozornosti ter tako pridejo do nekaterih podatkov tudi preko piškotkov, ki se pojavljajo na spletnih straneh, saj le ti včasih lahko kršijo zasebnost, preko mobilnih naprav, na katerih imamo uporabniki veliko aplikacij, katerim pred uporabo dovolimo dostop do podatkov, kot so npr. lokacija, slike, kontakti v imeniku in podobno ter preko brezžičnih omrežij. Vse te stvari, na katere morda nismo dovolj pozorni in se nam morda zdijo celo samoumevne, pridno izkoristijo nepridipravi, ki so dobro podkovani na področju informacijske tehnologije in se tako na prikrit način dokopljejo do naših osebnih podatkov, brez da bi se mi tega sploh zavedali.

Piškotki

[uredi | uredi kodo]

Piškotki so majhne tekstovne datoteke, ki se shranijo na uporabnikovem računalniku ob obisku spletne strani. Njihov namen je poenostavitev uporabnikovega dela. Nekatere spletne storitve zahtevajo uporabniško ime in geslo in da ob ponovnem obisku ni potrebno znova vpisovati teh podatkov, nam lahko ob pripadajoči izbiri pomagajo prav piškotki. Piškotki lahko tudi kršijo zasebnost, če posameznik o njih ni ustrezno obveščen in npr. lastniki spletnih strani zaznajo uporabnikovo nakupovalno obnašanje na spletu in tako sestavijo uporabniški profil.[8]

Mobilni telefoni, dlančniki, modri zob

[uredi | uredi kodo]

Dnevi, ko smo ljudje uporabljali mobilne telefone zgolj za pogovore so že nekaj časa v ozadju oziroma so prešli. Tehnologija se iz dneva v dan razvija in ustvarja nove možnosti uporabnikom različnim naprav. Tako so tudi mobilni telefoni dandanes postali prave multifunkcijske naprave, saj nam omogočajo vse vrste aplikacij, obenem pa nam omogočajo vsakodnevni dostop do velike količine različnih podatkov in informacij. 

Brezžična omrežja

[uredi | uredi kodo]

S to tehnologijo komunicirajo različne naprave, notesniki, mobilni telefoni, tiskalniki, projektorji in druge naprave in sicer so naprave med seboj povezane brez uporabe kablov. Brezžična omrežja namreč izkoriščajo radijske valove. Zato tudi delujejo na različnih frekvenčnih območjih in različnih stopnjah varnosti. Varnost oziroma ranljivost komunikacije je odvisna od same konfiguracije naprav za brezžični pristop. Omogočeno je prestrezanje, saj je nosilec oz. medij zrak, in kljub enkripciji prometa obstaja možnost spremljanja prometa.[11] Najhujši primer je namestitev tujega brezžičnega usmerjevalnika direktno v omrežje podjetja. Obiskovalec namesti usmerjevalnik na prosto mrežno vtičnico in ga nekje skrije. Od zunaj na varnem, recimo na parkirišču, pa brez problema dostopa do zaupnih podatkov.[12]

Posledice napadov

[uredi | uredi kodo]

Posledice napadov z uporabo socialnega inženiringa so različne in lahko prizadenejo tako posameznika kot podjetje, kažejo pa se lahko kot nedelovanje računalniške opreme, izguba občutljivih informacij zaupne narave, kraja identitete, kraja osebnih podatkov, motenje zasebnosti in kraja datotek iz osebnih računalnikov, finančne posledice in izguba ugleda. 

Nedelovanje računalniške opreme

[uredi | uredi kodo]

Nedelovanje računalnikov se lahko odraža v izgubi časa in denarja. Če želimo ponovno vzpostaviti prejšnje oziroma normalno stanje moramo poskrbeti za to, da zagotovimo ustrezne človeške vire, da bi problem rešili. Izguba časa se pravzaprav pokaže dvojno, saj medtem ko informatiki, zaposleni v podjetju rešujejo nastali problem, ostali zaposleni pa v tem času ne morejo uporabljati računalniške opreme, kar povzroči zmanjšanje produktivnosti. 

Izguba občutljivih informacij zaupne narave

[uredi | uredi kodo]

Pri teh informacijah je pomembno, da se zavedamo, da ne mislimo le na izgubo osebnih podatkov, ampak tudi izgubo poslovnih podatkov kot so razvojni načrt, raziskovalno delo podjetja ipd. Ti podatki so po navadi dolgoletno delo podjetja, od katerega je lahko odvisen uspeh podjetja. Obenem so ogrožene tudi druge državne organizacije, ki pri svojem delu uporabljajo veliko število osebnih podatkov državljanov, obenem pa tudi podatke o samem varnostnem sistemu države. To lahko izkoristijo različne teroristične organizacije in kriminalne skupine, ki se vedno bolj poslužujejo informacijske tehnologije in obenem socialnega inženiringa z namenom, da bi se dokopali do teh podatkov in z njihovo pomočjo uresničili zadan cilj. 

Kraja identitete

[uredi | uredi kodo]

Kraja identitete se nanaša na prevzem osebnih ali finančnih informacij druge osebe z namenom zlorabe finančnih transakcij in nakupov. Poznamo dve osnovni vrsti kraje identitete, in sicer kraja imena ter prevzem bančnega računa napadenega.

Kraja imena

[uredi | uredi kodo]

Pri kraji imena gre predvsem za to, da napadalec podatke, ki jih je ukradel uporabi za odprtje novega bančnega računa, z namenom najema posojil, ki jih ne namerava vračati, ali da koristi različne usluge na žrtvin račun.

Prevzem bančnega računa napadenega

[uredi | uredi kodo]

Napadalec uporabi osebne podatke žrtve, da bi pridobil dostop njenega bančnega računa. Pogosto se lahko zgodi, da prevarant spremeni naslov žrtve, ki je s tem bančnim računom povezana ter nato s koriščenjem sredstev oškoduje žrtev.

Kraja osebnih podatkov

[uredi | uredi kodo]

Vsaka kraja oziroma zloraba osebnih podatkov je v Kazenskem zakoniku Republike Slovenije, opredeljena kot kaznivo dejanje, ki se preganja po uradni dolžnosti. Kraja osebnih podatkov za oškodovanca pomeni posebno hud poseg v njegovo zasebnost, obenem pa so posledice v nekaterih primerih lahko tako velike, da se po intenziteti in škodi lahko primerjajo z drugimi kaznivimi dejanji, ki se nanašajo predvsem na premoženje, lahko pa tudi na življenje in telo.

Motenje zasebnosti in kraja datotek iz osebnih računalnikov

[uredi | uredi kodo]

Žrtev ima v večini primerov, posebej ko se zave, da ji je napadalec vdrl v računalnik, naj si bo to z geslom, do katerega se je dokopal ali pa preko interneta, podoben občutek kot da bi ji nekdo vdrl v stanovanje. 

Finančne posledice

[uredi | uredi kodo]

Tarče napada so predvsem finančne ustanove in njihove stranke. Vsaka oseba ali podjetje, ki ima internetno povezavo, ne glede na področje svojega dela, je lahko tarča napada. Finančne ustanove lahko zagotovijo določeno stopnjo varnosti na svoji strani, nimajo pa nadzora nad računalniki svojih strank. Tako lahko v primeru, da se socialni inženir dokoplje do ustreznih podatkov, oškoduje žrtev na način, da prevzame njihov bančni račun in tako pokrade denar, kar lahko pripelje tudi do drugih resnih posledic, npr. izgube nepremičnine in ostalega premoženja, podjetja in ostale organizacije pa lahko spravi v stečaj oziroma bankrot ali pa jih začasno oškoduje, saj ne morejo zagotoviti dovolj finančnih sredstev za stroške, plače zaposlenih, proizvodnjo in ostale reči.

Izguba ugleda

[uredi | uredi kodo]

Če gledamo na dolgoročni rok, za nekatere organizacije izguba ugleda predstavlja veliko večjo škodo, kot pa npr. sama izguba dobička. V primeru, da organizacija ohrani ugled in dobro ime, ima še vedno možnost, da zoper pridobi stranke in ostale sodelavce ter morebitne investitorje, kar pa je v primeru izgubljenega ugleda veliko težje, saj ljudje izgubijo zaupanje v sodelovanje in pa organizacijo samo.

Zaščita pred socialnim inženiringom

[uredi | uredi kodo]

Ultimativne zaščite proti socialnem inženiringu ni. Lahko le zmanjšamo možnosti ali omilimo posledice. Ključni element obrambe je izobrazba ljudi, da bi se zavedali takšnih prevar tako v organizacijah kot tudi v zasebnem življenju. V podjetjih in drugih organizacijah lahko problem skušamo rešiti z različnimi tečaji, na katerih je ljudi potrebno naučiti tudi postopkov in standardov, ki narekujejo, kako ukrepati ob takšnih situacijah. [9]

Osnovna zaščita, ki je potrebna  je izobrazba in pa poznavanje problema. Zato se tudi obramba razlikuje glede na tip prevare. Pri osebnem pristopu je ključnega pomena spremljanje obiskovalcev v organizaciji od vhoda do izhoda, saj se prevaranti pogosto izdajajo, da so eni izmed zaposlenih. Tako se postavijo v vrsto za vstop takoj za nekom, ki ima kontrolno kartico.Poleg tega pravila je potrebna tudi skrb za identifikacijo zaposlenih, če pa se že nekomu uspe izogniti nadzoru, pa je potrebno zagotoviti, da zaupni podatki niso na vidnih mestih.

Pomembno pri telefonskih pogovorih je, da se gesel in zaupnih podatkov ne posreduje po telefonu. Gre predvsem za to, da osebi, ki kliče nikoli ne smemo popolnoma zaupati.

Na internetu je potrebno izpostaviti problematiko z gesli. Zavedati se moramo dejstva, da so gesla sicer najenostavnejši način identifikacije uporabnika, vendar pa predstavljajo dokaj nizko zaščito. Večina ljudi za dostop do različnih spletnih strani in pa v prvi vrsti za dostop do svoje elektronske pošte, uporablja in izbira gesla, glede na to, kar najbolje poznamo in kar nam je blizu. Največkrat so to imena družinskih članov, rojstni datumi, vzdevki, ime otroka ali partnerja, ime živali in podobno. Potrebno se je zavedati, da se lahko do teh družinskih podatkov z malo spretnosti dokoplje socialni inženir, ki nato preizkusi nekaj kombinacij in tako pride do gesla.

Pravno varstvo

[uredi | uredi kodo]

Po 38. Členu Ustave RS[13] je zagotovljeno varstvo osebnih podatkov, ter prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Vsak pa se ima pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob morebitni zlorabi. Kar pomeni, da je v skladu z Ustavo RS dovoljena uporaba tistih osebnih podatkov, ki je vnaprej predvidena in določno vnaprej opredeljena v posameznem zakonu. Torej gre pri pridobivanju osebnih podatkov in drugih informacij, s pomočjo socialnega inženiringa za kaznivo dejanje, saj napadalci sami niso pooblaščeni za dostop do teh podatkov. Tovrstno kaznivo dejanje se torej preganja po uradni dolžnosti. Glede pravnega varstva osebnih podatkov si lahko več preberemo v Kazenskem zakoniku ter Zakonu o varstvu osebnih podatkov.[8]

Prijava kršitev

[uredi | uredi kodo]

Vsak posameznik lahko Informacijskemu pooblaščencu vloži prijavo, če meni, da je nekdo kršil Zakon o varstvu osebnih podatkov.[14] Pooblaščenec nato po uradni dolžnosti na podlagi Zakona o inšpekcijskem nadzoru[15] izvede ustrezne inšpekcijske postopke. Če posameznik torej meni, da je t.i. socialni inženir obdeloval njegove osebne podatke brez njegove privolitve ali podlage v zakonu, ali pa je osebne podatke s prevaro izvedel ali pridobil s strani oseb, ki so obdelovale osebne podatke pri upravljavcu zbirk osebnih podatkov, lahko vloži prijavo Informacijskemu pooblaščencu. Škodljive posledice kršitve varstva osebnih podatkov pa so lahko tudi hujše, če izpolnjujejo znake kaznivega dejanja zlorabe osebnih podatkov v skladu s 143. členom KZ-1. V teh primerih se žrtev kaznivega dejanja zlorabe osebnih podatkov lahko obrne na policijo ali tožilstvo ter poda kazensko ovadbo. 

Glej tudi

[uredi | uredi kodo]
  1. Voh Boštic, Anže (4. januar 2015). »Kiberkriminal v Sloveniji - od spletnih prevar do vohljanja tajnih služb«. Pridobljeno 10. decembra 2016.
  2. 2,0 2,1 2,2 2,3 Gregorič, Uroš (Januar 2011). »Socialni inženiring v spletnih socialnih omrežijih«. Pridobljeno 15. decembra 2016.
  3. »Socialni inženiring«. Arhivirano iz prvotnega spletišča dne 3. januarja 2017. Pridobljeno 10. decembra 2016.
  4. 4,0 4,1 Gregorič, Uroš. »Socialni inženiring v spletnih socialnih omrežjih« (PDF). Pridobljeno 15. decembra 2016.
  5. »Socialni inženiring«. Detektivsko varnostna agencija. Arhivirano iz prvotnega spletišča dne 25. marca 2019. Pridobljeno 8. decembra 2016.
  6. Kosem, Matjaž (30. marec 2016). »Socialni inženiring ali "You've been hacked by a smooth criminal"«. Pridobljeno 7. decembra 2016.[mrtva povezava]
  7. Potokar, Marko; Androić, Sanja (1. avgust 2015). »SOCIALNI INŽENIRING – ČLOVEK KOT DEL VARNOSTNEGA SISTEMA« (PDF). Pridobljeno 16. decembra 2016.
  8. 8,00 8,01 8,02 8,03 8,04 8,05 8,06 8,07 8,08 8,09 8,10 »Socialni inženiring in kako se pred njim ubraniti?« (PDF). 4. september 2009. Pridobljeno 17. decembra 2016.
  9. 9,0 9,1 9,2 Suša, Miloš (2009). »Socialni inženiring na internetu« (PDF). Pridobljeno 17. decembra 2016.
  10. http://www.islovar.org/islovar,Islovar[mrtva povezava], Slovensko društvo Informatika, vpogled: 24. 1. 2017.
  11. »Brezžično omrežje«. 23. februar 2016. Pridobljeno 3. januarja 2017.
  12. »Socialni inženiring«. 12. september 2014. Pridobljeno 5. decembra 2016.
  13. »Ustava Republike Slovenije« (PDF). Uradni list RS, št. 68/06. 30. junij 2006. Arhivirano iz prvotnega spletišča (PDF) dne 19. marca 2015. Pridobljeno 11. decembra 2016.
  14. »Zakon o varstvu osebnih podatkov«. Pravno-informacijski sistem. 5. avgust 2004. Pridobljeno 10. decembra 2016.
  15. »Zakon o inšpekcijskem nadzoru«. 28. junij 2002. Pridobljeno 11. decembra 2016.