Kaj je socialni inženiring?
Gre za
način zavajanja, pri katerem poskuša
napadalec s pomočjo lažnih spletnih strani in elektronskih sporočil na takšen ali drugačen način od posameznika
pridobiti osebne podatke, kot so: številke kreditnih kartic, uporabniška imena in gesla, digitalna potrdila podjetja in ostale službene podatke. Pri tem
uporablja različne tehnike.
Ali zaposleni poznajo pasti socialnega inženiringa?
Napadi socialnega inženiringa se zgodijo
v enem ali več korakih. Napadalec najprej
preiskuje žrtev in ko
zbere potrebne osnovne informacije (morebitne vstopne točke in šibke varnostne protokole, potrebne za nadaljevanje napada ),
aktivira nadaljnja dejanja, ki kršijo varnostne prakse, na primer razkrivanje občutljivih informacij ali odobritev dostopa do kritičnih virov. Socialni inženir običajno
izdela lažno spletno stran, ki je
enaka ali v celoti
podobna pravi. V nadaljevanju poskuša z lažnim elektronskim sporočilom od žrtve
pridobiti podatke prek odgovora na poslano sporočilo.
Najboljša preventiva je test socialnega inženiringa
V Telekomu Slovenije test socialnega inženiringa
izvajamo na več načinov:
- s pošiljanjem navidezno škodljive elektronske pošte,
- odvržemo USB-ključ in spremljamo, ali ga bo žrtev vstavila v računalnik (USB dropping),
- s testom fizičnega dostopa do lokacij,
- s testiranjem uporabnikov prek telefonskega klica.
Po zaključenem testu pripravimo poročilo o uspešnosti izvedbe testiranja in priporočilo za izboljšanje varnostnih mehanizmov.