-
Ingeniaritza sozialeko taktikak eta ziberkriminalek giza psikologia nola manipulatzen duten.
-
2024ko abuztuaren 12a
-
Gizarte ingeniaritza eraso metodo bat da, giza ahuleziak teknologikoak baino gehiago baliatzen dituena. Sistema batean sartzen saiatu beharrean, ziberkriminalek jendea manipulatzen dute nahi duten informazioa borondatez laga dezan. Manipulazio psikologikoaren bidez , erasotzaileek biktimek datuen edo sistemen segurtasuna arriskuan jartzen duten ekintzak egitea lortzen dute.
Phishing
BerakphishingIngeniaritza sozialeko taktika ohiko eta eraginkorrenetako bat da. Iturri fidagarrietatik datozela dirudien iruzurrezko mezu elektronikoak bidaltzea dakar, hala nola, bankuetatik edo sare sozialetako plataformetatik. Helburua biktimari engainatzea da informazio sentikorra laga dezan, hala nola pasahitzak edo kreditu-txartelen zenbakiak. Mezu elektroniko horiek normalean webgune faltsu baterako esteka bat izan ohi dute, legezko itxura izateko diseinatua, non biktimak bere informazio pertsonala sartzen duen.
-ren aldaerak phishing, bezala spear phishingeta whaling, biktima zehatzei zuzenduta daude, informazio pertsonala edo korporatiboa erabiliz erasoa sinesgarriagoa izan dadin. -ren kasuan spear phishing, enpresa bateko pertsona edo langileengan zentratzen da, eta whalinggoi-mailako zuzendariei zuzenduta dago.
Pretexting: Sortu istorio erakargarri bat
Berak pretextingerasotzaileak eszenatoki faltsu bat edo "aitzakia" bat sortzen duen taktika da, biktimari informazio sentikorra ager dezan engainatzeko. Honek lankide baten, laguntza-teknikari baten edo autoritate-figuraren baten nortasuna hartzea izan daiteke, adibidez, polizia batena. Gakoa pretextingda erasotzaileak aurkeztutako istorioak nahikoa sinesgarria izan behar duela , biktimak susma ez dadin.
Adibidez, ziberkriminal batek langile bati dei diezaioke, informatika sailekoa dela itxuraz, eta bere konturako sarbidea eska diezaioke arazo tekniko bat konpontzeko. Bere burua autoritate eta premiazko jarrerarekin aurkeztuz, erasotzaileak biktimak guardia jaitsi eta lankidetzan jardutea lortzen du.
Baiting: Harrapatu biktima tranpa tentagarri batekin
Berakbaitingerasotzaileak biktima erakartzeko sari edo pizgarri faltsu bat erabiltzen duen taktika da. Adibide arrunt bat kutsatutako USB unitateak leku publikoetan uztea da, adibidez, aparkalekuetan edo kafetegietan, norbaitek jaso eta ordenagailura konektatu arte. Behin konektatzen direnean, software gaiztoa automatikoki instalatzen da biktimaren sisteman.
Beste modu bat baitingSoftware, musika edo filmak doako deskargak izan ditzake. Ziberkriminalek webgune ez ofizialetan eskaintzen dituzte fitxategi hauek, baina deskargatutako fitxategiak biktimaren gailuaren segurtasuna arriskuan jartzen duen malwarea du. Ideia da zerbait "doan" lortzeko tentazioak pertsonaren epaia lainotzen duela, arrisku posibleak alde batera uztea eraginez.
Quid pro quo: Iruzur trukea
Berak quid pro quo, "zerbaitengatik zerbait" esan nahi duena, erasotzaileak informazio edo sarbidearen truke zerbitzu edo onura bat eskaintzen duen taktika da. Adibide arrunta da ziberkriminal bat laguntza-teknikari gisa planteatzen denean eta arazo tekniko bat konpontzea eskaintzen duenean sarbide-kredentzialen truke.
Eraso mota hau bereziki eraginkorra da langileak laguntza teknikoa jasotzera ohituta dauden lan-inguruneetan. Ziberkriminalak premiazko arazo tekniko bat konponduko duela hitzeman dezake, eta biktimak, laguntzaren irrikan, eskatutako informazioa ematen du eskaintzaren zilegitasuna zalantzan jarri gabe.
Itxura egitea: beste norbait izatearen itxurak egitea
Pertsonaia ingeniaritza sozialeko teknika bat da, non erasotzaileak beste pertsona baten itxurak egiten dituen, normalean biktimaren konfiantzazko norbait. Honek lankide baten, buruzagi baten edo hornitzaile baten nortasuna hartzea izan daiteke. Pertsonalizazioaren erasoak bereziki eraginkorrak dira enpresa-inguruneetan, non langileek askotan nagusien aginduak betetzen dituzte zalantzan jarri gabe.
Zenbait kasutan, erasotzaileek biktimak ikertzen dituzte euren ekintzak sinesgarriagoak izan daitezen xehetasun zehatzak lortzeko. Jendaurrean eskuragarri dagoen informazioa erabiliz, hala nola sare sozialen profilak, erasotzaileak bere ikuspegia pertsonaliza dezake eta bere eskaera zilegi ager dadin. Esate baterako, mezu elektroniko bat bidal dezakezu enpresa bateko zuzendari nagusi gisa agertuz, erasotzaileak kontrolatzen duen kontu batera urgentziazko banku-transferentzia bat eskatuz.
Tranpan erortzea saihestuz
Ingeniaritza sozialeko taktiken aurka babesteak ezagutza, zuhurtzia eta eszeptizismoa konbinatu behar ditu. Funtsezkoa da langileak eta publiko orokorra ziberkriminalek erabiltzen dituzten metodoei buruz heztea . Erakundeek ingeniaritza sozialeko erasoen simulazioak barne hartzen dituzten segurtasun-sentsibilizazio programak ezarri beharko lituzkete, langileek saiakera horiek ezagutu eta egoki erantzun ditzaten.
Gainera, garrantzitsua da beti egiaztatzea informazio konfidentziala edo sistemetarako sarbidea eskatzen duen edonoren identitatea. Segurtasun-politikek eskaerak egiaztatzeko prozedurak izan behar dituzte, hala nola, ustez eskaera egin duen pertsonarekin zuzenean harremanetan jartzea harremanetarako informazio ofiziala erabiliz eta ez jasotako mezuan emandako informazioaren bidez.
Hori dela eta, ingeniaritza sozialak zibersegurtasunaren panoramako mehatxurik maltzurrenetako bat izaten jarraitzen du. Erasotzaileek erabiltzen dituzten taktikak ulertuz eta neurri proaktiboak hartuz, haien tranpatan erortzeko arriskua nabarmen murriztu dezakegu.
Comentarios:
Sin comentarios