Edukien aurkibidea[Ezkutatu][Erakutsi]
Ziberkriminal gehienak manipulatzaile trebeak diren arren, horrek ez du esan nahi beti manipulatzaile teknologiko trebeak direnik; beste ziberkriminal batzuek nahiago dute pertsonak manipulatzeko praktika.
Beste era batera esanda, ingeniaritza soziala hartzen dute, hau da, giza izaeraren akatsak aprobetxatuz zibereraso bat abiarazteko praktika.
Ingeniaritza sozialaren kasu zuzen batean, hau gerta liteke ziber-kriminal batek IT-a aditu bat ordezkatzen badu eta zure sisteman segurtasun-zulo bat konpontzeko zure saioa hasteko xehetasunak eskatzen baditu.
Informazioa ematen badiozu, pertsona txar bati zure konturako sarbidea eman berri diozu, zure posta elektronikora edo ordenagailura sartzeko kezkatu behar izan gabe.
Segurtasun-kate guztietan, ia normalean katerik ahulena gara, hainbat trikimailu jasaten baititugu. Ingeniaritza sozialeko teknikek ahultasun hori aprobetxatzen dute pertsonengan, biktimak informazio pribatua zabal dezaten engainatzeko.
Ingeniaritza soziala beti garatzen ari da, ziber-mehatxu gehienak bezala.
Artikulu honetan, ingeniaritza sozialaren egungo egoerari buruz hitz egingo dugu, kontuan hartu beharreko eraso mota desberdinak eta zaindu beharreko abisu seinaleak.
Has gaitezen ingeniaritza sozialaren sarrera.
Zer da Gizarte Ingeniaritza?
Informatikan gizarte-ingeniaritza ziber-kriminalek biktimak zalantzazko ekintza bat egin dezaten konbentzitzeko erabiltzen dituzten teknikei dagokie, eta horrek maiz segurtasun-urraketa, dirua igortzea edo informazio pertsonala ezagutaraztea dakar.
Jarduera hauek logika zalantzan jartzen dute eta gure iritzi hobearen aurka doaz.
Hala ere, iruzurgileek logikoki pentsatzeari uzteko eta senaren arabera jokatzen has gaitezen benetan zer egiten ari garen pentsatu gabe, gure emozioak —bai positiboak zein negatiboak—, hala nola amorrua, beldurra eta maitasuna manipulatuz.
Besterik gabe, ingeniaritza soziala da hacker-ek gure garuna nola arriskuan jartzen duten, gure makinak arriskuan jartzeko malware eta birusekin egiten duten bezala.
Erasotzaileek maiz erabiltzen dute ingeniaritza soziala, maiz errazagoa delako gizabanakoei etekina ateratzea sare edo softwarearen ahultasuna identifikatzea baino.
Gaizkileek eta haien biktimek ez dutelako inoiz pertsonan elkarreragin behar, gizarte ingeniaritza iruzur zabalago baten osagaia da beti.
Biktimak lortzea: helburu nagusia da, oro har:
- Software kaltegarria haien telefonoan.
- Uko egin zure erabiltzaile izena eta pasahitza.
- Eman baimena plugin, luzapen edo hirugarrenen aplikazio gaizto bati.
- Bidali dirua diru-agindu baten bidez, funts-transferentzia elektroniko baten bidez edo opari-txartelen bidez.
- Jokatu diruaren mando baten papera legez kanpoko dirua transmititzeko eta zuritzeko.
Gaizkileek ingeniaritza sozialeko teknikak erabiltzen dituzte, maiz errazagoa delako besteengan konfiantza izateko duen joera aprobetxatzea zure programa nola hackeatu jakitea baino.
Esate baterako, pasahitza benetan ahula ez bada, dezente errazagoa da norbaiten pasahitza esan diezazun engainatzea, hura hackeatzen saiatzea baino.
Nola funtzionatzen du ingeniaritza sozialak?
Gizarte ingeniariek zibererasoak egiten dituzte hainbat estrategia erabiliz. Ingeniaritza sozialeko eraso gehienak erasotzaileak biktimari buruzko ezagutzak eta ikerketak egiten hasten dira.
Esate baterako, helburua enpresa bat bada, hackerrak konpainiaren antolakuntza-egitura, barne-prozesuak, industria-jargoia, negozio-bazkide potentzialak eta beste xehetasun batzuk ezagutu ditzake.
Maila baxuko baina hasierako sarbidea duten langileen ekintzetan eta ohituretan zentratzea, segurtasun zaindaria edo harreragilea bezala, gizarte ingeniariek erabiltzen duten estrategia da.
Erasotzaileek bilatu dezakete social media informazio pertsonala kontuan hartzen du eta haien portaera behatu sarean zein pertsonalki.
Gizarte-ingeniariak bildutako frogak erabil ditzake eraso bat planifikatzeko eta ezagutza-etapan aurkitutako akatsak aprobetxatzeko.
Erasoa gertatzen bada, erasotzaileak babestutako sistemak edo sareak, helburuetatik dirua lor ditzake edo datu pribatuetara sarbidea, hala nola Gizarte Segurantzako zenbakiak, kreditu-txartelen datuak edo banku-datuak.
Ingeniaritza sozialeko eraso mota arruntak
Ingeniaritza sozialean erabiltzen diren teknika tipikoak ezagutzea ingeniaritza sozialeko eraso batetik defendatzeko estrategia handienetako bat da.
Gaur egun, ingeniaritza soziala sarean gertatzen da normalean, sare sozialetako iruzurrak barne, erasotzaileek iturri fidagarri baten edo goi-mailako funtzionario baten identitatea hartzen dutenean biktimak informazio sentikorra ezagutzera engainatzeko.
Hona hemen ingeniaritza sozialeko beste eraso nagusi batzuk:
Phishing
Phishing-a ingeniaritza sozialeko ikuspegi moduko bat da, zeinetan komunikazioak mozorrotuta dauden iturri fidagarri batekoak izan daitezen.
Komunikazio hauek, maiz mezu elektronikoak direnak, biktimak informazio pertsonala edo finantzarioa ezagutzera engainatzea dute helburu.
Azken finean, zergatik susmatu beharko genuke ezagutzen dugun lagun, senide edo enpresa baten mezu elektroniko baten zilegitasuna? Iruzurgileek konfiantza hori aprobetxatzen dute.
vishing
Vishing-a phishing-eraso mota konplexua da. "Ahotsaren phishing" gisa ere ezagutzen da. Eraso hauetan, telefono-zenbaki bat maiz faltsutzen da benetakoa dirudielako; erasotzaileek informatikako langile, lankide edo bankaritzat jo dezakete.
Erasotzaile batzuek ahots-aldagailuak erabil ditzakete beren identitatea are gehiago ezkutatzeko.
Lantza phishinga
Enpresa handiak edo pertsona partikularrak spear phishing-aren helburuak dira, ingeniaritza sozialeko eraso moduko bat. Spear phishing-en erasoen helburuak pertsona indartsuak edo talde txikiak dira, hala nola, enpresaburuak eta pertsonaia publikoak.
Ingeniaritza sozialeko eraso mota hau sarritan ondo ikertua eta engainagarri kamuflatuta dago, eta zaila da antzematea.
Irribarrez
Smishing phishing eraso moduko bat da, testu mezuak (SMS) komunikazio-bide gisa erabiltzen dituena. Klik egiteko URL kaltegarriak edo harremanetan jartzeko telefono-zenbakiak aurkeztuta, eraso hauek biktimei ekintza azkarra eskatzen diete normalean.
Biktimei maiz eskatzen zaie erasotzaileek haien aurka erabil dezaketen informazio pribatua emateko.
Biktimak azkar jokatzeko eta erasoan erortzeko konbentzitzeko, smishing erasoek sarritan presazko sentsazioa erakusten dute.
scareware
Ingeniaritza soziala erabiltzeak segurtasun-software faltsuak instalatzeko edo malwarez kutsatutako webguneetara sartzeko izutzeko, scareware izenez ezagutzen da.
Scareware normalean zure ordenagailu eramangarritik ustezko infekzio bat ezabatzen laguntzeko leiho pop-up gisa agertzen da. Popup-ean klik eginez gero, baliteke nahi gabe malware gehiago instalatzea edo webgune arriskutsu batera bidaltzea.
Erabili birusak desagerrarazteko programa fidagarri bat zure ordenagailua sarri eskaneatzeko scareware edo beste pop-up intrusibo bat duzula uste baduzu. Garrantzitsua da higiene digitalarentzat zure gailua aldian-aldian arriskuak aztertzea.
Baliteke zure informazio pertsonala babesten laguntzea, etorkizuneko ingeniaritza sozialeko erasoak saihestuz.
Baita
Ingeniaritza sozialeko erasoak lineaz kanpo ere has daitezke; ez dira zertan sarean martxan jarri.
Baiting erasotzaileak malwarez kutsatutako objektu bat, adibidez, USB disko bat, aurkitzea litekeena den leku batean uztearen praktika da. Gailu hauek nahita markatuak izaten dira interesa pizteko.
Kuriositatez edo gutiziaz tramankulua hartu eta bere ordenagailuan sartzen duen erabiltzaileak makina hori birus batekin nahi gabe kutsatzeko arriskua du.
bale arrantza
Phishing saiakera ausartenetako bat, emaitza negargarriak dituena, balea arrantza da. Ingeniaritza sozialeko eraso mota honen helburu tipikoa balio handiko pertsona bakar bat da.
"CEO iruzurra" terminoa noizean behin bale-arrantza deskribatzeko erabiltzen da, eta horrek xedearen zantzua ematen dizu.
Negozio-tonu egokia hartzen dutelako eta bere onurarako barneko industriaren ezagutza erabiltzen dutenez, bale-arrantza-erasoak beste phishing-eraso batzuk baino zailagoak dira antzematea.
Aurreko mezuak bidaltzea
Aitzakia, iruzurgileek biktimak engainatzeko erabiltzen duten zirkunstantzia faltsu bat edo "aitzakia" bat fabrikatzeko prozesua da.
Erasoak aitzakiak, lineaz kanpo edo sarean gerta daitezkeenak, ingeniaritza sozialeko teknikarik arrakastatsuenetakoak dira, erasotzaileek ahalegin handia egiten baitute euren burua fidagarriak izan daitezen.
Kontuz ibili informazio pribatua ezezagunei ezagutzera ematean, zaila izango baita aitzakia baten iruzurra antzematea.
Ingeniaritza sozialeko saiakera bat baztertzeko, jarri harremanetan zuzenean konpainiarekin norbaitek premiazko beharrengatik telefonoz deituz gero.
Ezti tranpa
Ezti-tranpa bat ingeniaritza sozialeko ikuspegi moduko bat da, non erasotzaileak biktima sexu ingurune seguru batera seduzitzen duen.
Orduan, erasotzaileak zirkunstantziaz baliatzen da xantaia egiteko edo sextortsioa egiteko. "Zure kameraren bidez ikusten zaituzten" edo beste horren gaiztoa denaren itxurakeria faltsuarekin spam mezuak bidaliz, ingeniari sozialek maiz jartzen dituzte ezti-tranpak.
Horrelako mezu bat jasotzen baduzu, ziurtatu zure webcam babestuta dagoela.
Ondoren, egon lasai eta ez erantzuten, mezu elektroniko hauek spama baino ez baitira.
Quid Pro Quo
Latinak "zerbaitengatik" esan nahi du, kasu honetan biktimak bere lankidetzaren truke saria jasotzen duela aipatzen du.
Ilustrazio bikaina da hackerrak IT laguntzaile gisa planteatzen direnean. Enpresa batean ahalik eta langile gehienei deituko diete eta irtenbide sinple bat dutela esango dute, "zure AV desgaitu besterik ez duzu behar" gehituz.
Horren aurrean men egiten duen edonork ransomware edo beste birus batzuk ditu ordenagailuan instalatuta.
Tailgating
Tailgating, piggybacking izenez ere ezagutzen dena, hacker batek baliozko sarbide-txartel bat erabiltzen duen pertsona bati jarraitzen dionean gertatzen da eraikin seguru batera.
Eraso hau aurrera eramateko, suposatzen da eraikinera sartzeko baimena duen pertsonak atzetik datorrenari atea zabalik edukitzeko nahikoa aintzat hartuko lukeela.
Nola prebenitu Gizarte Ingeniaritzako erasoak?
Prebentzio-neurri hauek erabiliz, zuk eta zure langileek ingeniaritza sozialeko erasoak saihesteko aukerarik onena izango duzu.
Langileak hezi
Langileen ingeniaritza sozialeko erasoen hutsegitearen kausa nagusia ezjakintasuna da. Langileei ohiko urratze saiakerei nola erreakzionatu irakasteko, erakundeek segurtasunari buruzko prestakuntza eskaini beharko lukete.
Adibidez, zer egin norbait langile bat lantokian sartzen saiatzen bada edo informazio sentikorra eskatzen badu.
Zibererasorik ohikoenak beheko zerrendan deskribatzen dira:
- DDoS erasoak
- Phishing erasoak
- Clickjacking erasoak
- Ransomware erasoak
- Malware erasoak
- Nola erantzun tailgating-ari
Egiaztatu Eraso Erresistentzia
Egin kontrolatutako ingeniaritza sozialeko erasoak zure enpresari proba egiteko. Bidali phishing-mezu faltsuak eta errieta emeki eranskinak irekitzen dituzten langileei, esteka kaltegarrietan klik egin edo erreakzionatu.
Zibersegurtasunaren hutsegite gisa hauteman beharrean, kasu hauek oso hezkuntza-egoera gisa ikusi behar dira.
Eragiketa Segurtasuna
OPSEC etorkizuneko erasotzaile batentzat onuragarria izan daitekeen portaera adiskidetsua antzemateko metodo bat da. OPSECek datu sentikorrak edo garrantzitsuak azal ditzake, egoki prozesatzen badira eta beste datu batzuekin taldekatzen badira.
Gizarte ingeniariek lor dezaketen informazio kopurua muga dezakezu OPSEC prozedurak erabiliz.
Bilatu datu-filtrazioak
Phishing saiakera baten ondorioz kredentzialak agerian geratu diren jakitea zaila izan daiteke.
Zure enpresak etengabe bilatu beharko lituzke datuen esposizioak eta filtratutako kredentzialak, phisher batzuek hilabeteak edo urteak behar baitituzte biltzen dituzten kredentzialak ustiatzeko.
Faktore anitzeko autentifikazioa ezartzea
Erabiltzaileek token bat eduki behar duten faktore anitzeko autentifikazio-metodo bat bete behar dute, pasahitza ezagutu eta beren biometria edukitzea baliabide kritikoetara sarbidea izateko.
Hirugarrenen arriskuak kudeatzeko sistema ezartzea
Saltzaile berriak sartu edo egungo hornitzaileekin lanean jarraitu aurretik, sortu hirugarrenen arriskuak kudeatzeko sistema bat, saltzaileak kudeatzeko politika eta egin bat. zibersegurtasun arriskua ebaluazioa.
Batez ere, lapurtutako datuak sare ilunean saldu ostean, dezente errazagoa da datu-hausteak saihestea horiek garbitzea baino.
Bilatu saltzaileen arriskua automatikoki kudeatu dezakeen softwarea eta zure saltzaileen zibersegurtasuna aldian-aldian jarraitu, sailkatu eta ebaluatu.
Aldatu spam-mezuen hobespenak.
Zure posta elektronikoaren ezarpenak aldatzea ingeniaritza sozialeko saiakeretatik defendatzeko metodo errazenetako bat da. Zure spam iragazkiak hobetu ditzakezu ingeniaritza sozialeko iruzurrezko mezuak sarrera-ontzitik kanpo mantentzeko.
Zure kontaktu-zerrendetan benetakoak direla ezagutzen dituzun pertsonen eta erakundeen helbide elektronikoak ere gehi ditzakezu zuzenean zure kontaktu-zerrendetan; haiek direla itxuratzen duen edonork, baina etorkizunean beste helbide bat erabiltzea, ziurrenik, gizarte ingeniaria izango da.
Ondorioa
Azkenik, ingeniaritza soziala nahiko teknika sinplea da, iruzurrak, iruzurrak edo bestelako delitu batzuk egiteko erabil daitekeena. Edonori gerta dakioke pertsonalki, telefonoz edo sarean.
Gizarte ingeniariek ez dute oso teknikoak izan behar; informazio pribatua emateko soilik iruzur egin behar dizute.
Iruzurra potentzialki hondagarria da, denok arriskuan gaudelako. Sare sozialek, gainera, gizarte-ingeniariei astunagoak izatea ahalbidetu diete, kontu faltsuak sortzeko aukera emanez, benetakoekin nahasteko errazak diren kontu faltsuak edo benetako pertsonak ordezkatzeko.
Kontuz ibili beti sare sozialetan profil arraroak edo ezezagunak ikusten dituzun bitartean.
Utzi erantzun bat