Socijalni inženjering je tehnika koju napadači koriste kako bi manipulirali ljudima i uvjerili ih da otkriju osjetljive informacije, izvrše određene radnje ili pristupe zaštićenim sustavima ili podacima. Ova tehnika temelji se na iskorištavanju ljudske psihologije, društvenih normi i ljudskih slabosti radi ostvarivanja ciljeva napadača.
Napadači koji koriste socijalni inženjering često koriste različite strategije, uključujući:
- Pretvaranje da su netko drugi: Napadači se mogu predstavljati kao autoritativne osobe poput djelatnika banke, IT tehničara ili čak kolega s posla kako bi pridobili povjerenje žrtve i uvjerili ih da podijele osjetljive informacije.
- Stvaranje lažnih situacija: Napadači mogu stvarati lažne situacije kako bi izazvali žrtvu da djeluje brzo i neoprezno. Na primjer, mogu stvoriti lažni hitni slučaj ili izvanrednu situaciju kako bi žrtva donijela odluku pod pritiskom. Recimo e-mail od “direktora” koji zbog posebne situacije traži hitno plaćanje i zaobilaženje uobičajenih procedura i provjera, a zapravo je napadač krivotvorio pošiljatelja e-mail poruke i podvalio svoje podatke za plaćanje – čime može oštetiti tvrtku za značajan iznos.
- Iskorištavanje društvenih normi: Napadači mogu iskoristiti društvene norme poput ljubaznosti ili želje za pomoći drugima kako bi uvjerili žrtvu da im pruži pristup ili informacije koje bi inace bile zašticene.
- Phishing: To je oblik socijalnog inženjeringa u kojem napadaci koriste lažne e-mail-ove, poruke i web stranice kako bi prevarili žrtvu da otkrije svoje korisničko ime, lozinku ili druge osjetljive informacije. Sa tako dobivenim podacima napadač može pristupiti drugim sustavima (npr. bankovni računi, interni sustavi u tvrtkama, računi na društvenim mrežama), te nanijeti direktnu ili indirektnu štetu žrtvama napada.
Socijalni inženjering igra ključnu ulogu u cyber napadima jer može biti vrlo uspješan način za dobivanje pristupa osjetljivim informacijama ili sustavima. Kako bi se zaštitili od socijalnog inženjeringa, korisnici trebaju biti svjesni različitih tehnika manipulacije i uvijek biti oprezni pri dijeljenju osjetljivih informacija ili pristupanju sumnjivim zahtjevima ili linkovima.
Edukacija korisnika i usvajanje sigurnosnih politika i postupaka ključni su za borbu protiv socijalnog inženjeringa u okviru strategija IT sigurnosti.
Dodatna sigurnost prijave u sustave može biti postignuta putem dvofaktorske autentifikacije (2FA), zbog čega se preporuča upotreba iste gdje god je dostupna.
Program za odvjetnike Legal-IS koristi modernu dvofaktorsku autentifikaciju (2FA) sa OTP putem Google Authenticator ili sličnih aplikacija (2FAS Auth, Authy).