Zer da Gizarte Ingeniaritza? Kontuz ibili beharreko 11 adibideak
Edukien aurkibidea
Zer da zehazki Gizarte Ingeniaritza, hala ere?
Gizarte-ingeniaritza pertsonak haien informazio konfidentziala ateratzeko manipulatzeko ekintzari esaten zaio. Gaizkileek bilatzen duten informazio mota alda daiteke. Normalean, norbanakoak beren banku-datuak edo kontu-pasahitzetara bideratzen dira. Gaizkileek ere biktimaren ordenagailura sartzen saiatzen dira, software gaiztoa instalatzeko. Ondoren, software honek behar duten informazioa ateratzen laguntzen die.
Gaizkileek ingeniaritza sozialeko taktikak erabiltzen dituzte, askotan erraza baita pertsona bat ustiatzea bere konfiantza lortuz eta bere datu pertsonalak uzteko konbentzituz. Modu erosoagoa da inoren ordenagailua zuzenean hackeatzea bera jakin gabe.
Gizarte Ingeniaritza Adibideak
Zure burua hobeto babestu ahal izango duzu ingeniaritza soziala egiteko modu ezberdinen berri izanda.
1. Aitzakia egitea
Aitzakia erabiltzen da gaizkileak zeregin kritiko bat egiteko biktimaren informazio sentikorra eskuratu nahi duenean. Erasotzailea arretaz landutako hainbat gezurren bidez informazioa lortzen saiatzen da.
Gaizkilea biktimarekin konfiantza ezartzen hasten da. Informazio sentikorra eskatu dezaketen lagunak, lankideak, bankuko funtzionarioak, poliziak edo bestelako agintariak ordezkatuz egin daiteke. Erasotzaileak hainbat galdera egiten dizkie euren identitatea berresteko aitzakiarekin eta prozesu honetan datu pertsonalak biltzen ditu.
Metodo hau pertsona baten xehetasun pertsonal eta ofizial mota guztiak ateratzeko erabiltzen da. Informazio hori helbide pertsonalak, gizarte segurantzako zenbakiak, telefono zenbakiak, telefono-erregistroak, banku-datuak, langileen oporraldi-datak, enpresei lotutako segurtasun-informazioa eta abar izan ditzake.
2. Desbideratze Lapurreta
Oro har mezularitza eta garraio enpresei zuzendutako iruzur mota bat da. Gaizkilea xede-enpresa engainatzen saiatzen da, bere entrega paketea hasiera batean aurreikusitakoa ez den beste leku batera emanez. Teknika hau posta bidez bidaltzen ari diren ondasun preziatuak lapurtzeko erabiltzen da.
Iruzur hau lineaz kanpo zein linean egin daiteke. Fardelak eramaten dituzten langileak hurbildu eta entrega beste leku batean uzteko konbentzitu daiteke. Erasotzaileek lineako entrega-sistemarako sarbidea ere lor dezakete. Ondoren, entrega-egutegia atzeman eta aldaketak egin ditzakete.
3. Phishing-a
Phishing ingeniaritza sozialaren forma ezagunenetako bat da. Phishing iruzurrak biktimei jakin-mina, beldurra edo premiazko sentsazioa sor dezaketen mezu elektronikoak eta testu-mezuak dira. Testuak edo mezu elektronikoak beren gailuetan malwarea instalatuko luketen webgune edo eranskin gaiztoetara eramango luketen esteketan klik egitera bultzatzen ditu.
Esate baterako, lineako zerbitzu baten erabiltzaileek mezu elektroniko bat jaso dezakete pasahitzak berehala aldatzea eskatzen duen politika aldaketa bat izan dela dioena. Postak jatorrizko webgunearen berdina den legez kanpoko webgune baterako esteka izango du. Ondoren, erabiltzaileak bere kontuaren kredentzialak sartuko ditu webgune horretan, zilegi dena dela iritzita. Haien datuak bidaltzean, informazioa gaizkilearentzat eskuragarri izango da.
4. Spear Phishing
Pertsona edo erakunde jakin bati zuzenduta dagoen phishing-iruzur mota bat da. Erasotzaileak bere mezuak pertsonalizatzen ditu biktimari lotutako lanpostuen, ezaugarrien eta kontratuen arabera, benetakoagoak izan daitezen. Spear phishing-ak esfortzu handiagoa eskatzen du gaizkilearen aldetik, eta phishing arruntak baino askoz denbora gehiago behar du. Hala ere, zailagoa da identifikatzea eta arrakasta-tasa hobea dute.
Esaterako, erakunde batean spear phishing saiatzen ari den erasotzaile batek mezu elektroniko bat bidaliko dio enpresaren IT aholkularia ordezkatzen duen langile bati. Posta elektronikoa aholkulariak egiten duen moduaren antzekoa izango da. Hartzailea engainatzeko nahikoa benetakoa irudituko zaio. Posta elektronikoak langileari pasahitza aldatzeko eskatuko dio, bere informazioa erregistratu eta erasotzaileari bidaliko dion web-orri gaizto baterako esteka emanez.
5. Ur-zuloa
Water-holing iruzurrak jende askok aldizka bisitatzen dituen webgune fidagarriak aprobetxatzen ditu. Gaizkileak pertsona talde bati buruzko informazioa bilduko du maiz bisitatzen dituen webguneak zehazteko. Ondoren, webgune hauek ahultasunen bilakaera egingo dute. Denborarekin, talde honetako kide bat edo gehiago kutsatuko dira. Erasotzaileak kutsatutako erabiltzaile horien sistema segurura sartzeko aukera izango du orduan.
Izena animaliek ura edaten dutenean euren leku fidagarrietan bilduz egarri direnean nola edaten duten analogitik dator. Ez dute birritan pentsatu neurriak hartzean. Harrapariak horretaz jakitun dira, beraz, gertu itxaroten dute, guardia jaitsi denean erasotzeko prest. Paisaia digitalean ur-zuloa erabil daiteke aldi berean erabiltzaile zaurgarrien talde baten aurkako eraso lazgarrienak egiteko.
6. Baiting
Izenetik ageri denez, beitak biktimen jakin-mina edo gutizia pizteko promesa faltsu bat erabiltzea dakar. Biktima tranpa digital batean erakartzen da, gaizkileari bere datu pertsonalak lapurtzen edo malwarea bere sistemetan instalatzen lagunduko diona.
Baiting sareko zein lineaz kanpoko bitartekoen bidez egin daiteke. Lineaz kanpoko adibide gisa, gaizkileak malwarez kutsatutako flash drive moduan utzi dezake beita leku nabarmenetan. Hau izan daiteke xede den enpresaren igogailua, komuna, aparkalekua, etab. Flash drive-ak benetako itxura izango du, biktimak hartu eta bere laneko edo etxeko ordenagailuan sartuko du. Orduan, flash-unitateak malwarea automatikoki esportatuko du sistemara.
Lineako beita-moduek iragarki erakargarri eta erakargarrien forma izan dezakete, biktimak bertan klik egitera bultzatuko dituztenak. Baliteke estekak maltzurren programak deskargatzea, eta gero beren ordenagailua malwarearekin kutsatuko dute.
7. Quid Pro Quo
Quid pro quo eraso batek "zerbaitengatik" erasoa esan nahi du. Baiting teknikaren aldaera bat da. Biktimei prestazio baten promesarekin amutzi beharrean, quid pro quo eraso batek zerbitzu bat agintzen du ekintza zehatz bat gauzatu bada. Erasotzaileak onura faltsu bat eskaintzen dio biktimari sarbidea edo informazioaren truke.
Eraso honen ohikoena gaizkile batek enpresa bateko informatika-langile bat ordezkatzen duenean da. Gaizkilea konpainiako langileekin harremanetan jartzen da eta software berria edo sistema berritzea eskaintzen die. Ondoren, langileari birusen aurkako softwarea desgaitzeko edo software gaiztoa instalatzeko eskatuko zaio, bertsio berritzea nahi badu.
8. Tailgating
tailgating erasoari piggybacking ere esaten zaio. Gaizkileak autentifikazio neurri egokiak ez dituen toki mugatu batean sartzea bilatzen du. Gaizkilea eremura sartzeko baimena duen beste pertsona baten atzetik sartuz sar daiteke.
Adibide gisa, kriminalak eskuak paketez beteta dituen entrega-gidari baten ordez egin dezake. Baimendutako langile bat atean sartuko den zain dago. Bidaltzaile inposatzaileak atea eusteko eskatuko dio langileari, eta, horrela, baimenik gabe sartzen uzten dio.
9. Honeytrap
Trikimailu honek gaizkileak sarean pertsona erakargarri baten itxurak egitea dakar. Pertsonak bere helburuekin lagun egiten du eta haiekin sareko harremana faltsutzen du. Gaizkileak harreman hori aprobetxatzen du biktimen datu pertsonalak ateratzeko, dirua maileguan hartzeko edo malwarea beren ordenagailuetan instalatzeko.
"Honeytrap" izena emakumeak gizonei begira erabiltzen ziren espioien taktika zaharretatik dator.
10. Pikarra
Rogue software malwarearen aurkako malware, eskaner eskaner, scareware, spyware etab. Ordenagailu malware mota honek erabiltzaileak engainatzen ditu malwarea ezabatuko zuela agindu zuen software simulatu edo faltsu bat ordaintzera. Rogue segurtasun softwarea gero eta kezka handiagoa bihurtu da azken urteotan. Ustekabeko erabiltzaile bat erraz eror daiteke horrelako softwarearen harrapakin, asko eskuragarri dagoena.
11. Malwarea
Malware eraso baten helburua biktimak malwarea bere sistemetan instalatzea da. Erasotzaileak giza emozioak manipulatzen ditu biktimak malwarea bere ordenagailuetara sartzeko. Teknika honek berehalako mezuak, testu-mezuak, sare sozialak, posta elektronikoa eta abar erabiltzea dakar phishing mezuak bidaltzeko. Mezu hauek biktima engainatzen dute malwarea duen webgune bat irekiko duen esteka bat sakatuz.
Beldur taktikak erabili ohi dira mezuetarako. Zure kontuarekin zerbait gaizki dagoela esan dezakete eta zure kontuan saioa hasteko emandako estekan berehala klik egin behar duzula. Estekak fitxategi bat deskargatuko dizu eta horren bidez malwarea zure ordenagailuan instalatuko da.
Egon adi, egon seguru
Zure burua informatuta mantentzea zure burua babesteko lehen urratsa da ingeniaritza sozialeko erasoak. Oinarrizko aholku bat zure pasahitza edo finantza-informazioa eskatzen duten mezuei jaramonik ez egitea da. Zure posta-zerbitzuekin batera datozen spam-iragazkiak erabil ditzakezu mezu elektronikoak markatzeko. Birusen aurkako software fidagarri bat eskuratzeak zure sistema gehiago ziurtatzen lagunduko dizu.
