„Toate greșelile gramaticale și/sau de tipar prezente pe acest blog cred că sunt intenționate. Vă rog, nu le stricați visul. Mulțumesc.”

Social engineering, si cum e asta o problema

 Nu, nu exista termen in Romana pentru conceptul pe care am de gand sa il prezint mai jos, asa ca o sa trebuiasca sa ma suportati asa, cu termeni in Engleza. Vorba aia, "deal with it". Social engineering e o forma de manipulare sociala. Si cum nu am un termen mai bun pentru asta, asa am de gand sa ii zic de acum incolo, asa ca fiti pe faza.

 Manipularea sociala este arta de a manipula anumite persoane cu scopul de a obtine anumite date confidentiale despre acestea sau despre locurile la care au acces, fara voia lor si fara ca ele sa isi da seama decat atunci cand e prea tarziu. E posibil ca multa lume sa fi avut experiente de genul la un anumit moment in viata. Ganditi-va la mail-urile acelea pe care le primea toata lumea de la un mare seic din Orientul Mijlociu, care avea nevoie de o metoda sa-si trimita banii in tara si te-a gasit pe tine, o persoana necunoscuta lui, sa il ajuti. Tot ce avea nevoie el era numarul tau de cont si cateva date personale, pentru a iti vira o suma de bani in cont, pe care tu urma sa o virezi altundeva, pastrand desigur o parte din ei ca si profitul tau. Sau mail-urile primite din partea avocatul rudei aceea de mult pierduta pe care tu nu o cunosteai insa care ti-a lasat o suma mare de bani ca si mostenire printr-un testament fantoma.

 E clar ca pentru unii acestea pareau a fi doar incercari puerile de a obtine date personale. Insa oricat de pueril ar parea, unii au cazut in plasa asta. Si vina era a lor in totalitate. Probabil unii chiar se gandesc acum : "Pff, ce fraier. Nu as fi cazut niciodata in plasa aceea". Insa ati fi surprinsi de cate poate obtine cineva de la voi prin simpla manipulare. Manipularea sociala se bazeaza pe lipsa de informatii si pe informatii false care la acel moment pareau cat se poate de veridice. Sa ne gandim la un scenariu. Lucrezi la o companie mare. La un anumit moment te suna cineva care pretinde a fi de la suport tehnic, spunand ca te apeleaza pentru a iti raspunde la o cerere facuta mai devreme. Desigur, tu poate ca nu ai facut nici o cerere celor de la suport tehnic insa sunt sanse ca cineva sa fi facut asta. Iar cel in cauza va primi exact acelasi telefon de la "suportul tehnic" si intr-un final va divulga date care in teorie cel putin ar fi trebuit sa fie confidentiale.

 Toate acestea sunt situatii care cel putin in teorie sunt evitate usor. Totusi, realitatea difera de teorie, fenomenul de "Social Engineering" fiind o metoda aparent foarte eficienta de a obtine informatii confindentiale in cele mai multe cazuri. Si totusi, cum ne putem feri de asta ?

 Avand in vedere ca fenomenul in sine e de cele mai multe ori intalnit si folosit in cazul organizatiilor, e de preferat ca angajatii sa fie instruiti foarte bine in materie de securitate. Pe langa asta, toate informatiile, fie ele importante sau nu trebuiesc manuite cu grija. Nu stii niciodata cine-ti cauta prin tomberon, sperand sa-ti gaseasca ultima factura a cardului de debit. Si, daca tot vorbim de tomberoane, nu strica sa puneti si un lacat pe ele. Doar fiindca esti paranoic nu inseamna ca ei nu vin dupa tine.

 Si ca sa parafrazez un fost criminal, actual consultant de securitate, de obicei e mult mai usor sa obtii o parola pentru un sistem prin manipularea persoanei potrivite, decat sa incerci sa spargi sistemul de unul singur.

Niciun comentariu:

Trimiteți un comentariu