Shkruar nga ENALD DRAGOTI
Kriminelët edhe mashtruesit gjithmonë do të kërkojnë rrugën e rezistencës më të vogël. Kjo është arsyeja pse inxhinieria sociale – akti i ‘hakimit’ të njerëzve – shpesh është mënyra e zgjedhur e kriminelit në organizata. Këto metoda nuk janë plotësisht të gjitha format që një inxhinier social përdor për të arritur qëllimin. Duhet të dini që një inxhinier social mund të përdorë një ose një mori metodash, që synimi i tyre të përmbushet, prandaj ky artikull ju shërben të gjithëve si një hyrje më në brendësi mbi metodat dhe botën e inxhinierisë sociale.
Wshtë shumë më e lehtë të shfrytëzosh besimin që njerëzit kanë tek të tjerët sesa të zbulosh mënyra për të hyrë në ndërtesa ose për të sulmuar sisteme të forta dhe të sigurta.
Ky artikull ka të bëjë më shumë me aftësitë emocionale që përdorin inxhinierët socialë sesa aftësitë e tyre teknike, sepse aftësitë emocionale janë shumë më të fuqishme, më të vështira për t’u mbrojtur dhe shpesh lënë pak gjurmë. Gjithmonë më ka magjepsur se sa i lehtë dhe i fuqishëm është ky lloj sulmi dhe gjatë viteve, kam studiuar shumë nga protagonistët e njohur.
Inxhinieria sociale ka qenë pjesë e strukturës së ndërveprimit njerëzor. Mënyra më e thjeshtë dhe e lehtë për të shpjeguar këtë aftësi të nënvlerësuar është “aftësia për të bindur një person ose grup personash që kërkesat tuaja janë të sakta ose të pranueshme”. Inxhinieria sociale është një formë arti dhe, si çdo tjetër, duhet praktikuar çdo ditë për ta përsosur. Disa nga inxhinierët më të mëdhenj të shoqërisë janë të njohur për aftësinë e tyre, jo vetëm për të bindur njerëzit, por edhe aftësinë e tyre për t’u përshtatur dhe përvetësuar në çast në varësi të situatës.
Një mënyrë tjetër për të shpjeguar aftësitë e përfshira në të qenit një inxhinier social është të kuptosh se si specializimi përdoret në shumë forma. Sa të ndjeshëm janë punonjësit e një kompanie ndaj inxhinierisë sociale? Që nga viti 2020, në 95% të të gjitha testeve, është arritur të merret informacion, duke përdorur teknika të inxhinierisë sociale.
Profesione që kërkojnë aftësi të inxhinierisë sociale:
Oficerët e inteligjencës, hetuesit privatw, oficerët e policisë, politikanët, shitësit, bixhozxhinj profesionistë, hipnotizuesit, magjistarët.
Lista e mësipërme nuk është shteruese dhe mund t’ju befasojë, ju jep një ide të mirë se sa janë të përhapura aftësitë e inxhinierisë sociale. Vetëm kur merrni parasysh rolet e shumta që luan inxhinieria sociale në jetën e përditshme, filloni të kuptoni fuqinë që vjen me të.
Inxhinierët socialë përdorin një numër teknikash për të manipuluar synimet e tyre, por të gjithë mbështeten në përdorimin e dobësisë njerëzore – emocionet tona – për të pasur sukses. Teknikat e programimit neuro-gjuhësor përdoren për të krijuar një lidhje personale dhe një atmosferë të pëlqyeshmërisë dhe besimit. Kjo arrihet duke pasqyruar gjuhën e trupit të shënjestrës, ritmin e frymëmarrjes, zërin dhe fjalorin, dhe do të mundësojë që hakeri të marrë në mënyrë delikate kontrollin e bisedave dhe të manipulojë emocionet e njerëzve.
Inxhinierët socialë e kuptojnë që njerëzit kujdesen më shumë për veten e tyre: duke pezulluar egon e tyre dhe duke e përfshirë objektivin në biseda për veten e tyre, ata do t’i japin objektivit një ndjenjë të vetë-rëndësisë dhe, rrjedhimisht, një dëshirë për të kaluar më shumë kohë me infiltruesin. Një armë tjetër kryesore që një inxhinier social mund të përdorë është tërheqja seksuale. Endorfina që lëshohet gjatë shkëmbimeve ku ka tërheqje dhe flirt do të bëjë që objektivat të jenë më të prekshëm dhe më pas të japin informacione të ndjeshme në mënyrë më të lirë. Tërheqja seksuale është një armë e fuqishme dhe kur përdoret në mënyrë efektive, shanset për manipulim të suksesshëm të një objektivi rriten masivisht. Por, duhet kuptuar se inxhinierët socialë, jo gjithmonë përdorin një qasje miqësore ose simpatike për të marrë atë që duan; ata mund të luajnë në një numër emocionesh njerëzore në mënyrë që të manipulojnë synimet e tyre.
Format e tjera të sulmit
Kompensim
Sulmet quid pro quo i premtojnë viktimës një përfitim në këmbim të informacionit. Ky lloj sulmi shpesh përfshin njerëz që paraqiten si mbështetje teknike. Ata do të bëjnë thirrje të rastësishme për punonjësit brenda një kompanie, duke deklaruar se po kontaktojnë ata për një çështje urgjente (“laptopi juaj është prishur; instaloni programin e ri tani për të parandaluar dëmtime të mëtejshme”) ose, nëse ata kanë manipuluar fizikisht rrugën e tyre në vetë organizata, ata mund të shkojnë dhe të flasin me objektivin personalisht dhe thjesht të thonë: “Më duhet fjalëkalimi juaj që të mund të ndihmoj në mbrojtjen e PC tuaj nga shkeljet e sigurisë.”
“Bot”-dashakeqët shpesh janë përgjegjës për sulmet tepër të sofistikuara dhe shkatërruese të inxhinierisë sociale. Këto bot mund të infektojnë shfletuesit e faqeve dhe të përdorin kredencialet e rrjetit social të ruajtura në shfletues për të dërguar mesazhe të infektuara te miqtë. Ata mund të jenë në rrjetet tuaja sociale, të tilla si Facebook, duke u paraqitur si miq, por përkundrazi do të heqin të dhënat tuaja ose do të ndikojnë në vendimet tuaja me pikëpamje bindëse.
Roje Hack off
Ky lloj sulmi ndodh në tokë të përbashkët, të tilla si në një bar, kafene apo në një tren. Sulmuesi ka bërë kërkimet e tij dhe zbulon se ku do të jetë zakonisht shenjestra. Një bar është një nga vendet më efikase për të bashkëvepruar me objektivin, pasi objektivi do të jetë më i relaksuar dhe pengesat do të bien për shkak të konsumit të alkoolit. Kur fusni tërheqjen seksuale në mes, inxhinieri social mund të manipulojë qëllimin për të shkëmbyer informacion me objektivin.
Karremi është kali Trojan i botës kibernetike: ai përdor pajisje fizike dhe mbështetet në kureshtjen njerëzore. Për shembull, nëse lini një disk USB mbi tavolinën e një zyre, ka shumë të ngjarë që dikush ta marrë atë dhe ta fusë në kompjuterin e tij. Pasi kjo pjesë e pajisjes të jetë futur në një kompjuter, i cili ka më shumë gjasa të jetë i lidhur me një rrjet më të madh, ngarkesa e dëmshme aktivizohet dhe do të përhapet si zjarr në rrjet. Të dhënat që mbahen në atë rrjet dhe çdo rrjet lidhës tani janë në duart e sulmuesit.
Rrobaqepësi (ose ‘fundori’) është kur dikush që nuk ka vërtetimin e duhur fiton qasje në një zonë të kufizuar. Ata do të fitojnë akses duke shfrytëzuar gatishmërinë e njerëzve për të ndihmuar të tjerët, të tilla si mbajtja e një dere të hapur për një të huaj ose lejimi i një individi të dëshpëruar të marrë hua telefonin tuaj. Inxhinierët socialë shpesh do të gjejnë vendndodhje të jashtme shoqërore, të tilla si një zonë pirje duhani dhe të fillojnë bisedat me synimet para se t’i ndjekin përsëri në ndërtesë.
Mbledhja e informacionit
Në mënyrë që një inxhinier social të jetë i suksesshëm, ai gjithmonë do të fillojë me mbledhjen e informacionit para se të angazhohet me synimin e tij. Interneti mban një mori informacionesh mbi organizatat dhe individët – një kërkim i shpejtë në Google do t’ju tregojë personelin kryesor që ia vlen të synoni. Uebfaqet e mediave sociale si Facebook, Instagram dhe LinkedIn do të mbajnë detaje personale në lidhje me mendimet, hobet, miqtë dhe familjen e synuar dhe vendet e preferuara për të ngrënë dhe pirë. Shpesh hakeri do të fillojë me miqtë ose familjen e shënjestrës dhe në këtë mënyrë manipulon rrugën e tij ose të saj në caqet e besueshme të rrethit. ‘Dumpster diving’ është një mënyrë tjetër që një haker të mbledhë informacione. Megjithëse kalimi nëpër mbeturina nuk është mënyra më joshëse për ta bërë këtë, artikujt që njerëzit hedhin mund të jenë pluhur ari për një inxhinier social.
Lexo: Si do të jetojmë ne bashkë?
Pra, si e siguroni organizatën tuaj nga sulmet e inxhinierisë sociale?
Gabimi njerëzor është hallka më e dobët në çdo organizatë. Një kompani mund të ketë të gjitha sistemet e alarmit dhe softuerin anti-virus në treg, por nëse një punonjës jep me dëshirë informacion, teknologjia juaj e mbrojtjes do të bëhet e padobishme. Kjo është arsyeja pse mbrojtja më e fortë ndaj çdo skeme të inxhinierisë sociale është arsimi dhe trajnimi: sulmet e inxhinierisë sociale nuk synojnë vetëm drejtorët ose ekipet tuaja të menaxhimit, ato synojnë recepsionistin, stafin e mirëmbajtjes, rojën në portë. Punonjësit në çdo nivel të çdo organizate duhet të arsimohen në taktikat e përdorura zakonisht dhe çfarë të bëjnë nëse mendojnë se kanë rënë viktimë.
Sulmet emocionale
Bindja. Nga mosha e re ne jemi të kushtëzuar t’u bindemi atyre që i perceptojmë si të një statusi më të lartë dhe me autoritet më të madh se vetja. Viktimat e teknikave të inxhinierisë sociale rrallë do të vënë në dyshim një figurë autoriteti për këtë arsye. Ata mund të jenë të veshur me një ID në dukje të saktë, duke përdorur emrat e menaxherëve të lartë që keni dëgjuar dhe të përmendin me hollësi se pengesat tuaja mund t’ju kushtojnë punën tuaj. Ju do të habiteni se sa e suksesshme mund të jetë kjo teknikë e thjeshtë në bindjen e shumë njerëzve për të dorëzuar informacionin që ata dëshirojnë. Kjo teknikë e thjeshtë gjithashtu punon për policinë, zjarrfikjen, ambulancën, ekipet e rigjenerimit në rrugë, stafin e hotelit etj.
Frika, tjetër faktor që mund t’i nxisë njerëzit të bëjnë gjëra që nuk do të mendonin t’i bënin nën ndikimin e ndonjë emocioni tjetër; njerëzit do të veprojnë jashtë karakterit për t’u larguar nga situata që i bën ata të ndiejnë frikë. Kjo mund të jetë një situatë aq e thjeshtë sa marrja e një thirrje telefonike, duke deklaruar se: “Llogaria juaj bankare është komprometuar dhe ne duhet ta transferojmë atë në një zonë të sigurt që të merren më para nga llogaria juaj.” Sulmuesi përdor frikën dhe urgjencën për të ngatërruar dhe dobësuar synimin e tij dhe është i suksesshëm në shumë raste.
Epshi mund të marrë shumë forma: epshi për pushtet, për para ose për seks. Eshtë një dëshirë e fortë, intensive dhe egoiste, dhe inxhinierët socialë mund ta përdorin këtë në avantazhin e tyre.
Mirësia Për shumicën e njerëzve, është pjesë e natyrës së tyre të dëshirojnë të ndihmojnë të tjerët që ata i perceptojnë se janë në nevojë. Kjo dëshirë për të përmirësuar jetën e të tjerëve në një farë mënyre të vogël mund të shihet në një gjest aq i thjeshtë sa ndryshimi i gjendjes së një personi të pastrehë në rrugë. Sidoqoftë, kjo dëshirë mund të përfitohet. Imagjinoni, për shembull, një grua që futet shpejt në ndërtesën ku punon, duket e stresuar dhe e mërzitur dhe bërtet me dëshpërim duke thënë: «Kam harruar kartën e hyrjes dhe jam kaq vonë për takimin tim! A do të lutem të më lejosh të kaloj? ” Do ta besh? Shumica e njerëzve ndoshta do ta bënin.
Zemërimi Njerëzit do të priren të heqin dorë nga rruga e tyre për të shmangur konfrontimin. Nëse jeni mjaft i zemëruar, ose mesatarisht nuk ka gjasa të ndalë. Njerëzit thjesht duan të largohen nga prania e një personi të zemëruar.
Kuriozitet Një teknikë tjetër e inxhinierisë sociale është e bazuar në tiparin njerëzor të kuriozitetit. Karakteristika e tij kryesore është premtimi për diçka interesante ose të dobishme që hakerat përdorin për të mashtruar viktimat.
Sulmet Phishing Ekzistojnë shumë lloje të sulmeve të mashtrimit (për shembull, gjuetia e balenave dhe mashtrimi i shtizave), por të gjitha janë një formë e mashtrimit në internet në të cilën sulmuesi përpiqet të fitojë informacione, siç janë kredencialet e hyrjes ose informacionet e llogarisë, duke u maskuar si një entitet i besueshëm ose personi përmes postës elektronike.
Sulmet phishing janë vektori i sulmeve që shfrytëzohen më shpesh dhe përbëjnë 90% – 95% të të gjitha sulmeve kibernetike të suksesshme (IRONSCALES, 2017). Vetëm rreth 3% e malware drejtuar nga email phishing përpiqet të shfrytëzojë një defekt teknik, ndërsa 97% tjetër po përpiqet të manipulojë përdoruesin përmes një lloji të inxhinierisë sociale (Sjouwerman dhe Mitnick, 2017). Sipas një deklarate të lëshuar nga Departamenti i Drejtësisë, dy nga gjigandët më të mëdhenj të teknologjisë ranë viktima të një mashtrimi me email që u kushtoi afërsisht 100 milion dollarë (Statt, 2017).Sulmet e suksesshme të mashtrimit shpesh ndjekin formatin e mëposhtëm: “Llogaria juaj bankare është thyer! Klikoni këtu për t’u identifikuar dhe verifikuar llogarinë tuaj. ” Ose, “Ju nuk keni paguar për artikullin që keni blerë së fundmi në Amazon. Ju lutemi klikoni këtu për të paguar. ”
Këto lloje të postave elektronike krijojnë një ndjenjë urgjence dhe frike që bën që viktima të veprojë shpejt dhe të klikojë në lidhjen pa marrë parasysh më tej. Email-i phishing zakonisht do t’i drejtojë viktimat në një faqe interneti të mashtruar për t’i dhënë atyre që të japin informacionin e ndjeshëm
Që nga viti 2015 nxisim shpirtin sipërmarrës, inovacionin dhe rritjen personale duke ndikuar në zhvillimin e një mjedisi motivues dhe pozitiv tek lexuesit tanë. Kjo punë që e bëjmë me shumë dashuri nuk ka të paguar. Ne jemi platforma e vetme e cila promovon modelin pozitiv të sipërmarrjes së lirë. Përmes kësaj platforme mbështesim edukimin gjatë gjithë jetës si mjet për zhvillimin personal dhe profesional të brezave. Kontributi juaj do të na ndihmojë në vazhdimin e këtij misioni në gjithë trevat shqipfolëse.
Mund të kontribuoni KETU. Falemnderit.