Inxhinieria sociale, pasiguria dhe mashtrimi. Kush rrezikohet më shumë? - Business Magazine Albania

Inxhinieria sociale, pasiguria dhe mashtrimi. Kush rrezikohet më shumë?

Opinion
1991

Enald Dragoti, kontributor

Siguria është një enigmë me dy anë. Nga brenda ne kërkojmë një sens, rehati dhe siguri. Nga jashtë, hajdutët, hakerat dhe vandalët mbi te gjithë edhe politikanët  janë duke kërkuar boshllëqe. Shumica prej nesh besojnë se shtëpitë e jetët tona janë të sigurta derisa një ditë, ne e gjejmë veten të mbyllur. Papritmas, perspektiva jonë zhvendoset dhe dobësitë gjenden lehtësisht. Problemi është se shumica prej nesh janë verbuar ndaj potencialit, por problemet me vetëbesimin tonë se brava të forta, dyer të trasha, a sistemi i nivelit të lartë i sigurisë dhe një qen roje janë më se të mjaftueshme për të mbajtur shumicën e njerëzve të ligj larg . 

Çfarë është në të vërtetë inxhinieria sociale?

Inxhinieria sociale (SE) është keqkuptuar kryesisht, duke çuar në shumë projeksione të ndryshme për përkufizimin e saj. Kjo ka çuar në një situatë ku disa mendojnë se SE i referohet vetëm mjeteve të përdorura nga kriminelët ose njerëzve mashtrues, ose ndoshta se është një shkence teorike, apo një art mistik i humbur prej kohësh, i cili i jep aftësi praktikuesve për të përdorur truket e fuqishme të mendjes si një magjistar ose iluzionist.

Lexo: Ekonomia sociale, e ardhmja më e mirë e botës globale

Inxhinieria sociale është akti i manipulimit të një personi ose një grupi të caktuar personash   për të ndërmarrë veprime që mund të jenë ose jo në interesin më të mirë të “shënjestrës”. Kjo mund të përfshijë marrje informacioni, marrja aksesi, ose marrja e aprovimit për të ndërmarrë veprime të caktuara.

Ajo përshkruan skemën se si shoqëria është organizuar me rregulla e dogma që nuk i shkelin, duke e quajtur si një shtëpi të rrethuar nga një gardh ku sduhet të futesh pa leje, por nga ana tjetër manipulatorët, hakerat ose inxhinierët social, me qëllime dashakeqe, kërkojnë çdo ditë nga jashtë gardhit për pika të dobëta me qëllim hyrjen në të. Ndaj vete Hadnagy është shprehur se ata brenda gardhit mund të hedhin vetëm një vështrim jashtë gardhit, pasi ata që ndërtojnë gardhe (mure) mendojnë ndryshe nga ata që kërkojnë pika të dobëta.

  • Raste të inxhinierisë sociale përdoren çdo ditë në situata të përditshme. Një punonjës që kërkon një ngritje rroge apo detyre po përdor inxhinieri shoqërore (sociale). Inxhinieria sociale ndodh në qeveri, biznes të vogël apo të madh, marketing etj. Fatkeqësisht, ajo është gjithashtu e pranishme kur kriminelët, burrat mashtrues, mashtrojnë njerëzit për të dhënë informacion që i bën ata të prekshëm ndaj krimeve. 

Mënyra më e lehtë për të fituar qasje në sistemin e një organizate është që thjesht ta kërkoni atë pa hezitim. Kompanitë punësojnë testues që të përdorin taktika të inxhinierisë sociale për të zbuluar nëse punonjësit e tyre po i ndjekin politikat e tyre të brendshme dhe nuk i zbulojnë informacionet sensitive.

Një inxhinier social është dikush që përdor aftësitë e tij mashtruese, bindëse dhe influencuese për të marrë një informacion i cili do të ishte i pamundur ta kerkoje në një situatë normale.

Nëse e njihni armikun dhe e njihni veten nuk duhet të keni frikë nga rezultatet e njëqind betejave.

—Sun Tzu

Ekzistojnë dy lloje të inxhinierisë sociale:

  • Bazuar në teknologji
  • Bazuar te njeriu

Teknikat e bazuara në teknologji

Inxhinieria sociale e bazuar në teknologji përdor teknologjinë për të futur në kurth përdoruesit që të japin informacione sensitive të kompanisë ku ai ka interes.

Dritaret Pop Up. Një shembull tipik i sulmit të bazuar në teknologji është një dritare pop-up në kompjuterin e përdoruesit që hapet në një moment të caktuar dhe i kërkon përdoruesit fjalëkalimin e tij. Për shembull, i thuhet përdoruesit që sesioni ka mbaruar edhe duhet të vendosë sërish username dhe password. 

Lexo: Kush është lideri karizmatik

Pasi përdoruesi klikon mbi butonin Submit, username dhe password dërgohen në kompjuterin e hakerit. Hakeri mund ta përdorë më vonë këtë informacion që të logohet në sistemin e viktimës. 

Instant messaging. Përdoruesit u drejtohen siteve që deklarojnë se do të ofrojnë ndihmë ose informacion, por në fakt janë të projektuara që të injektojnë programe në kompjuterat e tyre, në mënyrë që më vonë hakerat të fitojnë akses në kompjuterin dhe rrjetin me të cilin janë të lidhur.

Bashkëngjitjet në postën elektronike. Programet mund të fshihen brenda bashkëngjitjeve të mail-it, ku shpërndajnë viruse dhe u shkaktojnë dëme rrjeteve kompjuterike. 

Në mënyrë që të tërheqin përdoruesit të hapin këto bashkëngjitje, hakerat u vendosin emra që rrisin kuriozitetin dhe interesin e tyre. Shembulli i parë i këtij kombinimi të një virusi tradicional bashkë me komponentin inxhinieri sociale ishte virusi “i Love You”. Një tjetër shembull i kohëve të fundit është virusi “Anna Kournikova”. Përdoruesi mendon se duke hapur bashkëngjitjen, ai do të shikojë ndonje foto të Anna Kournikovës. Ky virus implikon një tjetër taktikë të inxhinierisë sociale. Dizenjuesit e virusit përpiqen që të fshehin prapashtesën e skedarit duke i dhënë bashkëngjitjes një emër skedari shumë të gjatë. Në këtë rast, bashkëngjitja ka emrin AnnaKournikova.jpg.vbs. Shpesh na duket nga emri që është një skedar i padëmshëm në format jpg, por në fakt ka një prapashtesë .vbs.

Mashtrimet në postën elektronike. Këto mashtrime po bëhen gjithmonë e më të përhapura. Një shembull i tyre është kur ju dërgohet një mail ku deklarohet sikur keni fituar një udhëtim në Bahamas dhe ju duhet të jepni disa “informacione thelbësore” në mënyrë që të shpërbleheni me çmimin. Fillimisht, ata të kërkojnë informacione relativisht jo të dëmshme si emrin, adresën dhe numrin e telefonit, sidoqoftë, në një mail të mëvonshëm, ata të kërkojnë informacione të kartës së kreditit.

Faqet e internetit. Një taktikë e zakonshme është që të ofrohet diçka e lirë ose një mundësi për të fituar një dhuratë në një faqe interneti. Për të fituar përdoruesit duhet të shkruajnë një adresë e-mail dhe një fjalëkalim. Shumë punonjës do të hyjnë me të njëjtin fjalëkalim që ata përdorin në punë, kështu që inxhinieri social tani ka një emër të saktë të përdoruesit dhe fjalëkalimin për të hyrë në rrjetin e një organizate. Në disa raste kjo lloj metode përdoret duke bashkëngjitur numrin e telefonit ku me anë të kësaj çdo muaj humbet kreditin tënd.

Teknikat e bazuara tek njeriu

Fuqia e Mungesës flet për një parim të quajtur mungesë. Skarciteti është i kufizuar kur njerëzve u thuhet diçka që u duhet ose dëshirojnë, por disponueshmëria për ta marrë atë duhet të jenë në përputhje me një qëndrim ose veprim të caktuar. Sot ndodh rëndom në shoqatat humanitare por edhe nga nga politikanët kryesisht në vendet e treta.

Imitimi është një nga teknikat më të zakonshme të inxhinierisë sociale dhe ekziston në disa forma. Imituesit e inxhinierisë sociale arrijnë të performojnë situata të ndodhura më parë por jo të kenë intuitë kreative, ata ndjekin me rigorozitet mënyrat e deportimeve të situatave të ndodhura më pare, duke i përshtatur në natyrën e situatës.

Janë 7 skenarë bazë ku imitimi përdoret si një sulmi i suksesshëm inxhinierik:

  1. Help desk shumë i dobishëm. Një inxhinier social telefonon tavolinën ndihmëse duke u shtirur si një punonjës. Ata thonë se kanë harruar username dhe fjalëkalimin dhe i kërkojnë tavolinës ndihmëse që t’ua japë. Një inxhinier social, zakonisht, i di emrat e punonjësve të një organizate që ai po përpiqet të depërtoj dhe mëson sa më shumë të mundet rreth personit që do përpiqet të imitojë. Tavolinat e ndihmës janë disa nga shenjestrat më të frekuentuara të inxhinierëve socialë për arsye se janë të trajnuar të ndihmojnë përdoruesit që shpesh harrojnë fjalëkalimet dhe informacione të tjera të rëndësishme mbi rrjetin.
  2. Autorizimi nga pala e tretë. Inxhinieri social mund të ketë marrë emrin e dikujt në organizatë që ka autoritetin të aksesojë informacionin. Inxhinierët socialë telefonojnë dhe deklarojnë përshembull se: Z. Big ka kërkuar që t’i jepet një informacion i caktuar. Ky sulm është pjesërisht i suksesshëm sepse sulmuesi është i vetëdijshëm që Z. Big është jashtë qytetit. Ai mund të thotë, për shembull, “Fola me Z. Big javën që shkoi, përpara se të shkonte me pushime dhe më tha që ju mund të më jepni këtë informacion në mungesë të tij.”

Lexo: Sindroma impostues që përjetojnë sipërmarrësit e rinj dhe bizneset e vogla

  1. Suporti teknik. Inxhinieri social shtiret sikur është një teknik suporti nga një prej shitësve ose kontraktorëve të kompanive të softuerëve, për të marrë informacionin. Sulmuesi shpjegon se ka një problem të rrjetit dhe e ka zvogëluar problemin në një kompjuter të caktuar. Ai thotë që ka nevojë për një ID të përdoruesit dhe fjalëkalimin e kompjuterit për të mbaruar gjurmimin e problemit. Në qoftë se përdoruesi nuk është edukuar siç duhet në praktikat e sigurisë, me gjasa do ta japi informacionin e kërkuar.
  2. Bredhja në korridore. Sulmuesi futet në ndërtesë duke u shtirur sikur është një kontraktor, klient ose personel shërbimi. Shpesh, vishen si biznesmenë ose uniformën e duhur dhe lejohen të bredhin korridoreve dhe sallave pa u vënë re. Ata kërkojnë për fjalëkalime në terminale, të gjejnë ndonjë informacion në tavolinat e punonjësve ose të përgjojnë biseda konfidenciale. 
  3. Teknik kompjuteri. Shumica e njerëzve pranojnë telefonata nga ndonjë riparues apo teknik kompjuteri pa ndonjë hezitim. Duke u shtirur si një riparues ose teknik, sulmuesi mund të vendosë një pajisje përgjimi, të shikojë për fjalëkalime të fshehura ose informacione të tjera kritike dhe të gjitha këto thjesht duke u sjellur normalisht si një person që po bën detyrën e tij. 
  4. Figurë autoritare e besueshme. Sipas inxhinierëve social, një metodë veçanërisht efikase në inxhinieri sociale të drejtëpërdrejtë është të hiqesh si një figurë autoritare e besueshme. 
  5. Posta “kërmill”. Shërbimi i zakonshëm postar mund të jetë një shteg efektiv për inxhinieret social. Është efektive për personin që po përpiqet të marrë informacion sepse është një mënyrë e lirë dhe sepse njerëzit kanë tendecën t’ju besojnë fjalëve të shkruara. Një mënyrë veçanërisht efektive për të marrë informacione personale është duke simuluar një llotari ku kërkohen këto informacione.

Mbrojtja ndaj inxhinierisë sociale 

Disa lloje kompanish janë më të prekshme nga këto lloj sulmesh sesa të tjerat. Këtu mund të përfshihen:

Kompanitë me përdorues në distancë – “telecommuters” dhe përdoruesit e aparateve celulare ka më shumë të ngjarë të mashtrohen sepse shpesh nuk identifikojmë identitetin e telefonuesit.

Kompanitë që listojnë informacione të plota të komunikimit në websitet e tyre, duke përfshirë                 e-mail, adresë dhe “voice extension” – Ky informacion është si “diamant” për një inxhinier social sepse është hapi i parë drejt kryerjes së një mashtrimi të sukseshëm.

Kompanitë që përdorin agjenci te përkohëshme për të punësuar recepsionistët e tyre – Recepsionistët janë më shumë se thjesht njerëzit që mirëpresin të tjerët në një kompani dhe përgjigjen në telefon, ata janë linja e parë e mbrojtjes ndaj inxhinierisë sociale.

Kompanitë që përdorin agjenci te përkohëshme janë më tepër në rrezik sepse ndërrimi i shpeshtë shpesh rezulton në staf të patrajnuar që nuk dinë si të dallojnë mashtimet e inxhinierisë sociale.

Kompanitë me qendra telefonike(call-centers) – Qendrat e shërbimit të klientit janë kandidatët primarë për inxhinierët socialë në kërkim të informacioneve të llogarive të klientëve.

Mbrojtja më e mirë ndaj sulmeve të SE është studimi si ta vetë-performosh inxhinierinë sociale duke njohur  vetveten, dëshirat, jetën private, informacione personale apo informacione të ndjeshme në vendin ku punon.

Lexo: 5 kërkesa për çdo inovator të madh

Mbrojtja më e mirë gjithashtu ndaj mashtrimeve të inxhinierisë sociale është trajnimi. Duhen trajnuar punonjësit mbi taktikat e inxhinierisë sociale dhe duhen dërguar njoftime të rregullta për mashtrimet. Duhet ofruar trajnim shtesë për recepsionistët, stafin ndihmës dhe përfaqesuesit e shërbimit të klientit sepse këto grupe ka më shume të ngjarë të jenë viktima të sulmeve të inxhinierisë sociale. Ky staf duhet mësuar të verifikojë identitetin e telefonuesit duke shtruar një sërë pyetjesh. Përveçse në rastet kur inxhinieri social është tepër i aftë, pas një sërë pyetjesh ai do të ndërpresë telefonatën. Pra ,stafi duhet të performojë një inxhinieri sociale të llojit të vet, duke kërkuar të zbulojë identitetin e personit të dyshuar si një inxhinier social.

Që nga viti 2015 nxisim shpirtin sipërmarrës, inovacionin dhe rritjen personale duke ndikuar në zhvillimin e një mjedisi motivues dhe pozitiv tek lexuesit tanë. Kjo punë që e bëjmë me shumë dashuri nuk ka të paguar. Ne jemi platforma e vetme e cila promovon modelin pozitiv të sipërmarrjes së lirë. Përmes kësaj platforme mbështesim edukimin gjatë gjithë jetës si mjet për zhvillimin personal dhe profesional të brezave. Kontributi juaj do të na ndihmojë në vazhdimin e këtij misioni në gjithë trevat shqipfolëse.

Mund të kontribuoni KETU. Falemnderit.

Tags:
Nga kategoria
Must watch
Business Mag Nr. #34 - Mars 2024

Për një vit të mbarë!

Viti 2024 ka nisur me sfidat dhe mundësitë e tij. Ndërsa kompanitë do të duhet të përballen me disa ndryshime ligjore dhe njëkohësisht trendet e tregjeve: si rritje çmimesh dhe rritje e kostos së fuqisë punëtore, startupet janë para mundësive dhe një klime favorizuese. Thirrje të shumta janë hapur në fushën e biznesit, kulturës dhe ideve të gjelbërta. Ndër më të rëndësishmit, programi i qeverisë për financimin e 80 startupeve në tre faza zhvillimi të tyre

Për të kuptuar rëndësinë e bizneseve të reja, veçanërisht në teknologji, mjafton të shohim që edhe sipërmarrje të konsoliduara vendase, si një grup kompanish si Balfin, kanë një vëmendje të theksuar tek startupet. Z. Samir Mane, President i këtij grupi, prej kohësh ka treguar interes, duke i mbështetur, por edhe duke investuar në një prej startupeve që pritet të sjellë revolucion në bio-inxhinieri. Vëmendja tek risia dhe inovacioni vlerësohet të jetë një nga arsyet kryesore, përse audienca jonë e zgjodhi në kompeticionin tonë të dhjetorit si Sipërmarrësi i Vitit. Në një intervistë ekskluzive, z. Mane tregon për ne copëza domethënëse nga …

Shiko më shumë
Na ndiqni në rrjetet sociale
0