Social Engineering
Social Engineering - inimeste loomupärase abivalmiduse ärakasutamine info saamiseks (dokument, või soovitava käitumise nt turvamehe poolt ukse avamise esilekutsumiseks).
Social Engineering - inimestega manipuleerimine teatud käitumise esilekutsumiseks või konfidentsiaalse teabe avaldamiseks (Wikipedia).
Kuidas Social Engineering'ut tehakse?
- Hoolikas ettevalmistustöö (andmete kogumine)
- Kontakt ja rünnatavas huvi tekitamine ja kahtluste ette hajutamine
- Sageli kasutatakse teemast täiesti mööda tühjast-tähjast rääkimist, et rünnatava valvsust uinutada
- Teine äärmus - vihastatakse rünnatav äärmuseni välja
- Kasutatakse ka ülekoormust, kurnatud rünnatav muutub haavatavaks
- Finaal: kontrollküsimus ja siis otserünne. Mõnikord kohe rünnatakse ja seejärel lubatakse kontakti jätkata
- Kontakt lõpetatakse ja ründaja kaob
Kaitse Social Engineeringu eest
- Ründaja teab üldjuhul kõiki manipuleerimise võtteid ja valib sealt endale info hankimiseks sobivaima!
- Ründe ohvriks langedes pidage meeles, TE EI OLE ÜKSI! Pidage nõu, võtke aega otsustamiseks
Püüdke jätta lisakontaktivõimalus (tagasihelistamine, meiliga kinnitus, äärmisel juhul andke osaline informatsioon, millest kõige tähtsam komponent puudub) - Säilitage kõik asitõendid
- Teatage esimesel võimalusel rünnakust ja ärge varjake midagi! Te ei ole süüdi milleski!
Näide 1 (Vestlus kräkkeri A ning „rumala" sekretäri B vahel social engineeringu halvaloomulisest kasutusviisist:)
A: Tere, kas Mari on täna tööl?
B: Ei ole, ta on puhkusel kaks päeva... Kas ma saan talle sõnumi jätta?
A: Ah vist ei ole vaja.... Helistan hiljem ise talle... Ma olen ta vend, ta palus mul eile kontorist mõned dokumendid välja printida aga ta ütles parooli valesti... Ma ei saa sisse.
B: Aaa selge, see on Kollane2009, suure K'ga.
A: Oi aitäh, ma vist kirjutasin väikese k'ga. Ole tänatud!
Näide 2:
Näide 3
- Vladimir Tšaštšin korraldas süüdistuse järgi 2001. aasta novembris mitmete isikute nimel Eesti Ühispangas arvelduskontode avamise ning edastas andmed kaasosalisele, kes tungis interneti teel internetikaubamajade maksesüsteemidesse, muutes seal makseid puudutavaid andmeid
- Seetõttu krediteeris pank valeinformatsiooni tõttu üle 1,3 miljoni krooni ulatuses alusetult mitmeid arvelduskontosid.
- 2002. aasta jaanuaris püüdis mees sama skeemi kasutades Hansapanga pangakaartidega nii enda kui variisiku nimel petta välja ligi 1,4 miljonit krooni. Panga töötajate sekkumise tõttu pank kahju ei kannatanud
- Kelmuse tulemusena saadud vara tegeliku omaniku ja ebaseaduslikku päritolu varjamiseks liigutas süüdistatav raha mitmete erinevate isikute arvete vahel ning võttis sularaha osade kaupa välja
- Arvutikelmuse ja rahapesu tulemusena sai Tšaštšin sularahas enda kasutusse 609 890 krooni võõrast vara
- Samuti süüdistatakse Tšaštšinit 2001. aasta sügisel teise isiku nime, andmete ja allkirja võltsimises välispangas arve avamiseks ning muude finantsteenuste kasutamiseks
- Dokumentide võltsimise ja võltsitud dokumentide kasutamise süüdistuse võttis Tšaštšin omaks, muid kuriteosüüdistusi mitte (EPL)
Näide 4:
Raplas SEB pangakontoris inkassaatorina esinenud kurjategija sai saagiks ligi kolm miljonit krooni. (04. november 2009)