Social Engineering

iDevice ikoon Eelteadmised

Social Engineering - inimeste loomupärase abivalmiduse ärakasutamine info saamiseks (dokument, või soovitava käitumise nt turvamehe poolt ukse avamise esilekutsumiseks).

Social Engineering - inimestega manipuleerimine teatud käitumise esilekutsumiseks või konfidentsiaalse teabe avaldamiseks (Wikipedia).

Kuidas Social Engineering'ut tehakse?

  • Hoolikas ettevalmistustöö (andmete kogumine)
  • Kontakt ja rünnatavas huvi tekitamine ja kahtluste ette hajutamine
  • Sageli kasutatakse teemast täiesti mööda tühjast-tähjast rääkimist, et rünnatava valvsust uinutada
  • Teine äärmus - vihastatakse rünnatav äärmuseni välja
  • Kasutatakse ka ülekoormust, kurnatud rünnatav muutub haavatavaks
  • Finaal: kontrollküsimus ja siis otserünne. Mõnikord kohe rünnatakse ja seejärel lubatakse kontakti jätkata
  • Kontakt lõpetatakse ja ründaja kaob

Kaitse Social Engineeringu eest

  • Ründaja teab üldjuhul kõiki manipuleerimise võtteid ja valib sealt endale info hankimiseks sobivaima!
  • Ründe ohvriks langedes pidage meeles, TE EI OLE ÜKSI! Pidage nõu, võtke aega otsustamiseks
    Püüdke jätta lisakontaktivõimalus (tagasihelistamine, meiliga kinnitus, äärmisel juhul andke osaline informatsioon, millest kõige tähtsam komponent puudub)
  • Säilitage kõik asitõendid
  • Teatage esimesel võimalusel rünnakust ja ärge varjake midagi! Te ei ole süüdi milleski!

Näide 1  (Vestlus kräkkeri A ning „rumala" sekretäri B vahel social engineeringu halvaloomulisest kasutusviisist:)

A: Tere, kas Mari on täna tööl?
B: Ei ole, ta on puhkusel kaks päeva... Kas ma saan talle sõnumi jätta?
A: Ah vist ei ole vaja.... Helistan hiljem ise talle... Ma olen ta vend, ta palus mul eile kontorist mõned dokumendid välja printida aga ta ütles parooli valesti... Ma ei saa sisse.
B: Aaa selge, see on Kollane2009, suure K'ga.
A: Oi aitäh, ma vist kirjutasin väikese k'ga. Ole tänatud!

Näide 2:

 

Näide 3

  • Vladimir Tšaštšin korraldas süüdistuse järgi 2001. aasta novembris mitmete isikute nimel Eesti Ühispangas arvelduskontode avamise ning edastas andmed kaasosalisele, kes tungis interneti teel internetikaubamajade maksesüsteemidesse, muutes seal makseid puudutavaid andmeid
  • Seetõttu krediteeris pank valeinformatsiooni tõttu üle 1,3 miljoni krooni ulatuses alusetult mitmeid arvelduskontosid.
  • 2002. aasta jaanuaris püüdis mees sama skeemi kasutades Hansapanga pangakaartidega nii enda kui variisiku nimel petta välja ligi 1,4 miljonit krooni. Panga töötajate sekkumise tõttu pank kahju ei kannatanud
  • Kelmuse tulemusena saadud vara tegeliku omaniku ja ebaseaduslikku päritolu varjamiseks liigutas süüdistatav raha mitmete erinevate isikute arvete vahel ning võttis sularaha osade kaupa välja
  • Arvutikelmuse ja rahapesu tulemusena sai Tšaštšin sularahas enda kasutusse 609 890 krooni võõrast vara
  • Samuti süüdistatakse Tšaštšinit 2001. aasta sügisel teise isiku nime, andmete ja allkirja võltsimises välispangas arve avamiseks ning muude finantsteenuste kasutamiseks
  • Dokumentide võltsimise ja võltsitud dokumentide kasutamise süüdistuse võttis Tšaštšin omaks, muid kuriteosüüdistusi mitte (EPL)

Näide 4:
Raplas SEB pangakontoris inkassaatorina esinenud kurjategija sai saagiks ligi kolm miljonit krooni. (04. november 2009)