Marko abri Manager Security

ta jeDRUTVENO PROGRAMIRANJE?U poslednjih nekoliko godina, zbog ekspanzije visoke tehnologije, upotreba naprednih komunikacionih sistema postala je favorizovani nain za uvanje podataka, prenos novca i poslovnu komunikaciju. Razvoj internet tehnologije takoe znaio rast sofisticiranih kompjuterskih sistema zatite koji su teki za razbijanje. Umesto da pokuavaju da razbiju sistem zatite, ime bi ostvarili pristup eljenim IT informacijama, nalaze laki nain da ostvare isti cilj,odnosno da napadaju najranjiviju kariku u sistemu - ljudski faktor. Drutveni Programiranje je in manipulacije ljudima kako bi vrili eljene radnje ili otkrili poverljive informacije, provale ili korienja tehnikih hakerskih tehnika.

OSNOVNI CILJOsnovni ciljevi Drutvenog Programiranja su isti kao hakerisanje uopte: da dobije neovlaen pristup sistemima ili informacijama kako bi poinili prevaru, upad u mreu, industrijska pijunaa, kraa identiteta, ometanje sistema ili mree, prikupljaanje informacija kako bi se izvrpilo razbojnitvo ili kraa, ili jednostavno saznalo kretanje VIP osoba.

Napadi Drutvenog Programiranja, obino se fokusiraju na velikim entitetima, kao to su velike korporacije

DRUTVENO PROGRAMIRANJE Tehnike i TerminiVeina prevara Drutvenog Programiranja se izvodi telefonski kako bi se izbegao direktan kontakt sa rtvom. Sve tehnike Drutvenog Programiranja su zasnovane na odreenim osobinama ljudskog odluivanja i koriene su u raznim kombinacije za kreiranje tehnike napada, od kojih su neke navedene ovde: Pretexting Kraa Skretanjem Phishing Interaktivni govorni automat (IVR) ili telefonski phishing Anketa etva lozinki

DRUTVENO PROGRAMIRANJE PretextingPretexting je akt stvaranja i korienja smiljenog scenarija (predprie) da ubedi ciljanu rtvu da otkrije eljenu informaciju ili izvri odreenu radnju i obino se obavlja telefonom. To je vie nego jednostavno la, jer najee ukljuuje neka predhodna istraivanja ili podeavanja i korienje dela poznatih informacija (npr. datum roenja, adresa, iznos poslednjeg rauna) kako bi se izgradila legitimitmnost i dobilo poverenje rtve. Pretexting takoe moe koristiti imitiranje saradnika, policije, banke, poreskih organa, ili vetaka osiguranja - ili bilo kog drugog pojedinca za koje smatraju da imaju autoritet ili pravo da dobije informaciju u umu ciljane rtve.

Pretexter jednostavno mora da pripremi odgovore na pitanja koje je moguno da rtva postavi i da zvui autoritativno.

DRUTVENO PROGRAMIRANJE Kraa SkretanjemKraa Skretanjem je takoe poznata kao Corner Gameili Okolo-naokolo Ukratko, kraom skretanjem se bave profesionalni lopovi, i rtve su najee transportne ili kurirske kompanije. Cilj im je da ubedi osobu odgovornu za legitimnu isporuku da je tovar neophodno isporuiti na drugom mestu. Kada je tovar preusmeren, lopovi ubeuju vozaa da odmah izvri istovar ili pretovar tovara jer odmah izlazi ili je hitno potreban na drugom mestu.

DRUTVENO PROGRAMIRANJE PhishingPhishing je tehnika dobijanja privatnih informacija. Obino, phisher alje e-mail poruku koja izgleda kao da dolazi iz legitimnih poslova, banke ili kompanija za kreditne kartice (Visa, Master, American Express...) traei potvrdu informacija i upozorenje na neku posledicu ako se ta potvrda informacija ne obezbedi. E-mail poruka najee sadri link na web stranicu koja izgleda legitimno, sa logotipima te kompanije i sadraj i obrazac zahteva unos podataka od kune adrese do PIN koda za platnu karticu

DRUTVENO PROGRAMIRANJEInteraktivni govorni automat (IVR) ili telefonski phishingOva tehnika sistem Interaktivnog Govornog automata (IVR) kako bi prikazala realnu kopiju legitimnog interaktivnog govornog automata banke ili neke druge institucije. Od rtve se zahteva (obino putem phishing e-mail poruke) da pozove banku preko (idealno besplatnog) broja obezbeenog kako bi se potvrdile informacije o rtvi unosom PIN koda ili lozinke vie puta, a esto i vie razliitih lozinki.

Neki od ovih sitsema su napravljeni tako da prebacuju poziv rtve do napadaa kojise predstavlja kao legitimni operater korisnikog centra i nastavlja prikupljanje informacija.

DRUTVENO PROGRAMIRANJE AnketaPretvarajui se da sprovodi istraivanje trino za neku kompaniju nevladinu organizaciju..., pitanjima koja bi mogla da zvue legitimno (npr. O prehrambenim proizvodima, robi iroke potronje, politici ili ekonomiji, itd.), napada prelazi na pitanja kojima e dobiti eljene informacije : ivite li u stanu ili kui? ivite li sami ili sa porodicom? Da li radite u smenama, imate reedovno radno vreme ili esto ostajte prekovremeno? Da li je va meseni prihod nii od 500 evra, izmeu 500 i 1000 evra, izmeu 1000 i 2000 evra, iznad 2000? Itd.

DRUTVENO PROGRAMIRANJE etva LozinkiVeoma jednostavan nain dobijanja pristupa lozinkama je navesti rtvu da daa ili napie lozinku. Npr. da se registrujete na zanimljiv website (reklama se alje phishing e-mail proukom) Osnovna slabost je to veina korisnika esto ponavljaju korienje jedne jednostavne lozinke na svaki nalog: yahoo, hotmail, Gmail, AOL .... Dakle, kada haker ima jednu lozinku, onda verovatno moe da je koristi za vie naloga. Jedan od naina na kojima su hakeri poznati je da dobiju ovu vrstu lozinka kroz on-line obrazac: mogu poslati neke vrste informacija i traiti korisniku da unese svoje ime(ukljuujui e-mail adresu - i ponekad ak i dobiti korporativni nalog da osobe kao i lozinku).

PMI Korporativno Bezbednosno UPOZORENJENeidentifikovani pozivaoci bilo muki bilo enski traili su da razgovaraju sa viim rukovodiocima filijale (npr. Genarlnim Direktorom ili Direktorom Proizvodnje) obino traei ih po imenu. U nekom trenutku, pozivalac je izjavljivao da je on/ona, asistent Senior Executive-a u Lozani ili asistent vieg rukovodioca druge filijale ili Menader/Direktor iz Lozane traei da hitno razgovara sa osobom koju trai. It has been reported that the callers always justify their request stating for example: they are at the airport, their BlackBerry is not working, they cannot get hold of phone numbers, the number that they have does not appear to work, or it is very urgent. Prijavljeno je da takvi pozivaoci uvek opravdavaju svoj zahtev izjavljujui da: se nalaze na aerodromu Njihov Blackberry nema signala ili ne radi Ne mogu da pristupe brojevima telefona Broj koji oni imaju izgelda ne radi ili stalno daje zauzee Jako im je hitno... Razume se, kada im je zatraeno da potvrde svoj identitet ili daju broj mobilnog ili telefona u kancelariji, pozivaoci su postajali drski, odbijajui da daju takvu informaciju i prekidali su vezu.

Korporativna Bezbednost preporuuje zaposlenima PMI, privremeno zaposlenima kao i zaposlenima kod treih lica da ne daju ikakve poslovne informacije, line i privatne podatke pozivaocima za koje nije potvreno da su legitimni.

Da i NeNe otkrivajte slubene, line ili privatne informacije sve dok ne proverite i potvrdite indentitet pozivaoca i ne utvrdite da ima legitiman razlog da dobije i da mu date takve informacije. Ne dajte informacije pozivaocu potvrujui ili negirajuu neije prisustvo, sadanju ili buduu lokaciju na kojoj se nalazi ili radno mesto. Ne ispravljajte izjave pozivaoca koje se odnose na neije prisustvo, sadanju ili buduu lokaciju na kojoj se nalazi ili radno mesto.

DA i NeProverite identitet pozivaoca uzimajui njihove kompletne podatke, brojeve mobilnog telefona, centrale na radnom mestu i dogavarajui vreme povratnog poziva. Za sumljive pozivaoce koji tvrde da su PMI zaposleni, rukovodioci ili direktori, tokom razgovora, proverite njihovo ime i detalje kontakta koristei PMI Worldwide telefonski imenik i obavestite ih da e te ih kontaktirati. Ukoliko ne uspete da potvrdite identitet pozivaoca obratite panju na sledee detalje:ensko ili Muko Akcent, dikcija, karakteristini osobine, Da li je poziva samouveren, nervozan, drzak ili neljubazan, Informacije koje daju, npr. ime, broj telefona. Koju informaciju je pzivalac pokuavao da dobije? Npr. imena PMI zaposlenih, organizacionu strukturu, telefonske brojeve, specifikacije proizvoda, aktivnosti, Pretekst korien da bi se traila informacija : npr. Na aerodromu su, ne radi im BlackBerry, ne mogu da pristupe brojevima, broj koji imaju izgleda ne funkcionie, jako je hitno... Zvuci u pozadini (saobraaj, avioni, vozovi, maine, muzika, deca, ivotinje..)

Pitanja i Odgovori

Hvala Vam