Socijalni inženjering
Za organizaciju koja ima veći broj zaposlenih različitih profila, osiguranje odgovarajućeg nivoa informacione sigurnosti predstavlja velik izazov. Najefikasniji način provere ozavešćenosti i obrazovanja zaposlenih jeste sprovođenje tzv. socijalnog inženjeringa.
Socijalni inženjering je skup tehnika kojima napadač nadmudri ili uveri korisnika da izvede određenu aktivnost (npr. otvori zlonamernu elektronsku poštu, upotrebi ključ USB zaražen štetnim kodom itd.) te mu time omogući pristup poverljivim podacima organizacije. Pri tom napadač iskoristi odziv korisnika na određenu situaciju (npr. na privlačnu ponudu, poverenje, spremnost na pomoć itd.).
Poznato je više oblika socijalnog inženjeringa:
- tehničke metode
- lični kontakt
- pretnje i prisile
Za sprovođenje socijalnog inženjeringa potrebno je prikupiti mnogo informacija o organizaciji i potencijalnim metama (zaposlenim). Informacije je moguće dobiti uz pomoć javno dostupnih informacija (internet stranice, telefonski imenici itd.), posetom organizaciji ili uspostavljanjem prijateljskih kontakata sa zaposlenim.
Primeri scenarija provere zaposlenih:
- slanje »zlonamernih« elektronskih poruka
- usađivanje štetnog koda na prenosnom mediju
- postavljanje »zlonamerne« aplikacije na mobilni uređaj
- priključivanje neautorizovanog uređaja u internu mrežu organizacije
- pridobijanje informacija putem telefona, lično, klasičnom ili elektronskom poštom
- ulazak u poslovne prostore bez identifikacije na ulazu
- ulazak u zaštićeno područje davanjem identiteta drugoga
Na osnovi sprovedenih scenarija pripremi se izveštaj sa statistikom uspešnosti napada i predlozi za poboljšanje ozavešćenosti zaposlenih na području informacione sigurnosti i nadogradnju postojećih sigurnosnih mehanizama.