Manipulacijom do informacija

Manipulacija u svom osnovnom i najstarijem obliku koristi govor, živu reč, sa ciljem uveravanja suprotne strane u neke činjenice i to na način na koji se zaobilazi istina, uz upotrebu svih raspoloživih sredstava uveravanja u izrečeno. Opravdano se može reći da je manipulacija jedan od najstarijih načina stizanja do nekog cilja putem interaktivnog odnosa dveju ili više osoba. Prve korene ove veštine srećemo u formi retorike, na tlu antičke Grčke, gde je presudnu ulogu u nastajanju ove veštine imala sudska praksa. Cilj uveravanja je bio ubediti sudije i porotnike u krivicu ili nevinost optuženog. Od veštine govornika je zavisila verodostojnost njihovih tvrdnji i iskaza, kao i kasnije sudbina optuženog. Danas se ovakvom obliku manipulacije pribegava kako u državnim organima, tako i protiv njih, kod pravnih lica i naravno, u svim segmentima privatnog života. Za ovakvu vrstu manipulacije i uveravanja, u naučnoj i stručnoj javnosti koristi se termin manje poznat širokim narodnim masama – socijalni inženjering.
Socijalni inženjering u osnovi koristi vezu i odnose među ljudima za postizanje cilja putem različitih metoda ubeđivanja. Osnovno u socijalnom inženjeringu je korišćenje različitih komunikacijskih veština kako bi se došlo do željenih informacija. Jedna od definicija socijalnog inženjeringa glasi da je to ,,oblik manipulacije pojedincima sa ciljem da se navedu da urade nešto što inače ne bi uradili, a odnosi se na ispunjenje zahteva koje je postavio napadač” (Mandić, 2015). Napadač najčešće koristi ljude kao najslabiji deo bilo kog sistema, ali se mogu koristiti i tehnička sredstva. Krajnji cilj takvog napada jeste dolazak do informacija koje se kasnije mogu koristiti u različite svrhe koje su štetne po vlasnika informacije. Socijalni inženjering koristi vezu i odnose medju ljudima za postizanje cilja putem različitih metoda ubeđivanja.

Načini izvršenja socijalnog inženjeringa
Načine izvršenja socijalnog inženjeringa možemo podeliti u odnosu na postojanje ili nepostojanje komunikacije i kontakta između mete napada i napadača. S obzirom na to, možemo ga podeliti na (Mandić, 2015):
• Izvršenje kontaktom ( direktnim kontaktom, preko telefona, preko socijalnih mreža)
• Izvršenje bez kontakta (pomoću malicioznog softvera, putem lažnih internet stranica, podmetanjem memorijskog medija)
• Kombinovani način izvršenja.

Tehnike koje koristi socijalni inženjering
Pored raznovrsnih načina izvršenja socijalnog inženjeringa, postoji i niz tehnika koje se mogu primeniti u različitim načinima izvršenja. Tehnike se retko kada koriste samostalno, i uglavnom se koriste u kombinaciji sa drugim tehnikama. Tehnike se mogu podeliti u tri grupe (Mandić, 2015):
• Tehnika lažnog predstavljanja
• Tehnika korišćenja nemara, nepažnje i neznanja mete napada
• Tehnika obrnutog socijalnog inženjeringa

Što se tiče tehnike lažnog predstavljanja, napadač pozajmljuje identitet neke druge osobe i može se predstaviti kao neko ko je zaposlen u pravnom licu ili nekoj drugoj organizaciji mete napada, ili kao lice iz drugog pravnog lica ili organizacije. Ova tehnika se najčešće primenjuje putem telefona, zbog nemogućnosti provere identiteta napadača. Vrlo bitna stvar za uspešnost napada jeste i korišćenje interne terminologije kako se ne bi dovelo u sumnju da se sprovodi napad.
Nemar, nepažnja i neznanje mete napada veoma pogoduju napadaču, ukoliko napadač zna kako da iskoristi takve situacije. Neke od tehnika jesu: prisluškivanje na javnim mestima, gledanje preko ramena, pregled kancelarije, pregled sadržaja kompjutera, pregled otpada, fišing …
Obrnuti socijalni inženjering vidi se kao najkomplikovaniji napad, jer zahteva mnogo pripreme i veštine da se uspešno izvede. Osnovna karakteristika ove tehnike socijalnog inženjeringa ogleda se u tome što napadač mora da stvori takvu situaciju u kojoj meta napada smatra da je lice koje sprovodi napad pozitivna i legitimna osoba kojoj može poveriti određene informacije ili dopustiti određene radnje. U ovakvim situacijama, meta napada sama kontaktira napadača, ne sumnjajući u njegov identitet i stručnost za određenu oblast.

Profil lica koja koriste socijalni inženjering
Precizno određivanje grupe ljudi koja je vrši socijalni inženjering je vrlo teško, skoro i nemoguće, jer zavisi od velikog broja faktora. Može se jedino reći ,,da su to najčešće osobe muškog pola, ali u istoriji socijalnog inženjeringa i žene su bile vrlo uspešne u toj delatnosti. Kada se govori o starosnoj strukturu, nju je takođe vrlo teško odrediti, i kreće se od tinejdžerskog uzrasta do zrelog doba. Lica su najaktivnija u periodu života od dvadesete do tridesete godine. Pomenuta lica su veoma inteligentna, sa veoma razvijenim komunikativnim i manipulativnim sposobnostima, dobri su poznavaoci psihologije i poseduju dovoljno tehničkog znanja. Takva lica mogu nastupati kako samostalno, tako i timski” (Mandić, 2015).

Prepoznavanje socijalnog inženjeringa
Socijalni inženjering je vrlo bitno prepoznati na vreme i adekvatno reagovati na njega. Ovi signali upozorenja se odnose na izvršenje putem direktnog kontakta i kontakta telefonom. Neke od karakteristika na osnovu kojih se može prepoznati socijalni inženjering su: neobični zahtevi u suprotnostima sa svakodnovnim procedurama, direktna pitanja o poverljivim informacijama, preterana zainteresovanost za informacije koje su javne, preterano duga komunikacija o temama koje nemaju dodirnih tačaka sa poslovnom tematikom, nepotrebne i prekomerne pohvale, naglašavanje hitnosti, skrivena ili direktna pretnja posledicama, naglašavanje visokog položaja itd…

Zaštita od socijalnog inženjeringa
Kao što je već spomenuto, socijalni inženjering napada slabost ljudi, koristeći ili ne tehničkih sredstava. Ne možemo se odbraniti od socijalnog inženjeringa putem softvera i hardvera, već obrazovanjem ljudi i osoblja, te propisivanjem odgovarajuće i učinkovite sigurnosne politike za organizaciju. “Dobro dokumentirana i pristupačna sigurnosna pravila i standardi ključni su za dobru sigurnosnu strategiju organizacije. Jednom definisana politika mora biti lako dostupna, kao i redovno ažurirana ” (CERT, 2010). Postoji potreba za kontinuiranim preispitivanjem i provođenjem standarda i politika kako bi se napravile određene izmene u slučaju utvrđivanja određenih propusta. Takođe je vrlo važno da se ovog protokola i postupaka pridržavaju svi članovi organizacije.

Zaključak
Od svog nastanka pa do danas, socijalni inženjering se razvijao i napredovao, ali je osnovni cilj ostao isti, a to je dolazak do informacija i to napadom na ljude. Socijalni inženjering je upravo i usmeren na ljude, jer su ljudi onaj faktor sigurnosti koji je često zaboravljen. Prilikom tog napada ranije su se korisile samo retoričke sposobnosti napadača, dok danas napad može biti i preko računara, interneta, socijalnih mreža i internet pričaonica. Sobzirom na jako malu upućenost kao i svest kod ljudi o ovoj pretnji, socijalni inženjering je danas veoma rasprostranjen. Metode socijalnog inženjeringa se razvijaju velikom brzinom i koriste na sve sofisticirane načine što dovodi do potrebe za uvođenjem sigurnosnih politika za rukovanje sa informacijama, lozinkama i računarima. Međutim, osnovni princip zaštite uključuje i programe edukacije o rizicima, pretnjama i posledicama takvih napada. Svaki korisnik računara treba sprovesti određene mere predostrožnosti. Posebna se pažnja mora pokloniti ostavljanju ličnih informacija na socijalnim mrežama, jer se danas o tome ne vodi, ili se jako malo vodi računa.

CERT. (2010). Napredne tehnike socijalnog inženjeringa. Hrvatska akademska istraživačka mreža.
Mandić, G. J. (2015). In Sistemi obezbeđenja i zaštite pravnih lica. Beograd: Fakultet bezbednosti.