Доверявай, но проверявай онлайн!

май 31, 2024 | Технологии

Социално инженерство

Доверявай, но проверявай онлайн!

31 май 2024 | Технологии

Ако не сте чували какво е „социално инженерство“ или „инженерия“, както казва, че е правилно да го наричаме днешният ни гост, сигурно си представяте сюжет като от „Франкенщайн“ – инженерът си прави човек… Или пък от конспиративните теории за контрол на масите.

Независимо дали сте го чували обаче, важно е все повече да си говорим по тази тема. Защото става дума за най-опасната и най-ефективната атака в дигиталния свят. Която не засяга компютри, мрежи, сървъри или програми, а най-слабото звено във веригата: човека.

„Днес пробивите в киберсигурността стават все по-често през социалната инженерия – метод, който използва манипулации и манипулативни техники, така че хората да бъдат измамени и така да бъде получен достъп до чувствителна информация“, казва специалистът по киберсигурност Пламен Цветанов.

Но кои са най-важните стъпки, за да се предпазим? Какви са най-големите рискове да подценим човек, от другата страна? Защо доверието онлайн трябва да бъде дефицитна стока? Темата е важна за всеки, дори да не си дава сметка…

 

Пламен Цветанов

 

Инж. Социален

Гостът ни определено знае какво говори, темата го вълнува от десетилетия. Преди повече от 20 години Пламен Цветанов започва да издава култовото списание „Хакер“, което, както пише на корицата, разказва „за тъмната страна на нещата“. Самото издание има прелюбопитна история, която си струва да разкажем отделно. Но в него, още в първите години на хилядолетието, Пламен пише за социалната инженерия – кибератаката, която е насочена не към технологиите, а към потребителя. Ето защо е важен опитът, който ще сподели…, идващ и от двете страни на барикадата.

„Хората често са слабата връзка в киберсигурността“, казва днешният ни гост. „Например, те могат да бъдат подведени да споделят пароли или лична информация чрез фалшиви имейли, социални мрежи или телефонни обаждания. За да се предпазите от такива атаки, е важно да бъдете внимателни, винаги да проверявате и удостоверявате идентичността на онези, които искат чувствителна информация“.

„Социалната инженерия е формата, използвана при над 80% от кибератаките по статистика на ФБР и на Европейската агенция по киберсигурност. Тя е плацдарм и за други, още по-опасни пробиви, но и самата тя е атака от най-чист и плашещ вид.“

 

Социално инженерство

 

Не хакнеш ли, ще те хакнат

Естествено, няма как да пропусна да попитам Пламен дали сам не е ставал жертва на подобен проблем. Оказва се, че не, но пък… се случило на баща му.

„Той беше служител в Министерството на вътрешните работи, над 30 години преподаваше „Оперативно издирвателна дейност“, един от най-големите криминалисти и профайлъри. И… загуби огромна сума след подобна атака“, разказва Пламен. Ето един повече от сигурен знак, че никой не е застрахован и всеки си струва да бъде нащрек онлайн.

В случая с бащата на нашия гост е избран претекстинг. Този тип социална инженерия изиства щателно проучване и добра подготовка. Атакуващият опознава жертвата, влиза в комуникация с нея, успявайки да я убеди да сподели информация, която в никакъв случай не би трябвало.

„Става дума за разновидност на популярните преди телефонни измами“, допълва Пламен. „Най-често ставаше дума за обаждане от човек, който се представя за здравен служител в спешно отделение, който убеждаваше хората, да „спасят“ своя уж пострадал близък, на когото се налага спешна операция.“

И така, след като… криминалист с 30-годишен опит се поддава, наистина ли мислите, че някой би могъл да бъде сигурен?

 

Социално инженерство

 

Хак да му е

Социалната инженерия може да се яви в много неочаквани форми и ситуации. Някои от тях включват:

  • Физическа социална инженерия

Например, ако някой се представя за работник на доставчик на услуги или техническа поддръжка, за да получи достъп до сграда или компютърна система.

  • Използване на обществени събития

Атакуващият може да е ролята на участник в благотворително събитие или конференция, за да събере информация от хората, които присъстват.

  • Фалшиви кампании за социални медии

Нападателите могат да създадат фалшиви профили, понякога копиращи оригиналните, за да се приближат до целите си, като се представят за приятели или колеги.

  • Физически подаръци или зарибяване

Могат да използват подаръци, като флашпамети или други устройства, които да съдържат зловреден софтуер.

  • Фалшива поддръжка на клиенти

Атакуващите могат да се представят за служители на компании, за да съберат информация от потребителите чрез телефонни обаждания или имейли.

Разбира се, примерите са условни дотолкова, доколкото граници няма. Днешната мрежа дава толкова много възможности за подобен тип атаки, които са ограничени само от въображението на „социалните инженери“.

 

Пламен Цветанов

 

Лайкове всекиму, доверие – никому

„За съжаление, огромна част от хората и бизнеса си мислят, че „на нас“ не могат да ни се случат подобни неща!“, обобщава Пламен.

И ако започнахме с телефонните измами, при които потенциалните пострадали бяха основно по-възрастни хора, то от социалната инженерия и безбройните ѝ форми никой не е застрахован:

  • Обикновени потребители

Всеки, който използва интернет и социални мрежи, може да бъде цел на социална инженерия. Например, хората могат да бъдат подведени да кликнат на вредни връзки или да споделят чувствителна информация в резултат на фалшиви имейли или съобщения в социални мрежи.

  • Бизнеси и организации

Корпорации, малки бизнеси и други организации също са податливи на социална инженерия. Атаки, като например фишинг и бизнес измами, могат да нанесат сериозни щети на бизнеса, като изложат чувствителна информация или предизвикат директни финансови загуби.

  • Публични, известни личности, инфлуенсъри

Хората със сериозно публично присъствие са още по-„ценна“ жертва на социална инженерия.

  • Служители

Социалната инженерия може да се използва, за да се манипулират служителите на дадена организация, така че да разкрият чувствителна информация или да извършат действия, които биха могли да бъдат вредни за работното им място.

Социално инженерство

 

Герои на нашето време

И ако технологиите се променят постоянно, същото важи и за атаките. Както стана дума, Пламен Цветанов следи темата повече от две десетилетия и ето някои от нещата, които са се променили за това време:

  • Ръст на социалния ландшафт онлайн

Социалните мрежи и онлайн платформите днес са неизменна част от ежедневието ни. Това отваря нови възможности за социална инженерия, като фалшиви новини, дезинформация и манипулации чрез социалните медии.

  • Развитие на изкуствения интелект и дийпфейк

С напредъка на технологиите днес е по-лесно от всякога да се създадат реалистични фалшиви видео и аудио, които да бъдат използвани за манипулации и измами.

  • По-целенасочени атаки и персонализирани манипулации

Атаките на социална инженерия често са по-персонализирани. Злоумишлениците използват данните за поведението и предпочитанията на хората, за да създадат манипулативни съобщения, които е по-вероятно да постигнат целта си.

  • По-широко информиране, обучение по киберсигурност и осведоменост

За сметка на това, че социалната инженерия се развива, се забелязва и по-голямо внимание към киберсигурността, повече обучения и осведоменост по темата. Организациите и отделни хора все повече оценяват и се стремят да разберат рисковете и да се предпазят от потенциални атаки.

В крайна сметка именно затова сме се събрали и тук, за да помогнем повече хора да се замислят, когато получат следващия имейл, следващото съобщение, прочетат следващата новина, които им изглеждат съвсем истински. Поне първосигнално…

 

Хакнат каша духа

Но кое е най-важното, за да се предпазим? С извинение за повторението…, да бъдем предпазливи. Или, както казва Пламен, по-добре да духаме кашата, отколкото да се опарим, след това „пареният“ така или иначе го прави.

Що се отнася до компаниите, единственото решение е комбинацията от много фактори – осведоменост, процедури за сигурност, технологични решения. И доколкото не винаги служителите обръщат внимание на скучноватите клипове или уроци на живо, задължително е редовно да се правят тестове и симулации. Защото едно е да четеш абстрактни размисли, а друго – да се подведеш и да кликнеш убедително изглеждащия линк в служебния имейл…, който обаче се оказва, че е изпратен от специалистите по киберсигурност, успели да ти покажат, че всеки може да се подведе.

И ако за тези страни на социалната инжерия си говорим доста, сравнително встрани остава гледната точка, според която социална инженерия е и… отношението на самите социални платформи към нас. Алгоритмите им, които ни затварят в балоните на филтрите, маркетинговите им подходи. Дори начинът, по който днес формират обществения дневен ред, определено и категорично също са форма на социална инженерия, съгласен е специалистът по киберсигурност.

А всичко това ще се задълбочава, благодарение и на генеративните технологии. Както показа експериментът на Дигитални истории, вече е въпрос на минути и минимални технически познания човек да генерира изцяло измислен от алгоритмите онлайн „герой“. А оттук до това той да се превърне в оръжие на социалната инженерия пътят е кратък…

 

Пламен Цветанов

 

Едно наум

„По никакъв начин не можем да кажем, че са измислени всички форми на социална инженерия“, казва Пламен. „Този вид атаки и манипулации постоянно еволюират и се приспособяват към новите технологии, обществения и културен контекст, към промените в поведението на хората. Напредъкът в технологиите, особено в областта на изкуствения интелект и социалните мрежи, може да открие нови възможности за манипулация и атаки“.

И още нещо, социалната инженерия не е ограничена само до цифровия свят. „Тя може да се извършва и в реалния живот, като се използват психологически техники и манипулации“, обобщава специалистът. „Важно е да се осъзнае, че социалната инженерия е продукт на човешката креативност и манипулативни умения. Затова трябва да бъдем постоянно бдителни, да развиваме критично мислене и да бъдем информирани за потенциалните заплахи, които може да срещнем както он-, така и офлайн“.

Преди да се разделим, Пламен казва нещо, което смята за неписан закон, а на мен ми остава само да се присъединя. „Доверието не бива да съществува в интернет! По-добре бъдете параноици, отколкото да изгорите.“ (Още за нашия гост и работата му ще намерите тук.

Е, аз искрено се надявам, че с Дигитални истории съм успял да заслужа доверието ви за това, че се опитвам да събирам важни късчета информация, истории, които ни позволяват да се ориентираме в суматохата на технологичното настояще. Но ако случайно видите да ви рекламирам казина, криптовалути или някого, за когото да гласувате… да, онлайн оригиналите почти винаги могат да бъдат различени от фалшификати. Достатъчно е обаче най-важното и може би най-дефицитното качество днес. Здравият разум…

Дигитални истории

Дигитални истории е и ще си остане изцяло некомерсиално начинание, на което посвещавам доста време и усилия. За създаването на сайта обаче са нужни определени разходи. Ако имате възможност и желание да подпомогнете сайта, вече можете да го направите. Разбира се, все така важна подкрепа си остава всяка добра дума, всяко споделяне на темите.

Подкрепи начинанието
<a href="https://karamanev.me/author/georgik" target="_self">Георги Караманев</a>

Георги Караманев

Програмист, журналист на свободна практика и писател. Още за мен – четете тук.
Дигитални истории

Най-нови публикации:

Асанж и свободата

Асанж и свободата

26 юли 2024 |

Къде е днес свободата? Където е била винаги, в идеалите. И в делата на все по-малкото хора, за които тя продължава да бъде кауза, а не кухо клише. След 14-годишна битка, която в много моменти...

повече информация
„Светът е по-хаотичен, отколкото ни се иска. И науката не е тук, за да ни утеши“

„Светът е по-хаотичен, отколкото ни се иска. И науката не е тук, за да ни утеши“

23 юли 2024 |

„Струва ми се по-просто хората да запомнят кое е измама и заблуда. Кратък и съвсем неизчерпателен списък: хомеопатия, холистична медицина, натуропатия, антиваксърство, хидроколонтерапия, детокс...

повече информация
Агент GPT. Когато изкуствените интелекти заиграят в отбор

Агент GPT. Когато изкуствените интелекти заиграят в отбор

19 юли 2024 |

Какво ли ще стане, ако обърнем стереотипа за изкуствен интелект? Нямаме насреща си един модел, с който например да си чатим, а безброй отделни „индивиди“. Раздаваме им задачи, всеки от тях работи...

повече информация
„ИИ вече може да помогне в абсолютно всяка човешка задача“

„ИИ вече може да помогне в абсолютно всяка човешка задача“

16 юли 2024 |

Николай Марков е сред специалистите, които проправят пътя към все по-масовото навлизане на изкуствения интелект във всяка област от живота ни. Макар повече от 2 десетилетия да е в света на...

повече информация
„До 5 години ще слеем реалното и виртуалното“

„До 5 години ще слеем реалното и виртуалното“

9 юли 2024 |

Говорим си в Техническия университет в София, а… можем да сме навсякъде. Защото в лабораторията, в която се срещаме, се развиват следващите поколения средства за добавена и виртуална реалност. Те...

повече информация

Още публикации по темата:

Програмистки мисли

От рубриката:

Агент GPT. Когато изкуствените интелекти заиграят в отбор

Агент GPT. Когато изкуствените интелекти заиграят в отбор

Какво ли ще стане, ако обърнем стереотипа за изкуствен интелект? Нямаме насреща си един модел, с който например да си чатим, а безброй отделни „индивиди“. Раздаваме им задачи, всеки от тях работи автономно, специализира се в дадена работа, трупа знания по нея, контролира другите…
Целта например е да създават софтуер. Единият модел ще се научи да формулира изискванията, друг да пише програмния код, трети ще подготви визуалната страна, четвърти ще тества кое и как се е получило… и така ще се събере цяла софтуерна фирма, работеща милиони пъти по-бързо от обичайните, защото е изградена не от хора, а от алгоритми.
Колко далечно е днес това бъдеще?
Неотдавна Сам Алтман каза, че именно в тази посока се задават много сериозни пробиви. ИИ агентите са една от областите в компютърните науки, където очакваме големи новини. Следващите поколения изкуствен интелект, способни да решават значително по-сложни и комплексни задачи, допускащи много по-малко грешки. Мнозина от най-големите специалисти казват, че чрез този подход ще извървим следващата голяма стъпка в развитието на изкуствения интелект. Ето защо.

повече информация
Името на Apple-а. Историите зад големите марки онлайн

Името на Apple-а. Историите зад големите марки онлайн

Братовчеди ли са Java и JavaScript и ако нямат нищо общо… защо носят толкова подобни имена? Защо в название и символ на Apple се превръща толкова експлоатиран символ като ябълката? Какво ли е… Adobe? А Google? Има ли Lenovo общо с Ленин?
„Туй, което зовем ний „роза“, ще ухае сладко под всяко друго име“, казва Жулиета, цитирана от Шекспир. А туй, което зовем Apple или Amazon, щеше ли да ухае сладко под друго име?
Можем само да гадаем. Но зад названията на най-големите в онлайн света понякога се крият забавни истории. В следващите редове ще минем набързо през някои от най-поучителните и неочакваните.

повече информация
„Светът през 2050 г.“ Можем ли да надникнем в бъдещето?

„Светът през 2050 г.“ Можем ли да надникнем в бъдещето?

Ще облекчат ли живота ни технологиите, или ще създадат огромна криза, разтърсвайки пазара на труда? Ще се радваме на благата на развития изкуствен интелект, помогнал ни за драстично удължаване на човешкия живот, в опознаването на Космоса, в развитието на следващите технологии? Или ще се събудим в свят под тотален контрол, предсказан от антиутопиите?
Как ще изглежда животът през 2050 г.? Време е да надникнем в бъдещето и да обсъдим прелюбопитните прогнози на един автор, който има смелостта да прогнозира в толкова динамичен период от историята. При това вече го е правил веднъж със завиден успех.
Можем ли да предскажем бъдещето? Никакъв шанс, всяка малка стъпка може да обърне посоката. А струва ли си да опитваме? Според мен е задължително, колкото и далеч да се окажем в идеите си, самият поглед, опитът за осмисляне е първата стъпка към това да се подготвим за него. Да избегнем някои опасности.

повече информация

Най-новите:

Асанж и свободата

Асанж и свободата

Къде е днес свободата? Където е била винаги, в идеалите. И в делата на все по-малкото хора, за които тя продължава да бъде кауза, а не кухо клише.
След 14-годишна битка, която в много моменти изглеждаше обречена, Одисей най-накрая се завърна в Итака. Частният самолет кацна в австралийската столица Канбера. От борда му слезе добре познатият по цял свят белокос харизматичен мъж и помаха на събралите се журналисти и посрещачи. После прегърна двете си малки деца, които за първи път виждаше на свобода, далеч от потискащите решетки…
Героите от миналото се борят за свободата. За независимостта на своите народи, срещу робството и несправедливостите. А днешните герои, които ще почитат следващите поколения? Ако го има утрешния ден, значи те ще са победили, колкото и да изглежда невероятно.
Днешните герои също се борят за свободата. Уви, нито са толкова много, нито са толкова познати. Но ако има един, чиято битка за истината е стигнала до мнозина, това несъмнено е днешният ни герой. Джулиън Асанж се превърна в легенда, в символ. А историята му е толкова вълнуваща и пълна с перипетии, че си струва да се заровим в нея. Като междувременно му дадем думата за някои важни цитати, които, надявам се, ще накарат повече хора да се замислят за истински важните теми на днешния ден. Тези, заради които ги има и Дигитални истории…

повече информация
„Светът е по-хаотичен, отколкото ни се иска. И науката не е тук, за да ни утеши“

„Светът е по-хаотичен, отколкото ни се иска. И науката не е тук, за да ни утеши“

„Струва ми се по-просто хората да запомнят кое е измама и заблуда. Кратък и съвсем неизчерпателен списък: хомеопатия, холистична медицина, натуропатия, антиваксърство, хидроколонтерапия, детокс диети, астрология, екстрасензорни възприятия, ясновидство, телекинеза (и всички измислени феномени, които включва „парапсихологията“), НЛО базирани древни цивилизации, графология, медиумни способности, квантов мистицизъм, вечни двигатели, безенергийни двигатели, креационизъм, биоритми, криптозоология…“
Вярвате ли в астрологията, в силата на чакрите, в рептилите, в плоската Земя? Може би сте от малцинството днес, за което всичко това са несериозни посоки? Или пък не можете да отречете, че зодиите влияят на поведението, докато другите ви се струват крайни? Да, днес, както никога преди, имаме нужда от репери, за да не потънем в океана от онлайн лудост. Докато в същото време е все по-трудно да говорим помежду си.
Разделени от поредния разлом, спорим кой се занимава с псевдонаука и кой се е оставил да бъде подведен от авторитетите. Пътя към този труден, но назрял разговор – за конспирациите и псевдонауката, за науката и авторитетите, ще потърсим с днешния гост.
Стефан Марков е преподавател по теория на масовата комуникация, мениджмънт на комуникацията и маркетинг и реклама в Софийския университет, познат онлайн като The Science Guy. В издадената неотдавна книга „Алгоритми на заблудата“ той навлиза именно в сърцето на тази тема. След любопитните му начинания (и много значими за самия него) е и подкастът „Модерен стоицизъм“, който води заедно с Петър Теодосиев от „Българска наука“.

повече информация
Агент GPT. Когато изкуствените интелекти заиграят в отбор

Агент GPT. Когато изкуствените интелекти заиграят в отбор

Какво ли ще стане, ако обърнем стереотипа за изкуствен интелект? Нямаме насреща си един модел, с който например да си чатим, а безброй отделни „индивиди“. Раздаваме им задачи, всеки от тях работи автономно, специализира се в дадена работа, трупа знания по нея, контролира другите…
Целта например е да създават софтуер. Единият модел ще се научи да формулира изискванията, друг да пише програмния код, трети ще подготви визуалната страна, четвърти ще тества кое и как се е получило… и така ще се събере цяла софтуерна фирма, работеща милиони пъти по-бързо от обичайните, защото е изградена не от хора, а от алгоритми.
Колко далечно е днес това бъдеще?
Неотдавна Сам Алтман каза, че именно в тази посока се задават много сериозни пробиви. ИИ агентите са една от областите в компютърните науки, където очакваме големи новини. Следващите поколения изкуствен интелект, способни да решават значително по-сложни и комплексни задачи, допускащи много по-малко грешки. Мнозина от най-големите специалисти казват, че чрез този подход ще извървим следващата голяма стъпка в развитието на изкуствения интелект. Ето защо.

повече информация
„ИИ вече може да помогне в абсолютно всяка човешка задача“

„ИИ вече може да помогне в абсолютно всяка човешка задача“

Николай Марков е сред специалистите, които проправят пътя към все по-масовото навлизане на изкуствения интелект във всяка област от живота ни. Макар повече от 2 десетилетия да е в света на информационните технологии, той е завършил инженерна физика и макроикономика. Опитът му минава от разработването на облачни решения през киберсигурността до изследването и внедряването на изкуствен интелект.
Днес е начело на екипа по ИИ, девопс и облачни практики на SoftServe. Заедно с това в TeamLandi разработва система, с чиято помощ малкият и среден бизнес ще получи достъп до пълния спектър възможности, които дава изкуственият интелект.
Защо тези технологии са тук, за да останат и да променят живота ни? Как така изкуственият интелект е първата технология, която може да навлезе в абсолютно всяка област? Как ще изглежда бъдещето?

повече информация
PC Mania, Gamers Workshop… Легендите се завръщат!

PC Mania, Gamers Workshop… Легендите се завръщат!

Обичаш компютрите и за да можеш да ги ползваш… си купуваш списания!?
Ама не е ли странно? Та нали онлайн има всичко? Днес е така, но тази дигитална история се ражда в едновременно близкото и толкова далечно компютърно минало. Едно хлапе мечтае да получи непознато списание с лика на Джеймс Бонд, което е привлякло погледа му. Лишава се от джобните си, за да го купи, но само няколко часа по-късно му го вземат „батковците“. Така обаче се пробужда интересът му към култовите компютърни списания от края на миналия век, любими четива на цяло едно поколение.
Десетилетия по-късно момчето отново „среща“ същия Бонд, списанието отприщва историята нататък. Минават хиляди упорити часове, докато днес проект „Лазарус“ е завършен, всеки може да разгледа пълната колекция от легендарните компютърни списания от 90-те и първите години на 21-и век. Един своеобразен културен феномен, който трудно може да може да бъде обяснен на следващите млади…
Вие кое списание обичахте? PC Mania, Gamers Workshop или някое друго от дългия списък?

повече информация
„До 5 години ще слеем реалното и виртуалното“

„До 5 години ще слеем реалното и виртуалното“

Говорим си в Техническия университет в София, а… можем да сме навсякъде. Защото в лабораторията, в която се срещаме, се развиват следващите поколения средства за добавена и виртуална реалност. Те все по-убедително ще ни водят към съвършената имитация на света около нас.
Доц. Агата Манолова е декан на Факултета по телекомуникации на ТУ, преподавател с огромен опит. Специалист в компютърното зрение и невронните мрежи, но също и в разработването на добавена и виртуална реалност, холографски комуникации.
Защо въпреки очакванията на Марк Зукърбърг все още не сме в метавселената, където щяхме да прекарваме цялото си време? Колко далеч е моментът, когато ще постигнем съвършената, неразличима виртуална реалност? Кои са най-важните стъпки по този път и възможно ли е да се окаже невъзможно? Защо българските специалисти в тази област са толкова търсени и уважавани по света?
Време е за един съвсем инженерен и реален разговор за виртуалното и големите въпроси, които се задават в тази посока.

повече информация
Всички публикации
Share This