Qëndro i sigurtë


Inxhinieria Sociale

Inxhinieria Sociale është veprimi i manipulimit të njerëzve për të dhënë informacion konfidencial ose të ndjeshëm. Kjo mund të bëhet me telefon, email ose nëpërmjet kontaktit ballë për ballë.Është metoda më e vjetër që përdoret ende sot për mbledhjen e informacionit. Inxhinieria sociale përdoret shpesh në emailat spam dhe phishing. Le të ndërgjegjësohemi duke njohur disa terma.

Phishing

Metoda e marrjes së fjalëkalimeve, të dhënave të llogarisë së bankës ose të dhënave të kartës së kreditit duke u maskuar si një element i besueshëm në komunikimet elektronike si emaili ose biseda elektronike (chat).

Email-et “të krijuara me kujdes dhe të personalizuara” duken sikur vijnë nga kompani të ligjshme, duke informuar punonjësit se llogaria e tyre bankare është komprometuar ose se duhet të përditësojë informacionin e tyre. Viktimat sapo të klikojnë në linkun e dërguar në email, drejtohen tek një faqe interneti mashtruese e cila është një faqe sulmi ku mblidhen të dhënat e tyre.

Credential Dumping

Shkarkimi i kredencialeve ndodh kur sulmuesi mbledh informacione të logimit ose kredencialet e bazës së të dhënave nga sisteme, serverë ose faqe interneti të komprometuara.

Sulmuesi më pas e përdor këtë informacion për të hyrë në sisteme të tjera, potencialisht më të sigurta.

Vishing

Vishing është shkurtim për “peshkim i zërit”, phishing telefonik duke përdorur sistemin VoIP (Voice Over IP). Vektori i sulmit për këtë lloj inxhinierie sociale është i njëjtë me phishing, vecse sulmi bëhet përmes telefonit.

Një sulmues bën një telefonatë jo të vërtetë VoIP drejt objektivit dhe paraqitet si një organizatë që viktima do t’i besonte.

Baiting

Ndodh kur sulmuesit lënë pajisjen USB ose CD që përmbajnë softuer dashakeq në një zonë ku ata e dinë se do të jenë punonjësit.

Ata shpresojnë se dikush do të marrë një nga këto pajisje në shtëpi dhe do ta futë në kompjuterin e tyre, e cila më pas mund të kompromentohet.

Scareware

Ndodh kur një sulmues përpiqet tju mashtrojë që të mendoni se kompjuteri ose celulari juaj ka një virus të instaluar.

Ata e bëjnë këtë duke instaluar një program të rremë antivirus e cila shfaqet në ekranin e kompjuterit ose celularit dhe pretendon në mënyrë të rreme se ka kërcënime të pranishme. Në këtë mënyrë përdoruesi detyrohet të paguajë për programin antivirus të rremë qe t’i heqë këto viruse. Më pas sulmuesit përdorin informacionin e kartës suaj të kreditit për të bërë blerje të paautorizuara.

Tailgating and piggybacking

Një sulmues përdor dikë tjetër për të hyr në një zonë të kufizuar, si p.sh. ndjekja nga pas derës të punonjësve të organizatës, pasi ata e dinë që ajo po mbahet e hapur për dikë.

Ky sulm përdoret gjithashtu nga sulmuesit që shpresojnë të përdorin kredencialete e tua të organizatës.

Kompensim (Quid Pro Quo)

Përdoret kur një sulmues ofron të bëjë diçka për ju në këmbim të bashkëpunimit tuaj ose heshtjes për veprimet e tyre të paligjshme.

Për shembull, sulmuesit mund të përdorin Quid Pro Quo duke ofruar përmirësimin e sistemit tuaj kompjuterik nëse i lejoni atij qasje të përkohshme në të.

Gjuetia e balenave (Whaling)

Gjuetia e balenave është një lloj specifik sulmi phishing që synon punonjësit drejtues të rangut të lartë të organizatës.

Sulmuesit monitorojnë mediat sociale dhe emailet për të dhëna mbi udhëheqjen e organizatës dhe me pas u dërgojnë atyre mesazhe specifike me linke ose bashkëngjitje (attachments) të cilat mund të rrezikojnë sigurinë e tyre.

Brute Forcing

I njohur gjithashtu si “password cracking”, i cili ndodh kur një sulmues përdor një program që hamendëson me shpejtësi cdo lloj fjalëkalimi për të hyrë në llogarinë ose sistemin e një përdoruesi.