Phishing, baiting, tailgating. Słownik podstawowych terminów związanych z inżynierią społeczną

Czym jest phishing?

Jedną z najpopularniejszych i z pewnością najbardziej powszechnych jest phishing, czyli niespersonalizowany, zwykle masowy, atak, najczęściej za pomocą fałszywych e-maili lub przekierowywań na sfabrykowane strony internetowe. Odmianą phishingu jest spear-phishing. Jest on atakiem ukierunkowanym na konkretną osobę. Haker wybiera sobie ofiarę, a następnie planuje atak, uwzględniając jej słabości.

10(19) 2023 SECURITY MAGAZINE Rafał Stępniewski

Przykładem spear-phishingu, wzbogaconego dodatkowo o metodę fake news jest wykonanie przez hakera telefonu do osoby odpowiedzialnej za Public Relations z prośbą o wypowiedź odnośnie głośnej afery związanej z firmą. Niepodejrzewająca niczego ofiara dopytuje o jakiej aferze mowa, na co rzekomy dziennikarz przesyła na jej skrzynkę mailową link do spreparowanego artykułu o chwytliwym tytule np. „Firma X zamyka oddział w Poznaniu. Szykują się masowe zwolnienia”.

Po chwili na stronie pojawia się pop-up, zawierający link do wirusa. Ofiara klika, żeby zamknąć go i wznowić lekturę artykułu, a wirus trafia prosto do jej komputera. Co więcej, jeśli prześle ona stronę kolejnym osobom w firmie — co prawdopodobnie nastąpi — w niedługim czasie wirus obejmie całe przedsiębiorstwo. Istnieje jeszcze jeden typ phishingu — whaling. W tym przypadku atak ukierunkowany jest na pracowników wysokiego szczebla, takich jak CEO lub CTO. Wybór jest nieprzypadkowy. Osoby znajdujące się wysoko w biurowej hierarchii, zwykle mają pełen dostęp do interesujących hakera poufnych danych.

Baiting, czyli kolejna groźna metoda socjotechniczna

Baiting jest kolejną metodą socjotechniczą, która potrafi wyrządzić znaczące szkody u nieostrożnych i nieuważnych użytkowników. Polega na wykorzystaniu tzw. Przynęt dosłownie wabiących ofiary, żerując na ich naturalnej chciwości lub ciekawości. Aby lepiej zobrazować sobie baiting, posłużmy się przykładem: oszuści mogą stworzyć specjalną stronę internetową oferującą coś za darmo, np. pliki muzyczne, filmy lub książki.

Walka z dezinformacją i fake newsami w mediach społecznościowychMałgorzata Łaziuk

 Aby jednak uzyskać dostęp do tych plików, użytkownicy muszą utworzyć konto, podając swoje dane osobowe. W niektórych przypadkach konto nie jest potrzebne, ponieważ pliki są bezpośrednio infekowane złośliwym oprogramowaniem, które przenika do systemu komputerowego ofiary, a następnie gromadzi z niego poufne dane.

Schemat przynęty może również występować w realnym świecie, gdzie przynętą może być np. pamięć USB lub zewnętrzne dyski twarde. Oszuści mogą umyślnie zostawiać zainfekowane urządzenia publicznych miejscach, tak aby każda zaciekawiona ich zawartością osoba, następnie zaraziła ich zawartością swój komputer osobisty.

Czym jest tailgating?

Tailgating to z kolei wejście w dane miejsce osoby do tego nieupoważnionej. Przykładem może być przytrzymanie przez pracownika drzwi do firmy spieszącemu się człowiekowi. Tailgating najczęściej ma miejsce w dużych przedsiębiorstwach, gdzie zatrudnieni nie znają wszystkich współpracowników.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.