SOCIAL MEDIA The Art of Hacking Humans

ENGINEERING
 FIRST UP

CONSULTANTS !2
CE ÎNSEAMNĂ INGINERIA SOCIALĂ?
FIRST UP

CONSULTANTS !3
 FIRST UP

CONSULTANTS !4
Ingineria Socială este un amestec de ştiinţă, psihologie şi artă. În timp ce este foarte
uimitoare şi complexă, este în acelaşi timp şi foarte simplă.
O scurta definiţie ar fi că Ingineria Socială reprezintă orice act care influenţează o persoană
să facă o acţiune care ar putea (sau nu), să fie în cel mai bun interes al său.

Ingineria socială (Social Engineering) este un termen prin care se înțelege arta de a influența,
de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în psihologia
maselor de a-i face pe alții să gândească și să creadă ceea ce maestrul vrea ca acei „alții” să
creadă.
Ingineria socială este un tip de atac psihologic în care atacatorul determină victima să facă
ceva ce el intenționează să facă.
Ingineria socială, care este o strategie folosită de politică, de religie și de consumerismul
corporatist, de sistemul educație și de foruri academice, implică pur și simplu ingineria
comportamentului, atitudinilor și dorințelor unui grup mare de oameni. Adevărata inginerie
socială este executată cu metode științifice precise de analiză și de luare a deciziilor.
În criminalitatea informatică, termenul are sensul de a obține acces ilicit la informații sau
echipamente prin minciuni și manipulare.

FIRST UP

CONSULTANTS !5
Toate tehniciile de inginerie socială sunt bazate pe factori de decizie umană, ce au la bază
erori în procesele cognitive umane. Aceste erori, uneori denumite "vulnerabilități în sistemul
uman", sunt exploatate în combinații diferite pentru a crea atacuri unice. Atacurile folosite în
Inginerie Socială pot fi folosite pentru a fura informații confidențiale din cadrul unor firme.
Cele mai frecvente atacuri de Inginerie Socială sunt făcute folosind apelurile telefonice.

Un exemplu de inginerie socială este un individ ce intră într-o clădire de birouri și lipește pe
perete un afiș ce pare oficial în care anunță faptul că numărul de telefon pentru biroul de
informații s-a schimbat. Iar în momentul în care un angajat apelează biroul de informații
pentru ajutor, inginerul social le va cere acestora date precum parolele de la diferite conturi,
pentru ca mai apoi să acceseze informație confidențială.

Termenul de inginerie socială a fost pus în circulație de un hacker autointitulat CitiZen-0ne,

cu scopul de a desemna modul în care acționează inițiatorii jocurilor piramidale, cunoscute și
ca afaceri piramidale.

Exemple sunt jocul piramidal Caritas (1991-1994) care, bazându-se pe mirajul banilor
nemunciți, a lăsat fără economii un mare număr de participanți, sau Delphin International
(început în 2002), care funcționează pe același principiu.
FIRST UP

CONSULTANTS !6
 FIRST UP

CONSULTANTS !7
CE ÎNSEAMNĂ INGINERIA SOCIAL MEDIA?
FIRST UP

CONSULTANTS !8
Creșterea meteorică a utilizării social media a dus la o nouă provocare de securitate: ingineria social
media.
Utilizatorul obișnuit foarte rar acordă o atenție deosebită tipurilor de date cu caracter personal pe care
le împărtășesc în social media – de la persoanele cu care preferă să socializeze, unde preferă să-şi
petreacă vacanţa până la informații specifice legate de locul de muncă și istoricul educaţional.
Toate aceste lucruri pot compune un portret incredibil de precis al unui utilizator și îl pot face o țintă
ușoară de înșelătorie în ingineria socială.
Social media nu este doar o comunicare unu-la-unu, ci unul-la-mulţi, ceea ce extinde foarte mult
"suprafața de atac". Hackerii pot răspândi link-uri rău-intenționate într-o întreagă organizație,
operatorii de informații pot colecta date de la o întreagă populație, politicienii pot fura alegeri.
Toți oamenii sunt vulnerabili la ingineria socială. Unii sunt mai greu de înșelat decât alţii.
Cu toate acestea, în cazul oricărui grup mare de persoane, există câteva ce nu vor trece testul.
În cadrul ingineriei social media, hackerii pot avea ca ţintă de la persoane individuale până la
agenţii guvernamentale deoarece social media le oferă posibilitatatea de a se conecta la fiecare dintre
angajații acestora în parte.
Problema este că, în combinație cu mediile sociale, înșelătoriile din domeniul ingineriei sociale devin
din ce în ce mai greu de sesizat, deoarece provin din surse aparent de încredere: prieteni, referințe
profesionale și chiar familii.
FIRST UP

CONSULTANTS !9
RISCURILE PLATFORMELOR SOCIAL MEDIA
FIRST UP

CONSULTANTS !10
Site-urile social media sunt un teren fertil pentru atacurile de inginerie socială.
❖ În primul rând, informațiile pe care le împărtășim sunt minate pentru a crea atacuri vizate.
Utilizatorii împărtășesc cu ușurință detalii precum orașele natale, școlile frecventate, datele de
naștere, numele de fete ale mamei și istoricul locurilor de muncă, pe care hackerii le transformă
apoi în e-mailuri spearphishing (targeted email scam that obtains unauthorized access to your
sensitive data)
❖ În al doilea rând, ia în considerare videoclipurile și articolele care circulă pe site-ului social.
Multe dintre acestea sunt legitime, bazate pe obiceiurile utilizatorului. Dar, de asemenea, şi
hackerii au acces la acei algoritmi și vor institui site-uri asemănătoare, dar rău intenționate,
pentru a apărea pe feed-uri.
❖ În cele din urmă, site-urile social media ca atare facilitează posibilitatea infractorilor cibernetici
de a profita de utilizatorii finali.
• „Deşi au ca scop atenuarea amenințărilor de securitate și propaganda teroristă pe platformele lor, ele nu
sunt 100% eficiente", scrie Nick Hayes într-un articol Dark Reading. "De exemplu, Facebook a raportat
că pentru 2015, până la 2% din utilizatorii săi lunari - 31 milioane de conturi - sunt false; Twitter
estimează 5%; iar LinkedIn a recunoscut deschis: "Nu avem un sistem fiabil pentru identificarea și
numărarea conturilor duplicate sau frauduloase.”

FIRST UP

CONSULTANTS !11
Site-urile de rețele sociale, cum ar fi Facebook, Twitter, blogurile web și podcast-urile, nu sunt sigure
și pot fi accesate de publicul larg.

Nu permiteți infractorilor să utilizeze informațiile pe care le publicați despre voi.

De exemplu, nu este recomandat să menționaţi perioadele de timp în care nu sunteţi acasă sau să
dezvăluiți date care sunt utilizate frecvent (de către bănci etc.) pentru a vă identifica: numele primului
animal de companie, orașul de naștere, numele mamei înainte de căsătorie etc.
Acestea sunt exact felul de informații pe care infractorii cibernetici le adună pentru a plănui un furt de
identitate sau pur şi simplu pentru a sparge o casă.

FIRST UP

CONSULTANTS !12
CE E DE FĂCUT? Sugestii de securitate

FIRST UP

CONSULTANTS !13
1. Ia în considerare platforma ta social media. Evaluează compania,
practicile sale de afaceri și experiența ta personală cu aceasta. Ai învățat
cum să ajustezi setările pentru o configurare mai sigură? Spaţiul
cibernetic nu este reglementat, de aceea este în responsabilitatea ta să te
gândeşti la securitatea ta.
2. Evită să dai clic pe link-uri suspecte din e-mailuri, grafice online sau
mesaje instant. Dacă URL-ul nu pare familiar sau dacă ți-a fost trimis de
un prieten ca un shortlink, verifică-l pentru a te asigura că poți da clic în
mod sigur. Dând clic pe un link suspect este ca și cum ai deschide cutia
Pandorei - odată ce se întâmplă, nu poți fi sigur ce vei obține. Evită acest
tip de comportament, chiar dacă mesajul pare a fi de la cineva pe care îl
cunoști și în care ai încredere.
3. Evită să trimiţi bani către colectori de fonduri sau organizații de caritate
pe care prietenii sau familia ta ţi le transmit în e-mailuri, cu excepția
cazului în care eşti sigur de sursă. Aceasta este o înșelătorie populară, în
special în jurul sărbătorilor, când oamenii au mai multe șanse să se simtă
filantropici.
4. Fii întotdeauna conștient de informațiile pe care le pui la dispoziție pe
social media.
5. Întotdeauna fii vigilent.

FIRST UP

CONSULTANTS !14