Ano ang Social Engineering?
Ang social engineering ay ang kilos ng pagsasamantala sa mga kahinaan ng tao upang makakuha ng pag-access sa personal na impormasyon at mga protektadong sistema. Ang social engineering ay umaasa sa pagmamanipula sa mga indibidwal kaysa sa pag-hack ng mga computer system upang tumagos sa account ng isang target.
Pag-unawa sa Social Engineering
Halimbawa, maaaring tumawag ang isang babae sa bangko ng lalaki na biktima at magpanggap na asawa niya na nag-aangkin ng emerhensiya at humiling ng pag-access sa kanyang account. Kung ang babae ay maaaring matagumpay na inhinyero ng isang kinatawan ng serbisyo sa customer ng bangko sa pamamagitan ng pag-apela sa mahinahon na pagkagusto ng kinatawan, maaari siyang magtagumpay na makakuha ng pag-access sa account ng lalaki at magagawang magnakaw ng kanyang pera. Katulad nito, ang isang magsasalakay ay maaaring makipag-ugnay sa departamento ng serbisyo ng customer provider ng email upang makakuha ng isang pag-reset ng password na ginagawang posible para sa attacker na kontrolin ang email account ng isang target kaysa sa pag-hack sa account na iyon.
Ang social engineering ay tumutukoy sa pagmamanipula ng isang target upang ibigay nila ang mga pangunahing impormasyon. Bilang karagdagan sa pagnanakaw ng pagkakakilanlan ng isang indibidwal o pag-kompromiso sa isang credit card o bank account, ang social engineering ay maaaring mailapat upang makakuha ng mga lihim ng kalakalan ng isang kumpanya o pagsamantalahan ang pambansang seguridad.
Mahirap ang social engineering para sa mga potensyal na target upang maiwasan. Ang mga pag-iingat tulad ng paggamit ng malakas na mga password at dalawang-factor na pagpapatunay para sa mga account ay ginagamit, ngunit ang mga account ay maaari pa ring ikompromiso ng mga ikatlong partido na may access sa kanilang mga account, tulad ng mga empleyado sa bangko. Gayunpaman, ang mga indibidwal ay maaaring mabawasan ang kanilang panganib sa pamamagitan ng pag-iwas sa pagbibigay ng kumpidensyal na impormasyon, pagiging maingat kapag nagbabahagi ng impormasyon sa social media, hindi ulitin ang mga password, gamit ang pagpapatunay ng dalawang-kadahilanan, gamit ang pekeng o mahirap na hulaan na mga sagot sa mga katanungan sa seguridad ng account, at pagpapanatiling isang malapit sa mga account, lalo na ang mga account sa pananalapi.
Madalas na ginagamit ng mga nagsasalakay ang mga nakakagulat na simpleng taktika sa mga iskema sa panlipunan, tulad ng humihingi ng tulong sa mga tao. Ang isa pang taktika ay ang pagsamantala sa mga biktima ng kalamidad sa pamamagitan ng paghingi sa kanila na magbigay ng personal na makikilalang impormasyon tulad ng mga pangalan ng dalaga, mga address, petsa ng kapanganakan at mga numero ng seguridad sa lipunan para sa nawawala o namatay na mga mahal sa buhay - impormasyon na maaaring magamit sa pagnanakaw ng pagkakakilanlan.
Ang pagpili bilang isang propesyonal sa suporta sa tech o isang taong naghahatid ay madaling paraan upang makakuha ng hindi awtorisadong pag-access sa isang account tulad ng pagpapadala ng isang tila lehitimong email na may isang nakakahamak na kalakip. Ang ganitong mga email ay madalas na ipinadala sa isang email address ng trabaho kung saan ang mga tao ay mas malamang na maging kahina-hinala sa isang hindi kilalang nagpadala.
Ang mga email ay maaaring maitago upang lumitaw na parang nagmula sa isang kilalang nagpadala kapag sila ay talagang ipinadala ng isang hacker. Ang mas detalyadong mga taktika na naka-target sa mga tiyak na tao ay maaaring kasangkot sa pag-aaral tungkol sa kanilang mga interes at pagkatapos ay ipadala ang target ng isang link na may kaugnayan sa interes na iyon. Ang link ay maaaring maglaman ng malisyosong code na maaaring magnakaw ng personal na impormasyon mula sa kanilang mga computer. Ang mga sikat na diskarte sa panlipunang pang-industriya ay kinabibilangan ng phishing, cat fishing, tailgating, at baiting.
