Redakcija: 20:29, 2. januar 2017 uredi Meta 96 (pogovor \| prispevki) 7 urejanj Brez povzetka urejanja Oznaka: vizualno urejanje ← Starejše urejanje		Redakcija: 02:43, 3. januar 2017 uredi razveljavi Meta 96 (pogovor \| prispevki) 7 urejanj Brez povzetka urejanja Oznaka: vizualno urejanje Novejše urejanje →
Vrstica 1: '''Socialni inženiring''' (angleško tudi "social engineering") je med prevaranti najpogosteje uporabljena tehnika v primerih zlorabe osebnih ~~informacij~~podatkov. Gre za tehniko, s katero napadalec od žrtve pridobi zaupne podatke in informacije s pomočjo zlorabe zaupanja. Tako v svetovnem spletu kot tudi v drugih pisnih virih obstaja več definicij, ki razlagajo ta pojem. Kljub velikem številu definicij pa je vsem skupen en imenovalec, ki ga lahko izpostavimo. To je manipulacija, ki je v večini primerov psihološko pogojena, saj napadalec uporablja različne psihološke tehnike kot so prigovarjanje, vzbujanje zaupanja, uporaba vpliva in podobno, ter z uporabo socialnih veščin ter zlorabo zaupanja pridobi od žrtve zaupne informacije, do katerih sicer ni pooblaščen. Kljub temu, da je socialni inženiring tesno povezan z napadi na [[Informacijski sistem\|informacijske sisteme]]<ref>{{Navedi splet\|url=https://podcrto.si/kiberkriminal-v-sloveniji-1-od-spletnih-prevar-do-vohljanja-tajnih-sluzb/\|title=Kiberkriminal v Sloveniji - od spletnih prevar do vohljanja tajnih služb\|date=4. 1. 2015\|accessdate=10. 12. 2016\|publisher=\|last=Voh Boštic\|first=Anže}}</ref> pa ne smemo pozabiti, da je temeljni cilj te tehnike pridobitev podatka ali informacije, ki se ne pojavlja nujno samo v digitalni obliki, temveč se pojavlja tudi kot pisano besedilo, slika, ustni [[podatek]] ali [[informacija]].<ref name=":1">{{Navedi splet\|url=https://dk.um.si/Dokument.php?id=21718\|title=Socialni inženiring v spletnih socialnih omrežijih\|date=Januar 2011\|accessdate=15. 12. 2016\|website=\|publisher=\|last=Gregorič\|first=Uroš}}</ref> Pridobljene informacije lahko napadalec uporabi za pridobivanje premoženjske koristi, redkeje pa se lahko zgodi, da jih uporabi tudi v druge namene kot so [[izsiljevanje]], grožnje, šikaniranje ali kakršnokoli drugo spravljanje žrtve v slabši in nelagoden položaj.<ref>{{Navedi splet\|url=http://www.siq.si/informacijske_tehnologije/socialni_inzeniring/index.html\|title=Socialni inženiring\|date=\|accessdate=10. 12. 2016\|website=\|publisher=\|last=\|first=}}</ref> == Delitev napadov socialnega inženiringa == Vrstica 44: ==== Ribarjenje (phising) ==== Izraz ribarjenje podatkov ([[phishing]]) izvira iz angleških besed za geslo (password) in ribarjenje (fishing). Gre za nezakonit način zavajanja uporabnikov, pri katerem poskuša prevarant s pomočjo lažnih spletnih strani in elektronskih sporočil od uporabnikov na takšen ali drugačen način izvabiti njihove osebne podatke, kot so: številke kreditnih kartic, uporabniška imena in gesla, digitalna potrdila in ostale osebne podatke. ==== Pharming napadi ==== Napadi pharming (gre za skovanko med angleškima besedama farming in pharmacy, navezuje pa se na tehniko genetskega inženiringa,v svetu interneta bi lahko govorili o inženiringu naslovov spletnih mest), so za uporabnika zelo nevarni, saj jih je težko prepoznati. Glavna razlika med phishing-om in pharming-om je v tem, da gre pri pharmingu bolj za tehnični napad kot za tehniko socialnega inženiringa, na katerem temelji ribarjenje podatkov. Praviloma gre bodisi za neposreden napad na [[DNS\|DNS strežnike]], bodisi za napad na določeno datoteko, ki se nahaja na računalniku uporabnika (gre za t.i. datoteko o gostiteljih oz. host file, kjer se nahajajo podatki o [[URL\|URLjih]] in domenah). Uporabnik je v teh primerih prepričan, da se nahaja na pravi strani, saj je vtipkal pravi URL naslov strani, v resnici pa ga je eden od omenjenih načinov napada preusmeril na lažne strani, ne da bi se pri tem spremenil URL naslov v oknu brskalnika. Uporabnik je seveda v tem lažnem zaupanju dovolj samozavesten, da vnaša svoje osebne podatke v obrazce, ki se nahajajo na takšnih straneh.<ref name=":0" /> ==== Trojanski konj, virusi in črvi ==== Vrstica 56: === Vishing === Vishing je novejši poltehnični pristop socialnega inženiringa, ki izkorišča telefonske sisteme vrste VoIP (Voice over IP).<ref name=":0" /> Vishing se uporablja predvsem za krajo identitete in drugih zaupnih podatkov. Pri izvedbi klica napadalec skrije pravo številko in jo zamenja s številko, ki joje ~~žrtev~~žrtvi ~~pozna~~poznana ali ji zaupa ~~(npr. operaterja)~~. Tehniko je mogoče uporabiti v navezi z ribarjenjem, tako da je v elektronski pošti navedena številka namesto spletne povezave. Napad se izvede ob pomoči vnaprej posnetega govora, ki uporabnika opozori, da je z njegovim računom nekaj narobe. Nato ga ta posnetek vodi skozi procese, ki na koncu pripeljejo do želenega razkritja zaupnih informacij. === Neposredni pristop in ankete === Vrstica 71: === Ostalo === Poleg zgoraj omenjenih tehnik socialnega inženiringa, ne smemo pozabiti tudi na ostale stvari, ki jih lahko dokaj hitro spregledamo oziroma se nanje ne oziramo. Ljudje se namreč ne zavedamo, da lahko izkušeni napadalci izkoristijo naše pomanjkljivo znanje in premajhno količino pozornosti ter tako pridejo do nekaterih podatkov tudi preko piškotkov, ki se pojavljajo na spletnih straneh, saj le ti včasih lahko kršijo zasebnost, preko mobilnih naprav, na katerih imamo uporabniki veliko aplikacij, katerim pred uporabo dovolimo dostop do podatkov, kot so npr. lokacija, slike, kontakti v imeniku in podobno ter preko brezžičnih omrežij. Vse te stvari, na katere morda nismo dovolj pozorni in se nam morda zdijo celo samoumevne, pridno izkoristijo nepridipravi, ki so dobro podkovani na področju informacijske tehnologije in se tako na prikrit način dokopljejo do naših osebnih podatkov, brez da bi se mi tega sploh zavedali. ==== Piškotki ==== Piškotki so majhne tekstovne datoteke, ki se shranijo na uporabnikovem računalniku ob obisku spletne strani. Njihov namen je poenostavitev uporabnikovega dela. Nekatere spletne storitve zahtevajo uporabniško ime in geslo in da ob ponovnem obisku ni potrebno znova vpisovati teh podatkov, nam lahko ob pripadajoči izbiri pomagajo prav piškotki. Piškotki lahko tudi kršijo zasebnost, če posameznik o njih ni ustrezno obveščen in npr. lastniki spletnih strani zaznajo uporabnikovo nakupovalno obnašanje na spletu in tako sestavijo uporabniški profil.<ref name=":0" /> ==== Mobilni telefoni, dlančniki, modri zob ==== Dnevi, ko smo ljudje uporabljali mobilne telefone zgolj za pogovore so že nekaj časa v ozadju oziroma so prešli. Tehnologija se iz dneva v dan razvija in ustvarja nove možnosti uporabnikom različnim naprav. Tako so tudi mobilni telefoni dandanes postali prave multifunkcijske naprave, saj nam omogočajo vse vrste aplikacij, obenem pa nam omogočajo vsakodnevni dostop do velike količine različnih podatkov in informacij. ==== Brezžična omrežja ==== ~~WLAN kratica pomeni Wireless Local Area Network, v prevodu brezžično omrežje.~~ S to tehnologijo komunicirajo različne naprave, notesniki, mobilni telefoni, tiskalniki, projektorji in druge naprave, kiin ~~imajo~~sicer ~~potrebo~~so ponaprave ~~mobilnosti~~med seboj povezane brez uporabe kablov. ~~Delujejo~~Brezžična omrežja namreč izkoriščajo radijske valove. Zato tudi delujejo na različnih frekvenčnih območjih in ~~z različnimi~~različnih ~~razredi~~stopnjah varnosti. Varnost oziroma ranljivost komunikacije je ~~v odvisnosti~~odvisna od same konfiguracije naprav za brezžični pristop. Omogočeno je prestrezanje, saj je nosilec oz. medij zrak, in kljub enkripciji prometa obstaja možnost spremljanja prometa.<ref>{{Navedi splet\|url=https://sl.wikipedia.org/wiki/Brez%C5%BEi%C4%8Dno_omre%C5%BEje\|title=Brezžično omrežje\|date=23. 2. 2016\|accessdate=3. 1. 2017\|website=\|publisher=\|last=\|first=}}</ref> Najhujši primer je namestitev tujega brezžičnega usmerjevalnika direktno v omrežje podjetja. Obiskovalec namesti usmerjevalnik na prosto mrežno vtičnico in ga nekje skrije. Od zunaj na varnem, recimo na parkirišču, pa brez problema dostopa do zaupnih podatkov.<ref>{{Navedi splet\|url=https://prezi.com/izqwp_jnyer3/socialni-inzeniring/\|title=Socialni inženiring\|date=12. 9. 2014\|accessdate=5. 12. 2016\|website=\|publisher=\|last=\|first=}}</ref> == Posledice napadov == Vrstica 100 ⟶ 101: === Kraja osebnih podatkov === Vsaka kraja oziroma zloraba osebnih podatkov je v Kazenskem zakoniku Republike Slovenije, opredeljena kot kaznivo dejanje, ki se preganja po uradni dolžnosti. Kraja osebnih podatkov za oškodovanca pomeni posebno hud poseg v njegovo zasebnost, obenem pa so posledice v nekaterih primerih lahko tako velike, da se po intenziteti in škodi lahko primerjajo z drugimi kaznivimi dejanji, ki se nanašajo predvsem na premoženje, lahko pa tudi na življenje in telo. Urad informacijske pooblaščenke definira, glede na ZVOP, osebni podatek kot »katerikoli podatek, ki se nanaša na določeno ali določljivo fizično osebo, torej posameznika, na glede na obliko, v kateri je izražen« (IP RS, 2007). === Motenje zasebnosti in kraja datotek iz osebnih računalnikov === Vrstica 106 ⟶ 107: === Finančne posledice === Tarče napada so predvsem finančne ustanove in njihove stranke. Vsaka oseba ali podjetje, ki ima internetno povezavo, ne glede na področje svojega dela, je lahko tarča napada. Finančne ustanove lahko zagotovijo določeno stopnjo varnosti na svoji strani, nimajo pa nadzora nad računalniki svojih strank. Tako lahko v primeru, da se socialni inženir dokoplje do ustreznih podatkov, oškoduje žrtev na način, da prevzame njihov bančni račun in tako pokrade denar, kar lahko pripelje tudi do drugih resnih posledic, npr. izgube nepremičnine in ostalega premoženja, podjetja in ostale organizacije pa lahko spravi v stečaj oziroma bankrot ali pa jih začasno oškoduje, saj ne morejo zagotoviti dovolj finančnih sredstev za stroške, plače zaposlenih, proizvodnjo in ostale reči. === Izguba ugleda === Če gledamo na dolgoročni rok, za nekatere organizacije izguba ugleda predstavlja veliko večjo škodo, kot pa npr. sama izguba dobička. V primeru, da organizacija ohrani ugled in dobro ime, ima še vedno možnost, da zoper pridobi stranke in ostale sodelavce ter morebitne investitorje, kar pa je v primeru izgubljenega ugleda veliko težje, saj ljudje izgubijo zaupanje v sodelovanje in pa organizacijo samo. Gledano dolgoročno je za marsikatero podjetje ali finančno ustanovo morda bolj kot finančna izguba škodljivo to, da je izgubilo ugled in da so ljudje izgubili zaupanje v poslovanje s takim podjetjem (Gregorič, 2008). == Zaščita pred socialnim inženiringom == Vrstica 118 ⟶ 119: Pomembno pri telefonskih pogovorih je, da se gesel in zaupnih podatkov ne posreduje po telefonu. Gre predvsem za to, da osebi, ki kliče nikoli ne smemo popolnoma zaupati. Na internetu je potrebno izpostaviti problematiko z gesli. TuZavedati ~~lahko~~se ~~večino~~moramo ~~uporabniških~~dejstva, ~~gesel~~da ~~razvrstimo~~so vgesla ~~4 skupine.~~sicer Vnajenostavnejši ~~prvo~~način ~~skupino~~identifikacije ~~spadajo gesla~~uporabnika, kivendar sepa ~~navezujejo~~predstavljajo nadokaj ~~družino~~nizko ~~(imena,~~zaščito. ~~vzdevki,~~Večina ~~ime~~ljudi ~~otroka,~~za ~~partnerja,~~dostop ~~domače~~do ~~živali,~~različnih ~~rojstni~~spletnih ~~datumi).~~strani Vin ~~drugo~~pa ~~skupino~~v ~~spadajo~~prvi ~~idoli,~~vrsti tuza sodostop nado ~~primer~~svoje ~~imena~~elektronske ~~športnikov~~pošte, ~~glasbenikov,~~uporablja ~~igralcev~~in ~~itd.~~izbira ~~Tretja~~gesla, ~~skupina~~glede sona ~~fantazijska~~to, ~~gesla~~kar najbolje poznamo in ~~zadnja~~kar ~~četrta~~nam ~~skupina,~~je ~~skrivnostna~~blizu. ~~ali~~Največkrat ~~nejasna~~so ~~gesla,~~to kiimena sodružinskih ~~sestavljena~~članov, izrojstni ~~različnih~~datumi, ~~znakov~~vzdevki, ~~številk~~ime otroka ali partnerja, ~~simbolov~~ime živali in podobno. Potrebno se je zavedati, da se lahko do teh družinskih podatkov z malo spretnosti dokoplje socialni inženir, ki nato preizkusi nekaj kombinacij in tako pride do gesla. == Pravno varstvo == Po 38. Členu [[Ustava Republike Slovenije\|Ustave RS]]<ref>{{Navedi splet\|url=http://www.us-rs.si/media/ustava.republike.slovenije.pdf\|title=Ustava Republike Slovenije\|date=30. 6. 2006\|accessdate=11. 12. 2016\|website=\|publisher=Uradni list RS, št. 68/06\|last=\|first=}}</ref> je zagotovljeno varstvo osebnih podatkov, ter prepovedana uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Vsak pa se ima pravico seznaniti z zbranimi osebnimi podatki, ki se nanašajo nanj, ter pravico do sodnega varstva ob morebitni zlorabi. Kar pomeni, da je v skladu z Ustavo RS dovoljena tistih osebnih podatkov, ki je vnaprej predvidena in določno vnaprej opredeljena v posameznem zakonu. Torej gre pri pridobivanju osebnih podatkov in drugih informacij, s pomočjo socialnega inženiringa za kaznivo dejanje, saj napadalci sami niso pooblaščeni za dostop do teh podatkov. Tovrstno kaznivo dejanje se torej preganja po uradni dolžnosti. Glede pravnega varstva osebnih podatkov si lahko več preberemo v [[Kazenski zakonik\|Kazenskem zakoniku]] ter [[Zakon o varstvu osebnih podatkov Republike Slovenije\|Zakonu o varstvu osebnih podatkov.]]<ref name=":0" /> === Prijava kršitev ===

Socialni inženiring: Razlika med redakcijama