Segurtasun informatikoaren esparruan, ingeniaritza sozialari buruz hauxe dio Wikipediak: ingeniaritza soziala erabiltzaileak manipulatuz isilpeko informazioa eskuratzean datza. Ingeniari sozialak Internet edo telefonoa erabiltzen du biktima engainatzeko eta, ondorioz, isilpeko informazioa lortzeko (pasahitzak, kontu korronte gakoak…) edo hark legez kanpoko zerbait egin dezan lortzeko.
Segurtasun informatikoari dagokionez, punturik ahulena erabiltzaileak direla esan ohi da. Hori dela eta, askotan erasorik errazena ere ingeniaritza soziala izan ohi da.
Interneten segurtasunaz ari garenean, garbi dugun gauza da ezer eta inor ez dagoela erabat salbu. Antibirus eraginkorrena izanda, ederto konfiguratutako suhesi bat erabiliz edo gure kontuetako pasahitzetan kate luze eta korapilatsuak erabilita ere, erabiltzaile gisa, gu gara segurtasun katean kate-mailarik ahulena.
Sistemei erasotzeko asmoarekin, gizakion ahulezia aprobetxatzen du ingeniari sozialak, eta, horretarako, hainbat teknika erabiltzen ditu. Ingeniaritza soziala arte bat dela ere esan daiteke; iruzurra eta nahasketa tresna gisa erabiltzen dituen ahalegina, hain zuzen ere.
Pirata informatikoek sistemetako softwarearen ahuleziak aprobetxatzen dituzten bezala, badira pertsonak limurtu eta maneiatzen trebeak direnak, eta gizakion ahuleziak aprobetxatuz, hainbat sistematarako sarbideak lortzen dituzte: sare sozialetako kontuak, posta elektroniko kontuak, kreditu txartelen zenbakiak eta, orokorrean, pribatua izan daitekeen edozein informazio.
Kevin Mitnick da ingeniari sozial ezagunenetako bat, eta, haren aburuz, ingeniaritza sozialaren ardatz nagusiak gizakiok ditugun lau joeratan oinarritzen dira: denok dugun laguntzeko joera, besteengan konfiantza izateko joera, ezetz esatea ez zaigula gustatzen, eta denoi laudatuak izatea gustatzen zaigula. Kevin Mitnicken bizitzan oinarritutako pelikula da Takedown, eta horretan, ingeniaritza sozialean erabiltzen diren hainbat teknika erakusten dira.
Eraso horiei aurre egiteko modurik eraginkorrena prebentzioa eta ezagutza direnez, hurrengo lerroetan, gure datuak eskuratzeko erabiltzen diren zenbait metodo azalduko ditugu: phishing, vishing eta baiting.
‘Phishing’
Phishing-a ingeniaritza sozialak gehien erabiltzen duen eraso modua dugu. Phishing erabile- ra ohikoena iruzur egiteko posta elektronikoa baliatzen duena da.
Horrelako eraso bat egiteko, normalean, biktima nahastuko duen Interneteko domeinu baten jabe egiten da erasotzailea. Adibidez, banketxe baten URL edo helbidearen antzekoa den beste helbide baten jabe egingo da erasotzailea, eta biktimak antzeko helbide horretara sartzera gonbidatuko ditu, aitzakiaren bat erabiliz. Antzeko helbide horretan, banketxearen orrien itxura berdina duen orri bat ikusiko du erasandako pertsonak, eta oharkabean, bere erabiltzaile izena eta pasahitzak sartuko ditu eta gure erasotzaileak erabiltzailearen datu pribatuak eskuratuko ditu.
Horrelako eraso saioak ugariak dira. Hainbat mezu elektroniko jasotzen ditugu, gehienbat bezero ez garen ustezko banketxeenak, eta haietan guztietan, gure erabiltzaile izena eta pasahitzak sartzeko eskatzen zaigu, egiaztatu behar direlako aitzakiarekin.
Zorionez, phishing-a atzemateko metodorik errazena ere bada, eta gehienetan, erabiltzen ditugun posta zerbitzuak iruzur mezu horiek iragazteko trebe izaten dira. Dena den, kontuan izan behar dugu, banketxeek behin eta berriro gogorarazten diguten bezala, ez digutela sekula bidaliko posta elektroniko bidez gure sarbideak egiaztatzeko eskakizunik.
‘Vishing’
Vishing izenekoa phishing-aren antzekoa da; helburua bera izanik, posta elektronikoa eta webgune faltsu bat erabili beharrean, telefono dei bat erabiltzen da.
Vishing modu arruntena hau da. Biktimak dei automatiza- tu bat jasotzen du, eta adieraz- ten zaio bere kreditu txartela berraktibatzeko telefono zenbaki batera deitu behar duela. Telefono dei bat jaso beharrean, posta elektronikoko mezu bat ere jaso daiteke, eta telefono zenbaki batera deitzeko gonbita egiten zaio.
Telefono deiari edo posta mezuari jaramon egiten dion pertsonak, jaso duen telefono zenbakira deitu, eta makina baten erantzuna jasoko du normalean, eta kreditu txartelaren datuak eskatuko dizkio.
Inkesta edo lortutako sari baten aitzakiarekin ere, erasotzaile batek gure datu pribatuak lortzeko hainbat galdera egin ahal dizkigu.
‘Baiting’
Metodo honek gizakiok dugun ahultasun edo bertuterik handienetako bat aprobetxatzen du: jakin-mina. Erasotzaile batek, nahita, USB giltza edo CD moduko disko bat utz dezake edozein izkinatan norbaitek aurki dezan. Gailua aurkitzen duen pertsonak ordenagailura konektatzen badu, gailu horretan dagoen software gaizto batek ordenagailua kutsa dezake, gure komunikazioak zelatatuko dituen programa ezkutu bat instalatuz.
Eguneratutako antibirus bat izatea baiting-aren kontrako neurri eraginkorra izan badaiteke ere, kontu handia izan behar da jatorri zalantzagarria duen edozein gailu ordenagailura konektatzeko orduan.
