Socjotechnika

Inżynieria społeczna, inżynieria socjalna, socjotechnika — w bezpieczeństwie teleinformatycznym zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę. Hackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku. Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym najczęściej jest człowiek.

Komputerowi oszuści często podają się za inne osoby, aby wyłudzić od swoich ofiar cenne dane. Cracker może dla przykładu podać się za administratora banku i przesłać ofiarom adres swojej strony, która łudząco przypomina stronę banku internetowego. Dzięki opanowaniu inżynierii socjalnej oszust wie, że przeciętny użytkownik nigdy nie sprawdza, czy strona jego banku jest oznaczona kłódką symbolizującą nawiązanie bezpiecznego połączenia. Nieostrożni klienci pozostawiają internetowemu złodziejowi swoje dane, które ten może wykorzystać do oczyszczenia ich kont z pieniędzy. Działanie opisane w tym przykładzie określane jest nazwą "phishing".

Wielkie korporacje wydają ogromne sumy na zapewnienie sobie informatycznego bezpieczeństwa. Koszty obejmują zakup wyspecjalizowanej infrastruktury (np. firewall) oraz zatrudnianie najlepszych administratorów dbających o stałe aktualizowanie oprogramowania. Jednak wszystkie wydatki na bezpieczeństwo mogą okazać się bezowocne, jeżeli każdy pracownik firmy nie zostanie poddany szkoleniu uczącemu go technik obrony przed inżynierią socjalną.

Wśród laików powszechna jest opinia, że żaden cracker nie włamie się do wyłączonego komputera. Jednak sprytny oszust może posłużyć się inżynierią społeczną. Wystarczy, że zadzwoni o 2:00 w nocy do ochrony w atakowanej firmie, aby przekonać strażników, że jest asystentem prezesa. Potem prosi ich, aby włączyli komputer, który jest celem ataku. Następnie niedoszkoleni strażnicy instalują na polecenie crackera w tej maszynie niegroźnie wyglądający program. W rzeczywistości strażnicy instalują konia trojańskiego pozwalającego na obejście zabezpieczeń. W ten sposób komputerowy przestępca może uzyskać dostęp do tajnych informacji.

Stosowanie technik inżynierii społecznej jest przestępstwem ściganym przez prawo polskie. Podszywanie się pod inną osobę oraz przejmowanie informacji niejawnych jest zagrożone karą pozbawienia wolności. Instytucje publiczne oraz firmy muszą wprowadzać systemy autoryzacji osób kontaktujących się z pracownikami firmy elektronicznie. Konieczne jest ciągłe podnoszenie kwalifikacji wszystkich pracowników posiadających dostęp do informacji niejawnych w zakresie zasad bezpieczeństwa teleinformatycznym.