Ono što se vekovima zvalo „prevara“, gde nas prevarant tako vešto navede da mu sami rado damo ono što želi, pa često i da ponudimo više od toga – danas se popularno, a posebno u sajber prostoru, naziva socijalnim inženjeringom.
Navođenje žrtve da nam dobrovoljno otkrije svoje ili tuđe podatke, da nas pusti u prostor u koji ne bi smela, da izvede neke protivzakonite operacije ili da nam da novac – osnovna je pretpostavka socijalnog inženjeringa.
Prema Nacionalnom centru za prevenciju bezbednosnih rizika u IKT sistemima Republike Srbije (CERT) ovo su najčešći oblici napada socijalnog inženjeringa.
Phishing
Stiže nam poruka (mejl ili SMS) koja nam stvara osećaj straha, hitnosti ili radoznalosti i navodi nas da kliknemo na priloženi link ili otvorimo prilog. Klik na link vodi na lažnu stranicu, koja liči na legitimnu i kreirana je u cilju prikupljanja podataka kao što su e-adresa i lozinka. Klik na enable contentili enable editingu dokumentu iz priloga, automatski pokreće zlonamerni softver koji ubrizgava određene procese u operativni sistem primaoca, kako bi onemogućio detekciju od strane antivirusa i drugih bezbednosnih softverskih rešenja.
Spear phishing
Ciljana verzija phishing prevare kojom napadač bira određenu osobu ili kompanije, kreira tekst poruke na osnovu njihovih karakteristika, radnih mesta i kontakata kako bi napad bio manje upadljiv. Ukoliko se napad vešto izvede, teško ga je detektovati a procenat uspešnosti je visok. Jedan od scenarija je onaj u kojem se napadač predstavlja kao kolega iz IT službe i šalje poruku e-pošte jednom ili više zaposlenih. Tekst poruke, potpis i način komunikacije je vrlo sličan uobičajenom načinu komunikacije sa IT službom što primaoce navodi da misle da je poruka autentična. Porukom se traži od primalaca da promene lozinku klikom na link, koji ih preusmerava na zlonamernu internet stranicu na kojoj napadač snima sve kredencijale koje unesu.
Baiting
Sadrži „mamac“ u vidu neke stvari koja će privući žrtvu ili obećanje da će dobiti neku nagradu. Na primer, napadači ostavljaju USB sa zaraženim malveromna vidljivom mestu gde potencijalne žrtve mogu sigurno da ga vide (npr. toalet, lift, parking, hodnik). USB ima intrigantnu nalepnicu kako bi ga žrtva iz radoznalosti ubacila u poslovni ili kućni računar i automatski instalirala zlonamerni softver. Onlajn baiting napad za mamac koristi oglase za besplatno preuzimanje muzike, filmova ili aplikacija sa internet stranica koje su zaražene zlonamernim softverom.
Pretexting
Podrazumeva prethodnu radnju sa dobro osmišljenim scenariom kako bi se došlo do ličnih podataka žrtve i obično se sprovodi telefonom ili u direktnom kontaktu. Podatke zatim koristi za krađu identiteta ili za izvršenje nekog drugog krivičnog dela. Napadač se najpre lažno predstavlja, ali bira identitet autoriteta (policajac, bankarski ili poreski službenik) kako bi uspostavio odnos poverenja, a zatim traži podatke radi navodne provere: JMBG, adresu stanovanja, telefonske brojeve, datum odmora, bankovne evidencije, pa čak i podatke o merama zaštite i bezbednosti kompanije u kojoj je žrtva zaposlena. Napadač može da se predstavi kao spoljni revizor IT usluga i zatraži dozvolu za ulazak u zgradu. Dok fišing napadi uglavnom zloupotrebljavaju strah i hitnost, ovi napadi se oslanjaju na izgradnju lažnog osećaja poverenja sa žrtvom, kroz verodostojnu priču koja žrtvi ostavlja malo prostora za sumnju.
Scareware
Obuhvata lažne alarme ili upozorenja da nam je operativni sistem zaražen i poziva da instaliramo softver koji će nam navodno pomoći da se rešimo zlonamernog softvera.Uobičajeni primer ovog napada su baneri koji se pojavljuju u veb pretraživaču, gde se obično prikazuje tekst poput „Računar može biti zaražen štetnim špijunskim softverom“ ili nam se nudi da instaliramo alat koji je zaražen, a često nas i usmerava na zlonamernu lokaciju na vebu. Može se sprovesti i preko neželjenih mejlova kojima se dostavljaju lažna upozorenja ili nam se nudi kupovina rizičnih usluga.
Tailgating
Podrazumeva fizičko prisustvo napadača u prostorijama firme gde je zabranjen pristup, tako što će pratiti zaposlenog koji ima autentifikaciju. Napadač se može predstavljati kao vozač, koji će uspostaviti komunikaciju sa nekim od zaposlenih koji ulaze u zgradu i ući sa njim, a zatim nastaviti u službene prostorije.
