🔐

Atacuri de inginerie socială

Securitatea Datelor Intermediate 1 min read 0 words

Definiția ingineriei sociale, clasificarea atacurilor (phishing, pretexting, baiting), ciclul atacului, exemple reale (RSA 2011, Target 2013, Stuxnet) și modelul Cyber Kill Chain.

Atacuri de inginerie socială

Ingineria socială reprezintă una dintre cele mai eficiente și persistente amenințări la adresa securității informaționale. Conform raportului „2023 Data Breach Investigation Report", 74% din breșele de securitate implică factorul uman, evidențiind faptul că oamenii, nu tehnologia, sunt adesea cea mai vulnerabilă verigă a lanțului de securitate.

Definiție

Ingineria socială (Social Engineering) este un ansamblu de tehnici prin care atacatorii manipulează psihologic indivizi sau grupuri pentru a obține acces neautorizat la informații, sisteme sau resurse sensibile, exploatând vulnerabilitățile comportamentului uman în loc de vulnerabilități tehnice.

Spre deosebire de atacurile tehnice pure, ingineria socială vizează factorul uman — cel mai greu de securizat element al oricărui sistem informatic.

Clasificarea atacurilor

Atacuri digitale (la distanță)

Tip atac Descriere Exemplu
Phishing Mesaje electronice frauduloase care imită entități legitime Email de la „banca ta" cerând verificarea contului
Spear-phishing Phishing direcționat, personalizat pentru o persoană/organizație specifică Email personalizat către un angajat RSA cu subiect legat de recrutare
Vishing Phishing prin apeluri telefonice (voice phishing) Apel de la „suportul tehnic Microsoft"
Smishing Phishing prin SMS SMS cu link către „colet nelivrat"
Baiting Plasarea unor dispozitive infectate (USB) în locuri accesibile USB-uri lăsate în parcarea unei companii

Atacuri bazate pe interacțiune directă

Tip atac Descriere
Pretexting Crearea unui scenariu fals (pretext) pentru a obține informații — atacatorul se prezintă ca o persoană de încredere
Quid pro quo Oferirea unui serviciu în schimbul informațiilor — „Vă ajut cu problema IT dacă îmi dați parola"
Tailgating Intrarea fizică într-o zonă restricționată urmând o persoană autorizată
Elicitarea Obținerea de informații sensibile prin conversații aparent inofensive, fără ca victima să conștientizeze

Ciclul atacului de inginerie socială

Atacurile de inginerie socială urmează un tipar bine definit, desfășurat în mai multe etape:

  1. Culegerea informațiilor (reconnaissance) — cercetarea țintei prin surse deschise (OSINT), rețele sociale, site-uri web
  2. Selectarea țintei — identificarea persoanelor cu acces la informațiile sau sistemele vizate
  3. Stabilirea relației — câștigarea încrederii victimei prin pretexting sau impersonare
  4. Exploatarea — utilizarea relației de încredere pentru a obține informații sau acces
  5. Execuția — utilizarea informațiilor obținute pentru atingerea obiectivului (exfiltrare date, instalare malware)
  6. Ștergerea urmelor — eliminarea dovezilor atacului pentru a preveni detectarea

Exemple reale celebre

Atacul asupra RSA Security (2011)

  • Metodă: Spear-phishing cu atașament Excel infectat („2011 Recruitment Plan.xls")
  • Vulnerabilitate exploatată: un angajat EMC (compania-mamă RSA) a deschis fișierul care exploata o vulnerabilitate zero-day în Adobe Flash (CVE-2011-0609)
  • Consecințe: compromiterea dispozitivelor de autentificare RSA SecurID, afectând guverne, instituții financiare și companii din domeniul apărării
  • Cost remediere: aproximativ 65 milioane de dolari
  • Malware utilizat: „Poison Ivy" — instrument de acces de la distanță care permitea înregistrarea tastărilor, captura de ecran și manipularea sistemelor

Atacul asupra Target (2013)

  • Metodă: Compromiterea unui furnizor terț (Fazio Mechanical Services — HVAC)
  • Vulnerabilitate exploatată: conexiune slab securizată a contractorului terț la rețeaua Target, lipsa segmentării rețelei
  • Consecințe: datele a peste 70 de milioane de clienți compromise, inclusiv date de card bancar
  • Malware utilizat: „BlackPOS" — instalat pe terminalele POS (Point of Sale) pentru interceptarea datelor cardurilor

Atacul Stuxnet (2010)

  • Metodă: USB drops (dispozitive USB infectate lăsate în locuri accesibile angajaților)
  • Țintă: sistemele SCADA ale instalațiilor nucleare iraniene (Natanz)
  • Impact: prima armă cibernetică cunoscută, a distrus fizic centrifugele de îmbogățire a uraniului prin modificarea vitezei de rotație, raportând simultan parametri normali operatorilor
  • Complexitate: exploata 4 vulnerabilități zero-day ale Windows

Modelul Cyber Kill Chain (Lockheed Martin)

Modelul Cyber Kill Chain descrie etapele unui atac cibernetic complex:

  1. Reconnaissance — cercetarea țintei
  2. Weaponization — pregătirea armei cibernetice (malware + exploit)
  3. Delivery — livrarea armei la țintă (email, USB, site web compromis)
  4. Exploitation — exploatarea vulnerabilității
  5. Installation — instalarea malware-ului persistent (backdoor)
  6. Command & Control (C2) — stabilirea canalului de comunicare cu serverul atacatorului
  7. Actions on Objectives — exfiltrarea datelor, distrugerea, sabotajul

Importanță: înțelegerea fiecărei etape permite implementarea de contramăsuri specifice la fiecare nivel. Blocarea atacului în orice etapă previne atingerea obiectivului final.

Evenimente care amplifică atacurile

Atacurile de inginerie socială sunt intensificate de evenimente intens mediatizate:

  • Tragedii și atentate — campanii de spam exploatând dorința de informare
  • Conflicte armate — spionaj cibernetic (ex. BlackEnergy în Ucraina)
  • Evenimente sportive — scheme frauduloase cu bilete false sau premii
  • Perioade de sărbători/promoții — site-uri false care imită comercianți legitimi
  • Lansări de produse — oferte fictive pentru produse populare (iPhone, Samsung)
  • Alegeri electorale — compromiterea conturilor de email ale candidaților

Puncte cheie pentru examen

  • 74% din breșele de securitate implică factorul uman (raport Verizon DBIR)
  • Ingineria socială exploatează vulnerabilități psihologice, nu tehnice
  • Ciclul atacului: culegere informații → stabilire relație → exploatare → execuție → ștergere urme
  • Spear-phishing = phishing direcționat, personalizat — cel mai eficient tip de atac
  • Atacul RSA (2011): spear-phishing cu Excel + zero-day Flash → compromiterea SecurID
  • Atacul Target (2013): acces prin furnizor HVAC terț → date 70M clienți compromise
  • Stuxnet: USB drops → prima armă cibernetică → distrugere fizică centrifuge nucleare
  • Cyber Kill Chain (Lockheed Martin): 7 etape de la reconnaissance la actions on objectives
  • Elicitarea = obținerea de informații sensibile prin conversații aparent inofensive

Test Your Knowledge

📚 Related Articles

Vulnerabilități ale factorului uman

Principiile psihologice ale lui Cialdini, trigger-ele emoționale, analiza semantică a emailurilor de phishing, profilul emoțional al mesajelor malițioase.

1 min

Măsuri de apărare și detectare phishing

Apărare stratificată (defence in depth), măsuri tehnice, Security Awareness Training, detectare prin machine learning (SVM, Naive Bayes), vectori hibrizi și metrici de evaluare.

1 min

Coduri bloc și proprietăți

Coduri bloc, cod unic decodabil, cod prefix (instantaneu), inegalitatea Kraft, inegalitatea McMillan, arbori de cod.

1 min

Noțiuni fundamentale de teorie a informației

Surse de informație, modelul sistemului de transmisie, proprietățile informației și măsura cantitativă a informației.

1 min

Circuite logice combinaționale și secvențiale

Porți logice fundamentale, tabele de adevăr, circuite combinaționale (sumatoare, multiplexoare, decodificatoare) și secvențiale (bistabile, registre, numărătoare).

1 min
← Back 📁 Securitatea Datelor