Zašto je socijalni inženjering opasan
Najslabija karika u sigurnosti rijetko je tehnologija — to su ljudi. Socijalni inženjering iskorištava psihologiju: povjerenje, želju za pomaganjem, strah od autoriteta i osjećaj žurbe. Zato i organizacije s jakom tehničkom zaštitom stradaju ako zaposlenici nisu educirani. Phishing je najčešći oblik, ali tehnike su brojne.
Najčešće tehnike
- Phishing — lažne poruke e-pošte koje navode na klik, unos podataka ili otvaranje privitka
- Spear-phishing — ciljani napad na konkretnu osobu uz personalizirane podatke
- CEO prijevara (BEC) — lažno predstavljanje rukovoditelja radi naloga za plaćanje
- Pretexting — izmišljen scenarij (npr. lažni IT podrška) radi izvlačenja podataka
- Vishing i smishing — prijevara telefonom i SMS-om
- Baiting — ostavljeni zaraženi USB ili primamljiva ponuda
Kako se obraniti
- Redovita edukacija i phishing simulacije
- Pravilo provjere neuobičajenih zahtjeva drugim kanalom (osobito plaćanja)
- Dvofaktorska autentifikacija da ukradena lozinka ne bude dovoljna
- Kultura u kojoj je prijava sumnje poželjna, a ne kažnjiva
Ključna regulativa
- NIS2 / Zakon o kibernetičkoj sigurnosti (NN 14/2024) — svijest i edukacija kao mjere upravljanja rizicima
- GDPR čl. 32. — organizacijske mjere sigurnosti uključuju educirano osoblje