Unapofikiria mashambulizi ya mtandaoni, pengine unawaza mdukuzi wa hali ya juu nyuma ya skrini ya Matrix-esque inayopenya mitandao kwa ustadi wake wa kiufundi. Hata hivyo, ukweli wa mashambulizi mengi ni ya kawaida zaidi. Barua pepe rahisi iliyo na mada isiyo na hatia kama vile “Jaribio la uwasilishaji ambalo halijatolewa” iko kwenye folda ya barua taka ya mfanyakazi. Wanaifungua bila kujali, kisha huingiza vitambulisho vyao vya Ofisi ya 365 kwenye ukurasa wa kuingia unaoonekana kuaminika unaoonekana. Mara moja, watendaji wabaya wana utawala huru katika mifumo ya shirika bila kutoa jasho. Mfano huu (ambao ni wa kweli kabisa) unaangazia tishio kubwa la wizi wa data binafsi unaoletwa leo. Badala ya ushujaa wazi wa kiufundi, washambuliaji hutumia mbinu za uhandisi za kijamii ambazo hugusa udhaifu wa akili ya mwanadamu. Barua pepe zilizoundwa kwa ustadi hupita hata ulinzi salama zaidi wa pembeni kwa kuwahadaa watumiaji ili kuwezesha ufikiaji kwa hiari. Katika blogu hii, nitachanganua mbinu za ulimwengu halisi za washambuliaji kutumia maeneo yetu dhaifu na maeneo ya maumivu. Pia nitaonyesha jinsi majaribio haya ya udukuzi yanavyoweza kulinganishwa na mashambulizi ya kawaida ya hadaa ambayo wengi wetu tumeyazoea. Kwa njia hiyo, unaweza kutambua na kupinga majaribio ya kuhadaa ili kupata maelezo ya kibinafsi ambayo huongeza vichochezi vya kisaikolojia dhidi yako. Anatomia ya Udanganyifu wa Kuhadaa Mkuki Kabla ya kuchanganua maelezo mahususi ya uhandisi wa kijamii, hebu tuweke kiwango kuhusu kile kinachofafanua shambulio la hadaa kwa kutumia mikuki. Inayolengwa sana: Hadaa ya Spear inalenga watu au mashirika mahususi kwa kutumia ubinafsishaji na muktadha ili kuboresha uaminifu. Hii inaweza kuwa mada, saini zinazojulikana, maelezo ya kampuni, miradi iliyoshughulikiwa, n.k. Inaonekana kuwa halali: Wahadaa wa Spear huwekeza muda katika kufanya barua pepe na kurasa za kutua zionekane kuwa 100%. Mara nyingi watatumia nembo halisi, vikoa na data iliyoibwa. Hutafuta data nyeti: Lengo kuu ni kuwafanya waathiriwa watoe vitambulisho, maelezo ya benki, siri za biashara au taarifa nyingine nyeti au kusakinisha programu hasidi. Huleta hisia ya dharura/hofu: Mistari ya mada na maudhui hubonyeza vichochezi vya hisia zinazohusiana na dharura, udadisi, hofu na shaka ili kupata mibofyo ya haraka bila kufikiria kwa kina. Kwa kuweka msingi huo, hebu tuchunguze jinsi wahadaa wa spear phishers kijamii huhandisi mashambulizi yao ili kutumia udhaifu wa kibinadamu kwa mafanikio ya kutisha. #1: Wanaongeza Tamaa ya Kibinadamu ya Kuwa Msaada Wanadamu wana hamu ya asili ya kuonekana kama msaada. Wakati mtu anakuomba upendeleo, silika yako ya kwanza ni uwezekano wa kutaka kusema ndiyo badala ya kuwakisia. Wahadaa wa Spear hutumia sifa hii kwa kutengeneza barua pepe zinazofanya maombi yawe ya kuridhisha na muhimu. Hata kuanza tu barua pepe yenye “Natumai unaweza kunisaidia na…” huchochea upendeleo wa usawa unaoongeza hatari ya kushambulia. Hebu tuangalie mfano: Mada: Usaidizi wa HARAKA Unaohitajika kwa Barua pepe Mwili: “Hujambo Amanda, ninawasiliana kwa sababu ninahitaji usaidizi wako, tafadhali. Kwa sasa siko ofisini na nina matatizo ya kufikia ankara. Je, ungependa kunitumia ankara 2 za hivi majuzi tulizopokea? Ninahitaji kuzituma mwishoni mwa siku. Samahani kwa ombi la dharura! Tafadhali nijulishe. Asante, Sarah.” Barua pepe hii inaleta pamoja vichochezi vinne vya uhandisi wa kijamii vinavyofaa zaidi: Ustaarabu – Kusema “tafadhali” na “asante” inalingana na kanuni za kijamii za kutafuta usaidizi. Hisia ya dharura – Kuunda muda mfupi wa makataa kunasukuma hatua za haraka bila mawazo ya kina. Tatizo lisiloeleweka – Kuweka mambo maalum bila kueleweka huibua udadisi na hamu ya kusaidia. Sahihi inayojulikana – Jina la mtumaji linalojulikana huchochea uaminifu. Wanapokabiliwa na ombi la usaidizi la upole ambalo linaonekana kuwa nyeti kwa wakati, wengi watatii bila kufikiria hatari zinazoweza kutokea. Hii inaruhusu wahadaa wa spear kukusanya data nyeti au kupata waathiriwa kubofya viungo vya dodgy kwa urahisi kabisa. #2: Wanatengeneza Mamlaka Saikolojia ya binadamu imewekewa masharti madhubuti ili kuahirisha watu wenye mamlaka. Wakati mtu katika uongozi anakuuliza ufanye jambo fulani, kuna uwezekano unatekeleza tu bila kuuliza maswali mengi. Mashambulizi ya kuhadaa ili kupata maelezo ya kibinafsi mara nyingi huchukua fursa ya mwelekeo huu kwa kuchukua nafasi ya mamlaka. Wanadanganya majina ya watendaji, vyeo vya wasimamizi, akaunti za msimamizi, au majukumu kama vile HR ambayo hutoa maelekezo, na kuwafanya waathiriwa kuwa na uwezekano mkubwa wa kutii maombi papo hapo. Hii ni baadhi ya mifano: Barua pepe inayojifanya kuwa kutoka kwa Mkurugenzi Mtendaji ikidai malipo ya haraka ya kielektroniki. Akaunti ghushi ya IT inayoomba kuweka upya nenosiri ili kutatua “matatizo ya mtandao”. Barua pepe ya kuiga kutoka kwa mkuu wa HR akiuliza masahihisho ya maelezo ya amana ya moja kwa moja. Kuweka mtumaji kama mwenye ushawishi husababisha walengwa kupunguza umakini wao na kujihusisha bila shaka. Badala ya kutathmini kwa kina, waathiriwa hujikuta wakisonga haraka ili kuzuia kuwakatisha tamaa watu walio juu. #3: Huzua Mawazo ya Kuaminiana Kanuni ya uthibitisho wa kijamii inasema kwamba ikiwa watu wengine wanaamini kitu, kuna uwezekano mkubwa wa kukiamini pia. Kuhadaa kwa kutumia mkuki kwa mara nyingine kunanufaika na hili kwa kujenga dhana potofu kwamba ni wa kuaminika kupitia maelezo yanayotambulika. Badala ya kutoka kwa akaunti zisizojulikana kabisa au za nasibu, barua pepe za kuhadaa ili kupata maelezo ya kibinafsi mara nyingi zitaharibika: Sahihi zinazojulikana – Watumaji hujifanya kuwa wasiliani tayari kwenye mtandao wako. Nembo halisi na chapa – Barua pepe na tovuti huiga vipengele vya kuona vinavyolingana na matarajio. Toni za uandishi zinazojulikana – Maudhui yanalingana na mitindo ya mawasiliano unayotarajia kutoka kwa mtu au kampuni iliyoibiwa. Maelezo ya kibinafsi – Watatafiti majina, miradi, shughuli, n.k. kurejelea maudhui. Maelezo madogo yanayofahamika hufanya barua pepe zenye michoro kuhisi kuwa halisi badala ya nasibu, jambo ambalo huwafungua waathiriwa kudanganywa kwa kutumia mbinu zingine za uhandisi wa kijamii. Kwa mfano, barua pepe inayojifanya kuwa kutoka kwa mtu anayejulikana anayekuuliza upakue hati haitasababisha uchunguzi wowote. Imani inayodhaniwa inapata mibofyo bila mawazo muhimu, ikiruhusu viungo hasidi na hasidi kupenya mazingira kwa urahisi zaidi. #4: Huzua Hisia Zenye Nguvu Mara nyingi barua pepe za kuhadaa ili kupata maelezo ya kibinafsi hujaribu kuibua hisia kali zinazoshinda fikra zako za kimantiki. Uwezo wako wa kutathmini hali hupungua sana unapohisi msisimko wa haraka au hasira. Wavamizi watatumia maneno yanayogusa hisia kama vile: Udadisi – Mistari ya mada kama vile “Nenosiri lako limebadilishwa” huzua wasiwasi unaokufanya ukimbilie kuangalia bila kufikiria mara mbili. Hasira – Fikiria kupata ujumbe usiofaa kutoka kwa mfanyakazi mwenzako au bosi. Hasira hiyo inaweza kuficha uamuzi wako vya kutosha ili kubofya viungo vya programu hasidi. Tumaini – “Nzuri sana kuwa kweli” hutoa vikasha vya mafuriko kwa sababu hata watu mahiri huchukua nafasi za zawadi au ndoto za kazi bila kuzingatia hatari. Hofu – Hakuna kinachokufanya uchukue hatua haraka kuliko kufikiria barua pepe yako, akaunti ya benki, au ufikiaji wa mfumo umeingiliwa au kukatwa kwa njia fulani. Hofu hufanya udongo wenye rutuba kwa makosa. Kusudi ni kutufanya tuchukue hatua kutoka kwa utumbo badala ya kuchambua kwa uangalifu kile kinachotokea. Lakini ikiwa umefahamishwa kuhusu hila hizi za kisaikolojia, unaweza kujipata kwa sasa. Chukua tu mdundo ili kuzingatia kwa nini barua pepe fulani huzua hisia kali na ikiwa mtu anataka ubofye bila kufikiria. Kukaa na ufahamu wa vichochezi vya kihisia husaidia kuzuia makosa ya kutojali chini ya mstari. #5: Wananyonya Uvivu wa Binadamu Huu hapa ukweli usiopendeza kuhusu asili ya mwanadamu – tunapenda kutumia juhudi kidogo iwezekanavyo. Kuna uwezekano kwamba hutathibitisha kikamilifu kila barua pepe ya kazini inayogusa kikasha chako. Inachukua muda na juhudi nyingi unapojaribu kutekeleza majukumu. Mikuki ya kuhadaa ili kupata maelezo ya kibinafsi juu ya mwelekeo huu wa uvivu na njia za mkato za kiakili. Tofauti na mashambulizi magumu kupita kiasi, yanawasilisha wito rahisi wa kuchukua hatua: Bofya kiungo hiki cha kuweka upya nenosiri. Washa makro ili kuona ankara. Pakua hati kutoka kwa mtumaji anayefahamika. Tembelea tovuti hii ili kudai zawadi. Wakati hakuna bendera nyekundu zinazoonekana, watumiaji wengi huanguka kwenye mawazo ya uvivu. Kubofya viungo bila kujitahidi kunaonekana kuwa rahisi kuliko kuchunguza maelezo ya mtumaji, kutathmini URLs, au kufungua hati kwa usalama. Utayari huu wa kuchukua njia rahisi ya upinzani mdogo hucheza kikamilifu katika mikono ya wahadaa wa mikuki. Wanataka wapokeaji wachukue hatua haraka bila kufikiria sana au bidii. Kukamata watu wakati wao ni wavivu wa utambuzi ndio njia ya kuaminika zaidi ya kufanikiwa. Neno la Mwisho Ingawa mashambulizi ya kawaida ya hadaa tayari ni maumivu makali ya kutosha kushughulikia, wizi wa data binafsi unachukua hatua moja zaidi kwa kujumuisha mbinu mahiri za uhandisi wa kijamii ili kujaribu kuwapumbaza watu kuchukua hatua. Ingawa mtu yeyote anaweza kuanguka kwa hila hizi, umakini na ufahamu ndio ulinzi bora dhidi yao. Kwa kuwa sasa unajua ishara na mbinu ambazo wakosaji hao hutumia, utakuwa tayari kuona shambulio hilo ikiwa utajikuta kwenye upande mmoja.