Ingeniaritza sozialaren kontzeptuaren lehen agerpena 1945ean izan zen. Karl Popper-ek sortua, hasiera batean egitura sozialak hobetzeko erabilitako elementu soziologikoak eta psikologikoak aipatzeko erabili zuen. Popperren printzipioa pertsonak, prozesuak edo gailuak bezala, bideratu edo eguneratu daitezkeen oinarritzen da. Beraz, helburua ez zen datuak lapurtzea, jendea bere elkarreraginak garbitzen eta segurtasunaren arloan kontzientziatzen laguntzea baizik.
Zentzu horretan, dirua edo informazio interesgarria lortzeko pertsonak gakoa diren tokietan agertzen da ingeniaritza soziala, eta manipulazio psikologiko mota desberdinak barne hartzen ditu. Informazioaren segurtasunari dagokionez, gizarte-ingeniaritza erasotzailearen onurarako erabiltzen da. Kasu horietan, datu pertsonalak edo finantzariak bezalako informazio konfidentziala lortzeko manipulatzen da.
Ingeniaritza soziala pertsonen joera kognitiboez baliatzen da, giza “hardware”-aren akats gisa ulertu daitekeena. Adibidez, erakargarritzat edo autoritateko pertsonengan konfiantza izateko gizakien joera, gure kontra erabili daiteke ingeniaritza sozialeko erasoetan.
Manipulazio-praktika horien arriskua, biktimak manipulatuak izaten ari direla konturatzean beranduegi dela da, eta ordurako gaizkileak bilatzen ari zituen datu konfidentzialak eskuratu ditu. Eraso horiek erabiltzaileen informazio pribatua bilatzen dute, eta horrek identitate-lapurreta, nortasun-iruzurra, estortsioak… eragin ditzake.
Gizarte-ingeniaritzako erasoak askotan, iturri fidagarri bat iruditzen den mezu elektroniko, testu edo ahots-mezu bat bezala agertzen dira. Hala ere, aurrez aurre, telefonoz edo Interneten era gerta daitezke.
Gizarte-ingeniaritzako ohiko eraso motak:
- Spam posta elektronikoan: Ohikoenetako bat. Posta elektronikora iristen den eskatu gabeko komunikazio guztiaren zati handi bat. Normalean zure datu pertsonalak lortzeko iruzur bat izan ohi da.
- Phishing: Normalean posta elektronikoaren bidez egiten da, eta legitimoa dirudi. Eraso mota honetan, mezuak iturri fidagarri batetik datozela dirudi, eta biktimak engainatzeko diseinatuta daude, haien datu pertsonalak edo finantzarioak eman ditzaten.
- Baiting: Aukera tentagarri bat eskainiz, jakin-mina edo onura handiko aukerak bultzatuz, erasotzaile batek biktima erakartzen duen kasua da. Malware batekin infektatutako gailu (adibidez, USB unitate bat) baten bitartez ere gerta daiteke; gailua erraza aurkitzeko lekuren batean utzi, eta kuriosoren batek jaso eta bere ekipoan konektatuz gero, infektatu egin daiteke.
- Vishing: Erasotzaileek teknikari edo lankide baten itxura egiteko telefono zenbaki bat ordezkatzen duen phishing mota da. Batzuetan, ahots-filtroa erabil ditzakete.
- Smishing: Testu-mezuen edo SMSen itxura hartzen duen phishing mota. Normalean, berehalako ekintzaren bat egiteko eskatzen diote biktimari, lotura maltzurretan klik eginez edo deitu beharreko telefono-zenbakien bidez. Urgentzia sentsazioa transmititzen dute eta pertsonen konfiantzaz aprobetxatzen dira.
- Pretexting: Eraso mota honetan, iruzurgileek fikziozko egoera bat eginez, beste pertsona baten itxura hartzen dute datu pertsonalak lortzeko. Interneten edo sareetatik kanpo gerta daitezke, eta erasotzaileek biktimak ikertzen eta zelatatzen dituzte, engainatzeko historia sinesgarri bat sortzeko.
