IT specialistams

Populiariausi socialinės inžinerijos būdai ir kaip nuo jų apsisaugoti?

Podcast’ai Spotify platformoje

Per pastarąjį dešimtmetį kibernetinio saugumo kontekste vis daugiau dėmesio sulaukianti socialinė inžinerija iš tikrųjų – vienas seniausių žmonijos išradimų. Pirmuosius socialinės inžinerijos pavyzdžius galima rasti jau Biblijoje, teigia Christopher Hadnagy, knygos Social Engineering: The Science of Human Hacking autorius. Telefoniniai sukčiai, bandantys įtikinti, kad jūsų artimas žmogus pakliuvo į bėdą, ir kibernetinis nusikaltėlis, parašęs jums el. laišką su prašymu kuo greičiau apmokėti naują jūsų vadovo sąskaitą – vadovaujasi tuo pačiu principu – užmezgus emocijų kupiną pokalbį priversti jus imtis veiksmų prieš tai jų neapgalvojus.

Bandymai užkalbinti virtualioje erdvėje – vis geriau apgalvoti

Didėjanti socialinės inžinerijos metodų sėkmė vykdant kibernetines atakas ir vagiant jautrius duomenis aiškinama ne tik technologine pažanga, kuri leidžia greitai ir pigiai užmegzti pokalbį su bet kuo pasaulyje, bet ir tuo, kad kibernetiniai nusikaltėliai išmoksta vis labiau individualizuoti virtualius pokalbius ir pritaikyti juos jūsų pareigoms, amžiui ir lyčiai.

„Socialinė inžinerija yra politiškai nekorektiška“, – perspėja savo knygoje C. Hadnagy, ragindamas nenustebti susidūrus su savo profesinio ir asmeninio gyvenimo aplinkybių eksploatacija kibernetinės atakos metu. Kaip ir realaus pasaulio sukčių nusikaltimai, įvykdomi apsimetant policininku, valstybės tarnautoju ar banko atstovu, kibernetinių nusikaltėlių puolimas dažnai stebina įžūlumu ir puikiomis psichologijos žiniomis.

Taigi – kokie populiariausi socialinės inžinerijos metodų tipai, su kuriais galite susidurti darbe, ir kas gali padėti apsaugoti darbuotojus nuo tobulėjančių kibernetinių nusikaltėlių, pasakoja „Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

Kaip ir realaus pasaulio sukčių nusikaltimai, įvykdomi apsimetant policininku, valstybės tarnautoju ar banko atstovu, kibernetinių nusikaltėlių puolimas dažnai stebina įžūlumu ir puikiomis psichologijos žiniomis.

„Banginių medžioklė“ ir kiti fišingo metodai

Phishing

Labiausiai paplitęs socialinės inžinerijos metodas – fišingas (angl. phishing, verčiant pažodžiui „žvejojimas“), kai daugybei žmonių siunčiami suklastoti laiškai iš programinės įrangos gamintojų, bankų, advokatų ir t. t. – po truputį užleidžia pozicijas atakoms, kurių metu taikomasi į konkrečius asmenis.

„Fišingo žanro klasika – el. laiškai su kenksmingu programiniu kodu prisegtuke arba nuorodoje, pranešantys apie jūsų kompiuterio ar programinės įrangos veikimo problemas, virusų atakas ar netikėtą loterijos laimėjimą; padirbtos sąskaitos, kurias neva siunčia jūsų programinės įrangos gamintojai; žinutės „Facebook“, raginančios kuo greičiau apmokėti tam tikras išlaidas ir t. t. – vis dar plačiai naudojama taktika. Tačiau populiarėja ir fišingo metodai, orientuoti į „tikslines grupes“ įmonės viduje, pavyzdžiui, vadovus arba buhalterijos darbuotojus“, – pasakoja Ugnius Klevinskas, paaiškindamas, kad šie metodai išsiskiria tuo, kad yra geriau apgalvoti, o siunčiamos klastotės – daug kokybiškesnės.

Populiarėja ir fišingo metodai, orientuoti į „tikslines grupes“ įmonės viduje, pavyzdžiui, vadovus arba buhalterijos darbuotojus.

„Jei eilinis fišingo laiškas gali būti atpažintas gana greitai iš gramatinių klaidų, nerišlių sakinių, keistos vizualinės dalies ir paslėptų nuorodų, tai tikslines atakas pagal tokius ženklus atpažinti sunkiau – keistas el. pašto adresas, esminis laiško nelogiškumas ir kiti ženklai, paprastai išduodantys klastotę, į akis krenta tik atidžiai perskaičius laišką kelis kartus. Atskirais atvejais, tikslinių atakų laiškai savo kokybe prilygsta legalaus turinio laiškams“, – pabrėžia pašnekovas.

Kibernetinio saugumo ekspertai išskiria du pagrindinius fišingo pogrupius: tikslinis fišingas (angl. spear phishing), kai taikomasi į vertingos informacijos galinčius turėti darbuotojus, ir aukščiausio lygio vadovų atakavimas arba „banginių medžioklė“ (angl. whale phishing). „Abu šie metodai yra išskirtiniai ir turintys savo logiką, su kurios prielaidomis verta susipažinti detaliau“, – pastebi U. Klevinskas.

Brangiausias laimikis – vadovai

Phishing

Nors „banginių medžioklė“ gali būti suprantama ir bendriau – kaip fišingo metodas, nukreiptas į bet kokius įtakingus asmenis iš įvairių sričių, pavyzdžiui, politikus arba pramogų pasaulio įžymybes, organizacijos ribose šios atakos dažniausiai orientuotos į aukščiausios grandies vadovus.

„Viena vertus, aukščiausi vadovai paprastai neturi laiko gilintis į kiekvieną gautą laišką ir jiems dažnai suteikiamos tam tikros nuolaidos įgyvendinant saugumo politiką. Kita vertus, tai žmonės, turintys priėjimą prie pačios svarbiausios įmonės informacijos ir sistemų, todėl vadovai – kibernetinių nusikaltėlių „idealas“. Kaip rodo plačiau nuskambėję atvejai, pelnas, gautas juos apgavus, gali siekti milijonus. Tiesa, pasirengimas „banginių medžioklei“ kibernetiniams nusikaltėliams kainuoja brangiai ir užtrunka daugiau laiko, todėl tokios atakos retesnės“, –  pasakoja „Blue Bridge“ saugumo ekspertas.

Dažniausiai aukščiausios grandies vadovai „užpuolami“ suklastojus laišką, kuris atrodo lyg atsiųstas iš patikimo šaltinio, pavyzdžiui, iš kito tos pačios organizacijos vadovo, arba pavagiama jų tapatybė ir laiškas siunčiamas žemesnės grandies vadovams jų vardu.

Dažniausiai aukščiausios grandies vadovai „užpuolami“ suklastojus laišką, kuris atrodo lyg atsiųstas iš patikimo šaltinio, pavyzdžiui, iš kito tos pačios organizacijos vadovo, arba pavagiama jų tapatybė ir laiškas siunčiamas žemesnės grandies vadovams jų vardu.

„Siekiant apsisaugoti nuo „banginių medžioklės“ efektyvu pasitelkti papildomus autentifikavimo arba tikrinimo veiksmus, reikalingus visiems jautriems prašymams, pavyzdžiui, el. mokėjimų pavedimams“, – komentuoja U. Klevinskas.

Tarp dažniausių taikinių – pardavimų vadybininkai

Kalbant apie tikslinį fišingą, su kuriuo gali susidurti bet kuris organizacijos darbuotojas, svarbiausia žinoti, kad tokie el. laiškai taip pat gali būti individualizuoti ir pritaikyti darbuotojo pareigoms.

Kaip dažniausius taikinius galima išskirti administraciją ir vadovų asistentus, personalo skyrių ir pardavimų vadybininkus.

„Kaip dažniausius taikinius galima išskirti administraciją ir vadovų asistentus, personalo skyrių ir pardavimų vadybininkus. Šios auditorijos išsiskiria gana ryškiais skiriamaisiais bruožais. Pavyzdžiui, pardavimų vadybininkai pratę gauti svarbius pasiūlymus el. paštu, greitai į juos reaguoti ir nebijo užmegzti kontakto su nepažįstamais žmonėmis. Personalo skyriaus darbuotojai taip pat turi kibernetiniams nusikaltėliams naudingų įpročių. Pavyzdžiui, jie gauna daug laiškų iš išorės, dažniausiai – iš fizinių asmenų, siunčiančių savo gyvenimo aprašymus, todėl nedvejodami atidaro laiškų prisegtukus“, – dėsto U. Klevinskas.

Dar vienas dažnas taikinys – administracijos darbuotojai ir vadovų asistentai – masina dėl galimybės gauti prieigą prie svarbios vidinės korespondencijos. „Nors ši darbuotojų grupė dažnai yra kruopšti, ją gali paveikti argumentai, jog reikia tik trupučio papildomos informacijos, nes visus kitus duomenis jau suteikė vadovas, arba kad į juos kreipiamasi vadovui paprašius ir taupant jo brangų laiką“, – atkreipia dėmesį pašnekovas.

Įpročiai ir technologijos, padedančios apsisaugoti

Phishing

Nors neretai pažymima, kad žmogus – silpniausia kibernetinio organizacijos saugumo grandis ir būtent dėl „žmogiškojo faktoriaus“ socialinė inžinerija tokia pavojinga, „Blue Bridge“ saugumo ekspertas patikina, kad technologijos tikrai gali sumažinti virtualių manipuliacijų riziką.

„Tokie sprendimai kaip elektroninio pašto filtrai (angl. spam filters), antivirusinės programos, ugniasienės, naršyklių įskiepai (angl. anti-phishing addons), įspėjantys apie galimą grėsmę, ir kitos el. pašto apsaugos sistemos nufiltruoja dalį tipinių fišingo laiškų ir jie tiesiog nepasiekia adresato arba pasiekia su žyme „pavojinga“. Yra ir sprendimų, kurie įspėja apie įtartiną nuorodą laiško tekste“, – pastebi specialistas, pridurdamas, kad net reguliarus programinės įrangos atnaujinimas leidžia sumažinti socialinės inžinerijos atakų žalą, kai bandoma išnaudoti vidinių sistemų ir programinės įrangos pažeidžiamumus.

Nuo tikslinių atakų gali padėti apsisaugoti ir technologijos pačia plačiausia prasme. Pavyzdžiui, gavus svarbų, bet įtartiną el. laišką, verta pasitikslinti kitu kanalu – telefonu arba gyvai – ar tikrai laiškas parašytas ir išsiųstas jūsų organizacijos darbuotojo.

„Nuo tikslinių atakų gali padėti apsisaugoti ir technologijos pačia plačiausia prasme. Pavyzdžiui, gavus svarbų, bet įtartiną el. laišką, verta pasitikslinti kitu kanalu – telefonu arba gyvai – ar tikrai laiškas parašytas ir išsiųstas jūsų organizacijos darbuotojo“, – pažymi U. Klevinskas.

Yra ir keletas kasdienių įpročių, susijusių su el. pašto naudojimu, kurie padeda išsiugdyti tam tikrą „imunitetą“ fišingui. „Visų šių įpročių pagrindas, be abejo, yra dėmesingumas, nes fišingo esmė – priversti jus priimti sprendimą greitai, vos gavus laišką. Todėl pirmiausia reikėtų įprasti visada stabtelėti, patikrinti gauto laiško el. paštą ir siuntėją, o prieš atidarant prisegtuką, patikrinti jį antivirusine programa. Taip pat, jokiu būdu neaktyvuoti tekstinio prisegtuko Macros komandų. – pasakoja „Blue Bridge“ atstovas. – Jeigu laiško tekste yra nuoroda – neskubėkite jos spausti, o užveskite pelę ir patikrinkite, ar išsiskleidusi tikroji svetainė sutampa su pateikta nuorodoje. Rekomenduojama nespausti nuorodų, vedančių į jums nepažįstamas svetaines, o jų reputaciją ir prisegtukų elgseną virtualioje aplinkoje galite patikrinti internete, per virustotal.com ar hybrid-analysis.com“.

Socialinė inžinerija apima ne tik virtualią erdvę

Nors didžiausia tikimybė organizacijoje susidurti su socialinės inžinerijos metodais – gavus el. laišką arba SMS žinutę, vien šiais kanalais nusikaltėliai neapsiriboja.

„Jeigu jūsų organizacija – tikslinės atakos taikinys, gali būti naudojami ir kombinuoti metodai, t. y. ataka vykdoma pasitelkus ir telefoną, ir įprastą paštą, ir net – susitikus akis į akį. Kaip ir visos stambaus masto sukčiavimo schemos, socialinės inžinerijos metodų panaudojimo scenarijai gali būti neįtikėtinai kūrybiški, todėl ir atsparumą jiems reikia ugdyti kūrybiškai, žvelgiant į socialinę inžineriją kaip į fenomeną, apimantį ir virtualią, ir įprastą realybę“, – akcentuoja U. Klevinskas.

„Blue Bridge“ saugumo ekspertas pastebi, kad ilgalaikėje perspektyvoje organizacijos turėtų investuoti ne tik į teorines, bet ir į praktines žinias apie socialinę inžineriją. Vienas iš būdų pasiekti šį tikslą – iš pradžių atlikti organizacijos atsparumo socialinei inžinerijai testą, o po to pateikti jo rezultatus, t. y. parodyti, kiek sėkmingas buvo bandymas išgauti iš darbuotojų informaciją. Praėjus kuriam laikui testą reikėtų pakartoti.

Ilgalaikėje perspektyvoje organizacijos turėtų investuoti ne tik į teorines, bet ir į praktines žinias apie socialinę inžineriją.

„Toks testų ir mokymų ciklas – būdas aktualizuoti organizacijos kibernetinio saugumo politiką ir leisti patiems darbuotojams pamatyti, kad suvesti prisijungimo duomenys suklastotame portale, paspausta kenksminga nuoroda, paskubomis išsiųstas atsakymas į vieną el. laišką ar SMS žinutę gali aukštyn kojomis apversti ir visos organizacijos, ir vieno žmogaus gyvenimą“, – sako Ugnius Klevinskas.

„Blue Bridge“  saugumo specialistai parengė atmintinę darbuotojams apsaugai nuo socialinės inžinerijos el. paštu >>

Rekomenduojame šią atmintinę atsisiųsti ir pasidalinti su darbuotojais savo organizacijoje. 

kibernetinis saugumas

Įvertink šį straipsnį

    Prenumeruokite ir gaukite žinias pirmieji

    Taip pat skaitykite

    Skaityti daugiau
    Skaityti daugiau