Griežta veikimo logika pasižyminčios kompiuterinės technologijos nepakeičia nuomonės ir nesudvejoja. Žmogus, priešingai, yra linkęs pasitikėti ir kartais netgi pats suabejoja savo pasirinkimu. Būtent ši žmogiškoji silpnybė tapo viena svarbiausių priežasčių dažnėjantiems socialinės inžinerijos atvejams. Ingrida Jokūbaitė, „TransUnion“ saugumo užtikrinimo komandos vadovė, socialinę inžineriją apibrėžia kaip psichologinę manipuliaciją, kuri leidžia gauti konfidencialią informaciją, priėjimą prie duomenų, informacinių sistemų ar patekti į pastatus pasinaudojant žmogaus psichologija. Tačiau kaip tai vyksta ir kaip nuo to apsisaugoti?
Aukomis gali tapti visi
Nesvarbu, kokio amžiaus esate, kur gyvenate ar ką veikiate – kibernetinio sukčiavimo auka galite tapti ir jūs. Socialinė inžinerija nusitaikiusi į žmonių patiklumą, budrumo praradimą ir greitus, tačiau kartais neapgalvotus sprendimus. Kaip pastebi specialistė, socialinės inžinerijos atvejai naudojami siekiant apgauti ar paveikti ne tik fizinius asmenis, šie metodai taikomi ir įmonėms.
„Įmones gali pasiekti sufabrikuotos sąskaitos, tikintis, kad buhalterijos personalas jas sumokės“, – teigia I. Jokūbaitė. Ji taip pat priduria, kad socialinės inžinerijos tikslas ne visuomet yra pinigų išviliojimas. Tai taip pat gali būti skambutis ar laiškas tikintis gauti konfidencialią ar ekonominę vertę turinčią informaciją.
Saugumo ekspertė atkreipia dėmesį, kad socialinė inžinerija yra minima tarp grėsmių kibernetiniam saugumui, įmonės prisipažįsta tapusios socialinės inžinerijos aukomis. Ji taip pat pažymi, kad socialinės inžinerijos atvejų daugėja dėl to, jog tai yra lengvesnis ir pigesnis būdas gauti informaciją ar prieigą prie informacijos nei tiesiog bandyti surasti spragą sistemoje ir įsilaužti.
Dažniausiai pasitaikantys sukčiavimo atvejai
Būdų, kaip galima manipuliuoti žmonėmis, yra įvairių. Saugumo ekspertė I. Jokūbaitė primena ir visiems žinomus bei ne kartą pasitaikiusius atvejus, kai apsimetant banko darbuotoju ar artimu žmogumi, patyrusiu nelaimingą atsitikimą, skambinama vyresnio amžiaus žmonėms ir siekiama gauti prieigą prie elektroninės banko sąskaitos arba išvilioti santaupas. Šiuos atvejus žino daugelis, tačiau specialistė išskiria kitus šiuo metu dažniausiai pasitaikančius sukčiavimo ir socialinės inžinerijos taikomus metodus:
„Phishing“. Tai yra vienas iš dažniausiai pasitaikančių būdų. Jis gali būti vykdomas per elektroninius laiškus, socialinius tinklus, trumpąsias SMS žinutes ar telefono skambučius. Jo metu pasinaudojant nepageidaujamais laiškais ar falsifikuotais internetiniais tinklalapiais gali būti siekiama išgauti prisijungimo prie informacinių sistemų slaptažodžius, kitus konfidencialius duomenis. Paprastai tokie laiškai imituoja banko, mobiliojo ryšio operatoriaus ar kitos plačiai naudojamos paslaugos tiekėjo laišką, pranešantį apie pasikeitimus ir reikalingą prisijungimą prie sistemos. Dažnai apsimetama asmeniu iš tos organizacijos IT skyriaus. Laiškuose stengiamasi naudoti tiekėjo rašymo stilistiką, logotipus.
„Water hole“. Šios atakos atveju vieši internetiniai puslapiai užkrečiami į juos įterpiant kenkėjišką kodą. Aukai aplankius tam tikrą puslapį, į kompiuterį be jo žinios atsiunčiama kenkėjiška programa, suteikianti prieigą įsilaužėliui. Šis atakos tipas reikalauja ilgo pasiruošimo, nes reikia išsiaiškinti aukos įpročius ir rasti spragą viešame internetiniame puslapyje, kuris yra aukos lankomas.
„Whaling“. Ši ataka yra sudėtingesnė „Phishing“ atakos atmaina. Ja siekiama pavogti konfidencialią informaciją, asmens duomenis ar kitą informaciją, susijusią su ekonomine ar komercine verte. Taikiniai dažniausiai būna aukštas pareigas užimantys vadovai tiek iš privataus verslo, tiek iš valstybinių organizacijų. Padirbtas laiškas atrodo lyg būtų išsiųstas iš teisėtos institucijos, jame gali būti išreikštas susirūpinimas arba pateikta konfidenciali informacija.
Kaip apsisaugoti?
Nuo ko pradėti ir kaip apsisaugoti? Specialistė išskiria esminius elementus, į kuriuos reikia atkreipti dėmesį.
„Įmonės turi mokyti savo darbuotojus ir periodiškai priminti, kas yra socialinė inžinerija, kaip elgtis įtariant, jog laiškas ar skambutis buvo įtartini, ir komunikuoti, kokią žalą gali patirti verslas dėl tokio sukčiavimo. Taip pat būtina naudoti šiuolaikines technologijas, gebančias įtartinus laiškus sustabdyti dar jiems nepasiekus gavėjo. Tačiau svarbiausia – konkretus asmuo turi kritiškai reaguoti į gaunamus laiškus ar skambučius, neatidaryti prisegtų dokumentų, jei siuntėjas yra neaiškus, nežinomas ar jis to laiško nelaukė“, – pataria specialistė.
I. Jokūbaitė priduria: „Įtarimą turėtų kelti gramatinės klaidos laiško turinyje ar logotipo neatitikimas. Gera indikacija yra siuntėjo vardo ar kompanijos, iš kurios jis prisistato esąs, ir elektroninio pašto adreso, iš kurio laiškas buvo išsiųstas, neatitikimas. Jei laiške nuoroda yra trumpa ir aiški, o užvedus ant jos kursorių matoma labai ilga ir nieko bendro su ta kompanija neturinti nuoroda – neatidarykite jos. Skambučio metu patariama neatskleisti jokios svarbios informacijos, jei jis nebuvo lauktas arba nėra aiškių indikacijų, jog jis yra iš patikimo šaltinio. Geriausia pasakyti, kad jūs su skambinančiu asmeniu susisieksite po kelių minučių. Taip turėsite laiko įvertinti situaciją, sutikrinti faktus ir priimti sprendimą“.
Jei kyla įtarimas, visada reikia apie tai pranešti atsakingam darbuotojui ir imtis priemonių, siekiant užkirsti kelią tolimesniems piktavalių veiksmams. Galbūt tokio ar panašaus pobūdžio laiškus gavo ir kolega.
