Kas tai? Eksperto įžvalgos

Populiariausi socialinės inžinerijos būdai ir kaip nuo jų apsisaugoti?

Publikuota: 2019-04-16
„Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.
„Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

Per pastarąjį dešimtmetį kibernetinio saugumo kontekste vis daugiau dėmesio sulaukianti socialinė inžinerija iš tikrųjų – vienas seniausių žmonijos išradimų. Pirmuosius socialinės inžinerijos pavyzdžius galima rasti jau Biblijoje, teigia Christopher Hadnagy, knygos „Socialinė inžinerija: žmogaus kodo „nulaužimo“ mokslas“ (Social Engineering: The Science of Human Hacking) autorius.

Telefoniniai sukčiai, bandantys įtikinti, kad jūsų artimas žmogus pakliuvo į bėdą, ir kibernetinis nusikaltėlis, parašęs jums el. laišką su prašymu kuo greičiau apmokėti naują jūsų vadovo sąskaitą – vadovaujasi tuo pačiu principu – užmezgus emocijų kupiną pokalbį priversti jus imtis veiksmų prieš tai jų neapgalvojus.

Bandymai užkalbinti virtualioje erdvėje – vis geriau apgalvoti

Didėjanti socialinės inžinerijos metodų sėkmė vykdant kibernetines atakas ir vagiant jautrius duomenis aiškinama ne tik technologine pažanga, kuri leidžia greitai ir pigiai užmegzti pokalbį su bet kuo pasaulyje, bet ir tuo, kad kibernetiniai nusikaltėliai išmoksta vis labiau individualizuoti virtualius pokalbius ir pritaikyti juos jūsų pareigoms, amžiui ir lyčiai.

„Socialinė inžinerija yra politiškai nekorektiška“, – perspėja savo knygoje C. Hadnagy, ragindamas nenustebti susidūrus su savo profesinio ir asmeninio gyvenimo aplinkybių eksploatacija kibernetinės atakos metu. Kaip ir realaus pasaulio sukčių nusikaltimai, įvykdomi apsimetant policininku, valstybės tarnautoju ar banko atstovu, kibernetinių nusikaltėlių puolimas dažnai stebina įžūlumu ir puikiomis psichologijos žiniomis.

Taigi – kokie populiariausi socialinės inžinerijos metodų tipai, su kuriais galite susidurti darbe, ir kas gali padėti apsaugoti darbuotojus nuo tobulėjančių kibernetinių nusikaltėlių, pasakoja „Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

„Banginių medžioklė“ ir kiti fišingo metodai

Labiausiai paplitęs socialinės inžinerijos metodas – fišingas (angl. phishing, verčiant pažodžiui „žvejojimas“), kai daugybei žmonių siunčiami suklastoti laiškai iš programinės įrangos gamintojų, bankų, advokatų ir t. t. – po truputį užleidžia pozicijas atakoms, kurių metu taikomasi į konkrečius asmenis.

„Fišingo žanro klasika – el. laiškai su kenksmingu programiniu kodu prisegtuke arba nuorodoje, pranešantys apie jūsų kompiuterio ar programinės įrangos veikimo problemas, virusų atakas ar netikėtą loterijos laimėjimą; padirbtos sąskaitos, kurias neva siunčia jūsų programinės įrangos gamintojai; žinutės „Facebook“, raginančios kuo greičiau apmokėti tam tikras išlaidas ir t. t. – vis dar plačiai naudojama taktika. Tačiau populiarėja ir fišingo metodai, orientuoti į „tikslines grupes“ įmonės viduje, pavyzdžiui, vadovus arba buhalterijos darbuotojus“, – pasakoja Ugnius Klevinskas, paaiškindamas, kad šie metodai išsiskiria tuo, kad yra geriau apgalvoti, o siunčiamos klastotės – daug kokybiškesnės.

„Jei eilinis fišingo laiškas gali būti atpažintas gana greitai iš gramatinių klaidų, nerišlių sakinių, keistos vizualinės dalies ir paslėptų nuorodų, tai tikslines atakas pagal tokius ženklus atpažinti sunkiau – keistas el. pašto adresas, esminis laiško nelogiškumas ir kiti ženklai, paprastai išduodantys klastotę, į akis krenta tik atidžiai perskaičius laišką kelis kartus. Atskirais atvejais, tikslinių atakų laiškai savo kokybe prilygsta legalaus turinio laiškams“, – pabrėžia pašnekovas.

Kibernetinio saugumo ekspertai išskiria du pagrindinius fišingo pogrupius: tikslinis fišingas (angl. spear phishing), kai taikomasi į vertingos informacijos galinčius turėti darbuotojus, ir aukščiausio lygio vadovų atakavimas arba „banginių medžioklė“ (angl. whale phishing). „Abu šie metodai yra išskirtiniai ir turintys savo logiką, su kurios prielaidomis verta susipažinti detaliau“, – pastebi U. Klevinskas.

Brangiausias laimikis – vadovai

Nors „banginių medžioklė“ gali būti suprantama ir bendriau – kaip fišingo metodas, nukreiptas į bet kokius įtakingus asmenis iš įvairių sričių, pavyzdžiui, politikus arba pramogų pasaulio įžymybes, organizacijos ribose šios atakos dažniausiai orientuotos į aukščiausios grandies vadovus.

„Viena vertus, aukščiausi vadovai paprastai neturi laiko gilintis į kiekvieną gautą laišką ir jiems dažnai suteikiamos tam tikros nuolaidos įgyvendinant saugumo politiką. Kita vertus, tai žmonės, turintys priėjimą prie pačios svarbiausios įmonės informacijos ir sistemų, todėl vadovai – kibernetinių nusikaltėlių „idealas“. Kaip rodo plačiau nuskambėję atvejai, pelnas, gautas juos apgavus, gali siekti milijonus. Tiesa, pasirengimas „banginių medžioklei“ kibernetiniams nusikaltėliams kainuoja brangiai ir užtrunka daugiau laiko, todėl tokios atakos retesnės“, –  pasakoja „Blue Bridge“ saugumo ekspertas.

Dažniausiai aukščiausios grandies vadovai „užpuolami“ suklastojus laišką, kuris atrodo lyg atsiųstas iš patikimo šaltinio, pavyzdžiui, iš kito tos pačios organizacijos vadovo, arba pavagiama jų tapatybė ir laiškas siunčiamas žemesnės grandies vadovams jų vardu.

 „Siekiant apsisaugoti nuo „banginių medžioklės“ efektyvu pasitelkti papildomus autentifikavimo arba tikrinimo veiksmus, reikalingus visiems jautriems prašymams, pavyzdžiui, el. mokėjimų pavedimams“, – komentuoja U. Klevinskas.

Tarp dažniausių taikinių – pardavimų vadybininkai

Kalbant apie tikslinį fišingą, su kuriuo gali susidurti bet kuris organizacijos darbuotojas, svarbiausia žinoti, kad tokie el. laiškai taip pat gali būti individualizuoti ir pritaikyti darbuotojo pareigoms.

„Kaip dažniausius taikinius galima išskirti administraciją ir vadovų asistentus, personalo skyrių ir pardavimų vadybininkus. Šios auditorijos išsiskiria gana ryškiais skiriamaisiais bruožais. Pavyzdžiui, pardavimų vadybininkai pratę gauti svarbius pasiūlymus el. paštu, greitai į juos reaguoti ir nebijo užmegzti kontakto su nepažįstamais žmonėmis. Personalo skyriaus darbuotojai taip pat turi kibernetiniams nusikaltėliams naudingų įpročių. Pavyzdžiui, jie gauna daug laiškų iš išorės, dažniausiai – iš fizinių asmenų, siunčiančių savo gyvenimo aprašymus, todėl nedvejodami atidaro laiškų prisegtukus“, – dėsto U. Klevinskas.

Dar vienas dažnas taikinys – administracijos darbuotojai ir vadovų asistentai – masina dėl galimybės gauti prieigą prie svarbios vidinės korespondencijos. „Nors ši darbuotojų grupė dažnai yra kruopšti, ją gali paveikti argumentai, jog reikia tik trupučio papildomos informacijos, nes visus kitus duomenis jau suteikė vadovas, arba kad į juos kreipiamasi vadovui paprašius ir taupant jo brangų laiką“, – atkreipia dėmesį pašnekovas.

Įpročiai ir technologijos, padedančios apsisaugoti

Nors neretai pažymima, kad žmogus – silpniausia kibernetinio organizacijos saugumo grandis ir būtent dėl „žmogiškojo faktoriaus“ socialinė inžinerija tokia pavojinga, „Blue Bridge“ saugumo ekspertas patikina, kad technologijos tikrai gali sumažinti virtualių manipuliacijų riziką.

„Tokie sprendimai kaip elektroninio pašto filtrai (angl. spam filters), antivirusinės programos, ugniasienės, naršyklių įskiepai (angl. anti-phishing addons), įspėjantys apie galimą grėsmę, ir kitos el. pašto apsaugos sistemos nufiltruoja dalį tipinių fišingo laiškų ir jie tiesiog nepasiekia adresato arba pasiekia su žyme „pavojinga“. Yra ir sprendimų, kurie įspėja apie įtartiną nuorodą laiško tekste“, – pastebi specialistas, pridurdamas, kad net reguliarus programinės įrangos atnaujinimas leidžia sumažinti socialinės inžinerijos atakų žalą, kai bandoma išnaudoti vidinių sistemų ir programinės įrangos pažeidžiamumus.

„Nuo tikslinių atakų gali padėti apsisaugoti ir technologijos pačia plačiausia prasme. Pavyzdžiui, gavus svarbų, bet įtartiną el. laišką, verta pasitikslinti kitu kanalu – telefonu arba gyvai – ar tikrai laiškas parašytas ir išsiųstas jūsų organizacijos darbuotojo“, – pažymi U. Klevinskas.

Yra ir keletas kasdienių įpročių, susijusių su el. pašto naudojimu, kurie padeda išsiugdyti tam tikrą „imunitetą“ fišingui. „Visų šių įpročių pagrindas, be abejo, yra dėmesingumas, nes fišingo esmė – priversti jus priimti sprendimą greitai, vos gavus laišką. Todėl pirmiausia reikėtų įprasti visada stabtelėti, patikrinti gauto laiško el. paštą ir siuntėją, o prieš atidarant prisegtuką, patikrinti jį antivirusine programa. Taip pat, jokiu būdu neaktyvuoti tekstinio prisegtuko Macros komandų. – pasakoja „Blue Bridge“ atstovas. – Jeigu laiško tekste yra nuoroda – neskubėkite jos spausti, o užveskite pelę ir patikrinkite, ar išsiskleidusi tikroji svetainė sutampa su pateikta nuorodoje. Rekomenduojama nespausti nuorodų, vedančių į jums nepažįstamas svetaines, o jų reputaciją ir prisegtukų elgseną virtualioje aplinkoje galite patikrinti internete, per virustotal.com ar hybrid-analysis.com“.

Socialinė inžinerija apima ne tik virtualią erdvę

Nors didžiausia tikimybė organizacijoje susidurti su socialinės inžinerijos metodais – gavus el. laišką arba SMS žinutę, vien šiais kanalais nusikaltėliai neapsiriboja.

„Jeigu jūsų organizacija – tikslinės atakos taikinys, gali būti naudojami ir kombinuoti metodai, t. y. ataka vykdoma pasitelkus ir telefoną, ir įprastą paštą, ir net – susitikus akis į akį. Kaip ir visos stambaus masto sukčiavimo schemos, socialinės inžinerijos metodų panaudojimo scenarijai gali būti neįtikėtinai kūrybiški, todėl ir atsparumą jiems reikia ugdyti kūrybiškai, žvelgiant į socialinę inžineriją kaip į fenomeną, apimantį ir virtualią, ir įprastą realybę“, – akcentuoja U. Klevinskas.

„Blue Bridge“ saugumo ekspertas pastebi, kad ilgalaikėje perspektyvoje organizacijos turėtų investuoti ne tik į teorines, bet ir į praktines žinias apie socialinę inžineriją. Vienas iš būdų pasiekti šį tikslą – iš pradžių atlikti organizacijos atsparumo socialinei inžinerijai testą, o po to pateikti jo rezultatus, t. y. parodyti, kiek sėkmingas buvo bandymas išgauti iš darbuotojų informaciją. Praėjus kuriam laikui testą reikėtų pakartoti.

„Toks testų ir mokymų ciklas – būdas aktualizuoti organizacijos kibernetinio saugumo politiką ir leisti patiems darbuotojams pamatyti, kad suvesti prisijungimo duomenys suklastotame portale, paspausta kenksminga nuoroda, paskubomis išsiųstas atsakymas į vieną el. laišką ar SMS žinutę gali aukštyn kojomis apversti ir visos organizacijos, ir vieno žmogaus gyvenimą“, – sako Ugnius Klevinskas.

Daugiau Ugniaus ir kitų „Blue Bridge“ ekspertų įžvalgų apie kibernetinį saugumą  – kasmetinėje „Blue Bridge“ konferencijoje „Cyber Security Hub“, kuri įvyks gegužės 7 d. Vilniuje. Daugiau informacijos ir registracija adresu — www.bluebridge.lt/renginys/blue_bridge_csh_2019/

Žinote, ką norite žinoti?
Užsisakykite personalizuotą naujienlaiškį.
Rašyti komentarą

Rašyti komentarą

Idėja iš Londono: lietuviai sukūrė sporto klubus vienijančią interneto platformą Premium

Aktyvi dviejų vaikų mama Greta Šidlauskienė su broliu Laurynu Gružinsku sukūrė sporto klubus vienijančią...

Paslaugos
2019.04.18
„Telecentras“ ir „LG Electronics“ bendradarbiaus Lietuvoje diegdami hibridinę TV 8

AB Lietuvos radijo ir televizijos centras („Telecentras“) ir PIetų Korėjos bendrovė „LG Electronics“ sutarė...

Paslaugos
2019.04.18
„Inopatentas“ padeda apsaugoti intelektinę nuosavybę ir sumažinti finansinę naštą įmonėms Verslo tribūna 1

Remiantis Europos patentų tarnybos paskelbtais 2018 m. statistiniais duomenimis, pernai, palyginti su 2017...

Išmani Lietuva
2019.04.18
Kviečia paminėti pasaulinę intelektinės nuosavybės dieną Verslo tribūna

Balandžio 26 d. Mokslo, inovacijų ir technologijų agentūra (MITA) kviečia į kasmetinį renginį „Intelektinės...

Išmani Lietuva
2019.04.18
ESO Pažangios energijos klubo dirbtuvėse – efektyvumo sprendimai Verslo tribūna

„Energijos skirstymo operatoriaus“ (ESO) įsteigtas Pažangios energijos klubas, bendradarbiaudamas su „Verslo...

Išmani Lietuva
2019.04.17
Populiariausi socialinės inžinerijos būdai ir kaip nuo jų apsisaugoti? Verslo tribūna 2

Per pastarąjį dešimtmetį kibernetinio saugumo kontekste vis daugiau dėmesio sulaukianti socialinė inžinerija...

Išmani Lietuva
2019.04.16
 Populiarėjantis pastatų BREEAM standartas – keliama kartelė vystytojams Verslo tribūna 2

Mūsų šalyje BREEAM standartu įvertintų pastatų kol kas – vienetai. Vis dėlto specialistai teigia, kad šis...

Išmani Lietuva
2019.04.16
Pirmame gynybos hakatone triumfavo kompiuterinės regos sprendimų kūrėjai 1

Rukloje savaitgalį vykusios pirmosios Lietuvoje gynybos technologijų kūrybos stovyklos (hakatono) pagrindinį,...

Paslaugos
2019.04.16
Lietuva neužleidžia lyderio pozicijų lazerių srityje Verslo tribūna

Lazerinių ir inžinerinių technologijų klasterio (LITEK) nariai vieningai tvirtina, kad LITEK ypač svarbus ir...

Išmani Lietuva
2019.04.16
V. Bumelio įmonė su 50 mln. Eur investicija įsitvirtins 70 mlrd. USD rinkoje Premium 12

Verslininko Vlado Algirdo Bumelio netiesiogiai kontroliuojama gamtos mokslų ir genų inžinerijos mokslinių...

Pramonė
2019.04.16
„Startup Visa“ rezultatai gerėja, panaši programa ruošiama ir darbuotojams 1

Per pirmus tris šių metų mėnesius leidimą Lietuvoje įkurti 18 startuolių gavo 45 užsienio piliečiai,...

Paslaugos
2019.04.13
Vilniuje įsikūrė CERN gimęs startuolis „ProtonMail“ 7

„ProtonMail“, viena žymiausių kibernetinio saugumo kompanijų, atvėrusių savo biuro duris Vilniuje. Šis...

Paslaugos
2019.04.11
„Ford“ irgi siūlys gamyklinę telematikos sistemą Premium

Koncernas „Ford“ Amsterdame neseniai vykusiame renginyje paskelbė apie jau šiemet Europoje pradedamus siūlyti...

Paslaugos
2019.04.11
„Bitė“ plečia savo tarptautinį tinklą, nuo šiol turės kabelį į Ukrainą 1

Informacijos ir komunikacijos technologijų bendrovė „Bitė Lietuva“ stiprina savo tarptautinių jungčių tinklą.

Paslaugos
2019.04.11
VMG akcininkas S. Paulauskas: teko išbraukti projektų už pusę milijardo eurų Premium 21

Sigitas Paulauskas, Vakarų medienos grupės (VMG) akcininkas ir verslo plėtros konsultantas apie tramdomą...

Pramonė
2019.04.11
Nevalyva dirbtinio intelekto strategija 11

Turbūt iš tikrųjų niekas jau seniai neskaito jokių oficialių dokumentų. Tikriausiai daugelis jau pamiršo...

Išmani Lietuva
2019.04.11
Specialistai įvertino Vilniaus senamiestį: kokybiškų biurų trūkumą didins ir Lietuvą atrandantys „fintech“ startuoliai Verslo tribūna 3

Nekilnojamojo turto plėtotojams pastaraisiais metais fiksuojant augantį žmonių norą įsikurti arčiau Vilniaus...

Išmani Lietuva
2019.04.10
Lietuvos paštui licencinio turto įvertinimas leido sumažinti išlaidas Verslo tribūna 4

Beveik 2500 kompiuterizuotų darbo vietų turinčiam Lietuvos paštui „Microsoft“ licencinio turto įvertinimas...

Išmani Lietuva
2019.04.09
Daugiau jokių adatų: lietuviai sukūrė jutiklį, gebantį atlikti kraujo tyrimus Premium 21

Bendrovė „Brolis Semiconductors“ kartu su Lietuvos sveikatos mokslų universiteto (LSMU) mokslininkais sukūrė...

Paslaugos
2019.04.09
Moksliniam tyrimui pristatyti – 3 minutės

2019 m. „Trijų minučių disertacijos“ konkursą Vilniaus universiteto Mokslinės komunikacijos ir informacijos...

Verslo klasė
2019.04.06

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau