Kas tai? Eksperto įžvalgos

Populiariausi socialinės inžinerijos būdai ir kaip nuo jų apsisaugoti?

Publikuota: 2019-04-16
„Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.
„Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

Per pastarąjį dešimtmetį kibernetinio saugumo kontekste vis daugiau dėmesio sulaukianti socialinė inžinerija iš tikrųjų – vienas seniausių žmonijos išradimų. Pirmuosius socialinės inžinerijos pavyzdžius galima rasti jau Biblijoje, teigia Christopher Hadnagy, knygos „Socialinė inžinerija: žmogaus kodo „nulaužimo“ mokslas“ (Social Engineering: The Science of Human Hacking) autorius.

Telefoniniai sukčiai, bandantys įtikinti, kad jūsų artimas žmogus pakliuvo į bėdą, ir kibernetinis nusikaltėlis, parašęs jums el. laišką su prašymu kuo greičiau apmokėti naują jūsų vadovo sąskaitą – vadovaujasi tuo pačiu principu – užmezgus emocijų kupiną pokalbį priversti jus imtis veiksmų prieš tai jų neapgalvojus.

Bandymai užkalbinti virtualioje erdvėje – vis geriau apgalvoti

Didėjanti socialinės inžinerijos metodų sėkmė vykdant kibernetines atakas ir vagiant jautrius duomenis aiškinama ne tik technologine pažanga, kuri leidžia greitai ir pigiai užmegzti pokalbį su bet kuo pasaulyje, bet ir tuo, kad kibernetiniai nusikaltėliai išmoksta vis labiau individualizuoti virtualius pokalbius ir pritaikyti juos jūsų pareigoms, amžiui ir lyčiai.

„Socialinė inžinerija yra politiškai nekorektiška“, – perspėja savo knygoje C. Hadnagy, ragindamas nenustebti susidūrus su savo profesinio ir asmeninio gyvenimo aplinkybių eksploatacija kibernetinės atakos metu. Kaip ir realaus pasaulio sukčių nusikaltimai, įvykdomi apsimetant policininku, valstybės tarnautoju ar banko atstovu, kibernetinių nusikaltėlių puolimas dažnai stebina įžūlumu ir puikiomis psichologijos žiniomis.

Taigi – kokie populiariausi socialinės inžinerijos metodų tipai, su kuriais galite susidurti darbe, ir kas gali padėti apsaugoti darbuotojus nuo tobulėjančių kibernetinių nusikaltėlių, pasakoja „Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

„Banginių medžioklė“ ir kiti fišingo metodai

Labiausiai paplitęs socialinės inžinerijos metodas – fišingas (angl. phishing, verčiant pažodžiui „žvejojimas“), kai daugybei žmonių siunčiami suklastoti laiškai iš programinės įrangos gamintojų, bankų, advokatų ir t. t. – po truputį užleidžia pozicijas atakoms, kurių metu taikomasi į konkrečius asmenis.

„Fišingo žanro klasika – el. laiškai su kenksmingu programiniu kodu prisegtuke arba nuorodoje, pranešantys apie jūsų kompiuterio ar programinės įrangos veikimo problemas, virusų atakas ar netikėtą loterijos laimėjimą; padirbtos sąskaitos, kurias neva siunčia jūsų programinės įrangos gamintojai; žinutės „Facebook“, raginančios kuo greičiau apmokėti tam tikras išlaidas ir t. t. – vis dar plačiai naudojama taktika. Tačiau populiarėja ir fišingo metodai, orientuoti į „tikslines grupes“ įmonės viduje, pavyzdžiui, vadovus arba buhalterijos darbuotojus“, – pasakoja Ugnius Klevinskas, paaiškindamas, kad šie metodai išsiskiria tuo, kad yra geriau apgalvoti, o siunčiamos klastotės – daug kokybiškesnės.

„Jei eilinis fišingo laiškas gali būti atpažintas gana greitai iš gramatinių klaidų, nerišlių sakinių, keistos vizualinės dalies ir paslėptų nuorodų, tai tikslines atakas pagal tokius ženklus atpažinti sunkiau – keistas el. pašto adresas, esminis laiško nelogiškumas ir kiti ženklai, paprastai išduodantys klastotę, į akis krenta tik atidžiai perskaičius laišką kelis kartus. Atskirais atvejais, tikslinių atakų laiškai savo kokybe prilygsta legalaus turinio laiškams“, – pabrėžia pašnekovas.

Kibernetinio saugumo ekspertai išskiria du pagrindinius fišingo pogrupius: tikslinis fišingas (angl. spear phishing), kai taikomasi į vertingos informacijos galinčius turėti darbuotojus, ir aukščiausio lygio vadovų atakavimas arba „banginių medžioklė“ (angl. whale phishing). „Abu šie metodai yra išskirtiniai ir turintys savo logiką, su kurios prielaidomis verta susipažinti detaliau“, – pastebi U. Klevinskas.

Brangiausias laimikis – vadovai

Nors „banginių medžioklė“ gali būti suprantama ir bendriau – kaip fišingo metodas, nukreiptas į bet kokius įtakingus asmenis iš įvairių sričių, pavyzdžiui, politikus arba pramogų pasaulio įžymybes, organizacijos ribose šios atakos dažniausiai orientuotos į aukščiausios grandies vadovus.

„Viena vertus, aukščiausi vadovai paprastai neturi laiko gilintis į kiekvieną gautą laišką ir jiems dažnai suteikiamos tam tikros nuolaidos įgyvendinant saugumo politiką. Kita vertus, tai žmonės, turintys priėjimą prie pačios svarbiausios įmonės informacijos ir sistemų, todėl vadovai – kibernetinių nusikaltėlių „idealas“. Kaip rodo plačiau nuskambėję atvejai, pelnas, gautas juos apgavus, gali siekti milijonus. Tiesa, pasirengimas „banginių medžioklei“ kibernetiniams nusikaltėliams kainuoja brangiai ir užtrunka daugiau laiko, todėl tokios atakos retesnės“, –  pasakoja „Blue Bridge“ saugumo ekspertas.

Dažniausiai aukščiausios grandies vadovai „užpuolami“ suklastojus laišką, kuris atrodo lyg atsiųstas iš patikimo šaltinio, pavyzdžiui, iš kito tos pačios organizacijos vadovo, arba pavagiama jų tapatybė ir laiškas siunčiamas žemesnės grandies vadovams jų vardu.

 „Siekiant apsisaugoti nuo „banginių medžioklės“ efektyvu pasitelkti papildomus autentifikavimo arba tikrinimo veiksmus, reikalingus visiems jautriems prašymams, pavyzdžiui, el. mokėjimų pavedimams“, – komentuoja U. Klevinskas.

Tarp dažniausių taikinių – pardavimų vadybininkai

Kalbant apie tikslinį fišingą, su kuriuo gali susidurti bet kuris organizacijos darbuotojas, svarbiausia žinoti, kad tokie el. laiškai taip pat gali būti individualizuoti ir pritaikyti darbuotojo pareigoms.

„Kaip dažniausius taikinius galima išskirti administraciją ir vadovų asistentus, personalo skyrių ir pardavimų vadybininkus. Šios auditorijos išsiskiria gana ryškiais skiriamaisiais bruožais. Pavyzdžiui, pardavimų vadybininkai pratę gauti svarbius pasiūlymus el. paštu, greitai į juos reaguoti ir nebijo užmegzti kontakto su nepažįstamais žmonėmis. Personalo skyriaus darbuotojai taip pat turi kibernetiniams nusikaltėliams naudingų įpročių. Pavyzdžiui, jie gauna daug laiškų iš išorės, dažniausiai – iš fizinių asmenų, siunčiančių savo gyvenimo aprašymus, todėl nedvejodami atidaro laiškų prisegtukus“, – dėsto U. Klevinskas.

Dar vienas dažnas taikinys – administracijos darbuotojai ir vadovų asistentai – masina dėl galimybės gauti prieigą prie svarbios vidinės korespondencijos. „Nors ši darbuotojų grupė dažnai yra kruopšti, ją gali paveikti argumentai, jog reikia tik trupučio papildomos informacijos, nes visus kitus duomenis jau suteikė vadovas, arba kad į juos kreipiamasi vadovui paprašius ir taupant jo brangų laiką“, – atkreipia dėmesį pašnekovas.

Įpročiai ir technologijos, padedančios apsisaugoti

Nors neretai pažymima, kad žmogus – silpniausia kibernetinio organizacijos saugumo grandis ir būtent dėl „žmogiškojo faktoriaus“ socialinė inžinerija tokia pavojinga, „Blue Bridge“ saugumo ekspertas patikina, kad technologijos tikrai gali sumažinti virtualių manipuliacijų riziką.

„Tokie sprendimai kaip elektroninio pašto filtrai (angl. spam filters), antivirusinės programos, ugniasienės, naršyklių įskiepai (angl. anti-phishing addons), įspėjantys apie galimą grėsmę, ir kitos el. pašto apsaugos sistemos nufiltruoja dalį tipinių fišingo laiškų ir jie tiesiog nepasiekia adresato arba pasiekia su žyme „pavojinga“. Yra ir sprendimų, kurie įspėja apie įtartiną nuorodą laiško tekste“, – pastebi specialistas, pridurdamas, kad net reguliarus programinės įrangos atnaujinimas leidžia sumažinti socialinės inžinerijos atakų žalą, kai bandoma išnaudoti vidinių sistemų ir programinės įrangos pažeidžiamumus.

„Nuo tikslinių atakų gali padėti apsisaugoti ir technologijos pačia plačiausia prasme. Pavyzdžiui, gavus svarbų, bet įtartiną el. laišką, verta pasitikslinti kitu kanalu – telefonu arba gyvai – ar tikrai laiškas parašytas ir išsiųstas jūsų organizacijos darbuotojo“, – pažymi U. Klevinskas.

Yra ir keletas kasdienių įpročių, susijusių su el. pašto naudojimu, kurie padeda išsiugdyti tam tikrą „imunitetą“ fišingui. „Visų šių įpročių pagrindas, be abejo, yra dėmesingumas, nes fišingo esmė – priversti jus priimti sprendimą greitai, vos gavus laišką. Todėl pirmiausia reikėtų įprasti visada stabtelėti, patikrinti gauto laiško el. paštą ir siuntėją, o prieš atidarant prisegtuką, patikrinti jį antivirusine programa. Taip pat, jokiu būdu neaktyvuoti tekstinio prisegtuko Macros komandų. – pasakoja „Blue Bridge“ atstovas. – Jeigu laiško tekste yra nuoroda – neskubėkite jos spausti, o užveskite pelę ir patikrinkite, ar išsiskleidusi tikroji svetainė sutampa su pateikta nuorodoje. Rekomenduojama nespausti nuorodų, vedančių į jums nepažįstamas svetaines, o jų reputaciją ir prisegtukų elgseną virtualioje aplinkoje galite patikrinti internete, per virustotal.com ar hybrid-analysis.com“.

Socialinė inžinerija apima ne tik virtualią erdvę

Nors didžiausia tikimybė organizacijoje susidurti su socialinės inžinerijos metodais – gavus el. laišką arba SMS žinutę, vien šiais kanalais nusikaltėliai neapsiriboja.

„Jeigu jūsų organizacija – tikslinės atakos taikinys, gali būti naudojami ir kombinuoti metodai, t. y. ataka vykdoma pasitelkus ir telefoną, ir įprastą paštą, ir net – susitikus akis į akį. Kaip ir visos stambaus masto sukčiavimo schemos, socialinės inžinerijos metodų panaudojimo scenarijai gali būti neįtikėtinai kūrybiški, todėl ir atsparumą jiems reikia ugdyti kūrybiškai, žvelgiant į socialinę inžineriją kaip į fenomeną, apimantį ir virtualią, ir įprastą realybę“, – akcentuoja U. Klevinskas.

„Blue Bridge“ saugumo ekspertas pastebi, kad ilgalaikėje perspektyvoje organizacijos turėtų investuoti ne tik į teorines, bet ir į praktines žinias apie socialinę inžineriją. Vienas iš būdų pasiekti šį tikslą – iš pradžių atlikti organizacijos atsparumo socialinei inžinerijai testą, o po to pateikti jo rezultatus, t. y. parodyti, kiek sėkmingas buvo bandymas išgauti iš darbuotojų informaciją. Praėjus kuriam laikui testą reikėtų pakartoti.

„Toks testų ir mokymų ciklas – būdas aktualizuoti organizacijos kibernetinio saugumo politiką ir leisti patiems darbuotojams pamatyti, kad suvesti prisijungimo duomenys suklastotame portale, paspausta kenksminga nuoroda, paskubomis išsiųstas atsakymas į vieną el. laišką ar SMS žinutę gali aukštyn kojomis apversti ir visos organizacijos, ir vieno žmogaus gyvenimą“, – sako Ugnius Klevinskas.

Daugiau Ugniaus ir kitų „Blue Bridge“ ekspertų įžvalgų apie kibernetinį saugumą  – kasmetinėje „Blue Bridge“ konferencijoje „Cyber Security Hub“, kuri įvyks gegužės 7 d. Vilniuje. Daugiau informacijos ir registracija adresu — www.bluebridge.lt/renginys/blue_bridge_csh_2019/

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

Lietuviai lazeriais ir ultragarsu apdirbs pačias trapiausias medžiagas

Bendrovės iš Vilniaus lazerinių technologijų klasterio TOOLAS baigia kurti ir netrukus pasiūlys pasaulinei...

KTU su ukrainiečiais imasi kurti naujos kartos neperšaunamas liemenes

Kauno technologijos universiteto (KTU) mokslininkai kartu su Kijevo nacionaliniu technologijos ir dizaino...

Technologijos
2019.10.22
Vyksta pratybos „Kibernetinis skydas 2019“ 

Lietuvoje prasideda nacionalinės kibernetinio saugumo ir gynybos pratybos „Kibernetinis skydas 2019“, kuriose...

Technologijos
2019.10.22
„LBChain“ technologinės platformos kūrimo finale – IBM ir „Tieto“

Blokų grandinės technologija grįstos eksperimentinės Lietuvos banko (LB) platformos „LBChain“ kūrimo konkurse...

Technologijos
2019.10.22
Kova su klimato kaita – Lietuvos verslo darbotvarkėje Verslo tribūna

Pastaruoju metu į pirmąsias naujienų pozicijas kaip niekada aukštai iškilę klimato kaitos klausimai verčia iš...

Išmani Lietuva
2019.10.21
Kauniečių sukurta žaidimų platforma pritraukė 2,5 mln. Eur investiciją Premium

Kauno UAB „Helis play“ kiek daugiau nei pusmetį vystoma kompiuterinių žaidimų pardavimo platforma „Eneba.com“...

Technologijos
2019.10.21
Įspūdingą energijos kiekį sutaupiusi „Grigeo“ įvertinta „Išmanios Lietuvos“ konferencijoje   Verslo tribūna

Darnios ir konkurencingumą didinančios veiklos vaisius „Verslo žinių“ organizuotoje konferencijoje „Išmani...

Išmani Lietuva
2019.10.18
Laikas atnaujinti terminalus – „Microsoft“ stabdo senų įterptinių sistemų palaikymą Premium 2

„Microsoft“ nuo kitų metų pradžios stabdo bene paskutinės iš senųjų įterptinių operacinių sistemų (OS)...

Technologijos
2019.10.17
Vilniečiai sukūrė lazerį savaeigiui: nykščio dydžio, už 300 Eur Premium 11

Vienus mažiausių ir pigiausių pasaulyje lazerių aplinkai skenuoti gaminanti Vilniaus „Integrated Optics“...

Pramonė
2019.10.16
„Išmani Lietuva“: apie mus ir technologijas 2

Estija praėjusią savaitę pradėjo siūlyti viešąsias paslaugas piliečiams, dar prieš jiems kreipiantis. Apie...

Technologijos
2019.10.15
„Išmanios Lietuvos“ pranešėjas: daugelio atsakymų dar neturime, bet DI nereikia bijoti 9

Dr. Giedrius Buračas, biofizikas ir neurobiologas, vadovaujantis keliems JAV gynybos departamento...

Technologijos
2019.10.11
Lietuvių kriptovaliutų biržoje „suvaikščiojo“ 80 mln. Eur, atėjo naujas akcininkas 8

Lietuvos bendrovė „Bitmarket“, valdanti tarptautinę kriptovaliutų biržą „Btc-exchange.com“, pernai pasiekė...

Rinkos
2019.10.10
Spausdinimo sprendimai: Japonijos milžinai didina apsukas Lietuvoje Premium

Baltijos šalių biuro įrangos ir spausdinimo sprendimų rinkoje šiemet įvyko nemažai pokyčių. Klientams jie...

Paslaugos
2019.10.10
Kas bendro tarp 100 mlrd. Eur, Lietuviškų IoT startuolių ir „Avataro“? Kai Holivudo fantazijos tampa realybe Verslo tribūna 6

Medis, kuris biologiniais jutikliais viską jaučia, o žmonės gali su juo susijungti ir dalintis informacija.

Išmani Lietuva
2019.10.10
MITA imasi skatinti gyvybės mokslų sektorių 6

Mokslo, inovacijų ir technologijų agentūra (MITA) pradeda įgyvendinti naują iniciatyvą „Gyvybės mokslų...

Paslaugos
2019.10.09
Suskaičiavo išlaidas MTEP: įmonės nedaug atsilieka nuo universitetų 1

Išankstiniais Statistikos departamento duomenimis, pernai mokslinių tyrimų ir eksperimentinės plėtros (MTEP)...

Paslaugos
2019.10.09
Silvana nejuokauja

Švedišku „Oskaru“ apdovanotoje dokumentikoje apie ją pačią Silvana Imam grįžta į vaikystės namus Plungėje.

Verslo klasė
2019.10.08
Latvės JK įkurtam startuoliui Lietuvos bankas suteikė e. pinigų įstaigos licenciją 3

Lietuvos bankas sparčiai augančiai pinigų pervedimo platformai „Opal Transfer“ išdavė elektroninių pinigų...

Paslaugos
2019.10.08
Automatizuoti įrankiai ir jų vystymas IT paslaugų teikime: „Blue Bridge Bond“ patirtis Verslo tribūna

Viena pirmųjų Lietuvoje pradėjusi naudoti automatizuotą kompiuterinių darbo vietų priežiūros įrankį, „Blue...

Išmani Lietuva
2019.10.07
Šimtai mokytojų Lietuvoje pradėjo mokytis dirbti su technologijomis Verslo tribūna 1

Rugsėjo 16 d. prasidėjo mentorystės programos pradinių klasių mokytojams „Technologijų vedliai“ naujas...

Išmani Lietuva
2019.10.03

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau