Kas tai? Eksperto įžvalgos

Populiariausi socialinės inžinerijos būdai ir kaip nuo jų apsisaugoti?

Publikuota: 2019-04-16
„Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.
„Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

Per pastarąjį dešimtmetį kibernetinio saugumo kontekste vis daugiau dėmesio sulaukianti socialinė inžinerija iš tikrųjų – vienas seniausių žmonijos išradimų. Pirmuosius socialinės inžinerijos pavyzdžius galima rasti jau Biblijoje, teigia Christopher Hadnagy, knygos „Socialinė inžinerija: žmogaus kodo „nulaužimo“ mokslas“ (Social Engineering: The Science of Human Hacking) autorius.

Telefoniniai sukčiai, bandantys įtikinti, kad jūsų artimas žmogus pakliuvo į bėdą, ir kibernetinis nusikaltėlis, parašęs jums el. laišką su prašymu kuo greičiau apmokėti naują jūsų vadovo sąskaitą – vadovaujasi tuo pačiu principu – užmezgus emocijų kupiną pokalbį priversti jus imtis veiksmų prieš tai jų neapgalvojus.

Bandymai užkalbinti virtualioje erdvėje – vis geriau apgalvoti

Didėjanti socialinės inžinerijos metodų sėkmė vykdant kibernetines atakas ir vagiant jautrius duomenis aiškinama ne tik technologine pažanga, kuri leidžia greitai ir pigiai užmegzti pokalbį su bet kuo pasaulyje, bet ir tuo, kad kibernetiniai nusikaltėliai išmoksta vis labiau individualizuoti virtualius pokalbius ir pritaikyti juos jūsų pareigoms, amžiui ir lyčiai.

„Socialinė inžinerija yra politiškai nekorektiška“, – perspėja savo knygoje C. Hadnagy, ragindamas nenustebti susidūrus su savo profesinio ir asmeninio gyvenimo aplinkybių eksploatacija kibernetinės atakos metu. Kaip ir realaus pasaulio sukčių nusikaltimai, įvykdomi apsimetant policininku, valstybės tarnautoju ar banko atstovu, kibernetinių nusikaltėlių puolimas dažnai stebina įžūlumu ir puikiomis psichologijos žiniomis.

Taigi – kokie populiariausi socialinės inžinerijos metodų tipai, su kuriais galite susidurti darbe, ir kas gali padėti apsaugoti darbuotojus nuo tobulėjančių kibernetinių nusikaltėlių, pasakoja „Blue Bridge“ kibernetinio saugumo ekspertas Ugnius Klevinskas.

„Banginių medžioklė“ ir kiti fišingo metodai

Labiausiai paplitęs socialinės inžinerijos metodas – fišingas (angl. phishing, verčiant pažodžiui „žvejojimas“), kai daugybei žmonių siunčiami suklastoti laiškai iš programinės įrangos gamintojų, bankų, advokatų ir t. t. – po truputį užleidžia pozicijas atakoms, kurių metu taikomasi į konkrečius asmenis.

„Fišingo žanro klasika – el. laiškai su kenksmingu programiniu kodu prisegtuke arba nuorodoje, pranešantys apie jūsų kompiuterio ar programinės įrangos veikimo problemas, virusų atakas ar netikėtą loterijos laimėjimą; padirbtos sąskaitos, kurias neva siunčia jūsų programinės įrangos gamintojai; žinutės „Facebook“, raginančios kuo greičiau apmokėti tam tikras išlaidas ir t. t. – vis dar plačiai naudojama taktika. Tačiau populiarėja ir fišingo metodai, orientuoti į „tikslines grupes“ įmonės viduje, pavyzdžiui, vadovus arba buhalterijos darbuotojus“, – pasakoja Ugnius Klevinskas, paaiškindamas, kad šie metodai išsiskiria tuo, kad yra geriau apgalvoti, o siunčiamos klastotės – daug kokybiškesnės.

„Jei eilinis fišingo laiškas gali būti atpažintas gana greitai iš gramatinių klaidų, nerišlių sakinių, keistos vizualinės dalies ir paslėptų nuorodų, tai tikslines atakas pagal tokius ženklus atpažinti sunkiau – keistas el. pašto adresas, esminis laiško nelogiškumas ir kiti ženklai, paprastai išduodantys klastotę, į akis krenta tik atidžiai perskaičius laišką kelis kartus. Atskirais atvejais, tikslinių atakų laiškai savo kokybe prilygsta legalaus turinio laiškams“, – pabrėžia pašnekovas.

Kibernetinio saugumo ekspertai išskiria du pagrindinius fišingo pogrupius: tikslinis fišingas (angl. spear phishing), kai taikomasi į vertingos informacijos galinčius turėti darbuotojus, ir aukščiausio lygio vadovų atakavimas arba „banginių medžioklė“ (angl. whale phishing). „Abu šie metodai yra išskirtiniai ir turintys savo logiką, su kurios prielaidomis verta susipažinti detaliau“, – pastebi U. Klevinskas.

Brangiausias laimikis – vadovai

Nors „banginių medžioklė“ gali būti suprantama ir bendriau – kaip fišingo metodas, nukreiptas į bet kokius įtakingus asmenis iš įvairių sričių, pavyzdžiui, politikus arba pramogų pasaulio įžymybes, organizacijos ribose šios atakos dažniausiai orientuotos į aukščiausios grandies vadovus.

„Viena vertus, aukščiausi vadovai paprastai neturi laiko gilintis į kiekvieną gautą laišką ir jiems dažnai suteikiamos tam tikros nuolaidos įgyvendinant saugumo politiką. Kita vertus, tai žmonės, turintys priėjimą prie pačios svarbiausios įmonės informacijos ir sistemų, todėl vadovai – kibernetinių nusikaltėlių „idealas“. Kaip rodo plačiau nuskambėję atvejai, pelnas, gautas juos apgavus, gali siekti milijonus. Tiesa, pasirengimas „banginių medžioklei“ kibernetiniams nusikaltėliams kainuoja brangiai ir užtrunka daugiau laiko, todėl tokios atakos retesnės“, –  pasakoja „Blue Bridge“ saugumo ekspertas.

Dažniausiai aukščiausios grandies vadovai „užpuolami“ suklastojus laišką, kuris atrodo lyg atsiųstas iš patikimo šaltinio, pavyzdžiui, iš kito tos pačios organizacijos vadovo, arba pavagiama jų tapatybė ir laiškas siunčiamas žemesnės grandies vadovams jų vardu.

 „Siekiant apsisaugoti nuo „banginių medžioklės“ efektyvu pasitelkti papildomus autentifikavimo arba tikrinimo veiksmus, reikalingus visiems jautriems prašymams, pavyzdžiui, el. mokėjimų pavedimams“, – komentuoja U. Klevinskas.

Tarp dažniausių taikinių – pardavimų vadybininkai

Kalbant apie tikslinį fišingą, su kuriuo gali susidurti bet kuris organizacijos darbuotojas, svarbiausia žinoti, kad tokie el. laiškai taip pat gali būti individualizuoti ir pritaikyti darbuotojo pareigoms.

„Kaip dažniausius taikinius galima išskirti administraciją ir vadovų asistentus, personalo skyrių ir pardavimų vadybininkus. Šios auditorijos išsiskiria gana ryškiais skiriamaisiais bruožais. Pavyzdžiui, pardavimų vadybininkai pratę gauti svarbius pasiūlymus el. paštu, greitai į juos reaguoti ir nebijo užmegzti kontakto su nepažįstamais žmonėmis. Personalo skyriaus darbuotojai taip pat turi kibernetiniams nusikaltėliams naudingų įpročių. Pavyzdžiui, jie gauna daug laiškų iš išorės, dažniausiai – iš fizinių asmenų, siunčiančių savo gyvenimo aprašymus, todėl nedvejodami atidaro laiškų prisegtukus“, – dėsto U. Klevinskas.

Dar vienas dažnas taikinys – administracijos darbuotojai ir vadovų asistentai – masina dėl galimybės gauti prieigą prie svarbios vidinės korespondencijos. „Nors ši darbuotojų grupė dažnai yra kruopšti, ją gali paveikti argumentai, jog reikia tik trupučio papildomos informacijos, nes visus kitus duomenis jau suteikė vadovas, arba kad į juos kreipiamasi vadovui paprašius ir taupant jo brangų laiką“, – atkreipia dėmesį pašnekovas.

Įpročiai ir technologijos, padedančios apsisaugoti

Nors neretai pažymima, kad žmogus – silpniausia kibernetinio organizacijos saugumo grandis ir būtent dėl „žmogiškojo faktoriaus“ socialinė inžinerija tokia pavojinga, „Blue Bridge“ saugumo ekspertas patikina, kad technologijos tikrai gali sumažinti virtualių manipuliacijų riziką.

„Tokie sprendimai kaip elektroninio pašto filtrai (angl. spam filters), antivirusinės programos, ugniasienės, naršyklių įskiepai (angl. anti-phishing addons), įspėjantys apie galimą grėsmę, ir kitos el. pašto apsaugos sistemos nufiltruoja dalį tipinių fišingo laiškų ir jie tiesiog nepasiekia adresato arba pasiekia su žyme „pavojinga“. Yra ir sprendimų, kurie įspėja apie įtartiną nuorodą laiško tekste“, – pastebi specialistas, pridurdamas, kad net reguliarus programinės įrangos atnaujinimas leidžia sumažinti socialinės inžinerijos atakų žalą, kai bandoma išnaudoti vidinių sistemų ir programinės įrangos pažeidžiamumus.

„Nuo tikslinių atakų gali padėti apsisaugoti ir technologijos pačia plačiausia prasme. Pavyzdžiui, gavus svarbų, bet įtartiną el. laišką, verta pasitikslinti kitu kanalu – telefonu arba gyvai – ar tikrai laiškas parašytas ir išsiųstas jūsų organizacijos darbuotojo“, – pažymi U. Klevinskas.

Yra ir keletas kasdienių įpročių, susijusių su el. pašto naudojimu, kurie padeda išsiugdyti tam tikrą „imunitetą“ fišingui. „Visų šių įpročių pagrindas, be abejo, yra dėmesingumas, nes fišingo esmė – priversti jus priimti sprendimą greitai, vos gavus laišką. Todėl pirmiausia reikėtų įprasti visada stabtelėti, patikrinti gauto laiško el. paštą ir siuntėją, o prieš atidarant prisegtuką, patikrinti jį antivirusine programa. Taip pat, jokiu būdu neaktyvuoti tekstinio prisegtuko Macros komandų. – pasakoja „Blue Bridge“ atstovas. – Jeigu laiško tekste yra nuoroda – neskubėkite jos spausti, o užveskite pelę ir patikrinkite, ar išsiskleidusi tikroji svetainė sutampa su pateikta nuorodoje. Rekomenduojama nespausti nuorodų, vedančių į jums nepažįstamas svetaines, o jų reputaciją ir prisegtukų elgseną virtualioje aplinkoje galite patikrinti internete, per virustotal.com ar hybrid-analysis.com“.

Socialinė inžinerija apima ne tik virtualią erdvę

Nors didžiausia tikimybė organizacijoje susidurti su socialinės inžinerijos metodais – gavus el. laišką arba SMS žinutę, vien šiais kanalais nusikaltėliai neapsiriboja.

„Jeigu jūsų organizacija – tikslinės atakos taikinys, gali būti naudojami ir kombinuoti metodai, t. y. ataka vykdoma pasitelkus ir telefoną, ir įprastą paštą, ir net – susitikus akis į akį. Kaip ir visos stambaus masto sukčiavimo schemos, socialinės inžinerijos metodų panaudojimo scenarijai gali būti neįtikėtinai kūrybiški, todėl ir atsparumą jiems reikia ugdyti kūrybiškai, žvelgiant į socialinę inžineriją kaip į fenomeną, apimantį ir virtualią, ir įprastą realybę“, – akcentuoja U. Klevinskas.

„Blue Bridge“ saugumo ekspertas pastebi, kad ilgalaikėje perspektyvoje organizacijos turėtų investuoti ne tik į teorines, bet ir į praktines žinias apie socialinę inžineriją. Vienas iš būdų pasiekti šį tikslą – iš pradžių atlikti organizacijos atsparumo socialinei inžinerijai testą, o po to pateikti jo rezultatus, t. y. parodyti, kiek sėkmingas buvo bandymas išgauti iš darbuotojų informaciją. Praėjus kuriam laikui testą reikėtų pakartoti.

„Toks testų ir mokymų ciklas – būdas aktualizuoti organizacijos kibernetinio saugumo politiką ir leisti patiems darbuotojams pamatyti, kad suvesti prisijungimo duomenys suklastotame portale, paspausta kenksminga nuoroda, paskubomis išsiųstas atsakymas į vieną el. laišką ar SMS žinutę gali aukštyn kojomis apversti ir visos organizacijos, ir vieno žmogaus gyvenimą“, – sako Ugnius Klevinskas.

Daugiau Ugniaus ir kitų „Blue Bridge“ ekspertų įžvalgų apie kibernetinį saugumą  – kasmetinėje „Blue Bridge“ konferencijoje „Cyber Security Hub“, kuri įvyks gegužės 7 d. Vilniuje. Daugiau informacijos ir registracija adresu — www.bluebridge.lt/renginys/blue_bridge_csh_2019/

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą

Rašyti komentarą

„Swedbank“ baigia programėlės bandymus, diegia mokėjimus apyrankėmis 13

„Swedbank“ skelbia baigiantis programėlės „Swedbank 2019“ viešus bandymus (angl. beta testing). Tiesa, senoji...

Paslaugos
12:55
SEB bankas diegiasi naują IT platformą 11

SEB bankas Lietuvoje 2020 m. pirmą ketvirtį planuoja diegti naują IT platformą, kuria valdoma dauguma banko...

Paslaugos
12:03
Susijungę startuoliai „PulseTip“ ir „Sype“ keičia grįžtamojo ryšio galimybes Premium 1

Vartotojų įžvalgų, skirtų organizacijoms tobulėti, platforma „Sype“ jungiasi su darbuotojų grįžtamojo ryšio...

Gazelė
05:45
„Swedbank“ rankose „Rise Vilnius“ tampa „Rockit“ Premium 4

„Swedbank“ ir Lietuvą paliekantis „Barclays“ operacijų centras užbaigė sandorį dėl finansinių technologijų...

Paslaugos
2019.07.01
„Rise Vilnius“ tapo „Rockit“

„Swedbank“ ir Lietuvą paliekantis „Barclays“ operacijų centras užbaigė sandorį dėl finansinių technologijų...

Paslaugos
2019.07.01
Permainos „Baltic Amadeus“ tęsiasi: įmonė keičia ir logotipą  8

Informacinių technologijų (IT) bendrovė „Baltic Amadeus“ tęsia pertvarkas. Pasikeitus akcininkams ir...

Paslaugos
2019.06.27
Įmonių įspūdžiai iš parodos: visiems prireikė lietuviškų lazerių Premium 9

Lietuvos lazerių sektoriaus bendrovės, dalyvaujančios Miunchene vykstančioje didžiausioje ir svarbiausioje...

Paslaugos
2019.06.27
Startuolis „Ziticity“ sutarė dėl investicijos ir žengė į Kauną 4

Lietuvių prekių pristatymo startuolis UAB „Miesto logistika“, veikiantis su prekės ženklu „Ziticity“, VŽ...

Paslaugos
2019.06.25
Nyderlandų „DigiState“ žengia į Lietuvą, atidarė biurą Vilniuje

Nyderlandų svetainių prieglobos ir IT infrastruktūros valdymo paslaugų įmonė „DigiState“, anksčiau...

Paslaugos
2019.06.21
Atrinkti skaitmeniniai sprendimai, atstovausiantys Lietuvai Jungtinių Tautų konkurse

„MoQ“,„ChestEye CAD“, „Eddy travels“, „VSight“, „BitDegree“, „Startup Visa Lithuania“, „CHRG Network“,...

Paslaugos
2019.06.20
Izraelio „Simplex“ atidarė biurą Vilniuje 5

Izraelio finansinių technologijų bendrovė „Simplex“ Vilniuje atidarė biurą. Jame šiuo metu dirba 25...

Paslaugos
2019.06.20
„Helis“ po sandorio su „Tesonet“ nėrė į žaidimų rinką Premium 1

Jauna Kauno įmonių grupė „Helis“, maždaug prieš pusmetį pardavusi dalį verslo „Tesonet“ įkūrėjams, baigia...

Paslaugos
2019.06.20
„Innovation Drift 2019“: garsiausi pasaulio inovatoriai Vilnių pavertė ateities inovacijų sostine Verslo tribūna 2

Birželio 13–14 d. „Litexpo“ rūmuose šurmuliavo Vilniaus inovacijų forumas „Innovation Drift 2019“. Čia dvi...

Išmani Lietuva
2019.06.20
Aukščiausiasis Teismas po  5 metų padėjo tašką „PriceOn“ istorijoje 4

Lietuvos Aukščiausiame Teisme išnagrinėta jau apie 5 metus (nuo 2015 m.) trunkanti kainų palyginimo...

Paslaugos
2019.06.18
Svarbiausios kibernetinės grėsmės artimiausių metų perspektyvoje Verslo tribūna

Didėjantis socialinės inžinerijos metodais paremtų atakų skaičius, tinkamai neapsaugoti darbuotojų išmanieji...

Išmani Lietuva
2019.06.17
Daugiausia uždirbti leidžiančių programavimo kalbų Europoje TOP 10 20

Tarptautinės Lenkijos kapitalo programavimo kursų kompanijos „Software Development Academy“ specialistai...

Paslaugos
2019.06.16
Lietuvių „Pixelmator Photo“ laimėjo „Apple“ dizaino apdovanojimą 9

Kasmetiniuose „Apple“ dizaino apdovanojimuose šiemet vėl triumfavo lietuvių bendrovė „Pixelmator Team“ ir jos...

Paslaugos
2019.06.14
Seimas patvirtino startuolio sąvoką, ministerija imasi opcionų 4

Seimas pritarė Ekonomikos ir inovacijų ministerijos teiktam startuolio apibrėžimui. Smulkiojo ir vidutinio...

Paslaugos
2019.06.13
Kauniečių „Rubbee“ pritraukė 1,6 mln. Eur finansavimą Premium 5

Jauna Kauno UAB „Rubbee“, sukūrusi prie dviračio montuojamą elektrinę pavarą, ir nuo pirmojo modelio...

Paslaugos
2019.06.13
Kaip per dešimtmetį keitėsi prezidentės metiniai pranešimai Premium

Antradienį prezidentė Dalia Grybauskaitė Seime skaitys paskutinį savo metinį pranešimą apie vidaus ir...

Verslo aplinka
2019.06.10

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau