Organizacijos investuoja didžiulius pinigus į technines ir programines apsaugos priemones, siekdamos apsaugoti savo turtą, tačiau užmiršta žmogiškuosius išteklius. Pasinaudoti žmogiškojo faktoriaus klaida yra pakankamai lengva, nereikalauja didelių investicijų ir apima nedidelę riziką būti sučiuptam. Kibernetiniai nusikaltėliai pasižymi puikiomis psichologijos žiniomis ir įžūlumu, jų atakos tobulėja.
Kas yra socialinė inžinerija?
Socialinė inžinerija – tai manipuliavimas žmonėmis, jų silpnybėmis, siekiant apeiti informacijos apsaugos sistemas bei pagrobti ir užvaldyti konfidencialią informaciją. Socialinės inžinerijos tikslas – vartotojui nesuvokiant išgauti iš jo privačią informaciją, sužinoti, tai, ko jis realiame gyvenime nenorėtų atskleisti tretiesiems asmenims. Dažniausiai žmonės nesusimąsto apie galimą klastą ir nežino socialinės inžinerijos, jos veikimo principų.
Didžiausia grėsmė kyla paprastiems naudotojams dėl kibernetinio saugumo ir IT raštingumo stokos. Ši grėsmė taip pat labai aktuali ir verslo subjektams, kurie dėl socialinės inžinerijos metodais pagrįstų kibernetinių incidentų praranda konfidencialią informaciją arba patiria tiesioginius finansinius nuostolius.
Kokius veiksmus atlieka kibernetiniai nusikaltėliai panaudodami socialinės inžinerijos metodus?
Socialinės inžinerijos metodai įgalino kibernetinius nusikaltėlius įsiskverbti į organizacijų ir gyventojų kompiuterius, rinkti informaciją arba įtraukti kompiuterius į „Botnet“ ir vykdyti kenkėjišką veiklą. „Botnet“ – tai užvaldytas kompiuterių ar daiktų interneto įrenginių tinklas, galintis vykdyti paskirstyto atsisakymo aptarnauti kibernetines atakas (angl. „DDOS“).
Socialinės inžinerijos metodais paremti kibernetiniai incidentai susiję su manipuliavimu naudotojų veiksmais internete ir apgaule. Jų metu vyksta informacijos rinkimas, platinama kenkimo programinė įranga, išnaudojami pažeidžiamumai. Siunčiami apgaulingi ir klaidinantys elektroniniai laiškai, rašomos žinutės socialiniuose tinkluose su kenkėjišku kodu ar nuorodomis į kenkėjiškas interneto svetaines.
Kas motyvuoja kibernetinius nusikaltėlius?
Kibernetinio nusikaltėlio motyvaciniai aspektai vykdyti socialinės inžinerijos ataką gali būti įvairūs. Dažniausiai pasitaikantis aspektas yra siekis gauti finansinės naudos. Kitas aspektas yra savanaudiškumas ir smalsumas, tai galimybė išbandyti savo jėgas ir pasiekti užsibrėžtų tikslų. Dar vienas iš aspektų yra kerštas, jo priežastis geriausiai žinoma tik kibernetinės atakos iniciatoriui. Taip pat socialinis inžinierius gali patirti spaudimą iš artimos aplinkos arba suinteresuotų asmenų.
Socialinės inžinerijos psichologiniai įtakos veiksniai
Socialinis programavimas ir smalsumas. Socialinis programavimas yra įtakos instrumentas, kuriuo siekiama paveikti žmonių elgesį, kad jie pradėtų elgtis pagal socialinio inžinieriaus elgesio modelį. Įdomiai suformuluotas žinutės tekstas arba netikėtas, tačiau pažįstamas šaltinis sudomina. Išnaudojamas žmonių noras pirmauti, norėdami parodyti savo vertę, be svarstymų išduos kibernetiniam nusikaltėliui jo prašomą informaciją.
Baimė ir skubėjimas. Kibernetiniai nusikaltėliai žino, kad žmogaus emocijos ir protas ne visada bendradarbiauja, nes kiekvienas žmogus kažko bijo. Daug bėdų sukelia tiesioginis kontaktas, kai vykdomi kibernetinių nusikaltėlių veiksmai siekiant išsaugoti informaciją ar išvengti kitų problemų. Priimami skubūs ir neapgalvoti sprendimai, gavus laišką neatkreipiamas dėmesys į jo šaltinį ir turinį.
Pranašumas ir pripažinimas (atlygis). Pranašumas yra būsena, kuomet žmonės jaučiasi daugiau žinantys ir turinčiu didesnę vertę lyginant su kitais. Sukčiavimo aukai ypač svarbi kitų nuomonė, ji gali būti perdėtai giriama. Sukuriama iliuzija, kad bus gaunama kažkokia nauda.
Pasitikėjimas ir empatija. Daug lengviau yra patikėti gauta informacija, nei ją tikrinti ir kritiškai įvertinti. Žmonėms gali būti tiesiog nepatogu kažkam prieštarauti ir išreikšti tam tikras abejones, ypač jei kalba visuomenėje labai gerai žinomas veikėjas. Svarbiausias faktorius – autoritetas. Socialinės inžinerijos metodą naudojantis apgavikas gali manipuliuoti aukos emocijomis – pagalba, užuojauta, globa, motinystė ir tėvystė.
Sritys, kuriose yra taikoma socialinė inžinerija
Pagrindinės socialinės inžinerijos taikymo sritys:
· Įvairaus tipo kritinių duomenų vagystės.
· Pramoninis šnipinėjimas.
· Finansinės machinacijos.
· Sukčiavimas.
· Šantažas.
· Informacijos rinkimas.
Socialinės inžinerijos tipai
„Pretexting“. Kibernetinis nusikaltėlis didelį dėmesį skiria patikimo scenarijaus kūrimui, kurį panaudoja kaip pretekstą bandydamas pavogti savo aukų informaciją ar asmeninius duomenis. Sukuriamas melagingas pasitikėjimo jausmas, gali būti apsimetama – bendradarbiu, privačios arba valstybės įmonės darbuotoju. Pavogti asmens duomenys yra panaudojami tapatybės vagystėms ir antriniams išpuoliams įvykdyti. Pavyzdžiui, kibernetiniai nusikaltėliai gali apsimetinėti kokios nors IT sistemos priežiūros specialistais, siekiant gauti prieigą prie atitinkamų IT resursų.
„Baiting“. Apgavystei panaudojamas melagingas pažadas, išnaudojant sukčiavimo aukos godumą ar smalsumą. Aukos įviliojamos į spąstus, pavagiama jų asmeninė informacija arba užkrečiamos informacinės sistemos kenkėjiška programine įranga. Pavyzdžiui, kibernetiniai nusikaltėliai matomose vietose palieka masalą – kenkėjiškų programų užkrėstą USB raktą, tikėdamiesi, kad auka jį ras ir juo pasinaudos. Masalo efektui sustiprinti, USB raktas gali būti išskirtinės išvaizdos, taip pat panaudojamas žinomos įmonės logotipas ir užrašomas tekstas „konfidencialu“, „neskaityti“, „privatu“ ir t. t.
Sukčiavimas nebūtinai turi būti vykdomos fiziniame pasaulyje, internete viliojančios reklamos sukčiavimo aukas nukreipia į kenksmingas svetaines arba siūlo atsisiųsti įvairaus skaitmeninio turinio kartu su kenkėjiška programine įranga.
„Scareware“. Kibernetinių nusikaltėlių aukos atakuojamos melagingais pavojaus signalais ir fiktyviais grasinimais. Pavyzdžiui, interneto naršyklės lange iššoka reklaminės juostos įspėjančios apie pavojų jūsų kompiuteriui, kuriose rašoma „Jūsų kompiuteris užkrėstas virusais, išvalyti“, „Jūs turite virusų, paspauskite šią nuorodą“ ir t. t. Paspaudus tokią reklamą nukreipiama į užkrėstą svetainę arba pradedama siųsti kenkėjiška programinė įranga.
„Phishing“. Daugybei žmonių siunčiami suklastoti laiškai su kenksmingu programiniu kodu prisegtuke arba nuorodoje, pranešantys netikėtą loterijos laimėjimą, programinės įrangos gedimą, neapmokėtą sąskaitą, kurią neva siunčia jūsų vadovas arba programinės įrangos teikėjas. Be abejo visa tai yra melas, siekiant manipuliuoti ir išvilioti konfidencialią informaciją.
„Phishing“ ir „Spear phishing“ atakos
„Phishing“ – tai tokia sukčiavimo forma prieš organizacijas ar privačius asmenis, kai pasinaudojant nepageidaujamomis elektroninio pašto žinutėmis ar falsifikuotais internetiniais tinklalapiais siekiama išgauti prisijungimo prie informacinių sistemų slaptažodžius bei kitus konfidencialius duomenis. Dažniausiai tokio pobūdžio atakos būna nukreiptos prieš bankų klientus, siekiant sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis. Sukčiai išsiunčia tūkstančius vienodo turinio žinučių ir tikisi, jog keli ar keliolika vartotojų „užkibs ant kabliuko“. Beasmenės žinutės tampa vienu iš pirmųjų pavojaus signalų.
Pavojaus signalai:
· Beasmenė žinutė.
· Žinutė iš paslaugų teikėjo kurio paslaugomis niekada nesinaudojote.
· Laiške nurodytos neaiškios nuorodos.
· Laiške prisegti neaiškūs priedai (failai).
· Įtartinas el. pašto adresas.
· Nenaudojamas „https“ protokolas.
· Nerišlūs sakiniai ir gramatinės klaidos.
· Keistos vizualinės detalės.
„Spear-phishing“ yra sudėtingesnė nei reguliari „phishing“ ataka, kibernetiniai nusikaltėliai analizuoja potencialių aukų asmeninę informaciją ir pagal ją formuojamas „phishing“ laiškas. Tokie laiškai yra sunkiai identifikuojami naudojant „phishing“ filtrus. Dažnai tokios tikslinės atakos yra orientuotos į vadovus ir kitus administracijos darbuotojus, kurie turi galimybę disponuoti organizacijos finansais.
Situacija Lietuvoje kibernetinio saugumo kontekste
Lietuva yra tarp lyderių pagal nacionalinį kibernetinio saugumo indeksą (NCSI), užima ketvirtą vietą po Čekijos, Estijos ir Ispanijos.
Ilgą laiką augusi kibernetinių incidentų statistika 2018 m. mažėjo. Lietuvoje užregistruota 53 183 kibernetinio saugumo incidentai, t. y. 3 proc. mažiau nei ankstesniais metais. Tačiau išaugo kibernetinių incidentų sudėtingumas, atakos tampa vis labiau rafinuotos, o jas ištirti automatizuotomis priemonėmis yra neįmanoma.
Remiantis nacionalinio kibernetinio saugumo centro 2018 metų ataskaita, populiariausi socialinės inžinerijos metodais pagrįsti kibernetiniai incidentai pagal 2018 m. statistiką Lietuvoje buvo „phishing“ elektroniniu paštu, žinučių socialiniuose tinkluose siuntimas arba naudotojų viliojimas į suklastotas interneto svetaines. Kibernetiniai nusikaltėliai šiais metodais dažnai siekia finansinės naudos. Ypač tokio pobūdžio kibernetinių incidentų padaugėja šventiniais periodais, kai naudotojai yra viliojami nuolaidomis, ir vertingai atrodančiais pasiūlymais ir pan. Dažnas atvejis, kai kibernetiniai nusikaltėliai, apsimesdami įmonių vadovais, prašo buhalterių atlikti pinigines perlaidas.
2018 m. užfiksuotas 25 procentais didesnis socialinės inžinerijos metodais paremtų kibernetinių incidentų skaičius. To priežastis yra žmogaus veiksnio išnaudojimas kibernetinėms atakoms realizuoti. Kibernetinio saugumo subjektai skiria daug išteklių ryšių ir informacinių sistemų atsparumui didinti, infrastruktūrai apsaugoti techninėmis priemonėmis, tačiau vis dar per mažai dėmesio skiriama darbuotojams šviesti ir sąmoningumui didinti. Laikomasi nuomonės, kad kibernetinis saugumas yra informacinių technologijų specialistų kompetencijos ir techninės įrangos klausimas. Įvykus kibernetiniam incidentui, atsakomybė dažniausiai yra perkeliama naudotojui, kuris iki įvykio dažniausiai deramai neinformuojamas ar nešviečiamas, kaip valdyti su kibernetiniu saugumu susijusias rizikas.
Saugus naršymas internete
Jeigu jungiatės prie interneto svetainės, kuria bus perduodami svarbūs duomenys, įsitikinkite, kad ji pasiekiema saugiu SSL sertifikatu. Tokį saugumo lygį parodo svetainės adreso pradžioje esantis trumpinys https arba pavaizduotas spynelės simbolis. Paspaudus spynelės simbolį galima sužinoti daugiau informacijos apie išduotą saugumo sertifikatą, svetainės savininką ir pan.
Įsitikinkite, kad interneto svetainės adresas, kuriame įvedate savo duomenis, tikrai teisingas – atkreipkite dėmesį, ar nėra praleistų raidžių, ar raidės nesukeistos vietomis ir pan.
Jeigu naudojate viešai prieinamą bevielį internetą (angl. public Wi-Fi) nesinaudokite elektroninėmis banko paslaugomis, nepirkite prekių ir venkite interneto svetainių, kuriose reikėtų įvesti kokius nors asmeninius duomenis.
Pagrindiniai socialinės inžinerijos grėsmių valdymo būdai
1. Atsakingai dalintis asmenine informacija.
2. Nesaugoti slaptažodžių atviru tekstu.
3. Neįvedinėti asmeninės informacijos į svetaines kurios nenaudoja https protokolo.
4. Visada išlikti budriam ir kritiškai vertinti informaciją, neskubėti. Ypatingas dėmesys turi būti skiriamas el. laiškams, kuriuose prašoma pateikti konfidencialią informaciją.
5. Įsitiktinti, kad laiško siuntėjas iš tiesų yra tas, kuris nurodytas lauke „Nuo“. Jeigu gavote įtartiną el. laišką ar žinutę nuo pažįstamo asmens, pasiskambinkite arba kontaktuokite su juo kitais kanalais ir įsitikinkite, kad asmuo iš tiesų Jums kažką siuntė.
6. Naudoti kelių veiksnių (faktorių) autentifikavimą. Vis daugiau internetu pasiekiamų paslaugų teikėjų suteikia galimybę naudoti šį papildomą apsaugos lygmenį. Dviejų faktorių autentifikavimui paprastai reikia pateikti vartotojo vardą, slaptažodį ir papildomą informaciją, pvz. unikalų kodą, kurį gaunate į mobilųjį telefoną ar el. paštą. Tai stipriai apsunkina kibernetinių nusikaltėlių patekimą į jūsų įrenginius ir paskyras.
7. Žinoti, kad patikimos kompanijos, pvz. bankai, niekada neprašo pateikti konfidencialios informacijos el. pašto laiškais.
8. Neatidarinėti e. laiške nuorodų į internetinius tinklalapius. Laiške pateiktą nuorodą reikia įvesti tiesiai į savo interneto naršyklę.
9. Įtartinas nuorodas arba falus patikrinti specialiose kenkėjišką kodą atpažįstančiose svetainėse.
10. Neįvedinėti svarbios informacijos į iššokančius (angl. „pop–up“) langus.
11. Neatidarinėti įtartinų failų. Kenkėjiškos makrokomandos sukčiavimo el. laiškuose per pastaruosius metus tapo vis labiau paplitusiu būdu teikiant išpirkos programas. Šie dokumentai (docx, pptx, xlsx ir t.t.) pernelyg dažnai praeina antivirusines programas be jokių problemų. Jei vartotojams nepavyksta įgalinti makrokomandų (angl. Enable Content), ataka nesėkminga.
12. Įdiegti ir laiku atnaujinti, geriausiai automatiškai, antivirusinę programinę įrangą.
13. Naudoti „spam“ filtravimo programinę įrangą. Tokios programos sugeba atpažinti „spam“ laiškus ir juos sunaikinti nepasiekus galutinio vartotojo pašto dėžutės arba gali juos nukreipti į specialų katalogą vėlesnei peržiūrai.
14. Reguliariai atnaujinti operacinę sistemą.
Organizacijos be visų aukščiau išvardintų priemonių turėtų rengti mokymus ir šviesti darbuotojus apie kibernetinį saugumą. Taip pat kartas nuo karto rengti pratybas, kurių tikslas būtų įvertinti organizacijos atsparumą kibernetinėms grėsmėms. Vadovautis kibernetinio saugumo politika, kurioje būtų įtvirtinta aiški reagavimo į kibernetinius incidentus procedūra.