Interneta krāpnieki arvien veiklāk manipulē ar cilvēkiem. Kā izvairīties? 0
Pēdējā laikā publiskajā telpā aktuāla tēma ir hakeru aktivitātes Latvijas interneta vidē – kiberuzbrukums uzņēmumam “Swedbank”, Ķīnas hakeru ielaušanās LR Ārlietu ministrijas datorsistēmā, kā arī krāpniecība, izsūtot viltotus, ar datorvīrusu inficētus e-pastus Valsts ieņēmumu dienesta (VID), “Lattelecom” un citu organizāciju vārdā. Tieši cilvēciskais faktors ir biežākais uzbrukumu iemesls, bet nezināšana, neuzmanība un lētticība ir vislabākā augsne krāpniecībai interneta vidē, izmantojot sociālo inženieriju, brīdina Latvijas IT uzņēmuma “DPA IT” drošības virziena vadītājs Didzis Balodis.
Sociālā inženierija – māksla manipulēt
Ar terminu “sociālā inženierija” apzīmē darbības, ko veic, lai manipulētu ar cilvēku, tā attieksmi un reakciju ar mērķi panākt sensitīvas informācijas izpaušanu vai noteiktu darbību veikšanu uzbrucēja labā. Sociālā inženierija ir veids, kā iegūt piekļuvi resursiem vai informācijai, izmantojot vai manipulējot ar cilvēku. Izmantotās metodes un tehnikas var būt gan vienlaikus pietiekami sarežģītas, gan arī apbrīnojami vienkāršas. Piemēram, tā vietā, lai mēģinātu atrast datorprogrammatūras ievainojamību, sociālais inženieris būs viltīgāks un drīzāk piezvanīs konkrētās organizācijas darbiniekam, izliksies par IT atbalsta speciālistu un centīsies apmuļķot darbinieku, lai iegūtu viņa pieejas paroli sistēmai un aizsargājamiem datiem.
Sociālā inženierija ir plaša un daudzveidīga, tās scenāriji un situācijas atkarīgi no uzbrucēja izdomas un uzbrukuma mērķa:
-
Sociālās inženierijas uzbrukumā var ietilpt tādas klasiskas metodes kā viltus telefona zvans, viltus e-pasts jeb pikšķerēšana (no angļu valodas – phishing), kā arī inficētu datu nesēju izplatīšana, atkritumu inspicēšana (dumpster diving) vai pat fiziska piekļuve.
Izlikšanās par citu personu, izmantojot iepriekš sagatavotu scenāriju. Piemēram, upuris pa telefonu izpauž savu datorsistēmas lietotāja vārdu un paroli vai ielaiž telpās svešu cilvēku, noticot, ka tas ir jaunais kolēģis vai kāds ārpakalpojuma sniedzējs.
Iedot “ēsmu” un panākt, lai cilvēks atver e-pasta pielikumu vai saiti (noformējot e-pastu kā reklāmu, brīdinājumu vai citu maldinājumu) vai izmanto nejauši atrastu USB zibatmiņu, ko atverot ielādējas kaitnieciska programmatūra un sniedz krāpniekam piekļuvi šī cilvēka datorsistēmās esošajiem datiem. Tieši šī metode izmantota krāpniecisko e-pastu gadījumā, kas šobrīd tiek izsūtīti lielu un zināmu Latvijas organizāciju vārdā, kā arī LR Ārlietu ministrijas izspiegošanas gadījumā.
Panākt, lai lietotājs pats ievada sensitīvus datus kādā tīmekļa formā, caur kur informācija nonāk tieši pie krāpnieka.
Neviens nav pasargāts no uzbrukumiem internetā
Viens no galvenajiem sociālās inženierijas popularitātes iemesliem ir tas, ka šis ir ļoti lēts uzbrukuma veids un uzbrucējam pat nav nepieciešamas specializētas IT zināšanas. To ir iespējams viegli atkārtot un modificēt, pielāgot konkrētajam mērķim. Būtisks faktors – nereti ar sociālās inženierijas metodēm rezultāts tiek sasniegts daudz ātrāk, nekā tas notiktu, ja tiktu lietotas citas tehniskās metodes. Kādēļ uzlauzt durvis, ja saimnieks pats labprātīgi tās atver?
Sociālie inženieri veiksmīgi māk izmantot cilvēcisko faktoru, tāpēc jebkurā organizācijā nereti tieši darbinieki ir vājākais ķēdes posms drošības sistēmā. Šo faktu var izskaidrot ar to, ka, pirmkārt, nereti darbinieki nav pietiekami apmācīti – tiem trūkst zināšanu, lai izvairītos no šādiem uzbrukumiem. Otrkārt, liela daļa organizāciju vairāk domā par tehnisko aizsardzību pret ārējiem draudiem, aizmirstot par cilvēcisko faktoru, ka ar darbinieka „palīdzību”, apejot šo aizsardzības sistēmu, tiek pārvarēts lielākais šķērslis uzbrucēja ceļā. Protams, daudziem rodas jautājums – kāpēc kādam kaut ko vajadzētu tieši no manis. Jāņem vērā, ka arī tikai izmantojot personas identitāti, var tikt pastrādāti noziegumi.
Potenciālais sociālo inženieru mērķis ir jebkurš uzņēmuma darbinieks, jo rezultāts no tā nemainās – uzbrucējs piekļūst aizsargājamai informācijai. Tomēr lielākoties uzbrukumi ir mērķēti uz darbiniekiem, kuriem ir augstākas pieejas tiesības darbam ar sensitīvu informāciju. Uzbrukumi var būt arī vērsti pret nejaušiem darbiniekiem.
Eksperta ieteikumi aizsardzībai pret uzbrukumiem internetā
Tikai zinošs interneta lietotājs ir pasargāts. Organizāciju kontekstā darbinieku informētība ir galvenais ierocis cīņā ar sociālās inženierijas apdraudējumu. Darbiniekiem būtu nepieciešams regulāri atgādināt, kuri dati tiek klasificēti kā sensitīvi konkrētajā uzņēmumā, kā ar tiem jārīkojas un kādas ir uzņēmuma drošības prasības, procedūras darbā ar sensitīvajiem datiem.
Svarīgs priekšnoteikums ir arī regulāra darbinieku apmācība un izglītošana. Izglītošanai paredzēti speciāli kursi, ko piedāvā augsti kvalificēti IT jomas uzņēmumi.
Lai pasargātu personīgos datusvirtuālajā vidē, ir jābūt informētiem par potenciālajiem apdraudējumiem un jāievēro piesardzība. Piemēram, jāizmanto šifrēts bezvadu interneta pieslēgums darbam ar datoru sabiedriskās vietās.
Nedrīkst paļauties uz acīmredzamo, piemēram, jāpārbauda arī pie paša durvīm klauvējoša policijas darbinieka identitāte.
Jāņem vērā, ka telefona zvani un e-pasti nav paredzēti konfidenciālas informācijas nodošanai. Tam paredzēti citi kanāli un informācijas nesēji.
Sociālās inženierijas uzbrukumi lielākoties ir ļoti pārliecinoši, tāpēc cilvēkam ir jāsaglabā modrība un uzmanība, kā arī par aizdomīgiem gadījumiem jāziņo atbildīgajām instancēm.
Ievērojot drošības priekšnosacījumus virtuālajā vidē, iespējams pasargāt sevi un savu uzņēmumu, jo sociālā inženiera uzdevums būs kļuvis daudz sarežģītāks un krāpnieki vērsīsies pie tiem, kuri vēl nav paspējuši parūpēties par savu drošību.