Ne visose šiuolaikinėse kibernetinėse atakose naudojama kenkimo programinė įranga arba programavimas. Kartais pakanka manipuliacijos tokiais žmogiškais jausmais kaip baimė, godumas, pasitikėjimas ar skuba. Sužinokite, kaip kibernetiniai nusikaltėliai naudoja socialinės inžinerijos metodus savo kėslams įgyvendinti.
Turinys:
Kas yra socialinė inžinerija?
Socialinė inžinerija – tai įvairių tipų atakos, kurių metu pasinaudojant žmogaus psichologija išgaunama jautri informacija. Dažniausiai sukčiai manipuliuoja tokiais aukos jausmais kaip baimė, pasitikėjimas, godumas, stresas, skuba. Stiprūs jausmai neleidžia blaiviai mąstyti ir žmonės tampa pažeidžiami: jie pasiruošę savo noru atskleisti informaciją, kurios įprastomis aplinkybėmis neatskleistų.
Kibernetiniai nusikaltėliai, pasitelkdami įvairius socialinės inžinerijos metodus, siekia išgauti asmeninę informaciją: prisijungimo duomenis, slaptažodžius, banko sąskaitos numerius, socialinio draudimo kodus ir kt. Šios informacijos jiems reikia, kad galėtų įsilaužti į jūsų paskyras, pavogti pinigus ar pasisavinti tapatybę. Šie duomenys taip pat gali būti naudojami būsimoms atakoms.
Įsilaužėliai mėgsta socialinės inžinerijos atakas, nes jas lengviau įvykdyti nei, pavyzdžiui, užkrėsti naudotojo įrenginį kenkimo programine įranga. Iš tiesų, tam tikroms socialinės inžinerijos atakoms surengti net nereikia mokėti programuoti!
Socialinės inžinerijos atakų tipai
Duomenų viliojimas („phishing“)
Duomenų viliojimas („phishing“) – tai, ko gero, dažniausiai naudojamas socialinės inžinerijos metodas. Duomenis vilioti sukčiai bando pasinaudodami įvairiomis platformomis – el. paštu, pokalbių programėlėmis, internetinėmis reklamomis arba svetainėmis. Tačiau dažniausiai įsilaužėlis atsiunčia apgaulingą el. laišką su kenkimo programine įranga arba kenkėjiška nuoroda, skirta naudotojo prisijungimo duomenims išvilioti. Šie el. laiškai dažniausiai sukurti taip, kad žadintų godumą, baimę ir pasitikėjimą.
Štai kokie galėtų būti tokio pobūdžio socialinės inžinerijos pavyzdžiai:
Gaunate el. laišką iš loterijos bendrovės, pranešantį, kad laimėjote milijoną ir raginantį spustelėti nuorodą, kad gautumėte laimėjimą
Į jus kreipiasi bankas dėl paskolos, kurios niekada neėmėte, ir prašo patvirtinti mokėjimo informaciją
Arba siuntų pristatymo tarnyba atsiunčia el. laišką su sąskaita faktūra ir ragina skubiai ją apmokėti.
Tikslinis sukčiavimas
Tikslinis sukčiavimas yra panašus į duomenų viliojimą, tačiau reikalauja daugiau pastangų, todėl tokios atakos dažniau pasiseka. Duomenų viliojimas apgaulingais el. laiškais ir panašaus pobūdžio sukčiavimas yra nukreiptas prieš tūkstančius žmonių, apie kuriuos įsilaužėlis nieko nežino. O tikslinio sukčiavimo atveju nusikaltėlis pasirenka konkretų taikinį: asmenį arba įmonę. Tada jis surenka žinias apie auką ir sukuria nuoseklią strategiją duomenis išgauti.
Pavyzdžiui, naujas buhalteris gali gauti el. laišką iš generalinio direktoriaus, kuriame liepiama pervesti stambią pinigų sumą į tarptautinio partnerio sąskaitą. Laiške nurodoma, kad tai turi būti padaryta nedelsiant. Jei naujas darbuotojas dar nežino įprastos įmonės tvarkos ar ko tikėtis iš vadovo, greičiausiai jis atliks nurodytą pavedimą ir pinigai atsidurs sukčiaus sąskaitoje.
Atakos su pretekstu
Duomenų viliojimas dažniausiai paremtas tokiais jausmais kaip baimė ar skuba, o atakos su pretekstu priešingai – pasitikėjimo saitais. Kaip nurodo ir pats pavadinimas, tokio pobūdžio atakose sukčiai pasitelkia įtikinamą pretekstą arba istoriją, kuri padeda užmegzti draugiškus santykius su auka ir nepalieka vietos abejonei. Atakos su pretekstu gali būti vykdomos tiek virtualioje, tiek fizinėje erdvėje. Pavyzdžiui, įsilaužėlis, apsimetęs auditoriumi, gali įtikinti, kad įleistumėte jį į įmonės serverinę. Arba jis gali apsimesti banko darbuotoju ir paprašyti jūsų patvirtinti mokėjimo informaciją.
Masinimo atakos
Masinimo atakose sukčiai pasitelkia kokį nors viliojantį objektą arba pasiūlymą, kad užkrėstų jūsų įrenginį ar net visą tinklą. Anksčiau automobilio stovėjimo vietoje galėjote netikėtai rasti „pamestą“ USB atmintuką pavadinimu „IV ketvirčio vadovų atlyginimai“, kuris patrauktų kiekvieno dėmesį. Šiandien didžiausia tikimybė užkibti ant „masalo“ yra P2P platformos. Norite atsisiųsti aukštos kokybės „Sostų karų“ epizodą? O galbūt tai Trojos arklio tipo virusas?
„Quid Pro Quo“ atakos
„Quid Pro Quo“ atakos metu sukčius pateikia viliojantį pasiūlymą prašydamas kažko mainais, dažniausiai jūsų prisijungimo duomenų. Tai gali būti jūsų „dėdė“, apie kurio egzistavimą net nenumanėte, norintis pervesti jums krūvą pinigų – jam tereikia jūsų banko sąskaitos duomenų. Arba tai gali būti „IT specialistas“, su kuriuo niekuomet nebendravote, tačiau jis staiga geranoriškai siūlo pataisyti jūsų nešiojamąjį kompiuterį. Tačiau akivaizdu, kad viskas, ko jam reikia, tai nuotolinė prieiga prie jūsų įrenginio.
Gąsdinančios atakos
Jei lankotės nesaugiose svetainėse (kurių URL prasideda HTTP, o ne HTTPS), galite susidurti su reklaminiais skelbimais arba iššokančiosiomis reklamjuostėmis, kurios perspėja apie kenkimo programinės įrangos pavojų. Tai nėra jūsų antivirusinės programos pranešimai, tačiau jie ragina atsisiųsti programinę įrangą, kuri neva vienintelė gali apsaugoti jus nuo agresyvių virusų. Tačiau tiesa ta, kad programinė įranga, kurią jums primygtinai siūlo įsidiegti, pati yra kenkėjiška. Būtent todėl tokios atakos ir vadinamos gąsdinančiomis.
Pasitikėjimu grįstos atakos
Pasitikėjimu grįstos atakos panašios į atakas su pretekstu. Skirtumas tas, kad aptariamu atveju sukčiai turi tikslą įsibrauti į apsaugotas patalpas ir tokioms atakoms surengti nereikia labai nuodugnaus tyrimo. Įsilaužėlis gali apsimesti kurjeriu ir tokiu būdu patekti į pastatą. Arba jis gali tiesiog įeiti paskui darbuotoją, kuris nesuteikė daug reikšmės nepažįstamam veidui.
Kaip apsisaugoti nuo socialinės inžinerijos
Atpažinti socialinės inžinerijos atakas gali atrodyti sudėtinga – regis, jų aukomis gali tapti bet kas. Tačiau yra keletas paprastų veiksmų, kurie gali padėti atpažinti tokias atakas ir užkirsti joms kelią.
Naudokite gerą antivirusinę programą ir pasirūpinkite reguliariu jos atnaujinimu.
Visada būkite budrūs. Jei pasiūlymas skamba nerealiai, greičiausiai jis toks ir yra.
Neskubėkite – patikrinkite faktus prieš imdamiesi veiksmų. Jei abejojate jums pateikto pasiūlymo ar nurodymo realumu, susisiekite su atitinkama įmone arba savo vadovu tiesiogiai.
Neatidarykite įtartinų el. laiškų, nespauskite įtartinų nuorodų ir neatsisiųskite įtartinų priedų.
Nuodugniai susipažinkite su jus įdarbinusios įmonės privatumo ir saugumo taisyklėmis. Neleiskite nepažįstamiems asmenims patekti į saugomas patalpas – įdėmiai patikrinkite jų tapatybę.
Nesidalykite savo kompiuteriu su kitais asmenimis ir užrakinkite jį, kai nenaudojate.
Nustatykite pažangius brukalo filtrus.
Naudokite kelių veiksnių autentifikaciją. Net jei įsilaužėlis sužinotų jūsų prisijungimo duomenis, jūsų paskyros liks nepasiekiamos, nes reikės atlikti papildomą patvirtinimo žingsnį.
Pasirūpinkite, kad jūsų darbuotojai žinotų, kaip atpažinti socialinės inžinerijos atakas.
Neatskleiskite savo vaikų ir augintinių vardų, gimimo datos ir vietos ar kitos asmeninės informacijos.
Būkite atsargūs su kontaktais, kuriuos palaikote tik internete.
Naudokite stiprius, unikalius slaptažodžius ir laikykite juos saugioje slaptažodžių tvarkyklėje.