Pavyzdžiui, užuot ieškojęs programinės įrangos pažeidžiamumo, socialinis inžinierius gali paskambinti darbuotojui ir apsimesti IT pagalbos skyriaus darbuotoju, taip priversdamas darbuotoją patį atskleisti slaptažodį.
Garsusis įsilaužėlis Kevinas Mitnickas dešimtajame praėjusio amžiaus dešimtmetyje padėjo išpopuliarinti socialinės inžinerijos terminą, nors sukčiai jau ne vienerius metus naudojo šią idėją ir daugelį jos taikymo metodų.
Net jeigu imatės daugybės priemonių, kaip apsaugoti savo duomenis, domitės gynybinėmis technologijomis, įgyvendinate tinkamas rizikos prevencijos priemones ir procesus bei nuolat tobulinate šiuos procesus, nagingas socialinis inžinierius vis tiek ras būdą, kaip viską apeiti.
Socialinės inžinerijos metodai
Įrodyta, kad socialinė inžinerija yra labai efektyvus būdas, kaip nusikaltėliui patekti į organizacijos vidų. O kai socialinis inžinierius turi patikimo darbuotojo slaptažodį, jis be vargo gali prisijungti prie sistemos ir šnipinėti bei ieškoti jautrios informacijos. Turėdamas įėjimo kortelę ar kodą, kad fiziškai galėtų patekti į pastatą, nusikaltėlis gali gauti duomenų ir net pakenkti žmonėms.
Straipsnyje „Anatomy of a Hack“ (Įsilaužimo anatomija“) vienas įsilaužėlis-testuotojas detaliai aiškina, kaip jis pasinaudojo vykusiais renginiais, viešai prieinama informacija socialiniuose tinkluose ir dėvėtų drabužių parduotuvėje vos už keturis dolerius nusipirkęs „Cisco“ kompanijos marškinėlius sugebėjo įsilaužti į kompanijos sistemą. Marškinėliai padėjo jam įtikinti pastato registratūros ir kitus darbuotojus, kad jis yra „Cisco“ kompanijos darbuotojas, atvykęs atlikti techninės priežiūros užduotį. Patekęs į vidų, jis galėjo įleisti kitus savo komandos narius bei prijungti kelis USB raktus su kenkėjiška programa ir įsilaužti į kompanijos tinklą jos darbuotojų akivaizdoje.
Jei norite, kad pavyktų toks socialinės inžinerijos triukas, jums tikrai nereikia ieškoti dėvėtų darbužių parduotuvėse kokios nors kompanijos marškinėlių. Lygiai taip pat efektyviai veikia elektroniniai laiškai, skambučiai ir įvairios apgavystės per socialinius tinklus. Visi tokie atvejai turi viena bendrą vardiklį: sukčiai pasinaudoja žmogaus prigimtimi ir žmonių noru pasipelnyti, jų baime, smalsumu ar net... nuoširdžiu noriu padėti kitiems.
Socialinės inžinerijos pavyzdžiai
Nusikaltėliai dažnai kelias savaites ar net mėnesius renka informaciją apie vietą, į kurią nori įsilaužti, prieš ateidami prie jos durų ar paskambindami. Tokio pasiruošimo metu gali būti analizuojama informacija apie kompanijos struktūrą, darbuotojus per tokius socialinius tinklus kaip „LinkedIn“ ar „Facebook“.
Telefonu
Socialinis inžinierius gali paskambinti ir apsimesti kolega ar kokios išorinės tarnybos (teisėsaugos ar audito) įgaliotu asmeniu.
Biure
„Gal galėtumėte palaikyti man duris? Pamiršau savo raktą/įėjimo kortelę“. Kaip dažnai tai girdite savo darbovietės pastate? Nors tas prašantis asmuo gali atrodyti visai neįtartinas, tai yra labai dažna socialinių inžinierių taktika.
Internetu
Socialiniai tinklai gerokai palengvino reikalus rengiantiems socialinės inžinerijos atakas. Dabar sukčiai gali panaršyti tokiuose socialiniuose tinkluose kaip „LinkedIn“ ir susirinkti nemažai informacijos apie visus vartotojus, dirbančius tam tikroje kompanijoje, bei vėliau panaudoti tą informacijai atakai.
Apgaulei socialiniai inžinieriai pasinaudoja naujausiais žinių pranešimais, šventėmis, popkultūros reiškiniais ir kitomis priemonėmis. Pavyzdžiui, sukčiai gali per šventes paskatinti žmones aukoti kokiai nors išgalvotai labdaros organizacijai.
Taip pat sukčiai gali pasinaudoti apie žmogų surinkta informacija (apie mėgstamus atlikėjus, aktorius, muziką, politiką, filantropiją) ir surengti duomenų vagystės (phishing) ataką.
Garsios socialinės inžinerijos atakos
Geras būdas suprasti, kaip veikia socialinės inžinerijos metodai, yra paanalizuoti praeityje įvykusius tolius incidentus. Nors sukčiavimo būdų tikrai daug, sutelkime dėmesį į tris socialinės inžinerijos metodus, kuriuos itin sėkmingai naudoja sukčiai.
1. Pasiūlykite kai ką itin viliojančio. Bet kuris sukčius jums pasakys, kad paprasčiausias būdas yra pasinaudoti žmonių godumu. Tai rodo jau klasika tapusi „nigerietiška schema“, kuomet sukčiai mėgina įtikinti auką, kad jiems neva reikia iš Nigerijos pervesti neteisėtu būdu gautas dideles pinigų sumas į banko sąskaitą saugioje šalyje. Jie prašo aukos leisti pasinaudoti savo banko sąskaita ir mainais siūlo nemažą pinigų sumą.
Šie „Nigerijos princų“ elektroniniai laiškai jau tapo tikru ne vieną dešimtmetį sklandančiu anekdotu, tačiau šis metodas sėkmingai veikia iki šių dienų. Tarkime, 2017 metais vienos retai apgyvendintos Mičigano valstijos apygardos iždininkas atidavė 1,2 mln. JAV dolerių mokesčių mokėtojų lėšų tikėdamasis asmeninės naudos.
Kitas panašus būdas yra naujo ir geresnio darbo pasiūlymas. 2011 metais apsaugos kompanija RSA patyrė didžiulę gėdą, kai mažiausiai du žemos grandies darbuotojai atidarė elektroniniu paštu gautą dokumentą, kuriame buvo kenkėjiška programa, nes dokumentas buvo pavadintas „2011 metų samdymo planai.xls“
2. Apsimetinėk, kiek tik gali. Vienas iš paprasčiausių – ir stebėtinai sėkmingiausių – socialinės ininžinerijos būdų yra paprasčiausiai apsimesti auka. Per vieną savo legendinių triukų „karjeros“ pradžioje Kevinas Mitnickas gavo prieigą prie kompiuterių ir programinės įrangos kompanijos „Digital Equipment Corporation“ tarnybinių stočių paprasčiausiai paskambinęs į kompaniją ir apsimetęs vienu pagrindinių jos programinės įrangos kūrėjų ir pareiškęs, kad negali prisijungti. Jam iš karto buvo suteikti nauji prisijungimo duomenys.
Žinoma, tai įvyko dar 1979 metais. Galima būtų manyti, kad iki dabar reikalai gerokai patobulėjo. Deja... 2016 metais vienas įsilaužėlis perėmė vienos JAV teisingumo departamento elektroninio pašto dėžutės kontrolę apsimetęs darbuotoju, kuris, esą, dirba pirmą savaitę ir nelabai žino, kaip čia viskas veikia.
3. Apsimeskite... vadovu. Daugelis žmonių jaučia įgimtą pagarbą autoritetui. Arba, kaip pasirodo, pagarbą žmonėms, kurie atrodo turintys autoritetą. Sukčius gali pasinaudoti žiniomis apie įvairius vidinius kompanijos procesus, kad įtikintų žmones, jog jis iš tiesų turi teisę būti tam tikroje vietoje ir matyti tam tikrus dalykus.
Pavyzdžiui, 2015 metais už finansus atsakingi „Ubiquiti Networks“ darbuotojai sukčiams pervedė milijonus dolerių iš kompanijos sąskaitų, klausydami kompanijos vadovais apsimetusių žmonių nurodymų, nes jų elektroniniai laiškai atėjo su labai panašiu URL.
Kitu atveju, tyrėjai, dirbę Jungtinės Karalystės bulvariniams laikraščiams, dešimtojo praėjusio amžiaus dešimtmečio pabaigoje ar šio amžiaus pirmojo dešimtmečio pradžioje dažnai rasdavo būdų, kaip prisijungti prie savo aukų balso pašto paprasčiausiai blefuodami ir apsimesdami telefonų kompanijos darbuotojais. Pavyzdžiui, vienas toks tyrėjas sugebėjo įtikinti „Vodafone“ nustatyti naują aktorės Siennos Miller balso pašto PIN kodą tiesiog paskambindamas ir pasakydamas, kad „čia skambina Johnas iš kreditų kontrolės skyriaus“.
Kartais mes paklustame kokios nors išorinės tarnybos autoritetui daug apie tai negalvodami. Puikus to pavyzdys yra 2016 metų atvejis, kai rusų programišiai sugebėjo įsilaužti į Hillary Clinton rinkimų kampanijos vadovo Johno Podestos elektroninio pašto dėžutę atsiųsdami jam neva laišką nuo „Google“, kuriame prašoma pasikeisti slaptažodį. Kai jis tai padarė, įsilaužėliai iš karto gavo prisijungimo informaciją.
Socialinės inžinerijos prevencija
Pagrindinis būdas apsisaugoti nuo socialinės inžinerijos yra žmonių švietimas ir mokymas. Darbuotojai turėtų niekada nepamiršti, kad toks dalykas egzistuoja, ir kokie dažniausiai naudojami metodai.
Tačiau tai turi suvokti ne tik eiliniai darbuotojai, bet ir aukštesnės grandies vadovai, kurie taip pat dažnai yra pagrindiniai taikiniai. Štai penki patarimai, kaip apsisaugoti nuo socialinės inžinerijos:
1. Mokyti, mokyti ir dar kartą mokyti
Svarbu sukurti išsamią informuotumo saugumo klausimais programą, kuri būtų reguliariai atnaujinama, tiek kalbant apie bendro pobūdžio mėginimus gauti informacijos, tiek ir apie atsirandančias vis naujas kibernetines grėsmes. Nepamirškite, kad šiuo atveju kalbame ne tiesiog apie paprasčiausią perspėjimą nespausti keistų nuorodų.
2. Svarbiausius darbuotojus apšvieskite apie naujausius internetinio sukčiavimo metodus
Taip, įtraukite ir vyresnio rango vadovus, tačiau nepamirškite visų darbuotojų, kurie turi įgaliojimų atlikti pinigų pervedimus.
Nepamirškite, kad labai dažnai į tokias situacijas patenka žemesnės grandies darbuotojai, kuriuos dažnai sukčiai apgauna apsimetę vadovais, liepiančiais skubiai ką nors padaryti, paprastai apeinant įprastas procedūras ir kontrolės mechanizmus.
3. Peržiūrėkite esamus procesus, procedūras ir pareigų atskyrimą kalbant apie lėšų pervedimus bei kitus svarbius veiksmus
Jeigu reikia, įveskite papildomų kontrolės priemonių. Nepamirškite, kad įvairias apsaugos priemones galima apeiti, todėl nuolat vertinkite rizikas ir iš naujo analizuokite grėsmes.
4. Apsvarstykite naują tvarką dėl „skubių“ pervedimų ar skubių vadovų prašymų
Vadovo vardu, tačiau iš „Gmail“ paskyros, gautas elektroninis laiškas turėtų sukelti darbuotojui klausimų. Darbuotojai turi suprasti naujausias metodus, kuriais naudojasi sukčiai. Būtina apibrėžti procedūras skubiems atvejams, kad visi jas gerai suprastų.
5. Peržiūrėkite, tobulinkite ir išbandykite savo incidentų valdymo tvarką bei pranešimo apie mėginimus gauti duomenų sistemas
Reguliariai renkite mokymus, kuriuose dalyvautų vadovybė ir svarbiausiai kompanijos žmonės. Testuokite kontrolės priemones bei apsaugokite potencialiai pažeidžiamas vietas.
Šiuo metu geriausia gynyba prieš socialinės inžinerijos atakas yra vartotojų švietimas ir keli technologinės apsaugos sluoksniai siekiant geriau fiksuoti ir reaguoti į tokias atakas. Vienas iš galimų būdų yra dažnai sukčių elektroniniuose laiškuose ar telefoniniuose pokalbiuose vartojamų žodžių fiksavimas siekiant užkirsti kelias potencialios atakoms. Visgi net ir tokios priemonės gali neapsaugoti nuo itin „kvalifikuotų“ socialinių inžinierių...
