Banginių medžioklė arba kaip veikia socialinė inžinerija?

2019 08 30

Prakalbus apie IT saugumą dauguma žmonių įsivaizduoja, kad juos apsaugos jų sukurtas sudėtingas slaptažodis ar antivirusinė programa. Jeigu kalbėtume apie darbinę aplinką, tai, greičiausiai, dar pridurtų, jog jų saugumu pasirūpins IT administratoriai. Galima turėti pačius efektyviausius saugumo sprendimus, pasistatyti didžiausias sienas, įsirengti storiausias duris, tačiau tai neapsaugos, jeigu patys savo noru jas atrakinsime ir atiduosime raktus.
Socialinė inžinerija, remiantis saugumo testavimo koncepcija, reiškia manipuliaciją žmonių psichologija, norint išgauti iš jų konfidencialią informaciją, ar priversti atlikti neteisėtus veiksmus.

Pavyzdys:

Vieną dieną jūs gaunate iš bendradarbio ar vadovo laišką su prašymu užpildyti kažkokią formą bei nesusimąstę taip ir padarote. Viskas lyg ir gerai, juk pasitikite asmenimis atsiuntusiais laišką. Po kurio laiko, pamiršus apie laišką ir pildytą formą, jus pakviečia IT administratoriai arba įmonės vadovas ir prašo paaiškinti, kodėl iš jūsų kompiuterio duomenys keliauja kažkur už Lietuvos ribų.

Viskas gerai, jeigu tai įvyksta per porą dienų, tačiau pasaulinė statistika teigia, jog atsekti, kad buvo įsilaužta į organizaciją užtrunka apie pusę metų.

Aukščiau pateiktas pavyzdys yra „tikslinė žvejojimo“ (angl. Spear Phishing) ataka, kai atakos vykdytojas pasirenka konkrečius asmenis ir jiems siunčia laiškus, apsimesdamas žmogumi, kurį auka labai gerai pažįsta arba laiko autoritetu.

Kiek kitokia ataka yra vadinama „banginių žvejojimu“ (angl. Whaling Phishing). Tokios atakos metu taikiniai yra asmenys, užimantys aukštas pareigas – įmonių ar padalinių vadovai. Tokio tipo atakas paruošti kainuoja daug resursų, tačiau jos atsiperka dešimteriopai, o jų metu galima pasisavinti didžiules pinigų sumas.

Taigi, kaip galėtų atrodyti socialinės inžinerijos ataka prieš jūsų įmonę:

  1. Informacijos rinkimas apie taikinį
    Pradžioje ieškoma viešai prieinamos informacijos apie įmonę, į kurią norima įsilaužti. Išanalizuojamas įmonės puslapis, ieškoma informacijos Google paieškos sistemoje ir t.t. Atliekami netikri skambučiai į įmonę, apsimetant klientu ar partneriu, taip norima išgauti papildomos informacijos apie kompaniją. Esant galimybei, apžiūrimas įmonės perimetras ir kokios yra apsaugos priemonės. Ieškant konfidencialios informacijos, patikrinamos netgi šiukšliadėžės.
  2. Potencialių aukų ieškojimas
    Ieškoma įmonės darbuotojų per socialinius tinklus, tokius kaip, LinkedIn arba Facebook. Gavus kelių įmonės darbuotojų el. paštus, sudaromas elektroninių paštų sąrašas.
  3. Spear phishing“ ataka
    Tiksliniams įmonės darbuotojams išsiunčiamas specifinis laiškas su užkrėstais dokumentais arba prašymu atidaryti nuorodą esančią el. laiške ir (ar) suvesti konfidencialius duomenis. Atakos vykdytojas laukia pasiruošęs, kol kuris nors darbuotojas užkibs ir perduos konfidencialius duomenis.
  4. Atakos rezultatų išnaudojimas
    Atakos vykdytojas, apsimesdamas įmonės darbuotoju, prisijungia prie įmonės sistemos ir, turėdamas pilną prieigą, pasiima konfidencialius duomenis.
  5. Pėdsakų naikinimas
    Asmuo, baigęs darbus, ištrina prisijungimo prie sistemos pėdsakus.

Socialinės inžinerijos atakos vyksta kasdien, vienas iš pavyzdžių galėtų būti atvejis, kai žmogus, suklastojęs slaptųjų tarnybų pažymą ir darbuotojo pažymėjimą, iš dviejų skirtingų savivaldybių pasiėmė automobilius ir linksmai pasivažinėjo. Įdomiausia tai, kad žmogus pažymėjimą susirado internete ir paredagavęs atsispausdino. Iš vienos pusės, tai nusikaltimas, visgi, tie, kurie įdavė automobilių raktus apsimetėliui į rankas, neatliko savo darbo iki galo.

Kitas žinomas įvykis, kai lietuvis apgaudinėjo tokias korporacijas kaip „Google“ ir „Facebook“ ir iš jų išviliojo virš 100 milijonų dolerių siuntinėdamas suklastotas sąskaitas faktūras. Žmogus, tiesiog įkūrė įmonę Latvijoje su panašiu pavadinimu kaip kompanija, iš kurios paslaugas pirkdavo IT gigantai. Niekam neužkliuvo, kad tris metus pinigai keliaudavo į Latvijos ir Kipro bankus.

Didžiausia problema, jog nėra technologinių sprendimų, kaip visiškai apsisaugoti nuo socialinės inžinerijos atakų. Tačiau yra būdų, kaip sumažinti riziką:

  • Gavus laišką, iš karto nesisiųsti/neatsidarinėti prisegtų dokumentų ir nespausti ant nuorodų.
  • Įvertinti laiško turinį ir struktūrą: ar nėra gramatikos/stiliaus/logikos klaidų, ar yra žmonių parašai ir t.t.
  • Įsitikinti, ar laiško siuntėjo el. paštas atrodo teisingas ir kokie žmonės yra papildomai pridėti į gavėjų sąrašą.
  • Užvedus pelę ant laiške esančių nuorodų, pasirodo tikroji nuoroda, ją reiktų palyginti, su tuo ką matote laiške.
  • Jeigu laiškas vis tiek kelia įtarimų, sukontaktuoti su siuntėju kitais kanalais, pvz.: paskambinkite.

Įmonės mastu apsisaugoti padeda:

  • Informacijos viešumo politika ir į viešumą išeinančios informacijos filtravimas.
  • Vidinės tvarkos aprašai dėl informacijos pasiekiamumo ir naudojimo darbuotojams.
  • Įdiegtas dviejų faktorių autentifikavimas įmonėje.
  • Periodiškai organizuojami IT saugumo mokymai darbuotojams.
  • Periodiškai organizuojamas IT saugumo testavimas.

Apie socialinę inžineriją ir apie tai, kaip apsaugoti save arba savo verslą, galima kalbėti labai ilgai ir išsamiai, tad jei kyla klausimų, ar atsirado noras pasitarti, laukiam žinios el. paštu info@ba.lt