IT sprendimų platinimo įmonės „Baltimax“ kibernetinio saugumo inžinierius ir ESET specialistas Lukas Apynis paaiškina kibernetinio saugumo terminus, kuriuos svarbu žinoti siekiant apsisaugoti nuo internetinių sukčių pinklių.
Ką reiškia „socialinė inžinerija“? Socialinė inžinerija kibernetinio saugumo srityje – tai įvairūs būdai manipuliuoti žmonėmis, siekiant išvilioti jų jautrią informaciją ar priversti juos daryti nesaugius veiksmus. Šios atakos dažnai nėra techninės, jos remiasi psichologiniu spaudimu, sukeliant skubos ar baimės jausmą arba apsimetant patikimu asmeniu. Tokiu būdu sukčiai gali pasiekti savo tikslą, veikdami per žmonių emocijas ir pasitikėjimą, be sudėtingų technologinių priemonių.
Kaip nurodo ESET IT saugumo ekspertai, pagrindinės socialinės inžinerijos atakų rūšys yra šios:
Fišingas (angl. phishing) – sukčiai apsimeta patikima organizacija, siekdami gauti jautrią informaciją.
Tikslinė apgaulė (angl. spear phishing) – tikslinės fišingo atakos prieš konkrečius asmenis ar grupes.
Višingas (angl. vishing; voice phishing) – sukčiai skambina telefonu, apsimesdami jums pažįstamu žmogumi ar įstaigos atstovu.
Smišingas (angl. smishing) – SMS fišingas, naudojant apgaulingus pranešimus su kenkėjiškomis nuorodomis.
Apsimetinėjimas (angl. impersonation) – sukčiai apsimeta, pvz., įmonės vadovais, kad įgytų prieigą prie informacijos ar pinigų.
Techninės pagalbos apgaulės – skelbimai ar skambučiai, siūlantys tariamą techninę pagalbą ir bandantys pasipelnyti.
Bauginimo programinė įranga (angl. scareware) – programos, gąsdinančios ir skatinančios įsigyti tariamai būtinas apsaugos priemones.
Kibernetinio saugumo ekspertas L. Apynis sako, kad Lietuvoje iš socialinės inžinerijos atakų metodų šiuo metu populiariausias yra fišingas, kuris pasireiškia tiek el. paštu, tiek per socialines platformas, ir sukčiavimai telefonu (višingas). „Pastaruoju metu išpopuliarėjo ir smišingas, kai SMS žinutėmis platinami sukčiavimai. Šie metodai dažniausiai orientuoti į bankinių duomenų ar prisijungimo prie socialinių tinklų informacijos vagystę“, – komentuoja ekspertas ir priduria, kad šiuo metu vis labiau plinta kibernetinių atakų būdai, nukreipti į socialinius tinklus.
„Žmonės dažnai nesąmoningai paspaudžia ant fiktyvių skelbimų arba patiki tariamais pranešimais iš žinomų žmonių ar įmonių“, – sako jis ir dalijasi vienu iš aptiktų apgaulės būdų socialiniame tinkle „Facebook“.
Pavyzdžiui, socialiniame tinkle buvo paskelbtas konkursas, kurio dalyviai neva gali laimėti namus. Per gerai, kad būtų tiesa? Tačiau į šį įrašą sureagavo net 2,8 tūkst. vartotojų, po juo parašyta net 9,8 tūkst. komentarų, o sukčių surengtu „konkursu“ pasidalinta net 7,4 tūkst. kartų.
„Tūkstančiai žmonių patiki tokiais pasiūlymais, vykdo konkurso organizatorių diktuojamas sąlygas, spaudžia jų siunčiamas nuorodas ir pan. Šiuo atveju tikėtina, kad konkurso organizatoriai paprašė atrinktų žmonių asmeninių duomenų arba piniginio užstato“, – aiškina L. Apynis.
Kaip atpažinti socialinės inžinerijos atakas? Kibernetinio saugumo ekspertas įvardija pagrindinius požymius, kurie gali išduoti, kad susidūrėte su socialinės inžinerijos atakos būdu:
- prasta gramatika ir rašybos klaidos;
- skubos ar baimės jausmo kūrimas, kad auka kuo greičiau imtųsi veiksmų;
- neaiškus arba nežinomas siuntėjas, turintis netikėtą ar netvarkingą el. pašto adresą;
- prašymai atskleisti jautrią informaciją arba pateikti duomenis;
- per daug gerai, kad būtų tiesa;
- naudojamos neaiškios nuorodos ir netikri el. p. adresai;
- spaudimas apie tai nepasakoti kitiems;
- grasinimai arba baimės jausmo kėlimas.
Kaip apsisaugoti nuo socialinės inžinerijos atakų?
- Nesidalinkite informacija, dėl kurios patikimumo abejojate. Jei nesate tikri, kad informacija yra patikima ir teisinga, geriau jos neplatinkite.
- Nuolatinis darbuotojų mokymas ir visuomenės švietimas. Mokymuose turėtų būti demonstruojami realūs scenarijai ir praktinės situacijos, kuriose būtų galima išmokti atpažinti tokias atakas. Visuomenė turėtų domėtis, kaip apsisaugoti nuo kibernetinių grėsmių.
- Silpnų slaptažodžių tikrinimas. Rekomenduojama naudoti daugiafaktorinį autentifikavimą, kuris suteikia papildomą saugumo lygį.
- Techninių sprendimų įgyvendinimas. Naudoti programinę įrangą, kuri aptinka ir sustabdo šlamštą bei fišingo pranešimus.
- Suprantamos saugumo politikos kūrimas. Saugumo politikos turi būti aiškios ir suprantamos, kad darbuotojai žinotų, kokius veiksmus atlikti susidūrus su grėsme.
- Saugumo sprendimai ir administravimo įrankiai. Naudoti saugumo sprendimus, kurie leidžia administratoriams stebėti, aptikti ir valdyti galimas grėsmes organizacijoje.
Kaip sako „Baltimax“ kibernetinio saugumo inžinierius ir ESET specialistas L. Apynis, Lietuvoje įmonės, ypač didesnės, jau yra įdiegusios aiškesnes saugumo mokymų ir švietimo programas, tačiau visuomenės lygmeniu tai dar nėra įprasta. „Daugelis žmonių, ypač vyresnio amžiaus arba mažiau susipažinusių su technologijomis, lieka menkai informuoti apie galimas grėsmes. Svarbu, kad švietimas apimtų ne tik atakų atpažinimą, bet ir apsisaugojimo būdus“, – tvirtina jis.