No sociālās inženierijas draudiem nav pasargāts neviens. Parasti šādas darbības tiek mērķētas uz individuālu cilvēku, bet jāatceras – katrs indivīds ir arī daļa no uzņēmuma, kurā viņš strādā.
Kas ir sociālā inženierija?
Par sociālās inženierijas krāpšanu uzskata psiholoģiski manipulatīvu paņēmienu kopumu, ko izmanto kiberuzbrucēji, lai pārliecinātu cilvēkus veikt nepārdomātas darbības, piemēram, atvērt inficētu e-pasta pielikumu vai uzklikšķināt uz pikšķerēšanas saites un ievadīt savus bankas pieejas datus.. Attiecīgi ne tik daudz uzbrucējiem paļaujoties uz iekārtu un programmatūru ievainojamībām vai to trūkumiem, bet izmantojot, pirmkārt, cilvēciskās kļūdas lēmumu pieņemšanā. Cilvēki mēdz būt iracionāli, viņu lēmumi balstās uz paredzamām, klišejiskām darbībām. Sociālais inženieris ļoti labi pārzina cilvēku uzvedības modeļus un pielāgo tiem dažādus krāpšanas scenārijus. Tiek izmantotas arī labi zināmas cilvēciskās vājības, piemēram, vēlme iedzīvoties, vēlme pēc slavas, sarunas vai mīlestības. Atkarībā no personas - var cerēt, ka kāds no paņēmieniem nostrādās. Turklāt vairums sociālajā inženierijā izmantoto paņēmienu ir faktiski ar modernām tehnoloģijām izspēlētas senas krāpnieciskās shēmas no reālās dzīves.
Kas ir neaizsargātāks – uzņēmums vai privātpersona?
Šāda veida uzbrukumi primāri vērsti pret cilvēkiem, bet šie cilvēki var būt uzņēmuma pārstāvji. Tas, ka viņš tiek uzrunāts personīgi, nenozīmē, ka viņu nevar pierunāt veikt darbības, kas kaitē arī uzņēmumam. Turklāt sociālās inženierijas paņēmieni tiek izmantoti arī biznesa krāpšanās, piemēram, tiek veidoti viltus e-pasti, kuri izskatās ļoti līdzīgi tam e-pastam, ar kuru upuris veic biznesa saraksti ikdienā. Parasti krāpnieciskajos e-pastos ir norādīti jauni apstākļi, kāpēc sadarbībā ar partneri kaut kas tiek mainīts, piemēram, kārtība, kādā tiek saņemts maksājums. Visbiežāk tiek norādīti detalizēti un ticami iemesli, kāpēc maksājums jāveic uz citu bankas kontu. Tehniski nav nekādas ielaušanās ne grāmatvedības sistēmā, ne piekļuves maksātāja bankas kontam. Sarunājoties ar upuri un skaidrojot situāciju, tiek izspēlēts sociālās inženierijas uzbrukums, kura rezultātā upura uzņēmuma grāmatvedis nomaina maksājuma adresātu un pārskaita naudu citam uzņēmumam. Katru gadu šādā veidā tiek izkrāpti tūkstoši un pat simti tūkstošu eiro.
Kā cīnīties?
Jāatzīst, ka pret krietnu daļu sociālās inženierijas uzbrukumu palīdz nevis tehniski, bet tīri organizatoriski paņēmieni, piemēram, maksājumu apstiprināšanas kārtība, pārbaudes, ar kuru palīdzību uzņēmums gūst pārliecību, ka cilvēks, ar ko notiek saruna vai no kā ir saņemta līguma kopija, ir īstā sadarbības partnera uzņēmuma pārstāvis un viņa vārdā nedarbojas kāds viltvārdis.
__________________________________________________________________________
Vairums sociālajā inženierijā izmantoto paņēmienu ir faktiski ar modernām tehnoloģijām izspēlētas senas krāpnieciskās shēmas no reālās dzīves
__________________________________________________________________________
Daudz ko atrisinātu plašāka digitāli parakstītu dokumentu izmantošana, īpaši gadījumos, kad ir runa par naudu un kontu maiņu. Kad uzņēmums, piemēram, vēlas iegādāties citu uzņēmumu, izpētes process ir gana ilgstošs, lai saprastu, kas tiek pirkts, kāda ir uzņēmuma finansiālā situācija, naudas plūsma, saimnieciskais stāvoklis. Šādās situācijās uzņēmumi tērē gan laiku, gan naudu, lai iepazītos ar to, ko viņi grasās iegādāties. Interesants ir fakts, ka konta nomaiņas lūgums e-pastā netiek uztverts gana nopietni, lai gan tās ir pietiekami nozīmīgas līguma izmaiņas. Protams, ir vēlme ietaupīt laiku, tomēr, kad runa ir par tādiem būtiskiem jautājumiem kā paraksti, maksājumi, konti, paroles, jādomā arī par to, kādiem kontiem kurš piekļūst, kādas paroļu maiņas jāveic, kuros brīžos piepeši tiek prasīts ievadīt paroli vietā, kur tas līdz šim nav bijis nepieciešams.
Diemžēl jāsaka, ka steiga ir lielākā krāpnieku sabiedrotā. Šādos uzbrukumos, kad tiek mēģināts kaut ko izdarīt no tālruņa mazā ekrāna, brīžiem pat nav iespējams saredzēt, vai domēna vārds, kuram uzņēmums vai privātpersona pieslēdzas, ir pareizs. Izskatās līdzīgi, prasa konta paroli, un cilvēks arī ievada paroli, neapzinoties, ka, iespējams, vada to nepareizajā lapā.
Ir arī rafinētāki uzbrukumi, piemēram, telefoniski mēģinājumi pārliecināt par viltus investīcijām, kur krāpnieku pusē ir gana labi sagatavoti speciālisti, kuri cītīgi paskaidros, ko un kāpēc viņi dara. Tas viss, protams, nebūs saistīts ar to, ko viņi tiešām veiks upura datorā, bet upurim skaidrojums liksies saprotams un pieņemams. Pēc tam viņš sāks pamanīt, ka notiek kaut kas nelāgs ar viņu bankas kontu vai naudu, ko viņš ir investējis, piepeši vairs nevarēs to atgūt.
Visas šīs shēmas diemžēl atrod upurus. Piemēram, vecās shēmas ar mantiniekiem, kad krāpnieki uzrunā upuri kā potenciālu mantinieku kādai personai, kas mirusi tālu Āfrikā un atstājusi viņam lielu naudu, tiek izspēlētas jau kopš viduslaikiem.
Sociālās inženierijas upuriem ir raksturīga viena lieta – brīdī, kad viņi ir ierauti shēmā gana dziļi, viņi nespēj noticēt, ka ir apvārdoti un solījumi ir tikai ilūzija. Dažkārt pat draugiem vai tuviniekiem šos cilvēkus ir ļoti grūti pārliecināt par to, ka notiekošais ir tikai krāpnieku mahinācija, kā rezultātā cilvēks cietīs vienīgi zaudējumus, un nav tādu pasakainu un viegli iegūstamu bagātību. Viņi negrib pieņemt faktu, ka ir piemuļķoti. Un pat tad, kad cilvēks saprot, ka tomēr ir ticis apkrāpts, viņš šo faktu visbiežāk patur pie sevis, tā vietā lai vērstos policijā, jo viņu māc kauns un neticība, ka kaut kas tāds noticis tieši ar viņu.
Kas liecina, ka uzbrukums ir sācies?
Uzbrukumu ne vienmēr ir viegli uzreiz pamanīt vai atpazīt, īpaši, ja cilvēks tobrīd ir koncentrējies uz kaut ko citu, piemēram, atrodas pie stūres, iepērkas veikalā vai pieskata bērnus. Tādēļ vienmēr labāk būtu šādu lēmumu pieņemšanu atlikt uz brīdi, kad ir laiks rūpīgi vēlreiz iepazīties vai nu ar e-pasta saturu vai apdomāt tikko saņemto zvanu šķietami no policijas.
Liela daļa uzbrukumu ir sekmīgi tieši tāpēc, ka lēmumi tiek pieņemti ļoti ātri, dažkārt pietiek tikai ar viltus e-pastu šķietami no priekšnieka, kur rakstīts par kādu lielu projektu, kas izgāzīsies, ja uzreiz netiks veikts pārskaitījums kādam ārzemju klientam. Jābūt uzmanīgiem arī situācijās, kad personas runā par lietām, kas visu laiku noritējušas bez aizķeršanās, bet piepeši piektdienas vakarā sāk pienākt brīdinājumi, piemēram, par preču aizturēšanu, autortiesību pārkāpumiem vai citām problēmām.
Brīžos, kas ir ārpus ikdienišķā, svarīgi apstāties, padomāt un iedziļināties situācijā. Ja tā ir e-pasta saziņa, varbūt tomēr piezvanīt šim partnerim uz tālruņa numuru, kas jau zināms, lai noskaidrotu, vai notikušas kādas izmaiņas un pieprasīta maksājuma detaļu maiņa. Tāpat noteikti ir vērts rūpīgi apskatīt, vai e-pasts, kas tiek izmantots sarakstē, ir tas pats, ar kuru sarakste notikusi iepriekš, pievēršot uzmanību detaļām. Piemēram, var gadīties, ka vienā mirklī sarakste notiek ar domēna vārdu “firma.lv”, bet citā ar “firma.com”. Svarīgi atcerēties, ka šie ir divi dažādi domēna vārdi. Ja uzņēmējs nav reģistrējis un izmantojis tos visus, tad ļoti iespējams, ka šī domēna vārda maiņa nozīmē, ka krāpnieki mēģina iejaukties sarakstē. Iespējams, parādās lieki burti, lai radītu vizuāli līdzīgu e-pasta adresi, piemēram, “i” burta vietā “l” burts vai divi “i” vai “l” burti, divi “n” burti vizuāli mēdz būt līdzīgi “m” burtam.
Atšķirības ir vieglāk vai grūtāk pamanāmas – to nosaka izmantotā iekārta. Šīm detaļām noteikti ir vērts pievērst uzmanību. E-pastiem arī iespējams norādīt, ka to sūtījusi kāda cita persona, arī to nereti izmanto krāpnieki. Lai gan ir mehānismi, kas tehniski ierobežo iespējas e-pastus viltot un sūtīt, ļoti bieži saņēmējiem šie aizsardzības mehānismi nav aktivizēti, tāpēc šīs viltošanas iespējas aizvien pastāv. Jau minētajā domēna vārdu maiņas gadījumā krāpnieki e-pasta viltošanas aizsarglīdzekļus sakonfigurē tā, kā vajadzīgs viņiem, un šie e-pasti tiek nosūtīti un netiek uzskatīti ne par mēstulēm, ne kaitīgiem e-pastiem. Vēl svarīgi apskatīt domēna vārdu ne tikai saņemtajos e-pastos, bet, nospiežot “Atbildēt”, arī pārliecināties, ka domēna vārds, uz kuru tiek sūtīta atbilde, ir tas pats. Lauciņš “Atbildēt uz” un lauciņš “Saņemts no” e-pastos ir divas dažādas lietas, ko iespējams iestatīt uz dažādām e-pasta adresēm, tāpēc ir vērts tam pievērst uzmanību.
Tāpēc ir jāseko līdzi detaļām, jo īpaši brīžos, kad liek kaut kur maksāt vai ievadīt savu paroli, vai ir runa par citiem sensitīviem datiem vai “dārgiem” lēmumiem. Svarīgi iedziļināties, ar ko notiek saruna, vai tiešām ir zināms, par ko notiek saruna, un vai tiek atbildēts pareizajiem cilvēkiem. Dažkārt labāk ir piezvanīt un noskaidrot, vai viss ir korekti, nevis samaksāt un pēc tam risināt šo situāciju ar banku, lai atgūtu naudu.
Kā rīkoties, ja ir izkrāpta nauda?
Vispirms nepieciešams sazināties ar banku un pastāstīt, ka noticis krāpniecisks uzbrukums. Ja autentifikācijas līdzeklis, ar ko pieslēdzas bankas kontam, ir nonācis uzbrucēju rīcībā (piemēram, kodu kalkulators tiek aktivizēts uz uzbrucēja iekārtas), svarīgi saprast, ka uzbrucējs, izmantojot šo iekārtu, var slēgties klāt kontam, tāpēc obligāti jāsazinās ar banku, lai apturētu maksājumus. Ja ir iespējams identificēt maksājumus, kurus privātpersona vai juridiska persona pati nav veikusi, var mēģināt sazināties ar maksājuma saņēmēju, piemēram, interneta veikalu, kurā krāpnieks iepircies, un pabrīdināt, ka šādu darījumu īstā persona vai uzņēmums patiesībā nav veicis.
Tomēr, lai to darītu, pirmkārt, ir svarīgi laicīgi pamanīt šos maksājumus, kā arī vēlēties komunicēt ar uzņēmumiem ne tikai Latvijas mērogā, bet arī pasaulē, kur kādās pārdošanas platformās tiek tērēta kredītkartes nauda. Protams, maksājumu apturēšana atkarīga arī no pārdevēju godaprāta un spējas to izdarīt, kā arī no tā, vai fiziski preces ir piegādātas. Ja pārskaitījums veikts uz nepareizu kontu, visbiežāk bankas tomēr būs pirmās, kas varēs palīdzēt.
Ja zaudējumi ir lieli, jāvēršas Valsts policijā (VP) ar iesniegumu par situāciju un jācenšas pašiem pa to laiku nesabojāt pierādījumus. Piemēram, ja no konta aizplūst nauda, banka aptur maksājumus, tas, protams, ir labi, tomēr izpētīt, kas tieši ir noticis, kas ir ielauzies sistēmās, var būt apgrūtinoši. Brīžiem ir svarīgi saglabāt arī e-pasta saraksti, datorus, lai saprastu, vai bijis datorvīruss, kas visas paroles pārtvēris, un caur to uzbrucēji veikuši darbības.
__________________________________________________________________________
Sociālās inženierijas upuriem ir raksturīga viena lieta – brīdī, kad viņi ir ierauti shēmā gana dziļi, viņi nespēj noticēt, ka ir apvārdoti un solījumi ir tikai ilūzija
__________________________________________________________________________
Šādos gadījumos pirms kādu darbību veikšanas labāk konsultēties gan ar Valsts policijas darbiniekiem, gan “CERT.lv” pārstāvjiem, lai pārrunātu, kā rīkoties. VP svarīgi informēt arī tāpēc, lai uzņēmumam nebūtu jāmaksā uzņēmuma ienākuma nodoklis par nesaimnieciskajiem izdevumiem. Nav nepieciešams uzreiz visu dzēst un pārinstalēt. Varbūt tas ļaus ātrāk saglābt kādu sistēmu, bet tādā veidā tiks apgrūtināts policijas darbs uzbrucēju identificēšanā.
Ieteikumi
Pirmkārt, svarīgi zināt tās kontaktpersonas, kas uztur, piemēram, e-pastu vai interneta vietni. No šīm personām arī var prasīt tehnisku atbildību un iesaisti procesos, viņi spēs atbildēt, vai, piemēram, e-pastam nakts laikā ir pieslēdzies kāds no Āfrikas. Protams, noderīgi ir pašam vai kādam tehniskajam speciālistam pasekot līdzi, kas notiek ar uzņēmuma saziņas kanāliem, vai tajos nav kādu netipisku darbību, ielaušanās mēģinājumu un tā tālāk.
Arī “Microsoft” mākonī un dažos citos komerciālajos risinājumos ir rīki, kas ļauj šo procesu automatizēt un sūta brīdinājumus, ja sistēmās noticis kaut kas netipisks (piemēram, kāds pieslēdzies e-pasta adresei no citas ierīces). Svarīgi šos brīdinājumus neignorēt, izlasīt, saprast, kas ir noticis un kādi ir notikušā cēloņi. Ja cēloņi nav saprotami, labāk meklēt tālāk, lai nav tā, ka pirmais brīdinājums par to, ka kaut kas nav kārtībā, tiek palaist garām.
Vēl viens ieteikums – divu faktoru autentifikācijas izmantošana visur, kur tas iespējams, – e-pastos, sociālo tīklu kontos, noliktavas programmatūrās un citur. Pieredze rāda, ka diemžēl cilvēki paroles ļoti bieži uztic krāpniekiem, tāpēc nevar paļauties tikai uz to, ka nekad parole netiks ievadīta vietnē, kas izskatās ļoti līdzīga tai, kurai persona ir vēlējusies piekļūt. Svarīgi izdarīt arī tehniskas lietas, lai maksimāli apgrūtinātu piekļūšanu datiem.
Protams, jāsaprot, ka sociālās inženierijas paņēmieni strādā un strādās pret ļoti daudziem cilvēkiem. Par to nevajag brīnīties, nevajag domāt, ka pret mani tas noteikti nenostrādās, jo ir daudz un dažādas metodes, vienu varbūt uzrunās romantiska ceļojuma piedāvājums ar lielu atlaidi, kādam citam uzmanības vērts būs biznesa kongress otrā pasaules malā. Veidi, kā uzsākt sarunu, lai panāktu kaut kādas darbības, var būt daudz un dažādi, tāpēc nevajag koncentrēties uz to, ka netiks pieļauta kļūda, bet laicīgi nepieciešams izdarīt visu, lai, pieļaujot šādu kļūdu, sekas būtu iespējami mazākas.