Socialinės inžinerijos ABC: kaip žmogaus psichologijos išmanymas padeda nulaužti labiausiai apsaugotas sistemas (3)
Į žmogiškąjį faktorių atsižvelgti reikėdavo visais laikais. Bejausmė skaitmeninė technika saugumą padidino, tačiau kartu atvėrė kelius žmogaus psichologijos vingrybėms ir silpnybėms krėsti vis didesnes šunybes.
Apžvelkime dažniausiai pasitaikančius socialinės inžinerijos „pokštus“.
Visi šio ciklo įrašai |
|
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Visuomenė, itin aktyviai migruodama į skaitmeninę erdvę, nešasi kartu ir konfidencialią informaciją, į kurią suleist dantis norėtų ne vien pasaulio tvarką (jų pačių tvirtinimu) saugančios slaptosios tarnybos (tiesą sakant, eiliniai džonai, marijos ir chuanai jiems rūpi mažiausiai), bet ir daug pragmatiškiau nusiteikę piktavaliai. Saugumo technikai tobulėjant, tapti išmanių piktavalių, kurie naudodami savo išskirtinę techninę kompetenciją geba įsilaužti į apsaugotas kompiuterines sistemas bei sukompromituoti slaptus duomenis, darosi vis sudėtingiau. Tai jau seniai nėra didžiausias saugos užtikrinimo ekspertų rūpestis.
Kaip rodo praktika, tokias kibernetines saugumo problemas dažniausiai galima gan neskausmingai eliminuoti, tiesiog pasitelkus naujas technologijas. Tačiau diegiami nauji saugos mechanizmai baugina tikrai ne visus piktavalius. Kartais kibernetinių nusikaltėlių techninės žinios niekaip nepadeda atrasti silpnų skaitmeninės infrastruktūros vietų. Tačiau tokios kliūtys piktavalių nesulaiko. Jeigu nepavyksta įveikti kompiuterinės sistemos saugumo mechanizmų, lieka viena saugumo atnaujinimais ir moderniausiomis ugniasienėmis neištaisoma silpna vieta, – žmogaus psichologija.
Žmogaus psichologija – socialinės inžinerijos sėkmės pagrindas
Pagal griežtus algoritmus veikiančios kompiuterinės sistemos nėra linkusios klysti ar apsigalvoti. Tuo tarpu žmogui įgimta pasitikėti kitais ir tai neretai priverčia suabejoti savo pasirinkimu. Per pastaruosius penkerius metus ši žmogiška silpnybė tapo masine saugos mechanizmų pažeidžiamumo problema, garantavusia socialinės inžinerijos sėkmę. Kitaip sakant, su žmonių bendravimu ir jų manipuliavimu siejama mokslo kryptis tapo bene pagrindine piktavalių prieigos prie slaptos informacijos priemone.
Vis dėlto socialinės inžinerijos veikimo motyvai ir pritaikymas nėra nauja sritis. Šį terminą dar 1990 metais populiarinti pradėjo vienas žinomiausių visų laikų programišių Kevinas Mitnickas.
Kintant darbo aplinkai ir galimybėms, socialinė inžinerija piktiems kėslams pritaikoma pačiose įvairiausiose situacijose. O liūdniausia, – universalaus problemos sprendimo būdo nėra ir greičiausiai nebus dar labai ilgai. Net ir patikimiausias įmonės darbuotojas pats to nesuprasdamas, vieną (ne tokią jau) gražią dieną, gali tapti didžiulio kibernetinio nusikaltimo bendrininku.
Tačiau sumažinti socialinės inžinerijos veikimo įtaką žmogaus psichologijai tikrai įmanoma. Kibernetiniai nusikaltėliai dažniausiai taiko saugumo ekspertams gerai žinomas socialinės inžinerijos atakas. Supratus jų veikimo ir įgyvendinimo principą, be jokios abejo, sumažėja ir rizika tapti šio nemalonaus incidento tarpininku.
Populiariausios socialinės inžinerijos atakos
Kaip galima numanyti, socialinės inžinerijos terminas dažniausiai siejamas su paties įvairiausio tipo kenkėjiška veikla. Kitaip tariant, kad ir į kokį materialų ar skaitmeninį turtą piktavalis taikosi, siekdamas jį užvaldyti, naudos žinomus manipuliacijos žmogaus psichologija būdus. Kibernetiniai nusikaltėliai šį metodą taiko vis dažniau, kadangi taip dažniausiai nelieka jokių apčiuopiamų veiklos įrodymų, kuriuos būtų galima panaudoti piktavalio išaiškinimui ar juo labiau, kaip įrodymą teisme, o svarbiausia, taip galima gauti prieigą ne tik prie prie pavienių paskyrų ar banko sąskaitų, bet net ir prie didelių organizacijų įslaptintų duomenų bazių ar pan.
Fišingas (angl. Phishing).
Tai – viena iš populiariausių ir socialinės inžinerijos atakų. Piktavaliams ji itin patraukli, nes gali būti pritaikyta ir platinama praktiškai bet kokiomis skaitmeninėmis priemonėmis: elektroniniais laiškais, pokalbių programomis, trumposiomis žinutėmis, įvairiausio plauko tinklalapiais, įmonių administruojamomis sistemomis ar netgi skaitmeninėmis anketomis. Trumpai tariant, vykdydami fišingo atakas piktavaliai siekia įtikinti potencialią auką pateikti konfidencialią skaitmeninę tokiuose šaltiniuose, kurie tik iš pirmo žvilgsnio atrodo patikimi ir gerai žinomi.
Fišingo atakos metu piktavalis, taikydamas psichologinius spaudimo metodus, stengiasi platinti grėsmingus, tačiau įtikinamus ir auką verčiančius skubėti tekstus. Taikant šio tipo socialinės inžinerijos ataką, labai dažnai į pagalbą pasitelkiamos sutrumpintos ir tikrąjį šaltinį maskuojančios internetinės nuorodos. Būtent jomis įbaugintas asmuo nukreipiamas į kenkėjiškus tinklalapius.
Fišingo atakos vis sudėtingėja. Pavyzdžiui, „Google Play Books“ elektroninėje parduotuvėje yra platinamos tik knygos, tačiau praktika įrodo, kad patikliems vartotojams paspaudus jose įterptas nuorodas, kartais galima tapti ir fišingo auka.
Masalas (angl. Baiting).
Taip, taip, perskaitėte teisingai. Slieku žmogaus gal ir nepriviliosi, bet paliktu ar „pamestu" daiktu, nemokama programine įranga ar žaidimu sudominti tikrai galima. Nors anksčiau tokio tipo socialinės inžinerijos atakos naudotos tik nelegalią programinę įrangą platinančiose tinklalapiuose, dabar jos vis dažniau vyksta ir fiziškai apčiuopiamu, materialiu pavidalu.
Čia ir vėl meškos paslaugą daro žmogiškoji psichologija, itin linkusi priimti dovanas. Nors dabar Trojos arklio niekas dovanoti nesiruošia, tačiau ant stalo „visiškai atsitiktinai“ palikti kenkėjiška programa, trojanu, apkrėstą USB raktą piktavalis tikrai gali net ir šiandien. Na, o toliau piktavaliui tiesiog belieka laukti, kada žmogiškasis smalsumas paims viršų.
Šio socialinės inžinerijos modelio veiksmingumą įrodė ne tik graikų mitologija, bet ir dabartinė praktika. „Secure Network Technologies, Inc.“ viceprezidentas ir įkūrėjas Steve‘as Stasiukonis kartu su savo komanda dar 2006 metais atliko eksperimentą – suinteresuotos organizacijos stovėjimo aikštelės atsitiktinėse vietose primėtė kenkėjišku programiniu kodu apkrėstų USB raktų. Dauguma šių atmintinių, žinoma, surado įmonės darbuotojai. Galima net neabejoti, kad jų smalsumas nugalėjo, o Steve‘ui tiesiog beliko džiaugtis itin sėkmingais atliko tyrimo rezultatais.
Pasitikėjimas (angl. Tailgating).
Itin pavojinga, nors gal kiek sunkiau įgyvendinama socialinės inžinerijos ataka yra pagrįsta betarpišku žmonių tarpusavio pasitikėjimu. Ši ataka ypatinga tuo, kad jos vykdymui reikia piktavalio fizinio kontakto su tam tikrą informaciją žinančiu asmeniu. Iš pirmo žvilgsnio gali atrodyti, kad toks metodas labai rizikingas, nepatikimas ir su kibernetiniais nusikaltimais turintis maža ką bendro. Vis dėlto praktika rodo, kad net ir taikant tokias manipuliacijas, galutinis piktavalio tikslas – būtent konfidenciali organizacijos ar asmens informacija.