Socialinės inžinerijos ABC: kaip žmogaus psichologijos išmanymas padeda nulaužti labiausiai apsaugotas sistemas (3)
Visi šio ciklo įrašai |
|
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Norėdamas įvykdyti tokio tipo socialinės inžinerijos ataką, piktavalis tiesiog laukia tinkamo momento pasinaudoti aplinkinių patiklumu. Tipinis tokios atakos pavyzdys – praėjimo kontrolė. Piktavaliai jas dažniausiai sugeba įveikti, tiesiog pameluodami vietiniams darbuotojams, jog namuose pamiršo savąją praėjimo kontrolės kortelę. O patekus į pastatą, jau galima imtis ir kitos piktavališkos veiklos. Pavyzdžiui, paprašyti „kolegos“ kelioms minutėms paskolinti kompiuterį, kad jame būtų galima įrašyti kenkėjišką programą.
Savaime suprantama, didžioji dali skaitytojų šiuos pavyzdžius išvadins nesąmonėmis, tačiau patikėkite, tai tikrai vyksta. Lietuvoje vykstančiomis tokio tipo atakų pavyzdžiais gal pasidalintų komentatoriai, o vieno tokio JK įvykusio atsitikimo pavyzdys pateikiamas čia
Rekomendacijos kaip netapti socialinės inžinerijos auka
Aptarti socialinės inžinerijos atvejai ir realūs pavyzdžiai aiškiai rodo, kad grėsmė patirti psichologinį spaudimą egzistuoja praktiškai kiekvienoje gyvenimiškoje situacijoje. O naudojant pasyvų spaudimą, gali palūžti net ir stipriausi. Kaip minėta, žmonės tiesiog visada liks žmonėmis, todėl jų galimybė protauti, keisti savo nuomonę ir įsitikinimus sukuria socialinės inžinerijos funkcionavimo terpę.
Tačiau sutartinai laikydamiesi kelių itin paprastų taisyklių, tie patys žmonės gali sumažinti primityvių socialinės inžinerijos atvejų skaičių bent jau dvigubai. Pirmoji – suprantamiausia, aiškiausia, galiojanti be išimčių: nespausti pelės klavišo ant nuorodų, gautų iš nežinomų siuntėjų. Pirmosios taisyklės papildymas: aklai nespausti pelės klavišo ant nuorodų, gautų iš žinomų siuntėjų, nes elektroninio pašto, facebook, etc paskyros nėra tokios saugios, kaip gali pasirodyti.
Ir nespausti reikia net tuomet, jeigu laiške, knygoje ar tinklalapyje pateiktas turinys atrodo itin įtikinamas. Taip pat reikia suprasti, kad konfidencialios informacijos, tuo labiau slaptažodžio, tikrai nereikalauja nei viena organizacija – tai kiekvieno iš mūsų asmeninė nuosavybė.
Reikia labai dėmesingai elgtis su elektronine įranga – išmaniaisiais telefonais, nešiojamais ar planšetiniais kompiuteriais – viešumoje. Ir ne vien saugantis elementarių vagysčių. Praktika aiškiai rodo, kad saugumo pažeidžiamumo pavojai šiuo metu yra itin kompleksiški, o kai kalba pakrypsta apie elektroninius prietaisus, socialinės inžinerijos pritaikymo galimybės dar labiau išsiplečia. Būtent dėl tos priežasties saugumo ekspertai jau rekomenduoja pasirūpinti ne tik savo kompiuterio, bet ir išmaniojo telefonu automatinio užrakto funkcija.
Deramą dėmesį vertėtų skirti ir elektroninių prietaisų programinės įrangos atnaujinimams. Asmeniniuose prietaisuose įsidiegti antivirusinę programą ar kitus saugumą užtikrinančius mechanizmus taip pat tikrai vertėtų, kadangi tai gali padėti ne tik pastebėti, bet ir sustabdyti jau inicijuotą potencialią socialinės inžinerijos ataką žymiai operatyviau.
Galiausiai reikėtų nepamiršti ir to, kad darbo aplinkoje taisyklės kuriamos ne šiaip sau, o tam, kad jų būtų laikomasi. Į tai vertėtų žiūrėti itin atsakingai, kadangi savo privatumą gerbiančios kompanijos vis dažniau samdosi saugos ekspertus, kurie periodiškai atlieka įsilaužimo galimybių įvertinimą (angl. penetration test). Pastarasis įvertinimas padeda nustatyti saugos pažeidžiamumo aspektus, tačiau taip pat akylai nagrinėja ir socialinės inžinerijos problematiką. Nors šiuo įvertinimu siekiama sužinoti bendrovės silpnybes, kaip valdžia sureaguos į pavienius socialinės inžinerijos pagrindu darbuotojų įvykdytus nusižengimus – labai individualus ir diskutuotinas klausimas.
Tiksliai apibrėžti socialinės inžinerijos darbo motyvus ne taip jau paprasta. Jie gali būti labai dinamiški ir priklauso ne tik nuo piktavalio, bet ir nuo potencialios aukos psichologinio pasiruošimo. Liaudies išmintis byloja: „devynis kartus matuok, dešimtą kirpk“ – būtent taip rekomenduojame ir elgtis, su socialinės inžinerijos pavojumi susidūrus akis į akį.