Atspėti prisijungimo prie pašto slaptažodį naudojant net ir pačias galingiausias kodų laužymo sistemas gali trukti mėnesiais ar net metais, o parinkus gerą slaptažodį ir apskritai neįmanoma – tai kam gaišti laiką, kam švaistyti išteklius? Geriau tiesiog paklausti.
Žinoma, tiesiog taip gatvėje priėjęs prie nepažįstamo žmogaus ir paklausęs prisijungimo prie elektroninės bankininkystės paskyros duomenų programišius tikriausiai nieko nepeštų (ir gal dar susilauktų vienokios ar kitokios nepageidaujamos reakcijos). Štai čia visą savo naudą parodo ne technologinė kibernetinio laužimosi pusė – socialinė inžinerija. Tiesą sakant, puikiausi socialinės inžinerijos meistrai netgi neprivalo būti gerais technologijų ekspertais, kad įsilaužtų į bet kokį kompiuterį.
Ne programišiai
Turbūt garsiausias visų laikų programišius Kevinas Mitnickas išgarsėjo toli gražu ne dėl savo inžinerinių gebėjimų – jis, gūdžiais 1975 metais, pats būdamas vos 12 metų amžiaus, rado būdą nemokamai važinėtis autobusais, nes įveikė bilietų komposteravimo sistemą, kuri buvo visiškai nekompiuterizuota – tam prireikė šiek tiek gudrybės, šiek tiek apgavysčių ir kelių šiukšliadėžių turinio patikrinimo. Ir keturiose knygose, kuriomis jis dalinosi savo išmintimi su pasauliu, K.Mitnickas nedaug ką terašė apie kompiuterius ir technologijas – daugiausiai apie tai, kaip išgauti slaptažodžius, kaip įeiti į patalpas, į kurias gali patekti ne kiekvienas, kaip įgyti pasitikėjimą apsimetant kitu asmeniu.
Panašūs socialinės inžinerijos principai naudojami ir šiandien, praėjus beveik 20 metų po to, kai K.Mitnickas laisvės atėmimo bausme buvo nubaustas paskutinį kartą: įsilaužimą į kompiuterines sistemas paprasčiausia įvykdyti įgyjant savo aukos pasitikėjimą ir tiesiog išgaunant slaptažodį įvairiomis gudrybėmis, nereikalaujančiomis ypatingo technologinio išprusimo. Netgi „Wikipedia“ socialinės inžinerijos terminą apibrėžia kaip „psichologines manipuliacijas, kuriomis siekiama priversti kitus asmenis atlikti tam tikrus veiksmus ar išduoti informaciją“.
Dėl to socialiniais inžinieriais galima būtų pavadinti netgi telefoninius sukčius, kurie, gana dažnu atveju leisdami laiką laisvės atėmimo vietoje, vienu skambučiu sugeba įtikinti savo aukas, kad jų vaikas pateko į avariją ir reikia skubiai sumokėti toje pačioje avarijoje nukentėjusiems asmenims, kad vaikui nebūtų iškelta baudžiamoji byla. „Natūralu, kad jų technologinis išprusimas tikrai nėra aukšto lygio, bet technikas, kaip įtikinti žmones, atribojant juos nuo racionalaus mąstymo, jie išmano puikiai. Techninio išmanymo jiems reikia tik tiek, kiek pakanka įtikinamai papasakoti streso būsenos apimtam žmogui atlikti kokius nors veiksmus, pvz.: el. bankininkystėje“, – aiškina „Interneto vizijos“ IT ekspertas Gintaras Skridulis.
Ir socialinė inžinerija nėra naudojama tik nusikalstamais tikslais. Socialinis inžinierius yra darbuotojas, atėjęs pas darbdavį paaiškinti, dėl ko jam reikia aukštesnio atlyginimo ir net vaikas, kuris, norėdamas saldainio ar žaisliuko, parduotuvėje iškelia isterišką dramą tikėdamasis, jog mama ar tėtis nusileis.
Svarbiausia – žvalgyba
Knygos „Social Engineering: The Art of Human Hacking“ autorius Christopheris Hadagny tvirtina, kad informacijos apie taikinį surinkimas yra svarbiausias bet kokios socialinės operacijos žingsnis. „Esu vertas tiek, kiek verta mano turima informacija“ – anot autoriaus, tokia turėtų būti socialinio inžinieriaus mantra.
„Socialinio inžinieriaus portretas tikrai jau nebeatitinka stereotipinio programišiaus įvaizdžio – tiesiog užtenka asmens, kuris naudotų kalbą, kuri yra įtikinama, ir įsijaustų į reprezentuojamo asmens vaidmenį. Socialiniai inžinieriai dažnai stengiasi išnaudoti ir kitas prieinamas priemones savo kėslams sėkmingai įgyvendinti – stengiasi perprasti organizacijos procedūras ir sužinoti kuo daugiau apie savo taikinį arba tikslinę auditoriją, t.y. personalo kontaktus, jų pozicijas ir funkcijas ir panašiai. Žinodami kuo daugiau aplinkos ir vidinių faktorių, socialiniai inžinieriai gali lengvai pasitelkti psichologinę įtaką bei manipuliacijas ir imti auką gąsdinti, vilioti smalsumu, godumu, akcijomis, nemokamais dalykais ar pasinaudoti kitomis žmogiškomis savybėmis arba silpnybėmis“. Tokį socialinio inžinieriaus psichologinį apibrėžimą ir veikimo principus pateikia Nacionalinis kibernetinio saugumo centras.
„Tai nereiškia, kad jam visiškai nereikia išsilavinimo ir supratimo technologijų srityje bendrąja prasme, bet žiūrint iš šono, jam tų techninių žinių ir pasirengimo labiau reikia tik toje specifinėje srityje, kurioje veikia jo auka (įmonė, prieš kurią planuoja išpuolį socialinės inžinerijos pagrindu) ir ką gali prireikti žinoti atakos metu. Priešingai nei tipiniai programišiai – kuo daugiau įvairesnių būdų ir techninių žinių bendrąja prasme jie turi, tuo jie yra sėkmingesni, nes geba prieš taikinį išbandyti įvairius metodus ir greičiau suranda spragą“, – kitą šių veikėjų pusę nupasakojo G.Skridulis.
Realaus pasaulio džeimsai bondai dirba ne tik slaptosiose tarnybose
Kenkėjišką veiklą prieš asmenis, įmones ar valstybines įstaigas toli gražu ne visuomet vykdo pavieniai asmenys, kurių gebėjimai baigiasi mokėjimu „gūglinti“ – kur kas pavojingesnės yra nusikalstamos organizacijos, nors ir jos savo pavojingumu visuomenėms neprilygsta valstybinio lygio veikėjams, kurių nevaržo biudžeto ar laiko ribojimai.
Anot „Interneto vizijos“ IT specialisto, socialinė inžinerija valstybinių institucijų lygmenyje taikoma ne greitam finansų pasisavinimui (nes tai problematiška, mokėjimų atlikimas dažniausiai priklauso ne nuo vieno konkretaus asmens), o konfidencialios informacijos nutekinimui arba tam skirtų priemonių aktyvavimui/įdiegimui institucijos viduje, kurios vėliau naudojamos šnipinėjimui. Vėliau surinkta informacija gali atnešti finansinę naudą suinteresuotoms grupėms, pranašumą konkurencinėje kovoje (pvz.: priimti tinkamus sprendimus reikiamu laiku, viešajame konkurse pasiūlyti iškart geriausias sąlygas ir laimėti konkursą).
„Manau, kad kiekvienas slaptosiose tarnybose dirbantis agentas daugiau ar mažiau turi socialinio inžinieriaus savybių. Slaptojo agento sėkmingas veikimas be žmonių psichologijos, manipuliacijų ir spaudimo technikų išmanymo sunkiai įsivaizduojamas“, – sakė G.Skridulis.
Dažniausiai naudojami triukai
Pastaruoju metu smarkiai išpopuliarėjo ir nemažai galvos skausmo įmonėms kelia sukčiai, apsimetantys įmonių vadovais, kurie, naudodami psichologinio spaudimo būdus sugeba įtikinti buhalterius į sukčių sąskaitas pervesti šimtus ar net tūkstančius eurų. Pavyzdžiui, paskutinėje „Swedbank“ ataskaitoje minima, kad vien per šiuos metus nukentėjo 10 įmonių – šio banko klienčių. Iš jų sukčiai sugebėjo išvilioti net 600 tūkst. eurų.
2017 metais išskirtine „sėkme“ pagarsėjo ir vienas lietuvis: Evaldas Rimašauskas apkaltintas iš „Google“ ir „Facebook“ išviliojęs net 100 mln. dolerių dydžio sumas. Socialinės inžinerijos įgūdžių turinčiam vyrui šiais pinigais pasidžiaugti nepavyko – jis buvo perduotas pareigūnams, nugabenusiems jį į JAV, kur už tokio pobūdžio nusikaltimus baudžiama itin ilgomis laisvės atėmimo bausmėmis. E.Rimašauskas, Latvijoje įsteigęs įmonę, pavadintą tokiu pačiu vardu kaip ir viena Azijos bendrovė, gaminanti kompiuterių techninę įrangą, sugebėjo apgautųjų bendrovių finansininkus elektroniniais laiškais įtikinti, kad būtent jo pateikiami banko sąskaitų numeriai turi būti naudojami atsiskaitant už perduotą įrangą. Ir tai – ne vienintelė tokio tipo apgavystė. 2015 metais skelbta apie tai, kad sukčiai panašiu būdu iš „Ubiquiti Networks“ išviliojo 40 mln. dolerių.
Pasitaiko atvejų, kuomet žmones elektroniniu paštu pasiekia kokybiškai apipavidalinti laiškai, sudarantys itin patikimų įstaigų siunčiamos informacijos įvaizdį. Ant netikros, bet dažnai ganėtinai panašiai atrodančios nuorodos (pvz., ne https://www.swedbank.lt, o http://www.swebdank.lt) spustelėję asmenys gali būti nukreipiami į sukčių valdomą, taip pat iš pažiūros tinkamai apipavidalintą svetainę, kur prašoma įvesti finansiškai jautrią informaciją – pvz., savo mokėjimo kortelės duomenis, kurių pakanka norint apsipirkti internetu.
Pamestas USB duomenų kaupiklis – ypač su kokiu nors paminėjimu, žadančiu, kad viduje yra slaptos arba pikantiškos informacijos – yra vienas iš būdų paskatinti žmones pačius prie kompiuterio prijungti virusais užkrėstą įrangą. Apskritai USB duomenų kaupikliai ir kiti per USB jungtį jungiami įrenginiai, gaunami nemokamai – nesvarbu, ar randami, ar gaunami dovanų – yra didelė, dažnai naudojama grėsmė kibernetiniam saugumui. Netgi 2013 metais Rusijoje vykusiame G20 viršūnių susitikime valstybių lyderiams padovanotuose USB kaupikliuose būta virusų, galėjusių iš kompiuterių atsiųsti jautrią informaciją.
Turbūt vieni skaudžiausių, labiausiai per pasitikėjimą žmonėmis kertančių socialinės inžinerijos triukų yra tie, kurie atliekami prieš kolegas darbe: vienas žmogus savo bendradarbio gali paprašyti atlikti kokį nors veiksmą prie kompiuterio ir, kol auka suvedinėja savo slaptažodį, jį nepastebimai filmuoti savo telefonu.
Kitas G.Skridulio pateikiamas pavyzdys, kaip galima nukentėti nuo kolegų – tai netikrų paskyrų socialiniuose tinkluose sukūrimas: sukūrus panašią į tikrąją vadovo arba kolegos paskyrą ir sulaukus, kol auka išvyks į kokią nors kelionę, kurioje kažkiek laiko bus be ryšio, atsiras galimybė imtis žalą sukelti galinčių veiksmų – paskelbti skubios pagalbos prašymą ar prašyti piniginės perlaidos.
Šių metų pradžioje taip pat itin garsiai nuskambėjo kombinuotas – iš bent vieno socialinės inžinerijos elemento ir dviejų sluoksnių kibernetinės atakos – išpuolis: įsilaužus į TV3 serverius ir perėmus jų valdymą buvo publikuota melaginga žinia apie krašto apsaugos ministrą Raimundą Karoblį, esą, priekabiavusį prie žurnalistų. Vėliau, siuntinėjant elektroninius laiškus iš adreso, registruoto TV3 domene, labai konkretiems politikams ir kai kuriems žurnalistams buvo išsiuntinėti „platesni“ pranešimai, žadantys daugiau informacijos apie ministro netinkamą elgesį. Žinoma, šie pranešimai perdavė ne informaciją, o skaitmeninį kenkėją, kurį įsileisti į savo kompiuterį situacija ir pateikimas labai smarkiai viliojo.
Statistika itin iškalbinga: socialinė inžinerija yra dažniausiai pasirenkamas ir dažniausiai sėkmingai realizuojamas atakos prieš kompiuterines sistemas būdas – 2017 m. „Ironscales“ elektroninio pašto grėsmių vertinimo ataskaitoje nurodoma, kad net 90-95 procentai visų sėkmingų kibernetinių atakų prasideda nuo phishing tipo elektroninio laiško.
Programišiai kuo toliau, tuo labiau savo dėmesį perkelia nuo „geležies“ prie žmonių „laužymo“: jeigu 1992 m. 80 proc. visų kibernetinių atakų buvo vykdoma ieškant saugumo spragų techninėje ar programinėje įrangoje ir 20 proc. – manipuliuojant žmonėmis, tai 2017 metais vaizdas buvo visiškai priešingas: 80 proc. atakų buvo nukreiptos į žmogiškas silpnybes, o aparatūros saugumas šiais laikais yra toks stiprus, kad bandyti įsilaužti per ją tiesiog nebeapsimoka (nors 20 proc. atakų vis dar vykdoma šiuo keliu).
Ir turbūt įdomiausia statistinė detalė, kurią pateikė „Wombat Security“ – tai, kad pagrindinė apsauga nuo socialinės inžinerijos sėkmingo pritaikymo yra darbuotojų mokymai: jie, anot šių saugumo specialistų analizės, sėkmingo įsilaužimo per žmogų tikimybę sumažina net 70 procentų.
Ko reikėtų išmokti?
Pati stipriausia asmeninė ugniasienė, apsauganti nuo programišių įsiveržimo per žmogų – nuolatos aukštas, bet patologinio lygio nesiekiantis paranojos lygis. Todėl „Interneto vizijos“ IT ekspertas G.Skridulis pateikia štai tokius patarimus:
- Atidžiai skaityti el. laiškus ir jokiu būdu neatidarinėti įtartinų nuorodų ar prisegtų failų, vertinti laiško turinio kontekstą ir nuorodų bei failų ryšį su juo. Gavus įtartiną laišką iš kolegos, pažįstamo – iš savo pusės susisiekti ir pasiteirauti ar tikrai siuntė tokį el. laišką.
- Atkreipti dėmesį, ar gavus įtartiną laišką iš kolegos, pažįstamo, laiške nėra laukelio „Reply To“ su visiškai nepažįstamu el. pašto adresu – taip daro socialiniai inžinieriai iš pradžių suklastodami siuntėją, bet vėliau nukreipdami bendravimą į savo pašto dėžutę.
- Labai atidžiai vertinti prašymus atlikti kokią nors piniginę perlaidą arba suteikti informaciją apie banko sąskaitą, mokėjimo korteles, prisijungimo duomenis. Reikia atminti, kad jokios institucijos neskambina ir kitais būdais neprašo pateikti savo prisijungimo duomenų ar kitos jautrios informacijos.
- Pajutus spaudimą veikti operatyviai (pvz.: prašoma kuo greičiau atlikti pavedimą), jokiu būdu nevykdyti nurodymų, savo iniciatyva susisiekti su asmeniu, iš kurio buvo gautas nurodymas (tai ypač taikytina vadinamiesiems „CEO fraud“ atvejams, kuomet raginama skubiai atsiskaityti su prekių ar paslaugų teikėjais). Kitaip tariant – pajutus, kad pašnekovas labai skuba, iš principo nieko nedaryti, pasistengti nutraukti pokalbį ar susirašinėjimą ir tada pasiaiškinti, pasitikslinti ar tikrai viskas gerai.
- Automatiškai atmesti informaciją ir pasiūlymus, kurie skamba pernelyg gerai, kad būtų tiesa – niekas nesidalina laimėjimais ar palikimais, vien suradę el. pašto adresą ar telefono numerį internete.
- Laikytis įmonės politikos ir taisyklių, vengti išimčių ir empatiškų poelgių situacijose, kai jos susijusios su konfidencialia informacija ir/ar finansais.
- Neformalioje aplinkoje vengti kalbėti apie darbą ir jame esančius konfidencialius dalykus, net jei pašnekovas yra esamas kolega.
„Lengvas patiklumas bet kokiose gyvenimo situacijose yra rizikingas, todėl svarbu gerai įvertinti gaunamą informaciją, nusiraminti ir nepanikuoti, nepulti spaudinėti nežinomų nuorodų ar siųstis dokumentus bei kitus prisegtukus, kurių net nelaukėte, taip pat neapgalvotai atskleisti savo asmeninius duomenis“, – įspėja Nacionalinis kibernetinio saugumo centras, savo oficialioje svetainėje pateikiantis patarimų, kaip apsisaugoti nuo vienokių ar kitokių prieš žmones nukreiptų programišių gudrybių.