Tik, jei COVID-19 vasarą atslūgo, kibernetinių išpuolių skaičius sumažėjo nedaug, o dabar šalims masiškai įvedant naujus karantinus, tikėtinas naujas kibernetinių nusikaltimų šuolis.
Kodėl? Darbuotojams keliaujant dirbti iš namų ir prie įmonės tinklų jungiantis iš išorės, pats tinklas, ir darbuotojas tampa labiau pažeidžiami. Kai žmonės yra vienoje erdvėje, jie bet kokį keistesnį laišką gali lengviau patikrinti. Jei finansininkė gauna laišką iš vadovo, kuriuo prašoma padaryti kiek neįprastą pavedimą, dažniausiai jai visai nesudėtinga nueiti į gretimą kabinetą ir pasitikslinti ar tai tiesa. Kai dirbama iš namų, daug didesnė tikimybė, kad finansininkė pavedimą padarys nepatikrinus informacijos, nes visi „gyvena“ internetiniuose susitikimuose ir užduoti skubų klausimą nėra galimybės.
Taip pat daug paprasčiau įsilaužti į įmonių tinklus, nes darbuotojams dirbant ir jungiantis prie serverių iš namų, silpnoji saugumo grandis tampa nutolę kompiuteriai, o darbuotojai dirbdami asmeniniais kompiuteriais dar ir mažiau atidūs galimoms atakoms.
Nors, tiesa pasakius, jie nėra labai atidūs ir dirbdami ofisuose. Neseniai „TeraSky“ vienoje Kauno įmonėje atliko saugumo patikrą imituodama suklastotų laiškų (angl. phishing) ataką, kurios metu darbuotojams buvo siunčiami tikrus Lietuvos institucijų pranešimus imituojantys elektroniniai laiškai. Taip dažnai elgiasi nusikaltėliai, prie laiškų pridėdami priedus ar suklastodami nuorodas, kuriuos atsidarius kompiuteriai apkrečiami virusu arba surenkami asmeniniai duomenys.
Phishing‘as šiai dienai yra pagrindinė priemonė nusikaltėliams patekti į organizacijų tinklus. Remiantis pasauline statistika, apie 60 proc. ransomware tipo kibernetinių išpuolių, kai reikalaujama išpirkos užkodavus informaciją, šantažuojant ar kitu būdu, įvyksta būtent vykdant phishing‘o atakas.
Kadangi įmonės darbuotojai buvo jau buvo apmokyti, surengėme sudėtingo lygio ataką. Jos metu darbuotojams buvo siunčiami pranešimai apsimetant Lietuvos valstybinėmis institucijomis, pavyzdžiui Mokesčių inspekcijos vardu siųstas pranešimas apie deklaracijose rastas klaidas, pranešimai apie „trikojų“ užfiksuotą greičio viršijimą, siūloma atlikti nemokamą COVID-19 testą bei kitokio tipo laiškai. Siuntėjo adresas nuo tikros institucijos adreso skyrėsi labai nedaug. Pavyzdžiui vietoje domeno „vmi.lt“ buvo naudojamas „vrni.lt“, domene „epolicija“, mažoji „i“ buvo pakeista didžiąja „I“, kuri vizualiai identiška mažąjai „l“.
Net penktadalis apmokytų darbuotojų ne tik atsidarė gautus laiškus, bet ir paspaudė juose buvusias nuorodas. Dalis net po keletą kartų. Beje, reakcijos skyrėsi ir nuo laiško tipo – aktyviausiai atidarinėti laiškai, pranešantys apie greičio viršijimą (net 34 proc.), pasyviausiai – apie galimybę atlikti nemokamą COVID-19 testą. Tačiau tai parodo tik tai, kad bauginami arba kai gresia kažkokia bausmė, žala, žmonės linkę labiau daryti neapgalvotus žingsnius.
Darbuotojų garbei reikia pasakyti, jog 5 proc. atakos taikinių kreipėsi į įmonės IT skyrių ir pranešė apie incidentą, o kai kurie darbuotojai ne tik iššifravo, kad laiškas yra ataka, bet ir pranešė apie ją atitinkamoms institucijoms.
Tačiau akivaizdu, kad jei ataka būtų surengta „blogiukų“, įmonės kompiuteriuose jau sėdų nepageidaujamas svečias.
Iš tiesų, sunku kaltinti darbuotojus, tai buvo tikrai sudėtinga ataka, pilnai vizualiai ir informacijos prasme atitinkantį tikrus Lietuvos institucijų siunčiamus laiškus. Norint atsilaikyti prieš tokio lygio ataką, darbuotojai turi ne tik būti išklausę teorinį kursą apie kibernetines atakas, bet turėti įgūdį kritiškai vertinti kiekvieną gautą laišką.
O toks įgūdis įgyjamas tik nuolatos treniruojantis. Kaip Japonijoje ir kitose didelio seisminio aktyvumo zonose žmonėms nuolatos rengiami mokymai kaip elgtis žemės drebėjimo metu, kai reikia greitai palikti mokyklas, ofisus ar parduotuves, taip įmonės turėtų nuolat rengti phishing‘o mokymus, kad darbuotojams susiformuotų įgūdis atidžiai vertinti gaunamą elektroninę korespondenciją.
Dar viena aktuali pamoka – darbuotojai turėtų atskirti įmonės ir asmeninius elektroninius laiškus. Įmonės elektroninio pašto adresas neturėtų būti naudojamas registruojantis įvairiose su asmeniniais reikalais susijusiose duomenų bazėse. Negaudami į „darbinį meilą“ asmeninės korespondencijos iš VMI, Sodros, policijos, kitų įstaigų, darbuotojai ne tik maksimaliai sumažins galimybę gauti netinkamus laiškus, bet ir apsaugos įmonės elektroninio pašto adresą nuo vagystės, nes, vieša paslaptis, kad net tokios organizacijos kaip „Twitter“ nėra visiškai apsaugotos nuo duomenų vagysčių ir jų panaudojimo nedorais tikslais.
Tai, kad panašaus pobūdžio atakos kartojasi nuolat, rodo, kad nepasirengusių žmonių Lietuvoje tikrai daug. Žiniasklaida pastaruoju metu aprašė ne vieną kibernetinę ataką, kuomet masiškai siunčiami laiškai apsimetant įvairiomis institucijomis, net interneto naujienų portalais, kaip mūsų šalyje nuvilnijusi ataka, kuomet pasinaudota „15.min.lt“ vardu.
Bet tai, kas pasirodė spaudoje – tik ledkalnio viršūnė. Prie šio ledkalnio tirpdymo galėtų prisidėti ir pačios institucijos, kurių vardu naudojamasi, geriau apgalvodamos naudojamas masinių laiškų siuntimo sistemas.
Tos įstaigos, kurios siunčia personalizuotus laiškus savo klientams, kai kreipiamasi vardu ar vardu ir pavarde, ir arba siunčia laiškus tik tam tikru laiku pagal aiškią sistemą, daug rečiau tampa nusikaltėlių pamėgdžiojimo objektu. Paprastai tokių įmonių laiškuose stengiamasi nenaudoti nuorodų, kurias klientas būtų raginamas spausti, tiesiog informuojama apie laiško tikslą ir paraginama pasitikrinti savo paskyrą tos įmonės interneto puslapyje.
Kai įstaigos laiškai yra tipiniai ir banaliai sisteminiai, neprognozuojami ir kiekvieną kartą verčiantys spausti nuorodą, nusikaltėliams net nereikia labai stengtis, kad galėtų apsimesti ta įmone. Ir, deja, būtent tokį laiškų siuntimo principą yra pamėgusi didelė dalis valstybės institucijų.
Tad – saugokite save ir savo kompiuterį! Nuolat dezinfekuokite rankas, lauke vaikščiokite su kauke, o gavę elektroninį laišką vertinkite jį kritiškai ir, jei tai jums netikėta, kelia nerimą ar perdėtą smalsumą – atlikite kruopštų patikrinimą.