Nors daugelis nerimauja dėl virusų, kenkėjiškų programų ir įsilaužėlių, dažnai pamirštama, kad didžiausias pažeidžiamumas slypi mumyse pačiuose - žmonėse.
Socialinė inžinerija pagrįsta psichologine manipuliacija, kuria siekiama apgaulės būdu priversti jus atskleisti konfidencialią informaciją arba imtis veiksmų, kurie kelia pavojų jūsų įmonės saugumui.
Kas yra socialinė inžinerija ir kaip ją atpažinti?
Socialinė inžinerija nėra naujiena, tačiau ji vystėsi kartu su technologijomis.
Įsivaizduokite įsilaužėlį, kuriam nereikia laužyti kodų ar įsilaužti į sistemas. Vietoj to jis manipuliuoja įmonės darbuotojais, kad gautų prieigą prie slaptos informacijos.
Šis metodas išnaudoja pasitikėjimą, smalsumą ar net baimę.
Socialinės inžinerijos bandymą galite atpažinti, kai kas nors prašo pateikti konfidencialią informaciją arba melagingai kviečia spustelėti įtartiną nuorodą.
Dažnai naudojami sukčiavimo el. laiškai, apgaulingi telefono skambučiai ir pranešimai socialiniuose tinkluose.
Norint apsaugoti save ir savo įmonę, būtina būti budriems, visada tikrinti informacijos prašymus ir niekada nesidalyti neskelbtinais duomenimis, jei nesate visiškai tikri dėl prašytojo autentiškumo.
Įmonių pažeidžiamumo atvejai
- Į darbuotojus nukreiptas sukčiavimas: Didelė įmonė buvo užpulta, kai įsilaužėlis keliems darbuotojams išsiuntė el. laišką, apsimesdamas IT direktoriumi. Elektroniniame laiške darbuotojų buvo prašoma pakeisti slaptažodžius suklastotoje svetainėje, todėl įsilaužėlis galėjo prisijungti prie bendrovės paskyrų.
- "Phishing" atakaKitoje bendrovėje įsilaužėlis prisistatė nuolatiniu bendrovės tiekėju ir paprašė pakeisti banko sąskaitą mokėjimams atlikti. Prieš suprasdama sukčiavimo faktą, bendrovė į įsilaužėlio sąskaitą pervedė didelę pinigų sumą.
- Socialinė inžinerija per socialinius tinklus: Darbuotojas socialinėje žiniasklaidoje pasidalijo informacija apie savo darbą ir sistemas, kuriomis jis naudojosi. Įsilaužėlis pasinaudojo šia informacija, kad apgautų bendrovės techninės pagalbos skyrių ir gautų prieigą prie darbuotojo paskyrų.
Įmonių, kurios išvengė socialinės inžinerijos atakų, sėkmės istorijos
1. Bandymas sukčiauti sustabdytas dėl darbuotojų informuotumo
Ką bandė įsilaužėliai: Kibernetinių nusikaltėlių grupė bandė atakuoti finansinių paslaugų įmonę, išsiųsdama keliems darbuotojams apgaulingus el. laiškus. Atrodė, kad laiškus siunčia įmonės finansų direktorius, ir juose darbuotojų buvo prašoma įvesti savo prisijungimo duomenis svetainėje, kuri imitavo įmonės prisijungimo puslapį. Buvo siekiama gauti prieigą prie darbuotojų paskyrų ir pažeisti vidaus sistemas.
Kaip jie to išvengė: Dėl vykdomos kibernetinio saugumo mokymų programos vienas iš darbuotojų atpažino, kad el. laiškas yra įtartinas. Užuot spustelėjęs nuorodą, jis informavo įmonės saugumo komandą. Ši komanda galėjo išanalizuoti el. laišką ir patvirtinti, kad tai buvo bandymas sukčiauti. Tuomet ji įspėjo visą organizaciją ir sustiprino saugumo priemones, taip užkirsdama kelią sėkmingam išpuoliui.
2. Griežta patikra užkerta kelią apsimetinėjimui
Ką bandė įsilaužėliai: Kitu atveju įsilaužėlis apsimetė nuolatiniu gamybos įmonės tiekėju ir išsiuntė elektroninį laišką mokėtinų sumų skyriui, prašydamas pakeisti banko sąskaitą, į kurią buvo atliekami mokėjimai. Įsilaužėlio planas buvo nukreipti didelę pinigų sumą į jo kontroliuojamą sąskaitą.
Kaip jie to išvengė: Bendrovės politika reikalavo, kad bet koks prašymas pakeisti mokėjimo informaciją būtų tikrinamas tiesiogiai skambinant tiekėjui. Bandydamas patikrinti prašymą, mokėtinų sumų skyrius susisiekė su faktiniu tiekėju, kuris paneigė, kad prašė pakeisti informaciją. Tai sukėlė raudoną signalą, ir bandymas apsimesti tiekėju buvo užkardytas prieš pervedant pinigus.
3. Socialinė inžinerija per socialinius tinklus, kurią trikdo aktyvi stebėsena
Ką bandė įsilaužėliai: Bandydami įsiskverbti programišiai nustatė technologijų įmonės darbuotoją per jo socialinius tinklus. Tada jie pasinaudojo darbuotojo paskelbta informacija, kad sukurtų netikrą profilį ir apsimestų juo. Buvo planuojama susisiekti su bendrovės techninės pagalbos tarnyba ir paprašyti pakeisti slaptažodį, teigiant, kad kilo prieigos problemų.
Kaip jie to išvengė: Bendrovėje buvo įdiegta aktyvi socialinės žiniasklaidos stebėsenos sistema, skirta galimiems saugumo pavojams, susijusiems su socialine inžinerija, aptikti. Pastebėjusi, kad sukurtas netikras profilis, saugumo komanda nedelsdama ėmėsi veiksmų, kad apsaugotų darbuotojo paskyras, ir apie bandymą apgauti pranešė techninės pagalbos darbuotojams. Dėl to įsilaužėlis negavo prieigos prie jokių paskyrų ir įmonės saugumas liko nepažeistas.
Šie atvejai rodo, kad pasirengimas, mokymas ir aiškios taisyklės gali padėti išvengti sėkmingos socialinės inžinerijos atakos. Svarbiausia išlikti budriems ir visada turėti patikimą saugumo protokolą.
Santrauka
Socialinė inžinerija yra sudėtingas iššūkis, nes ji remiasi ne technologijomis, o žmonių manipuliacijomis. Įmonės turi mokyti savo darbuotojus atpažinti galimos atakos požymius ir nustatyti aiškias informacijos prašymų nagrinėjimo procedūras. Informuotumo, mokymo ir saugumo protokolų derinys gali būti raktas, padedantis apsisaugoti nuo šių grėsmių.
