Socialinė inžinerija (saugumas)

Straipsnis iš Vikipedijos, laisvosios enciklopedijos.
(Nukreipta iš puslapio Socialinė inžinerija)
 Broom icon.svg  Šį puslapį ar jo dalį reikia sutvarkyti pagal Vikipedijos standartus.
Jei galite, sutvarkykite.

Socialinė inžinerija (informacijos saugumo kontekste) (angl. social engineering) - tai psichologinio manipuliavimo forma, kuri apima socialines priemones nukreiptas ir vykdomas atliekant sistemos puolimą per netechninius vektorius. Tai yra labai sėkmingas kibernetinių užpuolikų įrankis, nes jis priklauso nuo žmonių polinkio pasitikėti vienas kitu. Paprastai tai apima socialinius įgūdžius, leidžiančius užpuolikams surinkti reikiamą informaciją, reikalingą apeiti organizacijos saugumo protokolus.[1]

Socialinė inžinerija (informacijos saugumo kontekste)[redaguoti | redaguoti vikitekstą]

Socialinės inžinerijos terminas siejamas su informacijos saugumo pažeidimais pasinaudojus žmogiškuoju faktoriumi. Žmogus, pirmiausia yra individas, kurio negali užprogramuoti veikti pagal tam tikras taisykles, bet kurioje situacijoje. Jis pasielgs taip, kaip jam atrodo teisingiausia ir priimtiniausia.[1]

Kibernetinio saugumo ir IT srityje šis terminas skiriasi nuo socialinių mokslų srities, kuri nėra susijusi su konfidencialios informacijos išgavimu.[2]

Socialinėje inžinerijoje naudojami netechnologiniai būdai įsilaužti į sistemą ar tinklą. Tai sistemos vartotojų apgavimo procesas, kai šie įtikinami atlikti veiksmus, naudingus atakuojančiam asmeniui, pavyzdžiui, suteikti informacijos, kuri padėtų įveikti ar apeiti saugumo mechanizmus. Socialinę inžineriją svarbu suprasti, nes įsilaužėliai šį metodą gali taikyti atakuodami žmogiškąjį sistemos elementą ir pergudrauti technines saugumo priemones. Šiuo metodu informacija gali būti renkama prieš ataką ar atakuojant. Socialinis inžinierius paprastai naudojasi telefonu ar internetu, kai bando apgauti žmones ir priversti juos atskleisti informaciją arba padaryti ką nors, kas prieštarauja organizacijos saugumo politikai. Socialiniai inžinieriai išnaudoja natūralų žmogaus polinkį pasitikėti kito žmogaus žodžiu, o ne ieško kompiuterio apsaugos spragų. Taigi vartotojai yra silpnoji vieta. Būtent dėl to socialinė inžinerija ir yra įmanoma.[3]

Socialinės inžinerijos atakų tipai[redaguoti | redaguoti vikitekstą]

  • Atakos iš vidaus - šios atakos metu, įsibrovėlis gauna fizinę prieigą prie kompiuterių ar įmonės kompiuterinio tinklo, darbo vietų ir t. t., apsimetęs darbuotoju (pvz. valytoju, elektriku ir pan.), gali gauti informacijos iš užrašu lapukų ant darbo stalo, šiukšliadėžių. Atakuojantis gali papirkti ar įkalbėti organizacijos darbuotoją dalyvauti atakoje ir sužinoti informaciją, prisijungimo kodus. Šis metodas taikomas ir pramoniniame špionaže, kai konkurentų žmogus įsidarbina kitoje įmonėje darbuotoju ir iš vidaus nutekina svarbią informaciją.
  • Apsimetama svarbiu vartotoju - tokio tipo atakos metu apsimetama vadovu ar svarbiu darbuotoju ir skambučio ar kito ryšio metu iš žemesnio rango darbuotojo ar techninio IT aptarnavimo personalo bandoma gauti prieigos prie failų ir kitos informacijos. Nemaža dalis žemesnio lygio darbuotojų net neklausinėja apsimetėlio, nes mano, kad tai aukštesnio rango darbuotojas.
  • Skambinama techninės pagalbos linija - klasikinis pavyzdys, kai apsimetus įmonės darbuotoju skambinama į pagalbos (pvz. techninės) liniją ir bandoma gauti atitinkamą prieigą, pvz. el. pašto ar pasijungimo į sistemą slaptažodį, apsimetus, jog jį pamiršo.
  • Žvilgčiojama per petį - gaunama prieiga stebėjimo būdu esant šalia kito asmens, stebint kaip tas asmuo surenka slaptažodį į kompiuterį, telefoną, banko kortelės pin kodą ir t. t.
  • Naršoma šiukšlėse - tai vienas seniausių klasikinės socialinės inžinerijos atakų tipo, kai tarp išmetamų šiukšlių ieškoma konfidencialių dokumentų, jautrios informacijos, asmens duomenų, pasijungimų užrašų knygelėse, lapukuose ir t. t. Todėl visada svarbu tinkamai sunaikinti dokumentus prieš juos išmetant. Taip pat reikia nepamiršti ir apie kitą išmetamą įrangą (telefonus, kompiuterius) ir prieš išmetant pasirūpinti tinkamu duomenų ištrynimu.
  • Tapatybės vagystė - pasinaudojimas kito asmens tapatybę identifikuojančiais duomenimis[4]. Dažniausiai tokiai atakai panaudojamos netikros socialinės paskyros, sukurti el. pašto adresai su svetimo žmogaus vardu pavarde, bandoma tada rašyti draugams ar bendradarbiams laiškus, žinutes, bei tokiu būdu prašoma finansinės pagalbos, išgaunama konfidenciali informacija.
  • Sukčiavimo atakos - šis atakos tipas daugiausiai naudojamas apgaulinguose el. laiškuose ir SMS žinutėse. Laiške ar žinutėje siunčiamas apsimestinis tekstas, nuo apsimestinio vardo su kenksmingomis nuorodomis, kurias paspaudus gali atsidaryti tinklapis su virusais arba panašus į finansų įstaigos, ar paslaugų įmonės. Vartotojai atsidarę tokią nuorodą gali nukentėti finansiškai, jei jų bus prašoma suvesti savo banko kodus, arba jie gali prarasti prieigą prie savo el. pašto ar socialinio tinklo ar kitų sistemų, jei nepatikrinę nuorodos tinklapio formoje įrašys joje savo prisijungimo duomenis. Tokio laiško, parašyto bei atsiųsto, naudojantis socialinės inžinerijos atakos metodu, pavyzdys išsamiai pademonstruotas šiame CQURE Academy[5] vaizdo įraše: https://www.youtube.com/watch?v=Mk0Ddcv41lQ

Socialinės inžinerijos atakos vykdymo būdai:[redaguoti | redaguoti vikitekstą]

  • Renkant iš anksto informaciją apie atakuojamą asmenį ar organizaciją iš visų prieinamų šaltinių.
  • Kuriant virusus, kurie po platinasi patys automatiškai, naudoja elektroninius vertėjus, prisitaiko prie regionų ir veikia automatizuotai. Dažniausiai tokie virusai plinta per el. laiškus ir socialinių tinklų žinutes, tekstas juosa būna parašyta psichologiškai įtikinamai, kad kuo daugiau žmonių atliktų laiške paminėtus veiksmus.

Kaip apsisaugoti nuo socialinės inžinerijos atakų[redaguoti | redaguoti vikitekstą]

  • Nuolat apmokyti darbuotojus kibernetinės saugos klausimais - žmogus informacinio saugumo srityje išlieka silpniausia grandis.
  • Organizacijose įdiegti atitinkamas veiklos procedūras, kurios užkerta kelią socialinės inžinerijos atakai, pvz. nesuteikti buhalterei visų teisių, negavus patvirtinimų, daryti pavedimus, įdiegti darbuotojų identifikavimo papildomas priemones bei parengti saugos instrukcijas.
  • Naudoti 2 faktorių autorizavimo galimybes el. pašto sistemose bei socialiniuose tinkluose.
  • Niekada nespausti ant įtartinų nuorodų, nepatikrinus kur jos veda ir ar atitinka logiką. Paspaudus gerai pagalvoti prieš suvedant kokius nors duomenis.
  • Turėti duomenų kopijas saugioje vietoje, jas periodiškai daryti ir tikrinti.
  • Nuolat naujinti programinę įrangą tiek kompiuteriuose, tarnybinėse stotyse tiek ir mobiliuose telefonuose.
  • Periodiškai paieškos internete sistemose reikia tikrinti apie save esančią informaciją, suvedus savo vardą pavardę, ar telefono numerį, el. pašto adresą, tokiu būdu matysite ar neatsirado tapatybės vagystės atvejų ir ar nėra jautrios asmeninės informacijos internete.

Šaltiniai[redaguoti | redaguoti vikitekstą]

  1. 1,0 1,1 A. Šidlauskas, S. Ungurytė-Ragauskienė. (2020). Iššūkiai kibernetiniam saugumui: socialinė inžinerija institucinio izomorfizmo kontekste. Mokslinis žurnalas: Visuomenės saugumas ir viešoji tvarka.
  2. Visuotinė lietuvių enciklopedija. https://www.vle.lt/straipsnis/socialine-inzinerija/
  3. A. Čenys, J. Juknius. (2011). Mokomoji knyga. Saugumo patikros ir etiško įsilaužimo technologijos.
  4. Lietuvos vartotojų institutas. https://www.vartotojai.lt/projektai/tapatybe/tapatybes-vagyste/
  5. CQURE academy. https://cqureacademy.com/