Interneto saugumo ekspertai vis dažniau pastebi, kad virusai, galintys išvesti iš rikiuotės įmonės kompiuterius, nebėra didžiausia grėsmė internete. Žymiai didesnę žalą padaro sukčiai, vagiantys duomenis ir svarbią informaciją pasitelkę internetą ir įvaldę socialinės inžinerijos (angl. – social engineering) technologijas. Panašiai, kaip telefoniniai sukčiai iš patiklių gyventojų išvilioja santaupas apsimetę pareigūnais ar jų giminaičiais, kompiuteryje atsidūrusi byla ar elektroninis laiškas gali pavogti elektroninės bankininkystės slaptažodžius arba konfidencialią įmonės informaciją.
Nusikaltėliams ėmus išnaudoti informacines technologijas, apgavystės scenarijus gali būti kartojamas daugybę kartų, kol randama auka. Teigiama, kad sukčiai pasinaudoja ne tik patikliaisiais, bet ir patikimais įmonių darbuotojais, nes internete viskas gali atrodyti įtaigiau. Dažnai pasitaiko, kad slapta informacija įvedama į anketą, imituojančią kokios nors institucijos dokumentą. Taip pat, kompiuteris gali būti užkrėstas sekimo programa atidarius elektroninį laišką nuo kolegos ar primenantį įprastą reklaminį pasiūlymą. Pasitaiko netgi atvejų, kai internete inscenizuojama netikėta situacija ir galiausiai auka telefonu padiktuoja prisijungimo duomenis.
Visai neseniai spaudoje aprašytas atvejis, kai į tokią situaciją pakliuvo vienos Kauno bendrovės buhalterė. Paskambinę ir prisistatę banko atstovais, nepažįstamieji informavo apie „pastebėtą sąskaitoje esančių pinigų judėjimą“. Darbuotojai atskleidus prisijungimo duomenis, maždaug po valandos banke apsilankęs vyriškis iš įmonės sąskaitos pasisavino beveik 5 tūkst. litų.
„Socialinės inžinerijos nusikaltėliams nebūtina turėti išskirtinių IT žinių ir gebėjimų, nes technologijos – tik įrankis vykdyti šiuos nusikaltimus. Jie žino, kad gali pasinaudoti įmonių ir institucijų darbuotojais, nes jie yra silpniausia grandis verslo IT saugumo procedūrose“, – sako tarptautinės informacinių technologijų kompanijos „DPA Lietuva“ vadovas Laurynas Truncė. Pasak jo, kita socialinės inžinerijos ypatybė, kad tai labai pigus ir paprastas būdas sukčiauti.
„DPA Lietuva“ specialistai pataria, kad efektyviausias būdas užkirsti kelią socialinės inžinerijos nusikaltimams yra nuolatinis darbuotojų sąmoningumo kėlimas. Būtina apsibrėžti saugaus elgesio su svarbia informacija procedūras ir periodiškai apie jas informuoti darbuotojus, be abejo, nederėtų pamiršti ir įprastų IT saugumo priemonių.
Patiems darbuotojams patariama atsargiau reaguoti į netikėtus skambučius ar elektroninius laiškus, ramiai įvertinti informaciją – jokiu būdu nedaryti skubotų veiksmų, ko paprastai reikalauja sukčiai. Esant bent mažiausiai abejonei, ar su jumis internetu susisiekė tikras kitos organizacijos – banko, valdžios institucijos ar partnerių – atstovas, geriausiai nedelsiant tą patikrinti susisiekus su organizacija kitu kanalu, pvz.: telefonu. Policijos duomenimis, pastaraisiais metais buvo itin paplitęs įmonių apgaudinėjimo scenarijus, kai sukčiai prisistatydavo Finansinių nusikaltimų tyrimų tarnybos (FNTT) pareigūnais. Tačiau šį metodą netrunka keisti kitas, nes naujų apgavystės pinklių kūrimas – tik sukčių fantazijos klausimas.
Taip pat įmonių darbuotojams būtina atidžiau vertinti internetines nuorodas ir pasitikrinti, ar atverčiamas puslapis tikrai yra tuo interneto adresu – sukčiai puikiai moka imituoti organizacijų oficialių puslapių dizainą.
Geriausiai žinomas socialinės inžinerijos įrankis yra vadinamieji Trojos arkliai (angl. – Trojan horse), kurie visai kaip legendiniame graikų mite, nesunkiai pakliūna į kompiuterius internetu ar per kitas laikmenas ir gali padaryti didelę žalą verslo organizacijai: nutekinti verslo paslaptis, pavogti pinigus pasinaudojus e-bankininkyste ar iš įmonės kompiuterio įvykdyti kitą nusikaltimą.
„DPA Lietuva“ specialistų teigimu, dažnai tokios programos kaip Trojos arkliai pakliūna į jau egzistuojančius aplankus įmonės kompiuteryje ir nesukelia įtarimo. Paprastai joms suteikiami bendri, niekuo neišsiskiriantys pavadinimai, pavyzdžiui „video.exe“, „list.exe“ ar „cost estimate.xls“.
