Elektronika.lt
 2024 m. gruodžio 2 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Gruodžio 2 d. 14:49
Ar gamykla turi įtakos elektromobilio savybėms?
Gruodžio 2 d. 11:51
Ekranų poveikis vaikams – tai rimta
Gruodžio 2 d. 08:22
Kaip naudoti „Mac“ kompiuterius, kad jų akumuliatoriai tarnautų ilgiau
Gruodžio 1 d. 15:40
Atrasta netikėta ličio baterijų išsikrovimo priežastis – tarp išradėjų ir KTU mokslininkas
Gruodžio 1 d. 11:28
Pirmasis socialinių tinklų draudimas vaikams Australijoje: efektyvi priemonė ar vyresniosios kartos klaida?
Lapkričio 30 d. 15:24
Atliekose baterijų daugėja, o aiškumo, kaip ir kas jas turi tvarkyti – ne
Lapkričio 30 d. 11:38
Trys patarimai, kaip per išpardavimus, didžiąsias šventes apsisaugoti nuo finansinių sukčių
Lapkričio 29 d. 17:47
KTU mokslininkai sukūrė dirbtinio intelekto įrankį depresijos diagnostikai
Lapkričio 29 d. 14:22
Išmanieji telefonai: kaip išsirinkti telefoną, turintį kokybišką ekraną?
Lapkričio 29 d. 11:19
Pajėgiausio prabangaus elektrinio visureigio belaukiant: „Range Rover Electric“ prototipai testuojami ypač karštame ore
FS25 Tractors
Farming Simulator 25 Mods, FS25 Maps, FS25 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
FS22 Tractors
Farming Simulator 22 Mods, FS22 Maps, FS25 Mods
VAT calculator
VAT number check, What is VAT, How much is VAT
LEGO
Mänguköök, mudelautod, nukuvanker
Thermal monocular
Thermal vision camera,
Night vision ar scope,
Night vision spotting scope
FS25 Mods
FS25 Harvesters, FS25 Tractors Mods, FS25 Maps Mods
Dantų protezavimas
All on 4 implantai,
Endodontija mikroskopu,
Dantų implantacija
FS25 Mods
FS25 Maps, FS25 Cheats, FS25 Install Mods
GTA 6 Weapons
GTA 6 Characters, GTA 6 Map, GTA 6 Vehicles
FS25 Mods
Farming Simulator 25 Mods,
FS25 Maps
Reklama
 Straipsniai » Kompiuteriai, IT Dalintis | Spausdinti

Kaip sukčiai išvilioja milijonus eurų

Publikuota: 2020-01-15 08:12
Tematika: Kompiuteriai, IT
Skirta: Mėgėjams
Aut. teisės: ©Delfi.lt
Inf. šaltinis: Delfi.lt

Socialinė inžinerija – menas išnaudoti žmogaus psichologiją, o ne naudojimasis techninėmis įsilaužimo metodikomis, siekiant patekti į pastatą ar gauti prieigą prie sistemų ar duomenų, todėl labai svarbu mokėti tokį meną atpažinti.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Socialinė inžinerija – menas išnaudoti žmogaus psichologiją, o ne naudojimasis techninėmis įsilaužimo metodikomis, siekiant patekti į pastatą ar gauti prieigą prie sistemų ar duomenų, todėl labai svarbu mokėti tokį meną atpažinti, rašo csoonline.com.

Pavyzdžiui, užuot ieškojęs programinės įrangos pažeidžiamumo, socialinis inžinierius gali paskambinti darbuotojui ir apsimesti IT pagalbos skyriaus darbuotoju, taip priversdamas darbuotoją patį atskleisti slaptažodį.

Garsusis įsilaužėlis Kevinas Mitnickas dešimtajame praėjusio amžiaus dešimtmetyje padėjo išpopuliarinti socialinės inžinerijos terminą, nors sukčiai jau ne vienerius metus naudojo šią idėją ir daugelį jos taikymo metodų.

Kaip sukčiai išvilioja milijonus eurų
Asociatyvi nuotr.

Net jeigu imatės daugybės priemonių, kaip apsaugoti savo duomenis, domitės gynybinėmis technologijomis, įgyvendinate tinkamas rizikos prevencijos priemones ir procesus bei nuolat tobulinate šiuos procesus, nagingas socialinis inžinierius vis tiek ras būdą, kaip viską apeiti.

Socialinės inžinerijos metodai

Įrodyta, kad socialinė inžinerija yra labai efektyvus būdas, kaip nusikaltėliui patekti į organizacijos vidų. O kai socialinis inžinierius turi patikimo darbuotojo slaptažodį, jis be vargo gali prisijungti prie sistemos ir šnipinėti bei ieškoti jautrios informacijos. Turėdamas įėjimo kortelę ar kodą, kad fiziškai galėtų patekti į pastatą, nusikaltėlis gali gauti duomenų ir net pakenkti žmonėms.

Straipsnyje „Anatomy of a Hack“ (Įsilaužimo anatomija“) vienas įsilaužėlis-testuotojas detaliai aiškina, kaip jis pasinaudojo vykusiais renginiais, viešai prieinama informacija socialiniuose tinkluose ir dėvėtų drabužių parduotuvėje vos už keturis dolerius nusipirkęs „Cisco“ kompanijos marškinėlius sugebėjo įsilaužti į kompanijos sistemą. Marškinėliai padėjo jam įtikinti pastato registratūros ir kitus darbuotojus, kad jis yra „Cisco“ kompanijos darbuotojas, atvykęs atlikti techninės priežiūros užduotį. Patekęs į vidų, jis galėjo įleisti kitus savo komandos narius bei prijungti kelis USB raktus su kenkėjiška programa ir įsilaužti į kompanijos tinklą jos darbuotojų akivaizdoje.

Jei norite, kad pavyktų toks socialinės inžinerijos triukas, jums tikrai nereikia ieškoti dėvėtų darbužių parduotuvėse kokios nors kompanijos marškinėlių. Lygiai taip pat efektyviai veikia elektroniniai laiškai, skambučiai ir įvairios apgavystės per socialinius tinklus. Visi tokie atvejai turi viena bendrą vardiklį: sukčiai pasinaudoja žmogaus prigimtimi ir žmonių noru pasipelnyti, jų baime, smalsumu ar net... nuoširdžiu noriu padėti kitiems.

Socialinės inžinerijos pavyzdžiai

Nusikaltėliai dažnai kelias savaites ar net mėnesius renka informaciją apie vietą, į kurią nori įsilaužti, prieš ateidami prie jos durų ar paskambindami. Tokio pasiruošimo metu gali būti analizuojama informacija apie kompanijos struktūrą, darbuotojus per tokius socialinius tinklus kaip „LinkedIn“ ar „Facebook“.

Telefonu

Socialinis inžinierius gali paskambinti ir apsimesti kolega ar kokios išorinės tarnybos (teisėsaugos ar audito) įgaliotu asmeniu.

Biure

„Gal galėtumėte palaikyti man duris? Pamiršau savo raktą/įėjimo kortelę“. Kaip dažnai tai girdite savo darbovietės pastate? Nors tas prašantis asmuo gali atrodyti visai neįtartinas, tai yra labai dažna socialinių inžinierių taktika.

Internetu

Socialiniai tinklai gerokai palengvino reikalus rengiantiems socialinės inžinerijos atakas. Dabar sukčiai gali panaršyti tokiuose socialiniuose tinkluose kaip „LinkedIn“ ir susirinkti nemažai informacijos apie visus vartotojus, dirbančius tam tikroje kompanijoje, bei vėliau panaudoti tą informacijai atakai.

Apgaulei socialiniai inžinieriai pasinaudoja naujausiais žinių pranešimais, šventėmis, popkultūros reiškiniais ir kitomis priemonėmis. Pavyzdžiui, sukčiai gali per šventes paskatinti žmones aukoti kokiai nors išgalvotai labdaros organizacijai.

Taip pat sukčiai gali pasinaudoti apie žmogų surinkta informacija (apie mėgstamus atlikėjus, aktorius, muziką, politiką, filantropiją) ir surengti duomenų vagystės (phishing) ataką.

Garsios socialinės inžinerijos atakos

Geras būdas suprasti, kaip veikia socialinės inžinerijos metodai, yra paanalizuoti praeityje įvykusius tolius incidentus. Nors sukčiavimo būdų tikrai daug, sutelkime dėmesį į tris socialinės inžinerijos metodus, kuriuos itin sėkmingai naudoja sukčiai.

1. Pasiūlykite kai ką itin viliojančio. Bet kuris sukčius jums pasakys, kad paprasčiausias būdas yra pasinaudoti žmonių godumu. Tai rodo jau klasika tapusi „nigerietiška schema“, kuomet sukčiai mėgina įtikinti auką, kad jiems neva reikia iš Nigerijos pervesti neteisėtu būdu gautas dideles pinigų sumas į banko sąskaitą saugioje šalyje. Jie prašo aukos leisti pasinaudoti savo banko sąskaita ir mainais siūlo nemažą pinigų sumą.

Šie „Nigerijos princų“ elektroniniai laiškai jau tapo tikru ne vieną dešimtmetį sklandančiu anekdotu, tačiau šis metodas sėkmingai veikia iki šių dienų. Tarkime, 2017 metais vienos retai apgyvendintos Mičigano valstijos apygardos iždininkas atidavė 1,2 mln. JAV dolerių mokesčių mokėtojų lėšų tikėdamasis asmeninės naudos.

Kitas panašus būdas yra naujo ir geresnio darbo pasiūlymas. 2011 metais apsaugos kompanija RSA patyrė didžiulę gėdą, kai mažiausiai du žemos grandies darbuotojai atidarė elektroniniu paštu gautą dokumentą, kuriame buvo kenkėjiška programa, nes dokumentas buvo pavadintas „2011 metų samdymo planai.xls“

2. Apsimetinėk, kiek tik gali. Vienas iš paprasčiausių – ir stebėtinai sėkmingiausių – socialinės ininžinerijos būdų yra paprasčiausiai apsimesti auka. Per vieną savo legendinių triukų „karjeros“ pradžioje Kevinas Mitnickas gavo prieigą prie kompiuterių ir programinės įrangos kompanijos „Digital Equipment Corporation“ tarnybinių stočių paprasčiausiai paskambinęs į kompaniją ir apsimetęs vienu pagrindinių jos programinės įrangos kūrėjų ir pareiškęs, kad negali prisijungti. Jam iš karto buvo suteikti nauji prisijungimo duomenys.

Žinoma, tai įvyko dar 1979 metais. Galima būtų manyti, kad iki dabar reikalai gerokai patobulėjo. Deja... 2016 metais vienas įsilaužėlis perėmė vienos JAV teisingumo departamento elektroninio pašto dėžutės kontrolę apsimetęs darbuotoju, kuris, esą, dirba pirmą savaitę ir nelabai žino, kaip čia viskas veikia.

3. Apsimeskite... vadovu. Daugelis žmonių jaučia įgimtą pagarbą autoritetui. Arba, kaip pasirodo, pagarbą žmonėms, kurie atrodo turintys autoritetą. Sukčius gali pasinaudoti žiniomis apie įvairius vidinius kompanijos procesus, kad įtikintų žmones, jog jis iš tiesų turi teisę būti tam tikroje vietoje ir matyti tam tikrus dalykus.

Pavyzdžiui, 2015 metais už finansus atsakingi „Ubiquiti Networks“ darbuotojai sukčiams pervedė milijonus dolerių iš kompanijos sąskaitų, klausydami kompanijos vadovais apsimetusių žmonių nurodymų, nes jų elektroniniai laiškai atėjo su labai panašiu URL.

Kitu atveju, tyrėjai, dirbę Jungtinės Karalystės bulvariniams laikraščiams, dešimtojo praėjusio amžiaus dešimtmečio pabaigoje ar šio amžiaus pirmojo dešimtmečio pradžioje dažnai rasdavo būdų, kaip prisijungti prie savo aukų balso pašto paprasčiausiai blefuodami ir apsimesdami telefonų kompanijos darbuotojais. Pavyzdžiui, vienas toks tyrėjas sugebėjo įtikinti „Vodafone“ nustatyti naują aktorės Siennos Miller balso pašto PIN kodą tiesiog paskambindamas ir pasakydamas, kad „čia skambina Johnas iš kreditų kontrolės skyriaus“.

Kartais mes paklustame kokios nors išorinės tarnybos autoritetui daug apie tai negalvodami. Puikus to pavyzdys yra 2016 metų atvejis, kai rusų programišiai sugebėjo įsilaužti į Hillary Clinton rinkimų kampanijos vadovo Johno Podestos elektroninio pašto dėžutę atsiųsdami jam neva laišką nuo „Google“, kuriame prašoma pasikeisti slaptažodį. Kai jis tai padarė, įsilaužėliai iš karto gavo prisijungimo informaciją.

Socialinės inžinerijos prevencija

Pagrindinis būdas apsisaugoti nuo socialinės inžinerijos yra žmonių švietimas ir mokymas. Darbuotojai turėtų niekada nepamiršti, kad toks dalykas egzistuoja, ir kokie dažniausiai naudojami metodai.

Tačiau tai turi suvokti ne tik eiliniai darbuotojai, bet ir aukštesnės grandies vadovai, kurie taip pat dažnai yra pagrindiniai taikiniai. Štai penki patarimai, kaip apsisaugoti nuo socialinės inžinerijos:

1. Mokyti, mokyti ir dar kartą mokyti

Svarbu sukurti išsamią informuotumo saugumo klausimais programą, kuri būtų reguliariai atnaujinama, tiek kalbant apie bendro pobūdžio mėginimus gauti informacijos, tiek ir apie atsirandančias vis naujas kibernetines grėsmes. Nepamirškite, kad šiuo atveju kalbame ne tiesiog apie paprasčiausią perspėjimą nespausti keistų nuorodų.

2. Svarbiausius darbuotojus apšvieskite apie naujausius internetinio sukčiavimo metodus

Taip, įtraukite ir vyresnio rango vadovus, tačiau nepamirškite visų darbuotojų, kurie turi įgaliojimų atlikti pinigų pervedimus.

Nepamirškite, kad labai dažnai į tokias situacijas patenka žemesnės grandies darbuotojai, kuriuos dažnai sukčiai apgauna apsimetę vadovais, liepiančiais skubiai ką nors padaryti, paprastai apeinant įprastas procedūras ir kontrolės mechanizmus.

3. Peržiūrėkite esamus procesus, procedūras ir pareigų atskyrimą kalbant apie lėšų pervedimus bei kitus svarbius veiksmus

Jeigu reikia, įveskite papildomų kontrolės priemonių. Nepamirškite, kad įvairias apsaugos priemones galima apeiti, todėl nuolat vertinkite rizikas ir iš naujo analizuokite grėsmes.

4. Apsvarstykite naują tvarką dėl „skubių“ pervedimų ar skubių vadovų prašymų

Vadovo vardu, tačiau iš „Gmail“ paskyros, gautas elektroninis laiškas turėtų sukelti darbuotojui klausimų. Darbuotojai turi suprasti naujausias metodus, kuriais naudojasi sukčiai. Būtina apibrėžti procedūras skubiems atvejams, kad visi jas gerai suprastų.

5. Peržiūrėkite, tobulinkite ir išbandykite savo incidentų valdymo tvarką bei pranešimo apie mėginimus gauti duomenų sistemas

Reguliariai renkite mokymus, kuriuose dalyvautų vadovybė ir svarbiausiai kompanijos žmonės. Testuokite kontrolės priemones bei apsaugokite potencialiai pažeidžiamas vietas.

Šiuo metu geriausia gynyba prieš socialinės inžinerijos atakas yra vartotojų švietimas ir keli technologinės apsaugos sluoksniai siekiant geriau fiksuoti ir reaguoti į tokias atakas. Vienas iš galimų būdų yra dažnai sukčių elektroniniuose laiškuose ar telefoniniuose pokalbiuose vartojamų žodžių fiksavimas siekiant užkirsti kelias potencialios atakoms. Visgi net ir tokios priemonės gali neapsaugoti nuo itin „kvalifikuotų“ socialinių inžinierių...


Delfi.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

Electronic component supply – „Eurodis Electronics“

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Full feature custom PCB prototype service

GENERAL FINANCING BANKAS

Mokslo festivalis „Erdvėlaivis Žemė

LTV.LT - lietuviškų tinklalapių vitrina

„Konstanta 42“

Technologijos.lt

Buitinė technika ir elektronika internetu žemos kainos – Zuza.lt

www.esaugumas.lt – apsaugok savo kompiuterį!

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

Draugiškas internetas


Reklama
‡ 1999–2024 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Script hook v, Openiv, Menyoo
gta5mod.net
FS25 Mods, FS25 Tractors, FS25 Maps
fs25mods.lt
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
Reklamos paslaugos
SEO sprendimai

www.addad.lt
Elektroninių parduotuvių optimizavimas „Google“ paieškos sistemai
www.seospiders.lt
FS22 mods, Farming simulator 22 mods,
FS22 maps

fs22.com
Reklama


Reklama