Į žmogiškąjį faktorių atsižvelgti reikėdavo visais laikais. Bejausmė skaitmeninė technika saugumą padidino, tačiau kartu atvėrė kelius žmogaus psichologijos vingrybėms ir silpnybėms krėsti vis didesnes šunybes.
Visuomenė, itin aktyviai migruodama į skaitmeninę erdvę, nešasi kartu ir konfidencialią informaciją, į kurią suleist dantis norėtų ne vien pasaulio tvarką (jų pačių tvirtinimu) saugančios slaptosios tarnybos (tiesą sakant, eiliniai džonai, marijos ir chuanai jiems rūpi mažiausiai), bet ir daug pragmatiškiau nusiteikę piktavaliai. Saugumo technikai tobulėjant, tapti išmanių piktavalių, kurie naudodami savo išskirtinę techninę kompetenciją geba įsilaužti į apsaugotas kompiuterines sistemas bei sukompromituoti slaptus duomenis, darosi vis sudėtingiau. Tai jau seniai nėra didžiausias saugos užtikrinimo ekspertų rūpestis.
Kaip rodo praktika, tokias kibernetines saugumo problemas dažniausiai galima gan neskausmingai eliminuoti, tiesiog pasitelkus naujas technologijas. Tačiau diegiami nauji saugos mechanizmai baugina tikrai ne visus piktavalius. Kartais kibernetinių nusikaltėlių techninės žinios niekaip nepadeda atrasti silpnų skaitmeninės infrastruktūros vietų. Tačiau tokios kliūtys piktavalių nesulaiko. Jeigu nepavyksta įveikti kompiuterinės sistemos saugumo mechanizmų, lieka viena saugumo atnaujinimais ir moderniausiomis ugniasienėmis neištaisoma silpna vieta, – žmogaus psichologija.
Žmogaus psichologija – socialinės inžinerijos sėkmės pagrindas
Pagal griežtus algoritmus veikiančios kompiuterinės sistemos nėra linkusios klysti ar apsigalvoti. Tuo tarpu žmogui įgimta pasitikėti kitais ir tai neretai priverčia suabejoti savo pasirinkimu. Per pastaruosius penkerius metus ši žmogiška silpnybė tapo masine saugos mechanizmų pažeidžiamumo problema, garantavusia socialinės inžinerijos sėkmę. Kitaip sakant, su žmonių bendravimu ir jų manipuliavimu siejama mokslo kryptis tapo bene pagrindine piktavalių prieigos prie slaptos informacijos priemone.
Vis dėlto socialinės inžinerijos veikimo motyvai ir pritaikymas nėra nauja sritis. Šį terminą dar 1990 metais populiarinti pradėjo vienas žinomiausių visų laikų programišių Kevinas Mitnickas.
Kintant darbo aplinkai ir galimybėms, socialinė inžinerija piktiems kėslams pritaikoma pačiose įvairiausiose situacijose. O liūdniausia, – universalaus problemos sprendimo būdo nėra ir greičiausiai nebus dar labai ilgai. Net ir patikimiausias įmonės darbuotojas pats to nesuprasdamas, vieną (ne tokią jau) gražią dieną, gali tapti didžiulio kibernetinio nusikaltimo bendrininku.
Tačiau sumažinti socialinės inžinerijos veikimo įtaką žmogaus psichologijai tikrai įmanoma. Kibernetiniai nusikaltėliai dažniausiai taiko saugumo ekspertams gerai žinomas socialinės inžinerijos atakas. Supratus jų veikimo ir įgyvendinimo principą, be jokios abejo, sumažėja ir rizika tapti šio nemalonaus incidento tarpininku.
Populiariausios socialinės inžinerijos atakos
Kaip galima numanyti, socialinės inžinerijos terminas dažniausiai siejamas su paties įvairiausio tipo kenkėjiška veikla. Kitaip tariant, kad ir į kokį materialų ar skaitmeninį turtą piktavalis taikosi, siekdamas jį užvaldyti, naudos žinomus manipuliacijos žmogaus psichologija būdus. Kibernetiniai nusikaltėliai šį metodą taiko vis dažniau, kadangi taip dažniausiai nelieka jokių apčiuopiamų veiklos įrodymų, kuriuos būtų galima panaudoti piktavalio išaiškinimui ar juo labiau, kaip įrodymą teisme, o svarbiausia, taip galima gauti prieigą ne tik prie prie pavienių paskyrų ar banko sąskaitų, bet net ir prie didelių organizacijų įslaptintų duomenų bazių ar pan.
Fišingas (angl. Phishing)
Tai – viena iš populiariausių ir socialinės inžinerijos atakų. Piktavaliams ji itin patraukli, nes gali būti pritaikyta ir platinama praktiškai bet kokiomis skaitmeninėmis priemonėmis: elektroniniais laiškais, pokalbių programomis, trumposiomis žinutėmis, įvairiausio plauko tinklalapiais, įmonių administruojamomis sistemomis ar netgi skaitmeninėmis anketomis. Trumpai tariant, vykdydami fišingo atakas piktavaliai siekia įtikinti potencialią auką pateikti konfidencialią skaitmeninę tokiuose šaltiniuose, kurie tik iš pirmo žvilgsnio atrodo patikimi ir gerai žinomi.
Fišingo atakos metu piktavalis, taikydamas psichologinius spaudimo metodus, stengiasi platinti grėsmingus, tačiau įtikinamus ir auką verčiančius skubėti tekstus. Taikant šio tipo socialinės inžinerijos ataką, labai dažnai į pagalbą pasitelkiamos sutrumpintos ir tikrąjį šaltinį maskuojančios internetinės nuorodos. Būtent jomis įbaugintas asmuo nukreipiamas į kenkėjiškus tinklalapius.
Fišingo atakos vis sudėtingėja. Pavyzdžiui, „Google Play Books“ elektroninėje parduotuvėje yra platinamos tik knygos, tačiau praktika įrodo, kad patikliems vartotojams paspaudus jose įterptas nuorodas, kartais galima tapti ir fišingo auka.
Masalas (angl. Baiting)
Taip, taip, perskaitėte teisingai. Slieku žmogaus gal ir nepriviliosi, bet paliktu ar „pamestu“ daiktu, nemokama programine įranga ar žaidimu sudominti tikrai galima. Nors anksčiau tokio tipo socialinės inžinerijos atakos naudotos tik nelegalią programinę įrangą platinančiose tinklalapiuose, dabar jos vis dažniau vyksta ir fiziškai apčiuopiamu, materialiu pavidalu.
Čia ir vėl meškos paslaugą daro žmogiškoji psichologija, itin linkusi priimti dovanas. Nors dabar Trojos arklio niekas dovanoti nesiruošia, tačiau ant stalo „visiškai atsitiktinai“ palikti kenkėjiška programa, trojanu, apkrėstą USB raktą piktavalis tikrai gali net ir šiandien. Na, o toliau piktavaliui tiesiog belieka laukti, kada žmogiškasis smalsumas paims viršų.
Šio socialinės inžinerijos modelio veiksmingumą įrodė ne tik graikų mitologija, bet ir dabartinė praktika. „Secure Network Technologies, Inc.“ viceprezidentas ir įkūrėjas Steve‘as Stasiukonis kartu su savo komanda dar 2006 metais atliko eksperimentą – suinteresuotos organizacijos stovėjimo aikštelės atsitiktinėse vietose primėtė kenkėjišku programiniu kodu apkrėstų USB raktų. Dauguma šių atmintinių, žinoma, surado įmonės darbuotojai. Galima net neabejoti, kad jų smalsumas nugalėjo, o Steve‘ui tiesiog beliko džiaugtis itin sėkmingais atliko tyrimo rezultatais.
Pasitikėjimas (angl. Tailgating).
Itin pavojinga, nors gal kiek sunkiau įgyvendinama socialinės inžinerijos ataka yra pagrįsta betarpišku žmonių tarpusavio pasitikėjimu. Ši ataka ypatinga tuo, kad jos vykdymui reikia piktavalio fizinio kontakto su tam tikrą informaciją žinančiu asmeniu. Iš pirmo žvilgsnio gali atrodyti, kad toks metodas labai rizikingas, nepatikimas ir su kibernetiniais nusikaltimais turintis maža ką bendro. Vis dėlto praktika rodo, kad net ir taikant tokias manipuliacijas, galutinis piktavalio tikslas – būtent konfidenciali organizacijos ar asmens informacija.
Norėdamas įvykdyti tokio tipo socialinės inžinerijos ataką, piktavalis tiesiog laukia tinkamo momento pasinaudoti aplinkinių patiklumu. Tipinis tokios atakos pavyzdys – praėjimo kontrolė. Piktavaliai jas dažniausiai sugeba įveikti, tiesiog pameluodami vietiniams darbuotojams, jog namuose pamiršo savąją praėjimo kontrolės kortelę. O patekus į pastatą, jau galima imtis ir kitos piktavališkos veiklos. Pavyzdžiui, paprašyti „kolegos“ kelioms minutėms paskolinti kompiuterį, kad jame būtų galima įrašyti kenkėjišką programą.
Savaime suprantama, didžioji dali skaitytojų šiuos pavyzdžius išvadins nesąmonėmis, tačiau patikėkite, tai tikrai vyksta. Lietuvoje vykstančiomis tokio tipo atakų pavyzdžiais gal pasidalintų komentatoriai, o vieno tokio JK įvykusio atsitikimo pavyzdys pateikiamas čia
Rekomendacijos kaip netapti socialinės inžinerijos auka
Aptarti socialinės inžinerijos atvejai ir realūs pavyzdžiai aiškiai rodo, kad grėsmė patirti psichologinį spaudimą egzistuoja praktiškai kiekvienoje gyvenimiškoje situacijoje. O naudojant pasyvų spaudimą, gali palūžti net ir stipriausi. Kaip minėta, žmonės tiesiog visada liks žmonėmis, todėl jų galimybė protauti, keisti savo nuomonę ir įsitikinimus sukuria socialinės inžinerijos funkcionavimo terpę.
Tačiau sutartinai laikydamiesi kelių itin paprastų taisyklių, tie patys žmonės gali sumažinti primityvių socialinės inžinerijos atvejų skaičių bent jau dvigubai. Pirmoji – suprantamiausia, aiškiausia, galiojanti be išimčių: nespausti pelės klavišo ant nuorodų, gautų iš nežinomų siuntėjų. Pirmosios taisyklės papildymas: aklai nespausti pelės klavišo ant nuorodų, gautų iš žinomų siuntėjų, nes elektroninio pašto, „Facebook“ ir kt. paskyros nėra tokios saugios, kaip gali pasirodyti.
Ir nespausti reikia net tuomet, jeigu laiške, knygoje ar tinklalapyje pateiktas turinys atrodo itin įtikinamas. Taip pat reikia suprasti, kad konfidencialios informacijos, tuo labiau slaptažodžio, tikrai nereikalauja nei viena organizacija – tai kiekvieno iš mūsų asmeninė nuosavybė.
Reikia labai dėmesingai elgtis su elektronine įranga – išmaniaisiais telefonais, nešiojamais ar planšetiniais kompiuteriais – viešumoje. Ir ne vien saugantis elementarių vagysčių. Praktika aiškiai rodo, kad saugumo pažeidžiamumo pavojai šiuo metu yra itin kompleksiški, o kai kalba pakrypsta apie elektroninius prietaisus, socialinės inžinerijos pritaikymo galimybės dar labiau išsiplečia. Būtent dėl tos priežasties saugumo ekspertai jau rekomenduoja pasirūpinti ne tik savo kompiuterio, bet ir išmaniojo telefonu automatinio užrakto funkcija.
Deramą dėmesį vertėtų skirti ir elektroninių prietaisų programinės įrangos atnaujinimams. Asmeniniuose prietaisuose įsidiegti antivirusinę programą ar kitus saugumą užtikrinančius mechanizmus taip pat tikrai vertėtų, kadangi tai gali padėti ne tik pastebėti, bet ir sustabdyti jau inicijuotą potencialią socialinės inžinerijos ataką žymiai operatyviau.
Galiausiai reikėtų nepamiršti ir to, kad darbo aplinkoje taisyklės kuriamos ne šiaip sau, o tam, kad jų būtų laikomasi. Į tai vertėtų žiūrėti itin atsakingai, kadangi savo privatumą gerbiančios kompanijos vis dažniau samdosi saugos ekspertus, kurie periodiškai atlieka įsilaužimo galimybių įvertinimą (angl. penetration test). Pastarasis įvertinimas padeda nustatyti saugos pažeidžiamumo aspektus, tačiau taip pat akylai nagrinėja ir socialinės inžinerijos problematiką. Nors šiuo įvertinimu siekiama sužinoti bendrovės silpnybes, kaip valdžia sureaguos į pavienius socialinės inžinerijos pagrindu darbuotojų įvykdytus nusižengimus – labai individualus ir diskutuotinas klausimas.
Tiksliai apibrėžti socialinės inžinerijos darbo motyvus ne taip jau paprasta. Jie gali būti labai dinamiški ir priklauso ne tik nuo piktavalio, bet ir nuo potencialios aukos psichologinio pasiruošimo. Liaudies išmintis byloja: „devynis kartus matuok, dešimtą kirpk“ – būtent taip rekomenduojame ir elgtis, su socialinės inžinerijos pavojumi susidūrus akis į akį.