Jau iepriekš rakstā
„Datu drošība uzņēmumā” apskatījām, kas īsti ir sociālā inženierija. Pēc definīcijas sociālā inženierija ir manipulēšana ar cilvēku, ar mērķi panākt sev vēlamo rezultātu. Uzbrucēja mērķis ir panākt, lai upuris veic kādas darbības, lai varētu, piemēram, piekļūt cilvēka datoram, iegūt cilvēka zināšanas, panākt, lai cilvēks izpauž savus bankas datus, utt. Lai kāds būtu mērķis, uzbrucējs vēlas iegūt sev vērtīgu informāciju. Turklāt nekad nevar zināt, kādā veidā sociālās inženierijas uzbrukums izpaudīsies. Tā var būt gluži vienkārši saruna, nejauši atstāts USB zibatmiņas disks, pikšķerēšanas vēstule, vai kas cits.
Tādēļ šajā rakstā vairāk apskatīsim tieši iespējamos piemērus, kā var tikt realizēti sociālās inženierijas uzbrukumi. Tāpat arī noskaidrosim, kādēļ šis uzbrukuma veids ir ļoti efektīvs.
Kāpēc tieši sociālā inženierija?
Kādēļ būtu jāmēģina ielauzties mājā un riskēt ar noķeršanu, ja ir iespējams panākt, ka mājas īpašnieks pats atver durvis un aicina Jūs iekšā? Šis jautājums arī paskaidro to, kādēļ uzbrucēji bieži izvēlas tieši sociālās inženierijas taktiku. Tas ir relatīvi lēts uzbrukuma veids, kas balstās uz cilvēka lēmumu pieņemšanas paradumiem. Vienīgais, kas ir nepieciešams, ir izpratne par cilvēka dabu, neliela izdoma un sagatavots plāns.
Veiksmīgi sociālās inženierijas uzbrukumi parasti ir balstīti uz vispārzināmiem faktiem par cilvēka dabu. Cilvēki pēc dabas ir ziņkārīgi, mēdz pārsteigties ar savu rīcību, ja jūtas apdraudēti vai azartiski, grib būt izpalīdzīgi pret cilvēkiem, kas šķiet simpātiski utt. Šie visi cilvēciskie aspekti tiek veiksmīgi izmantoti sociālās inženierijas uzbrukumos.
Kāpēc sociālā inženierija ir efektīva?
Jebkuram šķitīs aizdomīgi, ja uz e-pastu atnāks vēstule, kas aicinās pieslēgties mājas lapai, kuru nekad neesat apmeklējis. Vai arī, ja pienāks klāt kāds nezināms cilvēks un sāks iztaujāt par darba vietu. Cilvēki pēc dabas mēdz būt aizdomīgi, tādēļ sociālie inženieri pirms uzbrukuma veikšanas parasti veic izpēti. Jo vispusīgāka informācija ir sociālā inženiera rokās, jo precīzāk uzbrucējs var pielāgot uzbrukumu un lielāka iespēja, ka uzbrukums būs veiksmīgs.
Tādēļ no sākuma uzbrucējs izpēta savus potenciālos mērķus. Turklāt informācija tiek vākta ne tikai par lietām, saistītām, piemēram, ar darbu. Ja uzbrukums tiek plānots rūpīgi, informācija tiek vākta arī par pašu mērķi – par viņa ieradumiem, to, kas viņam patīk, nepatīk, interesē utt. Pēc informācijas ievākšanas tiek izstrādāts uzbrukuma plāns – vai tā būs saruna, vai vēstule, vai kas cits. Plāns parasti tiek veidots, balstoties uz dažādām, cilvēkiem raksturīgām īpašībām.
Dažas no tām varētu būt šādas:
- Lielākā daļa darbinieku cenšas būt pieklājīgi un izpalīdzīgi – it īpaši pret svešiniekiem
- Jebkurš vēlas citiem šķist inteliģents un labi informēts par apkārt notiekošo
- Ja cilvēks tiek uzslavēts, viņš bieži vien cenšas būt laipnāks un atvērtāks, tādējādi bieži izpaužot vairāk informācijas
- Ieraugot kaut ko, kas varētu attiekties uz viņu, cilvēks kļūst ziņkārīgs
- Ieejot azartā, cilvēks retāk atvēl laiku situācijas izanalizēšanai
Tālāk apskatīsim dažādus iespējamos uzbrukuma piemērus. Iepazīstoties ar tiem, iespējams labāk izprast, kādi riski var pastāvēt pat ikdienišķās situācijās, un censties saglabāt piesardzību, it īpaši, kamēr atrodaties darbā, jo neuzmanīgi rīkojoties, varat radīt zaudējumus arī savai darba vietai.
Piemēri no dzīves
Ir jau daudz runāts par pikšķerēšanas uzbrukumiem, kas visbiežāk sūtīti bankas vai citas finanšu institūcijas vārdā (vairāk rakstā
„Kā atpazīt pikšķerēšanu”). Šāda veida uzbrukumi ir viegli atpazīstami - finanšu iestādes nekad neprasa no klienta paroles un PIN kodus vai jebkādu citu sensitīvu informāciju. Tomēr var būt arī citādi pikšķerēšanas uzbrukumi, kuri var nodarīt lielus zaudējumus. Apskatīsim piemēru.
Andris ir liels basketbola līdzjutējs un pats arī nodarbojas ar šo sportu. Tādēļ viņš bieži apmeklē mājas lapu, kurā var iegādāties dažādas lietas saistītas ar basketbolu, kā arī piedalīties likmju likšanā par spēlēm utt. Kādu dienu Andris e-pastā saņem vēstuli no šīs lapa. Tajā rakstīts, ka mājas lapā izveidota jauna sadaļa, kurā var iegādāties basketbolistu parakstītas lietas. Pirmie 100 lietotāji, kas pieslēgsies mājas lapai, saņems 75% atlaidi vienam pirkumam.
Šāds sociālās inženierijas uzbrukums var kļūt ļoti veiksmīgs. Pirmkārt, šī mājas lapa patiesi varētu ik pa laikam sūtīt vēstules ar jaunumiem uz e-pastu. Otrkārt, daudzi lapas lietotāji varētu būt ieinteresēti jaunumu apskatē un pirkšanā. Tā kā vēstulē ir minēts, ka pirmie 100 dabūs atlaidi, ir skaidrs, ka ir jāpasteidzas. Šāda veida azarts var viegli aizēnot spēju apdomāties, pirms spiest uz e-pastā norādītās hipersaites. Protams, nospiežot uz tās, Andris nokļūs viltus lapā, kura izskatās tāpat kā oriģinālā, un tur ievadītie privātie dati tiek nozagti.
Iespējamie uzbrukumi darba vietā
Nelielā uzņēmumā notiek darba intervija. Biroja priekštelpā sēž sekretāre un piereģistrē atnākušos potenciālos darbiniekus. Pēkšņi pie sekretāres pienāk vīrietis, kurš satraukti sāk stāstīt, ka tūlīt būs viņa intervijas laiks, bet diemžēl ir notikusi nelaime. Pirms neilga brīža, vedot mazo meitiņu uz skolu, viņa nejauši izgāzusi tēva kafiju pāri dokumentiem. Vīrietis parāda sekretārei ar kafiju aplietu papīru kaudzīti. Tā kā laika aizbraukt izdrukāt jaunus dokumentus vairs nav, vīrietis lūdz sekretārei izdrukāt dokumentus no jauna. Tie visi viņam esot līdzi USB zibatmiņas diskā.
Šī ir situācija, kuru nav grūti iedomāties. Ja vīrietis labi izspēlē šādu situāciju un izskatās uzticams, visdrīzāk sekretāre arī piekritīs palīdzēt. Atverot USB disku, sekretāre tur ieraudzīs Word dokumentu, ar nosaukumu „Dokumenti”. Tie tiks izdrukāti, vīrietis pēc brīža dosies uz interviju un šī situācija tiks aizmirsta. Tomēr patiesībā vīrieša USB zibatmiņas disks būs inficējis sekretāres datoru un vīrietis ir spēris pirmo soli lai gūtu piekļuvi datorā esošajiem datiem.
Analizējot šo uzbrukumu, var secināt, ka tas ir ļoti veiksmīgi paveikts. Vīrietis izspēlē situāciju, kura šķiet ticama, kā arī līdzjūtību izraisoša. Ticamības dēļ viņam ir arī līdzi aplieti dokumenti, tāpat arī viņš ir pieteicies uz interviju. Nekas neizraisa aizdomas, bet uzbrucēja mērķis piekļūt uzņēmuma datiem, ir izpildīts. Protams, pieslēgt datoram nezināmus USB zibatmiņas diskus vienmēr ir bīstami un to nevajadzētu darīt.
Sociālās inženierijas uzbrukumu mērķi bieži mēdz būt uzņēmumi. Tādēļ ir svarīgi, ka visi darbinieki apzinās par iespējamiem draudiem. Apskatīsim vēl pāris piemērus, kā varētu norisināties uzbrukums darbiniekiem.
Ir parasta darba diena, Jūs atverat e-pastu un ieraugāt nesen pienākušu vēstuli. Atverat to, apskatāt, ka pārējie saņēmēji ir citi Jūsu kolēģi. Vēstuli rakstījusi Jūsu vadītājs un tai ir pielikumā pievienots dokuments algu_saraksts.doc.exe.
Liela daļa darbinieku, īpaši neiedziļinoties, atvērs šo pielikumu, nemaz neievērojot, ka tas patiesībā ir .exe fails. Pielikumā esošs .exe fails gandrīz vienmēr nozīmē vīrusu un to nekādā gadījumā nedrīkst vērt vaļā (ja vien neesat 100% drošs, kas un kādēļ Jums to ir sūtījis).
Pēc darba konferences ir pasākums, kur konferences dalībnieki var viens ar otru iepazīties nedaudz neformālākā gaisotnē. Atmosfēra ir atbrīvota. Tu iesaisties sarunā ar cilvēku no Tev zināmas kompānijas un drīz vien jau Jūs apspriežat dažādus nesvarīgus sīkumus, arī par darbu.
Šādas sarunas var likties nekaitīgas, tomēr vienmēr vajag piedomāt par to, cik daudz Jūs stāstāt citiem par savu darbu. Pat ja jautājumi par jaunākajiem projektiem vai citiem plāniem attiecīgajā sarunā šķiet kā vienkārši dabiska interese, vajadzētu tomēr atcerēties ieturēt distanci. Labāk ar svešiniekiem par darbu vispār izvairīties runāt, jo nekad nevar zināt, vai viņš patiesībā necenšas izspiegot kaut ko par Jūsu darba devēju.
Secinājumi
Sociālā inženierija var būt bīstama un ļoti efektīva, galvenokārt tādēļ, ka šāds uzbrukums ir iespējams uzbrukuma mērķim to pat neievērojot. Protams, sociālās inženierijas esamība nenozīmē, ka vairs nedrīkst sarunāties ar nepazīstamiem cilvēkiem. Tomēr ir vērts divreiz padomāt, cik daudz informācijas par sevi vai darba vietu izpaužat svešiniekiem. Pārlieka nepiesardzība var radīt lielus finansiālus zaudējumus ne tikai Jums, bet arī Jūsu darba devējam.
Kāpēc tieši sociālā inženierija?
Kādēļ būtu jāmēģina ielauzties mājā un riskēt ar noķeršanu, ja ir iespējams panākt, ka mājas īpašnieks pats atver durvis un aicina Jūs iekšā? Šis jautājums arī paskaidro to, kādēļ uzbrucēji bieži izvēlas tieši sociālās inženierijas taktiku. Tas ir relatīvi lēts uzbrukuma veids, kas balstās uz cilvēka lēmumu pieņemšanas paradumiem. Vienīgais, kas ir nepieciešams, ir izpratne par cilvēka dabu, neliela izdoma un sagatavots plāns. Veiksmīgi sociālās inženierijas uzbrukumi parasti ir balstīti uz vispārzināmiem faktiem par cilvēka dabu. Cilvēki pēc dabas ir ziņkārīgi, mēdz pārsteigties ar savu rīcību, ja jūtas apdraudēti vai azartiski, grib būt izpalīdzīgi pret cilvēkiem, kas šķiet simpātiski utt. Šie visi cilvēciskie aspekti tiek veiksmīgi izmantoti sociālās inženierijas uzbrukumos.Kāpēc sociālā inženierija ir efektīva?
Jebkuram šķitīs aizdomīgi, ja uz e-pastu atnāks vēstule, kas aicinās pieslēgties mājas lapai, kuru nekad neesat apmeklējis. Vai arī, ja pienāks klāt kāds nezināms cilvēks un sāks iztaujāt par darba vietu. Cilvēki pēc dabas mēdz būt aizdomīgi, tādēļ sociālie inženieri pirms uzbrukuma veikšanas parasti veic izpēti. Jo vispusīgāka informācija ir sociālā inženiera rokās, jo precīzāk uzbrucējs var pielāgot uzbrukumu un lielāka iespēja, ka uzbrukums būs veiksmīgs. Tādēļ no sākuma uzbrucējs izpēta savus potenciālos mērķus. Turklāt informācija tiek vākta ne tikai par lietām, saistītām, piemēram, ar darbu. Ja uzbrukums tiek plānots rūpīgi, informācija tiek vākta arī par pašu mērķi – par viņa ieradumiem, to, kas viņam patīk, nepatīk, interesē utt. Pēc informācijas ievākšanas tiek izstrādāts uzbrukuma plāns – vai tā būs saruna, vai vēstule, vai kas cits. Plāns parasti tiek veidots, balstoties uz dažādām, cilvēkiem raksturīgām īpašībām. Dažas no tām varētu būt šādas:- Lielākā daļa darbinieku cenšas būt pieklājīgi un izpalīdzīgi – it īpaši pret svešiniekiem
- Jebkurš vēlas citiem šķist inteliģents un labi informēts par apkārt notiekošo
- Ja cilvēks tiek uzslavēts, viņš bieži vien cenšas būt laipnāks un atvērtāks, tādējādi bieži izpaužot vairāk informācijas
- Ieraugot kaut ko, kas varētu attiekties uz viņu, cilvēks kļūst ziņkārīgs
- Ieejot azartā, cilvēks retāk atvēl laiku situācijas izanalizēšanai
Tālāk apskatīsim dažādus iespējamos uzbrukuma piemērus. Iepazīstoties ar tiem, iespējams labāk izprast, kādi riski var pastāvēt pat ikdienišķās situācijās, un censties saglabāt piesardzību, it īpaši, kamēr atrodaties darbā, jo neuzmanīgi rīkojoties, varat radīt zaudējumus arī savai darba vietai. Piemēri no dzīves Ir jau daudz runāts par pikšķerēšanas uzbrukumiem, kas visbiežāk sūtīti bankas vai citas finanšu institūcijas vārdā (vairāk rakstā „Kā atpazīt pikšķerēšanu”). Šāda veida uzbrukumi ir viegli atpazīstami - finanšu iestādes nekad neprasa no klienta paroles un PIN kodus vai jebkādu citu sensitīvu informāciju. Tomēr var būt arī citādi pikšķerēšanas uzbrukumi, kuri var nodarīt lielus zaudējumus. Apskatīsim piemēru. Andris ir liels basketbola līdzjutējs un pats arī nodarbojas ar šo sportu. Tādēļ viņš bieži apmeklē mājas lapu, kurā var iegādāties dažādas lietas saistītas ar basketbolu, kā arī piedalīties likmju likšanā par spēlēm utt. Kādu dienu Andris e-pastā saņem vēstuli no šīs lapa. Tajā rakstīts, ka mājas lapā izveidota jauna sadaļa, kurā var iegādāties basketbolistu parakstītas lietas. Pirmie 100 lietotāji, kas pieslēgsies mājas lapai, saņems 75% atlaidi vienam pirkumam. Šāds sociālās inženierijas uzbrukums var kļūt ļoti veiksmīgs. Pirmkārt, šī mājas lapa patiesi varētu ik pa laikam sūtīt vēstules ar jaunumiem uz e-pastu. Otrkārt, daudzi lapas lietotāji varētu būt ieinteresēti jaunumu apskatē un pirkšanā. Tā kā vēstulē ir minēts, ka pirmie 100 dabūs atlaidi, ir skaidrs, ka ir jāpasteidzas. Šāda veida azarts var viegli aizēnot spēju apdomāties, pirms spiest uz e-pastā norādītās hipersaites. Protams, nospiežot uz tās, Andris nokļūs viltus lapā, kura izskatās tāpat kā oriģinālā, un tur ievadītie privātie dati tiek nozagti.Iespējamie uzbrukumi darba vietā
Nelielā uzņēmumā notiek darba intervija. Biroja priekštelpā sēž sekretāre un piereģistrē atnākušos potenciālos darbiniekus. Pēkšņi pie sekretāres pienāk vīrietis, kurš satraukti sāk stāstīt, ka tūlīt būs viņa intervijas laiks, bet diemžēl ir notikusi nelaime. Pirms neilga brīža, vedot mazo meitiņu uz skolu, viņa nejauši izgāzusi tēva kafiju pāri dokumentiem. Vīrietis parāda sekretārei ar kafiju aplietu papīru kaudzīti. Tā kā laika aizbraukt izdrukāt jaunus dokumentus vairs nav, vīrietis lūdz sekretārei izdrukāt dokumentus no jauna. Tie visi viņam esot līdzi USB zibatmiņas diskā. Šī ir situācija, kuru nav grūti iedomāties. Ja vīrietis labi izspēlē šādu situāciju un izskatās uzticams, visdrīzāk sekretāre arī piekritīs palīdzēt. Atverot USB disku, sekretāre tur ieraudzīs Word dokumentu, ar nosaukumu „Dokumenti”. Tie tiks izdrukāti, vīrietis pēc brīža dosies uz interviju un šī situācija tiks aizmirsta. Tomēr patiesībā vīrieša USB zibatmiņas disks būs inficējis sekretāres datoru un vīrietis ir spēris pirmo soli lai gūtu piekļuvi datorā esošajiem datiem. Analizējot šo uzbrukumu, var secināt, ka tas ir ļoti veiksmīgi paveikts. Vīrietis izspēlē situāciju, kura šķiet ticama, kā arī līdzjūtību izraisoša. Ticamības dēļ viņam ir arī līdzi aplieti dokumenti, tāpat arī viņš ir pieteicies uz interviju. Nekas neizraisa aizdomas, bet uzbrucēja mērķis piekļūt uzņēmuma datiem, ir izpildīts. Protams, pieslēgt datoram nezināmus USB zibatmiņas diskus vienmēr ir bīstami un to nevajadzētu darīt. Sociālās inženierijas uzbrukumu mērķi bieži mēdz būt uzņēmumi. Tādēļ ir svarīgi, ka visi darbinieki apzinās par iespējamiem draudiem. Apskatīsim vēl pāris piemērus, kā varētu norisināties uzbrukums darbiniekiem. Ir parasta darba diena, Jūs atverat e-pastu un ieraugāt nesen pienākušu vēstuli. Atverat to, apskatāt, ka pārējie saņēmēji ir citi Jūsu kolēģi. Vēstuli rakstījusi Jūsu vadītājs un tai ir pielikumā pievienots dokuments algu_saraksts.doc.exe. Liela daļa darbinieku, īpaši neiedziļinoties, atvērs šo pielikumu, nemaz neievērojot, ka tas patiesībā ir .exe fails. Pielikumā esošs .exe fails gandrīz vienmēr nozīmē vīrusu un to nekādā gadījumā nedrīkst vērt vaļā (ja vien neesat 100% drošs, kas un kādēļ Jums to ir sūtījis). Pēc darba konferences ir pasākums, kur konferences dalībnieki var viens ar otru iepazīties nedaudz neformālākā gaisotnē. Atmosfēra ir atbrīvota. Tu iesaisties sarunā ar cilvēku no Tev zināmas kompānijas un drīz vien jau Jūs apspriežat dažādus nesvarīgus sīkumus, arī par darbu. Šādas sarunas var likties nekaitīgas, tomēr vienmēr vajag piedomāt par to, cik daudz Jūs stāstāt citiem par savu darbu. Pat ja jautājumi par jaunākajiem projektiem vai citiem plāniem attiecīgajā sarunā šķiet kā vienkārši dabiska interese, vajadzētu tomēr atcerēties ieturēt distanci. Labāk ar svešiniekiem par darbu vispār izvairīties runāt, jo nekad nevar zināt, vai viņš patiesībā necenšas izspiegot kaut ko par Jūsu darba devēju.Secinājumi
Sociālā inženierija var būt bīstama un ļoti efektīva, galvenokārt tādēļ, ka šāds uzbrukums ir iespējams uzbrukuma mērķim to pat neievērojot. Protams, sociālās inženierijas esamība nenozīmē, ka vairs nedrīkst sarunāties ar nepazīstamiem cilvēkiem. Tomēr ir vērts divreiz padomāt, cik daudz informācijas par sevi vai darba vietu izpaužat svešiniekiem. Pārlieka nepiesardzība var radīt lielus finansiālus zaudējumus ne tikai Jums, bet arī Jūsu darba devējam.