Socialinė inžinerija

Kas tai?

Gyvename laikotarpyje kai vienos iš efektyviausių kibernetinių atakų nėra nukreipiamos į aparatinę ar programinę įrangą, jos nukreiptos į žmones. Tai yra todėl, kad žmonės dažniau klysta ir jais yra lengviau manipuliuoti nei programine įranga. Ši manipuliacija vadinama socialine inžinerija. Socialinė inžinerija tai manipuliavimo forma, kurios pagalba žmonės siekiantys asmeninės naudos apsimeta patikimais asmenimis / šaltiniais, siekdami įtikinti žmogų atlikti tam tikrus veiksmus, pavyzdžiui: suteikti prieigą prisijungti prie kompiuterio ar paskyros, atskleisti konfidencialią informaciją tokią kaip slaptažodžiai ar tam tikrą informaciją apie įmonę [1].

6 pagrindiniai įtakos principai

Psichologijos ir rinkodaros profesorius Robert Cialdini išskiria 6 pagrindinius įtakos principus, kuriais remiasi socialinė inžinerija [2]:

1. Abipusiškumas – lūkestis, kad kiti elgsis su Jumis taip, kaip Jūs elgiatės su kitais. Šis lūkestis nebūtinai turi būti išreikštas fizine forma, tai gali būti šypsena, komplimentas, gražus gestas ar tam tikra informacija. Svarbu, kad bet kuris iš šių dalykų yra reikšmingas šį reiškinį gaunančiai pusei. Kaip pavyzdys galėtų būti naudojama apgaulė, kurioje siūloma susigrąžinti pinigus už prastą aptarnavimą ar paslaugos suteikimą. Triukas yra toks, kad socialinis inžinierius pasiūlęs Jums naudingą paslaugą tuo pačiu paprašys Jūsų banko sąskaitos duomenų, kad galėtų į ją pervesti pinigus. Iš viso to socialinis inžinierius gauna dar išsamesnę informaciją apie asmenį kaip apie taikinį.
2. Įsipareigojimas ir nuoseklumas – žmonės turi įgimtą norą savo elgesiu atrodyti patikimi ir nuoseklūs, ir taip pat vertina šį bruožą kituose žmonėse. Jei žmogus žodžiu ar raštu įsipareigoja įgyvendinti idėją ar pasiekti tikslą, jis bus labiau linkęs gerbti ir įvykdyti įsipareigojimą, kadangi asmuo taip parodo, kad šis tikslas ar idėja atitinka jų požiūrį. Socialinis inžinierius tikėdamasis panaudoti įsipareigojimo ir nuoseklumo socialinę inžineriją, paprastai bando priversti taikinį atskleisti nedidelę informacijos dalį, kad pasiektų savo numatytą tikslą. Mažais žingsniais įtraukdamas taikinį į temą, sužinodamas informaciją po truputį socialinis inžinierius gali priversti taikinį atskleisti dar daugiau informacijos. Socialinėje inžinerijoje net maži, iš pažiūros nereikšmingi įsipareigojimai gali būti išnaudoti paprasčiausiame pokalbyje. Pavyzdžiui: „Sveiki, kaip Jums šiandien sekasi?“ Asmuo atsako: „Man sekasi puikiai ...“ Toliau seka siekis asmenį įpareigoti: ... „Smagu girdėti! Kai kuriems žmonėms sekasi ne taip puikiai, ir jiems tikrai praverstu Jūsų pagalba, ar galėtumėte atsakyti į keletą klausimų?...“. Ties šiuo momentu asmuo morališkai įsipareigoja padėti nieko nenutuokdami apie galimą apgaulę.
3. Socialinė įtaka – socialinė įtaka yra psichologinis reiškinys, atsirandantis socialinėse situacijose, kai žmonės nežino ar nesugeba sugalvoti tinkamo elgesio būdo tam tikrose situacijose. Nesunku pradėti galvoti, kad tam tikras elgesys yra tinkamas jei matote, kad kiti elgiasi ar kalba tam tikru būdu. Tai yra įprastas reiškinys, kai žmonės patenka į nepažįstamas situacijas ir neturi orientyrų kaip elgtis tam tikroje situacijoje, todėl stengiasi kopijuoti kitus žmones, kurie jų manymu atrodo žinantys kaip reikia elgtis. Socialinėje inžinerijoje socialinė įtaka gali būti išnaudota po truputi įtaigiai pateikiant asmenims tam tikrą informacijos tipą, kas pagal visuomenės normas yra „teisinga ir tinkama“, taip po truputi taikinys tampa įtikintas, kad šis požiūris išties yra teisingas. Pats paprasčiausias pavyzdys kuris yra dažnai girdimas, tai pardavėjų posakis, kad „tai yra pati populiariausia / perkamiausia / geriausia“ prekė / paslauga. Taip asmenims sudaroma įtaka tikėti, kad iš tiesų ta prekė / paslauga yra verta dėmesio.
4. Autoritetas – tai žmonių polinkis vadovautis tam tikroje srityje turinčių žmonių autoritetinga nuomone, net jei ši nuomonė yra klaidinga ar verčia elgtis iš principo netinkamai. Socialinėje inžinerijoje žmonės turintys stiprų autoriteto faktorių gali nesunkiai įtikinti masę žmonių atlikti tam tikrus socialiniam inžinieriui naudingus veiksmus.
5. Pamėgimas – žmonės yra labiau linkę būti paveikti dalykų ar žmonių, kurie jiems patinka. Kadangi simpatija daro esminį poveikį tarpasmeniniams santykiams, socialiniai inžinieriai dažnai naudoja simpatiją kaip galingą priemonę manipuliacijai.
6. Trūkumas – tai įsitikinimas, kad kažko trūksta arba beveik nėra, todėl tam dalykui sukuriamas vertės jausmas. Trūkumas dažnai naudojamas socialinėje inžinerijoje, kuriant skubos jausmą priimti sprendimus. Dėl šios skubos, dažnai gali būti manipuliuojama sprendimo priėmimo procesu, leidžiant socialiniam inžinieriui kontroliuoti taikiniui pateiktą informaciją.

Socialinės inžinerijos gyvavimo ciklas

Atsižvelgiant į aukščiau pateiktus socialinės įtakos principus asmenims, toliau galima apžvelgti patį socialinės inžinerijos procesą. Pačiame atakos procese galima pastebėti veiksmų seką, kurioje viskas vyksta paeiliui. Veiksmų seka socialinėje inžinerijoje prasideda informacijos rinkimo žingsniu, kuris reikalauja daug kantrybės įdėmiai stebint būsimo taikinio įpročius. Informacijos rinkimo žingsnyje yra surenkami duomenys apie taikinio interesus, pomėgius, asmenines savybes ir kita aktuali asmeninė informacija. Kuo daugiau informacijos apie taikinį yra surenkama, tuo ataka galimai bus sėkmingesnė. Toliau, surinkus reikiamą informacijos kiekį pereinama prie antrojo žingsnio, kai socialinis inžinierius pradeda pokalbį su pasirinktu taikiniu, būsimam taikiniui net neįtariant galimų socialinio inžinieriaus tikslų. Po ilgo įsitraukimo į informacijos rinkimą apie taikinį, pabendravus su juo ir išgavus reikiamą informaciją pradedamas puolimo veiksmas. Šio veiksmo metu socialinis inžinierius išgauna iš taikinio norimus rezultatus. Kai socialinio inžinieriaus motyvas yra įgyvendinamas, prieinama prie paskutinio veiksmo – bendravimo užbaigimas. Tai yra paskutinis veiksmas apimantis po truputi silpnėjantį socialinio inžinieriaus ryšį su taikiniu iki visiško dingimo iš taikinio „horizonto“, nesukeliant jam jokių įtarimų. Tokiu būdu motyvas išpildomas, o taikinys retai sužino, kad išpuolis buvo įvykęs [3].

Įžymūs socialinės inžinerijos pavyzdžiai

Metodai

Visi socialinės inžinerijos metodai yra pagrįsti specifiniais žmogaus sprendimų priėmimo būdais. Būdai, kartais vadinami – žmogaus aparatinės įrangos klaidomis, yra naudojami įvairiais deriniais, siekiant sukurti sėkmingus išpuolių metodus. Vieni pagrindinių metodų yra [4][6]:

• Žvejojimo (angl. Phishing) metodas, šio tipo išpuoliai yra labiausiai paplitę. Socialiniai inžinieriai naudoja el. laiškus, socialinius tinklus, SMS pranešimus, kad apgautų taikinius nukreipdami juos į kenksmingus interneto svetainių adresus, siekdami pakenkti taikinių naudojamoms sistemoms. Žvejojant žinutės sudaromos taip, kad patrauktų asmens dėmesį, daugeliu atvejų skatina jo smalsumą, pateikiant aktualią informaciją konkrečia tema ir pasiūlius taikiniams apsilankyti konkrečioje svetainėje. Taip pat gali būti naudojami netikri skambučiai arba apsimestinės žinutės. Tai skirta rinkti informaciją apie asmenį, pasitelkiant skubos pojūtį ir bandant įtikinti auką atskleisti privačius duomenis. To pasėkmėje tariamai būtų išspręsta X situacija, kuri galėtų pablogėti be taikinio bendradarbiavimo. Dar vienas dažnas atvejis, kai socialiniai inžinieriai naudojasi įterptinėmis nuorodomis, kad nukreiptų aukas į kenkėjiškus domenus, kuriuose yra kenksmingi sistemoms programiniai kodai.
• Pažeidžiamumo įdiegimo (angl. Watering hole) metodas yra kenksmingo kodo įdiegimas į svetaines, kuriuose įpratę lankytis pasirinkti taikiniai. Kenksmingo kodo įdiegimo metodas nėra naujas, jį dažniausiai naudoja kibernetiniai nusikaltėliai ir socialiniai inžinieriai. Socialiniai inžinieriai išnaudoja tam tikro sektoriaus svetaines, kuriose dažnai lankosi tam tikri taikiniai. Kai taikinys apsilanko užkrėstos svetainės puslapyje, į taikinio kompiuterį yra įdiegiamas trojos arklys.
• Banginių medžioklė (angl. Whaling attack) tai dar vienas socialinės inžinerijos metodas, kuriam naudojami kūrybiški sudėtiniai socialinės inžinerijos metodai, siekiant pavogti asmenų konfidencialią informaciją: asmens duomenis, prieigą prie ribotų paslaugų / išteklių ar kitą informaciją, turinčią reikšmingos vertės iš ekonominės ir komercinės perspektyvos. Šią sukčiavimo kategoriją iš kitų išskiria taikiniai: atitinkamai tai yra privačių verslų savininkai ir vyriausybinės agentūros. Naudojama sąvoka banginių medžioklė apibūdina, kad taikiniai visuomet yra „didelės žuvys“.
• Preteksto (angl. Pretexting) metodu socialiniai inžinieriai sukuria ir išvysto suklastotą tapatybę ir naudoja ją informacijos gavimu. Pasitelkę šią specifinę socialinės inžinerijos techniką, socialinis inžinierius dažniausiai naudojasi keliomis tapatybėmis, sukurtomis pagal surinktą iš taikinio informaciją. Preteksto išpuolio sėkmę lemia socialinio inžinieriaus sugebėjimus ištobulinti netikrą tapatybę taip, kad ji sukurtu pasitikėjimą. Pasitelkiant netikras tapatybes siekiama, kad taikiniai atliktų veiksmus, leidžiančius socialiniam inžinieriui atrasti ir pasinaudoti organizacijos informacija, kuri neturėtu būti prieinama plačiajai visuomenei. Pavyzdžiui, socialinis inžinierius gali apsimesti IT paslaugų tiekėju teikiančiu paslaugas X organizacijai, kad paprašytų šios organizacijos personalo prisijungimų prie kompiuterio ar serverio su pretekstu atlikti kokį nors veiksmą susijusį su IT paslaugų sritimi, taip jis galėtų išgauti prisijungimus prie organizacijos sistemų.
• Masalas (angl. Baiting) yra dar vienas socialinės inžinerijos metodas, išnaudojantis žmogaus smalsumą. Masalo metodas pagrindinė savybė yra žadamas gėris, kurį socialiniai inžinieriai naudoja apgaudinėdami taikinius. Klasikinis pavyzdys yra išpuolio scenarijus, kai socialinis inžinierius naudoja kenkėjišką failą, paslėptą kaip programinės įrangos atnaujinimą arba kaip bendrą programinę įrangą. Socialinis inžinierius taip pat gali kaip masalą panaudoti užkrėstas USB atmintines ir jas išplatinti pvz. organizacijos automobilių stovėjimo aikštelėje, tuomet laukti, kol darbuotojai susigundys paimti USB atmintinę ir šią atmintinę įdės į įmonės kompiuterį. Tuomet, kenkėjiška programa įdiegta USB atmintinėje įrašys į kompiuterį virusą ir perleis kompiuterio kontrolę socialiniam inžinieriui.
• Pasitikėjimo (angl. Tailgating) metodas apima socialinio inžinieriaus fizinį siekį patekti į tam tikrą teritoriją kuri nėra tinkamai apsaugota. Šioje atakoje socialinis inžinierius gali tiesiog sekti į uždarą teritoriją einantį asmenį ir kaip pvz. apsimesti, kad jie eina kartu, taip pat galimi ir apsimetimo kurjeriais, vairuotojais ar kitais darbuotojais scenarijai. Socialiniai inžinieriai visuomet stengiasi išlaukti tinkamo momento, kad galėtų pasinaudoti aplinkinių patiklumu ir išnaudodami šį patiklumą gali patekti į norimą teritoriją.

Statistika

Kokie yra pagrindiniai socialinės inžinerijos motyvai ir kokie žmonių tipai įmonėse yra pažeidžiamiausi? Į šį klausimą puikiai galima atsakyti atliktu tyrimu [5]. Remiantis šiuo atliktu tyrimu, 1 grafike pavaizduoti motyvuojantys veiksniai, lemiantys socialinės inžinerijos išpuolius. Akivaizdžiai pirmoje vietoje motyvas yra galimybė gauti prieigą prie įslaptintos informacijos (30 proc.) siekis gauti finansinės naudos užima antrą vietą, toliau seka konkurencinio pranašumo motyvas, tuomet motyvas „dėl smagumo“, motyvą dėl keršto sudaro 10 proc. ir toliau seka kiti nekonkretizuoti motyvai.

• Informacija

  30%

• Nauda

  23%

• Pranašumas

  21%

• „Smagumas“

  11%

• Kerštas

  10%

• Kita

  5%

1 grafikas. Veiksniai, lemiantys socialinės inžinerijos išpuolius [5].

2 grafike pavaizduoti to paties autorių tyrimo gauti duomenys apie taikinius kurie yra dažnai pažeidžiami socialinės inžinerijos išpuolių. Labiausiai pažeidžiama grupė yra įmonių nauji darbuotojai (41 proc.), po jų eina klientai (23 proc.), toliau IT specialistai (17 proc.), partneriai ir rangovai (12 proc.) [5].

• Nauji darbuotojai

  41%

• Įmonės klientai

  23%

• Įmonės IT specialistai

  17%

• Partneriai ir rangovai

  12%

• Įmonės vadovai

  7%

2 grafikas. Dažnai pažeidžiami socialinės inžinerijos išpuolių taikiniai [5].

Išvados ir rekomendacijos

Žmonės yra linkę pasitikėti vienas kitu ir turi polinkį lengvai atskleisti asmeninę informaciją. Tai daro žmones pažeidžiamais, žmonių aklas geranoriškumas ar naivumas dažnai juos paverčia neatspariais socialinės inžinerijos išpuoliams. Iš anksčiau minėtų pavyzdžių galima numanyti kokio masto išpuoliai yra įvykdomi dėl žmonių pernelyg didelio pasitikėjimo kitais. Norint išvengti socialinės inžinerijos išpuolių, rekomenduojama išlikti kritiškiems ir atsakingiems, štai 9 patarimai Jums:

1. Neskubėkite. Socialiniai inžinieriai nori, kad pirmiausia elgtumėtės ir galvotumėte vėliau. Jei Jūsų gautame pranešime / skambutyje minima, kad reikia imtis skubių veiksmų ar naudojama pardavimo taktika kurioje jaučiate didelį spaudimą, būkite skeptiškas. Niekada neleiskite, kad socialinio inžinieriaus skubinimas darytų įtaką jūsų kritiniam mąstymui.
2. Išnagrinėkite faktus. Įtarkite bet kokias nelauktas žinutes. Jei el. pašto adresas nelauktame laiške atrodo kaip įmonės kurioje dirbate el. paštas, tuomet įsitikinkite atidžiai peržiūrėję siuntėjo adresą ar tikrai tai yra tikras el. paštas ir ar tai tikras siuntėjas.
3. Nespauskite atsitiktinių nuorodų el. pašte ar kvestionuotino turinio svetainėse. Jei nepasitikite nuorodos šaltiniu, geriau patys naudodamiesi paieškos varikliu susiraskite norimą turinį, nespauskite ant atsitiktinių neaiškių nuorodų.
4. Atsiminkite, kad el. paštas yra svarbi Jūsų tapatybės dalis. Šlamšto platintojai ir socialiniai inžinieriai, perimantys žmonių el. pašto paskyrų valdymą įgauna dar daugiau galios. Jie automatiškai įgauna Jūsų el. pašto kontaktų sąrašą, ir gali komunikuoti su žmonėmis apsimesdami Jumis.
5. Kritiškai vertinkite atsisiunčiamus failus. Jei asmeniškai gerai nepažįstate siuntėjo, visuomet kritiškai vertinkite siunčiamą turinį. Nustebtumėte, kokiuose failuose gali būti užkoduotos kenkėjiškos programos.
6. Geranoriški ir dosnūs pasiūlymai dažnu atveju yra netikri. Jei gaunate el. laišką iš tariamos užsienio loterijos, ar X šalies princo su dosniu pasiūlymu Jums, galite šio tipo laiškus iškarto ištrinti, nes tai yra bandymas išvilioti iš Jūsų pinigus ar kitą vertingą informaciją.
7. Visuomet ištrinkite gaunamas užklausas su prašymais atsiųsti savo finansinę informaciją ar slaptažodžius. Jei nepažįstami siuntėjai / skambintojai užklausoje paprašys Jūsų nurodyti bet kokius savo asmeninius duomenis ar kitą jautrią informaciją – tai galimai yra sukčiai.
8. Ignoruokite pagalbos prašymus ar pagalbos pasiūlymus iš kvestionuotinų siūlytojų / prašytojų. Teisėtos įmonės ir organizacijos nesikreipia į Jus pagalbos iš niekur nieko. Jei specialiai neprašėte jokios pagalbos, apsvarstykite bet kokį pasiūlymą „padėti“ atkurti prisijungimo duomenis, refinansuoti būsto paskolą, atsakyti į jūsų klausimą ir kitus atvejus. Pavyzdžiui, jei gavote pagalbos prašymą iš labdaros organizacijos ar kitos organizacijos su kuria neturite jokių ryšių, nereaguokite į ją. Jei norite paaukoti pinigų – patys susiraskite labdaros organizaciją kuriai norite paaukoti.
9. Nustatykite aukštą šlamšto filtravimo lygmenį el. pašto nustatymuose. Kiekviena el. pašto programa turi šlamšto filtrą. Norėdami rasti savo, pažvelkite programos nustatymų parinktis ir tikrai šiuos nustatymus rasite.

Literatūra

1. ANDREW SANDERS, „What is Social Engineering and Why is it Such a Threat in 2020?“ [Tinkle]. Prieiga: https://www.safetydetectives.com/blog/what-is-social-engineering-and-why-is-it-so-dangerous/ . [Kreiptasi 01 04 2020].
2. SECURITY THROUGH EDUCATION, „The Social Engineering Framework“ [Tinkle]. Prieiga: https://www.social-engineer.org/framework/influencing-others/influence-tactics/. [Kreiptasi 06 04 2020].
3. GW Information Security Blog, „Social Engineering Demystified“ [Tinkle]. Prieiga: https://blogs.gwu.edu/gwinfosec/2019/06/03/social-engineering-demystified/. [Kreiptasi 11 04 2020].
4. INFOSEC, „The Most Common Social Engineering Attacks“ [Tinkle]. Prieiga: https://resources.infosecinstitute.com/common-social-engineering-attacks/. [Kreiptasi 14 04 2020].
5. Nabie Y Conteh, Paul J. Schmick, „Cybersecurity:risks, vulnerabilities and countermeasures to prevent social engineering attacks“ in International Journal of Advanced Computer Research 2016, 2016.
6. Christopher Hadnagy, „Social Engineering – The Art of Human Hacking“ Indianapolis, 2010.