Bliža se veseli december, ko nas na spletu na vsakem koraku bombardirajo oglasi za praznične nakupe. V zadnjem obdobju se je tudi zaradi koronskih ukrepov potrošništvo izrazito usmerilo v spletne nakupe. Razcvet spletnih trgovin pa je s seboj prinesel tudi potenciran socialni inženiring – napade z ribarjenjem, lažne spletne trgovine, izsiljevalske viruse in še mnoge druge vrste spletnih prevar.
Se vam je kdaj zgodilo, da ste na stojnici kupili privlačen izdelek priznane blagovne znamke, ki se je izkazal za ponaredek slabe kakovosti? Ali pa vas je spreten prodajalec prepričal v nakup, ki ga sploh niste načrtovali, izdelka pa ne potrebovali?
Enako, le v širšem obsegu, se nam to dogaja na spletu. Z eno bistveno razliko. Do stojnice pristopimo, ko se je v nas že prebudila težnja po nakupu. Spletni oglasi pa se nam prikazujejo tudi tam, kjer niti slučajno ni spletne trgovine. Iztrgajo nas iz čisto drugega »štosa«, ko na primer beremo članke ali iščemo informacije s čisto drugega področja. V trenutku nepremišljenosti nas lahko hipni impulz pripelje v lažno spletno trgovino, kjer izpraznimo denarnico.
Kaj je socialni inženiring?
Po definiciji Agencije Evropske unije za kibernetsko varnost se socialni inženiring nanaša na tehnike, s katerimi želi napadalec z nezakonitimi nameni prepričati žrtev, naj izda določene informacije ali izvede določeno dejanje.
Pri tem ne gre le za napade v digitalnem svetu. Socialni inženiring se lahko odvija tudi v živo ali po telefonu. Kadarkoli želi kdo od vas pridobiti podatke, do katerih sicer nima pravice dostopati, lahko govorimo o socialnem inženiringu.
Najpogostejše vrste socialnega inženiringa so:
- napadi z ribarjenjem,
- lažne spletne strani s trojanskimi konji,
- lov na »velike ribe« – direktorji, člani uprav ipd. (eng. whaling attack),
- ustvarjanje lažnih identitet, s katerimi napadalci navezujejo stike,
- »pridržanje vrat« oz. dostop v stavbo s pomočjo nepazljivega zaposlenega.
Vsem vrstam socialnega inženiringa je skupno eno: manipulacija z žrtvijo. Napadalec uporabi različne tehnike, da v žrtvi vzbudi zaupanje ali pa občutek nadvlade oz. avtoritete. Ko to doseže, je nadaljnji uspeh napada skorajda zagotovljen.
Ko prejmemo sumljivo sporočilo …
Predstavljajte si, da od svojega nadrejenega dobite naslednje sporočilo:
Marko, živjo,
sem v časovni stiski med dvema sestankoma. Nujno moramo opraviti nakup na spletni strani www.podaljsajlicencopremium.com. Prosim, uporabi službeno kreditno kartico, ki je pri tajnici.
Nujno izvedi nakup v naslednje pol ure, saj potrebujem licenco na naslednjem sestanku.
Hvala in adijo,
Tone
Če je opravljanje spletnih nakupov v podjetju ena od vaših običajnih nalog, verjetno niti ne boste pomislili, da bi bilo kaj narobe. Če ni, boste morda malo skeptično preverili naslov pošiljatelja. Videti je pravi. Tudi to drži, da tajnica hrani kreditno kartico. Morda vam ni čisto jasno, zakaj bi šef na sestanku potreboval nekakšno licenco, ampak nikoli se ne ve. Prav veliko časa za razmišljanje vam ni dal, zadevo morate rešiti v pol ure. Torej najbolje, da pohitite.
Scenarij A: Tajnico prosite za kreditno kartico in izvedete nakup. Če se tajnica zaveda odgovornosti hrambe kreditne kartice, bo verjetno zahtevala, da nakup opravite v njeni prisotnosti. Kliknete na povezavo in vnesete podatke s kartice. V naslednjem trenutku se na zaslonu izpiše sporočilo, da ste bili tarča izsiljevalskega virusa, ki je zakodiral vse dokumente, dostopne v omrežju. Izpiše se tudi vratolomni znesek, ki naj bi ga plačali za pridobitev šifrirnega ključa. Stemni se vam pred očmi. Kaj pa zdaj?
Scenarij B: Še enkrat preberete sporočilo nadrejenega. Nekaj vam ne da miru in odločite se, da šefu pošljete SMS, v katerem preverite, do kdaj točno je treba opraviti nakup. Nadrejeni vam začuden odgovori, da vam ni poslal sporočila z navodili. Utrip vam naraste in sami sebi čestitate, da ste premogli toliko modrosti in preverili situacijo. Bili ste tarča socialnega inženiringa, a ste se mu uspešno izognili.
Kako prepoznamo poskus napada?
Res je, da so napadi z ribarjenjem ter spletne prevare vedno bolj dodelani, a vseeno jih lahko prepoznamo po nekaterih ključnih elementih.
- Preverite, s katerega naslova prihaja sporočilo. Ali poznate pošiljatelja, je e-naslov pravi?
- Preden kliknete na katero koli povezavo, preverite, ali je izpisan naslov povezave enak tistemu, ki se prikaže v spodnjem levem delu zaslona, ko se s kurzorjem postavite na hiperpovezavo.
- Ali je slog pisanja takšen, kot ga pričakujemo od tega pošiljatelja?
- Ali je sporočilo pričakovano?
- Sva bila s pošiljateljem dogovorjena, da mi pošlje dokumente v priponkah?
Če ste pri katerem koli od teh vprašanj v dvomih, pokličite oz. kontaktirajte pošiljatelja po drugem kanalu in preverite, ali vam je res poslal sporočilo.
Poleg zgornjih petih elementov so opozorilni znaki za poskus napada še:
- nujnost, ki jo izraža sporočilo (kratek rok za odziv),
- besedilo z veliko slovničnimi in pravopisnimi napakami,
- neobičajna ura pošiljanja, npr. sredi noči.
Kako pogost je socialni inženiring?
Socialni inženiring je po več raziskavah najbolj pogosta tehnika kibernetskega napada. To potrjujejo poročila organizacij ISACA, Verizon, in PhishLabs. Slednje navaja 22 % porast napadov s socialnim inženiringom v letu 2021 glede na 2020. Verizon pa poroča, da je kar 85 % napadov usmerjenih v človeški faktor kibernetske varnosti[1]. Tu se potrjuje ustaljeni rek, da je uporabnik najšibkejši člen verige kibernetske varnosti.
Običajno sledimo načelu, da v poslu ne smemo izhajati iz sebe. A za oceno pogostosti napadov s socialnim inženiringom lahko pomislimo na to, kako pogosto so v zadnjem letu skušali napasti nas same. Pomislite na e-pošto, Facebook sporočila, Viber sporočila, SMS-e, morda celo poskus zlorabe dostopa v fizični obliki. Poskusov napadov kar mrgoli.
Najboljša obramba je ozaveščanje uporabnikov
Trdimo, da je uporabnik najšibkejši člen. Torej ga moramo najbolj okrepiti. Kako?
Treninga varnostnega ozaveščanja uporabnikov je zagotovo najboljši način. Tradicionalno so se takšna šolanja izvajala enkrat ali dvakrat letno, ponekod morda ob začetku zaposlitve v organizaciji. A tak način izobraževanja je preživet, saj se tehnike napadov razvijajo z malodane svetlobno hitrostjo.
Bolj smotrno je stalno treniranje uporabnikov. Namenoma uporabljamo termin »trening«, in ne »izobraževanje«. Zakaj? Ker je stalno ozaveščanje kot trening katerega koli športa. Več kot vložimo časa, boljši smo. Več napadov kot bomo prejeli, prej jih bomo znali prepoznati.
Omogočite svojim zaposlenim nadzorovano soočanje z različnimi napadi – v obliki tekstovnih sporočil, oglasov, morda celo video vsebin. Širši spekter pomeni večjo pozornost pri vsakdanji uporabi spleta.
Morda se vam bo kdaj zgodilo, da bodo uporabniki pretirano občutljivi in bodo kot lažna prepoznavali tudi popolnoma legitimna sporočila. A to je vseeno bolje, kot da lažnih sporočil ne bi prepoznali, ko je to nujno potrebno.
Kako se lotiti oblikovanja treninga?
Obstajajo različne rešitve, s katerimi lahko izvajate treninge varnostnega ozaveščanja. Nekatere so del večjih programskih paketov, druge delujejo kot samostojne platforme.
Glede na to, da je cilj treninga sodelovanje vseh uporabnikov, je smiselno izbrati rešitev, ki jo lahko zaženemo brez namestitev na posameznih napravah. S tem prihranimo ogromno časa, za uporabnike pa je rešitev bolj neopazna.
Pomembno je tudi, da lahko spremljamo napredek svojih uporabnikov. Tudi pri obdelavi podatkov se različne platforme precej razlikujejo. Poiščite takšno, ki najbolj ustreza vašim potrebam in ciljem.
Brezplačno lahko preizkusite Trening varnostnega ozaveščanja KnowBe4, ki je po našem mnenju vodilna platforma, z množico najrazličnejših testov. Ena glavnih prednosti platforme je, da lahko teste izvajate tudi v slovenščini.
Morda se naloga sliši zahtevna. Z veseljem vam pomagamo pri oblikovanju vašega programa za trening varnostnega ozaveščanja zaposlenih. Smo samo en klik stran, pišite nam.
[1] Vir: https://www.csoonline.com/article/2124681/what-is-social-engineering.html