X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • Test varnosti gesel
    • Ransomware Readiness
    • Penetracijski test
    • Red Teaming
    • DDoS test
    • SCADA sistemi – varnost v industrijskem okolju
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • SecurityScorecard – ocenjevanje tveganj in varnost dobavne verige
    • Simulacija napadov po e-pošti
    • Brezplačna orodja
    • Simulacija vdora in napada
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Gradiva
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

Socialni inženiring – prepoznaj in ukrepaj!

Razcvet spletnih trgovin je s seboj prinesel množične poskuse kibernetskih napadov.

24. novembra, 2021 by Carbonsec Team

Bliža se veseli december, ko nas na spletu na vsakem koraku bombardirajo oglasi za praznične nakupe. V zadnjem obdobju se je tudi zaradi koronskih ukrepov potrošništvo izrazito usmerilo v spletne nakupe. Razcvet spletnih trgovin pa je s seboj prinesel tudi potenciran socialni inženiring – napade z ribarjenjem, lažne spletne trgovine, izsiljevalske viruse in še mnoge druge vrste spletnih prevar.

Nakupovanje in socialni inženiring

Se vam je kdaj zgodilo, da ste na stojnici kupili privlačen izdelek priznane blagovne znamke, ki se je izkazal za ponaredek slabe kakovosti? Ali pa vas je spreten prodajalec prepričal v nakup, ki ga sploh niste načrtovali, izdelka pa ne potrebovali?

Enako, le v širšem obsegu, se nam to dogaja na spletu. Z eno bistveno razliko. Do stojnice pristopimo, ko se je v nas že prebudila težnja po nakupu. Spletni oglasi pa se nam prikazujejo tudi tam, kjer niti slučajno ni spletne trgovine. Iztrgajo nas iz čisto drugega »štosa«, ko na primer beremo članke ali iščemo informacije s čisto drugega področja. V trenutku nepremišljenosti nas lahko hipni impulz pripelje v lažno spletno trgovino, kjer izpraznimo denarnico.

Kaj je socialni inženiring?

Po definiciji Agencije Evropske unije za kibernetsko varnost se socialni inženiring nanaša na tehnike, s katerimi želi napadalec z nezakonitimi nameni prepričati žrtev, naj izda določene informacije ali izvede določeno dejanje.

Pri tem ne gre le za napade v digitalnem svetu. Socialni inženiring se lahko odvija tudi v živo ali po telefonu. Kadarkoli želi kdo od vas pridobiti podatke, do katerih sicer nima pravice dostopati, lahko govorimo o socialnem inženiringu.

Digitalni socialni inženiring

Najpogostejše vrste socialnega inženiringa so:

  • napadi z ribarjenjem,
  • lažne spletne strani s trojanskimi konji,
  • lov na »velike ribe« – direktorji, člani uprav ipd. (eng. whaling attack),
  • ustvarjanje lažnih identitet, s katerimi napadalci navezujejo stike,
  • »pridržanje vrat« oz. dostop v stavbo s pomočjo nepazljivega zaposlenega.

Vsem vrstam socialnega inženiringa je skupno eno: manipulacija z žrtvijo. Napadalec uporabi različne tehnike, da v žrtvi vzbudi zaupanje ali pa občutek nadvlade oz. avtoritete. Ko to doseže, je nadaljnji uspeh napada skorajda zagotovljen.

Ko prejmemo sumljivo sporočilo …

Predstavljajte si, da od svojega nadrejenega dobite naslednje sporočilo:

Marko, živjo,
sem v časovni stiski med dvema sestankoma. Nujno moramo opraviti nakup na spletni strani www.podaljsajlicencopremium.com. Prosim, uporabi službeno kreditno kartico, ki je pri tajnici.

Nujno izvedi nakup v naslednje pol ure, saj potrebujem licenco na naslednjem sestanku.

Hvala in adijo,
Tone

Napadi po elektronski pošti

Če je opravljanje spletnih nakupov v podjetju ena od vaših običajnih nalog, verjetno niti ne boste pomislili, da bi bilo kaj narobe. Če ni, boste morda malo skeptično preverili naslov pošiljatelja. Videti je pravi. Tudi to drži, da tajnica hrani kreditno kartico. Morda vam ni čisto jasno, zakaj bi šef na sestanku potreboval nekakšno licenco, ampak nikoli se ne ve. Prav veliko časa za razmišljanje vam ni dal, zadevo morate rešiti v pol ure. Torej najbolje, da pohitite.

Scenarij A: Tajnico prosite za kreditno kartico in izvedete nakup. Če se tajnica zaveda odgovornosti hrambe kreditne kartice, bo verjetno zahtevala, da nakup opravite v njeni prisotnosti. Kliknete na povezavo in vnesete podatke s kartice. V naslednjem trenutku se na zaslonu izpiše sporočilo, da ste bili tarča izsiljevalskega virusa, ki je zakodiral vse dokumente, dostopne v omrežju. Izpiše se tudi vratolomni znesek, ki naj bi ga plačali za pridobitev šifrirnega ključa. Stemni se vam pred očmi. Kaj pa zdaj?

Scenarij B: Še enkrat preberete sporočilo nadrejenega. Nekaj vam ne da miru in odločite se, da šefu pošljete SMS, v katerem preverite, do kdaj točno je treba opraviti nakup. Nadrejeni vam začuden odgovori, da vam ni poslal sporočila z navodili. Utrip vam naraste in sami sebi čestitate, da ste premogli toliko modrosti in preverili situacijo. Bili ste tarča socialnega inženiringa, a ste se mu uspešno izognili.

Kako prepoznamo poskus napada?

Res je, da so napadi z ribarjenjem ter spletne prevare vedno bolj dodelani, a vseeno jih lahko prepoznamo po nekaterih ključnih elementih.

  1. Preverite, s katerega naslova prihaja sporočilo. Ali poznate pošiljatelja, je e-naslov pravi?
  2. Preden kliknete na katero koli povezavo, preverite, ali je izpisan naslov povezave enak tistemu, ki se prikaže v spodnjem levem delu zaslona, ko se s kurzorjem postavite na hiperpovezavo.
  3. Ali je slog pisanja takšen, kot ga pričakujemo od tega pošiljatelja?
  4. Ali je sporočilo pričakovano?
  5. Sva bila s pošiljateljem dogovorjena, da mi pošlje dokumente v priponkah?

Če ste pri katerem koli od teh vprašanj v dvomih, pokličite oz. kontaktirajte pošiljatelja po drugem kanalu in preverite, ali vam je res poslal sporočilo.

Poleg zgornjih petih elementov so opozorilni znaki za poskus napada še:

  • nujnost, ki jo izraža sporočilo (kratek rok za odziv),
  • besedilo z veliko slovničnimi in pravopisnimi napakami,
  • neobičajna ura pošiljanja, npr. sredi noči.

Kako pogost je socialni inženiring?

Socialni inženiring je po več raziskavah najbolj pogosta tehnika kibernetskega napada. To potrjujejo poročila organizacij ISACA, Verizon, in PhishLabs. Slednje navaja 22 % porast napadov s socialnim inženiringom v letu 2021 glede na 2020. Verizon pa poroča, da je kar 85 % napadov usmerjenih v človeški faktor kibernetske varnosti[1]. Tu se potrjuje ustaljeni rek, da je uporabnik najšibkejši člen verige kibernetske varnosti.

Social engineering - who's at risk?
KnowBe4 – Phishing by Industry 2021 – Benchmarking Report

Običajno sledimo načelu, da v poslu ne smemo izhajati iz sebe. A za oceno pogostosti napadov s socialnim inženiringom lahko pomislimo na to, kako pogosto so v zadnjem letu skušali napasti nas same. Pomislite na e-pošto, Facebook sporočila, Viber sporočila, SMS-e, morda celo poskus zlorabe dostopa v fizični obliki. Poskusov napadov kar mrgoli.

Najboljša obramba je ozaveščanje uporabnikov

Trdimo, da je uporabnik najšibkejši člen. Torej ga moramo najbolj okrepiti. Kako?

Treninga varnostnega ozaveščanja uporabnikov je zagotovo najboljši način. Tradicionalno so se takšna šolanja izvajala enkrat ali dvakrat letno, ponekod morda ob začetku zaposlitve v organizaciji. A tak način izobraževanja je preživet, saj se tehnike napadov razvijajo z malodane svetlobno hitrostjo.

Bolj smotrno je stalno treniranje uporabnikov. Namenoma uporabljamo termin »trening«, in ne »izobraževanje«. Zakaj? Ker je stalno ozaveščanje kot trening katerega koli športa. Več kot vložimo časa, boljši smo. Več napadov kot bomo prejeli, prej jih bomo znali prepoznati.

Ozaveščanje zaposlenih

Omogočite svojim zaposlenim nadzorovano soočanje z različnimi napadi – v obliki tekstovnih sporočil, oglasov, morda celo video vsebin. Širši spekter pomeni večjo pozornost pri vsakdanji uporabi spleta.

Morda se vam bo kdaj zgodilo, da bodo uporabniki pretirano občutljivi in bodo kot lažna prepoznavali tudi popolnoma legitimna sporočila. A to je vseeno bolje, kot da lažnih sporočil ne bi prepoznali, ko je to nujno potrebno.

Kako se lotiti oblikovanja treninga?

Obstajajo različne rešitve, s katerimi lahko izvajate treninge varnostnega ozaveščanja. Nekatere so del večjih programskih paketov, druge delujejo kot samostojne platforme.

Glede na to, da je cilj treninga sodelovanje vseh uporabnikov, je smiselno izbrati rešitev, ki jo lahko zaženemo brez namestitev na posameznih napravah. S tem prihranimo ogromno časa, za uporabnike pa je rešitev bolj neopazna.

Pomembno je tudi, da lahko spremljamo napredek svojih uporabnikov. Tudi pri obdelavi podatkov se različne platforme precej razlikujejo. Poiščite takšno, ki najbolj ustreza vašim potrebam in ciljem.

Improvement with KnowBe4 security awareness training
KnowBe4 – Phishing by Industry 2021 – Benchmarking Report

Brezplačno lahko preizkusite Trening varnostnega ozaveščanja KnowBe4, ki je po našem mnenju vodilna platforma, z množico najrazličnejših testov. Ena glavnih prednosti platforme je, da lahko teste izvajate tudi v slovenščini.

Morda se naloga sliši zahtevna. Z veseljem vam pomagamo pri oblikovanju vašega programa za trening varnostnega ozaveščanja zaposlenih. Smo samo en klik stran, pišite nam.

Prenesi Paket brezplačnih orodij za kibernetsko pripravo na praznični čas

[1] Vir: https://www.csoonline.com/article/2124681/what-is-social-engineering.html

Blog,  Consulting,  Novice,  Security Awareness security awareness

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Test varnosti gesel
  • Ransomware Readiness
  • Penetracijski test
  • Red Teaming
  • DDoS test
  • SCADA sistemi – varnost v industrijskem okolju
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT