Kakšne so pasti socialnega inženiringa in kako se lahko zavarujete pred njim?

Socialni inženiring je ena izmed najbolj razširjenih vrst kibernetskih napadov na svetu. Najpogosteje gre za poskus prevare zunanjega napadalca, ki poskuša ukaniti zaposlenega v podjetju ali organizaciji in od njega pridobiti zaupne podatke. Na srečo pa se lahko pred morebitnim napadom zaščitimo in se s tem izognemo nepopravljivi škodi.

Na kratko o socialnem inženiringu

Socialni inženiring se pojavlja v različnih oblikah, tarča napadalcev pa so lahko tako podjetja in organizacije kot tudi nič hudega sluteči posamezniki. Napadalci se poslužujejo najrazličnejših psiholoških tehnik, s katerimi pretentajo žrtve, zato so napadi z uporabo metod socialnega inženiringa svojevrstna umetnost. Veliko lažje je namreč pretentati človeka, da neznancu nehote zaupa svoje geslo oziroma osebne podatke, kot pa do njih priti po drugi poti (na primer s “hekanjem”).

Napadalci poskušajo od posameznikov največkrat pridobiti zaupne podatke, kot so različna gesla in informacije o bančnih karticah, ali pa poskušajo pridobiti dostop do osebnega računalnika, na katerega naložijo zlonamerne programe, ki jim omogočijo oddaljen dostop do zaupnih informacij.

Podjetja in organizacije pri tem niso izjema. Ne glede na to, kako dobro imajo zavarovan informacijski sistem, so najšibkejši člen vedno zaposleni, ki morebitnim napadalcem omogočijo dostop do ranljivih podatkov. Pogosti so tudi primeri t. i. direktorske prevare, ko se napadalci izdajajo za direktorja podjetja in z lažno identiteto katerega od zaposlenih zaprosijo za določeno denarno nakazilo, kar jim na koncu tudi uspe. Prav zato je izrednega pomena, da so zaposleni primerno izobraženi in seznanjeni z morebitnimi nevarnostmi.

Kako poteka napad?

Napadalci poskušajo do zaupnih podatkov dostopati na različne načine. Napad lahko poskušajo izvesti s pomočjo namenskih orodij, ki okužijo računalnik žrtve in napadalcu dajo dostop – recimo z uporabo USB ključka, imenovanega »BashBunny«, ki v nekaj sekundah po tem, ko je bil vklopljen v računalnik, napadalcu omogoči oddaljen dostop do njega.

napad s socialnim inženiringomMorda se sprašujete, kako je to mogoče, ko pa imajo v mnogih podjetjih in organizacijah dostop do računalnikov le njihovi zaposleni. Preprosto – napadalec se lahko izdaja denimo za obrtnega delavca na objektu ali pa dostavljavca pice in v trenutku vaše nepozornosti izkoristi situacijo ter tako zlorabi vaše zaupanje.

Drug način poskusa napada, ki se najpogosteje uporablja v zvezi s socialnim inženiringom, pa je t. i. phishing (po slovensko ribarjenje). Najpogosteje se uporablja v zvezi z okuženim e-poštnim sporočilom. To vsebuje zlonamerno kodo, s katero napadalec prevzame nadzor nad napravo, preko

nje pa nad celotnim omrežjem podjetja oziroma organizacije.

Kako se zaščititi?

Ker se ljudje največ naučimo iz lastnih izkušenj, se podjetja in organizacije, ki se zavedajo nevarnosti, ki jim pretijo, vedno bolj poslužujejo simulacije napada, ki jo izvedejo za to usposobljeni strokovnjaki. Gre za t. i. phishing test v živo, med katerim strokovnjaki poskušajo prepričati zaposlene, da jim nasedejo in jim zaupajo ranljive podatke. Pri tem med samim napadom ne ovirajo poslovanja podjetja, hkrati pa je celoten proces za podjetje oziroma organizacijo povsem neškodljiv.

Kako poteka simulacija napada?

Eden izmed načinov, kako pretentati zaposlene je, da strokovnjaki z lažnega elektronskega naslova pošljejo elektronsko sporočilo, v katerega vključijo povezavo, ki vodi do določene spletne strani. V sporočilu naslovnika pozovejo, naj prenese datoteko, v kateri naj bi bili na primer novi promocijski materiali podjetja. Pri tem velja omeniti, da lahko že samo odpiranje sumljivih povezav sproži t. i. »drive-by« napade, ki napravo žrtve okužijo s trojanskim konjem, ki omogoča oddaljen dostop napadalca do te naprave.

Poslano sporočilo je opremljeno s posebno tehnologijo, ki omogoča spremljanje, koliko zaposlenih je odprlo prejeto sporočilo in koliko jih je preneslo sumljivo datoteko. Cilj preizkusa je ugotoviti splošno stanje ozaveščenosti zaposlenih o spletnih nevarnostih, ki prežijo na podjetje oziroma organizacijo. Škodo namreč lahko povzročijo tudi zaposleni, če prenašajo sumljive datoteke na službene naprave ali na svoje osebne naprave, ki jih kasneje priklopijo na omrežje podjetja. V podjetju ISF Team, kjer se med drugim ukvarjamo tudi s simulacijo napadov in odkrivanjem ranljivosti informacijskih sistemov, nato na podlagi pridobljenih podatkov pripravimo delavnico za povečanje ozaveščenosti zaposlenih.

Število kibernetskih napadov, tudi tistih, ki so izvedeni s pomočjo socialnega inženiringa, iz leta v leto raste. Kar pa je še posebej zaskrbljujoče, je, da podjetja in organizacije v povprečju potrebujejo več mesecev, preden zaznajo napad. Dodatna previdnost zato nikoli ni odveč.