Vsa podjetja, v katerih zaposleni pri svojem delu uporabljajo računalnik, so lahko potencialne tarče napada, ki za vdor izkorišča socialni inženiring.

Socialni inženiring kot orodje za vdor
Socialni inženiring kot orodje za vdor

Gre za tako imenovani »Phishing« oziroma po slovensko ribarjenje. Verjetno ste kdaj že slišali za ta izraz, ki se največkrat pojavlja v navezi z okuženo spletno pošto.

Socialni inženiring je poizkus zunanjega napadalca, da bi s pomočjo prevare ukanil zaposlenega v podjetju in od njega pridobil zaupne podatke oziroma kar dostop do računalnika. Ker je ta največkrat povezan v celotno mrežo podjetja, je rezultat takšnega napada lahko precej neugoden.

Kaj je socialni inženiring in kako poteka napad?

Kot smo opisali zgoraj gre v največji meri za poskus vdora v računalniško omrežje podjetja s pomočjo okužene spletne pošte. Ta pride na naslov zaposlenega in je videti kot povsem običajno e-poštno sporočilo. Napadalci so se izurili do te mere, da tovrstna sporočila opremijo z ustreznim dizajnom, logotipom in podpisom nekega podjetja, ki v ljudeh vzbuja lažen občutek varnosti.

V takšnem sporočilu se navadno nahaja povezava do lažne spletne strani, ki je namenjena prestrezanju določenih podatkov, ali pa ima priloženo npr. Word ali Excel datoteko, v kateri se skriva nevarnost za računalniško omrežje vašega podjetja.

Socialni inženiring izkorišča slabost ljudi

Socialni inženiring, oziroma napad z njegovo pomočjo je konstruiran na način, da pretenta človeka. Igra na njegova čustva ali pa zgolj vzbudi lažen občutek pristnosti in razloga, da storimo tisto, česar ne bi smeli. Ker gre v tovrstnem primeru za napad, ki se vrši preko zaposlenih v podjetju, je izredno pomembno, da so ti primerno izobraženi in seznanjeni z nevarnostmi, ki prežijo nanje.

Potek testa napada s socialnim inženiringom

Da bi v podjetju zagotovili varnost pred napadom s socialnim inženiringom, je potrebno seveda izobraziti zaposlene. Za najboljšo metodo pa se je izkazal tako imenovani phishing test v živo. Pri tem namreč simuliramo dejanski napad in skušamo zaposlene prepričati, da mu nasedejo.

Naše sporočilo opremimo s potrebno tehnologijo, da lahko spremljamo, koliko uporabnikov je dejansko odprlo sporočilo in koliko jih je tudi preneslo sumljivo datoteko. Na podlagi tega lahko nato ocenimo realno stopnjo tveganja v podjetju in pripravimo delavnico za povečanje ozaveščenosti zaposlenih.

Test napada s socialnim inženiringom ne ovira poslovanja

Celoten proces je za podjetje povsem neškodljiv, saj dejanska datoteka ne vsebuje zlonamerne programske opreme, temveč le tehnologijo, s katero ugotovimo, kdo je datoteko prenesel in/ali odprl.

Test socialnega inženiringa je dandanes še posebno pomemben, saj se več kot 80 % napadalcev pri svojem delu poslužuje ravno metod, s katerimi uporabnike pretentajo, da jim pomagajo pri dostopu do omrežja. Statistika pa je pokazala, da je uspešnih celo več kot 70 % tovrstnih napadov.

Zaskrbljujoč pa je še en statistični podatek, in sicer ta, da podjetja v povprečju potrebujejo več mesecev, preden takšen vdor sploh zaznajo.

Dodana vrednost za naročnika:

  • Preverimo osveščenost vaših zaposlenih in njihovo odpornost na phishing napade.
  • Dostavimo vam poročilo s statistiko o aktivnosti uporabnikov pri sumljivem elektronskem poročilu.
  • Za zaposlene izvedemo tudi delavnico na temo zaščite pred phishing napadi.