Kibernetiniai incidentai, turintys socialinės inžinerijos požymių

Kaip minėjo Nacionalinio kibernetikos saugumo centro (NKSC) vadovas dr. Rytis Rainys, socialinė inžinerija – vienas dažniausiai naudojamų būdų vykdyti kibernetinėms atakoms įmonėse. NKSC duomenimis, socialinės inžinerijos požymiai dažniausiai pastebimi elektroniniuose laiškuose.

Dažniausiai naudoja el. laiškuose
NKSC duomenimis, 2017 m. laiškų, sukurtų naudojantis socialinės inžinerijos principais, skaičius išaugo pusantro karto. NKS centras vienoje iš stebimų institucijų per metus užfiksavo daugiau kaip 188500 socialinės inžinerijos požymių turinčių elektroninių laiškų. 2016 m. buvo užfiksuota 106 tūkst., 2015 m. – daugiau nei 37 tūkst. socialinės inžinerijos pobūdžio el. laiškų.
Socialinės inžinerijos metodai el. laiškuose naudojami siekiant manipuliuoti žmonių emocijomis ir naudojant psichologinį poveikį priversti naudotojus atlikti potencialiai žalingus veiksmus (paspausti nuorodas, atverti svetaines, parsisiųsti bylas, įgalinti veikti žalingą kodą, pateikti asmens ar prisijungimo duomenis). Populiariausi metodai: slaptažodžių žvejyba (angl. Phishing), viliojimas (angl. Baiting) naudojami siekiant gauti informaciją tolimesnėms kibernetinėms atakoms vykdyti, kenkimo programinei įrangai organizacijų tinkluose platinti. Pavyzdžiui, atsidarius į elektroninį paštą atsiųstą dokumentą ir jame įgalinus macro komandas į darbo stotį atsiunčiamas žalingas kodas, kuris užšifruoja naudotojo saugomus duomenis ir prašo išpirkos. Dažniausiai siunčiami .docx, .xlsx ar .pdf dokumentai. Siekiant išvengti saugumo programų patikrinimo, šie failai neretai archyvuojami, o slaptažodis naudotojui pateikiamas siunčiamo laiško tekste.

Klastojamos svetainės
Siekiant didesnio įtaigumo ir sėkmingesnės kibernetinės atakos poveikio, socialinės inžinerijos metodu dažnai klastojamos valstybinės interneto svetainės.
2017 m. NKSC tyrė keletą socialinės inžinerijos metodais pagrįstų ir inicijuotų kibernetinių atakų, kurių metu buvo siunčiami laiškai su nuorodomis į suklastotas Lietuvos valstybinių institucijų internetines svetaines. Vienas iš pavyzdžių – Valstybinė mokesčių inspekcija (VMI). Šiuo atveju buvo stengiamasi pasinaudoti VMI vardu ir išvilioti kreditinių banko kortelių duomenis, prisidengiant galimybe susigrąžinti mokesčių permoką. Platinamame elektroniniame laiške buvo nurodoma, kad VMI skaičiavimuose neva įsivėlė klaida, o gavėjas buvo raginamas pateikti savo kreditinės kortelės duomenis permokai susigrąžinti. Kad laiške siunčiama informacija ir su ja susijusi nuoroda yra netikra, buvo galima atpažinti iš to, kad grąžintina pinigų suma buvo pateikta litais, taip pat laiško tekste esančios akivaizdžios gramatinės klaidos leido daryti prielaidą, kad turinys buvo išverstas automatizuota kalbos vertimo programa.

Apsimeta vadovais, direktoriais
Kitas dažnas socialinės inžinerijos principu parengtų laiškų motyvas – vadovų imitavimas.
2017 m. NKSC sulaukė daug nusiskundimų iš organizacijų atstovų dėl gaunamų imituojamų vadovų elektroninių laiškų, kuriuose stengiamasi įtikinti už finansines operacijas atsakingą personalą atlikti pinigines perlaidas į atakos iniciatorių sąskaitas. Tokio pobūdžio kibernetinės atakos nėra techniškai sudėtingos, tačiau prieš jas organizuojant yra renkama detali informacija apie taikinį ir jo aplinką: organizacijos veiklą, atsakingą personalą, darbotvarkę ir pan. Tokių atakų iniciatoriams svarbu, kad pinigų pervedimas būtų kuo skubesnis ir konfidencialus, nes kitu atveju kiltų grėsmė, kad apie operaciją sužinos kiti organizacijos darbuotojai ir kils įtarimų.
Pinigų išviliojimo operacijos metu atakos iniciatoriams svarbu sukurti stresinę situaciją ir priversti darbuotojus veikti neracionaliai, todėl pinigų išviliojimo metu stengiamasi pasinaudoti vadovo autoritetu ir tariamais sunkumais su juo susisiekti. Kartais stengiamasi priversti darbuotoją nesilaikyti nustatytų procedūrų ar įgaliojimų. Paveikus ir įtikinus darbuotoją, dažnu atveju įtraukiami tretieji asmenys, nurodantys, kaip turi būti atlikta pinigų pervedimo operacija, po kurios darbuotojas atlieka pervedimą į vieną ar kelias nekontroliuojamas ir sunkiai susekamas atakos organizatorių sąskaitas.

Dažniausiai apsimeta prieš finansų specialistus
Laiško turinyje gali būti minimos aplinkybės, dėl kurių vadovas yra nepasiekiamas, bet piniginę operaciją reikia atlikti skubiai, pvz.: „Reikia greitai apmokėti sąskaitą. Šiuo metu esu susirinkime, todėl atrašyk paštu“. Tekstas gali būti ir gana skurdus, pvz., „Ar šiandien galite atlikti užsienio pervedimą?“, kuriuo siekiama užmegzti dialogą.
NKSC rekomenduoja organizacijoms informuoti savo specialistus, atsakingus už finansines operacijas, apie tokių laiškų pavojų. Būtina informuoti naudotojus, kad laiške matomas siuntėjo adresas gali būti imituotas, todėl juo aklai pasitikėti negalima. Finansų specialistas, gavęs nestandartinį prašymą, turėtų papildomai įsitikinti tokio prašymo tikrumu ir, pavyzdžiui, paskambinti vadovui. Atsakingiems organizacijų kompiuterių tinklo specialistams rekomenduojama apriboti tarnybinės pašto stoties galimybes priimti imituotus laiškus, naudojančius organizacijos pašto galūnę.

Apsisaugoti padėtų švietimas
NKSC pabrėžia, kad tokie incidentai dažnai nutinka dėl to, kad įmonių vadovai nesilaiko elementarios kibernetinio saugumo higienos, kuri yra privaloma paprastiems organizacijos darbuotojams, todėl svarbu kibernetinio saugumo priemones taikyti visoje organizacijoje. Darbuotojai, kuriuos gali būti stengiamasi apgauti, taip pat turėtų būti informuoti apie tokio pobūdžio sukčiavimą. Atidumą itin padidintų reguliarūs darbuotojų mokymai ir atsparumo grėsmėms patikrinimai, kuriuos atliktų pati įmonė ar specialiai tam pasamdyti specialistai.
Nacionalinio kibernetinio saugumo centro prie KAM informacija