Web 2.0 ir žmonių hakingas: kaip atpažinti atakas socialiniuose tinkluose?

 

 

Žmonių hakingas arba socialinė inžinerija – tai manipuliavimas žmonėmis, siekiant apeiti informacijos apsaugos sistemas bei pasisavinti jautrią informaciją nenaudojant sudėtingų technologijų. Technologijos dažniausiai nereikalingos todėl, kad nusikaltėliai įprastai yra ir geri psichologai ir jiems pakanka išnaudoti žmonių silpnybes ir baimes, kad pasiektų savo tikslą – pasipelnyti jūsų sąskaita. Vis dažniau girdime apie stulbinančias žmonių hakingo atakas socialiniuose tinkluose, kuriose sujungiamos kelios technikos, pavyzdžiui, fišingas ir tapatybės vagystė.


Štai visai neseniai socialinės inžinerijos ataka buvo įvykdyta profesiniame socialiniame tinkle - LinkedIn. Šis tinklas skirtas verslams ir jų atstovams bendrauti bei užmegzti naujus profesinius ryšius bei ieškoti naujų darbuotojų. Būtent darbuotojo paieška pasinaudojo nusikaltėliai: įmonės Redbanc darbuotojas buvo pakviestas į darbo pokalbį programuotojo pozicijai. Sukčiai suorganizavo darbo pokalbį per Skype programėlę, kurio metu aukai persiųstas failas "ParaiškaPDF.exe" (angl. ApplicationPDF.exe) ir paprašyta užpildyti oficialią paraišką. Atidarius šį failą kenkėjiškas kodas užkrėtė banko darbuotojo kompiuterį ir taip leido užpuolikams įsibrauti į banko tinką.

 

 

 

Suorganizavo darbo pokalbį per Skype, kurio metu aukai persiuntė "oficialią" paraišką - failą "ParaiškaPDF.exe "

 

 

 

 

Socialinė inžinerija populiari ir YouTube puslapyje, kurį per dieną aplanko daugiau nei 1 mlrd. vartotojų. Praėjusią savaitę YouTube įvykdyta ataka, kurios metu sukčiai apsimetė populiariais “Youtuberiais”. Prisidengę svetima tapatybe sukčiai išsiuntė pranešimus, kuriuose dėkojo “savo” sekėjams už aktyvų palaikymą ir persiuntė “dovaną”, kurią pamatyti galima paspaudus nuorodą.

 

Sukčiai taip pat neapleidžia ir Twitter – šioje platformoje kiekvieną sekundę išsiunčiama apie 6000 pranešimų, todėl Twitter dar vadinama realiojo laiko platforma. Būtent šia ypatybe sukčiai pasinaudojo siekdami išvilioti kreditinės kortelės informaciją iš asmens, kuris Twitter platformoje viešai paskelbė skundą kompanijai Virgin Media dėl blogo interneto ryšio. Specialistų teigimu, sukčiai aukos paiešką vykdė filtruodami raktinius žodžius ir iškart po skundo publikavimo prisistatė Virgin Media vardu. Jie atsiprašė vieša ir asmenine žinute bei pasisiūlė padėti išspręsti problemą. Tiesa, tam jiems “reikėjo”, kad asmuo patikslintų savo asmens ir kreditinės kortelės duomenis.  

 

 

 

Sukčiai aukos paiešką vykdė filtruodami raktinius žodžius ir iškart po  skundo publikavimo prisistatė Virgin Media vardu.

 

 

 

 

 

Socialiniai tinklai panaikino barjerus, dėl kurių anksčiau socialinės inžinerijos atakas atlikti reikėdavo įdėti daug pastangų ir laiko. Tad kaip atpažinti gerai išvystytas atakas socialiniuose tinkluose?

 

 

Cyber Security Academy etinio hakingo programos Hack IT to Defend IT dėstytojai pataria:


Nesidalinkite informacija, kurią kūrybiškai galima panaudoti atakai vykdyti 
Nuo akimirkos, kai pasidalinate pranešimu ar nuotrauka internetinėje erdvėje, ši informacija tampa vieša. Žmonių hakingo atakoms galima panaudoti net ir nereikšmingai atrodančią informaciją, pavyzdžiui, atostogų vietą, vaiko vardą, augintinio veislę ir t.t. Kaip panaudojama tokia informacija? Vėliau siunčiamas elektroninis laiškas, ar žinutė, kur siuntėjas (nusikaltėlis) pateikia daug su jumis susijusio konteksto, taip priversdamas manyti, kad jūs esate susiję (nusikaltėlis gali prisistatyti jūsų draugo ar kolegos vardu), tad jūs būsite labiau linkę suteikti informacijos, kurios prašoma.


Stebėkite kai Jus pažymi (angl. tagged) pranešimuose 
Jei atostogaujate su šeima ar išvykstate darbo reikalais ir šia informacija kas nors (pavyzdžiui, saugumui abejingas kolega) ketina pasidalinti socialiniuose tinkluose, paprašykite, kad jūsų nežymėtų. Tai sumažins šansus nusikaltėliui sugalvoti, kaip jus apgauti ir apribos galimybę naudoti hibridinius puolimo metodus, pavyzdžiui, žinant, kad atostogaujate užsienyje, įsiveržti į jūsų namus.

 

Atidžiai išanalizuokite naujo kontakto profilį prieš priimdami jį į draugų ratą 
Egzistuoja du pagrindiniai "žmonių hakintojų" profilių tipai - minimalistiniai ir maksimalistiniai. Minimalistus lengva atpažinti kiekvienam: profilyje trūksta informacijos, patalpinti provokuojantys vaizdai, “asmuo” turi neįprastų draugų arba jų turi mažai – visa tai yra nuoroda į sukčių. Kita vertus, maksimalistų profiliai iš pirmo žvilgsnio gali ir nesukelti įtarimo: jie mezga realius kontaktus, redaguoja ir pildo informaciją tol, kol profilis tampa idealus. Nepaisant to net ir maksimalistus atpažinti galima atidžiau išanalizavus jų ryšius ir veiklą socialiniame tinkle. 

 

Neviešinkite informacijos, kuri leistų atspėti jūsų slaptažodį ar atskleisti atsakymus į saugumo klausimus
Jei kokios nors savo paskyros saugumui užtikrinti naudojate savo augintinio vardą, savo gimimo ar sukaktuvinių datą ir dalinatės šia informacija socialinėje erdvėje, būtina nedelsiant pakeisti savo slaptažodį ir saugumo klausimus. Jūsų gimimo data net ir naudojama atvirkščia skaičių seka yra lengvai atspėjama ir neturėtų būti jūsų slaptažodžiu. Apskritai, slaptažodžius kurkite nesusijusius su savimi ar savo aplinka, geriau naudokite atsitiktines nenuspėjamas frazes. 
 

 

Skaitmeninio bendravimo įrankiams tobulėjant atsiranda vis kūrybiškesnių atakų būdų. Tačiau žmonių įpročiai, jų silpnybės, stereotipai ir nusistatymai keičiasi lėčiau ir taip sukelia pavojų kiekvienam tapti silpnąja saugumo grandimi tiek namuose, tiek darbovietėje – asmeniniame gyvenime naudojamos praktikos persikelia ir į profesinę erdvę, kurioje operuojama daug daugiau jautrios informacijos ir kurioje pasekmės už aplaidumą saugumo klausimu gali būti drastiškos, ypač po BDAR įsigaliojimo.

 

Todėl svarbu skatinti IT saugumo suvokimą ir padėti šiuolaikinių organizacijų darbuotojams suprasti internete slypinčias rizikas, nustatyti saugumo incidentus ir į juos tinkamai reaguoti. Taip pat įgyti ir tvirtus kibernetinio saugumo pagrindus, kurie padėtų atpažinti žmonių hakingo atvejus ne tik socialiniuose tinkluose, bet ir sudėtingose hibridinėse situacijose.

Share on Facebook
Please reload

Skaitomiausi

Startuoja kibernetinių atakų simuliacijų laboratorija

2018/05/17

1/2
Please reload

Naujausi
Please reload

Ieškoti pagal žymas
  • Cyber Security Academy LinkedIn
  • Cyber Security Academy Facebook

© 2017 Cyber Security Academy www.cybersecurityacademy.lt

This site was designed with the
.com
website builder. Create your website today.
Start Now