arrow_backVisi straipsniai
Socialinė inžinerija

Socialinė inžinerija: kaip sukčiai manipuliuoja žmonėmis

schedule7 min skaitymo

Socialinė inžinerija — tai žmonių manipuliavimas, siekiant priversti atlikti veiksmą ar atskleisti informaciją. Tai bendras pavadinimas atakoms, kur taikinys yra žmogus: phishing, vishing, smishing, CEO fraud. Sukčiai naudoja autoritetą, skubą, baimę, pasitikėjimą, abipusiškumą ir smalsumą — atpažįstant patį manipuliacijos modelį apsiginama nuo bet kurios formos.

Socialinė inžinerija — tai žmonių manipuliavimas, siekiant priversti juos atlikti veiksmą ar atskleisti informaciją. Tai bendras pavadinimas visoms atakoms, kur taikinys yra žmogus, o ne technologija: phishing, vishing, CEO fraud ir kitos. Suprasti pačias taktikas naudinga, nes tada atpažįstamas ne konkretus laiškas, o pats manipuliacijos modelis, kad ir kaip jis atrodytų.

Šešios pagrindinės įtakos taktikos

Autoritetas
Apsimetama vadovu, banku ar institucija, kad vengtume klausti ir tikrinti.
Skuba
„Iki šiandien", „paskutinis įspėjimas" — kad neliktų laiko pagalvoti.
Baimė
Grasinimas bauda, paskyros blokavimu ar bėdomis darbe.
Pasitikėjimas ir simpatija
Apsimetama pažįstamu, kolega ar pagalbos prašančiu asmeniu.
Abipusiškumas
Pirma „padedama" ar duodama smulkmena, kad jaustumėtės skolingi.
Smalsumas ir godumas
Prizai, „konfidenciali" informacija, netikėtos premijos.

Kaip atrodo ataka praktikoje

Rimta socialinės inžinerijos ataka dažnai jungia kelis kanalus. Pavyzdžiui, užpuolikas iš socialinių tinklų sužino įmonės struktūrą, tada atsiunčia laišką neva nuo vadovo, o netrukus paskambina „patvirtinti". Kiekvienas žingsnis atskirai atrodo įtikinamai, o kartu sukuria spaudimą, kuriam sunku atsispirti be pasiruošimo.

Kaip atpažinti manipuliaciją

  • checkKlauskite savęs: kodėl reikia veikti būtent dabar ir be įprastos patikros?
  • checkĮtarkite, kai prašymas apeina normalias procedūras („tik šįkart", „nesakyk niekam").
  • checkAtkreipkite dėmesį į stiprias emocijas — baimę, skubą, smalsumą; tai signalas stabtelėti.
  • checkPatikrinkite prašymą kitu kanalu, ypač kai kalba eina apie pinigus ar prieigą.

Kaip apsaugoti komandą

Nuo socialinės inžinerijos neapsaugo antivirusinė — apsaugo suprantanti komanda ir aiškūs procesai, kurių laikomasi net spaudžiant. Svarbiausia sukurti kultūrą, kurioje perklausti ir pasitikslinti yra normalu ir skatinama, o ne trukdymas. Reguliarios simuliacijos, imituojančios realias taktikas, treniruoja būtent šį refleksą — Opsinel jas paleidžia, o po klaidos iškart parodo trumpą pamoką.

Dažni klausimai

Kuo socialinė inžinerija skiriasi nuo phishing?add

Socialinė inžinerija yra platus žmonių manipuliavimo terminas, o phishing yra viena jos formų per el. paštą. Vishing, smishing ir CEO fraud taip pat priklauso socialinei inžinerijai.

Kodėl net protingi žmonės pakliūva?add

Nes atakos taikosi ne į logiką, o į emocijas ir įpročius — skubą, autoritetą, baimę. Spaudžiant laikui kritinis mąstymas susilpnėja, todėl svarbu turėti iš anksto įsitvirtinusį įprotį stabtelėti.

Kaip komandai apsisaugoti?add

Derinkite aiškius procesus (patvirtinimas kitu kanalu) su reguliariais mokymais ir simuliacijomis, kad atpažinimo įgūdis būtų gyvas, o ne vienkartinis.

Kokie yra socialinės inžinerijos pavyzdžiai?add

Phishing laiškas neva iš banko, skambutis iš „IT palaikymo" (vishing), SMS apie siuntą (smishing), skubus vadovo prašymas pervesti pinigus (CEO fraud) ir netikras QR kodas (quishing).

Ar socialinė inžinerija visada vyksta internetu?add

Ne. Ji gali vykti telefonu, gyvai ar net fiziškai — pavyzdžiui, apsimetant kurjeriu ar rangovu, kad patektų į patalpas. Bendra tai, kad manipuliuojamas žmogus.

Skaitykite taip pat