Socialinės inžinerijos užuomazgų randame net ir Senovės Graikijos mitologijoje aprašytame Trojos kare. Dešimt metų trukusį karą graikams galiausiai pavyko laimėti tiesiog pasinaudojus žmogiškuoju priešo patiklumu, kai pastarasis galiausiai pasiryžo priimti išskirtinę dovaną (Trojos arklį).

Kibernetinio saugumo kontekste, socialinė inžinerija apibrėžia psichologinį manipuliavimą žmonėmis, siekiant atlikti tam tikrus veiksmus ar atskleisti konfidencialią informaciją, nenaudojant techninių ar fizinių įsilaužimo būdų.

Šiandien pakalbėsime apie dažniausiai naudojamą socialinės inžinerijos ataką – fišingą (angl. phishing).

Fišingas – sukčiavimo metu naudojami padirbti el. laiškai, kuriuose nukreipiama į netikras interneto svetainės, kurios imituoja tikros svetainės atvaizdą, prašoma pateikti jautrius duomenis ar atidaryti apkrėstus prisegtukus.

Tikslinis fišingas – apgaulingi el. laiškai yra kur kas labiau konkretizuoti ir nukreipti prieš konkretų fizinį ar juridinį asmenį.

Tikimybė, kad atidarytame el. laiške bus paspausta nuoroda ar failas, fišingo atveju siekia apie 5 proc., kai tikslinio fišingo atveju apie 50 proc. Kartais užtenka sukompromituoti vos keletą žmonių (sistemų administratorius, buhalterija ir pan.) ir įmonės veikla bus sustabdyta. Fiziniams asmenims tikimybė prarasti savo jautrią informaciją ar apkrėsti savo naudojamą kompiuterinę įrangą išlieka taip pat išskirtinai aukšta.

Pats asmeniškai esu atlikęs begalę tikslinio fišingo simuliacijų, kuomet buvo tikrinamas darbuotojų kibernetinio saugumo budrumas, pasiekti rezultatai ir džiugino, ir liūdino. Džiugino, kad simuliacijas pavykdavo realizuoti sėkmingai. Liūdino, kad rezultatai siekdavo virš 50 proc. sukompromituotų darbuotojų paskyrų.

Šiame pateiktame vaizdo įraše yra puikiai papasakota kaip mes turėtume elgtis gavę bet kokį įtartiną el. laišką:

Sekančiuose straipsniuose pakalbėsime apie kitus socialinės inžinerijos atakų tipus – preteksto, telefoninių ir trumpųjų žinučių, masalo ir pasitikėjimo atakos.