Socialinės inžinerijos atakos: tipai, pavyzdžiai ir kaip apsisaugoti

Kas yra socialinė inžinerija?

Toliau aptarsime dažniausius socialinės inžinerijos atakų tipus ir paaiškinsime, kaip nuo šių atakų apsisaugoti.

Kaip sukčiai naudoja socialinę inžineriją?

Socialinė inžinerija veikia išnaudojant žmogaus emocijas. Piktavaliai taiko įvairius psichologinės manipuliacijos metodus, kad sukeltų stiprias emocijas (pvz., baimę ar susijaudinimą), dėl kurių auka priimtų neapgalvotus sprendimus. Tokiose situacijose lengviau suklystama, o tai gali lemti pinigų, duomenų ar net tapatybės praradimą.

Internete socialinės inžinerijos atakos dažnai vykdomos siunčiant tikslines žinutes su iš anksto parengtais scenarijais (pvz., apie tariamai pavogtą banko sąskaitą ar loterijos laimėjimą). Jei auka patiki šia apgaule, ji gali pati spustelėti įtartiną nuorodą, pervesti pinigus, atsisiųsti kenkėjišką programą arba atskleisti jautrią informaciją (pvz., prisijungimo duomenis).

Socialinės inžinerijos atakų tipai

Nors dažniausiai pasitaikanti socialinės inžinerijos ataka yra duomenų viliojimas, piktavaliai turi kur kas platesnį manipuliavimo žmonėmis metodų arsenalą. Štai populiariausi socialinės inžinerijos atakų tipai.

Duomenų viliojimas

Duomenų viliojimas („phishing“) – tai kibernetinių nusikaltimų rūšis, kai sukčiai siunčia el. laiškus, bandydami įtikinti aukas spustelėti kenkėjiškas nuorodas arba atsisiųsti kenkėjišką programinę įrangą. Kad apgaulė atrodytų įtikinamai, piktavaliai dažniausiai apsimeta jūsų banku, valstybine institucija, siuntų tarnyba ar kita patikima organizacija. Jų tikslas – priversti jus atidaryti duomenų viliojimo laišką ir netyčia atsisiųsti kenkėjišką programą arba paspausti nuorodą, vedančią į suklastotą interneto svetainę. Tokiu būdu siekiama išgauti jautrią informaciją, pavyzdžiui, prisijungimo duomenis, asmens kodą ar banko kortelės duomenis (įskaitant CVV kodą).

Duomenų viliojimas gali būti įvairių formų, dažniausios iš jų yra šios:

• Suklastotas siuntėjo vardas. Laiškas atrodo tarsi siųstas iš patikimos organizacijos, tačiau domeno pavadinimas šiek tiek skiriasi nuo tikrojo (pvz., turi papildomą brūkšnelį ar skaičių).
• Įterptos nuorodos. Sukčiai gali siųsti laiškus, raginančius spustelėti nuorodą ir prisijungti prie paskyros. Paspaudus tokią nuorodą, patenkama į suklastotą svetainę, kurioje gali būti pavogti jūsų prisijungimo duomenys.
• El. laiškų priedai. Piktavaliai gali siųsti sąskaitas, užsakymų patvirtinimus ar kvietimus į renginius su kenkėjiškais priedais. Juos atsisiuntus galima užkrėsti įrenginį ir prarasti asmeninius duomenis.

Peržiūrėkite mūsų gidą ir sužinokite, kuo skiriasi įsilaužimai ir duomenų viliojimas.

Socialinių tinklų klientų aptarnavimo imitavimo atakos

Socialinių tinklų klientų aptarnavimo imitavimo atakos („angler phishing“) nukreiptos į socialinių tinklų naudotojus, pasitelkiant suklastotas klientų aptarnavimo paskyras. Tokios atakos metu sukčiai susisiekia su naudotojais, kurie neseniai paskelbė skundo pobūdžio žinutę, ir bando išgauti jų asmeninę informaciją ar prisijungimo duomenis. Štai kaip dažniausiai vykdomos tokios atakos:

1. 1.Užpuolikas stebi socialinių tinklų įrašus ir laukia, kol naudotojas pažymės konkrečią įmonę, pateikdamas skundą ar klausimą apie savo paskyrą.
2. 2.Užpuolikas atsako apsimesdamas įmonės klientų aptarnavimo atstovu (naudodamas netikrą socialinio tinklo paskyrą).
3. 3.Per trumpą laiką sukčius įgyja aukos pasitikėjimą ir tuo pasinaudodamas išgauna slaptažodžius ar kitą konfidencialią informaciją, neva siekdamas padėti išspręsti problemą.

Tikslinis duomenų viliojimas

Tikslinis duomenų viliojimas („spear phishing“) – tai sudėtingesnė, bet dažnai veiksmingesnė duomenų viliojimo forma (apie 66 % sėkmės rodiklis). Tokios duomenų viliojimo atakos nukreiptos į konkrečius asmenis ar mažas jų grupes. Sukčiai dažniausiai apsimeta konkrečiu žmogumi, kuriuo pasitikite arba kuriam esate pavaldūs.

Kad tokia socialinės inžinerijos ataka pavyktų, užpuolikai pirmiausia renka informaciją apie auką ir vėliau ją išnaudoja. Daug duomenų jie gali rasti socialiniuose tinkluose: el. pašto adresus, sekamus prekės ženklus, draugų vardus ir paskyras. Surinkę šią informaciją, sukčiai siunčia aukai įtikinamai atrodantį laišką su išgalvota, bet tikroviška istorija, siekdami išgauti dar daugiau duomenų.

Tokias atakas atpažinti gali būti sudėtinga, tačiau įmanoma. Norėdami apsisaugoti:

• Visada patikrinkite laiško siuntėją.
• Įvertinkite, ar žinutės turinys neatrodo įtartinas.
• Jei kyla įtarimų, neatsakykite į laišką ir susisiekite su asmeniu kitu būdu – parašykite naują laišką, paskambinkite arba pasikalbėkite gyvai.

SMS duomenų viliojimas

SMS duomenų viliojimas („smishing“) panašus į įprastas duomenų viliojimo atakas, tačiau vietoj el. laiškų naudojamos SMS žinutės. Šis socialinės inžinerijos metodas dažnai būna veiksmingas dėl asmeniškesnio bendravimo.

Sukčiai jūsų telefono numerį gali rasti nutekintose duomenų bazėse arba įsigyti jį tamsiajame internete. Jei ataka labiau suasmeninta, numeris galėjo būti rastas net ir peržiūrint išmestus dokumentus.

Dažnas pavyzdys – žinutė, raginanti pakeisti siuntos pristatymo laiką spustelėjus nuorodą. Kita dažna forma – tariamo banko pranešimas, kuriuo prašoma patvirtinti tapatybę per įtartiną nuorodą.

Tokios nuorodos yra pavojingos – jos dažnai nukreipia į kenkėjiškas svetaines, kurios gali pavogti dar daugiau jūsų duomenų. Be to, sukčiai gali nuorodas maskuoti (pvz., trumpinti ar keisti URL), kad apgautų jus ir paskatintų atsisiųsti kenkėjišką programinę įrangą į jūsų įrenginį.

Telefoninis duomenų viliojimas

Telefoninio duomenų viliojimo („vishing“) metu sukčiai apsimeta patikimų organizacijų atstovais ir su jumis susisiekia telefonu, o ne žinutėmis ar el. laiškais. Dažnai jie suklastoja telefono numerį, kad atrodytų, jog skambinama iš jūsų numerio arba iš jums pažįstamos įmonės. Užpuolikai gali naudoti iš anksto įrašytus balso pranešimus, automatines žinučių siuntimo sistemas ar balso sintezę, kad paslėptų savo tapatybę. Kiti pasitelkia tikrus žmones iš sukčiavimo skambučių centrų arba dirbtinio intelekto balso robotus, kad ataka atrodytų dar įtikinamesnė.

Sukčiai dažniausiai kuria įtikinamas istorijas, pavyzdžiui, apie įtartiną veiklą jūsų banko sąskaitoje, neteisingai apskaičiuotus mokesčius ar tariamą laimėjimą. Kartais jie derina telefoninį duomenų viliojimą su kibernetinio pagrobimo scenarijais – gali naudoti dirbtinai sugeneruotą artimojo balsą ir imituoti išpirkos reikalavimą. Nepaisant naudojamų priemonių, pagrindinis tikslas yra išgauti jūsų jautrią informaciją, kuri vėliau gali būti panaudota tapatybės vagystei, siekiant įgyti aukštesnes prieigos teises prie sistemų ar kitoms atakoms.

Tokius skambučius galite atpažinti pagal šiuos požymius:

• Įvertinkite, ar skambinanti įmonė patikima ir ar skambučio priežastis pagrįsta. Ar esate girdėję apie šią įmonę? Ar esate bendravę su jos atstovais?
• Ar siūloma atsiimti laimėjimą konkurse, kuriame nedalyvavote, arba pagalba dėl skolų, apie kurias nieko nežinote?
• Ar naudojamas spaudimas ar agresyvi kalba, siekiant priversti jus atskleisti asmeninę informaciją?

Visa tai gali būti įspėjamieji ženklai, kad susidūrėte su telefoninio duomenų viliojimo ataka.

Atakos su pretekstu

Atakos su pretekstu („pretexting attacks“) yra socialinės inžinerijos atakos, panašios į duomenų viliojimą tuo, kad naudojamas emociškai įtikinantis pretekstas. Tačiau jei duomenų viliojimas dažniausiai remiasi baime ir skubos jausmu, šios atakos pagrįstos pasitikėjimu ir ryšio kūrimu.

Tokios atakos reikalauja kur kas daugiau pasiruošimo. Sukčiai iš anksto surenka kuo daugiau informacijos apie auką ir ja pasinaudoja apsimesdami draugu, kolega ar kitu pažįstamu asmeniu. Jie ne tik meluoja – sukuria visą įtikinamą scenarijų, kad apgautų savo taikinį. Organizacijose tokie užpuolikai dažnai taikosi į tam tikro lygio darbuotojus, siekdami gauti informaciją.

Tokias atakas atpažinti nėra lengva, nes jos gerai apgalvotos. Vis dėlto, jei žmogus atrodo pernelyg draugiškas ir prašo jautrios informacijos, verta suabejoti – tai gali būti socialinės inžinerijos ataka.

Štai atakos su pretekstu pavyzdys, susijęs su techninės pagalbos sukčiavimu:

1. 1.Jums paskambina žmogus, prisistatantis techninės pagalbos atstovu iš žinomos įmonės.
2. 2.Jis paprašo padėti patikrinti, ar vidinė pinigų pervedimo sistema veikia tinkamai.
3. 3.Jei sutinkate, jūsų paprašo pervesti pinigus į nurodytą sąskaitą ir pateikti prisijungimo duomenis.
4. 4.Atlikus pervedimą, sukčius pasisavina pinigus ir jūsų duomenis.

Tokie sukčiai dažnai tikina, kad pervedimas yra laikinas ir būtinas vidiniam patikrinimui. Jie skamba įtikinamai ir profesionaliai. Vis dėlto, net jei viskas atrodo patikima, svarbu išlikti budriems ir prieš imantis veiksmų pasitarti su atsakingais asmenimis.

Tapatybės klastojimas

Tapatybės klastojimas („catfishing“) – tai kibernetinis nusikaltimas, kai sukčiai kuria netikras socialinių tinklų paskyras naudodami kitų žmonių nuotraukas, vaizdo įrašus ir asmeninę informaciją. Tokios netikros paskyros dažniausiai naudojamos siekiant manipuliuoti, pelnyti pasitikėjimą, tyčiotis internete ar sulaukti dėmesio. Kai kuriais atvejais jos naudojamos pinigams ar asmeniniams duomenims išgauti, ypač taikant vadinamuosius pasitikėjimu pagrįstus sukčiavimo scenarijus.

Jei susipažinote su žmogumi internete, kuris atrodo itin malonus, tačiau nuolat randa priežasčių nesusitikti gyvai ar vengia dalytis informacija apie save, tikėtina, kad susiduriate su tokiu sukčiavimu. Štai keli įspėjamieji ženklai:

• Pasakojamos graudžios istorijos ir prašoma pervesti pinigus.
• Naudojami keisti pasiteisinimai, kodėl neveikia kamera ar telefonas.
• Nuolat atidėliojama susitikti arba susitikimai paskutinę minutę atšaukiami dėl asmeninių priežasčių.
• Siūloma susitikti privačiai, o ne viešoje vietoje.

El. pašto duomenų viliojimas

El. pašto duomenų viliojimas („email phishing“) yra dažniausia duomenų viliojimo atakų forma. Jos metu sukčiai masiškai siunčia el. laiškus su kenkėjiškais priedais arba įtartinomis nuorodomis, siekdami apgauti gavėjus ir priversti juos atidaryti šiuos priedus ar spustelėti šias nuorodas. Kai kurie šią ataką tapatina su nepageidaujamais laiškais („spam“), tačiau ne visi tokie laiškai turi kenkėjiškų nuorodų. Tuo tarpu el. pašto duomenų viliojimo atveju sukčiai dažniausiai klastoja nuorodas, apsimeta žinomų paslaugų teikėjais ir sukuria skubos jausmą, siekdami išvilioti jautrią informaciją.

Sesijos metu vykdomas duomenų viliojimas

Sesijos metu vykdomas duomenų viliojimas („in-session phishing“) – palyginti naujas sukčiavimo būdas, kuris pastaraisiais metais sparčiai plinta. Ši ataka vyksta tada, kai užpuolikai perima svetaines ar naršymo sesijas ir rodo vartotojams apgaulingus pranešimus, nukreipiančius į kenkėjiškas svetaines ar failus. Įprastas tokios atakos scenarijus:

1. 1.Vartotojas prisijungia prie patikimos svetainės.
2. 2.Sukčiai perima naršymo sesiją – įterpia kenkėjiškus scenarijus per trečiųjų šalių reklamos tinklus, išnaudoja naršyklės pažeidžiamumus, o kartais net ir registruoja klavišų paspaudimus.
3. 3.Į naršymo sesiją įterpiami apgaulingi pranešimai ar raginimai, skatinantys vartotoją atlikti veiksmus. Jei vartotojas sureaguoja, jis gali atskleisti jautrią informaciją (pvz., banko kortelės duomenis ar 2FA kodus) arba atsisiųsti kenkėjišką programą.

Paieškos sistemų duomenų viliojimas

Paieškos sistemų duomenų viliojimas („search engine phishing“) (dažniau vadinamas paieškos sistemų nuodijimu arba manipuliavimu paieškos rezultatais) – tai dar viena taktika, kurią naudoja piktavaliai siekdami pavogti jūsų duomenis. Kibernetiniai nusikaltėliai manipuliuoja paieškos rezultatais taip, kad sukčiavimo ar kenkėjiškos svetainės atsidurtų paieškos rezultatų viršuje ir sudarytų patikimo šaltinio įspūdį. Jei vartotojas spusteli tokią nuorodą, jis nukreipiamas į netikrą svetainę, kur gali prarasti savo duomenis ar atsisiųsti kenkėjiškus failus.

Kita šio metodo forma – mokamos reklamos, rodomos paieškos rezultatų puslapio viršuje ir nukreipiančios į suklastotas svetaines. Jei vartotojas tokioje svetainėje ką nors perka, sukčiai gali perimti jo mokėjimo duomenis ir padaryti finansinės žalos.

Norėdami apsisaugoti nuo tokių atakų:

• Visada patikrinkite nuorodų adresus paieškos rezultatuose ir įsitikinkite, kad jie veda į oficialią svetainę. Taip pat galite naudoti „NordVPN“ „Threat Protection Pro™“, kuri padeda įvertinti jų saugumą.
• Naudokite dviejų veiksnių autentifikavimą (2FA), kad kiti negalėtų prisijungti prie jūsų paskyrų ar atlikti veiksmų jūsų vardu.

Gąsdinimo programų atakos

Jei nuolat matote klaidingus įspėjimus ar iššokančius pranešimus apie išgalvotas grėsmes, gali būti, kad tai – gąsdinimo programinė įranga („scareware“). Ji dar vadinama apgaulinga programine įranga, netikrais saugumo skeneriais ar sukčiavimo programa.

Gąsdinimo programų atakos metu vartotojui sukuriamas įspūdis, kad jo įrenginys yra užkrėstas kenkėjiška programa, ir skatinama įsidiegti „apsaugos“ programą, kuri iš tikrųjų įdiegia kenkėjišką programinę įrangą.

Gąsdinimo programa dažnai pasirodo naršant internete kaip iššokantis langas su pranešimu, pavyzdžiui: „Jūsų kompiuteris gali būti užkrėstas virusu.“ Vienas iš dažnų pavyzdžių – tariami „Apple“ saugumo įspėjimai. Paspaudus tokį pranešimą, vartotojas gali būti raginamas įdiegti tariamą apsaugos įrankį arba nukreipiamas į kenkėjišką svetainę, kuri gali dar labiau užkrėsti įrenginį.

Taip pat verta paminėti, kad tokios atakos gali būti platinamos ir per nepageidaujamus el. laiškus („spam email“), kuriais bandoma įtikinti vartotoją įsigyti bevertes ar net žalingas paslaugas.

Informacijos nukreipimo atakos

Informacijos nukreipimo atakos („diversion theft attacks“) skirtos apgauti jus ir priversti perduoti jautrią informaciją sukčiui. Suklastoję el. pašto adresą, nusikaltėliai gali apsimesti audito įmone, finansų institucija ar net jūsų darbovietės atstovu.

Jei tokia ataka pavyksta, sukčius gali gauti itin konfidencialią informaciją apie įmonę – dokumentus su prognozėmis ir planais, klientų duomenis ar net asmeninę darbuotojų informaciją.

Masinimo atakos

Masinimo ataka („baiting attack“) – tai socialinės inžinerijos metodas, kai naudojamas viliojantis „masalas“, siekiant paskatinti jus atlikti veiksmą, leidžiantį užpuolikui užkrėsti jūsų įrenginį kenkėjiška programa. Dažnai tam naudojamos USB laikmenos, paliekamos biuruose ar automobilių stovėjimo aikštelėse su viliojančiais užrašais, pavyzdžiui, „Vadovų atlyginimai, 2019 m. IV ketv.“

Smalsumo vedini žmonės tokias laikmenas prijungia prie kompiuterio, o jose esantis virusas greitai užkrečia įrenginį. Nors USB laikmenos naudojamos vis rečiau, šiandien tokios atakos dažniau pasitaiko P2P svetainėse (pvz., failų dalijimosi ar kriptovaliutų platformose).

Piktavaliai kuria suklastotas P2P svetainių kopijas, kad priviliotų vartotojus. Pavyzdžiui, ieškodami filmo galite netyčia atsisiųsti kenkėjišką programą. Atsisiunčiant failus iš nepatikimų šaltinių visada kyla rizika, todėl svarbu imtis atsargumo priemonių – patikrinkite failo tipą ir įsitikinkite, kad antivirusinė programa atnaujinta.

Kaip apsisaugoti nuo masinimo atakų:

• Naudokite apsaugos nuo kenkėjiškų programų priemones, reklamos blokavimo ir sekimo ribojimo įrankius (pvz., „NordVPN“ „Threat Protection Pro™“).
• Lankykitės tik patikimose interneto svetainėse ir rinkitės tik patikimus pardavėjus – prieš pirkdami patikrinkite įmonę, jos svetainės adresą ir įsitikinkite, kad jis parašytas be klaidų. Taip pat verta peržiūrėti klientų atsiliepimus.

„Quid pro quo“ atakos

„Quid pro quo“ ataka įvyksta tada, kai sukčius pasiūlo jums paslaugą mainais į jūsų asmeninę informaciją. Anksčiau sukčiai dažnai siųsdavo laiškus apie tariamą Nigerijos princą – esą jūs paveldėjote jo turtą, tačiau norint jį atsiimti reikėdavo pateikti banko duomenis arba sumokėti nedidelį administravimo mokestį.

Šiandien dažniausiai tokios atakos vykdomos apsimetant IT specialistais. Auka paprastai susiduria su nedidele technine problema arba poreikiu atnaujinti programinę įrangą, todėl net neįtaria apgaulės. Sukčius teigia, kad jam reikia prisijungti prie kompiuterio, kad galėtų išspręsti problemą. Gavęs prieigą, jis gali įdiegti kenkėjišką programinę įrangą arba pavogti jautrią informaciją.

Nepageidaujamos žinutės kontaktams

Nepageidaujamų žinučių platinimas kontaktams („contact spamming“) – vienas seniausių, bet vis dar naudojamų socialinės inžinerijos būdų. Sukčius įsilaužia į jūsų el. pašto ar socialinių tinklų paskyrą ir jūsų vardu išsiunčia žinutes kontaktams, pavyzdžiui: „Radau įdomų vaizdo įrašą, pažiūrėk!“

Kadangi tokios nepageidaujamos žinutės atrodo tarsi iš pažįstamų žmonių, jomis lengva patikėti. Tačiau spustelėjus tokią nuorodą galite užkrėsti savo įrenginį kenkėjiška programine įranga. Blogiausia tai, kad virusas gali plisti toliau ir siųsti tokias pačias žinutes kontaktams.

Ypač nerimą kelia tai, kad kai kurios kenkėjiškos programos, pavyzdžiui, 2019 m. aptikta „xHelper“, gali vėl įsidiegti net ir jas pašalinus. Todėl net jei atrodo, kad tokiai apgaulei nepasiduotumėte, svarbu išlikti budriems – pasekmės gali būti rimtos ir sunkiai ištaisomos.

Naudojimasis kito asmens prieiga

Atakos, kai pasinaudojama kito asmens prieiga („piggybacking“) – tai socialinės inžinerijos metodas, kai piktavaliai išnaudoja žmonių klaidas ar elgesį, kad patektų į skaitmenines ar fizines sistemas (pvz., biuro patalpas). Nors fizinės ir skaitmeninės tokio tipo atakos skiriasi, jas sieja vienas bendras bruožas – kažkas iš vidaus, sąmoningai ar netyčia, padeda užpuolikui.

Skaitmeninėje erdvėje sukčiai gali naudoti duomenų viliojimo nuorodas, kad išgautų prisijungimo duomenis prie įmonės sistemų ir vėliau pasiektų jautrią informaciją ar kitas aukos paskyras (pvz., socialinių tinklų paskyras). Tuo tarpu fiziškai patekę į įmonę užpuolikai gali patekti į serverines ar kitas svarbias patalpas ir ten įdiegti kenkėjišką programinę įrangą (pvz., per užkrėstas USB laikmenas), sukelti DDoS atakas ar kitaip pakenkti įmonės infrastruktūrai.

Norint apsisaugoti nuo tokio tipo skaitmeninių atakų, svarbu naudoti dviejų veiksnių autentifikavimą (2FA) ir išlikti budriems – atpažinti duomenų viliojimo bandymus. Taip pat naudinga periodiškai tikrinti tinklo veiklą. Norint apsisaugoti nuo tokio tipo fizinių atakų, svarbu investuoti į fizinio saugumo priemones (pvz., įėjimo kontrolę, darbuotojų korteles) ir stebėti įtartinus asmenis šalia biuro patalpų.

Ilgalaikės pasitikėjimu paremtos finansinio sukčiavimo atakos

Ilgalaikės pasitikėjimu paremtos finansinio sukčiavimo atakos („pig butchering“) – tai gana nauja ir itin pavojinga socialinės inžinerijos atakų forma. Šios atakos pavojingos tuo, kad veikia kitaip nei įprastos – aukos nėra skubinamos veikti iš karto. Vietoje to sukčiai užmezga ryšį su auka, bendrauja su ja savaites ar net mėnesius ir palaipsniui pelno jos pasitikėjimą. Tik vėliau, sukūrę artimesnį santykį, jie pradeda siūlyti investavimo galimybes, dažnai susijusias su nepatikimomis platformomis ar abejotinais sandoriais. Tokie pasiūlymai paprastai baigiasi tuo, kad auka perveda pinigus, kurių vėliau susigrąžinti nebeįmanoma. Tokias schemas dažnai vykdo organizuotos nusikalstamos grupuotės, kurios turi pakankamai išteklių apmokyti sukčius ir sistemingai išvilioti dideles pinigų sumas iš aukų.

Patekimas iš paskos

Kibernetinio saugumo kontekste patekimas iš paskos („tailgating“) yra socialinės inžinerijos metodas, labai panašus į atakas, kai pasinaudojama kito asmens prieiga („piggybacking“) – šie terminai dažnai vartojami kaip sinonimai. Pagrindinis skirtumas tas, kad „patekimas iš paskos“ dažniausiai reiškia neteisėtą patekimą į fizines patalpas (pvz., duomenų centrus ar serverines) be aukos žinios. Tuo tarpu atakos, kai pasinaudojama kito asmens prieiga, atveju sukčiai gali sulaukti pagalbos iš vidaus, o skaitmeninėje aplinkoje – pasitelkti technines priemones (pvz., sesijos perėmimą), kad neteisėtai prisijungtų prie tam tikrų sistemų.

Ataka iš pasalos

Ataka iš pasalos („watering hole attack“) – tai kibernetinės atakos tipas, primenantis plėšrūnų elgesį gamtoje. Kaip plėšrūnai laukia savo grobio prie vandens šaltinių, taip ir piktavaliai pasirenka populiarias svetaines ir slapta jas pažeidžia, kad galėtų platinti pažangią kenkėjišką programinę įrangą (pvz., išpirkos reikalaujančias programas ar šnipinėjimo įrankius) arba pavogti kuo daugiau jautrių duomenų. Sukčiai gali įterpti į svetaines kenkėjišką kodą, kuris užkrečia svetainių naudotojų įrenginius arba perima prisijungimo duomenis, taip suteikdamas prieigą prie svarbios informacijos (pvz., įmonių paslapčių). Dėl to tokios atakos dažniausiai nukreiptos į konkrečias įmones ar valstybines institucijas ir tam tikrus sektorius, pavyzdžiui, finansų ar IT.

Verslo el. pašto paskyrų užgrobimas

Verslo el. pašto paskyrų užgrobimas („business email compromise“) – tai kibernetinis nusikaltimas, apimantis įvairias socialinės inžinerijos schemas. Tokios atakos metu sukčiai gali siųsti darbuotojams suklastotas sąskaitas, apsimesti įmonės vadovu arba naudoti duomenų viliojimą, kad gautų prieigą prie darbo paskyrų. Priklausomai nuo naudojamos taktikos, tokios atakos tikslai gali būti įvairūs – nuo pinigų išviliojimo iki paskyrų perėmimo ar duomenų vagystės.

Socialinės inžinerijos atakų pavyzdžiai

Vienas iš naujesnių socialinės inžinerijos atakų pavyzdžių – 2023 m. įvykęs „Twitter“ duomenų nutekėjimas. Užpuolikai išnaudojo platformos programavimo sąsajos (API) pažeidžiamumą ir pasitelkė socialinės inžinerijos metodus – apsimesdami „Twitter“ darbuotojais jie manipuliavo įmonės darbuotojais ir išgavo prieigos duomenis. Taip, net ir be ypatingų techninių žinių, jie gavo prieigą prie vartotojų informacijos (pvz., telefono numerių, el. pašto adresų, vartotojų vardų, sekėjų skaičiaus ir paskyrų sukūrimo datų).

Kitas pavyzdys – „WhatsApp“ investicinė apgaulė, per kurią Kardife gyvenanti moteris neteko 50 000 svarų sterlingų. Sukčiai susisiekė su auka apsimesdami investicinės įmonės atstovais ir pasiūlė pagalbą investuojant į bitkoinus. Vėliau jie jai darė spaudimą suteikti prieigą prie jos įrenginio, neva tam, kad galėtų išmokėti uždirbtas lėšas. Gavę prieigą, sukčiai pasinaudojo įrenginyje esančia jautria informacija, prisijungė prie moters banko sąskaitos ir pavogė daugiau nei 50 000 svarų.

Socialinė inžinerija ir kibernetinis saugumas

Socialinė inžinerija yra vienas didžiausių iššūkių kibernetinio saugumo srityje. Dėl daugybės skirtingų metodų organizacijos turi skirti daug lėšų ir žmogiškųjų išteklių sistemų apsaugai. Kartais užtenka, kad vienas darbuotojas spustelėtų kenkėjišką nuorodą – gali sutrikti visos įmonės veikla.

Todėl kibernetinio saugumo specialistai rekomenduoja organizacijoms reguliariai atlikti duomenų viliojimo testus, kad darbuotojai išliktų budrūs ir gebėtų atpažinti galimas grėsmes. Mokymai ir praktiniai testai padeda stiprinti organizacijos atsparumą socialinės inžinerijos atakoms ir bendrą kibernetinį saugumą.

Kaip atpažinti socialinės inžinerijos atakas

Norint atpažinti socialinės inžinerijos atakas, svarbu suprasti, kaip jos veikia. Tačiau net ir neturint daug žinių, kritiškai vertinant el. laiškus, skambučius ir žinutes galima išvengti sukčių pinklių. Štai į ką verta atkreipti dėmesį:

• Įtartini ar neįprasti prašymai. Jei su jumis susisiekia asmuo, prašantis pateikti jautrią informaciją (prisijungimo duomenis, asmens kodą, darbuotojo prieigos teises), išlikite budrūs ir patikrinkite siuntėjo tapatybę. Tai galite padaryti susisiekę su patikimu asmeniu ar organizacija, galinčia patvirtinti siuntėjo tapatybę (pvz., paslaugos teikėju ar personalo vadovu).
• Netaisyklinga kalba ir rašybos klaidos. Nors šiuolaikiniai sukčiai dažnai rašo taisyklingai, vis dar pasitaiko duomenų viliojimo atvejų, kai siunčiami laiškai su klaidomis – tokius geriau ignoruoti arba blokuoti.
• Keistos nuorodos ir priedai. Jei gaunate el. laišką ar žinutę su nuoroda ar pridėtu failu, elkitės atsargiai. Prieš spustelėdami nuorodą patikrinkite ją naudodami URL tikrinimo įrankį, o papildomai galite pasitelkti tokias priemones kaip „NordVPN“ „Threat Protection Pro™“, kurios blokuoja kenksmingą turinį.
• Per geri pasiūlymai. Jei gavote įtartiną pasiūlymą, verta prisiminti paprastą taisyklę – jei skamba per gerai, kad būtų tiesa, greičiausiai taip ir yra.
• Nesutampantys el. pašto adresai. Sukčiai gali nukopijuoti beveik viską – parašą, rašymo stilių ar toną. Tačiau tiksliai atkartoti el. pašto adreso jiems nepavyks. Jei kyla įtarimų, būtinai patikrinkite siuntėjo adresą ir palyginkite jį su oficialiuose šaltiniuose skelbiamu adresu (pvz., įmonės svetainėje pateiktu adresu). Jei adresai nesutampa, į tokį laišką neatsakykite.
• Nenuoseklus bendravimas. Jei gaunate laišką iš žinomos įmonės ar vadovo darbe, tačiau jo formuluotės ar tonas atrodo neįprasti, verta tuo suabejoti. Žinodami, kuo skiriasi tapatybės klastojimas ir duomenų viliojimas, lengviau suprasite, ar tai apsimetinėjimas, ar bandymas išgauti duomenis.
• Prašymai suteikti per plačias prieigos teises. Jei gaunate laišką iš kolegos ar vadovo, kuriame prašoma neįprastai daug informacijos ar prieigos prie jautrių sistemų, būtinai tiesiogiai pasitikslinkite dėl tokio prašymo su tuo asmeniu. Net jei situacija skubi ir paaiškėja, kad prašymas buvo tikras, atsargus elgesys ir dėmesys įmonės kibernetiniam saugumui paprastai vertinami teigiamai.
• Spaudimas veikti greitai. Tai vienas ryškiausių socialinės inžinerijos atakos požymių. Išskyrus kai kurias išimtis (pvz., ilgalaikes pasitikėjimu paremtas sukčiavimo schemas), piktavaliai dažniausiai stengiasi sukurti skubos jausmą. Jei jaučiate spaudimą skubiai pateikti informaciją ar spustelėti įtartiną nuorodą, neskubėkite – pirmiausia įvertinkite situaciją. 

Kaip išvengti socialinės inžinerijos atakų

Kai suprantate, kaip veikia socialinė inžinerija, tampa lengviau apsisaugoti nuo tokių atakų. Štai keletas papildomų patarimų, kaip jų išvengti:

• Švieskite save ir kitus. Jei vadovaujate įmonei ar komandai, labai svarbu supažindinti darbuotojus su socialinės inžinerijos metodais. Įsilaužimo testai leidžia aptikti tinklo silpnąsias vietas ir kartu ugdyti darbuotojų sąmoningumą.
• Atkreipkite dėmesį į kalbos ir rašybos klaidas. Patikimos įmonės paprastai kruopščiai patikrina savo turinį prieš jį siųsdamos. Tuo tarpu sukčių žinutėse dažnai pasitaiko gramatinių ar rašybos klaidų – tai gali būti ženklas, kad tai apgaulė.
• Nebijokite klausti. Jei įtariate apgaulę telefonu, užduokite klausimų ir įvertinkite, ar tuo asmeniu galima pasitikėti. Svarbiausia – atkreipkite dėmesį, ar atsakymai neprieštarauja pasakojamai istorijai.
• Ribokite informaciją, kuria dalijatės internete. Viešindami per daug asmeninės informacijos (pvz., telefono numerius, darbovietės nuotraukas ar santykių statusą) socialiniuose tinkluose ar kitose platformose galite padėti sukčiams surinkti apie jus duomenis ir panaudoti juos socialinės inžinerijos atakoms.
• Rūpinkitės savo programine įranga. Reguliariai diekite atnaujinimus, naudokite antivirusinę programinę įrangą, įsidiekite nepageidaujamų laiškų filtrus ir naudokite naršyklės privatumo plėtinius.
• Naudokite VPN. VPN apsaugo jūsų tapatybę ir duomenis internete, ypač naudojantis viešais „Wi-Fi“ tinklais. Be to, „NordVPN“ „Threat Protection Pro™“ funkcija, skirta apsaugai nuo duomenų viliojimo, padeda išvengti kenkėjiškų svetainių ir ugdyti saugaus naršymo įpročius.

Džiuginantys duomenys: Remiantis „NordVPN“ 2025 m. nacionaliniu privatumo tyrimu, vis daugiau žmonių atranda įrankius, padedančius apsaugoti skaitmeninį privatumą. Informuotumas apie tokius įrankius išaugo nuo 27 proc. (2024 m.) iki 32 proc. (2025 m.). Nors šis rodiklis vis dar gana žemas, 5 procentinių punktų augimas rodo, kad žinios apie tokias priemones kaip VPN, slaptažodžių tvarkyklės ir šifruotos paslaugos pamažu didėja.