Plašākā nozīmē par sociālo inženieriju var uzskatīt jebkuru manipulāciju, kas saistīta ar uzvedības psiholoģiju. Taču šis jēdziens ne vienmēr ir saistīts ar noziedzīgām vai krāpnieciskām darbībām. Faktiski sociālā inženierija tiek plaši izmantota un pētīta dažādos kontekstos, tostarp sociālajās zinātnēs, psiholoģijā un mārketingā.
Kiberdrošības jomā sociālā inženierija tiek īstenota ar slēptiem motīviem un attiecas uz ļaunprātīgu darbību kopumu, kuru mērķis ir manipulēt ar cilvēkiem, lai pārliecinātu veikt tiem nelabvēlīgas darbības, piemēram, izpaustu personisku vai konfidenciālu informāciju, ko vēlāk var izmantot pret viņiem pašiem vai viņu uzņēmumu. Identitātes krāpniecība ir ierasts šādu uzbrukumu rezultāts, un daudzos gadījumos tas rada būtiskus zaudējumus.
Sociālā inženierija bieži tiek uzskatīta par kiberdraudiem, taču šis jēdziens pastāv jau sen un to var lietot arī saistībā ar reālās pasaules krāpnieciskām shēmām, kurās parasti kāds uzdodas par oficiālas iestādes pārstāvi vai IT speciālistu. Tomēr līdz ar interneta parādīšanos uzbrucējiem kļuva daudz vienkāršāk veikt manipulatīvus uzbrukumus plašākā mērogā, un diemžēl šādas ļaunprātīgas aktivitātes notiek arī kriptovalūtu pasaulē.
Kā tas darbojas?
Visi sociālās inženierijas paņēmieni ir balstīti uz cilvēka psiholoģijas vājajām vietām. Krāpnieki izmanto cilvēka emocijas, lai manipulētu un apmuļķotu savus upurus. Cilvēku bailes, alkatība, ziņkārība un pat vēlme palīdzēt citiem tiek pavērstas pret viņiem pašiem, izmantojot dažādas metodes. Viena no populārākajām un vislabāk zināmajām ļaunprātīgas sociālās inženierijas metodēm noteikti ir pikšķerēšana.
Pikšķerēšana
Pikšķerēšanas e-pasta ziņojumi bieži vien atgādina vēstules no likumīgiem uzņēmumiem, piemēram, vietējās banku ķēdes, uzticama tiešsaistes veikala vai e-pasta pakalpojumu sniedzēja. Dažkārt šie klonētie e-pasta ziņojumi brīdina, ka lietotāja kontu ir nepieciešams atjaunināt vai tajā ir konstatētas neierastas aktivitātes, kā rezultātā lietotājam ir jāiesniedz sava personiskā informācija, lai apstiprinātu savu identitāti un atrisinātu ar kontu saistīto problēmu. Cilvēki aiz bailēm mēdz noklikšķināt uz saitēm un atvērt viltotas vietnes, lai norādītu prasīto informāciju. Šajā brīdī informācija nonāk uzbrucēju rokās.
Viltus pretvīrusu programmatūra
Sociālās inženierijas paņēmieni tiek izmantoti arī, lai izplatītu viltus pretvīrusu programmatūru jeb t. s. "baiļu programmatūru". Kā var noprast, šī ļaunprogrammatūra ir paredzēta lietotāju biedēšanai un šokēšanai. Parasti tiek izveidoti viltus brīdinājumi, lai mēģinātu maldināt upurus un pārliecinātu instalēt krāpniecisku programmatūru, kas atgādina likumīgu programmatūru, vai piekļūt vietnei, kas inficētu lietotāja datorsistēmu. Šāds paņēmiens ir balstīts uz lietotāju bailēm par to, ka notiks uzbrukums viņu datorsistēmām, cenšoties pārliecināt noklikšķināt uz tīmekļa reklāmkarogu vai uznirstošo logu. Ziņojumi parasti ir līdzīgi šim: "Jūsu sistēma ir inficēta. Noklikšķiniet šeit, lai to attīrītu."
Pievilināšana
Pievilināšana ir vēl viena sociālās inženierijas metode, kas daudziem neuzmanīgiem lietotājiem sagādā raizes. Tajā tiek izmantota "ēsma", lai pievilinātu upurus, balstoties uz alkatību un ziņkārību. Piemēram, krāpnieki mēdz izveidot vietnes, kas piedāvā kaut ko bez maksas, piemēram, mūzikas failus, video vai grāmatas. Taču, lai varētu piekļūt šiem failiem, lietotājiem ir jāizveido konts un jānorāda personiskā informācija. Dažos gadījumos nav jāizveido konts, jo faili jau ir inficēti ar ļaunprogrammatūru, kas iekļūst upura datorsistēmā un iegūst tajā glabātos sensitīvos datus.
Pievilināšanas shēmas pastāv arī reālajā pasaulē un ietver USB zibatmiņas un ārēju cieto disku izmantošanu. Krāpnieki var mērķtiecīgi atstāt inficētas ierīces publiskās vietās, lai ziņkārīgie cilvēki varētu tās paņemt aiz vēlmes pārbaudīt ierīces saturu, kā rezultātā tiktu inficēts lietotāja dators.
Sociālā inženierija un kriptovalūtas
Alkatīga mentalitāte var būt ļoti bīstama finanšu tirgos, tāpēc tirgotāji un investori ir jo īpaši pakļauti pikšķerēšanas uzbrukumu, Ponci un piramīdas shēmu, kā arī citu veidu krāpniecības riskam. Blokķēdes nozarē jaunpienācējus ātri vien var pievilināt ar kriptovalūtām saistītā aizrautība (jo īpaši tirgū ar pozitīvu tendenci).
Lai gan daudzi pilnībā neizprot kriptovalūtu darbības principus, tie bieži vien padzird par iespēju gūt peļņu šajos tirgos un iegulda līdzekļus, neveicot atbilstošu izpēti. Sociālā inženierija ir īpaši bīstama iesācējiem, jo tie bieži kļūst par savas alkatības un baiļu upuriem.
No vienas puses, vēlme ātri un viegli gūt peļņu mudina iesācējus uzticēties viltus solījumiem par dāvanu un tokenu izdalēm. No otras puses, bailes, ka lietotāja privātie faili var tikt kompromitēti, var mudināt samaksāt izpirkuma maksu. Dažkārt nav īsta izspiedējvīrusa un lietotājus apmuļķo ar viltus brīdinājumu vai ziņojumu, ko izveidojuši uzbrucēji.
Kā novērst sociālās inženierijas uzbrukumus?
Kā minējām, sociālās inženierijas krāpniecība darbojas tāpēc, ka tā izmanto cilvēkam raksturīgās īpatnības. Parasti kā motivators tiek izmantotas bailes, mudinot nekavējoties rīkoties, lai sevi (vai sistēmu) aizsargātu pret neīstiem draudiem. Uzbrukumos tiek izmantota arī cilvēka alkatība, ievilinot dažādās ar ieguldījumiem saistītās krāpniecības shēmās. Tāpēc ir svarīgi paturēt prātā, ka tad, ja piedāvājums šķiet pārāk labs, lai būtu patiesība, visticamāk, tā tas arī ir.
Daži krāpnieki ir ļoti prasmīgi, taču citi pieļauj acīmredzamas kļūdas. Pikšķerēšanas e-pasta ziņojumi un pat t. s. "baiļu programmatūras" reklāmkarogi satur sintakses vai pareizrakstības kļūdas un nostrādā tikai pret tiem lietotājiem, kas nepievērš pienācīgu uzmanību gramatikai un pareizrakstībai, tāpēc esi vērīgs.
Lai nekļūtu par sociālās inženierijas uzbrukumu upuri, ņem vērā tālāk norādītos drošības padomus.
Izglīto sevi, savu ģimeni un draugus. Pastāsti viņiem par populārām ļaunprātīgās sociālās inženierijas metodēm un svarīgākajiem drošības principiem.
Ievēro piesardzību, atverot e-pasta pielikumus un klikšķinot uz saitēm. Neklikšķini uz nezināmām reklāmām un vietnēm.
Instalē uzticamu pretvīrusu programmatūru un regulāri atjaunini savas programmatūras lietotnes un operētājsistēmu.
Kad vien iespējams, izmanto vairākfaktoru autentifikācijas risinājumus, lai aizsargātu savus e-pasta akreditācijas datus un citu personisko informāciju. Iestati savam Binance kontam divu faktoru autentifikāciju (2FA).
Uzņēmumiem: apsver iespēju apmācīt savus darbiniekus, lai tie spētu identificēt un novērst pikšķerēšanas uzbrukumus un sociālās inženierijas shēmas.
Noslēgumā
Kibernoziedznieki pastāvīgi meklē arvien jaunus veidus, kā maldināt lietotājus un nozagt to līdzekļus un sensitīvo informāciju, tāpēc ir ļoti svarīgi izglītot sevi un savus tuviniekus. Internets ir ērta vide šādām krāpniecības shēmām, un tās īpaši bieži ir sastopamas kriptovalūtu nozarē. Ievēro piesardzību un uzmanies, lai nekļūtu par sociālās inženierijas upuri.
Turklāt ikvienam, kas vēlas tirgot vai ieguldīt kriptovalūtās, ir jāveic rūpīga iepriekšēja izpēte un jāpārliecinās, ka tam ir pienācīga izpratne par blokķēdes tehnoloģijas darbības mehānismiem un kriptovalūtu tirgiem.