Već mnogo puta spomenuta, ljudska greška ii dalje ostaje jedan od glavnih uzroka sajber napada. Kao preventivu, stručnjaci najčešće navode povećanje svesti i obuku zaposlenih, ali da li je to dovoljno? Da bismo bolje razumeli ljudsku grešku kao slabost sistema sajber bezbednosti, potrebno je da shvatimo kako su socijalni inženjering i sajber bezbednost povezani. Šta je uopšte socijalni inženjering i zašto je važan u kontaktu sajber rizika? Odgovor sledi u tekstu.
Šta je socijalni inženjering?
Najpre je potrebno da naglasimo da socijalni inženjering nije pojava koja se primarno vezuje za sajber bezbednost, već ima i šriri društveni značaj. Međutim, ovog puta se ovom temom bavimo sa aspekta sajber rizika i kriminala.
Socijalni inženjering predstavlja vid manipulacije ljudima i poverljivim podacima kojima oni raspolažu, kao i njihovim ličnim podacima ili podacima o njihovom poslovanju. On se sprovodi tako što će sajber kriminalac/haker pokušati da na prevaru ili neku priću dođe do pristupa/naloga/lozinke koja pripada nekom određenom korisniku ili nekom pripadniku određene ciljne grupe, kako bi sam haker izbegao gubljenje vremena na hakovanje.
Tako što će sve dobiti direktno od korisnika, haker štedi vreme i ostale resurse, a otvara mu se slobodan put do pristupa poverljivim i/ili ličnim podacima, pa i za krađu istih.
Socijalni inženjering ima više različitih oblika, ali najčešće se cilja na to da kliknete na određeni link, preuzmete malicioznu datoteku ili otvorite sumnjiv mejl.
Psihološka dinamika socijalnog inženjeringa – 6 principa Roberta Čaldinija
Upoznali smo se sa osnovnom definicijom pojma socijalni inženjering, ali i dalje preostaje da se detaljnije upoznamo sa ovom pojavom, kako bismo je lakše predupredili.
S obzirom da je ljudski um veoma kompleksan i ponekad ga je teško dokučiti, tako su i sajber kriminalci morali da se oslanjaju na pristupe koji u svom korenu imaju psihologiju. S tim u vezi, možemo primetiti neke najčešće okidače koji sa sobom nose rizik od kasnije krađe podataka.
Neverovatno je, ali pokazalo se da se ljudsko ponašanje u socijalnom inženjeringu može uporediti sa ljudskim ponašanjem prilikom ubeđivanja. Američki psiholog Robert Čaldini, istraživao na koji način se može izvršiti uticaj na čoveka i ubediti u nešto. Na osnovu donetih zaključaka, formulisao je šest principa uticaja, koji se mogu uočiti i kod socijalnog inženjeringa. Ti principi su:
- Reciprocitet
- Doslednost
- Društveni dokaz
- Autoritet
- Pristrasnost
- Oskudica
#1 Reciprocitet – ljudi imaju prirodnu potrebu da uzvrate neku uslugu, pa se to često koristi u svrhu socijalnog inženjeringa. Recimo, učini se neka manja usluga targetiranoj osobi, koja želi kasnije da uzvrati, i to najčešće nesvesno – davanjem neke naizgled nebitne informacije ili pristupa nekom podatku.
#2 Doslednost – u svojoj psihi, ljudi neguju doslednost i posvećenost, pa tako ukoliko se na neki način (usmeno ili pismeno) obavežu na nešto, potrudiće se da to i ispune, da bi održali sliku o sebi kao doslednoj osobi.
#3 Duštveni dokaz – ljudi će lakše pristati da urade nešto ukoliko to drugi već rade, odnosno ako imaju potvrdu drugih da je rade dobru stvar.
#4 Autoritet – ovaj princip oslanja se na tendenciju ljudi da poštuju autoritet, bez dublje analize i preispitivanja, čak i kada je od njih traži da izvrše neke diskutabilne radnje.
Primer za to u smislu socijalnog inženjeringa je mejl koji naigled dolazi od nekog nadređenog, ili renomirane institucije, koji nalaže da se nešto uradi – na primer, da se pošalju neki podaci putem mejla.
#5 Pristrasnost – ljudi lakše pristaju na nešto ukoliko to od njih traži osoba koja im je simpatična.
#6 Oskudica – ukoliko naizgled postoji neka hitnost ili nedostatak nečega (ili se tako prezentuje), ljudima se smanjuje sposobnost rasuđivanja i oni mogu da preduzmu radnje koje inače ne bi.
Recimo, ukoliko zaposlenom stigne mejl kojim se traži hitna potvrda neke informacije pustem linka (fišing), i on u strahu da ne propusti rok klikne na link bez mnogo razmišljanja, može postati žrtva sajber kriminala.
Interesantno je koliko tehnologija, iako toliko napredna, i dalje nalazi korene u ljudskoj psihi. Ovo je samo još jedna potvrda da ukoliko želimo da zađemo u dubine borbe protiv socijalnog inženjeringa, a samim tim i protiv sajber kriminala, moramo da pođemo od onog najosnovnijeg – čoveka i njegovih potreba.
Socijalni inženjering i sajber bezbednost – koja je konekcija?
Sada kada je jasno po kom principu funkcioniše ovaj proces, važno je da znamo kako su socijalni inženjering i sajber bezbednost neke kompanije povezani.
Naime, kao što smo već spomenuli na početku ovog teksta, ljudska grešaka je jedan od najvećih uzroka sajber napada. Mnoge od tih grešaka izaziva upravo socijalni inženjering. Na koji način?
Zamislimo situaciju: hakeri su targetirali vašu kompaniju kao moguću žrtvu i važno im je da “nađu nekog iznutra”. Naravno, sa svim preduzetim merama sajber bezbednosti i povećanju svesti kod zaposlenih, oni neće pronaći nekog voljnog da mu samoinicijativno otkrije, prenese ili da pristup poverljivim podacima iz vašeg poslovanja. Šta može haker da uradi, a da ne izgubi dane pokušavajući da prodre u vaš dobro obezbeđen sistem? Može da pribegne socijalnom inženjeringu.
To će sprovesti tako što će prevariti nekog vašeg zaposlenog da, na osnovu možda nekih mejlova, preuzme maliciozni fajl koji će dalje izvršiti napada na vaš sistem, ili da otkrije svoje podatke za pristup, misleći možda da mu je neko od nadređinih tražio iste.
Bilo kako bilo, sajber kriminalac je dobio šta je želeo, nalazi se u vašem sistem, sprema se za krađu podataka i kasnije na njihovu zloupotrebu ili traženje otkupa (ransomware).
Ovo je jedan hipotetički primer, čisto da bismo videli mehanizam delovanja socijalnog inženjeringa u službi sajber kriminala, i da bi kompanije bile svesne da se ne može baš sve kontrolisati. I eto problema za sajber bezbednost, i posledično – ogromnih troškova za kompaniju.
3 načina kako da umanjite sajber rizik na osnovu socijalnog inženjeringa
Socijalni inženjering je usmeren direktno na ljude, stoga se njima morate i obratiti. Da, odlično je što imate jake protokole i zaštite protiv sajber kriminala, ali šta kada su ljudi “najslabija karika”? Evo šta da radite.
#1 Edukujte zaposlene i upoznajte ih sa sajber opasnostima
Napomenuli smo ovo nebrojeno puta ranije, ali sve počinje od svesti. Osim jačanja tehničkog aspekta sajber bezbednosti, važno je da svoje zaposlene obučite kako da prepoznaju slučaj socijalnog inženjeringa, i da mu se odupru. Ovo je naročito značajno da se preduprede phishing napadi i sajber iznude (ransomware).
Takođe, važno je da konstantno radite na povećanju svesti zaposlenih o značaju sajber bezbednosti, kao i mogućim posledicama narušavanja iste.
#2 Na vreme alarmirajte zaposlene
Fišing (phishing) i dalje ostaje najčešći (i najpopularniji) vid socijalnog inženjeringa u svrhu krađe podataka. Zaposleni dobijaju email ili neku drugu poruku putem zvaničnog kanala, od naizlged proverene institucije kao što je banka, u kojem se tradi potvrda njihovih podataka.
Kao u našem primeru koji smo opisali gore u tekstu, zaposleni se ponekad prevare, ostave svoje podatke, i tako pokrenu pravu sajber lavinu.
Jedan od načina da sprečite da se ovo dogodi je da zaposlene upoznate sa ovom taktikom sajber kriminalac, tako da znaju da je prepoznaju. Takođe, potrudite se da zaposlene na vreme alarmirate da su se pojavile fišing poruke, jer će verovatno svi biti na udaru, dokle god neko ne poveruje u malicioznu poruku i ne da pošalje tražene informacije.
#3 Štitite identitet zaposlenih koji rade od kuće
U poslednje dve godine, zbog promene globalne klime poslovanja, veliki broj kompanija je usvojio hibridni način poslovanja, u smislu da radnici mogu da rade i van kancelarije. Iako je to odličan potez sa aspekta zaposlenih, pa čak ima i odličan uticaj na produktivnost, ipak ostaje briga sajber bezbednosti.
Aktivnosti kao što je razmena fajlova, pristup nalozima i podacima, komunikacija sa IT podrškom – sve su ovo tačke spoticanja za službu sajber bezbednosti.
Kada neko radi van kancelarije, veća je i mogućnost da kontaktira IT podršku po osnovu nemogućnosti logovanja na neki nalog ili sistem ili slično. Ovo može poslužiti kao savršena prilika za lažno predstavljanje, krađu identiteta zaposlenih i na kraju – krađu podataka.
Iz tog razloga, važno je da primenite dodatne mere zaštite, kao što je multifaktorna autentifikacija i slični mehanizmi, naročito jer je hibridni način rad ovde na dugi rok, i sva je prilika da se mnoge organizacije nikad i neće vraćati na rad striktno iz poslovnog prostora.
Ne mogu se svi slučajevi sajber kriminala povezati sa socijalnim inženjeringom, tu su i drugi uzroci. Dešava se da, iako smo preduzeli sve preventivne mere, ipak dođe do sajber napada i krađe podataka, koji mogu prouzrokovati prvenstveno gubljenje renomea kod klijenata, a zatim i finansijske troškove po osnovu tužbe. Šta raditi u tom slučaju?
Rešenje postoji i zove se sajber osiguranje. Ova polisa služi da deo sajber rizika prenese na osiguravajuću kući, i da se iz nje pokriju već pomenuti troškovi.
Potrebno vam je sajber osiguranje za vašu kompaniju, ali vam se čini da i dalje nemate dovoljno informacija? Kontaktirajte VIB stručni tim i mi ćemo odgovoriti na sva vaša pitanja. Zajedno ćemo pronaći najbolje rešenje za potrebe vašeg biznisa, kada je u pitanju plisa sajber osiguranja.
Napomena: Tekst je prvobitno objavljen 10.8.2022. i naknadno ažuriran kako bi sadržao novije informacije.