Internets un mūsu drošība. Sociālā inženierija. 1.daļa
Sveiciens visiem!
Kā solīts, šeit mūsu nākošais
ieraksts, kurā parunāsim nedaudz vairāk par jau konkrētiem veidiem kādos kāda
nevēlama persona var mēģināt piekļūt mūsu informācijai un/vai naudai. Jebkurā
gadījumā ir skaidrs tas, ka jebkāda mūsu personiskā informācija 99% gadījumu ļaundariem
ir interesanta tikai un vienīgi lai tādā vai citādā veidā piekļūtu mūsu naudai.
Tātad tālāk kad runāsim par mūsu informāciju, domāsim ar to arī mūsu naudu!
Šodienas tēma būs sociālā
inženierija. Šis termins pēdējā laikā kļūst arvien populārāks un arī mums viņš
patīk, jo skan eleganti un precīzi apraksta darbību. Kas tad ir šī sociālā
inženierija – it kā krāpšana, bet ne gluži. Krāpšana ir, kad jūs aizņematies no
drauga piecīti cigaretēm līdz nākošajai algas dienai kaut gan alga bija vakar,
bet jūs cerat, ka pa mēnesi draugs to aizmirsīs un nebūs jāatdod. Sociālā
inženierija savukārt ir tad, kad jūs zinot dažādu informāciju par sava drauga
sociālo vidi (kur dzīvo, kur mācās, kādi hobiji, kās patīk, kas nepatīk utt.)
izdomājat un pasniedzat viņam tādu stāstu, kura rezultātā draugs pats iedod
jums piecīti un vēl ir laimīgs, ka var to izdarīt un iespējams, ka tikai pēc
kāda laika apjautīs, ka jūs viņu tomēr apkrāpāt. Patiesībā sociālā inženierija
ir ļoti sena. Senos laikos cilvēki gāja pie zīlnieces. Puiši gāja lai uzzinātu
vai dabūs smuku līgavu, meitenes – lai uzzinātu vai dabūs bagātu līgavaini vai
arī otrādi, bet kas notika patiesībā – cilvēki samaksāja dālderi un zīlniece izzīlēja
nākotni – kafijas biezumos, līnijās uz rokas vai vēl kaut kā, taču ne jau kafijas
biezumos viņa to ieraudzīja, bet gan skatoties uz cilvēku pašu, izvērtējot viņa
sociālo stāvokli, vērojot viņa reakciju uz dažādiem vārdiem, zīlniece saprata,
kas konkrēto cilvēku uztrauc vai interesē un attiecīgi virzīja sarunu. Rezultātā
cilvēks dzirdēja to, ko vēlējās dzirdēt un zīlniece saņēma savu dālderi. Abi
bija apmierināti.
Kas notiek mūsdienās – stipri
līdzīgi – “uzbrucējs” – sauksim to tā, jo hakeris ir kauktas nedaudz cits, par
ko kādā citā reizē – mērķtiecīgi cenšas iegūt no jums naudu vai informāciju, ko
izmantot savās interesēs. Un kā runājām iepriekšējā reizē, bieži vien šo
informāciju mēs vai nu paši iedodam viņam tieši vai arī netieši caur dažādām mūsu
aktivitātēm internetā.
Viens no primitīvākajiem mūsdienu
sociālās inženierijas paveidiem internetā ir dažādi e-pasti ar jūs iespējams
interesējošu informāciju. Šo te mēdz saukt arī par phishing – ar to saprot
mēģinājumu sākt konkrētu komunikāciju un iegūt informāciju kā piemēram paroles ar
kuru palīdzību varētu piekļūt jūsu e-pasta kastītei vai bankas kontam. Phishing
gan nozīmē, ka vienkārši tiek izsūtīti e-pasti dažādiem nezināmiem saņēmējiem
cerībā, ka kāds noreaģēs. Par konkrēti mērķētiem uzbrukumiem parunāsim jau
nākošnedēļ.
Sāksim ar visbanālāko – jūs
saņemat savā e-pastā vēstuli ārkārtīgi nepareizā latviešu valodā – pat google
translate šodien tulko labāk, bet laikam tas ir tulkojums no cita tulkojuma –
un šajā vēstulē kāds it kā Londonas vai Ņujorkas advokāts raksta jums, ka kādas
nelielas un nabadzīgas Āfrikas valsts bagātais karalis gājis bojā aviokatastrofā
(vai kaukto līdzīgu) un visus savus miljonus novēlējis tieši jums. Ja uzsākat
saraksti, tad tālāk tiek pieprasīta precīza personas informācija par jums lai
noformētu visas ar mantojumu saistītās formalitātes un protams, ka jāpārskaita neliela
(nieka daži tūkstoši) naudas summa, kas nepieciešama dokumentu formēšanai un
paša advokāta atlīdzībai. Tiklīdz nauda būs pārskaitīta, tā visas formalitātes
tiks sakārtotas un jūs tiksiet pie saviem miljoniem. Protams, ka ja nauda tiek
pārskaitīta, visi kontakti uzreiz pārtrūkst un pats par sevi saprotams, ka nekādus
miljonus jūs nesaņemat un pārskaitītā nauda arī ir zudusi neatgriezeniski. Stipri
līdzīgs ir variants ka tieši jūsu e-pasts ir vinnējis miljonus kaut kādā
nezināmā loterijā ar analoģisku tālāko scenāriju.
Mēs vienmēr esam brīnījušies vai
tiešām cilvēki iekrīt uz šādu triku, taču spriežot pēc tā, ka tādi e-pasti vēl
joprojām staigā pa pasauli, tad laikam jau kāds arī iekrīt. Dažkārt mums šķiet
ka tas ir varbūt samērā viltīgs veids, kā iegūt par mums sīkāku informāciju –
banka, konts utt., kaut gan mūsuprāt ja jau cilvēks ir iesaistījies šajā
komunikācijā un padalījies ar savu patieso informāciju, tad visticamāk, ka arī
nauda aizplūdīs. Morāle – ja saņemat šādu e-pastu, tad vienkārši to ignorējiet
un izdzēsiet – jo ātrāk, jo labāk.
Kur te ir sociālā inženierija – tur,
ka mēs laikam visi gribam lai mums būtu vairāk naudas, nekā mums ir un ieraugot
šķietamu iespēju ātri iegūt naudu, bieži aizmirstam par elementāru piesardzību.
Protams ka tehniskais jautājums ir - kā mums šo ideju pasniegt tā, lai mēs tai noticētu!
Līdzīga motivācija – iegūt vairāk
naudas ar minimālu piepūli vai ieguldījumu ir arī sekojošam jau sarežģītākam scenārijam:
Kādu dienu jūs saņemat
uzaicinājuma e-pastu ieguldīt naudu kriptovalūtā. Lielākā daļa no jums droši
vien zina, kas ir kriptovalūta un ir dzirdējuši arī to, ka jo sevišķi Bitcoin vērtība
no dažiem centiem sākotnēji ir pieaugusi līdz aptuveni 20 000 dolāru par 1
Bitcoinu šodien. Te gan jāpiebilst, ka neviens nezin, kā tas attīstīsies tālāk
un tikpat labi var būt, ka pēc gada šī vērtība atkal nokritīsies. Taču te spēlē
iesaistās apķērīgi cilvēki, kas izmanto šo informāciju savā labā.
Tātad jūs tiekat uzaicināti ieguldīt
savu naudu kriptovalūtas biržā vai kādā citā organizācijā, kas operē ar
kriptovalūtām un kas sola fantastisku peļņu. Jūs taču esat kaut ko dzirdējis
par kriptovalūtu vērtības pieaugumu un tas viss izklausās ļoti ticami un reāli.
Parasti šī organizācija vēl piedevām ir slēgta no apkārtējās pasaules un
pieejama tikai “izredzētajiem”, kas tiek uzaicināti – šāds papildus moments
parasti ļoti spēcīgi iedarbojas. Atceramies kaut vai draugiem.lv sākotnējos
hype laikus, kad visi gribēja tur tikt iekšā, bet varēja tikai tie, ko kāds iekšā
esošais bija ielūdzis (arī šī ir sociālā inženierija! – mēs tiecamies pēc tā,
kas it kā nav pieejams). Bet atpakaļ pie mūsu stāsta - tātad jūs reģistrējaties
šinī mājas lapā, laimīgs par to, ka tieši jums kāds dāvāja šo iespēju (nepadomājot,
ka šis e-pasts taču pat nebija jums personiski adresēts) un aizskaitāt naudas
summu un varat internetā savā kontā (pretējās puses veidotā interneta lapā) vērot,
kā jūsu ieguldītā naudas summa pieaug ikdienu. Šis atšķirībā no pirmā scenārija
ir jau tehniski stipri izsmalcinātāks risinājums un te cilvēki ir arī ieguldījuši
laiku un spēku lai izveidotu vizuāli pārliecinošu tēlu. Un tā ikdienā vērojot
kā jūsu ieguldījumu vērtība pieaug, jūs saprotat, ka ja būtu ieguldījuši jau
sākumā vēl vairāk, tad pieaugums būtu vēl lielāks un steigšus metaties papildināt
savu kontu (aizskaitīt vēl vairāk naudas). Tā atkarībā no savām finansiālajām iespējām,
jūs esat veiksmīgi atbrīvojušies no viena vai vairākiem tūkstošiem un ikdienā priecājieties
par ekrānā redzamo, diemžēl ir gadījumi, kad šādi cilvēki iesaista vēl citus – radiniekus,
paziņas, aizņemas naudu. Tā tas viss turpinās līdz kādu dienu jums ienāk prātā
doma, ka vajadzētu daļu no nopelnītās naudas arī izņemt un patērēt. Tanī brīdī parasti
vispirms parādās tehniskas problēmas ekrāna otrā pusē, kas neļauj vēlamo naudas
summu uzreiz pārskaitīt atpakaļ. Šīs problēmas ieilgst un visbeidzot atslēdzas
visi komunikācijas kanāli. Telefoni vairs nedarbojas vai ir atslēgti, tas pats
ar e-pastiem un šinī brīdī mēs parasti pirmo reizi sākam meklēt sīkāku
informāciju par mūsu naudas vairotāju – piemēram adresi un tad secinām, ka visa
šī organizācija atrodas vai nu kaut kur tālu, kur klāt mēs netiekam, vai pat ja
tiekam, tad izrādās, ka tanī adresē atrodas kāds šķūnītis nevis augsta līmeņa
kriptovalūtas birža vai arī tāda adrese nemaz neeksistē vai arī kompānijai
nemaz nav reālas adreses, ir tikai interneta mājas lapa - jebkurā gadījumā mēs kādā brīdī saprotam, ka laikam
tā ir bijusi krāpšana un savu naudu nekad vairs neatgūsim. Protams, ka var iet
uz policiju – droši vien ka arī vajag, taču diez vai tas kaukto atrisinās jums
personiski, jo visticamāk, ka pats savu naudu labprātīgi aizskaitījāt kaut kur
projām, visticamāk, ka saņēmēja bankas konts uz kuru skaitījāt naudu jau sen ir
slēgts un naudu atgūt nav iespējams.
Bet tas vēl nav viss. Īstā
sociālā inženierija tikai te sākas – jūs esat visus savus ietaupījumus
ieguldījis kādā krāpšanas shēmā un sliktākajā gadījumā vēl aizņēmies un visa šī
nauda tagad ir zudusi, atgūt to praktiski nav iespējams un jums vēl iespējams ir
parādi, kas jāatdod. Šis jautājums jūs ļoti nomāc un par to droši vien domājat
ikdienu. Bet kaut kur plašajā pasaulē ir kāds cilvēks vai cilvēku grupa (kā zīlniece
mūsu stāsta sākumā) kas to visu attālināti vēro un ļoti labi zina, ka šis
jautājums jūs nomāc un vēl šim cilvēkam ir visai plaša informācija par jums, jo
viņam (kāda gan sagadīšanās!) ir pieeja visai informācijai ar kuru jūs laipni
dalījāties visa šī teātra pirmā cēliena ietvaros. Un tā kādu dienu jūs pēkšņi
saņemat negaidītu zvanu vai e-pastu no šīs “zīlnieces”, kas gan šoreiz stādās
priekšā kā “izmeklētājs” vai “detektīvs”, kurš ir labi informēts par visu
notikušo un izmeklē šo krāpšanas shēmu un pozitīva iznākuma gadījumā sola
palīdzēt atgūt zaudēto, vai vismaz daļu no tā. Kā jums paveicās – zīlniece
izzīlēja tieši to, ko jūs visvairāk gaidījāt! Jebšu viņa tomēr zināja, ko jūs
gaidījāt? Eiforijā par to, ka jūsu problēma negaidīti atrisināsies, jūs pat
nepadomājat no kurienes šim cilvēkam ir informācija par jums – kaut gan arī tas
izklausās diezgan loģiski – viņš taču izmeklē šo gadījumu. Jūs uzsākat aktīvu
komunikāciju ar nākošo sev pilnīgi nezināmo sarunas partneri un iespējams, ka padalāties
ar viņu vēl ar kādu savu informāciju! Bet ne jau tas ir svarīgākais – pašā
komunikācijas karstumā izrādās, ka lai turpinātu (vai paātrinātu) šo
izmeklēšanu, nepieciešami papildus finanšu resursi, kuru izmeklētājam nav un viņš,
saprotams, ka jums nemaz neprasa, taču ja jūs tomēr atrastu iespēju šo summu
samaksāt, tas ievērojami paātrinātu procesu un pietuvinātu veiksmīgu
atrisinājumu, varbūt pat palielinātu atgūstamās naudas apmēru. Daudz nedomājot
jūs visticamāk aizņematies vēl naudu jo tepat, tepat taču būs laimīgais
atrisinājums un varēsiet atdot visus parādus un atgūt varbūt vēl daļu savas
zaudētās naudas un vieglu roku to pārskaitāt nākošajam nezināmajam saņēmējam.
Kas seko tālāk – viegli iedomāties. Scenārijs līdzīgs kā pirmajā cēlienā - ar
laiku komunikācija ar “izmeklētāju” sāk samazināties līdz izbeidzas pavisam. Tad
arī pārtrūkst visi sakari un pēc kāda laika mēs attopamies turpat, kur bijām
iepriekš, tikai zaudētās naudas summa ir vēl vairāk palielinājusies.
Kāds būtu mūsu ieteikums šādos
gadījumos – vispirms jau laikam neticēt, ka kāds kaut kur ar vieglu roku vienkārši
dala naudu. Lai cik viens vai otrs stāsts par peļņas gūšanu neizklausītos
ticami, taču brīnumi notiek tikai pasakās. Ja nu tomēr vēlme tikt pie vieglas
naudas sāk ņemt virsroku, tad noteikti pirms sākat pārskaitīt naudu kādam
nezināmam partnerim, vajadzētu ķerties pie tā paša interneta un ar vecā labā
Google palīdzību parakņāties un pameklēt informāciju gan par uzņēmumu, vai organizāciju,
kas to sola, gan par cilvēkiem, kas komunicē ar jums. Kā jau runājām agrāk, tad
dažkārt tur var atrast visu ko. Un tā informācija, ko esam ieguvuši paši uz
savu roku un ar savām metodēm noteikti ir daudz ticamāka par to, ko mums kāds nepazīstams
svešinieks pasniedz uz šķīvīša ar zeltītu maliņu. Un tikai izvērtējot to, izdarām
savu izvēli.
Mazs piemērs no dzīves – nesen
arī mūs sasniedza interesants e-pasts kurā tika stāstīts, ka uzņēmums ar
nosaukumu QuantumAI (it kā ģeniālā Elon Musk uzņēmums) esot uzbūvējis kvantu
superdatoru un šobrīd veiksmīgi prognozē dažādu uzņēmumu akciju cenu izmaiņas
un tādejādi ļauj saviem klientiem pelnīt ar biržas transakcijām. Protams, ka
turpat bija piedāvājums investēt naudu, kaut nelielu summu un paskatīties, kā
tas strādā. Uzņēmuma mājas lapa no dizaina viedokļa diezgan skaista, pat
intervijas ar Elon Musk utt. Mūs kā IT speciālistus nedaudz ieinteresēja šis
stāsts – vairāk gan tā tehniskās detaļas - un parakņājāmies nedaudz dziļāk. Jau
pavisam drīz sapratām, ka Elon Musk uzņēmuma nosaukums tomēr nedaudz atšķiras no
šī un tas saucas OpenAI un ar QuantumAI Elonam nav nekāda sakara. Vēl pēc dažām
minūtēm jau atradām rakstus par QuantumAI kā krāpniecisku shēmu. Tik
elementāri.
Un nobeigumā vēl viens samērā izplatīts phishing variants.
Jums pienāk e-pasts no bankas
saistībā ar jūsu kontu, karti vai norēķiniem. Vai arī no kāda pakalpojumu
sniedzēja saistībā ar jūsu kontu pie viņa. Šī gan nav tīri sociālā inženierija,
taču bez tās neiztikt arī šeit. Parasti mēs automātiski iedziļināmies e-pasta
saturā un ja informācija šķiet samērā ticama, reaģējam. Viegli ir, ja pienāk
e-pasts no, piemēram, Crédit Agricole vai City Bank New York un mēs droši zinām,
ka mums nekad nav bijis konts tādā bankā. Tad mēs pasmejamies un izdzēšam šo
e-pastu. Bet grūtāk ir ja saņemam samērā ticamu informāciju – e-pastu ar mūsu bankas
atpakaļ adresi vai linku uz bankas lapai ļoti līdzīgu interneta lapu un
informāciju vai tas ir e-pasts no Amazon vai ASOS vai AboutYou. Parasti runa ir
par uzlauztām parolēm, noplūdušu maksājumu karšu informāciju vai retāk - neapstiprinātu maksājumu (kuru iespējams jūs
nemaz neveicāt) vai ko tamlīdzīgu un tiek lūgta tūlītēja rīcība. Mūsu vēlme reaģēt
nekavējoties un glābt situāciju (mūsu naudu) liek mums rīkoties ātri (un
neapdomīgi) un tieši to gaida “uzbrucējs”, kurš šādu rīcību mēģina izprovocēt.
Parasti šādi e-pasti noved mūs kādā interneta vietnē, kur tiek lūgts lai mēs
ievadam ar savu norēķinu karti vai konta autorizāciju saistītu informāciju kura
tad nonāk ļaundaru rokās un var dot tiem iespēju piekļūt mūsu naudai. Parasti,
ja runa ir par bankas kontu, mēs vēl esam samērā modri, taču kad runa ir par
kontu kādā interneta veikalā, mūsu piesardzība atslābst – liekas, kas tad tur –
parole.. ko tad ļaundaris izdarīs – nu atkarībā no situācijas neko lielu, tikai
varbūt pasūtīs jūsu vārdā ar jūsu šim kontam piesaistīto kredītkarti sev jaunu 55" televizoru un piegādās to ne jau jums, bet gan uz sev vēlamu adresi. Redzot, ka
viss strādā, nākošajā dienā vēl pasūtīs sev PS5 vai iPhone12, jo var paiet kāds
laiks, kamēr jūs sapratīsiet ka kāds saimnieko pa jūsu maciņu un metīsieties uz
banku bloķēt maksājumu karti.
Šeit ieteikums it kā ir
vienkāršs, bet tas nav nemaz tik viegli realizējams. Galvenais ir nepaļauties panikai
vai neļaut sevi izprovocēt. Šo protams ir viegli rakstīt, bet nav tik viegli
realizēt dzīvē.
Bet jebkurā gadījumā te daži
pamatprincipi, kas būtu obligāti jāievēro – vispirms pievērsiet uzmanību
e-pasta struktūrai – vai tas tiešām ir adresēts tieši jums – ar vārdu un
uzvārdu – kā jau teicām, tad phishing e-pasti tiek izsūtīti tūkstošiem
potenciālo klientu, nezinot to identitātes. Ja neatrodat tur precīzu savu vārdu,
bet tikai “cienījamais klient”, tad tā jau ir samērā skaidra pazīme, ka šis e-pasts
ir viltojums. Un protmas, ka ja sanāk, atceramies bankas kaut kad teikto, ka
banka nekad neprasīs savam klientam kādus pieejas datus vai kodus! Tad vēl ieteikums
- neatkarīgi no tā, kas rakstīts e-pastā, nekad neiet pa priekšā pateikto ceļu –
nekādā gadījumā nespiest nekādas apstiprinājuma pogas, neapmeklēt mājas lapas,
kur mūs aizved linki no šī e-pasta un nekur neievadīt nekādu ar personīgu un / vai
pieejas informāciju. Vislabāk ir pārtraukt šo komunikāciju vai darbību un atkal
iet savu ceļu un sazināties ar banku vai pakalpojuma sniedzēju pa ierastajiem
kanāliem un noskaidrot vai tiešām ir radušās kaut kādas problēmas. Tās dažas
minūtes vai stundas ko šķietami pazaudēsiet nerīkojoties uzreiz neko nemainīs,
taču iespējams, ka izglābs jūsu naudu.
Nobeigumā viena priecīga vēsts. Tirgus
ekonomikas likumi darbojas visur un mums par laimi mūsu mazā Latvija ar savu
nelielo iedzīvotāju skaitu ir daudz mazāk pakļauta šim pēdējam riskam
salīdzinājumā ar lielām valstīm kā Krievija, Amerika, Vācija utt.. jo iespējamā
personalizētā mērķa auditorija ir samērā maza un tad vēl specifiska valoda –
daudz ērtāk taču kaut ko tādu darīt angliski, krieviski vai spāniski, kur
iespējams uzrunāt uzreiz daudzus simtus miljonu potenciālo upuru. Bet tas tomēr
nenozīmē, ka šādu risku pie mums nav vispār.
Nākošo trešdienu parunāsim par
citiem, varbūt mūs katru mazāk skarošiem sociālās inženierijas pielietojumiem,
bet tos jebkurā gadījumā ir vērts zināt.
Uz tikšanos nākošnedēļ!
Jūsu notebookshop.lv komanda
Nav komentāru
Komentēt
Pirkumu grozs
Pirkumu grozs ir tukšs.