Blogi: ära lase tehnosotsiaalsel sahkerdajal endaga mängida

Mäsese sõnul on kõige tõhusam kaitse küberrünnakute vastu on terviklik turvapoliitika: kus lisaks tehniliste rünnete vältimisele tuleks hoiduda ka sotsiaalse sahkerdamise eest.

Järgneb Sten Mäsese kirjutis ASA Quality Services blogis:

Sotsiaalne sahkerdamine (Social engineering) on meetod, mille käigus kasutatakse infole või ressurssidele (nt IT-süsteemidele) omavolilise ligipääsu saamiseks erinevaid inimestega manipuleerimise tehnikaid. Oskusliku pettuse tõkestamine on üpriski keeruline, sest inimeste loomuses (ja sageli ka töökirjelduses) on olla abivalmis ja kuulekas. Seetõttu on isegi umbusklikul töötajal raske keelduda autoriteetse ja enesekindla häälega jagatud juhistest või hädasolija abipalvest.

Sotsiaalne mõjutamine. Teiste inimeste mõjutamine kui meetod oma eesmärkide saavutamiseks pärineb juba eelajaloolisest ajast, sest ilma mõjutamiseta on praktiliselt võimatu koostööd teha. Küberturvalisuse kontekstis rõhutab social engineering võimalust inimeste manipuleerimise abil mööda hiilida tehnilistest turvameetmetest. Näiteks võib e-posti kontole ligipääsemiseks keeruka häkkimise asemel lihtsalt kasutajalt otse küsida. Kui õnnestub jätta mulje, et seda nõuab ülemus, politsei või keegi teine autoriteetne isik, ei ole sugugi välistatud, et kasutaja oma parooli näiteks telefonikõnes vabatahtlikult avaldab. Veel üks levinud võte pn personaalset informatsiooni välja petta teenindava personali kaudu, kelle tööülesandeks on inimesi aidata. Hädasoleva kliendi või väidetava kolleegi aitamiseks võivad mitmed teenindajad kogemata manipulatiivsele ründajale konfidentsiaalset informatsiooni paljastada.

Tehnosotsiaalne sahkerdamine. Eriti tõhus ja seetõttu ka ohtlik on sotsiaalne mõjutamine, kui seda kombineerida tehnilise küberrünnakuga. Näiteks võib rünnatav arvutikasutaja keelduda oma kasutajanime ja parooli telefoni teel avalikustamast, kuid installib kuulekalt väidetava IT-toe poolt saadetava turvauuenduse, mis võib tegelikult olla viirus, klahvinuhk (keylogger) või muu pahavara.

Tänapäevaste vabalt internetis levitavate häkkimisvahenditega on lihtne luua vajalikust veebilehest suhteliselt täpne koopia, mis salamisi külastajate arvutitest turvaauke püüab leida. Vahel pole isegi turvaauku vaja leida, kui õnnestub rünnatavat kasutajat veenda oma isiklikke andmeid vabatahtlikult sisestama.

Aina rohkem on aga küberkriminaalid hakanud inimeste lihtsameelsust ja abivalmidust kurjalt ära kasutama just sooviga - kas siis otseselt (nt inimestelt raha või hinnalist infot välja pettes) või kaudselt (nt konkurendi mainet kahjustades) - rikastuda. Kuna sotsiaalne sahkerdamine on oma olemuselt väga lihtne, on seda ennetada üpris keeruline.

Sahkerdamisvastased abinõud

Tehnosotsiaalse sahkerdamise vastu tegutsemist tasub organisatsioonides alustada uutest töötajatest, sest just nemad on oma ebakindluse ja kogenematusega libekeelsete ründajate lemmiksihtrühm. Võimalikult varakult tuleks veenduda, et kõik töötajad on kursis organisatsiooni eeskirjade ja tavadega. Lisaks tuleks kõigile töötajatele selgeks teha, kuidas potentsiaalseid pettureid ära tunda ja mida sel juhul teha.

Näiteks tasub eriti ettevaatlik olla tundmatute inimestega, kellel on väga kiire. Hädaolukorra (vähemalt näilik) loomine takistab rünnataval isikul selge pilguga olukorda hinnata ja suurendab tõenäosust, et tegutsetakse mõtlematult petturi abistamiseks. Peaaegu alati on võimalik korraks aeg maha võtta ja pakilist probleemi rahulikult lahata. Abiks oleks kindlasti ka täpsed eeskirjad, mida erinevate hädaolukordade puhul tuleks järgida.

Teine märk, mis peaks koheselt valvsust suurendama, on salasõna küsimine. Professionaalne IT-töötaja, koristaja, naaber alumiselt korruselt, teller pangas ega keegi teine ei tohiks huvi tunda kellegi teise isikliku salasõna või koodi vastu. Valvsust peaks koheselt suurendama ka e-kirjas sisalduv viide või manustatud fail. Kui e-kiri pärineb tuttavalt inimeselt, kuid selle sisu on vähimalgi määral ebatavaline, siis tasub võimaluse korral saatjaga (näiteks telefoni teel) ühendust võtta ja kontrollida, et kiri tõepoolest pärineb väidetavalt isikult.

Lisaks tehnilistele tulemüüridele ja viirusekaitseprogrammidele tasuks üle vaadata ka arvuti füüsiline kaitse. Pole sugugi välistatud, et suuremates organisatsioonides saab enesekindla olekuga kurikael sületäie sülearvutitega tähtsal ilmel asutuse peauksest välja marssida ilma, et keegi midagi kahtlustaks. Töökohas oma arvuti tagant lahkudes tasub see kindlasti lukustada. ASA Quality Services kontoris on näiteks selline kord, et järelvalveta ning lukustamata jäetud arvuti omanik toob kolleegidele maiustamiseks koogi. Säärased meetmed tekitavad ka uutes töötajates kiirelt harjumuse laua tagant lahkudes oma arvuti eeskirjade kohaselt lukustada.

Mitmekihiline turvalisus. Erinevate inimmanipulatsioonide vältimisel ei maksa aga unustada ka tavapärast turvarutiini. Mitmeastmeline autentimine ja korralik paroolihaldus aitavad võimaliku infolekke levimist tõkestada ning tarkvarauuendused takistavad laialdaselt teadaolevate turvaaukude ärakasutamist.

Sissekande tervikteksti saab lugeda ASA Quality Services blogist.

Autor: ituudised.ee - Äripäeva IKT uudiste teemaveeb