1. „Pronađena“ USB Fleš memorija
Ljudi vole besplatne stvari.
Zato se obraduju kad na parkingu ili ulici pronađu nešto što izgleda lepo,
deluje skupo i ima upotrebnu vrednost. USB fleš memorije mogu biti tako
dizajnirane, da su naprosto neodoljive. Upravo zato, jedna od vrlo uspešnih od metoda socijalnog inženjeringa je
„slučajno“ ostavljanje USB fleša sa malicioznim softverom na parkingu preduzeća
koje želi da se napadne. Nakon što zaposleni pokupi savršeno dizajniranu
modernu „flešku“, velika verovatnoća je da će se ista vrlo brzo naći
priključena na kompanijski kompjuter.
Poznat je slučaj kad je u holu
velike firme ostavljena korpica sa 30 (zaraženih) fleševa na kojoj je pisalo „FREE“
. U roku od nekoliko sati svih 30 je nestalo …
Iako je zaštita od pokretanja
izvršnog fajla sa eksterne memorije uključena u polisu, kao i skeniranje,
socijalni inženjeri su izmislili nove načine. Fajlovi imaju neobične ekstenzije
i primamljiva imena, i korisnik će ih iskopirati na svoj računar i tamo
pokrenuti. Postoji mogućnost da se potpuno zabrani USB fleš, ali ovaj vid
zaštite nije uobičajen, mnogo je bolje i razumniji pristup je razvijati svest
kod zaposlenih o potencijalnim opasnostima putem obaveznih obuka iz računarske
bezbednosti.
2. Jedan (ne)običan mejl
„Phishing“ (fišing) mejlovi su danas jedan od
najraširenijih, i još uvek najuspešnijih načina širenja malicioznog softvera.
Mejl izgleda potpuno uobičajeno, pošiljalac se predstavlja obično kao vendor
ili institucija od poverenja, neko ko kod zaposlenih neće izazvati pitanje ili
nedoumicu. U mejlu se biranim rečima poziva na neku vrstu interakcije, bilo da
se samo nudi da se pogleda neka interesantna informacija na linku, ili se traži
da se učestvuje u istraživanju putem upitnika i slično. U svakom slučaju, radi
se o linku na lokaciju koju napadač kontroliše. Jednom kad se klikne na takav
link, šteta je počinjena. Najčešći oblik ovakve prevare izvodi se u obliku
poziva da se „ponovo loguje na sistem“ zbog ažuriranja ili održavanja. Na taj
način napadač na lak način dolazi do pristupnih podataka korisnika sistema.
Zaposleni treba da budu svesni svih opcija prijavljivanja na sistem i
aplikacije, te da prijave svaku formu za unos pristupnijh podataka koja je
neuobičajena. Administratori sistema nikad neće slati zaposlenima mejl u kome
im traže pristupne podatke. To je ono sa čime svi zaposleni treba da budu
upoznati, kao i to da je svaki pokušaj traženja pristupnih podataka nešto što
treba da se prijavi.
3. Mejl sa poznate adrese
Nažalost, više se ne može reći
da je neki pošaljalac „pouzdan“. Ovo pogotovo važi za mejl adrese sa besplatnih
domena ili poruke sa društvenih mreža. Takva mesta lako bivaju hakovana, čak i
ako vlasnik ne zna za to. Dakle, i ako je poruka stigla od prijatelja, a sadrži
neobičan link ili prilog – treba bili oprezan. Pažljivim posmatranjem u
najvećem broju slučajeva pokušaj prevare će postati jasan. Osim toga, uvek
možemo pitati poznatu osobu da li nam je to poslala i šta je.
U svakom slučaju, dobar je
običaj da se na link ne klikne, već da se on prepiše u komandnu liniju
pretraživača.
Takođe, treba biti jako
oprezan sa svojim imejl nalozima. Lozinku treba menjati često, a posebno paziti
ukoliko je mejl nalog aktiviran na nekom od android uređaja koji može biti
ostavljen na dohvat ruke zlonamernom napadaču ili izgubljen.
4. Telefonski poziv
Jedan od čestih načina za
prikupljanje podataka je telefonski poziv. Napadač se predstavi kao vendor,
sistemska podrška, ili predstavnik neke institucije od poverenja, i traži
podatke.
Dobar način odbrane je da se
na primer od pozivaoca traže podaci i kaže mu se da ćemo mi nazvati njega, a
zatim se provere. Takođe, dobro je ispitati pozivaoca o tome šta već zna. Najbolji
način je da se nikakvi podaci, a pogotovo ne lični ili pristupni podaci za
sistem, ne daju preko telefona. Nikome.
Lično sam nedavno imala poziv
iz inostranstva gde se pozivalac predstavio kao zaposleni proizvođača opreme
koju koristimo. Na pitanje zašto se ne obrate preko vendora, odgovorio mi je da
prave istraživanje. Na pitanje otkud mu baš moji podaci, odgovorio je da ih je
dobio od direktora IT sektora, a zatim je rekao ime jednog od kolega iz NBS
koji čak nije u SIT-u. Nakon toga sam mu predložila da upitnik sa istraživanje
preko vendora pošalju zvanično (i dalje nisam pominjala ni jedno ime ili imejl).
Možda poziv nije bio zlonameran, ali opreza nikad dosta.
Takođe, bitno je znati da
rukovodioci, administratori sistema i help-desk tehničari nikad ne traže
pristupne podatke zaposlenih telefonom.
5. Pazi ko te prati
Napadač može iskoristiti našu
jutarnju užurbanost, preopterećenost i rasejanost. Koliko ljudi će obratiti
pažnju da ga pri ulasku u firmu neko prati u stopu. Čak ukoliko i ne uspe da
uđe u zgradu napadač, iskusan u socijalnom inženjeringu će pronaći neki način
da uđe, a onda će pratiti „žrtve“ i tako se kretati kroz preduzeće.
Zato je važno, pogotovo za
novozaposlene, da na vidnom mestu nose identifikacione kartice. Takođe, ukoliko
vas neko prati kroz prostorije preduzeća, ili se kreće okolo izgledajući
zaposleno, a osoba vam je nepoznata i ne
nosi obeležja preduzeća, ne treba oklevati nego pitati za identitet i funkciju.
Fizički pristup napadača u
prostorije preduzeća je situacija koja ne sme da se potceni, jer jednom kad uđe
u prostor preduzeća koje targetira, iskusan napadač ima širok spektar izvora
informacija i potencijalnih napada na raspolaganju.
6. Pomoć „profesionalca“
Velike organizacije koriste
proizvode i pakete poznatih i proverenih proizvođača, i ta su imena svima
poznata i ulivaju poverenje. Međutim, upravo tu može da dođe do zloupotrebe.
Naime ako neko nazove ili se pojavi i predstavi se kao predstavnik ili podrška
iz Majkrosofta, Orakla, Ciska … velika verovatnoća je da će zaposlenom da
popusti pažnja i da je poverenje prema toj osobi nešto što se podrazumeva.
Važno je znati da pomoć
vendora i partnera uvek ide po utvrđenoj proceduri, i čak i kad su prisutni u
prostorijama preduzeća oni se ne kreću okolo, i ne komuniciraju
samoinicijativno sa zaposlenima, bilo lično bilo telefonom. Isto važi i za
mejlove.
Trenutno je u svetu jako
raširen pokušaj napadača da se predstavljaju kao Windows tehnička podrška, i
traže udaljen pristup da bi ispitali tobožnju štetu napravljenu od nove vrste
malvera.
Svaki ovakav pokušaj treba
prijaviti, jer čak i ukoliko bi se zaista radilo o podršci partnera, takav
pristup je neprofesionalan i treba ga sprečiti u startu.
7. Blago zakopano u kanti za smeće
Jednom odštampana informacija
postaje potencijalno dostupna svima. Jedini način da se to spreči je da se,
nakon upotrebe, uništi na propisan način. Iskusni napadači ponekad traže i
nešto što se nama u trenutku ne čini kao poverljivo ili bitno. Na primer spisak
godišnjih odmora radnika nekog organizacionog dela. Ili telefonski brojevi. Ili
skice aplikacija, i šeme računarske mreže.
Testirajući svesnost svojih
radnika, zaposleni u IT bezbednosti jedne američke banke, nakon radnog vremena
su u kantama za otpatke pronašli više od 10.000 ID brojeva građana.
Zato je veoma bitno da se pazi
šta se baca u kantu za otpatke.
Bitka sa napadačima na
bezbednost informacija nikad ne prestaje. Ali, znanje je više od pola pobede.
Naravno, organizacija se štiti na više slojeva. Tehnička dostignuća zaštite se
prate i primenjuju redovno i po najvišim standardima, antivirus i antimalver
programi rade najbolje što mogu, ali rizik nikad nije sveden na nulu, sve dok postoji
ljudski faktor. Tehnologije nisu svemoguće. Ljudi su bitan sloj zaštite.
Obučenost i neprestana svesnost zaposlenih i rukovodilaca su aspekt zaštite
koji ne može i ne sme da se zanemari.
