Ljudje smo najšibkejši člen v verigi informacijske varnosti. Covid kriza je leta 2020 prisilila marsikatero podjetje, da je vpeljalo in kasneje tudi obdržalo vsaj hibriden, če ne celo povsem oddaljen (remote) način dela.
Oddaljeno delo je še posebej izpostavljeno nevarnostim
V domačem okolju pa smo ljudje še bolj ranljivi. Za služene potrebe uporabljamo tudi svoje naprave, nismo več v zavetju razmeroma dobro varovanih poslovnih računalniških omrežij in še s povsem človeškega stališča, nam v domačem okolju padejo običajne varovalke, ki so nam jim morda privzgojili z neko organizacijsko kulturo v službi.
Kot vsi ostali ljudje, so tudi hekerji šli po poti najmanjšega odpora. Zakaj bi se ukvarjali z vdiranjem v zapletene računalniške sisteme, ki so morda zelo dobro zaščiteni, če pa lahko pohekajo človeka in ga precej enostavno ovijejo okrog svojega prsta.
Vsi smo samo ljudje
Če nekdo ni ravno psihopat ali sociopat, se bo kot normalen človek odzival na svet okrog sebe po nekih zakonitostih, ki nam jih je narava vgradila v sto tisočih let razvoja človeške vrste. Da smo lahko preživeli in se razvijali, smo vzpostavili mehanizme, ki nas delajo to, kar smo človeški. Sposobni smo empatije, simpatije, radi pomagamo nekomu, ki potrebuje pomoč, ker tudi sami pričakujemo, da nam bo kdo pomagal, ko jo bomo potrebovali. Trdno verjamemo, da so drugi ljudje v svojem bistvu dobri ljudje, ker tudi sebe tako dojemamo.
Zakaj je socialni inženiring učinkovit?
Socialni inženirji, ki niso nič drugega kot kriminalci, večinoma izkoriščajo spodnjih 5 psiholoških sprožiteljev:
- pohlep. Kdo ne bi rad na hitro zaslužil? Še posebej, ker je nekdo ugotovil, da se nek pokojnik, ki je bil direktor banke, piše tako kot ti in zato lahko iz nekega bančnega računa potegne okrog 10 milijonov dolarjev in tebi ponuja 10% te vsote.
- radovednost. “I love you” je pisalo na znamenitem elektronskem sporočilu, ki je vseboval virus. Kdo ne bi odprt take elektronske pošte?
- nujnost (urgentnost). Dobiš pošto – v poštnem predalu ti zmanjkuje prostora in če ne boš takoj kliknil sem, ti bomo morali onemogočiti pošiljanje pošte. Je to poznano?
- pripravljenost pomagati. Velikokrat kriminalci izkoristijo večje tragedije in pripravljenost ljudi, da pomagajo … npr. z zbiranjem sredstev, ki pa nikoli ne pristanejo tam, kjer bi morala.
- strah. Dobimo elektronsko sporočilo, kjer nam npr. družba MasterCard skuša povedati, da je nekdo uporabil vašo MC kartico in da jo morate ponovno validirati.
Vse to našteto dobri socialni inženirji lahko obrnejo sebi v prid. Čeprav se sliši kot neke vrste akademski naziv, pa je biti socialni inženir pravzaprav biti manipulator, kar pa več laskavo.
In ne, čeprav bi si še tako želeli verjeti – niso vsi ljudje dobronamerni.
Kdo vse je dovzeten? Vsi.
V podjetjih velikokrat naletimo na eno zanimivost. Kot kritične uporabnike vodstvo podjetja mnogokrat šteje direktorje, vodje, morda še tiste v financah, a pri tem pozabi na drugo osebje kot so vratarji, tajnice, tudi čistilke.
Tudi ti imajo dostop do IT virov podjetja. Če ne logično v obliki uporabniško ime in geslo, pa fizično. In ni ga hekerja, ki se ne bi razveselil fizičnega dostopa do strežnikov.
Naj navedemo plastičen primer: v podjetju se odločajo o tem, koliko licenc bodo kupili za storitev varovanja elektronske pošte. Razmišljajo tako: najbolj kritični so direktorji, vodje ter oddelek financ.
Napaka: elektronsko pošto je treba varovati prav vsem uporabnikom, ki imajo svoj poštni predal.
Kaj vam nudimo?
- Simuliramo napad s socialnim inženiringom kot del penetracijskega testa. Izvedemo lahko tipične scenarije z elektronsko pošto, telefonskim klicem ali poskusom fizičnega vdora, kjer se prelevimo v poštarja, varnostnika, uslužbenca pri ponudniku interneta in drugo.
- Izobraževanja, s katerimi pri vaših zaposlenih povečujemo stopnjo zavedanja o nevarnostnih socialnega inženiringa in jih učimo, kako jih prepoznati poskuse tovrstne manipulacije ter jih učinkovito odbiti.