Sildid

Sotsiaalne manipuleerimine kui küberoht

 Valisin tänaseks ajaveebiartikli teemaks sotsiaalse manipuleerimise ehk inglise keeles social engineering.


Pilt 1. Sotsiaalne manipulatsioon [1]

Infoturbe kontekstis sotsiaalne manipuleerimine on inimeste psühholoogiline mõjutamine tegevuste sooritamiseks või konfidentsiaalse teabe kättesaamiseks. Teatavat tüüpi usaldustrikk teabe kogumise, pettuse või süsteemile juurdepääsu eesmärgil erineb traditsioonilisest pettusest selle poolest, et see on sageli üks keerukama petuskeemi paljudest etappidest.[2]

Alljärgnevalt üks lihtne näide, kuidas petta mobiiltelefonioperaatori klienditeenindajalt teatava isiku andmeid ja ka seeläbi saavutada ligipääs isiku kontole mobiilsideoperaatori lehel, kasutades selleks beebikisa. 


Teine näide on küllaltki ligidalt. Töökaaslane soetas asutuse töönumbri, millele helistas üks võõras number. Telefonitoru teisel poolel väitis tugeva vene aktsendiga isik, et see number, millele ta praegu helistab, oli tema varasem telefoninumber ning tema Google konto ja Telegrami konto on selle numbriga seotud. Tundmatu isik palus, et kui sellele numbrile tuleb SMS, siis soovis saada SMSi edasisaatmist, et saaks oma kontodele ligi. Ilmselgelt proovis isik töökaaslase numbri kaudu kas kontosid luua või ligipääseda töökaaslase kontodele.

Antud näited on sotsiaalses manipulatsioonis kõigest jäämäe tipp. Laiemas laastus põhineb see Robert kuuel mõjutusviisil: 

  • isikustamine - ründaja väidab ennast kellekski kes ta tegelikult ei ole, et saavutada oma eesmärk;
  • hirmutamine - Ründaja (potentsiaalselt varjatud) teavitab või vihjab, et teatud toimingute tegemata jätmisel on negatiivsed tagajärgi;
  • konsensus - inimesi mõjutatakse tegema asju, mida nad näevad teisi inimesi tegemas;
  • vähesusele rõhuv - tajutav nappus tekitab nõudlust. Levinud reklaamlause "kuni kaupa jätkub" kasutab ära nappuse tunnet;
  • kiireloomulisus - seoses nappusega rõhuvad ründajad kiireloomulisusele;
  • tutvused - inimesi veenavad kergesti teised inimesed, kes neile meeldivad (kuulsused, sõbrad, tuttavad). Samuti rõhutakse füüsilise atraktiivsuse stereotüübile. [3]

Nendele kuuele printsiibile toetuvad erinevad ründevektorid [4]:

  • Peibutamine (baiting) - nagu nimigi viitab, kasutatakse peibutusrünnakutes valelubadust, et äratada ohvris ahnust või uudishimu. Nad meelitavad kasutajaid lõksu, mis varastab nende isikuandmeid või kahjustab nende süsteeme pahavaraga.
  • Hirmutvara (scareware) - hõlmab ohvrite pommitamist valehäirete ja fiktiivsete ähvardustega. Kasutajaid petetakse, kui nad arvavad, et nende süsteem on nakatunud pahavaraga, mis sunnib neid installima tarkvara, millest pole tegelikku kasu (väljaarvatud kurjategijale) või mis on ise pahavara. Hirmuvara nimetatakse ka petutarkvaraks, petturlikuks skanneritarkvaraks ja petuvaraks.
  • Ettekäände esitamine (pretexting)  - siin saab ründaja teavet nutikalt koostatud valede kaudu. Pettuse algatab sageli kurjategija, kes teeskleb, et vajab kriitilise ülesande täitmiseks ohvrilt tundlikku teavet.
  • Andmepüük (phishing) - ühe populaarseima sotsiaalse manipuleerimise ründetüübina on andmepüügipettused meili- ja tekstisõnumikampaaniad, mille eesmärk on tekitada ohvrites kiireloomulisust, uudishimu või hirmu. Seejärel sunnib see neid avaldama tundlikku teavet, klõpsama pahatahtlike veebisaitide linke või avama pahavara sisaldavaid manuseid.
  • Suunatud andmepüük (spear phishing) - andmepüügipettuse sihipärasem versioon, mille puhul ründaja valib konkreetsed isikud või ettevõtted. Seejärel kohandavad nad oma sõnumeid ohvrite omaduste, ametikohtade ja kontaktide põhjal, et muuta nende rünnak vähem silmatorkavamaks. Suunatud andmepüük nõuab kurjategijalt palju rohkem pingutusi ning selle elluviimiseks võib kuluda nädalaid ja kuid. Neid on palju raskem tuvastada ja nende õnnestumisprotsent on parem, kui neid oskuslikult teha.
Sotsiaalse manipulatsiooni ennetamiseks on erinevaid mooduseid. Kuna inimesed on leidlikud, mõjutustehnikad muutuvad koos tehnikaarenguga, siis ennetustöid saab üldistada nelja väitega [4]:
  • Ärge avage kahtlastest allikatest pärit meile ja manuseid 
  • Kasutage mitmefaktorilist autentimist 
  • Olge ahvatlevate pakkumiste suhtes ettevaatlik
  • Hoidke oma viirusetõrje-/ründevaratõrjetarkvara ajakohasena

Üksikisikuliselt soovitaks pidevalt olla kursis muutustega - koolitada ennast, reegleid seada endale (mida lubad endale; keda usaldada). Asutustele ehk organisatsioonidele soovitaks rõhuda usaldusväärsele tehnoloogiale ning töötajaskonna koolitamisele. Läbi koolituste tekib hügieen ja ühine mõistmine erinevatest ohtudest.

[1] https://i0.wp.com/kashmirglacier.com/wp-content/uploads/2021/07/Social-Engineering-Cybersecurity.png

[2] https://en.wikipedia.org/wiki/Social_engineering_(security)

[3] Cialdini, Robert. “Influence: The Psychology of Persuasion” (1984)

[4] https://www.imperva.com/learn/application-security/social-engineering-attack/

Sildid:

Kommentaarid

Postita kommentaar

Populaarsed postitused