|
Dydis: 8250
Komentaras: Deivydo Šabaro EPKf-09
|
Dydis: 8292
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 1: | Eilutė 1: |
| == Žodis angliškai == HTTPS Protocol |
= Socialinė inžinerija = IT saugumo kontekste, socialinė inžinerija apibrėžia psichologinį manipuliavimą žmonėmis, siekiant atlikti tam tikrus veiksmus ar atskleisti konfidencialią informaciją, nenaudojant techninių ar fizinių įsilaužimo būdų. Dažniausiai tarnauja nelegaliems tikslams, tačiau pasitaiko atvejų, kai socialinė inžinerija naudojama skolų išieškotojų, privačių detektyvų, premijų medžiotojų ar sensacijų ieškančių žurnalistų. |
| Eilutė 4: | Eilutė 4: |
| ##Įrašykite terminą anglų kalba == HTTPS Protokolas == ##Įrašykite lietuvišką termino vertimą |
== IT saugumo kultūra == Darbuotojų elgesys gali stipriai paveikti informacijos saugumą organizacijose. Buvo nustatyta, kad dažnai darbuotojai savęs nelaiko organizacijos informacinio saugumo užtikrinimo grandimi ir dažnai imasi veiksmų, kurie ignoruoja organizacijos informacinio saugumo kultūrą. Tyrimai rodo, kad būtina nuolat tobulinti informacijos saugumo kultūrą ir ją valdyti. IT sistemos veikia pagal griežtai nustatytus algoritmus ir retai kada klysta ar persigalvoja. Tačiau žmogus turi įgimtą pasitikėjimą kitais ir tai dažnai priverčia suabejoti savo pasirinkimu. Per pastaruosius kelis metus socialinė inžinerija tapo masine saugos mechanizmų pažeidžiamumo problema. Blogiausia yra tai, kad visiškai apsisaugoti nuo šios atakos yra labai sunku arba beveik neįmanoma. Sekantis pavyzdys tai puikiai iliustruoja. Vienos Kolorado valstijos IT saugumo konsultavimo įmonės įkūrėjas Krisas Nikersonas atlikdavo vadinamus „red-team“ testus, kurių metu buvo simuliuojamas įsilaužimas į kompaniją, naudojant socialinę inžineriją, kad būtų išryškinti kompanijos pažeidžiamumai. Vieno šių testų metu buvo pasinaudota vykstančių renginių informacija, informacija socialiniuose tinkluose ir $4 vertės „Cisco“ marškinėliais, pirktais dėvėtų prekių parduotuvėje. Marškinėliai jam padėjo įtikinti kitus darbuotojus, jog jis yra „Cisco“ darbuotojas, atvykęs techniniais klausimais. Vos patekęs į vidų, Nikersonas jau galėjo įsileisti kitus „red-team“ narius į pastatą. Vėliau užteko atitinkamose vietose padėti užkrėstas USB atmintines, ko pasėkoje buvo įsilaužta į kompanijos tinklą, nepaisant to, kad jis visą laiką buvo stebimas kitų kompanijos darbuotojų. == Atakų tipai == === Pretekstas (angl. pretexting) === Tai socialinės inžinerijos sritis, kai atakos organizatorius meluoja, kad išgautų reikalingą informaciją. Naudojamas išgalvotas scenarijus, kuomet atakuojantysis apsimeta, kad jam reikalinga informacija, jog patvirtintų asmens tapatybę, taip aukai sukuriant teisėtumo iliuziją. Gavus pasitikėjimą pereinama prie asmeninių klausimų, tokių kaip socialinio draudimo numeris, mamos mergautinė pavardė, gimimo vieta ir pan. Ši technika gali būti naudojama prieš įmones, norint gauti konfidencialius klientų duomenis, kaip sąskaitų išrašai ar telefonų išklotinės tiesiogiai iš organizacijos atstovų. Gauta informacija gali būti naudojama vėlesnėms atakoms prieš aukštesnio rango darbuotojus, nes pasitikėjimo ir teisėtumo iliuzija dar labiau sustiprinama. 2005 m. privačių tyrėjų sėkmingai panaudota prieš HP, siekiant išgauti konfidencialius įmonės ateities planus, kurie buvo paskelbti žiniasklaidoje. === Fišingas (angl. phishing) === Turbūt populiariausia socialinės inžinerijos ataka. Sukčiavimo būdu yra išgaunama reikalinga informacija. Naudojami falsifikuoti elektroniniai laiškai, kuriuose nukreipiama į falsifikuotas interneto svetainės. Dažniausiai nukenčia bankai ir jų klientai bei kitos finansines paslaugas siūlančios bendrovės. Sukuriama iliuzija, jog laiškas yra oficialus. Jame yra nuoroda į tariamai oficialų puslapį, kuriame reikia suvesti savo prisijungimo duomenis. Vienas išskirtinių [[Phishing]]'o bruožų – grasinimas, kad skubiai neatlikus prašomų veiksmų bus numatyti griežti padariniai. Puslapių ir elektroninio pašto adresai yra identiški originaliems arba paslėpti, taip bandant sukelti pasitikėjimą. Kitas svarbus bruožas yra tai, jog laiškai siunčiami masiškai ir niekada nekonkretizuojama kliento informacija. |
| Eilutė 9: | Eilutė 23: |
| ---- | |
| Eilutė 11: | Eilutė 24: |
| == ĮVADAS == | ==== Telefoninis fišingas (angl. vishing) ==== Kažkuo panašu į Lietuvoje paplitusius telefoninius sukčius. Yra naudojama išgauti konfidencialią informaciją. Dažnai naudojamasi [[Voice over internet protocol]] paslaugomis, tai padeda automatizuoti procesą bei suteikia galimybę suklastoti skambintojo ID (pvz. policijos, banko ar kt.). Atsiliepusi auka nukreipiama į „banką“ ar kitą instituciją, kur paprašoma suvesti PIN kodus ar kitą konfidencialią informaciją. Įdomu, jog sistema specialiai atmetinėja aukos suvedamus slaptažodžius, tokiu būdu atskleidžiant daugiau nei viena slaptažodį. |
| Eilutė 13: | Eilutė 27: |
| Šiuo metu Web paslaugos netelpa tik į HTTP protokolo rėmus, todėl sukurta daug patobulintų protokolų, skirtų įvairioms kliento reikmėms tenkinti. Vienas iš populiariausių papildomų servisų yra HTTPS (Secure HTTP) – saugus HTTP protokolas, kurį UNIX sistemoje valdo SSL (Secure SocketLayer).[1] SSL (Secure Socket Layer) - tai rinkos standartu tapusi technologija, kuri garantuoja saugų duomenų perdavimą internetu. Tai kriptografinis protokolas skirtas informacijos, sklindančios Internete apsaugojimui šifruojant. HTTPS technologijos šiuo metu, yra labai plačiai naudojamos elektroninėje komercijoje ir bankinėse sistemose. |
=== Tikslinis fišingas (angl. spear phishing) === Labai panašus į paprastą fišingą, tačiau turi esminį skirtumą: fišingo atveju yra masiškai siunčiami nekonkretizuoti laiškai su intencija, kad užkibs mažas procentas žmonių; tikslinio fišingo atveju – laiškai yra kur kas labiau konkretizuoti ir nukreipti prieš konkrečią organizaciją ar asmenį. Yra renkama informacija apie potencialią auką, todėl ši fišingo atmaina yra žymiai pavojingesnė. Tikimybė, kad atidarytame laiške bus paspausta nuoroda ar failas, fišingo atveju siekia 5%, kai tikslinio fišingo atveju – 50%. |
| Eilutė 17: | Eilutė 30: |
| === Masalas (angl. baiting) === Šis socialinės inžinerijos modelis remiasi žmogaus godumu ir smalsumu. Dar yra vadinama realiu Trojos arkliu, nes yra naudojami fiziniai daiktai. Pvz. sukuriamas apkrėstas CD ar USB su kompanijos logotipu ir viliojančiu užrašu ant jo, kuris specialiai pametamas organizacijos lifte, paliekamas priimamajame arba kitur. Darbuotojų smalsumas, radus paliktą laikmeną, nugalės ir galiausiai darbuotojas atsidarys užkrėstą laikmeną. Yra atlikta keli eksperimentai, „pametant“ USB laikmenas tam tikrose teritorijose ir stebint, kiek žmonių jas paims ir atsidarys. Vieno tyrimo duomenimis buvo paimti 98% „pamestų“ laikmenų, iš kurių buvo atidaryta 45%. |
|
| Eilutė 18: | Eilutė 33: |
| == BENDRA INFORMACIJA APIE HTTPS == | === „Watering hole“ ataka === Šioje atakos strategijoje auka turi priklausyti kokiai nors grupei (organizacijai, regionui). Atakuojantysis išanalizuoja ar atspėja, kokiuose tinklalapiuose grupė dažniausiai lankosi ir apkrečia vieną ar daugiau šių tinklalapių kenkėjiška programine įranga. Galų gale kažkas iš šios grupės bus apkrėstas. Programinė įranga dažniausiai renka informaciją apie apkrėstą vartotoją ir yra nukreipiama būtent prieš konkrečius IP adresus, kas apsunkina tokių atakų aptikimą. Apkrėsti puslapiams dažniausiai naudojami 0-day pažeidžiamumai. |
| Eilutė 20: | Eilutė 36: |
| HTTPS – HTTP protokolo praplėtimas, palaikantis šifravimą. Duomenys perduodami HTTP protokolui „įpakuojami“ į SSL arba TLS protokolą, tuo pačiu užtikrinamas duomenų saugumas. Skirtingai nuo HTTP, HTTPS naudoją 433 TCP kanalą. [2] HTTPS arba S-HTTP - tai Saugus HTTP protokolas (Secure Hypertext Transfer Protocol). Jis orientuotas siųsti saugioms žinutėms ir naudoti kartu su HTTP protokolu. Jis yra sukurtas egsituoti kartu su HTTP žinučių modeliu ir būti lengvai integruojamu HTTP programose. S-HTTP siūlo galybę saugumo mechanizmų HTTP klientams ir serveriams. S-HTTP siūlo vienodas galimybes ir serveriams ir klientams išsaugant transakcijų modelį ir įgyvendinant HTTP charakteristikas. Keletas kriptografinių žinučių formatų gali būti integruota į S-HTTP klientus ir serverius. HTTPS (S-HTTP) palaiko veikimą tarp daugybes įgyvendinimų ir yra suderinamas su HTTP. S-HTTP suprantantys klientai gali bendrauti su S-HTTP nesuprantančiais serveriais ir atvirkščiai, tačiau transakcijos jau nebenaudos S-HTTP saugumo savybių. S-HTTP nereikalauja kliento dalies viešo rakto sertifikatų (ar viešojo rakto), nes jis palaiko simetrinį tik-rakto veikiantį režimą. Tai yra labai svarbu, nes tai reiškia jog gali įvykti spontaniškos privačios transakcijos nereikalaujančios individualiam vartotojui turėti viešą raktą. Nors HTTPS gali pasinaudoti visur išdėstyta sertifikatų infrastruktūra, tačiau jo išsidėstymas nereikalauja to. S-HTTP palaiko nuo pradžios iki galo saugias transakcijas. Klientai gali būti iš anksto informuojami pradėti apsaugotą transakciją (dažniausiai naudojantis informacija pateikta antraščių eilutėse). Tai gali būti naudojama palaikyti pavyzdžiui užpildomoms formoms. Naudojant S-HTTP galima nesiųsti jokios svarbios informacijos neapsaugotu pavidalu. S-HTTP suteikia pilną lankstumą naudojant kriptografinius algoritmus, režimus ir parametrus. Pasirinkimo nebuvimas naudojamas leisti klientams ir serveriams sutikti dėl transakcijų režimo kriptografinių algoritmų ir sertifikatų parinkimo. Taip pat populiarus būdas saugiai perduoti duomenis tinkle yra naudoti HTTP protokolą kitame transporto lygyje, kaip kad TLS arba SSL. S-HTTP užklausos – atsakymai S-HTTP užklausos žinutės sintaksiškai tokios pačios kaip ir HTTP, tačiau skiriasi antraščių kiekis bei žinutės turinys yra užkoduotas. Kad skirtųsi nuo HTTP ir būtų specialiai perduodamos žinutės, užklausos eilutėje turėtų būti nurodytas specialus metodas ”Secure“, užklausos kelias turi būti ”*“ o naudojamo protokolo versija ”Secure-HTTP/1.4“. S-HTTP atsakymo eilutės taip pat turi turėti naudojamo protokolo versiją ”Secure-HTTP/1.4“ bei visada pateikti būvio kodą 200 ir jo argumentą OK, kas nurodytų jog visos transakcijos praėjo sėkmingai. Vartotojas apie transakcijos sėkmę spręstų pagal gautus duomenis. Tai neleidžia analizuoti užklausų sėkmingumo. [5] == SSL IR TLS == |
=== Quid pro quo === Šios atakos esmė yra „kažkas už kažką“. Pavyzdžiui atakuojantysis skambina visiems iš eilės organizacijos darbuotojams, teikdamas, jog perskambina atgal dėl kažkokios techninės problemos sprendimo. Galų gale atakuojantysis pataikys į kažką, kas susiduria su tokia problema. Tuomet sukčius „padės“ išspręsti kilusią problemą, kurios sprendimo metu darbuotojas turės suteikti priėjimą prie reikiamų duomenų arba įdiegs kenkėjišką programinę įrangą. |
| Eilutė 35: | Eilutė 39: |
| SSL (angl Secure Socket Layer – apsaugotų sluoksnių protokolas) – kriptografinis protokolas, užtikrinantis saugų domenų perdavimo Interneto tinklais. Šio protokolo naudojimo metu sudaromas saugus sujungimas tarp kliento ir tarnybinės stoties. Skirtumas tarp TLS ir SSL yra nežymus, todėl toliau plačiau kalbėsiu apie tik apie SSL. Klientas inicijuoja SSL web jungtį nurodant URL HTTPS: vietoj HTTP:. Naudojamas sesijos raktas, simetrinis slaptas raktas, skirtas tik vienai tranzakcijai įvykdyti. SSL vykdo šias funkcijas: • Autentifikuoja serverį klientui; • Sukuria užkoduotą ryšį tarp abiejų pusių; SSL yra tarp TCP/IP protokolo ir taikomųjų. programų protokolo. SSL duomenų šifravimui naudoja tiek simetrinę, tiek ir asimetrinę kriptografiją. Kadangi simetrinė kriptografija yra žymiai greitesnė už asimetrinę, tai ji naudojama persiunčiant visus duomenis, taip taupant persiuntimo laiką. Tačiau iškyla viena problema: kaip apsaugoti šifro raktą, kuris abiejose susijungimo pusėse bus tas pats? T.y. kaip serveriui ir klientui nustatyti šifro raktą, kad tarpininkas (kuris peržiūri visą tinklo srautą) negalėtų gauti šifro rakto ir tuo pačiu mūsų persiunčiamų duomenų. Taigi simetrinis šifro raktas persiunčiamas pasinaudojus asimetrine kriptografija. Serveris atsiunčia jums savo viešajį raktą, kuriuo jūs užšifruojate sugeneruotą simetrinį šifro raktą, taip jį apsaugodami nuo tarpininko. Kadangi asimetrinės kriptografijos raktai kuriami taip, kad žinant viešąjį raktą būtų neįmanoma sužinoti privataus rakto, su kuriuo informacija dešifruojama, jūsų simetrinis šifro raktas persiunčiamas saugiu kanalu ir galima pradėti sąlyginai saugiai siųsti realius duomenis. SSL protokolo veikimą supaprastintai galima pavaizduoti taip:[6] 1. Vartotojas ateina į apsaugotą svetainę. 2. Serveris patvirtina svetainės tapatybę pasirašydamas sertifikatą ir nusiųsdamas jį klientui. Naršyklė panaudoja sertifikato viešąjį raktą (viešasis raktas gaunamas kartu su sertifikatu) serverio sertifikato savininko tapatybei patikrinti. 3. Naršyklė patikrina, ar sertifikatas buvo išduotas žinomo sertifikavimo paslaugų teikėjo. Jeigu sertifikatas yra išduotas nežinomo paslaugų teikėjo, naršyklė apie tai informuoja vartotoją. 4. Vartotojas pats gali patikrinti ar sertifikavimo paslaugų teikėjas išdavė sertifikatą tikrai tai svetainei, į kurią atėjo vartotojas. 5. Serveris reikalauja vartotojo skaitmeninio sertifikato, kad patikrinti jo tapatybę. 6. Vartotojas pasirenka, kurį iš jo turimų sertifikatų (žinoma, jeigu jis turi daugiau nei vieną sertifikatą) parodys serveriui. 7. Serveris sukuria ir užkoduoja seanso raktą bei saugiai nusiunčia jį internetu, ir tokiu būdu sukuriamas saugus virtualus kanalas tarp vartotojo naršyklės ir Web serverio. SSL seanso metu galima būtu išskirti 3 pagrindines fazes:[3] • Dialogas tarp kliento ir tarnybinės stoties kurio metu pasirenkamas šifravimo algoritmas • Raktų pasikeitimas pagrystąs atvirojo rakto kriptografija ir identifikavimas pagrįstas sertifikatu. • Simetriniais šifravimo algoritmais užšifruotu duomenų perdavimas. Taigi primoje fazėje klientas ir tarnybinė stotis aparia kriptografinio algoritmo pasirinkimą tolesniam seansui. SSL 3.0 protokolo versijoje galimi šie algoritmai: • Asimetriniam šifravimui: RSA, Diffie-Hellman, DSA arba Fortezza; • Simetriniam duomenų šifravimui: RC2, RC4, IDEA, DES, Triple DES arba AES; • „Sausainiukų“ funkcijom: MD5 arba SHA. |
=== Pasitikėjimas (angl. tailgating) === Ši ataka įgyvendinama sunkiausiai ir atrodo mažai kuo susijusi su kibernetiniais nusikaltimais, tačiau atakos tikslas išlieka tas pats – konfidenciali informacija. Dažniausiai naudojama patekti į pastatus, kuriuose yra įėjimo kontrolė. Žmogus, apsimetęs darbuotoju seka iš paskos tikram darbuotojui ir prašo palaikyti duris, kol jis pateks vidun. Arba apsimeta, kad pamiršo įėjimo kortelę, ar ją kažkas pavogė. O jau patekus į vidų „kolegos“ galima prašyti pasiskolinti kompiuterį ir jame įdiegti kenkėjišką programinę įrangą. |
| Eilutė 61: | Eilutė 42: |
| == IŠVADOS == | === Literatūros sąrašas === 1. https://us.norton.com/internetsecurity-emerging-threats-what-is-social-engineering.html |
| Eilutė 63: | Eilutė 45: |
| HTTPS protokolas paremta SSL technologija puiki priemonė saugiai keistis duomenimis Internete. Simetrinis šifro raktas persiunčiamas pasinaudojus asimetrine kriptografija. Asimetrinės kriptografijos raktai kuriami taip, kad žinant viešąjį raktą būtų neįmanoma sužinoti privataus rakto. HTTPS protokolas tinka naudoti: • E-versle; • Elektroninėje bankininkystei; • Visur kur reikalingas saugus duomenų perdavimas. |
2. https://en.wikipedia.org/wiki/Social_engineering_(security) |
| Eilutė 70: | Eilutė 47: |
| == LITERATŪRA == | 3. http://psichika.eu/blog/kas-yra-socialine-inzinerija/ |
| Eilutė 72: | Eilutė 49: |
| 1. http://ru.wikipedia.org/wiki/HTTPS 2. http://ru.wikipedia.org/wiki/TLS 3. http://ru.wikipedia.org/wiki/SSL 4. http://miraged.ten.lt 5. http://www.webopedia.com/TERM/C/cryptography.html |
4. https://www.csoonline.com/article/2123704/fraud-prevention/social-engineering--anatomy-of-a-hack.html?nsdr=true 5. http://searchcio.techtarget.com/definition/pretexting |
Socialinė inžinerija
IT saugumo kontekste, socialinė inžinerija apibrėžia psichologinį manipuliavimą žmonėmis, siekiant atlikti tam tikrus veiksmus ar atskleisti konfidencialią informaciją, nenaudojant techninių ar fizinių įsilaužimo būdų. Dažniausiai tarnauja nelegaliems tikslams, tačiau pasitaiko atvejų, kai socialinė inžinerija naudojama skolų išieškotojų, privačių detektyvų, premijų medžiotojų ar sensacijų ieškančių žurnalistų.
IT saugumo kultūra
Darbuotojų elgesys gali stipriai paveikti informacijos saugumą organizacijose. Buvo nustatyta, kad dažnai darbuotojai savęs nelaiko organizacijos informacinio saugumo užtikrinimo grandimi ir dažnai imasi veiksmų, kurie ignoruoja organizacijos informacinio saugumo kultūrą. Tyrimai rodo, kad būtina nuolat tobulinti informacijos saugumo kultūrą ir ją valdyti.
IT sistemos veikia pagal griežtai nustatytus algoritmus ir retai kada klysta ar persigalvoja. Tačiau žmogus turi įgimtą pasitikėjimą kitais ir tai dažnai priverčia suabejoti savo pasirinkimu. Per pastaruosius kelis metus socialinė inžinerija tapo masine saugos mechanizmų pažeidžiamumo problema. Blogiausia yra tai, kad visiškai apsisaugoti nuo šios atakos yra labai sunku arba beveik neįmanoma. Sekantis pavyzdys tai puikiai iliustruoja.
Vienos Kolorado valstijos IT saugumo konsultavimo įmonės įkūrėjas Krisas Nikersonas atlikdavo vadinamus „red-team“ testus, kurių metu buvo simuliuojamas įsilaužimas į kompaniją, naudojant socialinę inžineriją, kad būtų išryškinti kompanijos pažeidžiamumai. Vieno šių testų metu buvo pasinaudota vykstančių renginių informacija, informacija socialiniuose tinkluose ir $4 vertės „Cisco“ marškinėliais, pirktais dėvėtų prekių parduotuvėje. Marškinėliai jam padėjo įtikinti kitus darbuotojus, jog jis yra „Cisco“ darbuotojas, atvykęs techniniais klausimais. Vos patekęs į vidų, Nikersonas jau galėjo įsileisti kitus „red-team“ narius į pastatą. Vėliau užteko atitinkamose vietose padėti užkrėstas USB atmintines, ko pasėkoje buvo įsilaužta į kompanijos tinklą, nepaisant to, kad jis visą laiką buvo stebimas kitų kompanijos darbuotojų.
Atakų tipai
Pretekstas (angl. pretexting)
Tai socialinės inžinerijos sritis, kai atakos organizatorius meluoja, kad išgautų reikalingą informaciją. Naudojamas išgalvotas scenarijus, kuomet atakuojantysis apsimeta, kad jam reikalinga informacija, jog patvirtintų asmens tapatybę, taip aukai sukuriant teisėtumo iliuziją. Gavus pasitikėjimą pereinama prie asmeninių klausimų, tokių kaip socialinio draudimo numeris, mamos mergautinė pavardė, gimimo vieta ir pan.
Ši technika gali būti naudojama prieš įmones, norint gauti konfidencialius klientų duomenis, kaip sąskaitų išrašai ar telefonų išklotinės tiesiogiai iš organizacijos atstovų. Gauta informacija gali būti naudojama vėlesnėms atakoms prieš aukštesnio rango darbuotojus, nes pasitikėjimo ir teisėtumo iliuzija dar labiau sustiprinama.
2005 m. privačių tyrėjų sėkmingai panaudota prieš HP, siekiant išgauti konfidencialius įmonės ateities planus, kurie buvo paskelbti žiniasklaidoje.
Fišingas (angl. phishing)
Turbūt populiariausia socialinės inžinerijos ataka. Sukčiavimo būdu yra išgaunama reikalinga informacija. Naudojami falsifikuoti elektroniniai laiškai, kuriuose nukreipiama į falsifikuotas interneto svetainės. Dažniausiai nukenčia bankai ir jų klientai bei kitos finansines paslaugas siūlančios bendrovės. Sukuriama iliuzija, jog laiškas yra oficialus. Jame yra nuoroda į tariamai oficialų puslapį, kuriame reikia suvesti savo prisijungimo duomenis. Vienas išskirtinių Phishing'o bruožų – grasinimas, kad skubiai neatlikus prašomų veiksmų bus numatyti griežti padariniai. Puslapių ir elektroninio pašto adresai yra identiški originaliems arba paslėpti, taip bandant sukelti pasitikėjimą. Kitas svarbus bruožas yra tai, jog laiškai siunčiami masiškai ir niekada nekonkretizuojama kliento informacija.
Telefoninis fišingas (angl. vishing)
Kažkuo panašu į Lietuvoje paplitusius telefoninius sukčius. Yra naudojama išgauti konfidencialią informaciją. Dažnai naudojamasi Voice over internet protocol paslaugomis, tai padeda automatizuoti procesą bei suteikia galimybę suklastoti skambintojo ID (pvz. policijos, banko ar kt.). Atsiliepusi auka nukreipiama į „banką“ ar kitą instituciją, kur paprašoma suvesti PIN kodus ar kitą konfidencialią informaciją. Įdomu, jog sistema specialiai atmetinėja aukos suvedamus slaptažodžius, tokiu būdu atskleidžiant daugiau nei viena slaptažodį.
Tikslinis fišingas (angl. spear phishing)
Labai panašus į paprastą fišingą, tačiau turi esminį skirtumą: fišingo atveju yra masiškai siunčiami nekonkretizuoti laiškai su intencija, kad užkibs mažas procentas žmonių; tikslinio fišingo atveju – laiškai yra kur kas labiau konkretizuoti ir nukreipti prieš konkrečią organizaciją ar asmenį. Yra renkama informacija apie potencialią auką, todėl ši fišingo atmaina yra žymiai pavojingesnė. Tikimybė, kad atidarytame laiške bus paspausta nuoroda ar failas, fišingo atveju siekia 5%, kai tikslinio fišingo atveju – 50%.
Masalas (angl. baiting)
Šis socialinės inžinerijos modelis remiasi žmogaus godumu ir smalsumu. Dar yra vadinama realiu Trojos arkliu, nes yra naudojami fiziniai daiktai. Pvz. sukuriamas apkrėstas CD ar USB su kompanijos logotipu ir viliojančiu užrašu ant jo, kuris specialiai pametamas organizacijos lifte, paliekamas priimamajame arba kitur. Darbuotojų smalsumas, radus paliktą laikmeną, nugalės ir galiausiai darbuotojas atsidarys užkrėstą laikmeną. Yra atlikta keli eksperimentai, „pametant“ USB laikmenas tam tikrose teritorijose ir stebint, kiek žmonių jas paims ir atsidarys. Vieno tyrimo duomenimis buvo paimti 98% „pamestų“ laikmenų, iš kurių buvo atidaryta 45%.
„Watering hole“ ataka
Šioje atakos strategijoje auka turi priklausyti kokiai nors grupei (organizacijai, regionui). Atakuojantysis išanalizuoja ar atspėja, kokiuose tinklalapiuose grupė dažniausiai lankosi ir apkrečia vieną ar daugiau šių tinklalapių kenkėjiška programine įranga. Galų gale kažkas iš šios grupės bus apkrėstas. Programinė įranga dažniausiai renka informaciją apie apkrėstą vartotoją ir yra nukreipiama būtent prieš konkrečius IP adresus, kas apsunkina tokių atakų aptikimą. Apkrėsti puslapiams dažniausiai naudojami 0-day pažeidžiamumai.
Quid pro quo
Šios atakos esmė yra „kažkas už kažką“. Pavyzdžiui atakuojantysis skambina visiems iš eilės organizacijos darbuotojams, teikdamas, jog perskambina atgal dėl kažkokios techninės problemos sprendimo. Galų gale atakuojantysis pataikys į kažką, kas susiduria su tokia problema. Tuomet sukčius „padės“ išspręsti kilusią problemą, kurios sprendimo metu darbuotojas turės suteikti priėjimą prie reikiamų duomenų arba įdiegs kenkėjišką programinę įrangą.
Pasitikėjimas (angl. tailgating)
Ši ataka įgyvendinama sunkiausiai ir atrodo mažai kuo susijusi su kibernetiniais nusikaltimais, tačiau atakos tikslas išlieka tas pats – konfidenciali informacija. Dažniausiai naudojama patekti į pastatus, kuriuose yra įėjimo kontrolė. Žmogus, apsimetęs darbuotoju seka iš paskos tikram darbuotojui ir prašo palaikyti duris, kol jis pateks vidun. Arba apsimeta, kad pamiršo įėjimo kortelę, ar ją kažkas pavogė. O jau patekus į vidų „kolegos“ galima prašyti pasiskolinti kompiuterį ir jame įdiegti kenkėjišką programinę įrangą.
Literatūros sąrašas
1. https://us.norton.com/internetsecurity-emerging-threats-what-is-social-engineering.html
2. https://en.wikipedia.org/wiki/Social_engineering_(security)