Saugumas

Gali būti pasinaudojama tiesiog žmogiškuoju faktoriumi, tai vadinamoji socialinė inžinerija. Žmogui atsiunčiamas laiškas su nuorodomis ir jis raginamas kažką parsisiųsti arba atidaryti laiško prisegtukus. Pasinaudojama žmogiškosiomis savybėmis, tikintis, kad žmogus paspaus ant nuorodos arba atsidarys prisegtuką ir tuomet duomenys bus pasisavinti.

Kitas būdas – kai prieigą prie duomenų suteikiame patys, naudodamiesi technologijomis, tarkime, prisijungdami prie belaidžio tinklo (Wi-Fi) viešose vietose mieste ar kavinėje.

Šimtaprocentinio saugumo pasiekti neįmanoma. Jeigu įsilaužėlis motyvuotas, jis gerai atliks namų darbus, susirinks informaciją, suplanuos ir pritaikys savo ataką būtent tam vartotojui. Neretai vartotojui net nereikia įvesti slaptažodžio, kad jis pakliūtų ant kabliuko – vien tik asmeninis el. pašto adresas įsilaužėliui suteikia daug informacijos. Pagal el. pašto adresą, jei šis kada nors buvo patekęs tarp nutekintų duomenų, galima sužinoti ir slaptažodį, o kadangi žmonės linkę tą patį slaptažodį naudoti keletą kartų, tai potencialus įsilaužėlis pamėgins su tuo pačiu slaptažodžiu jungtis prie įvairių jūsų paskyrų.

Čia galite pasitikrinti, ar kada nors nebuvo nutekintas jūsų el. pašto adresas.

Reikia laikytis keleto taisyklių:

• Informaciją internete kritiškai vertinti būtina visada, niekuo nepasitikėkite tol, kol nepatikrinote, kas yra šaltinis, ar jis patikimas, ar ir kiti šaltiniai praneša tą pačią informaciją.
• Neskelbkite asmeninės informacijos.
• Naudokite skirtingus unikalius slaptažodžius ir tinkamai juos saugokite. Į pagalbą pasitelkite slaptažodžių tvarkymo programas, tokias kaip „KeePass“, „1password“ arba „LastPass“. Jos yra tarsi slaptažodžių saugyklos, užteks atsiminti vieną pagrindinį slaptažodį, atrakinantį saugyklą.
• Neignoruokite klaidų pranešimų, pasirodančių ekrane, perskaitykite ir supraskite, ką jie reiškia.
• Viešoje erdvėje, kavinėje ar parduotuvėje būkite itin budrūs, ten, kur internetas viešai prieinamas, įsilaužėliai turi daugiausia galimybių savo veiklai.
• Kontroliuokite skelbiamą informaciją – viešinant ar talpinant duomenis apie save socialiniame tinkle reikia suprasti, jog informacija tampa prieinama praktiškai visiems. Susireguliuokite socialinio tinklo nustatymus – kiekvienas tinklas siūlo įvairius profilio nustatymus, apibrėžiančius, kas ir kokia apimtimi gali matyti jūsų viešinamą informaciją.
• Pasinaudoję internetu viešuosiuose kompiuteriuose, baigę darbą atsijunkite nuo visų naudotų interneto paslaugų ir uždarykite naršyklę, išvalę naršyklės žurnalą bei įrašytus slaptažodžius.
• Prieš parsisiųsdami programėlę į įrenginį, ja ir jos leidėjais būtina pasidomėti. Būkite atsargūs su nuorodomis, kurias gaunate el. paštu ar trumposiomis teksto žinutėmis. Jos gali apgaule priversti jus įdiegti trečiosios šalies ar nežinomų šaltinių programėles.

Informacija apie kenksmingą programinę įrangą, nepageidaujamą elektroninį paštą, sukčiavimo būdus internete ir kitas vartotojų saugumui kylančias grėsmes išsamiai pristatoma ir svetainėje www.esaugumas.lt. Čia rasite rekomendacijų, kurių laikydamiesi galėsite išvengti incidentų ir patarimų, ką daryti, jei supratote, kad jūsų saugumas buvo pažeistas.

Migruodami į skaitmeninę erdvę, žmonės ten nusineša ir daug konfidencialios informacijos, kuria pasinaudodami piktavaliai gali pasipelnyti. Drauge su naujausiomis technologijomis sparčiai tobulėja ir kibernetiniai nusikaltėliai. Nepavykus įveikti technologinių apsaugų, pasinaudojama silpna vieta  – žmogaus psichologija… būtent ji ir yra socialinės inžinerijos sėkmės pagrindas.

Tai psichologinė manipuliacija žmogumi, siekiant priversti jį atlikti tam tikrus veiksmus arba išvilioti konfidencialią informaciją. Pagal griežtus algoritmus veikiančios kompiuterinės sistemos nėra linkusios klysti ar apsigalvoti. Tačiau žmogui įgimta pasitikėti kitais ir dažnai tai priverčia suabejoti savo pasirinkimu.

Fišingas (angl. Phishing). Dažniausia socialinės inžinerijos ataka, kai dideliam kiekiui gavėjų išsiunčiami laiškai iš neva patikimų siuntėjų, pvz., bankų, įrangos gamintojų, paslaugų teikėjų ir t. t. Tai gali būti suklastotos sąskaitos, raginančios kuo greičiau apmokėti tam tikras išlaidas ar suklastoti laiškai, pranešantys apie jūsų kompiuterio ar programinės įrangos veikimo problemas, virusų atakas ar netikėtą loterijos laimėjimą. Kenksmingas programinis kodas atsiunčiamas laiško nuorodoje arba prisegtuke. Trumpai tariant, fišingo atakos metu piktavaliai siekia priversti potencialią auką sunerimti, skubiai imtis veiksmų ir pateikti konfidencialią informaciją kenkėjiškuose tinklalapiuose, kurie iš pirmo žvilgsnio atrodo patikimai.

Prisidengimas pretekstu (angl. Pretexting). Naudodami šią socialinės inžinerijos formą, sukčiai sugalvoja rimtų pretekstų, kurie padeda pagrobti asmeninę informaciją. Jie įtikina, jog auka turi padėti patvirtinti savo tapatybę ir, pasinaudoję šiais duomenimis, pasisavina skaitmeninę tapatybę.

Sudėtingesnių atakų metu auka verčiama atlikti tam tikrus darbovietei kenkiančius veiksmus. Tarkime, apsimetę išoriniais IT paslaugų auditoriais, nusikaltėliai gali būti įleisti į organizacijos patalpas.

Jei fišingo atakos naudoja baime ir skubių sprendimų reikalavimu pasižyminčius veiksmus, tai prisidengdami pretekstu nusikaltėliai kuria itin patikimai skambančias istorijas, kuriomis žmogus nesuabejoja.

Masalas (angl. Baiting). Šis atakų tipas primena fišingą, tačiau esminis skiriamasis jo bruožas yra daikto ar kokio nors gėrio pažadas, kurį piktavaliai naudoja siekdami privilioti aukas. Tarkime, gavę nemokamo muzikos ar filmo atsisiuntimo pažadą, vartotojai į sukčių rankas atiduoda asmeninius duomenis.

Kartais tokios atakos įvyksta ir fizinėje erdvėje, kai piktavaliai pasinaudoja žmogaus smalsumu, tarkime, atsiųsdami voke ar palikdami matomoje vietoje USB raktą su kenkėjiška programa.

• Užveskite ant nuorodos pelės žymeklį ir patikrinkite, ar interneto svetainės adresas yra tikras, ar jame nėra gramatinių klaidų, ar logiškas ir lengvai perskaitomas jo pavadinimas.
• Įsitikinkite, kad interneto svetainės adresas prasideda „https“ žyma (t. y. sesija su interneto svetaine yra šifruojama, naudojamas SSL sertifikatas), naudokite kelių faktorių autentifikavimo įrankius (pavyzdžiui, slaptažodis, mobilusis įrenginys, piršto antspaudas).
• Saugokite savo prisijungimo slaptažodžius, jokiu būdu nelaikykite jų atvirai darbo vietoje, tekstu kompiuteryje ar mobiliajame telefone.
• Kritiškai vertinkite reklamas internete ir el. pašte, ypač siūlomas dideles nuolaidas. Prašymus atlikti pinigines perlaidas tikrinkite kitais būdais, pavyzdžiui, pasitikslinant aplinkybes paskambinus telefonu.
• Neatidarinėkite dokumentų turinio, siunčiamų failų ir programinės įrangos, kurie yra atsiųsti ar parsisiųsti iš nepatikimo šaltinio.
• Neskubėkite, nepasiduokite emocijoms ir išsiaiškinkite veiksmų, kuriuos prašoma atlikti, būtinumą.

• Naudokite legalią operacinę sistemą ir programinę įrangą, antivirusinę programą, ja profilaktiškai skenuokite duomenis įrenginyje, nedelsiant įdiekite gamintojo siunčiamus atnaujinimus.
• Nesisiųskite failų iš nepatikimų šaltinių, naršyklėje įdiekite įskiepius kenkėjiškoms interneto svetainėms atpažinti, parsisiųstus įtartinus failus skenuokite antivirusine programa ir patikrinkite juos Nacionalinio kibernetinio saugumo centro rekomenduojamomis priemonėmis.
• Nesinaudokite nepatikimomis, nepatikrintomis atminties laikmenomis. Nuolat jas formatuokite, išjunkite automatinį failų paleidimą.
• Periodiškai darykite atsargines duomenų kopijas, jas saugokite atskirai ir kitoje vietoje, nei jos buvo padarytos. Svarbią informaciją laikykite atskiroje laikmenoje ar laikmenose, neturinčiose tiesioginės sąsajos su internetu, pavyzdžiui, išorinėje laikmenoje.
• Šifruokite konfidencialią informaciją, jeigu būtina, apsaugokite ją saugiu slaptažodžiu. Informacijai perduoti naudokite kriptografines priemones, pavyzdžiui, elektroninių laiškų šifravimą.

Tai priklauso nuo asmens duomenų vagystės priežasties ir pasekmių:

• Susidūrus su elektroniniu nusikaltimu ir norint, kad būtų atlyginta padaryta žala bei surastas kaltininkas, reikėtų kreiptis į policiją.
• Jeigu įvyko kibernetinis incidentas, praneškite apie jį Nacionaliniam kibernetinio saugumo centrui (NKSC).
• Kai kuriais atvejais reikėtų kreiptis ir į Valstybinę duomenų apsaugos inspekciją.

Tiriant incidentus, šios institucijos bendradarbiauja pagal Kibernetinio saugumo įstatymą.

• Informacija apie grėsmes internete
• Nacionalinio kibernetinio saugumo centro pranešimai ir rekomendacijos
• Laidoje „Mokslo sriuba“ svečiuojasi interneto saugumo ekspertas Andrius Ribinskas (video, 45 min.)
• Socialinių tinklų saugumas
• „Telia“ rizikų valdymo vadovas V. Bučinskas. Kibernetinis saugumas (video, 27 min.)
• The Five Laws of Cybersecurity, Nick Espinosa, TedxFondduLac
• Tamsusis internetas. Kiek kainuoja pasamdyti žudiką?