Duomenų viliojimas

Įvadas į sukčiavimą

Duomenų viliojimas yra socialinės inžinerijos forma. Skirtingai nuo kitų kibernetinių atakų, tiesiogiai nukreiptų į tinklus ir išteklius, socialinės inžinerijos atakose naudojamos žmogiškosios klaidos, melagingos istorijos ir spaudimo taktikos, kad aukos būtų priverstos netyčia pakenkti sau ar savo organizacijai. Tipiško sukčiavimo metu nusikaltėlis apsimeta žmogumi, kuriuo auka pasitiki, pavyzdžiui, kolega, viršininku, autoritetingu asmeniu ar žinomo prekės ženklo atstovu. Nusikaltėlis siunčia žinutę, kurioje nurodo aukai apmokėti sąskaitą faktūrą, atidaryti priedą, spustelėti nuorodą ar atlikti kokį nors kitą veiksmą.

Sukčiavimo atakų raida ir poveikis

Terminas „phishing”, kuris dabar yra kibernetinių nusikaltimų sinonimas, kilo iš Pensilvanijoje paauglio sukurtos programos „AOHell”. Ši ankstyvoji kenkėjiška programa buvo nukreipta prieš AOL („America Online”), populiarią interneto paslaugą ankstyvuoju interneto gyvavimo laikotarpiu, naudojant mechanizmus, skirtus kredito kortelių informacijai vogti ir slaptažodžiams nulaužti, todėl sutriko AOL paslaugų teikimas. Programa „AOHell” padėjo pagrindus automatinio sukčiavimo programinei įrangai ir turėjo įtakos vėlesniems sukčiavimo metodams, įskaitant tuos, kuriuos naudojo „Warez” bendruomenė – grupė, užsiimanti įsilaužimais ir dalijimusi piratine programine įranga.

Pirmieji sukčiavimo atvejai

„Warez” bendruomenei priskiriamos pirmosios organizuotos sukčiavimo atakos, kurios prasidėjo 1996 m. Jos buvo nukreiptos į AOL naudotojus, naudojant algoritmą atsitiktiniams kredito kortelių numeriams generuoti. Radę galiojantį numerį, jie sukurdavo tikras AOL paskyras, kad apgautų kitus naudotojus. Ši pirminė sukčiavimo schema peraugo į sudėtingesnę socialinės inžinerijos taktiką, kai užpuolikai apsimetė AOL darbuotojais, kad surinktų jautrią informaciją.

Po šių pirmųjų sukčiavimo atvejų sukčiavimo taktika greitai persikėlė į el. paštą. Ankstyvieji sukčiavimo el. laiškai svyravo nuo neįtikinamų schemų, pavyzdžiui, susijusių su netikrais Nigerijos princais, iki sudėtingesnių bandymų, tokių kaip 2003 m. „Mimail” virusas. Virusas „Mimail” buvo platinamas elektroniniu paštu, kuriame buvo teigiama, kad jis siunčiamas iš „PayPal” ir raginama atnaujinti kredito kortelės duomenis. Daugelis vartotojų, suklaidinti įtikinamo „PayPal” logotipo, įvedė savo prisijungimo duomenis kenkėjiškoje svetainėje.

Į žmogų orientuota grėsmė

Sukčiavimas yra ypač pavojingas, nes naudojamasi žmogaus psichologija, o ne technologiniais pažeidžiamumais. Užpuolikams dažnai nereikia tiesiogiai įsilaužti į sistemas ar pergudrauti kibernetinio saugumo priemonių. Vietoj to jie apgauna asmenis, turinčius įgaliojimus naudotis slapta informacija, ir priverčia juos nesąmoningai prisidėti prie atakos.

Sukčiai gali būti tiek pavieniai sukčiai, tiek organizuotos nusikalstamos grupuotės, kurie gali naudoti sukčiavimą įvairiais piktavališkais tikslais, įskaitant tapatybės vagystę, kredito kortelių sukčiavimą, pinigų vagystę, išviliojimą, sąskaitos perėmimą ir šnipinėjimą. Sukčiavimo atakų taikiniai yra privatūs asmenys, korporacijos ir vyriausybinės agentūros. Vienas ryškus pavyzdys – 2016 m. įvykdyta sukčiavimo ataka prieš Hillary Clinton JAV prezidento rinkimų kampaniją, kai Rusijos programišiai, pasinaudoję suklastotu slaptažodžio keitimo el. laišku, pavogė tūkstančius el. laiškų. Suklastotais el. laiškais buvo suklaidinta net kampanijos IT pagalbos tarnyba.

Šiuolaikiniai sukčiavimo būdai

„Phishing” labai patobulėjo, nes siekiant apgauti taikinius naudojami įvairūs komunikacijos metodai ir sudėtingi būdai. Šiuolaikiniai sukčiavimo bandymai gali būti labai panašūs į teisėtų įmonių bandymus, todėl juos sunku aptikti be kruopštaus patikrinimo.

Kai kurie šiuolaikiniai sukčiavimo būdai:

• „Angler Phishing”: tai vyksta per socialinę žiniasklaidą, naudojant suklastotus URL adresus, trumpąsias žinutes arba suklastotus profilius, kad būtų surinkta konfidenciali informacija. Užpuolikai taip pat gali pasinaudoti socialinės žiniasklaidos profiliais, kuriuose pateikiama asmeninė informacija, kad sustiprintų savo manipuliacijas.
• Klonavimas ir domenų parodijavimas: Užpuolikai kuria el. laiškus, kurie yra labai panašūs į teisėtus, naudoja tikslias pranešimų kopijas arba klastoja domenų pavadinimus, kad el. laiškai atrodytų tikri. Jie dažnai apsimeta didelėmis, gerai žinomomis įmonėmis, kad apgaule priverstų naudotojus atskleisti asmeninę informaciją.
• „Smishing”: šis metodas sujungia sukčiavimą ir SMS siuntimą, kai siunčiamos suklastotos SMS žinutės, kuriomis renkama informacija, pavyzdžiui, kredito kortelių numeriai arba slaptažodžiai.
• „Spear phishing”: labai tikslingas „spear phishing”, kai užpuolikai renka išsamią informaciją, kad sukurtų asmeninius el. laiškus, kurie atrodo kaip iš patikimų šaltinių.
• Banginių medžioklė: Šis sukčiavimo būdas nukreiptas į aukštas pareigas užimančius darbuotojus arba aukštas pareigas užimančius asmenis ir dažnai apima sudėtingas socialines manipuliacijas ir žvalgybinės informacijos rinkimą.
• Višingas: derinant sukčiavimą su VoIP (balso per interneto protokolą), višingas apima apgaulingus skambučius telefonu, kuriais siekiama gauti slaptos informacijos.

Apibendrinant galima teigti, kad sukčiavimas išsivystė nuo ankstyvųjų programų, tokių kaip AOHell, iki sudėtingų schemų, apimančių įvairius ryšio metodus. Ši grėsmė išlieka didelė, nes ji veikia žmogaus psichologiją, todėl asmenims ir organizacijoms būtina išlikti budriems ir informuotiems apie šią nuolat tobulėjančią taktiką.