sociālā inženierija

Cilvēka faktors

Sociālā inženierija – kā uzbrucēji manipulē cilvēku, nevis tehnoloģiju

Uzbrucējs neuzlauž datoru – viņš uzlauž tavu uzticēšanos, steigu un vēlmi palīdzēt. Iepazīsti metodes, psiholoģiskās sviras un pārbaudi sevi ar reāliem scenārijiem.

  • Balstīts CERT.lv un Verizon DBIR datos
  • Reāli Latvijas piemēri
  • Bezmaksas tests

Kas ir sociālā inženierija

Kad uzbrūk nevis datoram, bet uzticībai

Sociālā inženierija ir psiholoģisks kiberuzbrukums – uzbrucējs ar viltu panāk, lai cilvēks pats izdara kaut ko kaitīgu.

Sociālā inženierija ir metožu kopums, kurā uzbrucējs manipulē cilvēku, nevis lauž tehnoloģiju. Mērķis ir izvilināt paroles, datus, naudu vai piekļuvi, izmantojot emocijas – autoritāti, steigu, bailes vai uzticēšanos.

Tā ir plašais jēdziens, zem kura ietilpst pikšķerēšana, viltus zvani, pretekstēšana, ēsmošana un pat fiziska iekļūšana. Aptuveni 68 % datu pārkāpumu ietver cilvēcisko faktoru.

Labā ziņa: šīs metodes balstās uz dažiem paredzamiem psiholoģiskiem trikiem. Kad tos zini, manipulācija kļūst redzama.

Kāpēc tā darbojas

Piecas psiholoģiskās sviras

Sociālā inženierija izmanto emocijas, kas apsteidz kritisko domāšanu. Šīs ir sviras, ko uzbrucēji spiež.

  • Autoritāte

    Izliekas par priekšnieku, banku, policiju vai IT atbalstu – cilvēki paklausa autoritātei.

  • Steiga un spiediens

    “Rīkojies tagad, citādi…” – laika spiediens neļauj apdomāties un pārbaudīt.

  • Bailes un draudi

    “Konts bloķēts”, “uzsākta lieta” – bailes liek rīkoties impulsīvi.

  • Uzticēšanās un pazīstamība

    Zināms vārds, logotips vai kolēģa vārds rada nepamatotu uzticību.

  • Savstarpīgums un sociālais pierādījums

    “Es tev palīdzēju, tagad tu…” vai “visi kolēģi jau apstiprināja” – spiediens atbildēt vai sekot citiem.

Metodes

Kā izpaužas sociālā inženierija

Vienas un tās pašas sviras darbojas dažādos kanālos – e-pastā, telefonā un pat klātienē.

  • Pikšķerēšana (phishing)

    Viltus e-pasts vai lapa, kas izliekas par uzticamu, lai izvilinātu datus.

    Piemērs: VID “atmaksa” vai Omniva “muitas nodoklis” e-pastā.

  • Vishing (balss zvani)

    Krāpniecisks zvans, kurā uzbrucējs uzdodas par banku vai iestādi.

    Piemērs: “Bankas drošības dienests” lūdz nolasīt Smart-ID kodu; numurs viltots.

  • Smishing (īsziņas)

    Pikšķerēšana ar SMS un viltus saiti.

    Piemērs: “Sūtījums aizturēts, samaksā 1,45 €” ar look-alike domēnu.

  • Pretekstēšana (pretexting)

    Uzbrucējs izdomā ticamu lomu un scenāriju, lai izvilinātu informāciju.

    Piemērs: Zvana “IT atbalsts” un lūdz paroli “sistēmas atjaunināšanai”.

  • Ēsmošana (baiting)

    Vilinoša ēsma provocē upuri rīkoties.

    Piemērs: Autostāvvietā “pamests” USB ar uzrakstu “Algas 2025”; iesprausts – palaiž ļaunatūru.

  • Quid pro quo

    “Pakalpojums pretī pakalpojumam” – palīdzība apmaiņā pret piekļuvi vai datiem.

    Piemērs: “Bezmaksas IT palīdzība” pa tālruni pretī attālinātai piekļuvei.

  • Tailgating (fiziskā piekļuve)

    Iekļūšana slēgtā telpā, sekojot darbiniekam pa durvīm.

    Piemērs: Persona ar kastēm lūdz “pieturēt durvis” pie biroja ieejas.

  • BEC / vadītāja krāpniecība

    Izliekas par vadītāju vai piegādātāju, lai novirzītu maksājumu.

    Piemērs: E-pasts “no direktora” grāmatvedei: steidzams pārskaitījums uz jaunu kontu.

  • Deepfake

    AI ģenerēta balss vai video, kas atdarina reālu personu.

    Piemērs: Video zvans ar “CFO”, kura seja un balss ir AI viltojums.

Bezmaksas tests

Manipulācijas taktikas

Tev tiks parādītas reālistiskas situācijas. Izvēlies drošāko rīcību un uzzini, kura psiholoģiskā svira tiek izmantota.

1 / 6Rezultāts: 0

Telefona zvans

Zvana “IT atbalsts”: “Konstatējām jūsu kontā problēmu. Nolasiet, lūdzu, savu paroli, lai to novēršam.”

Kā tu rīkotos?

Draudi skaitļos

Cilvēks ir biežākais mērķis

Uzbrukumi arvien biežāk sākas ar cilvēku, nevis tehnoloģiju – un zaudējumi ir reāli.

68 %
Datu pārkāpumu ietver cilvēcisko faktoru – tieši to izmanto sociālā inženierija.
Avots: Verizon DBIR, 2024
~16 000 €
Vidējie zaudējumi vienam Latvijas uzņēmumam no rēķinu un vadītāja (BEC) krāpniecības.
Avots: Finance Latvia, 2024
15,53 milj. €
Izkrāpti Latvijas četru lielāko banku klientiem 2024. gadā, ievērojama daļa ar telefonkrāpniecību.
Avots: Finance Latvia / LSM, 2024
71 %
Latvijas iedzīvotāju 2024. gadā saskārušies ar telefonkrāpniecību (aptauja).
Avots: lente.lv, 2024

Katram rādītājam pievienota atsauce uz oriģinālo avotu.

Uzņēmumiem

Apmācība pret manipulāciju ir likuma prasība

Ja uzņēmums ietilpst NIS2 tvērumā, darbinieku apmācība atpazīt kiberdraudus ir juridisks pienākums.

Ja uzņēmums ietilpst NIS2 tvērumā, darbinieku apmācība atpazīt sociālo inženieriju vairs nav izvēle, bet likuma pienākums – Nacionālās kiberdrošības likuma 25. panta piektā daļa prasa to darīt vismaz reizi gadā.
Nacionālās kiberdrošības likums · likumi.lv
  • Apmācība vismaz reizi gadā

    Likuma 25. panta piektā daļa prasa vismaz reizi gadā instruēt darbiniekus par aktuālajiem kiberdraudiem.

  • Cilvēks ir vājākais posms

    Tehniskā aizsardzība nepalīdz, ja darbinieks pats atver durvis – apmācība maina paradumus.

  • Skaidras procedūras

    Maksājumu apstiprināšana pa otru kanālu un piekļuves kontrole novērš BEC un tailgating.

  • Testēšana parāda patieso ainu

    Kontrolēta sociālās inženierijas testēšana atklāj, kur ir vājākie posmi – pirms tos atrod īsts uzbrucējs.

Biežāk uzdotie jautājumi

Īsas, skaidras atbildes

Kas ir sociālā inženierija?

Psiholoģisks kiberuzbrukums, kurā uzbrucējs ar viltu manipulē cilvēku izdarīt kaut ko kaitīgu – nevis uzlauž tehnoloģiju, bet uzticēšanos.

Kāda atšķirība starp sociālo inženieriju un pikšķerēšanu?

Pikšķerēšana ir viena sociālās inženierijas metode (parasti e-pastā vai SMS). Sociālā inženierija ir plašais jēdziens, kas ietver arī zvanus, pretekstēšanu, ēsmošanu un fizisku piekļuvi. Vairāk par pikšķerēšanu →

Kas ir pretekstēšana (pretexting)?

Uzbrucējs izdomā ticamu scenāriju un lomu (piemēram, “IT atbalsts”), lai izvilinātu informāciju vai piekļuvi.

Kas ir baiting (ēsmošana)?

Uzbrukums ar vilinošu ēsmu – atstāts USB, “bezmaksas” fails vai balva –, kas pamudina upuri rīkoties.

Vai deepfake ir sociālā inženierija?

Jā. Deepfake (AI ģenerēta balss vai video) ir rīks, kas pastiprina sociālo inženieriju, atdarinot uzticamu personu, lai pārliecinātu upuri rīkoties.

Kas ir BEC jeb vadītāja krāpniecība?

Uzbrucējs izliekas par vadītāju vai piegādātāju un ar viltus e-pastu novirza uzņēmuma maksājumu uz savu kontu. Latvijā vidēji ~16 000 € vienam uzņēmumam.

Kā atpazīt sociālās inženierijas uzbrukumu?

Nepieprasīta saziņa + mākslīga steiga + neparasta prasība (dati, nauda vai piekļuve) = apstājies un pārbaudi pa oficiālu kanālu.

Kā pasargāt uzņēmumu?

Regulāra darbinieku apmācība, skaidras maksājumu apstiprināšanas procedūras un kontrolēta sociālās inženierijas testēšana, kas atklāj vājākos posmus.

Kur ziņot par krāpniecību Latvijā?

CERT.lv: cert@cert.lv, diennakts tālrunis 67085888; krāpniecisku īsziņu uz +371 23230444. Par pikšķerēšanu sīkāk skati pikšķerēšana.lv.