Zvana “IT atbalsts”: “Konstatējām jūsu kontā problēmu. Nolasiet, lūdzu, savu paroli, lai to novēršam.”
Kā tu rīkotos?
Nekad nenolasi paroli pa telefonu. Īsts IT atbalsts to neprasa – pārbaudi, piezvanot pa zināmu numuru.
Cilvēka faktors
Uzbrucējs neuzlauž datoru – viņš uzlauž tavu uzticēšanos, steigu un vēlmi palīdzēt. Iepazīsti metodes, psiholoģiskās sviras un pārbaudi sevi ar reāliem scenārijiem.
Kas ir sociālā inženierija
Sociālā inženierija ir psiholoģisks kiberuzbrukums – uzbrucējs ar viltu panāk, lai cilvēks pats izdara kaut ko kaitīgu.
Sociālā inženierija ir metožu kopums, kurā uzbrucējs manipulē cilvēku, nevis lauž tehnoloģiju. Mērķis ir izvilināt paroles, datus, naudu vai piekļuvi, izmantojot emocijas – autoritāti, steigu, bailes vai uzticēšanos.
Tā ir plašais jēdziens, zem kura ietilpst pikšķerēšana, viltus zvani, pretekstēšana, ēsmošana un pat fiziska iekļūšana. Aptuveni 68 % datu pārkāpumu ietver cilvēcisko faktoru.
Labā ziņa: šīs metodes balstās uz dažiem paredzamiem psiholoģiskiem trikiem. Kad tos zini, manipulācija kļūst redzama.
Kāpēc tā darbojas
Sociālā inženierija izmanto emocijas, kas apsteidz kritisko domāšanu. Šīs ir sviras, ko uzbrucēji spiež.
Izliekas par priekšnieku, banku, policiju vai IT atbalstu – cilvēki paklausa autoritātei.
“Rīkojies tagad, citādi…” – laika spiediens neļauj apdomāties un pārbaudīt.
“Konts bloķēts”, “uzsākta lieta” – bailes liek rīkoties impulsīvi.
Zināms vārds, logotips vai kolēģa vārds rada nepamatotu uzticību.
“Es tev palīdzēju, tagad tu…” vai “visi kolēģi jau apstiprināja” – spiediens atbildēt vai sekot citiem.
Metodes
Vienas un tās pašas sviras darbojas dažādos kanālos – e-pastā, telefonā un pat klātienē.
Viltus e-pasts vai lapa, kas izliekas par uzticamu, lai izvilinātu datus.
Piemērs: VID “atmaksa” vai Omniva “muitas nodoklis” e-pastā.
Krāpniecisks zvans, kurā uzbrucējs uzdodas par banku vai iestādi.
Piemērs: “Bankas drošības dienests” lūdz nolasīt Smart-ID kodu; numurs viltots.
Pikšķerēšana ar SMS un viltus saiti.
Piemērs: “Sūtījums aizturēts, samaksā 1,45 €” ar look-alike domēnu.
Uzbrucējs izdomā ticamu lomu un scenāriju, lai izvilinātu informāciju.
Piemērs: Zvana “IT atbalsts” un lūdz paroli “sistēmas atjaunināšanai”.
Vilinoša ēsma provocē upuri rīkoties.
Piemērs: Autostāvvietā “pamests” USB ar uzrakstu “Algas 2025”; iesprausts – palaiž ļaunatūru.
“Pakalpojums pretī pakalpojumam” – palīdzība apmaiņā pret piekļuvi vai datiem.
Piemērs: “Bezmaksas IT palīdzība” pa tālruni pretī attālinātai piekļuvei.
Iekļūšana slēgtā telpā, sekojot darbiniekam pa durvīm.
Piemērs: Persona ar kastēm lūdz “pieturēt durvis” pie biroja ieejas.
Izliekas par vadītāju vai piegādātāju, lai novirzītu maksājumu.
Piemērs: E-pasts “no direktora” grāmatvedei: steidzams pārskaitījums uz jaunu kontu.
AI ģenerēta balss vai video, kas atdarina reālu personu.
Piemērs: Video zvans ar “CFO”, kura seja un balss ir AI viltojums.
Bezmaksas tests
Tev tiks parādītas reālistiskas situācijas. Izvēlies drošāko rīcību un uzzini, kura psiholoģiskā svira tiek izmantota.
Zvana “IT atbalsts”: “Konstatējām jūsu kontā problēmu. Nolasiet, lūdzu, savu paroli, lai to novēršam.”
Kā tu rīkotos?
Nekad nenolasi paroli pa telefonu. Īsts IT atbalsts to neprasa – pārbaudi, piezvanot pa zināmu numuru.
Uz biroja stāvvietas atrodi USB ar uzrakstu “Konfidenciāli – algas 2025”.
Kā tu rīkotos?
Zinātkāre ir ēsma. Nezināmu USB nedrīkst spraust nevienā ierīcē – nodod to drošības komandai.
Cilvēks ar paku un pilnām rokām lūdz “tikai pieturēt durvis” uz slēgto biroja zonu.
Kā tu rīkotos?
Pieklājība nedrīkst apiet piekļuves kontroli. Pavadi apmeklētāju vai palūdz caurlaidi.
E-pasts it kā no direktora: “Esmu sanāksmē, steidzami pārskaiti 8 400 € šim piegādātājam. Neatbildi citiem.”
Kā tu rīkotos?
Slepenība un steiga ir brīdinājums. Verificē maksājumu pa neatkarīgu, zināmu kanālu – nevis atbildot uz to pašu e-pastu.
Video zvanā “CFO” un “kolēģi” apstiprina steidzamu, slepenu pārskaitījumu. Viss izskatās un skan pareizi.
Kā tu rīkotos?
Deepfake var atdarināt seju un balsi. Redzēt un dzirdēt vairs nav pierādījums – apstiprini pa citu, neatkarīgu kanālu.
Zvana “banka” ar “drošības aptauju” un apsola bonusu pretī dažiem “verifikācijas” datiem.
Kā tu rīkotos?
Balva pretī datiem ir āķis. Banka nezvana ar “aptaujām” un neprasa verifikācijas datus pa ienākošu zvanu.
Draudi skaitļos
Uzbrukumi arvien biežāk sākas ar cilvēku, nevis tehnoloģiju – un zaudējumi ir reāli.
Katram rādītājam pievienota atsauce uz oriģinālo avotu.
Uzņēmumiem
Ja uzņēmums ietilpst NIS2 tvērumā, darbinieku apmācība atpazīt kiberdraudus ir juridisks pienākums.
Ja uzņēmums ietilpst NIS2 tvērumā, darbinieku apmācība atpazīt sociālo inženieriju vairs nav izvēle, bet likuma pienākums – Nacionālās kiberdrošības likuma 25. panta piektā daļa prasa to darīt vismaz reizi gadā.
Likuma 25. panta piektā daļa prasa vismaz reizi gadā instruēt darbiniekus par aktuālajiem kiberdraudiem.
Tehniskā aizsardzība nepalīdz, ja darbinieks pats atver durvis – apmācība maina paradumus.
Maksājumu apstiprināšana pa otru kanālu un piekļuves kontrole novērš BEC un tailgating.
Kontrolēta sociālās inženierijas testēšana atklāj, kur ir vājākie posmi – pirms tos atrod īsts uzbrucējs.
Ceļveži
Praktiski ceļveži par konkrētām sociālās inženierijas metodēm un aizsardzību.
Uzbrucējs izdomā ticamu lomu, lai izvilinātu informāciju vai piekļuvi. Kā atpazīt un neuzķerties.
Lasīt ceļvediUzbrucējs uzdodas par vadītāju vai piegādātāju, lai novirzītu maksājumu. Vidēji ~16 000 € vienam LV uzņēmumam.
Lasīt ceļvediAI atdarina reālas personas seju un balsi, lai pārliecinātu upuri rīkoties. Kā pasargāties.
Lasīt ceļvediBiežāk uzdotie jautājumi
Psiholoģisks kiberuzbrukums, kurā uzbrucējs ar viltu manipulē cilvēku izdarīt kaut ko kaitīgu – nevis uzlauž tehnoloģiju, bet uzticēšanos.
Pikšķerēšana ir viena sociālās inženierijas metode (parasti e-pastā vai SMS). Sociālā inženierija ir plašais jēdziens, kas ietver arī zvanus, pretekstēšanu, ēsmošanu un fizisku piekļuvi. Vairāk par pikšķerēšanu →
Uzbrucējs izdomā ticamu scenāriju un lomu (piemēram, “IT atbalsts”), lai izvilinātu informāciju vai piekļuvi.
Uzbrukums ar vilinošu ēsmu – atstāts USB, “bezmaksas” fails vai balva –, kas pamudina upuri rīkoties.
Jā. Deepfake (AI ģenerēta balss vai video) ir rīks, kas pastiprina sociālo inženieriju, atdarinot uzticamu personu, lai pārliecinātu upuri rīkoties.
Uzbrucējs izliekas par vadītāju vai piegādātāju un ar viltus e-pastu novirza uzņēmuma maksājumu uz savu kontu. Latvijā vidēji ~16 000 € vienam uzņēmumam.
Nepieprasīta saziņa + mākslīga steiga + neparasta prasība (dati, nauda vai piekļuve) = apstājies un pārbaudi pa oficiālu kanālu.
Regulāra darbinieku apmācība, skaidras maksājumu apstiprināšanas procedūras un kontrolēta sociālās inženierijas testēšana, kas atklāj vājākos posmus.
CERT.lv: cert@cert.lv, diennakts tālrunis 67085888; krāpniecisku īsziņu uz +371 23230444. Par pikšķerēšanu sīkāk skati pikšķerēšana.lv.