Kodėl „nespausk nuorodos“ nebeveikia: smishing anatomija ir kaip realiai apsaugoti telefoną
| Autorius: Deividas Ambrazevičius
Kabliukas: dvi sekundės, kurios pakeičia viskąPokalbis prasidėjo paprastai: „Labas." Atsakymas – „Papuoliau." Tarp šių dviejų žinučių telefone atsirado trečioji – tariamai iš „epolicijos", su pranešimu apie „privalomą patikrinimą" ir nuoroda epolicija.e-vmi.ltd.
Atrodo akivaizdu, tiesa? Tikras VMI domenas baigiasi .lt, o čia – .ltd. Pavadinimas susideda iš dviejų pažįstamų žodžių („epolicija" + „e-vmi"), sujungtų taip, kad sukurtų pasitikėjimo iliuziją. Bet šis straipsnis nėra apie tai, kaip „atpažinti" suklastotą nuorodą – apie tai jau prirašyta tūkstančiai straipsnių. Šis straipsnis apie kažką nepatogesnio: kodėl tie patys žmonės, kurie skaitė tuos straipsnius, vis tiek paspaudžia.
Hakerio žvilgsnis: kodėl smishing yra pigiausia ir efektyviausia ataka
Užpuolikui SMS phishing (smishing) yra dėkingas dėl trijų priežasčių:
- Kanalas yra patikimas iš prigimties. Žmonės dešimtmečius mokomi nepasitikėti el. pašto nuorodomis, bet SMS žinutės vis dar suvokiamos kaip „asmeniškesnis", saugesnis kanalas – bankas, kurjeris, gydykla rašo SMS.
- Ekranas yra mažas, dėmesys – trumpas. Mobiliuose naršyklės UI dažnai paslepia pilną URL, o pranešimų sąsajos (push preview) rodo tik nuorodos tekstą, ne tikslų domeną.
- Kaina nuliui artima. SMS siuntimo įrankiai ir nutekinti telefonų numerių sąrašai kainuoja centus. Net 0,1% atsako rodiklis užpuolikui yra pelningas.
Šiuo konkrečiu atveju užpuolikas panaudojo autoritetą (valstybinė institucija) + skubą (pilnas patikrinimas „privalomas"). Tai klasikinis Cialdini įtikinėjimo principų derinys – ir jis veikia nepriklausomai nuo IQ ar IT žinių, nes veikia ne logiką, o instinktą.
Gynėjo atsakas: kodėl pakartotiniai įspėjimai turi ribas
Šis kliento atsakymas – „Papuoliau" – nėra atsitiktinis. Saugumo bendruomenėje tai vadinama awareness-behavior gap (žinojimo ir veiksmo atotrūkiu). Žmogus žino taisyklę, bet konkrečioje, emociškai įtemptoje situacijoje taisyklė nebeaktyvuojasi. Trys pagrindiniai veiksniai:
- Kognityvinė nuovargis. Vidutinis vartotojas per dieną gauna dešimtis pranešimų. Smegenys naudoja euristiką („atrodo kaip iš banko" = tikra), nes pilna analizė kiekvienai žinutei energetiškai nepakeliama.
- Konteksto sutapimas. Jei žmogus tuo metu tikrai turi neapmokėtų mokesčių, laukia siuntinio ar nerimauja dėl dokumentų – sukčiavimo žinutė „pataiko" tiksliai į esamą rūpestį.
- Mobilus aplinka sumažina matomus signalus. Desktopyje matome pilną URL juostoje. Telefone – dažnai tik mygtuką su tekstu „Tikrinti čia".
Išvada edukatoriams: vien pakartotinis „būk atsargus" nebeveiks geriau po dešimtosios kartos nei po pirmos. Reikia dviejų sluoksnių apsaugos – žmogaus (suvokimas) ir technologijos (sistema, kuri sulaiko grėsmę dar prieš žmogui priimant sprendimą).
Praktinė apsauga: 5x patikrinimo metodas
Jei nuoroda jau atėjo ir sistema jos nepažymėjo, peržiūrėkite šiuos penkis punktus prieš paspausdami:
- Domeno galūnė.
.lt ≠ .ltd, .lt ≠ .lt-vmi.com. Tikrinkite ne žodžius prieš domeną, o pačią galūnę. - Siuntėjo numeris ar ID. Institucijos retai rašo iš atsitiktinio mobilaus numerio.
- Skubos kalba. „Privalomas", „nedelsiant", „bus blokuota" – tai emocinio spaudimo žymės, ne teisinė kalba.
- Ar tikrai tikitės šios žinutės? Jei VMI, bankas ar kurjeris nesusisiekė su jumis savaime – tai signalas, ne sutapimas.
- Patikrinkite per kitą kanalą. Atsidarykite naršyklę patys, įveskite žinomą institucijos adresą ranka – niekada per gautą nuorodą.
Technologinė apsauga: nustatymai, kurie veikia net kai jūs „nepastebėjote"
Čia – svarbiausia šio straipsnio dalis. Štai kaip įjungti realią, automatinę apsaugą telefono nustatymuose.
Greitos pergalės vs ilgalaikė strategija
| Greita pergalė (5 min.) | Ilgalaikė strategija |
|---|
| Android | Įjungti Spam protection | Reguliariai tikrinti „Spam & blocked" aplanką, mokyti šeimą atpažinti URL galūnes |
|---|
| iOS | Įjungti Screen Unknown Senders | Niekada neatsakyti į nepažįstamas žinutes, periodiškai peržiūrėti „Unknown Senders" sąrašą |
|---|
| Abu | Pridėti banko ar VMI numerį į kontaktus iš oficialaus šaltinio | Organizuoti trumpą šeimos ar komandos pratybą su realiu smishing pavyzdžiu (phishingo simuliacija) |
|---|
Pabaigos žodis
Pažįstamas, kuris parašė „Papuoliau", nėra išimtis – jis yra statistika. Phishing ir smishing sėkmės rodikliai nekrenta dėl to, kad žmonės taptų protingesni vakuume, o krenta tik tada, kai technologija pradeda dirbti vietoj atminties.
Jūsų užduotis kaip mokytojo, vadovo ar tiesiog šeimos nario – ne tik priminti „būk atsargus", bet padėti žmonėms vieną kartą įjungti nustatymus, kurie saugos juos kiekvieną kitą kartą. Daugiau – kibernetinio saugumo paslaugos, mokymai ir phishingo simuliacija organizacijoms.Naujienlaiškis
Kartą per mėnesį atsiųsiu naujienlaiškį su svarbiausia informacija apie kibernetinį saugumą ir privatumą, kad būtumėte informuoti ir gautumėte aktualiausias žinias tiek asmeniškai, tiek kaip įmonės vadovas.
Prenumeruodami sutinkate gauti informaciją su pasiūlymais, pamokomis ir naujienomis kibernetinio saugumo bei privatumo temomis.
← Grįžti į blogą