Nusikaltimui naudojant informacines technologijas, apgavystės scenarijus gali būti kartojamas daugybę kartų, kol randama auka. Sukčiai pasinaudoja ne tik patikliaisiais, bet ir patikimais įmonių darbuotojais, nes internete viskas gali atrodyti įtaigiau. Dažnai pasitaiko, kad slapta informacija įvedama į anketą, imituojančią kokios nors institucijos dokumentą. Taip pat, kompiuteris gali būti užkrėstas sekimo programa atidarius elektroninį laišką nuo kolegos ar primenantį įprastą reklaminį pasiūlymą. Pasitaiko netgi atvejų, kai inscenizuojama netikėta situacija ir galiausiai auka telefonu padiktuoja prisijungimo duomenis.
Spaudoje aprašytas atvejis, kai į tokią situaciją pakliuvo vienos Kauno bendrovės buhalterė. Paskambinę ir prisistatę banko atstovais, nepažįstamieji informavo apie „pastebėtą sąskaitoje esančių pinigų judėjimą“. Darbuotojai atskleidus prisijungimo duomenis, maždaug po valandos banke apsilankęs vyriškis iš įmonės sąskaitos pasisavino beveik 5 tūkst. litų.
„Socialinės inžinerijos nusikaltėliams nebūtina turėti išskirtinių IT žinių ir gebėjimų, nes technologijos – tik įrankis vykdyti šiuos nusikaltimus. Jie žino, kad gali pasinaudoti įmonių ir institucijų darbuotojais, nes jie yra silpniausia grandis verslo IT saugumo procedūrose“, - sako tarptautinės informacinių technologijų kompanijos „DPA Lietuva“ vadovas Laurynas Truncė. Pasak jo, svarbi socialinės inžinerijos ypatybė, kad tai labai pigus ir paprastas būdas sukčiauti.
„DPA Lietuva“ specialistai sako, kad efektyviausias būdas užkirsti kelią socialinės inžinerijos nusikaltimams yra nuolatinis darbuotojų sąmoningumo kėlimas. Būtina apsibrėžti saugaus elgesio su svarbia informacija procedūras ir periodiškai apie jas informuoti darbuotojus, be abejo, nederėtų pamiršti ir įprastų IT saugumo priemonių.
Patiems darbuotojams patariama atsargiau reaguoti į netikėtus skambučius ar elektroninius laiškus, ramiai įvertinti informaciją - jokiu būdu nedaryti skubotų veiksmų, ko paprastai reikalauja sukčiai. Esant bent mažiausiai abejonei, ar su jumis internetu susisiekė tikras kitos organizacijos – banko, valdžios institucijos ar partnerių – atstovas, geriausia nedelsiant tą patikrinti susisiekus su organizacija kitu kanalu, pavyzdžiui, telefonu. Policijos duomenimis, pastaraisiais metais buvo itin paplitęs įmonių apgaudinėjimo scenarijus, kai sukčiai prisistatydavo Finansinių nusikaltimų tyrimų tarnybos (FNTT) pareigūnais. Tačiau šį metodą netrunka keisti kitas, nes naujų apgavystės pinklių kūrimas – tik sukčių fantazijos klausimas.
Faktas. Nė viena oficiali organizacija niekada neprašys asmeninio jūsų slaptažodžio ar bet kokių slaptų prisijungimo duomenų nepatikimu ar atviru kanalu. Jūsų slaptažodžiai, prisijungimo duomenys, kaip ir namų raktas, priklauso tik jums ir perdavę juos kam nors kalti būsite tik patys.
Taip pat įmonių darbuotojams būtina atidžiau vertinti internetines nuorodas ir pasitikrinti, ar atversto puslapio internetinis adresas tikrai yra geras – sukčiai puikiai moka imituoti organizacijų oficialių puslapių dizainą.
Faktas. Galima imituoti dizaina, tačiau negalima gauti to paties interneto svetainės adreso. Daugelis sukčių sukurtų svetainių turi ilgą, užmaskuotą adresą. Taigi, jei regite, pavyzdžiui, „Swedbank“ slaptažodžių keitimo puslapį, tačiau į jį patekote be jokio specialaus prisijungimo, arba adreso eilutėje žodis „Swedbank“ įrašytas tik pabaigoje arba jo visai nėra – jus kažkas laiko kvailiu.
Geriausiai žinomas socialinės inžinerijos įrankis yra vadinamieji „Trojos arkliai“, kurie visai kaip legendiniame graikų mite, nesunkiai pakliūna į kompiuterius internetu ar per kitas laikmenas ir gali padaryti didelės žalos verslo organizacijai: nutekinti verslo paslaptis, pavogti pinigus pasinaudojus elektronine bankininkyste ar iš įmonės kompiuterio įvykdyti kitą nusikaltimą.
„DPA Lietuva“ specialistų teigimu, dažnai tokios programos, kaip „Trojos arkliai“, pakliūva į jau egzistuojančius aplankus įmonės kompiuteryje ir nesukelia įtarimo. Paprastai joms suteikiami bendri, niekuo neišsiskiriantys pavadinimai, pavyzdžiui „video.exe“, „list.exe“ ar „cost estimate.xls“.
Aišku, visiškai saugus kompiuteris - tik nuo interneto atjungtas kompiuteris, tačiau žinant kai kurias taisykles ar bent jau nepuolant stačia galva vykdyti kažkieno nurodymų, jei visko iki galo nesuprantate, galima jaustis pakankamai saugiems ir šiuolaikinio interneto džiunglėse.
