Visuomenė vis geriau supranta, kaip atpažinti fišingo ir smišingo atakas, o organizacijose vis dažniau rengiami mokymai, tačiau ne visuomet juose dalyvauja darbais užimti vadovai, manydami, kad galimas atakas jie tikrai sugebės atpažinti. Visgi būtent skirtingų lygių vadovai dažnai tampa silpnąja grandimi, kurią išnaudoja sukčiai, vykdydami specifines atakas, vadinamas „banginių medžiokle“ (angl. whaling).
Kibernetiniai nusikaltėliai taiko apie 20 skirtingų socialinės inžinerijos atakų tipų siekiant išgauti vertingą informaciją ar pasipelnyti. Viena iš jų – „banginių medžioklė“. Kaip aiškina „Baltimax“ kibernetinio saugumo inžinierius ir ESET ekspertas Lukas Apynis, IT srityje „banginių medžiokle“ yra vadinamos tikslinės kibernetinės atakos, kurios dažniausiai vykdomos socialinės inžinerijos būdu. Tokių puolimų taikinys yra aukščiausio lygio vadovai ar kiti organizacijos strategiškai svarbūs asmenys.
Prieš daugiau nei 10 metų visame pasaulyje nuskambėjo „banginių medžioklė“, kuriai vadovavo lietuvis. 2013–2015 metais iš „Google“ ir „Facebook“ kompanijų buvo išviliota daugiau nei 120 milijonų JAV dolerių. Lietuvis apsimetė Taivano kompiuterių gamintoja „Quanta Computer“ ir siuntė suklastotus el. laiškus su netikromis sąskaitomis, nukreipdamas mokėjimus į savo valdomas sąskaitas. 2019 metais kibernetinis sukčius buvo nuteistas penkeriems metams kalėjimo.
Dar viena garsi „banginių medžioklės“ ataka įvyko 2020 metais, kai kibernetiniai nusikaltėliai taikėsi į socialinio tinklo „Twitter“ (dabar – „X”) darbuotojus, turinčius prieigą prie vidinių įmonės sistemų. Apsimetę aukšto rango vadovais, jie sugebėjo išgauti darbuotojų prisijungimo duomenis. Tai leido užpuolikams perimti kelių garsių asmenų paskyras, tarp jų – Elono Musko, Baracko Obamos ir Joe Bideno. Nusikaltėliai pasinaudojo šiomis paskyromis vykdydami kriptovaliutų sukčiavimo schemą, per kurią išviliojo apie 120 tūkstančių JAV dolerių. Be tiesioginių finansinių nuostolių, „Twitter“ patyrė ir didžiulę reputacijos krizę, kuri išryškino įmonės saugumo spragas.
Šie didelio masto pavyzdžiai rodo, kad net didžiausios pasaulio kompanijos nėra apsaugotos nuo gerai suplanuotų kibernetinių atakų, o socialinė inžinerija išlieka viena pavojingiausių sukčiavimo formų.
Nors nėra tikslių naujausių duomenų apie „banginių medžioklės“ atakų dažnumą ir jų sukeltus nuostolius, ekspertai teigia, kad prieš aukščiausio ir vidutinio lygio vadovus sėkmingai įgyvendintos atakos reikšmingai prisideda prie bendro kibernetinių grėsmių augimo visame pasaulyje. Kaip nurodo viena didžiausių pasaulinių duomenų ir rinkos analizės platformų „Statista”, 2023 metais kibernetinių nusikaltimų bendra žala visame pasaulyje siekė 9,22 trilijono JAV dolerių, tačiau skaičiuojama, kad pernai nuostoliai buvo kelis kartus didesni ir pasiekė rekordines aukštumas.
„Šio tipo kibernetiniai sukčiavimai išlieka aktualūs ne tik pasaulinėms didžiulėms įmonėms, bet ir Lietuvos organizacijoms. Nors po tokių sukrėtimų įmonės stiprina saugumo procesus, finansiniai ir reputaciniai nuostoliai gali būti itin skaudūs, o kartais atsitiesti nepavyksta visai, – sako kibernetinio saugumo inžinierius L. Apynis. – Todėl svarbu iš anksto ruoštis įvairaus pobūdžio atakoms, kad, iškilus realiai grėsmei, jas būtų galima sėkmingai atremti.” Taigi – kaip sustiprinti organizacijos saugumą?
Kodėl nusikaltėliai taikosi į vadovus?
Viena iš priežasčių – organizacijų vadovai turi plačią prieigą prie jautrių ir konfidencialių duomenų. „Pavyzdžiui, vadovai turi teisę tvirtinti finansines operacijas ar priimti strategiškai reikšmingus sprendimus organizacijoje. Taip pat programišiai vadovų vardu gali lengviau apgauti tiek kitus darbuotojus, tiek išorinius partnerius, – sako L. Apynis ir priduria, kad paprastai „banginių medžioklės” būna efektyvios, jeigu atakos yra gerai suplanuotos ir pritaikytos konkrečiam asmeniui. – Vadovai dažnai stokoja laiko ar specifinių įgūdžių, reikalingų kruopščiai peržiūrėti ir įvertinti kiekvieną gautą laišką.”
Nors pagrindiniai „banginių medžioklės“ taikiniai yra aukščiausio lygio vadovai, pavojus kyla ir žemesnės grandies vadovams bei specialistams, turintiems prieigą prie svarbių sistemų ar konfidencialios informacijos. Kaip teigia kibernetinio saugumo ekspertas, tokie asmenys neretai tampa tarpine grandimi, per kurią nusikaltėliai gali pasiekti aukštesnio lygio vadovus ar svarbias sistemas.
Kaip pastebi IT sprendimų platinimo įmonės atstovas, Lietuvoje stebimas tikslinių atakų augimas – programišiai rašo el. laiškus vietine kalba, taip padidindami nusikaltimų veiksmingumą.
„Tokių laiškų padaugėjo, nes sukčiai vis aktyviau pasitelkia dirbtinį intelektą. Jie taip pat analizuoja įmonių socialinius tinklus ir viešai prieinamą informaciją, kad sukurtų kuo tikroviškesnius laiškus. Dažniausiai nusitaikoma į finansų sektorių – siekiama išvilioti pinigus, pasisavinti konfidencialią informaciją ar pakenkti įmonės reputacijai“, – teigia L. Apynis.
Kokie dažniausi „banginių medžioklės” įrankiai?
Nusikaltėliai „banginių medžioklės” metu dažniausiai naudoja fišingo (angl. phishing) arba tikslinio fišingo (angl. spear-phishing) laiškus, imituojančius patikimus siuntėjus, tokius kaip bankai, kolegos, valstybinės įstaigos ir kitų įvairių organizacijų atstovus, pasakoja IT ekspertas.
„Melaginguose laiškuose dažnai pasitelkiamos suklastotos sąskaitos faktūros, netikros finansinių pavedimų užklausos ar užkrėsti priedai ir nuorodos, vedančios į kenkėjiškas svetaines”, – sako L. Apynis.
Medžiodami „banginius” sukčiai vis dažniau išnaudoja sparčiai tobulėjančius dirbtinio intelekto įrankius. Vienas naujausių ir didelius nuostolius sukėlusių atvejų buvo paviešintas vasario pradžioje – Honkonge sukčiai apgavo tarptautinės įmonės finansų darbuotoją ir išviliojo 25 mln. Honkongo dolerių. Naudodami dirbtinio intelekto generuotus vaizdo ir garso klastojimus, nusikaltėliai sugebėjo įtikinti darbuotoją, kad jis dalyvauja autentiškame vaizdo skambutyje su aukšto rango įmonės vadovais. „Tokie atvejai rodo, kad tradiciniai apsaugos mechanizmai, tokie kaip balso ar vaizdo tapatybės patvirtinimas, tampa nepatikimi, o įmonės turi imtis papildomų patikros priemonių”, – teigia kibernetinio saugumo ekspertas L. Apynis.
Kaip apsisaugoti nuo „banginių medžioklės“?
Mokymai ir budrumas. Svarbiausias ginklas prieš kibernetines atakas – švietimas. Verta periodiškai mokyti vadovus ir darbuotojus atpažinti sukčiavimo atakas, imituoti realias grėsmes bei tikrinti jų pasirengimą reaguoti į galimus incidentus“, – sako IT ekspertas.
IT saugumo sprendimai. Įmonių vadovams ir deleguotiems IT specialistams svarbu pasirūpinti veiksmingais kibernetinio saugumo sprendimais ir tinkamomis sistemų konfigūracijomis. „Pavyzdžiui, kelių veiksnių autentifikavimas (MFA) padeda apsisaugoti nuo neteisėto prisijungimo net tuo atveju, jei slaptažodžiai buvo pavogti ar atspėti. Taip pat verta taikyti papildomas patvirtinimo procedūras, tokias kaip skambutis ar žinutė, siekiant patikrinti neįprastus mokėjimo prašymus”, – sako L. Apynis.
Laikantis šių saugumo priemonių ir reguliariai apmokant darbuotojus, galima reikšmingai sumažinti riziką tapti „banginių medžioklės“ ar kitų socialinės inžinerijos atakų aukomis.
