Pastaraisiais mėnesiais suaktyvėjo kibernetinės atakos prieš Lietuvos įmones, naudojančias SMS žinučių siuntimo paslaugas. Įsilaužę į jų infrastruktūrą, sukčiai pradeda nepastebimai siųsti pranešimus į egzotiškas šalis arba SMS srautą nukreipia į pelningas sukčiavimo schemas. Kaip teigia „Telia“ žinovai, dėl penkiaženkles „skyles“ įmonės banko sąskaitoje paliekančių išpuolių neretai būna kaltos elementarios verslo informacinių sistemų spragos bei budrumo stoka.
„Šiandien verslai aktyviai naudojasi skaitmeniniais įrankiais, tačiau neretai pamiršta, kad net ir paprastas automatizuotas funkcionalumas – pavyzdžiui, SMS patvirtinimas klientui – gali būti išnaudotas kenkėjiškiems tikslams. Sukčiai ieško ne sudėtingų sisteminių bėdų, o neapsaugotų procesų, kuriuose gali įsitvirtinti tyliai ir veikti nepastebėti. Nors kovai su tokiomis atakomis tinkle esame įdiegę techninius sprendimus, gynybos sėkmė labiausiai priklauso nuo pačios organizacijos požiūrio į kibernetinį saugumą“, – įspėja „Telia“ Daiktų interneto padalinio vadovas Remigijus Brasius.
Pridaro žalos už dešimtis tūkstančių
Siekdami įsilaužti į verslo SMS siuntimo sistemas, kibernetiniai nusikaltėliai išbando pačias įvairiausias taktikas. Dažniausiai jie išnaudoja nesaugius aplikacijos programavimo sąsajos (API) raktus, nepakankamus autentifikavimo mechanizmus arba pažeidžiamus įmonės serverius. Tokių spragų išnaudojimas nusikaltėliams suteikia patogų prieigos tašką į įmonės infrastruktūrą ir leidžia inicijuoti kenkėjišką veiklą nepastebėtiems.
Kai sukčiai gauna prieigą prie tokių sistemų, jie gali inicijuoti masinį žinučių siuntimą į užsienyje registruotus padidinto tarifo numerius. Taip įgyvendinama vadinamoji „pilkoji schema“, kai aferistui už įeinantį SMS srautą atitenka dalis pajamų iš užsienio telekomunikacijų operatorių. Kadangi šios machinacijos vykdomos tokiose egzotiškose šalyse, kaip Dramblio Kaulo Krantas, surasti teisybę ir atgauti iššvaistytas nukentėjusios įmonės lėšas beveik nėra galimybių.
Kita dažna atakų forma – vadinamasis „smishing“ (SMS phishing), kai per užvaldytas verslo sistemas siunčiamos apgaulingos žinutės, bandant išgauti klientų asmeninius duoemnis arba pinigus. Tokie SMS gali mažai skirtis nuo įprastos įmonės komunikacijos – pavyzdžiui, žmogus gali gauti pranešimą apie paslaugos atnaujinimą, kuriam patvirtinti prašoma spustelėti kenkėjišką nuorodą arba pateikti slaptažodžius. Pažįstamas siuntėjo pavadinimas užmigdo vartotojo budrumą, todėl pasinaudojant apgaulingomis nuorodomis pavyksta išvilioti kur kas daugiau privačių duomenų, kuriuos vėliau galima parduoti už nemažą sumą.
„Kartais aferistams net nebūtina vykdyti įsilaužimo, nes šansą pasipelnymui jiems pakiša ydingas bendrovės procesas. Tai gerai iliustruoja prieš keletą metų vienoje Baltijos šalių sostinių veikusios picerijos atvejis. Sukčiai aptiko, kad internetu rezervuojant staliuką, klientams automatiškai atsiunčiama tai patvirtinanti SMS žinutė. Pasinaudojant tuo ir kontaktuose nurodant padidinto tarifo numerį, iš Gruzijos per interneto svetainę automatizuotai buvo atlikta dešimtys tūkstančių staliukų rezervacijų, už kurių patvirtinimus SMS žinute restoranui teko atseikėti daugiau, negu dešimt tūkstančių eurų“, – prisimena R. Brasius.
Kodėl SMS sistemos tampa taikiniu?
SMS sistemos sukčių dėmesį patraukė dėl kelių priežasčių. Pirmiausia, daug įmonių, ypač mažesnių, nepakankamai investuoja į šių sistemų saugumą, nes laiko jas mažos rizikos infrastruktūra. Joje nėra saugomi ypač jautrūs duomenys, o ją valdantiems verslams neateina į galvą, kad piktavaliai galėtų panaudoti pasipelnymui. Šis aplaidumas dažnai tampa puikia dirva sukčiams, kurie ieško būtent tokių silpnų vietų organizacijų kibernetinėje apsaugoje.
Antra, SMS žinutės šiandien išlieka vienu pagrindinių kanalų klientų informavimui. Vartotojai yra pratę gauti informacinius pranešimus, pradedant užsakymų patvirtinimais ir baigiant siuntų statuso pasikeitimais. Tai sukčiams leidžia organizuoti kur kas veiksmingesnes duomenų išviliojimo kampanijas nei naudojant el. paštą, kuris jau eilę metų linksniuojamas dėl apgavysčių gausos.
Įsilaužėliams darbą palengvina ir tai, kad daugelis verslo SMS sistemų vis dar naudoja pasenusias saugumo priemones, kurios nebuvo atnaujintos pagal šiandienos kibernetinio saugumo standartus. Tokios sistemos dažnai neturi pakankamos prieigos kontrolės, žinučių turinio filtravimo ar neįprastų siuntimo modelių aptikimo mechanizmų, todėl yra lengvas grobis nusikaltėliams.
„Stebime, kad didžioji dalis verslų SMS sistemas laiko tik paprastu komunikacijos įrankiu, neįvertindami jų svarbos bendrame saugumo kontekste. Kai neapsaugota SMS infrastruktūra tampa prieinama įsilaužėliams, pasekmės gali būti daug rimtesnės nei vien finansiniai nuostoliai. Sutrikdoma verslo veikla, o ilgalaikėje perspektyvoje nukenčia ir klientų pasitikėjimas. Deja, daugelis įmonių tokius nuostolius pradeda skaičiuoti tik tada, kai jau būna per vėlu“, – atskleidžia „Telia“ Daiktų interneto padalinio vadovas.
Lengvo būdo apsisaugoti – nėra
Kadangi kibernetiniai nusikaltėliai įmonių SMS sistemas gali užvaldyti pačiais įvairiausiais būdais, su jais kovoti nėra vieno paprasto „ginklo“. Siekiant greitai pastebėti galimas anomalijas būtina reguliariai tikrinti išsiųstų SMS statistiką. Kitas svarbus elementas – saugesnių prisijungimo mechanizmų įdiegimas. Visi darbuotojai, turintys prieigą prie SMS siuntimo sistemų, turėtų naudoti dviejų veiksnių autentifikaciją. Taip pat rekomenduojama reguliariai keisti slaptažodžius ir API raktus, ypač kai keičiasi darbuotojai, turintys prieigą prie sistemų.
Kita prevencijos priemonė – ALPHANUMERIC siuntėjo vardo naudojimas vietoje telefono numerio. Šis metodas yra saugesnis vienkrypčiams pranešimams, nes leidžia aiškiai identifikuoti siuntėją ir apsunkina sukčių bandymus apsimesti įmone. ALPHANUMERIC siuntėjas – tai tekstinis siuntėjo identifikatorius, kuris gali būti sudarytas iš raidžių ir skaičių (pavyzdžiui, „TELIA“ ar „BANKAS“) ir atsidurti telefono numerio laukelyje.
Toks identifikatorius ne tik sustiprina prekės ženklo atpažįstamumą, bet ir suteikia papildomą autentiškumo lygį, nes jį sunkiau suklastoti nei telefono numerį. Įmonės, pradėjusios naudoti ALPHANUMERIC sprendimą, taip pat turi galimybę apie tai pranešti savo klientams, kad jie galėtų lengviau atpažinti sukčių bandymus.
Parengta pagal „Telia“ pranešimą
