Strādājot internetā, svarīgi domāt par drošību. Tavi dati ir tavi, neatkarīgi no tā, vai tie atrodas tavā ierīcē vai mākonī. Nevienam nav tiesību bez tavas atļaujas tos izmantot.
Diemžēl mūsdienu kibertelpā (internetā) darbojas daudz krāpnieku, kuri grib nelikumīgi  iegūt cilvēku personīgus datus, lai iegūtu peļņu. To sauc par sociālo inženieriju.
Sociālā inženierija informācijas drošības kontekstā nozīmē cilvēka psiholoģisku manipulēšanu, lai panāktu noteiktu darbību veikšanu vai konfidenciālas informācijas izpaušanu. Tas ir uzticēšanās trika veids ar mērķi savākt informāciju, apkrāpt vai iegūt piekļuvi sistēmai.
Bieži vien krāpnieki izmanto ne tikai zināšanas psiholoģijā, bet arī dažādu ļaunprogrammatūru. Ļaunprogrammatūra, dažreiz arī kaitīga programmatūra vai ļaunatūra (angļu: malicious software, malware) ir programmatūra, kas tiek izmantota, lai traucētu datora darbību, ievāktu informāciju, piekļūtu privātām datorsistēmām, bojātu datorsistēmu bez tās lietotāja piekrišanas. Ļaunprogrammatūra var parādīties kā izpildāmais kods, skripts, aktīvais saturs.
 
671982_1280.jpg
 
Ar terminu "ļaunprogrammatūra" tiek apzīmēta vienīgi tā programmatūra, kas apzināti nodara kaitējumu. Ja programmatūra kaitējumu rada kļūdu vai sliktas izstrādes dēļ, tad tā netiek klasificēta kā ļaunprogrammatūra. Parasti lietotāji un organizācijas, mēģinot aizsargāties pret ļaunprogrammatūras uzbrukumiem, lieto dažādu programmatūru, piemēram:
  • Ugunsmūris – datu plūsmas filtrs, pirmais aizsardzības slānis interneta tīklā.
  • Antivīrusu programmatūra – notver un aizkavē vai aptur ļaunprātīgu programmatūru un tās darbību.
  • Script blocker” – programmatūra interneta pārlūkprogrammai, kas atļauj filtrēt mājaslapu darbību.
  • VPN vai virtuālais privātais tīkls – savienojuma metode, ko izmanto, lai uzlabotu drošību un privātumu privātiem un publiskiem tīkliem, piemēram, publiskajiem Wi-Fi tīkliem.
Apskatīsim dažādus veidus, kā krāpnieks var tikt pie svešiem datiem:
  • Aizbildināšanās (angļu pretexting) – darbību kopums, kas izstrādāts pēc konkrēta, iepriekš sastādīta scenārija, kā rezultātā cietušais var sniegt kādu informāciju vai veikt noteiktu darbību. Visbiežāk šāda veida uzbrukumos tiek izmantoti balss rīki, piemēram, Skype, WhatsApp, tālrunis utt.
    Lai izmantotu šo paņēmienu, uzbrucējam sākotnēji ir jābūt datiem par upuri (piem., darbinieka vārds, amats, dzimšanas datums). Uzbrucējs sākotnēji izmanto reālus pieprasījumus ar uzņēmuma darbinieku vārdiem un pēc uzticības iegūšanas saņem sev nepieciešamo informāciju.
  • Pikšķerēšana (angļu phishing, no fishing— makšķerēšana) – interneta krāpšanas tehnika, kuras mērķis ir iegūt konfidenciālu lietotāja informāciju – dažādu sistēmu autorizācijas datus. Galvenais pikšķerēšanas uzbrukuma veids ir viltota e-vēstule, kas upurim tiek nosūtīta uz e-pastu un izskatās kā oficiāla vēstule no maksājumu sistēmas vai bankas. Vēstulē ir veidlapa personas datu ievadīšanai (PIN kodi, pieteikšanās un parole utt.) vai saite uz tīmekļa lapu, kurā atrodas šāda veidlapa. Iemesli upura uzticībai šādām lapām var būt dažādi: konta bloķēšana, sistēmas bojājums, datu zudums utt.
3390518_1280.jpg
  • Vishing (balss pikšķerēšana) ir noziedzīga prakse, izmantojot sociālo inženieriju un tālruņu tīklu, lai iegūtu piekļuvi personas personiskajai informācijai finansiālas atlīdzības nolūkos. Šo paņēmienu izmanto arī uzbrucēji, lai apkopotu sīkāku informāciju par mērķa organizāciju. Tālruņa pikšķerēšanai tiek izmantota krāpnieciska interaktīva balss atbildes sistēma, kas no bankas vai citas iestādes sistēmas no jauna izveido "likumīgi skanošu ziņojumu. Cietušais saņem lūgumu zvanīt uz "bankas" norādīto numuru (visbiežāk bezmaksas), lai "pārbaudītu" informāciju. Tipiska "vishing" sistēma nepārtraukti noraida pieteikšanos, aicinot upuri vairākas reizes ievadīt PIN vai paroles, lai atklātu vairākas dažādas paroles.
  • Trojas zirgs ir tehnika, kuras pamatā ir lietotāju zinātkāre, bailes vai citas emocijas. Uzbrucējs uz e-pastu nosūta upurim vēstuli, kuras pielikumā ir antivīrusa “atjauninājums”, naudas laimesta atslēga vai kompromitējoši pierādījumi par darbinieku. Faktiski pielikumā ir ietverta ļaunprātīga programma, kuru pēc tam, kad lietotājs to būs palaidis savā datorā, uzbrucējs izmantos informācijas vākšanai vai modificēšanai.
  • Quid pro quo (pakalpojums par pakalpojumu) (no latīņu valodas Quid pro quo— "tas par to") – šis paņēmiens ietver uzbrucēja saziņu ar lietotāju pa e-pastu vai uzņēmuma tālruni. Uzbrucējs var sevi nosaukt par tehniskā atbalsta darbinieku un informēt par tehnisku problēmu rašanos darba vietā. Viņš turpina stāstīt, ka ir jārisina šī problēma. Problēmas "risināšanas" procesā uzbrucējs piespiež upuri veikt darbības, kas ļauj uzbrucējam izpildīt noteiktas komandas vai instalēt nepieciešamo programmatūru upura datorā.
  • Baiting (māneklis, "ceļa ābols") – šī metode ir Trojas zirga adaptācija un sastāv no fizisko datu nesēju (CD, zibatmiņas disku) izmantošanas. Uzbrucējs šādu ierīci parasti atstāj publiskā vietā, kāda uzņēmuma teritorijā (stāvlaukumos, ēdnīcās, darbinieku darba vietās, tualetēs). Lai mudinātu interesi par ierīci, uzbrucējs var uzrakstīt uz ierīces uzņēmuma logo un saistošo uzrakstu (piemēram, “pārdošanas dati”, “darbinieku algas”, “nodokļu pārskats” un citi).
  • Scareware (viltus antivīruss). Šī metode ir lietotāju maldināšana par viņu datorsistēmu viltus inficēšanu. Šāda maldināšana mudina upurus instalēt programmatūru, kas nedod nekādu reālu labumu vai ir vīruss. Izplatīts biedējošo programmu piemērs ir likumīga izskata uznirstošie reklāmkarogi ar tekstu par spiegprogrammatūras ļaunprātīgu programmatūru. Kopā ar brīdinājuma ziņojumiem tiek ieteikts instalēt viltus antivīrusu, kas jau satur ļaunprātīgu programmatūru vai novirza uz ļaunprātīgu vietni. Scareware izplata arī ar surogātpastu, kas sniedz viltus brīdinājumus vai aicina lietotājus iegādāties bezjēdzīgus vai pat kaitīgus pakalpojumus.
Draudu novēršana:
1. Pārbaudi personas identitāti, ar kuru sazinies! Tas it īpaši attiecas uz e-pastiem un tālruņa zvaniem, kurus jūs negaidījāt. Ja nepazīstat sūtītāju, neatbildiet uz e-pasta ziņojumiem.
2. Ja cilvēks – pazīstams, piezvani viņam! Ņemiet vērā, ka e-pasta adreses var būt viltotas, un ziņojumus, kas ir saņemti it kā no uzticama avota, varēja atsūtīt uzbrucējs. 
3. Nekad neatbildi uz e-pastiem, kuros tiek prasīta tava finanšu informācija! Bankas un grāmatvedība to nekad neprasīs.
4. Ievēro interneta drošības noteikumus: izmanto spēcīgas paroles, divu faktoru autentifikāciju, nepārbaudi bankas kontu, izmantojot publisko Wi-Fi!
5. Pārvaldi savu digitālo identitāti: noņem savu informāciju no publiskām vietnēm un labi padomā, pirms publicē kaut ko sociālajos medijos! Visi šie viegli pieejamie dati var palīdzēt apkopot personīgo informāciju un pēc tam izmantot to sociālajai inženierijai.
6. Rūpējies par savu programmatūru – uzstādi uzticamu pretvīrusu programmu, surogātpasta filtrus, nepieciešamos pārlūkprogrammas paplašinājumus.
7. Izmanto VPN! VPN nav optimizēti sociālās inženierijas bloķēšanai, taču tie var palīdzēt novērst uzbrukumus, palīdzot slēpt tavu tiešsaistes identitāti un novērst personīgo datu pārtveršanu.
8. Sargies no vilinošiem piedāvājumiem! Google meklēšana palīdzēs ātri noteikt piedāvājuma likumību.
 
3342696_1280.jpg