Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Socjotechnika

Printer Friendly and PDF

leadWielu z nas żyje w przekonaniu, że haker to komputerowy maniak, wyobcowany, przyrośnięty do klawiatury dziwak, który przez swoje skłonności do wielogodzinnego przesiadywania przed ekranem komputera nie jest przystosowany do życia w społeczeństwie. Myślimy, że takiemu człowiekowi trudno znaleźć nić porozumienia ze zwykłymi ludźmi, ponieważ posługuje się językiem zrozumiałym tylko dla wytrawnych informatyków. Czy tak jest na pewno? Nie zawsze… Hakerem nazywana jest osoba, która przełamuje zabezpieczenia systemów informatycznych, wykorzystując luki, które się w nich znajdują, atakuje systemy informatyczne za pośrednictwem specjalnego oprogramowania. Hakerem jest również osoba, która posiada wyjątkowe umiejętności interpersonalne, zdolność do manipulowania ludźmi, co w połączeniu z wiedzą informatyczną daje wybuchową mieszankę.

Dziś informacja jest największą wartością. Im bardziej krytyczna, ukrywana, tym cenniejsza. Niewielu z nas zdaje sobie sprawę z faktu, iż wiele informacji mało istotnych z naszego punktu widzenia, czy z punktu widzenia pracowników naszej firmy, może stanowić wielką wartość dla kogoś z zewnątrz. Sposobów na pozyskanie cennych informacji może być wiele, a dodatkowym kłopotem jest to, iż ustalenie przyczyny wycieku informacji może być bardzo trudne. O ile utrata pieniędzy zostanie zauważona prędzej czy później, o tyle źródła wycieku możemy nie ustalić nigdy. Przestępcy mogą zdobyć interesujące ich informacje, włamując się do mieszkania czy biura. Efekty zwykłego włamania widać od razu. Trudniej natomiast zorientować się, że ktoś włamał się do systemu operacyjnego komputera. Najtrudniej jednak zorientować się, w jaki sposób przestępca zdobył wartościowe informacje wtedy, gdy sami spowodowaliśmy ich wyciek.

„Standardowo” hakerzy atakują zabezpieczenia bezdusznych systemów komputerowych, natomiast hakerzy-socjotechnicy atakują najsłabsze ogniwo wszystkich systemów – człowieka. Jedni ludzie są bardziej podatni na tego rodzaju ataki, inni mniej. Aby móc poradzić sobie z tego rodzaju zagrożeniami, trzeba po prostu zdawać sobie sprawę z faktu, iż możemy stać się celami ataku, i zachować czujność oraz zdrowy rozsądek. Jakie metody wykorzystują socjotechnicy, aby wejść w posiadanie cennych dla nich informacji? Przeróżne. Kilka z nich postaram się pokrótce opisać.

Jedną z metod wyłudzania poufnych informacji jest phishing. Proceder ten był już szerzej opisywany na łamach naszego periodyku, dlatego opiszę go tylko pobieżnie. Można go porównać do strzelania ze śrutówki bez celowania, byleby w kierunku stada kaczek przelatujących nad głową, z nadzieją, że na drodze wystrzelonego pocisku znajdzie się przypadkowa kaczka. Celem phishingu, najczęściej w postaci spamu (spreparowanych wiadomości automatycznie wysyłanych na przypadkowe adresy e-mailowe), jest natrafienie na osoby, które w odpowiedzi na wiadomość przekażą nadawcy istotne dla niego informacje lub zainstalują na swoim komputerze złośliwe oprogramowanie umożliwiające przestępcy kontrolowanie komputera ofiary. Dlaczego spam phishingowy został zakwalifikowany jako przykład metody socjotechnicznej? Odpowiedź jest prosta: treść wiadomości jest napisana w taki sposób, by zmanipulować odbiorcę, uśpić jego czujność, przekonać go, że otrzymał wiadomość z zaufanego źródła (najczęściej z banku, w którym posiada swój rachunek bankowy), wpłynąć na niego w taki sposób, by podał poufne informacje umożliwiające uwierzytelnienie się w systemie bankowości elektronicznej lub zainstalował oprogramowanie pozwalające hakerowi na późniejsze monitorowanie jego czynności. Użytkownik, który uległ wpływowi odpowiednio spreparowanej informacji, nie zdaje sobie sprawy z faktu, iż sam spowodował wyciek krytycznych informacji, których nieuprawnione wykorzystanie może przysporzyć mu w najbliższym czasie kłopotów – nie tylko finansowych (wynikających z wykorzystania pozyskanych przez przestępcę informacji do dokonania operacji w systemie bankowym), ale i niewymiernych, związanych z utratą lub skopiowaniem danych znajdujących się w komputerze ofiary ataku.

Opisany powyżej proceder phishingu jest działaniem na oślep. Zawodowi przestępcy, wykorzystujący socjotechnikę do uzyskania oczekiwanych przez siebie korzyści, którym zlecono pozyskanie trudnej do zdobycia informacji, działają w sposób bardziej rozważny, są dobrze przygotowani do realizacji zadania. Aby zdobyć ważną, interesującą ich informację działają według opracowanego przez siebie planu. By dotrzeć do celu, nierzadko muszą pokonać kilka stopni – zinfiltrować środowisko, poznać procesy zachodzące w danej organizacji, jej strukturę, dane dotyczące poszczególnych pracowników firmy, nawet żargon branżowy. Przestępca robi to wszystko po to, by móc przekonać ofiarę, że jest jednym z pracowników firmy lub jej partnerów biznesowych, że można mu zaufać.

Od czasu do czasu środki masowego przekazu przestrzegają przed oszustami wyłudzającymi pieniądze od osób prywatnych, zazwyczaj starszych. Przestępca obiera za cel ataku osoby w podeszłym wieku, które są z reguły najbardziej podatne na oszustwo. Może na przykład posłużyć się starą książką telefoniczną (obecnie dane abonentów są lepiej chronione) i zadzwonić do osoby, której imię może kojarzyć się ze starszym pokoleniem (np. Antonina, Wiesława). W trakcie rozmowy telefonicznej może podszyć się pod bliskiego członka rodziny (np. wnuka) i przekonywać starszą osobę do udzielenia mu pożyczki, np. z racji kłopotów finansowych lub możliwości kupna samochodu za niezwykle atrakcyjną cenę. Jeśli przestępca wyczuje łatwowierność i uda mu się osiągnąć cel na tym etapie, może na przykład przyjść po „pożyczkę” jako kolega wnuka. W ten sposób oszuści są w stanie wyłudzić nawet kilkadziesiąt tysięcy złotych od niczego nie podejrzewających osób. Tego typu przestępstwa zdarzają się nadal, mimo iż przestrzegano przed nimi w mediach.

Istotną cechą ataków socjotechnicznych jest to, iż przestępca tylko w ostateczności posuwa się do bezpośredniego kontaktu „oko w oko” ze swoją ofiarą. Jest to dla niego zbyt niebezpieczne, gdyż mógłby zostać później rozpoznany lub jego wizerunek mógłby zostać utrwalony na nagraniach. Zazwyczaj przestępcy wykorzystują do rozmów telefonicznych telefony komórkowe wyposażone w karty typu pre-paid, nie wymagające rejestracji danych użytkownika. Karty te oraz aparaty telefoniczne są po zakończeniu akcji niszczone, by uniemożliwić późniejsze namierzenie przestępcy. Przy dokonywaniu włamań do systemów informatycznych wykorzystywane są mechanizmy uniemożliwiające identyfikację miejsca, z którego dokonywany jest atak, oraz ustalenie, z jakiego komputera korzystał haker. Zdarza się również, że przestępca celowo wykorzystuje dostępną sieć (np. przełamując zabezpieczenia dostępnej domowej sieci wi-fi innego użytkownika mieszkającego w okolicy), by zmylić organy ścigania. Zazwyczaj socjotechnicy działają w taki sposób, że ofiara w ogóle nie zdaje sobie sprawy z faktu, że została zmanipulowana.

Jak bronić się przed oszustami, którzy wykorzystują metody socjotechniczne, by osiągnąć zamierzony cel? Po pierwsze zachować zdrowy rozsądek i nie dawać się ponieść emocjom – to gra na emocjach jest podstawową umiejętnością socjotechnika. Kolejną zasadą powinno być ostrożne spełnianie próśb osób, których nie jesteśmy w stanie rozpoznać po głosie – nawet jeśli dane identyfikacyjne podawane przez rozmówcę mogą wskazywać na to, że rozmówcą jest pracownik tej samej firmy. W takim przypadku, w celu weryfikacji rozmówcy, można zadzwonić do osoby, za którą rozmówca się podaje. Profesjonalista może jednak postarać się nawet o zastąpienie numeru pracownika firmy, za którego się podaje, swoim numerem telefonu.

W każdym przedsiębiorstwie – bez względu na liczbę zatrudnionych w nim osób – powinny obowiązywać przepisy dotyczące bezpieczeństwa informacji. W przepisach tych, oprócz sposobu klasyfikacji informacji (stopnia poufności, określenia roli „właściciela informacji” i procesu zarządzania informacją), powinny znaleźć się również zasady związane z bezpieczeństwem IT, dotyczące stosowania haseł systemowych o odpowiedniej złożoności (długość hasła, konieczność stosowania małych i wielkich liter, cyfr i znaków specjalnych), konieczności cyklicznej zmiany haseł, sposobu ich przechowywania, a także informacje dotyczące współpracy z kontrahentami. Powinien zostać wypracowany wzór umowy o zachowaniu poufności informacji. Taka umowa powinna też być częścią każdej umowy z firmą zewnętrzną, która będzie miała dostęp do pewnych informacji z racji współpracy. Równie ważnym elementem są szkolenia pracowników. Aby informacje firmowe były odpowiednio chronione, pracownicy muszą zdawać sobie sprawę z konieczności przestrzegania zasad bezpieczeństwa. Szkolenia z tego zakresu powinny być przede wszystkim merytorycznie wartościowe, ale pracownicy wyniosą z nich więcej, jeśli nie będą nudne. Odpowiednie przygotowanie programu edukacyjnego sprawi, iż kursanci zapamiętają więcej.

Zastanówmy się, jakie zasady bezpieczeństwa obowiązują w naszych firmach. Czy określają sposób klasyfikacji informacji oraz zasady współpracy z podmiotami zewnętrznymi w zakresie zachowania poufności informacji? Czy przepisy wewnętrzne przestrzegają na przykład przed otwieraniem e-maili z niewiadomego źródła i zapisywaniem dołączonych do nich plików? Czy wiadomo, jakich informacji nie powinniśmy udzielać nieznajomej osobie? Zastanów się, czy przypadkiem również z Tobą nikt nie przeprowadził rozmowy telefonicznej podobnej do tej, którą opisałem.

Krzysztof Białek

Zabezpieczenia 4/2012

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony