23/12/2013

Socjotechnika: łamanie systemu operacyjnego człowieka

Porady

Socjotechnika, zwana również nauką i sztuką łamania ludzi, stała się w ostatnich latach powszechna. Przyczynił się do tego wzrost popularności wszelkich form komunikacji elektronicznej. W branży bezpieczeństwa informacji termin ten jest używany w odniesieniu do szeregu technik wykorzystywanych przez cyberprzestępców do uzyskiwania informacji poufnych lub do przekonywania ofiar do wykonania działań, które ostatecznie mają doprowadzić do infekcji komputerów.

social

Na rynku mamy obecnie wiele produktów bezpieczeństwa, jednak niezależnie od tego, jakie rozwiązanie chroni komputer, to użytkownik ma zawsze ostatnie słowo. Czy mówimy o danych logowania (login i hasło), numerach kart płatniczych i kredytowych, zawsze najsłabszym ogniwem w łańcuchu bezpieczeństwa nie jest technologia, a właśnie człowiek. A gdy w grę wchodzą techniki manipulacji psychologicznej, bardzo ważne jest, by znać sztuczki wykorzystywane przez cyberprzestępców.

Socjotechnika to nie nowość. Stosuje się ją od bardzo dawna, a jedni najbardziej znanych socjotechników to Kevin Mitnick oraz Frank Abagnale, którzy obecnie są uznanymi konsultantami ds. bezpieczeństwa. Frank Abagnale to jeden z najsłynniejszych oszustów wszechczasów, który bez mrugnięcia okiem tworzył kolejne tożsamości, podrabiał czeki i nakłaniał ludzi do ujawniania informacji, które były mu potrzebne. Jeżeli widzieliście film „Złap mnie, jeśli potrafisz” (tytuł oryginalny: „Catch Me If You Can”), macie wyobrażenie, co może osiągnąć zdolny i zdeterminowany socjotechnik. Warto wiedzieć, że socjotechnik wcale nie musi wykorzystywać jakiejkolwiek technologii czy komputerów do uzyskania informacji. Dlatego należy być wyczulonym na wszelkie podejrzane zachowania, na jakie możemy się natknąć każdego dnia. Na przykład, wasze hasła mogą zostać od was wyciągnięte podczas rozmowy telefonicznej. Oczywiście, każdy wie, że podawanie hasła przez telefon jest bardzo nierozsądne, ale jeżeli osoba po drugiej stronie podaje się za „inżyniera pomocy technicznej” z twojej firmy i informuje cię w niedzielny poranek, że „musisz pojawić się w biurze i podać swoje hasło, by dokonać niezbędnej aktualizacji”, z dużym prawdopodobieństwem podasz swoje dane logowania temu „technikowi”, by zrobił to za ciebie, a nawet podziękujesz mu za to, że cię wyręczył. Być może wy jesteście na tyle ostrożni, że nie dacie się złapać na taką sztuczkę, jednak wasi współpracownicy mogą połknąć haczyk.

„Firma może wydać setki tysięcy dolarów na zapory sieciowe, szyfrowanie i inne technologie bezpieczeństwa, jednak jeżeli atakujący znajdzie choć jedną podatną na sugestie osobę wewnątrz organizacji, i osoba ta pozwoli sobą manipulować, wszystkie te pieniądze wyłożone na ochronę będą zmarnowaną inwestycją” – Kevin Mitnick.

Statystyczny cyberprzestępca nie będzie tracił czasu na przygotowywanie zaawansowanych technologicznie ataków, gdy wie,  że znacznie łatwiej zastosować socjotechnikę i słabości ludzkie. Co więcej, istnieją strony, na których można się dowiedzieć, jak oszukiwać ludzi i dlaczego te sztuczki są tak skuteczne. Jedna z tych stron to SocialEngineer.org. Można na niej  znaleźć całą teorię poszczególnych ataków oraz przykłady wzięte z życia.

Każdy z nas codziennie używa języka mówionego, by wpływać na innych – przeważnie nie mając świadomości tego faktu. Język ma jednak pewne wady z punktu widzenia socjotechnika, ponieważ jest on bezpośrednio powiązany z naszym subiektywnym postrzeganiem świata. Dlatego socjotechnicy często posługują się NLP, czyli neurolingwistycznym programowaniem, które pierwotnie zostało wynalezione do celów terapeutycznych. NLP pomaga oszustom manipulować swoimi ofiarami i wyciągać od nich informacje, a także nakłaniać do wykonania pewnych operacji. Może to być ujawnienie hasła, przekazanie tajnych dokumentów, wyłączenie jakiegoś zabezpieczenia lub cokolwiek innego, co w danej chwili potrzebne jest oszustowi do przeprowadzenia ataku.

Mimo że wiązanie hakowania z psychologią wydaje się być nieco na wyrost, szokująca rzeczywistość pokazuje, że ataki online bazują na tych samych zasadach, co ich odpowiedniki ze świata rzeczywistego. Ludzka potrzeba odwdzięczenia się (jeżeli ja zrobię coś dla ciebie, prawdopodobnie ty będziesz mi dłużny i pójdziesz mi na rękę), wpływ społeczeństwa (wierzymy w opinię większości), czy autorytet (ufamy policjantowi, lekarzowi, technikowi itp.) – wszystkie te czynniki pomagają socjotechnikom budować bliskie więzi z potencjalnymi ofiarami, w oparciu o zwykłe ludzkie cechy. Socjotechnik wie, jak wywrzeć na ofierze presję, by uzyskać żądaną odpowiedź – wszystko poprzez stworzenie kontekstu, który sprawia, że wymyślona historia jest wiarygodna. Ominięcie naszego racjonalnego wartościowania nie jest wcale tak trudne, jak mogłoby się wydawać, a nawet ułamek sekundy naszego zawahania daje atakującemu olbrzymią przewagę.

A więc jak to jest z tymi metodami w odniesieniu do cyberakatów? Podstawowe zasady są takie same jak w przestępstwach z realnego świata, jednak ze względu na to, że internet jest ogromnym medium pozwalającym na dystrybucję informacji, phishingowa wiadomość e-mail – na przykład – może zostać rozesłana do milionów odbiorców. Nawet jeżeli mały odsetek z nich połknie haczyk, potencjalne zyski i tak są ogromne.

„To, co robiłem w młodości, teraz jest sto razy łatwiejsze. Technologia rodzi przestępstwa” – Frank William Abagnale.

Jedną z najpopularniejszych obecnie metod pozyskiwania poufnych informacji jest wspomniany phishing, czyli rodzaj komputerowego oszustwa, które opiera się na socjotechnice. Cyberprzestępcy najczęściej stosują wiadomości e-mail, komunikatory oraz SMS-y i nakłaniają ofiary do ujawnienia informacji w sposób bezpośredni lub poprzez wykonanie jakiejś operacji (na przykład otwarcie sfałszowanej strony, kliknięcie odnośnika itp.).

Istnieje wiele szkodliwych programów, które wykorzystują socjotechnikę do przeprowadzenia ataku na użytkownika. Wśród najpopularniejszych są fałszywe uaktualnienia dla aplikacji Flash Player, pliki wykonywalne osadzone w dokumentach Worda i wiele innych.

flash-update

Fałszywa aktualizacja aplikacji Flash Player, która instaluje szkodliwe oprogramowanie w systemie operacyjnym

„Policja nie może chronić wszystkich. Musimy być bardziej świadomi i posiadać obszerniejszą wiedzę na temat kradzieży tożsamości. Musimy być mądrzejsi i sprytniejsi. Nie ma też nic złego w byciu sceptycznym. Jeżeli sprawimy, że coś będzie nam można łatwo ukraść, ktoś z pewnością to ukradnie” – Frank William Abagnale.

Dodatkowo, warto pamiętać , że informacje, które umieszczamy publicznie online (Facebook, Twitter itp.), mogą znacznie pomóc przestępcom w połączeniu punktów prowadzących do naszej prawdziwej tożsamości. Coraz częściej mamy do czynienia z phishingiem ukierunkowanym, gdzie cyberprzestępcy wykorzystują szczegółowe informacje, aby dotrzeć do konkretnych odbiorców. Nawet lista życzeń w sklepie internetowym może dać socjotechnikowi narzędzie, które pozwoli na przeprowadzenie skutecznego ataku.

Jak się zatem chronić? Skuteczne oprogramowanie antywirusowe to obecnie konieczność dla wszystkich, którzy robią cokolwiek online. Do tego, warto być na bieżąco z najnowszymi trendami w świecie cyberprzestępczym i wiedzieć, jakich sztuczek używają socjotechnicy. Łatwiej pokonać wroga, którego się zna. Pamiętajcie także, że nawet najlepsze technologie ochrony nie pomogą zbyt wiele, jeżeli sami otworzycie drzwi przestępcom.