Z góry przepraszam Szanowne Czytelniczki i Czytelników, jeśli poczuli się urażeni tytułem. Ma on jednak głębokie uzasadnienie. Czy wiedzą Państwo, czym jest Konwent Hakerski DEF CON? Otóż jest to jeden z największych i najbardziej znanych na świecie kongresów hakerskich, organizowany corocznie w Las Vegas w stanie Nevada. W spektakularny sposób zaistniała tam pewna kobieta.
Pierwszy Konwent odbył się w czerwcu 1993 r. Obecnie uczestniczą w nim badacze i specjaliści ds. bezpieczeństwa komputerowego, dziennikarze, prawnicy, pracownicy rządowi, studenci i hakerzy. Podczas 23. Konwentu dziennikarz Kevin Roose poprosił Chrisa Hadnagy, założyciela Social Engineer Inc., o demonstrację umiejętności hakerskich przy użyciu socjotechniki. Efekt można zobaczyć na YouTube.
Bohaterce filmu udało się nie tylko zdobyć prywatny adres e-mail dziennikarza, ale także zmienić jego hasło dostępu do portalu operatora sieci komórkowej. I to wszystko wyłącznie przy użyciu głosu i nagranego płaczu dziecka. Jeśli ktoś z Państwa pomyślał w tej chwili, że takie sztuczki nie ze mną, Brunner, proszę pomyśleć jeszcze raz.
Definicja
Według internetowego Słownika języka polskiego PWN socjotechnika to: 1. ogół metod i działań zmierzających do uzyskania pożądanego zachowania jednostek i grup ludzkich, 2. nauka o sposobach i wynikach świadomego wpływania na rzeczywistość społeczną. Natomiast zgodnie z Nową encyklopedią powszechną PWN (tom 5, wydanie pierwsze, 1996 r.) przez socjotechnikę rozumiemy: 1. działanie indywidualne lub grupowe zmierzające do uzyskania pożądanego zachowania jednostek i grup społecznych, 2. kierunek refleksji nad celowymi działaniami społecznymi, przyjmujący ich skuteczność za główne lub jedno z głównych kryteriów analizy.
Tyle definicje ogólne. Co natomiast socjotechnika oznacza w przypadku ryzyk cyber? Słownik cyberbezpieczeństwa Tomasza Pączkowskiego, wydany przez Szkołę Policji w Katowicach w 2017 r., definiuje socjotechnikę (social engineering – inżynieria społeczna) następująco. Psychologia społeczna nastawiona jest na zdobywanie informacji o atakowanym systemie od osób pracujących z tym systemem, czyli jest to forma ataku opierająca się na atakowaniu umysłów ludzi, którzy są w stanie dzięki technikom socjologicznym zapewnić nam dostęp do danych, na których nam zależy.
Takim atakiem może być e-mail/telefon od osoby, która podaje się za administratora systemu, a w rzeczywistości nim nie jest. Socjotechnika to wywieranie wpływu na ludzi i stosowanie perswazji w celu oszukania ich tak, aby uwierzyli, że używający socjotechnik jest osobą o sugerowanej przez siebie, a stworzonej na potrzeby manipulacji tożsamości. Dzięki temu jest on w stanie wykorzystać swoich rozmówców przy dodatkowym (lub nie) użyciu środków technologicznych do zdobycia poszukiwanych informacji.
Ponieważ od dawna wiadomo, że nawet najbardziej zabezpieczony system ma poważną lukę, czyli beztroskiego użytkownika, niezwykle ważne jest wcześniejsze przeszkolenie go oraz uświadomienie.
Kevin sam w domu? Bynajmniej
Działy IT wydają krocie na zabezpieczenia – programy antywirusowe, zapory ogniowe, tokeny, czytniki linii papilarnych, systemy skanujące ruch w sieci lub rozpoznające rozmaite anomalie. Jednak technologia to nie wszystko.
Eksperci powiadają, że system bezpieczeństwa jest tak silny, jak jego najsłabsze ogniwo. Niestety tym najsłabszym ogniwem najczęściej bywa człowiek. W odróżnieniu od komputerowych algorytmów człowiek może zachować się różnie w tych samych okolicznościach. Na podejmowane przez nas decyzje wpływać mogą stres, emocje, doświadczenia i inne warunki, które nie występują w przypadku stosowania technologii.
Dlaczego inżynieria społeczna działa? Pozwolą Państwo, że zacytuję Kurta Vonneguta: jakiekolwiek byłoby źródło mej głupoty, jeszcze się nie wyczerpało. Kevin Mitnick, jeden z najbardziej znanych hakerów, zwykł mawiać, że łamał ludzi, nie hasła. Wiele ataków rozpoczyna się od próby nakłonienia niczego niepodejrzewającego użytkownika do określonego zachowania, np.: podanie hasła nieodpowiedniej osobie, zainstalowanie oprogramowania z nieodpowiedniego źródła czy choćby udzielenie informacji na temat typu zabezpieczeń przed złośliwym oprogramowaniem stosowanego w miejscu pracy.
Cóż, gdyby lekkomyślność i niefrasobliwość mogły latać, niektórzy z nas fruwaliby jak gołębie. Sam Mitnick dzięki znajomości systemów komputerowych, administracyjnych, telefonicznych, teleinformacyjnych i równoczesnym stosowaniu metod socjotechnicznych w latach 80. (era informatyzacji) bez problemu wykradał dane z największych ówczesnych korporacji oraz przez 20 lat wymykał się amerykańskiemu wymiarowi sprawiedliwości.
Socjotechnika w działaniu
Jak widać na filmie z Konwentu, zamieszczonym na YouTube, do przeprowadzenia ataku nie jest potrzebna zaawansowana wiedza ani narzędzia. Od umiejętności technicznych ważniejsze są zdolności komunikacyjne i interpersonalne. Stosujący metody socjotechniczne posługują się umiejętnie zdobywanymi informacjami, które pomagają w budowaniu zaufania u rozmówcy i wydobywaniu od niego kolejnych danych. Sytuacja przedstawiona w filmie wydaje się banalna. Jednak im bardziej banalny jest scenariusz, tym bardziej będziemy bagatelizować zagrożenie z nim związane.
Przestępcy wykorzystują przeciwko nam także nasze przyzwyczajenia, zaufanie i relacje panujące w firmie. W tym celu starają się stwarzać sytuacje, które wymagają od potencjalnej ofiary ataku natychmiastowego działania. Czy często zdarza nam się polemizować z poleceniami służbowymi otrzymywanymi od przełożonych? A ilu z nas zweryfikowało, czy nadawca np.: e-maila jest tym, za kogo faktycznie się podaje?
Na prezesa
Jak mawiał Alfred Hitchcock, film powinien zaczynać się od trzęsienia ziemi, potem zaś napięcie ma nieprzerwanie rosnąć. Sprawdźmy. Asystent lub asystentka zarządu otrzymuje e-mail od prezesa. Prezes pyta o aktualny kurs dolara. Osoby, które często porozumiewają się ze swoimi przełożonymi drogą e-mailową, z reguły nie weryfikują, z jakiego dokładnie adresu e-mail przyszła wiadomość.
Bardziej podejrzany może wydać się brak firmowej stopki. Ale ponieważ na końcu wiadomości widnieje dopisek „wysłano z mojego smartphone’a”, wygląda na to, że prezes pewnie się spieszył i pisał e-mail z telefonu. Asystent lub asystentka, nieświadoma, że oto została wciągnięta w grę, odpowiada na pytanie, stając tym samym nad przepaścią. Po chwili otrzymuje kolejny e-mail z pytaniem o możliwość przelania 15 tys. euro.
Niezależnie od odpowiedzi oszust trafi w końcu na osobę odpowiednią do zrealizowania dyspozycji. Dno wąwozu zbliża się coraz szybciej.
Jak się chronić?
Czy możemy ze stuprocentową pewnością stwierdzić, że w naszej organizacji nie pracuje żadna osoba, której czujność da się w prosty sposób uśpić? Nieodpowiednio przeszkolony lub dobrany personel może okazać się kluczową podatnością firmowej sieci na atak. Pomyłki, niezadowolenie, nieuczciwość, chciwość mogą przyczynić się do wystąpienia i realizacji ataku socjotechnicznego. Co w takim razie możemy zrobić:
- Opracowanie i wdrożenie polityki bezpieczeństwa. Powinna ona zawierać m.in. definicje procedur i zaleceń dotyczących ujawniania informacji przez pracowników firmy oraz wzory dokumentów służących przekazywaniu określonych danych i udzielaniu dostępu do nich. Powinny być one stosowane nie tylko w stosunku do osób nieznajomych, ale również tych, których tożsamości nie jesteśmy w stanie potwierdzić.
- Ciągłe edukowanie pracowników, mające na celu wypracowanie nawyków dbania o poufność informacji i ograniczonego zaufania.
- Dobrym sposobem na sprawdzenie efektywności wprowadzonej polityki i skuteczności szkoleń jest przeprowadzanie kontrolowanych testów socjotechnicznych. Testy te pozwolą ocenić realne bezpieczeństwo naszych organizacji.
Jednak najlepszym sposobem walki z atakami socjotechnicznymi jest znajomość metod, które są w tych atakach wykorzystywane. Da nam to przewagę w postaci umiejętności ich rozpoznawania i reakcji stosownej do zagrożenia.
Starajmy się też wykazywać dużą ostrożność i ograniczone zaufanie, a także generujmy jak najmniej osobistych informacji na własny temat. Przed przystąpieniem do ataku socjotechnicznego przestępcy bardzo często dokonują tzw. białego wywiadu na temat życia prywatnego swojego celu, by przeprowadzić atak możliwie najskuteczniej. Łącznie z grzebaniem w śmieciach i próbami uwodzenia.
Ubezpieczmy się także od następstw ryzyk cybernetycznych. W tym chętnie pomogą wyspecjalizowani pośrednicy ubezpieczeniowi.
Łukasz Cichowski
starszy broker MAI Insurance Brokers Poland