Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Podstawy obrony przed atakami socjotechnicznymi

03 października 2018, 17:33 | Teksty | komentarzy 12

Kiedy projektujemy lub analizujemy zabezpieczenia systemów teleinformatycznych, musimy wziąć pod uwagę, oprócz całej gamy zabezpieczeń „cyfrowych” także fakt, że jednym z elementów każdego systemu jest jego interakcja z człowiekiem go obsługującym. Niestety niemalże w każdym przypadku jest to najsłabsze ogniwo zabezpieczeń tegoż systemu. Człowiek jest z jednej strony najmniej przewidywalny, a z drugiej najbardziej podatny na wpływy osób chcących złamać zabezpieczenia i pozyskać interesujące ich dane. Ataki na systemy informatyczne przy użyciu technik wpływu na użytkowników nazywane są atakami socjotechnicznymi i bazują na podatnościach nie sprzętu czy oprogramowania, ale na skłonności człowieka do ulegania bezwiednie wpływom osób, które chcą przez to zdestabilizować pracę systemu (a co za tym idzie, osoby lub organizacji) lub uzyskać dostęp do pożądanych informacji, takich jak dane dostępowe do konta bankowego, numer PIN lub CVC karty kredytowej, szczegółowe dane osobowe, czy też innej informacji, która w danym momencie jest dla nich niezbędna dla wykonania „misji” hakera (np. wyczyszczenie nam konta, zaciągnięcie kredytów w naszym imieniu itp.). Ataki mogą być wymierzone nie w konkretną osobę, ale w całą firmę czy organizację, gdzie celem atakującego będzie przeniknięcie w jej głąb, poznanie struktury i podatności, a w końcu zaszkodzenie jej lub uzyskanie pożądanych informacji.

W całym tekście często pojawiają się stwierdzenia „na przykład”, „między innymi” czy „itp.”. Bierze się to z faktu, że niniejszy tekst omawia jedynie mały wycinek możliwości i technik wykonania ataku socjotechnicznego. Hakerzy dostosowują atak do ofiary i sytuacji, często mieszając techniki wpływu społecznego i owijając je jeszcze w dodatkową otoczkę „zasłony dymnej”. Powyższe informacje i przykłady należy traktować jedynie jako wskazówkę do dalszego zastanowienia się nad przebiegiem potencjalnego ataku.

Budując naszą obronę przed tego typu atakami, powinniśmy przede wszystkim poznać i, co najważniejsze (a jednocześnie najtrudniejsze), nauczyć się kilku podstawowych technik wpływu na zachowanie drugiego człowieka, aby w momencie kiedy zostaniemy zaatakowani zauważyć ten fakt i zdążyć się przed nim obronić. Największy problem polega jednak na tym, że techniki te musimy sobie tak głęboko wpoić, aby nawet podczas ataku w momencie nagłego stresu powodowanego celowo, aby nas zdezorientować, zauważyć, że jesteśmy atakowani i powinniśmy zacząć się bronić. Niestety brak informacji kiedy jesteśmy atakowani, wykorzystywanie naszych słabości (być może pozyskanych z wcześniejszych ataków socjotechnicznych), mnogość typów ataków oraz przede wszystkim sprytne ukrycie ich w interakcji z nami powoduje, że nawet wybitni specjaliści z zakresu psychologii społecznej raz na jakiś czas dają się złapać na przynętę atakującego. Niemniej znajomość narzędzi wpływu społecznego jest podstawą do próby obrony przed napastnikiem. Tak jak wiele szkół walki uczy chwytów, które mogą służyć do wyrządzenia przeciwnikowi krzywdy, lecz jednocześnie wpaja zasadę, że nauczone techniki powinny służyć tylko do obrony, tak samo specjaliści od wpływu społecznego chcąc uodpornić daną osobę na ataki socjotechniczne, uczą metod wpływania na drugiego człowieka, jednocześnie przestrzegając, by poznane techniki używać tylko i wyłącznie do obrony. Analogicznie sprawa ma się w przypadku trenerów cyberbezpieczeństwa i metod obrony przed atakami typowo informatycznymi.

Przygotowanie i przeprowadzenie ataku

W celu odpowiedniego przygotowania się do ataku w pierwszej kolejności poszukuje się informacji, które są dostępne bez konieczności interakcji daną osobą lub z pracownikami danej organizacji, które mają być celem ataku socjotechnicznego. Wykonuje się wtedy tzw. footprinting, czyli wstępne rozpoznanie celu. Elementem tego rozpoznania może być m.in. „nurkowanie w śmietniku” (ang. dumpster diving), czyli poszukiwanie porzuconych informacji, które pomogą nam później sprofilować odpowiednio ataki socjotechniczne. Atak na osobę prywatną może być więc poprzedzony przejrzeniem jej kont w mediach społecznościowych. W przypadku ataków na firmę poszukiwane są informacje o jej strukturze, adresy e-mail, nazwiska i stanowiska, numery telefonów czy nawet zużyte elementy wyposażenia informatycznego, które mogą zawierać przydatne dla atakującego dane.

Aby atak socjotechniczny miał większe prawdopodobieństwo powodzenia, osoba będąca celem ataku w większości przypadków jest najpierw odpowiednio „urabiana”, by łatwiej było nią manipulować. Do tego typu działań zaliczają się m.in. dwa zupełnie odmienne zachowania – wprowadzenie ofiary w stan uczucia pełnego zaufania i komfortu lub w stan mocnego stresu. Pierwsze z tych zachowań charakteryzuje się działaniami mającymi uśpić czujność ofiary, wprowadzić ją w nastrój, w którym czuje się dobrze i bezpiecznie, aby w momencie, którego się najmniej spodziewa lub którego może nawet nie zauważyć, przypuścić atak. W drugim z wymienionych zachowań atakujący wprowadza chaos w otoczeniu ofiary, aby poczuła się ona zagrożona lub zdezorientowana mnogością informacji i przez to działała w sposób jak najbardziej automatyczny. Związane jest to z jednym z podstawowych zasad działania ludzkiej psychiki, które odwołuje się do ewolucji gatunku ludzkiego i rozwoju mózgu człowieka. Najstarszą, z ewolucyjnego punktu widzenia, częścią naszego centralnego ośrodka nerwowego jest pień mózgu. Jest on odpowiedzialny za automatyczne działanie naszego ciała, co wydaje się być dość sensowne, biorąc pod uwagę fakt, że nasi przodkowie musieli raczej martwić się o to, jak upolować zwierzynę lub jak przed nią uciec, zaś kontemplowanie piękna otaczającego nas krajobrazu i kreatywne myślenie przyszło nieco później, kiedy podstawowe potrzeby takie jak pożywienie i bezpieczeństwo mieliśmy już zapewnione. Jaki to ma związek z atakami socjotechnicznymi? Otóż nasz mózg w momencie nagłego stresu przełącza się na podstawowe sterowanie, wraca do prymitywnych zachowań, aby nas przede wszystkim chronić. Przetwarzanie informacji odbywa się głównie w pniu mózgu, co skutkuje bardzo dużą automatyką zachowań. I tu właśnie przydaje się nam bardzo dobre wyuczenie technik wpływu społecznego. Im bardziej je sobie przyswoiliśmy, tym większa jest szansa, że nasz mózg będzie brał je pod uwagę w momencie nagłej potrzeby szybkiego działania. Musimy wyrobić sobie odruch warunkowy (niczym psy Pawłowa reagujące na dzwonek na kolację) i wprowadzić do „rdzenia” naszego systemu dowodzenia odpowiednie mechanizmy obronne.

Święta nie tylko od święta

Jednym z najprostszych sposobów na atak z użyciem socjotechniki (choć można by się kłócić, czy jej stopień zastosowania tutaj jest na tyle duży, aby kategoryzować ten typ ataku jako socjotechniczny) jest przekazanie ofierze prezentu w formie np. spreparowanego pendrive’a zawierającego złośliwe oprogramowanie, które wykradnie nam dane. Może to być prezent w zamian za wypełnienie ankiety (fikcyjnej oczywiście, służącej jedynie zyskaniu podstaw do dania nam prezentu) lub podarunek od potencjalnego kontrahenta na poczet przyszłej współpracy. Niemalże każdy z nas lubi być obdarowywany, więc po otrzymaniu takiego prezentu rzadko podejrzewamy osobę, która była dla nas miła (dała nam przecież prezent, więc na pewno nie ma wobec nas złych zamiarów) o próbę okradzenia nas. Na przykładowym pendrivie może znajdować się choćby rozbudowany keylogger, który przechwyci i wyśle do atakującego informacje np. o tym, z jakiego banku korzystamy, jaki mamy login i hasło. W połączeniu z przejęciem kontroli nad naszym telefonem lub kartą SIM, haker może w spokoju wyczyścić nam konto. Na temat tego, czy możliwe jest w pełni zabezpieczenie się przed kradzieżą pieniędzy z konta z wykorzystaniem przechwyconych danych dostępowych do konta bankowego i zduplikowanej karty SIM lub zhakowanego telefonu komórkowego trwają ożywione dyskusje w internecie, więc na chwilę obecną ograniczymy się do najbardziej podstawowych i „zgrubnych” metod uodparniania się na tego typu ataki. Na szczęście (?) w naszym kraju często daje się słyszeć przejawy postawy podejrzliwości („Aha, dał/dała mi coś, więc na pewno czegoś chce!”), które mogą nas uratować przed bezrefleksyjnym przyjmowaniem podarków i używaniem ich w domu czy w pracy. Swego czasu głośno było o chińskich firmach dających swoim zachodnim kontrahentom pendrive’y, na których znajdowało się wyżej opisane oprogramowanie. W tym przypadku nie chodziło jednak o okradzenie konta bankowego, a o wejście w posiadanie informacji o znaczeniu strategicznym dla prowadzonych biznesów.
Prezent może być także niematerialny – może być to wizja wygrania dużej nagrody, przesłana mailem wraz z linkiem do strony, na której będzie znajdowało się szkodliwe oprogramowanie.

Ludzie tacy jak my

Wspomniany przed chwilą sposób uśpienia czujności ofiary przez podarunek może też przyjąć postać rozmowy poprowadzonej w taki sposób, aby osoba atakowana poczuła więź z atakującym i przez to pozbyła się oporów przed wyjawieniem mu poufnych danych lub nawet podaniem ich z chęcią „na tacy”, opiera się na psychologicznej regule sympatii. Im bardziej jakaś osoba podobna jest do nas, nosi chociażby podobne imię czy nazwisko, podobnie się ubiera, wyznaje podobne poglądy polityczne itd., tym bardziej jesteśmy skłonni uznać ją za osobę godną zaufania i automatycznie traktujemy ją lepiej. Wynikiem takiego automatycznego przyporządkowania jest brak lub znaczne ograniczenie zahamowań przed wyjawieniem informacji. Może nam się wydawać, że jesteśmy odporni na tego typu sposoby podejścia nas. Hakerzy używający socjotechniki to jednak w ogromnej większości osoby świadome takich automatycznych zachowań i wystarczy im jedynie drobna nieuwaga z naszej strony, aby przeprowadzić skuteczny atak. Atakujący może prowadzić z nami długą rozmowę, opowiadając nam o rzeczach, które nas łączą, udając osobę wybierającą się w tym samym kierunku lub cierpiącą z tego samego powodu. Może też wykorzystać część informacji zdobytych wcześniej od nas, lub o nas, aby stworzyć wrażenie posiadania wspólnego wroga albo udawać, że zna kogoś z naszych znajomych, aby wkraść się do grona osób najbliższych, tj. godnych zaufania. W tym celu atakujący może wykorzystywać ujawnione przez nas podczas rozmowy informacje, podczepiając się pod nasze słowa („Tak tak, znam go/ją od lat!”) albo wykorzystać dane z wcześniejszego rekonesansu, np. odwiedzając nasz profil na portalu społecznościowym.
W dzisiejszych czasach bardzo wiele osób dzieli się chętnie w sieci informacjami o tym kogo zna, z kim się spotkało i co jadło, gdzie spędziło się wakacje itp. To wszystko ułatwia atak wymierzony w konkretną osobę (ang. spear-phishing) może być użyte w celu zwiększenia naszej podatności na atak.

Zresztą nie tylko ludzie starają się sprawić, abyśmy poczuli się jakbyśmy ich znali, a co za tym idzie – bezpiecznie. Strony internetowe starają się wyglądać tak, jak dobrze nam znane ekrany logowania do banku, poczty czy choćby Facebooka. Osoba widząca swoją dobrze znaną kolorystykę i layout nie pomyśli, że jest właśnie atakowana i poda hakerowi swoje dane dostępowe. A jeśli haker trafi na osobę mniej obeznaną w bezpieczeństwie IT lub procedurach bankowych, to jest szansa, że uda się wydobyć od ofiary także kody potwierdzeń dla przelewów lub inne informacje, które później może wykorzystać do kradzieży pieniędzy z konta. Dlatego banki coraz częściej informują, że nigdy nie wymagają od swoich klientów podania dodatkowych danych podczas procesu logowania lub w korespondencji mailowej.

Przysługa za przysługę

Kolejnym sposobem przygotowania ofiary do wyjawienia informacji lub spełnienia prośby atakującego jest wykorzystanie reguły wzajemności. Ten prosty mechanizm każe nam odwdzięczyć się za wyświadczoną nam przysługę, czy jej potrzebowaliśmy czy nie. Haker wykorzystujący socjotechnikę będzie się zatem starał stworzyć taką sytuację, abyśmy poczuli obowiązek wyświadczenia mu przysługi. Jeśli haker przeniknie do firmy, może np. pomóc ofierze pozbierać przypadkiem rozrzucone dokumenty (samemu tworząc wcześniej przypadkowe potrącenie) lub pomóc skorzystać z faksu czy drukarki. Kiedy pomoc zostanie już wyświadczona, przychodzi czas na rewanż i tu pojawia się prośba o ujawnienie informacji bądź np. wpuszczenie do zamkniętej części firmy, do której ofiara ma dostęp, przeniknięcie jeszcze głębiej i zdobycie dodatkowych informacji. Atakujący może także poprosić o przysługę mało prawdopodobną do spełnienia, a kiedy mu odmówimy, wyjść z prośbą o wyświadczenie dużo mniejszej i prostszej przysługi. Kiedy ofiara odmówiła pomocy za pierwszym razem, będzie czuła odpowiedzialność, aby tę sytuację naprawić i będzie miała większą motywację, aby spełnić drugą prośbę.

Uratuj mój świat

Innym sposobem przekonania potencjalnej ofiary do wykonania prośby atakującego jest sprawienie, aby sądziła ona, że to, co wykonuje, jest wartościowe i potrzebne. Prosto rzecz ujmując, jest to stwarzanie poczucia bycia superbohaterem, wybawicielem innych. Wbrew pozorom na ataki „na wnuczka” wcale nie są narażone tylko osoby starsze. W przypadku cyber-ataku zamieniamy jedynie wypadek krewnego na awarię systemu, policjanta na administratora sieci, a pieniądze na dane logowania – mechanizm działania przestępcy jest dokładnie ten sam. Technika ta jest często stosowana łącznie ze stwarzaniem wrażenia pośpiechu i dezorientacji osoby, będącej celem ataku. Może być to wykorzystane zarówno w rozmowie telefonicznej („Nastąpiła awaria serwerów, prosimy o podanie kodu dostępu do serwerowni, musimy szybko usunąć awarię.”), korespondencji mailowej („Tu administrator, wykryliśmy atak na Pana/Pani komputer, proszę podać login i hasło do swojego komputera/poczty, abyśmy mogli zweryfikować sprawcę. Prosimy nie rozpowszechniać tej informacji, aby nie spłoszyć włamywacza.”), jak i w interakcji bezpośredniej. Prośby te są często nieracjonalne, jeśli się nad nimi dłużej zastanowić, ale fakt wykonywania operacji w pośpiechu i świadomości, że od naszej akcji zależy np. odzyskanie danych firmowych, skłania nas do pójścia drogą wskazaną przez atakującego. Poprzez pośpiech nie weryfikujemy czy strona, na której się logujemy, nie jest stroną podstawioną przez hakera lub czy osoba dzwoniąca do nas naprawdę jest tym, za kogo się podaje, a dodatkowe stwierdzenie o nierozpowszechnianiu informacji z jednej strony zapewni atakującemu czas na dalsze działania, a z drugiej sprawi, że postrzegamy siebie jako istotny element ważnej misji ratunkowej.

Może się także też zdarzyć, że atakujący np. zadzwoni do nas z informacją o naszym urlopie, na którym właśnie powinniśmy przebywać. Kiedy odpowiemy, że nie przebywamy na urlopie, atakujący uda zdziwienie i zakłopotanie sytuacją, że do systemu wkradła się pomyłka. W tym momencie sam stwarza sytuację, w której możemy okazać się dla niego wybawieniem, jeśli podamy mu kilka danych w celu naprawienia problemu („A kiedy idziesz na urlop? A może ktoś z Twojego działu jest dzisiaj na urlopie? Jaki masz login w systemie?”).

Czy jest na sali jakiś lekarz?

W ramach wyrabiania w osobie atakowanej poczucia bezpieczeństwa stosowana jest też bardzo często reguła autorytetu. Osoba atakująca udaje kogoś, co do kogo nie mamy podejrzeń, ponieważ dana osoba posiada uniform lub inne atrybuty jednego z typowych i znanych nam zawodów. Haker przybiera zatem formę lekarza, policjanta, strażaka (czyli osoby, której ubiór świadczy o wykonywanym zawodzie) lub serwisanta sprzętu IT (którego nie obowiązuje ubiór roboczy, ale np. może być rozpoznawalny przez koszulkę firmową firmy serwisującej sprzęt, identyfikator oraz narzędzia). Badania pokazały, że „przebraniem” nie musi być nawet mundur policyjny ani kitel lekarski – wystarczy ubranie robocze choćby przedsiębiorstwa wywożącego odpady, aby nikt nawet nie pytał o zasadność wykonania polecenia „przebierańca”. W ogromnej ilości zdarzeń takie osoby nie miały najmniejszego problemu z przeniknięciem do danej instytucji i nakłonieniem osób do wykonania pożądanych przez atakującego czynności. Co więcej, osoby takie spotkały się nawet z nadmiernym zaufaniem i zebrały większe „żniwa” niż się spodziewały.

Jednak nawet bez odpowiedniego ubioru służbowego można przeniknąć do wnętrza firmy lub innej organizacji. W niektórych przypadkach wystarczyło wejście na tzw. „bezczelnego” – póki wyglądasz jakbyś wiedział co robisz, to na pewno to robisz. W tym kontekście może zostać także użyta technika wejścia „przy okazji” (ang. tailgating), kiedy atakujący korzysta z faktu, że ktoś, kto ma dostęp do danego budynku/obszaru wchodzi do niego i wchodzi tam razem z nim, jak gdyby nigdy nic.

Oczywiście nie tylko ludzie mogą być fałszywym autorytetem. Jeśli otrzymujemy e-mail z załącznikiem to duże chętniej go otworzymy, jeśli w treści maila będzie zawarta regułka „Załączniki przeskanowane pomyślnie przez oprogramowanie antywirusowe X”.

Owczy pęd

Jeszcze innym mechanizmem wpływu na człowieka jest reguła społecznego dowodu słuszności. Ludzie mają tendencję do wykonywania czynności tylko dlatego, że inni tak robią. Takie zachowanie może być wykorzystane przez hakera do dostępu do informacji, jeśli przekona ofiarę np. poprzez wiadomość e-mail, że jest ona ostatnią osobą, która jeszcze nie podała swoich danych dostępowych do poczty firmowej do (fikcyjnego oczywiście) administratora, który tego wymagał. Wcześniejszej prośby mogło nawet nie być, ale świadomość, że inni już to wykonali, przynajmniej na chwilę zbije atakowanego z tropu i być może umożliwi hakerowi wydobycie interesujących go danych. Atakujący może także wyrobić w atakowanym przeświadczenie, że powinien wykonać jakieś działania poprzez podesłanie mu kopii sfałszowanej korespondencji, w historii której widać, że kilka osób wypowiedziało się już w jakiejś kwestii i wykonało określone działanie. Ofiara ataku dostaje wiadomość dopiero na pewnym etapie i widząc działania innych, także stara się podążyć za grupą.

Powiedziałeś A, powiedziałeś B…

Reguła konsekwencji to kolejne narzędzie, które jest wykorzystywane w atakach z użyciem socjotechniki. Zaangażowanie i konsekwencja każą nam nie wycofywać się z przedstawianych przez nas przed chwilą opinii. Jedną z konkretnych technik w ramach tej reguły jest tzw. „stopa w drzwiach” (ang. FITD – foot-in-the-door). Mówi ona o tym, że po zgodzie na pierwszą, małą prośbę, jesteśmy bardziej skłonni spełnić drugą, większą i nawet niezwiązaną nijak z pierwszą.

Ludzie mają także tendencję do podążania utartymi i znany szlakami, więc jeśli np. na przełomie miesiąca w firmie pojawiają się na skrzynce mailowej duże ilości faktur, istnieje dużo większe prawdopodobieństwo, że pracownik nie będzie weryfikował załącznika, ale od razu go otworzy. Załącznik oczywiście będzie zainfekowany przez hakera, podszywającego się pod kontrahenta i w najlepszym przypadku skończy się to ostrzeżeniem w oprogramowaniu antywirusowym, a w najgorszym zaszyfrowaniem całego dysku (lub jeszcze gorzej wraz z podłączonym akurat w tym momencie dyskiem z kopiami zapasowymi) i żądaniem okupu.

Już tylko 5 minut do końca promocji

Reguła niedostępności używana może być do zmuszenia osób do wykonania jakiejś akcji tylko dlatego, że jeśli nie zrobią tego teraz, stracą niepowtarzalną szansę. Dlatego też w fałszywych mailach mogą się pojawiać sformułowania typu „To jest ostatnia wiadomość przed usunięciem twojej skrzynki mailowej. Zaloguj się na nowej stronie <tutaj link do strony-pułapki> aby zachować wszystkie swoje wiadomości i kontakty!”, „Twoje hasło wygasło i musisz je natychmiast zmienić.” lub „Na twoim komputerze wykryto groźnego wirusa! Pobierz szybko oprogramowanie antywirusowe!”. Dodatkowo mail może być wysłany w piątek po godzinach pracy tak, by osoba atakowana po przyjściu do pracy w poniedziałek pomyślała, że musi działać szybko, bo w innym wypadku straci swoje dane. Jako element potęgujący stres mogą być użyte nazwy i/lub znaki graficzne np. instytucji skarbowych lub policji.

Nieodpowiedzialni odpowiedzialni

Stres jest złym doradcą – te słowa słyszał chyba każdy z nas co najmniej raz w życiu. I to właśnie nasz stres jest sprzymierzeńcem hakerów, ponieważ daje im o wiele większą pewność, że ich zamierzenia zostaną wykonane przez ofiarę. Generując sztucznie sytuację „kryzysową” wokół atakowanego, gdzie decyzje muszą być podejmowane automatycznie, bez możliwości zastanowienia się, a dodatkowo bombardując nas jeszcze dużą ilością informacji, powodują dezorientację danej osoby. Stąd jeśli haker chce wydobyć informacje np. przez telefon, będzie starał się narzucić tempo rozmowy podyktowane nagłą i niespodziewaną sytuacją, mówiąc np. „Mamy ogień w korytarzu, czy może Pan/Pani podać kod do otwarcia drzwi do biura dyrektora X? Musimy sprawdzić czy nikogo tam nie ma!”. Nagły skok adrenaliny spowodowany informacją o pożarze, połączony jeszcze z odpowiedzialnością za gabinet szefa lub jego samego może skłonić do podania tego kodu bez wahania.

Metody obrony

Jedno proste pytanie

Obrona przed atakami socjologicznymi, tak samo jak same ataki, to tematyka bardzo rozległa i może być kombinacją kilku technik. W każdym jednak przypadku ataku socjotechnicznego, od najprostszego otrzymania prezentu – konia trojańskiego, poprzez próbę zawarcia z nami przyjaźni lub udawania kogoś godnego zaufania aż do próby destabilizacji otoczenia wokół nas i oczekiwania od nas bardzo podjęcia odpowiedzialnej decyzji, można wstępnie zweryfikować zasadność własnych działań i ich następstw zadając sobie jedno proste pytanie. Pytanie to znalazło się w jednej z reklam radiowych, które najczęściej zostają w naszych głowach w formie ich dziwnych melodyjek lub rymowanych haseł reklamowych. W tym przypadku głos w reklamie nakazywał: „Zawsze pytaj: Dlaczego?”. To z pozoru banalne pytanie potrafi nas w jednej chwili otrzeźwić, kiedy zdamy sobie sprawę, że tak naprawdę nie ma racjonalnego powodu, dla którego mielibyśmy wykonać jakąś czynność (lub nawet nie wolno nam jej wykonać) albo też okaże się, że atakujący zostanie zbity z tropu pytaniem, na które nie jest przygotowany. Może się oczywiście okazać, że nasz oponent przemyślał możliwe ścieżki przebiegu ataku, ale ten krok może być punktem zaczepienia w toku obrony przed atakiem socjologicznym.

Tak samo jak w interakcji z ludźmi, tak też w przypadku otrzymywania maili powinniśmy dać sobie chwilę do namysłu. Czy na pewno powinienem/powinnam otworzyć tę fakturę/informację o przesyłce, skoro nic nie zamawiałem/zamawiałam? Czy na pewno jest możliwe, aby była taka atrakcyjna oferta specjalnie dla mnie?

Kontrola najwyższą formą zaufania

W ramach obrony przed próbą wywarcia na nas wpływu poprzez sugerowanie nam, że powinniśmy zaufać atakującemu, ponieważ jest osobą na to zasługującą (niezależnie od rodzaju użytej przez niego techniki), możemy wprowadzić świadomie do rozmowy element, który będziemy kontrolowali, a który pozwoli nam sprawdzić naszego rozmówcę. Jeśli ktoś podaje się za osobę z kręgu naszych znajomych lub rodziny, nie możemy sprawdzać go pytaniami w rodzaju „Czy to ty, Stefan?” (w przypadku rozmowy telefonicznej – kiedy nie widzimy osoby po drugiej stronie) lub „Znasz Kasię?”, ponieważ jedyne co może odpowiedzieć haker w tym momencie, to „Tak, oczywiście!”. Nie przyzna się przecież, że jest tymże hakerem, ale będzie kontynuował wątek, upewniając nas, że jest osobą godną zaufania („No pewnie, że tu Stefan! No pewnie, że znam Kasię!”). W interesie atakującego jest podanie jak najmniejszej ilości informacji o sobie, aby nie wzbudzić niepotrzebnych podejrzeń, ale jednocześnie na tyle dużo, żeby zostać uznany za konkretną osobę, którą znamy. Aby sprawdzić potencjalnego fałszywego znajomego musimy użyć zdania twierdzącego, które jest nieprawdziwe na tyle, że nasz prawdziwy rozmówca zdziwiłby się i zaprzeczył. W tym momencie haker powinien dać się „złowić” na naszą przynętę (jeśli nie jest na poziomie, na którym odporny jest na takie sztuczki lub ma tak dokładne informacje o nas, że nie da się nabrać). Możemy zatem powiedzieć np. „Twój brat się ostatnio mocno zestarzał, nie?” (zakładając, że dana osoba podaje się za kogoś o kim wiemy, że nie ma brata) lub „Twój dyrektor/kierownik/manager ma nową żonę, nie?” (jeśli haker podaje się za kogoś, kto pracuje także w naszej w dziale, o którym wiemy, że jest kierowany przez kobietę). Jeśli druga osoba zignoruje zdanie lub wyda się zmieszana, to znaczy, że być może nasz rozmówca nie przewidział tego przebiegu zdarzeń. Jeśli zaś odpowie nam twierdząco na nasze fałszywie zdanie, będzie to dla nas jasnym znakiem, że jesteśmy właśnie atakowani.

Czy aby na pewno wiesz gdzie jesteś?

W przypadku kiedy haker próbuje uśpić naszą czujność za pomocą wyświetlenia nam strony, którą dobrze znamy i na której przecież logowaliśmy się tyle razy bezpiecznie, warto upewnić się, że na pewno znajdujemy się tam gdzie chcemy się zalogować, a nie na stronie-pułapce. Należy zweryfikować czy na pewno adres danej strony w przeglądarce odpowiada adresowi, który powinien się tam znajdować oraz sprawdzić tzw. „zieloną kłódkę”, czyli czy i na kogo wystawiony jest certyfikat dla danej witryny. W przypadku linków znajdujących się na stronach lub w przysłanych nam wiadomościach e-mail należy nie tylko sprawdzić jaki adres jest pokazany jako link (np. podkreślony), ale także dokąd prowadzi – po najechaniu na dany link u dołu przeglądarki powinien wyświetlić się faktyczny adres, pod który kieruje odnośnik. Jeśli jest to inny adres niż w nazwie linka lub jeżeli wydaje się on nam podejrzany, może to oznaczać próbę ataku. W telefonach komórkowych temat jest nieco trudniejszy, ponieważ w interfejsie dotykowym nie ma jak najechać na link przysłany mailem bez klikania w niego (można oczywiście wyświetlić pełny test wiadomości i tak zweryfikować jak skonstruowany jest link). Warto też sprawdzać czy w adresie (w linku czy już na stronie, na którą się przenieśliśmy) nie ma literówki lub nie zostały użyte znaki, które jedynie przypominają litery, których byśmy się w danym adresie spodziewali. Taki sposób zakamuflowania prawdziwego adresu strony jest ostatnio dość często spotykany.

Aktualizacje i backupy to podstawa

Ważnym elementem ochrony ogólnie, nie tylko przed socjotechniką, jest aktualizacja oprogramowania, zarówno jeśli chodzi o system operacyjny, zwykłe oprogramowanie, jak i oczywiście oprogramowanie antywirusowe. Jeśli atak będzie polegał na wyłudzeniu informacji drogą elektroniczną (a nie ustnie lub fizycznie przez nas jako użytkownika), będzie to na pewno utrudnienie dla atakującego. Kiedy jednak antywirus nie zadziała lub stracimy dane poprzez dziurę w innym oprogramowaniu, warto mieć kopię zapasową, którą należy wykonywać na tyle często, aby ewentualna utrata nie była zbyt bolesna. Nośnik z kopią zapasową powinien być tylko do odczytu (CD/DVD/BluRay) lub podłączany do komputera tylko w momencie kiedy wiemy, że jest bezpiecznie i jak najszybciej odłączany. Warto też choćby raz wykonać odtworzenie danych z kopii zapasowej, bo wiadomo, że ludzie dzielą się na trzy grupy: tych, którzy nie robią kopii bezpieczeństwa, tych, którzy robią, oraz tych, którzy robią i wiedzą, że są w stanie odtworzyć dane z kopii.

To samo hasło wszędzie to drzwi do raju dla hakera

Może się jednak okazać, że damy się nabrać na sztuczki hakera i podamy nasze dane dostępowe na spreparowanej stronie pułapce. Ważnym staje się wtedy, czy stosujemy wszędzie to samo hasło czy nie. Jeśli atakujący pozna nasz adres e-mail i nasze (nawet superbezpieczne pod kątem złożoności) hasło, i okaże się, że tego samego hasła używaliśmy nie tylko do poczty, ale także do logowanie się wszędzie indziej (lub używamy czytelnego klucza, jak nazwa-banku123, allegro1 itd.), to możemy stracić dużo więcej niż wiadomości e-mail. Warto zatem stosować inne hasła do poczty i każdego innego logowania, a także, tam gdzie to możliwe, stosować autentykację wieloskładnikową, z użyciem kodów sms lub urządzeń wspomagających taką autentykację.

Nawet najlepsze hasła nie pomogą jeśli leżą na biurku

Osobną kwestią jest temat przechowywania haseł. Warto skorzystać z oprogramowania do przechowywania haseł, zabezpieczonego mocnym hasłem głównym. Trzymanie haseł (jak również innych kluczowych informacji) w wersji papierowej na biurku, obudowie komputera, monitorze czy tablicy przy biurku, może prowadzić do tego, że nawet nie będziemy wiedzieli kiedy ktoś tylko zajrzał nam w nasze miejsce pracy i zapamiętał / zrobił zdjęcie / zapisał sobie nasze hasła.

Taki strój można kupić w każdym sklepie

Pamiętajmy, że nie każdy, kto nosi biały kitel musi być lekarzem. W dzisiejszych czasach można dostać w sklepach wszelką odzież specjalistyczną, od strojów lekarskich, ratowniczych i pielęgniarskich (takich standardowych, chociaż atak na kusy strój pielęgniarski też w dużej mierze opierałby się na użyciu socjotechniki), poprzez stroje policji i straży pożarnej, a na sutannach skończywszy. Każdy także może sobie wyrobić dowolny identyfikator, pieczątkę, a nawet dowód osobisty! Warto zatem przed powierzeniem ważnych informacji lub pieniędzy zweryfikować tożsamość danej osoby, np. pytając obsługę danego budynku lub szukając informacji o danej osobie w internecie.

Szkolenie z przykładami, czyli pokaż mi czego nie potrafię

Niektóre organizacje wykonują specjalne szkolenia dla swoich pracowników, opracowane na bazie wcześniej przeprowadzonych ataków (można by je nazwać „szczepionkami”, chociaż w kontekście n-tej wojny szczepionkowej w Internecie boję się użyć tego słowa). Pracownicy są zaznajamiani z sytuacjami, które mogą się im przydarzyć, aby kiedy już one nastąpią, łatwiej je rozpoznawać. Na takich spotkaniach przedstawia się m.in. listy pytań, które mogą być zadane, a na które powinny nas zaalarmować. Najprościej jest to przedstawić na zasadzie listy „zielony-pomarańczowy-czerwony”, gdzie w sekcji zielonej są pytania, które normalnie mogą paść z ust nieznajomej osoby i nie są alarmujące, np. „Dojeżdżasz do pracy na rowerze?” wypowiedziane w holu firmy, gdzie widać, że jesteśmy ubrani „na rower” i aktualnie czekamy np. na kogoś innego. Takie zachowanie może być podyktowane chęcią zapytania o najlepszą trasę dojazdu, czas, warunki lub po prostu próbą zaczepienia nas przez osobę nami zainteresowaną (w pozytywnym tego słowa znaczeniu). Nasza odpowiedź twierdząca nie wyjawi żadnych informacji poza te, które pytający już posiada (skoro mamy ubiór rowerowy to raczej przyjechaliśmy rowerem). Jeśli jednak rozmowa toczy się dalej i pytający drąży głębiej („A w którym miejscu trzymasz rower?”), powinna nam się zapalić „pomarańczowa lampka”, ponieważ takie pytanie już może stanowić wstęp do pozyskania informacji, które pytający niekoniecznie musi wiedzieć. Oczywiście może to być pytanie niewinne, absolutnie nie będące częścią ataku (nie popadajmy w paranoję!), stąd kolor pomarańczowy. Kiedy jednak padnie pytanie „A gdzie u was jest gabinet szefa/serwerownia/archiwum?”, zapala się lampka czerwona. Takie informacje mogą już służyć do przeprowadzenia ataku i nie powinniśmy udzielać informacji osobom, o których nie wiemy kim są i czy mogą takie informacje otrzymać. Jeśli wydaje nam się, że mogliśmy być obiektem ataku, wtedy o próbie pozyskania informacji przez podejrzane osoby warto też powiadomić osoby, które odpowiedzialne są za ochronę danych (Administrator IT, Inspektor bezpieczeństwa itp.). Przed podaniem naprawdę ważnych informacji warto też poinformować swojego zwierzchnika o tym kto pyta i spytać czy możemy takich informacji udzielić. Jeżeli byliśmy obiektem ataku, istnieje bardzo duża szansa, że w tym momencie się obronimy.

Bardzo ważnym elementem jest szkolenie personelu, nie tylko z technik ataków, tak, aby był przygotowany na różne próby przechwycenia informacji lub destabilizacji otoczenia i umiał je rozpoznawać, ale również z technik postępowania w przypadku kiedy znajdą się już w takiej sytuacji. Podczas szkoleń ważnym elementem jest uświadamianie, że niekoniecznie to co jest ważne dla organizacji musi być ważne dla potencjalnego hakera i na odwrót, to co może się wydawać mało ważne z punktu widzenia biznesu w firmie, jest też mało ważne dla włamywacza. Warto pokazywać jak ktoś może próbować od nas wyciągnąć pewne dane udając naszego przyjaciela. Najlepsze będą w tym wypadku przykłady udanych ataków z przeszłości. Istotne jest określenie jasno, że atakujący działa w celu wykradzenia informacji i/lub zaszkodzenia organizacji, a co za tym idzie, utrudnienia lub nawet finalnie pozbawienia pracy potencjalnych atakowanych osób. Takie postawienie sprawy często sprawia, że ludzie są odporniejsi na próby wyłudzenia informacji i destabilizacji środowiska. Oczywiście szkolenia muszą być cykliczne, żeby wiedza była cały czas aktualizowana i utrwalana. Aby jednak sprawić, że pracownicy będą wiedzieli, jak bardzo są narażeni na atak, warto przed szkoleniem lub na samym szkoleniu poddać ich testowi, który wykaże ile informacji są w stanie zdradzić potencjalnemu hakerowi. Dopiero kiedy faktycznie staniemy się ofiarą ataku (choćby ćwiczebnego), zdamy sobie sprawę, że nie jesteśmy tak sprytni i odporni jak się nam wydaje.

Graj zgodnie z regułami gry

Innym z ważnych elementów, których wprowadzenie może uodpornić organizację (jak i pojedynczego człowieka) na ataki socjotechniczne, są procedury. Procedury określają jak postępować: jak często należy zmieniać hasła, jak przekazywać informacje, jak niszczyć dokumenty, jakie uprawnienia mogą mieć goście z zewnątrz, kto może mieć dostęp do naszego sprzętu, kogo informować w danej sytuacji itp. W dobie dużych organizacji ważne jest także, aby była co najmniej jedna osoba na określony obszar, która wie jakie osoby mogą się znajdować wewnątrz tegoż obszaru i kto nie powinien się tam znaleźć. Pozwala to wychwycić intruzów, którzy dostali się tam wykorzystując luki w tym właśnie zakresie.

Podsumowanie

Powyższe informacje na temat najczęściej spotykanych metod ataków i obrony przed nimi, to jedynie mały skrawek wiedzy, która łączy elementy wiedzy o sterowaniu zachowaniem ludzi z elementami wiedzy typowo informatycznej, pozwalającej na przygotowanie narzędzi ataku. Jak każdy inny atak, zależy on w głównej mierze od wiedzy i zdolności do jej wykorzystania przez hakera. Nie można oczywiście dać się zwariować i podejrzewać każdego, ponieważ w normalnym życiu i pracy nie ma po prostu na to czasu, a czasami może być to po prostu niewłaściwie odebrane przez otoczenie. Niemniej znajomość tego tematu jest staje się istotnym elementem spokojnego życia i pracy w dzisiejszych czasach.

– Krzysztof Wosiński

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Magdalena

    Jeżeli firma mą psychicznego szefa który sam zadaje chamskie osobiste pytania to pracownicy są już przyzwyczajeni i hackerowi też odpowiedzą na najbardziej bezsensowne pytania. Więc albo bezpieczeństwo firmy albo mikrozarządzanie

    Odpowiedz
    • taSama

      Ciekawe w jakim systemie liczony jest czas na tej stronie. Wg mojego kalendarza jest 04.10.2018 9:47 am.
      Hm moze jednak niektórzy opanowali podróże w czasie :P

      Odpowiedz
  2. kryptonitro

    Być może w niedalekiej przyszłości „autentykacja” będzie powszechnie używana jednakże obecnie profesjonaliści preferują używać uwierzytelniania.
    Ciekawy artykuł.
    Pozdrawiam

    Odpowiedz
  3. Alex

    Panie Krzysztofie super artykuł, proszę o więcej :)

    Odpowiedz
  4. wk

    Socjotechnik to nie haker, po co tak mieszać pojęcia.

    Odpowiedz
  5. Jarek

    Bardzo zwięzłe i przydatne.

    Odpowiedz
  6. Tomasz21.

    Witam; Ciekawe i zarazem pożyteczne. Tą wiedzę ,można też wykorzystać do innych pożytecznych celów. Wiedzy nigdy nie za wiele. Pozdrawiam.

    Odpowiedz
    • Nienieug

      Chyba ze ta wiedza jest Ci bez uzyteczna to nie ma sensu jej zdobywanie. Chyba ze chcesz blyszczec wiedza w towarzystwie, tylko co z tego ze masz to wiedze na poprowadzenie monologu na 2-3 zdania… uzyteczna wiedza i jej zdobywanie tak, warto.
      Myslisz ze przyda Ci sie wiedza z zakresu procedur ladowania statku na Marsie…?

      Odpowiedz
  7. XanDer

    Bardzo ciekawy i przystępnie napisany artykuł. Jestem mile zaskoczony tą publikacją. Wyrazy uznania dla autora.

    Odpowiedz
  8. Piotr

    Dzięki za ten artykuł. Świetne podsumowanie tematu chociaż wiem, że to tylko wierzchołek góry. Dla zaciekawionych tematem warto dodać źródło: Kevin Mitnick „Sztuka podstępu. Łamałem ludzi nie hasła”.

    Odpowiedz
  9. Posypka

    Wspaniały tekst! Nie tylko napisany, ale wręcz widocznie zachęcający do zainteresowania się tematem. Obecnie zbyt łatwo zakładamy, że jesteśmy w stanie poradzić sobie w opisanych w tekście niecodziennych dla nas sytuacjach, gdy tymczasem często słowa: „Oczywiście że nie wydałbym/wydałabym żadnych informacji! Przecież nie jestem głupi/a!” mogą z łatwością przerodzić się w: „Nawet nie zauważyłem/am kiedy…”. Mega ważny tekst!

    Dziękuję za świetną publikację :).

    Odpowiedz
  10. zero one

    Bez przeszkolenia personelu większość atakowanych będzie niemal bezbronna.

    Odpowiedz

Odpowiedz