Czy gdyby Ktoś do Ciebie zadzwonił i grzecznie poprosił oddał byś mu oszczędności życia? Czy gdyby przedstawił się jako krewny przepisał byś na niego dom? Nie?
Ale gdyby zadzwonił ktoś w Twojego banku powiedział, że prowadzone są prace programistyczne i żeby dodatkowo zabezpieczyć Twoje środki muszą przenieść Twój profil konta do „profilu zaufanego”, musisz pojawić się w oddziale w ciągu dzisiejszego dnia, albo mogą zrobić to zdalnie za Ciebie tylko proszą o podanie hasła do konta? Niezwykle uprzejmi Ci pracownicy Banku…


Dałbyś się okraść „na wnuczka”?


Kradzieże na wnuczka jak wszyscy wiemy polegają na tym, że najczęściej do osoby starszej, dzwoni ktoś kto przedstawia się jako jej wnuczek i twierdzi, że ma problem – wypadek, lub innego rodzaj kłopoty i potrzebuje pieniędzy i że zaraz prześle swoją koleżankę po jakąś sumę. Starsze osoby, i nie tylko, niestety się na to nabierają.

Bank nigdy nie prosi o hasło do konta. Takie działanie to nic innego jak kradzież z użyciem socjotechniki, natomiast ten artykuł to nic innego jak zbiór przypowieści, zdarzeń i wreszcie klasyfikacji sposobów, które funkcjonują nie tylko w cyberświecie. Psychologiczne wytrychy pozwalające, ominąć zabezpieczenia.


Przypowieść pierwsza (autorytet)


Trzy, może cztery lata temu miałem możliwość uczestniczyć w konferencji, na której występował Kevin Mitnick.
Opowiadał o swoich włamaniach przez telefon. Używał do nich takiego starego telefonu- „cegły”. Takiego amerykańskiego odpowiednika Centertela. (Właściwie jakiego telefonu miałby używać? Przecież jest stary jak kanapka z pterodaktyla)
Włamanie polegało na tym, że żeby uzyskać dostęp do organizacji (miał zlecenie na kradzież danych) musiał się uwiarygodnić. Zadzwonił do centrali firmy i przedstawił się jako handlowiec z terenowego biura tej organizacji i zapytał się czy pani sekretarka może wystawić mu zdalny dostęp. Kiedy odpowiedziała, że nie wie jak, zapytał ją po prostu „A chcesz się nauczyć?” i krok po kroku prowadził ja za rękę, żeby „zdalnie otworzyła mu wejście”. Sama opowieść nie była by niczym niezwykłym, ale jak to przy hollywoodzkim hackerze nastąpił hollywoodzki zwrot akcji. W pewnym momencie pani sekretarka powiedziała, że właśnie włączył się oficer bezpieczeństwa zaniepokojony działaniami na jej koncie i czy Kevin może poczekać przy telefonie. On odpowiedział, że może i przez głowę zaczęły biec mu tysiące myśli: że już powinien się wyłączyć, że na pewno się nie uda i po prostu jest spalony. Po dłuższej chwili pani wróciła do niego z informacją.
„Wiesz, standardowo tak nie robimy, ale oficer bezpieczeństwa autoryzował to działanie więc już możesz się spokojnie logować”.


Przypowieść druga (doświadczenie)


Kolegę z firmy, w której pracowałem nagle wezwała Policja w charakterze pokrzywdzonego. Nie zgłaszał żadnego przestępstwa, nie odnotował żadnej straty. Policja zapytała go czy wnosił opłatę w momencie rejestrowania działalności. Odpowiedział, że nie. Owszem rejestrował działalność, ale rejestracja jest za darmo. Zapytano czy nie dostał pisma z wezwaniem do zapłaty jakiejś kwoty – bodaj stu kilkudziesięciu złotych. Nie dostał i nie przelał. Opowiadał o tym później w pracy i dokładnie pamiętam co mówił, że cholera (albo inne słowo) zabierają mu czas a on nic nie wpłacał. Parę dni potem sprawdził konto. I gigantycznie się zdziwił przelew był. W natłoku spraw, rachunków płatności, wziął i zapłacił drobną (w porównaniu z innymi płatnościami) kwotę ewidentnym naciągaczom. Zareagował i dał się nabrać na klasyczny phishing. Szczerze nigdy bym się tego po nim nie spodziewał. Potem zacząłem zdawać sobie sprawę, że takie coś może się zdarzyć każdemu. Chwila nieuwagi, płatności wykonywane z automatu, gorszy dzień.


Przypowieść trzecia (gotowy scenariusz włamania)


Kto nie poznał innej osoby w sieci? Dzieje się to cały czas. Niektóre znajomości są intensywne, aczkolwiek krótkotrwałe, inne przeradzają się w coś więcej niż tylko wspólna fascynacja dajmy na to skamieniałością przewodnią, ze szczególnym uwzględnieniem graptolitów, bo w końcu nie ma to jak stare dobrze zachowane półstrunowce.
Ludzie opowiadają o sobie w sieci, za pomocą portali społecznościowych, swoich wyborów konsumenckich, komentarzy, polubień. Analiza nawet wykonywana wyrywkowo powie nam na tyle dużo, że mamy materiał do socjotechnicznego włamania.

Kroki wyglądają następująco:

  • Hacker dostaje zlecenie na jakąś organizacje albo jej po prostu nie lubi.
  • Sprawdza Linkedina kto tam pracuje.
  • Sprawdza portale społecznościowe- wie kto czym się interesuje, wie do jakiej szkoły chodził.
  • Ma wykreowane fałszywe tożsamości używa ich do kontaktu.
  • Prowadzicie konwersacje o „graptolitach” wieczorami na forum potem w ciągu dnia, nawet w pracy.
  • Dostajesz od internetowego znajomego (może mieć 65 lat, świetne życie wykreowane na Insta i Facebooku) maila: „zobacz na to” i obrazek.
  • Klikasz.
  • Hacker już jest w organizacji.

Proste? Mega proste. Czemu dzieje się stosunkowo rzadko? Bo bardziej się opłaca wykupić kampanię pishingową niż targetować atak. O ekonomii ataków będziemy jeszcze pisać…


Przypowieść czwarta (klasyfikacja ataków socjotechnicznych)


Opisywaliśmy przypadki ataków teraz może przypowieść porządkująca cytat za Panami Jerzym Nowakowski i Krzysztof Borkowski, którzy pokusili się o poniższą klasyfikacje ataków socjotechnicznych.

Zwiększanie uległości – polega ona na poprzedzeniu właściwej prośby tej, która jest rzeczywistym celem, a jej spełnienie przez daną osobę jest mało prawdopodobne, mniejszą prośbą, która prawie na pewno nie zostanie odrzucona. Otrzymanie zgody przez atakującego na spełnienie przez osobę atakowaną małej, niewielkiej prośby zwiększa prawdopodobieństwo, że spełni ona następną, znacznie dalej posuniętą prośbę, której nie spełniłaby w innych warunkach. W ten sposób manipulator wchodzi w posiadanie informacji, którymi dysponuje nagabywana przez niego osoba.

Zmniejszanie uległości – polega na wystąpieniu z prośbą ekstremalną, której spełnienie z dużym prawdopodobieństwem zostanie odrzucone, a następnie wyrażenie prośby właściwej, nieco mniejszej, której spełnienie jest możliwe, chociaż z pewnych względów niedopuszczalne – np. z punku widzenia istniejącego w danej firmie systemu zabezpieczeń.

Odwzajemnienie – ofiara może zostać zobowiązana do wykonania czegoś na zasadzie odwzajemnienia się za okazaną pomoc. Przy odpowiednim podejściu osoba, której rzekomo pomagamy sama wysuwa propozycję wykonania czegoś na naszą korzyść. Przykładem może być usunięcie przyczyny zawieszenia się komputera ofiary – fakt ten stanowi doskonałą okazję do wydobycia z niej hasła zabezpieczającego lub nakłonienia osoby od zainstalowania przesłanego jej przez atakującego oprogramowania mającego rzekomo zabezpieczać komputer ofiary przed kolejnymi zawierzeniami systemu operacyjnego, a w rzeczywistości będącego programem szpiegującym.
Ten typ ataku bardzo często poprzedzony jest procesem osaczenia ofiary przez atakującego, który przekonuje swoją ofiarę, że ma ona problem, który w rzeczywistości nie istnieje albo informuje o problemie, jaki jeszcze nie wystąpił, ale zaistnieje w najbliższej przyszłości. W dalszej części ataku napastnik przedstawia się jako osoba, która może ten problem rozwiązać.

Wzbudzanie poczucia winy – polega ona na wmówieniu ofierze jakiegoś negatywnego czy niestosownego zachowania, a następnie wystąpienia z prośbą o wykonanie określonej czynności w celu złagodzenia bądź też naprawienia zaistniałej, nieprzyjemnej sytuacji. Inna odmianą tej techniki jest zastraszenie – w czasie ataku socjotechnik podaje się za wysokiego urzędnika (lub też asystenta takiej osoby np. prezesa firmy). Metoda ta jest wyjątkowo skuteczna w przypadku dużych organizacji i gdy przedmiotem ataku jest osoba zajmująca stosunkowo niską pozycję w hierarchii firmy.

Podanie się za pracownika danej firmy (przedstawiciela dostawcy, firmy partnerskiej lub agencji rządowej) – atakujący po wcześniejszym zdobyciu kilku podstawowych informacji na temat atakowanej firmy (np. jej wewnętrznej struktury, wydziałów i ich zadań, sposobów wykorzystania określonych baz danych lub aplikacji, zna numery lub nazwy serwerów firmy) podaje się za jej pracownika (bardzo często podszywa się pod czyjąś tożsamość) i używając często żargonu i słownictwa charakterystycznego dla tej firmy przeprowadza atak socjotechniczny w celu uzyskania docelowych informacji. Okazuje się, że ludzie mają większy poziom akceptacji dla kogoś, kto podaje się za współpracownika i zna procedury oraz żargon firmy. Metoda ta jest bardzo skuteczna w stosunku do nowych pracowników danej firmy. Atakujący informuje nowego pracownika o konieczności dostosowania się do polityki i procedur bezpieczeństwa, która jest warunkiem uzyskania dostępu do systemów komputerowych firmy. Po omówieniu kilku praktyk bezpieczeństwa napastnik prosi użytkownika o podanie o podanie swojego hasła w celu weryfikacji jego zgodności z procedurami nakazującymi wybór hasła skomplikowanego.

Budowanie zaufania – atakujący przy pomocy kilku działań (np. kilku telefonów) stopniowo buduje zaufanie do swojej osoby po czym przeprowadza zasadniczy atak socjotechniczny. Im bardziej rozmowa prowadzona przez socjotechnika dotyczy zwykłych codziennych spraw tym bardziej unika on wszelkiej podejrzliwości. W sytuacji, gdy ludzie nie mają powodów do podejrzliwości, atakujący stosunkowo łatwo może uzyskać ich zaufanie. Jeśli mu się to uda wtedy dotarcie do cennych informacji nie stanowi już zasadniczej trudności. Bardzo często technika ta wykorzystywana jest w połączeniu z podaniem się za pracownika tej samej firmy.

Prośba o pomoc – jest to odwrócenie techniki odwzajemnienia. Atakujący manipuluje ludźmi udając, że potrzebuje pomocy. Większość ludzi współczuje osobom, które znalazły się w trudnym położeniu, dlatego podejście to umożliwia atakującemu dotarcie do celu krok po kroku. Bardzo często socjotechnik podaje się w tym przypadku za nowego pracownika poszukującego pomocy u swoich, starszych stażem kolegów. Technika ta jest szczególnie efektywna w stosunku do pracowników niższego szczebla takich jak sprzątacze czy też strażnicy.

Fałszywe witryny i załączniki w poczcie internetowej. Technika ta wykorzystuje ludzką chęć otrzymania czegoś za darmo – większość odbiorców e-maila z taką obietnicą nie zastanawia się trzeźwo nad ofertą i przyrzeczeniami w niej zawartymi.

Uzyskiwanie informacji ze śmieci wyrzuconych przez firmę. Śmieci wyrzucane z danej instytucji mogą zawierać wiele cennych informacji: czasami są to całe, niezniszczone raporty czy też wydruki komputerowe, jakie można znaleźć w niezamkniętych pojemnikach. Bardzo często okazuje się, że nawet śmieci ze z niszczarki mogą służyć do odtworzenia pierwotnych dokumentów.

Niestety w 99% kradzieży w Internecie, to okradany jest oszukiwany w taki sposób, żeby sam wykonał akcję pozwalającą na kradzież. Sam sobie instalujesz złośliwe oprogramowanie na komputerze! Sam klikasz na linka, ściągasz pliki, klikasz w obrazki.
Dajesz się zmanipulować, wodzić za nos, oszukiwać!!!
Przenosząc to na realny, nie-cyfrowy świat, sam pakujesz kasę w papierową torbę i oddajesz ją koleżance telefonicznego „potomka”.

Podziel się z innymi tym artykułem!