Socjotechnika była, jest i będzie

Beata Marek Bezpieczeństwo teleinformatyczne, Cyberzagrożenia i cyberprzestępczość, E-commerce, Startup IT 2 Comments

Socjotechnika jest jedną z metod działania cyberprzestępców polegającą na wywieraniu określonego wpływu na użytkownikach. Ataki bazujące na socjotechnice najcześciej są wymierzone masowo (ang. phishing). Jednakże pracownicy firm szczególnie narażeni są na ataki ukierunkowane (ang. spear phishing) zmierzające do zdobycia nieuprawnionego dostępu do informacji firmy.

Konstrukcja przykładowego ataku

Warto wiedzieć, że inżynieria społeczna jest wyjątkowo skutecznym atakiem ukierunkowanym na pracowników firmy, którzy z braku posiadania odpowiedniej wiedzy na temat cyberzagrożeń nie są dostatecznie wyczuleni na działanie przestępców. Dlatego też odpowiednie pokierowanie pracownikiem Twojej firmy pozwala np. zainstalować złośliwe oprogramowanie na dysku komputera pracownika, zainfekowanie sieci czy zdobycie loginu i hasła do programów zawierających różnego rodzaju zasoby informacji.

Jak wygląda przykładowy atak?

phishing-socjotechnika-atakisieciowe

Użytkownik otrzymuje wiadomość – w mailu/ w czasie rozmowy telefonicznej/ na stronie internetowej / za pośrednictwem ściągniętej aplikacji/ SMSem – skłaniającą do dokonania określonej czynności. Najczęściej czynność ta polega na:

  • kliknięciu w link przekierowujący do zainfekowanej strony internetowej (np. fałszywej strony logowania / oferującej ściągnięcie darmowej aplikacji na wybrany model telefonu itp.);
  • pobraniu zainfekowanego pliku;
  • przesłaniu określonych informacji pod wskazany adres e-mail;
  • wypełnieniu formularza z danymi osobowymi w celu wzięcia udziału w konkursie/ otrzymania nagrody itp.
  • Phishing często bazuje na emocjach, a jeśli jest on ukierunkowany to także na manipulowaniu wiarygodnymi informacjami. Posłużę się ogólnym przykładem – X podszył się pod pracownika działu marketingu jednego z dostawców, który dostarcza aplikację przeglądarkową do zarządzania określonymi zasobami informacji w organizacji. X wysłał wiadomość drogą mailową do jednego z kierowników działu. W wiadomości tej wskazał znaną użytkownikowi nazwę programu, podziękował za współpracę i poinformował o nowej, darmowej funkcjonalności, która zostanie wprowadzona w ciągu kilku dni. W celu aktywacji owej funkcjonalności X poprosił jedynie o podanie loginu.

    Niewinny mail? Niestety nie. Otóż jeśli przestępca wie z usług jakiego dostawcy i w jakim zakresie korzysta dana organizacja może zweryfikować poziom zabezpieczeń dostawcy. Jeśli przykładowo okaże się, że aplikacja nie jest zabezpieczona przed atakiem typu brute force (pol. atak siłowy – atak polegający na użyciu algorytmu, który wyszukuje metodą prób i błędów właściwą kombinację znaków czyli hasło przypisane do danego loginu) i nie pozwala na logowanie się danego użytkownika (loginu) tylko z określonych adresów MAC lub/i sieci IP to przestępcom wystarczy wyłącznie posiadanie samego loginu, aby skutecznie przeprowadzić atak – hasło zostanie przecież dopasowane. Cały szkopuł polega na tym, że przecież pracownicy na ogół wiedzą, żeby nie podawać haseł stąd proszenie o login i hasło w większości przypadków nie zadziała. A co z prośbą podania tylko loginu? No właśnie … Tymczasem loginy powinny być nie tylko w swej budowie nieprzewidywalne (czyli nigdy w stylu “admin” ani wykorzystujące adres e-mail), ale także nie powinny być udostępniane innym osobom.

    Socjotechnika – obrona

    Jak się bronić przed inżynierią społeczną?

    Nie będzie to żadną nowością co teraz powiem, ale podstawą jest odpowiednie przeszkolenie pracowników związane z cyberzagrożeniami (nie tylko związane z atakami wykorzystującymi socjotechnikę), ale także z bezpiecznym przetwarzaniem informacji.

    Tak samo jak pracownik potrafi obsługiwać urządzenie tak samo powinien wiedzieć jak bezpiecznie z niego korzystać oraz jak nie dać się “zapędzić w kozi róg”.

    Użytkownik powinien co najmniej:

  • aktualizować na bieżąco przeglądarkę internetową, aplikacje, system operacyjny oraz oprogramowanie zabezpieczające urządzenie – zwłaszcza jeśli w firmie stawia się na BYOD czyli pracę na własnych urządzeniach;
  • nie łączyć się z siecią Internet za pomocą urządzeń, które nie posiadają zaktualizowanego i legalnego oprogramowania zabezpieczającego;
  • zweryfikować nadawcę (np. adres e-mail), temat i treść wiadomości;
  • wyłączyć obsługę html i obrazów w wiadomości (w tym celu należy skonfigurować pocztę e-mail);
  • zweryfikować stronę internetową, na której wypełniane są dane w formularzach;
  • pobierać pliki tylko z zaufanych stron;
  • zastanowić się przed pobraniem pliku, następnie zeskanować go przed uruchomieniem;
  • pracować tylko w trybie prywatnym i bezpiecznym (oprogramowanie zabezpieczające powinno mieć opcję ustawienia trybu bezpiecznego dla autoryzowanych stron – np. logowania);
  • unikać automatyzmu w odpowiadaniu, klikaniu lub wypełnianiu formularzy.

  • Phishing zmierza do celu


    A celem tym jest zdobycie informacji. Najsłabszym ogniwem był, jest i zawsze będzie człowiek stąd nawet najlepsze zabezpieczenia mogą się na niewiele zdać jeśli pracownik poda określone informacje mówiąc wprost – na tacy.

    Każda organizacja przetwarza dane cyfrowe, z których odczytać można wartościowe informacje. Ich przechwycenie może wiązać się ze spadkiem konkurencyjności przedsiębiorstwa na rynku, doprowadzić do utraty reputacji, a nawet upadku.

    Pracownicy firmy narażeni są na ataki socjotechniczne, a urządzenia na których pracują na zainfekowanie złośliwym oprogramowaniem (zwłaszcza APT), ale także na inne rodzaje ataków. Od działania ludzi zależy bardzo wiele bo to oni w dużej mierze mają wpływ na to czy złośliwe oprogramowanie dostanie się na pokład maszyny czy też nie. Pamiętajmy, że programy zabezpieczające są bardzo ważne, ale działają one w oparciu o bazy sygnatur czyli posiadane informacje na temat danego rodzaju sklasyfikowanych “infekcji”. A przecież każdego dnia tworzonych jest średnio 70.000 nowych szkodników i nie zawsze udaje się tego samego dnia znaleźć “szczepionkę” (nie mówiąc już o tym, że niektóre “infekcje” wykrywane są dopiero po kilku latach od ich stworzenia i aktywnego działania).

    Autor grafiki promującej wpis: Joe Rocco