Social media
#CyberMagazyn: Socjotechnika, czyli krótko o tym, jak cyberprzestępcy wykorzystują nasze słabości
Socjotechnika i inżynieria społeczna to techniki, które cieszą się bardzo dużą popularnością w świecie cyberbezpieczeństwa. To również metody, które są bardzo wydajne i skuteczne, gdy mowa o zdobywaniu dostępu do rozmaitych systemów czy informacji.
Cyberataki opierające się na socjotechnice zdumiewają swoją prostotą, a jednocześnie śmiało można powiedzieć, że nie ma dziś bardziej wyrafinowanej metody, aby uderzyć w ściśle określone cele z wykorzystaniem wielowarstwowych manipulacji i skomplikowanych działań.
Ludzkie, arcyludzkie
Socjotechnika swoją skuteczność zawdzięcza temu, że jesteśmy ludźmi. Ataki opierające się na wykorzystaniu socjotechniki bazują na tym, że popełniamy błędy. Jesteśmy chciwi, podatni na manipulacje, naiwnie wierzymy, że to nie my padniemy ofiarą oszustwa. Jesteśmy leniwi. Nie sprawdzamy pozyskiwanych informacji. Wygodnie umościliśmy się w swoich cyfrowych strefach komfortu. Tymczasem ciekawość, uprzejmość, poczucie winy, ale i wspomniana wcześniej chciwość, bezmyślność, wstyd - wszystko to są emocje, które cyberprzestępcy mogą wykorzystać do swoich celów.
Ataki bazujące na socjotechnice nie muszą opierać się na ogromnych zdolnościach technicznych sprawców. Główną rolę odgrywa w nich psychologia - a w szczególności sztuka manipulacji ofiarą - która, aby atak mógł zakończyć się sukcesem - musi wcześniej wykonać określone czynności, np. umożliwiając atakującemu pozyskanie określonych informacji (takich, jak dla przykładu dane do logowania w bankowości elektronicznej).
Jak działają ataki socjotechniczne?
W ogromnej mierze ataki socjotechniczne nie są same w sobie celem, a elementem większego planu. Powszechnie wykorzystuje się je, by na urządzeniu ofiary zainstalować złośliwe oprogramowanie, które pozwoli np. na wykradanie danych z przeglądarki internetowej, sieci, bądź ekstrakcję plików, ale także na dostęp do innych elementów szerszego systemu, którego częścią może być zainfekowany komputer służbowy pracownika.
Sprawcy ataków bazujących na socjotechnice są coraz bardziej kreatywni, a ich metody ewoluują - razem z naszą komunikacją, sposobami załatwiania spraw biznesowych i osobistych, a także tym, jak korzystamy ze świata cyfrowego robiąc np. zakupy czy poszukując nowych możliwości rozwoju.
Socjotechnika - najpopularniejsze metody
Wszystkie metody wykorzystywane przez cyberprzestępców stosujących socjotechnikę opierają się w praktyce na nakłanianiu ofiar, aby wykonały czynność umożliwiającą atakującym kolejny krok. Może to być kliknięcie w złośliwy link, lub prośba o instalację oprogramowania z niesprawdzonego źródła.
Prześledźmy, jakimi metodami najchętniej posługują się cyberprzestępcy korzystający z socjotechniki.
Phishing
Phishing to najpopularniejsza i niezwykle skuteczna forma ataku z wykorzystaniem socjotechniki. Przeważnie wykorzystywana jest do pozyskiwania wrażliwych danych ofiary, lub informacji pozwalających na zalogowanie się do systemu, którego częścią jest jej urządzenie.
Phishing przeważnie bazuje na podszywaniu się sprawców pod dobrze znane ofierze osoby, marki lub organizacje - w najbardziej rozpowszechnionej formie z wykorzystaniem e-maili zawierających złośliwe linki. Phishing występuje jednak również jako technika ataku z użyciem telefonów, wiadomości tekstowych, a nawet mało dziś popularnego faksu. Coraz częściej spotykaną formą phishingu jest ten, który pojawia się w mediach społecznościowych.
Nie jest to metoda szczególnie wyrafinowana, choć może taka być. Jednak w najbardziej rozpowszechnionej formie phishing łatwo zidentyfikować, o ile zadamy sobie trud, aby bliżej przyjrzeć się korespondencji, która do nas wpływa. Sprawę ułatwiają dziś komercyjne systemy poczty elektronicznej, takie jak np. Gmail Google’a, które wyposażone są w funkcje pozwalające sprawniej wykrywać phishing i ostrzegać użytkowników przed możliwym zagrożeniem.
Atakujący doskonalą swoje działania, zdając sobie sprawę, że w służbie internautów pojawia się coraz więcej prostych, choć skutecznych mechanizmów ochronnych. Dlatego oprócz literówek w adresach e-mail czy odnośnikach do domen, w które mamy kliknąć, aby zainstalować na swoim urządzeniu złośliwe oprogramowanie bądź udostępnić cyberprzestępcom swoje dane, stosują oni różnorodne metody mające zwiększyć wiarygodność rozsyłanej przez nich fałszywej korespondencji.
Dokładnie odtworzona forma graficzna stopki i ukryty adres, z którego pochodzi przesyłka - to klasyczne triki cyberprzestępców. Fałszywe maile potrafią dziś do złudzenia przypominać oficjalną korespondencję z banków, sklepów czy instytucji publicznych - wciąż jednak istnieją pewne podstawowe czynniki, które powinny wzbudzić naszą czujność i sprawić, że zastanowimy się nad kliknięciem w zawarty w takim liście link.
Widząc podejrzany mail czy SMS, zadajmy sobie przede wszystkim podstawowe pytanie - czy wchodziliśmy w jakiekolwiek interakcje z podmiotem, za który podaje się nadawca korespondencji? Jak możemy mieć niedopłatę do przesyłki, na którą nie czekamy, bo niczego nie zamawialiśmy? Jak może istnieć zaległość na naszym rachunku za prąd, skoro w wynajmowanym mieszkaniu faktura wystawiana jest na nazwisko właściciela, z którym mamy podpisaną umowę, a operator energii nie ma prawa dysponować naszym numerem telefonu?
Tym, co powinno zwracać naszą uwagę w przypadku podejrzanej korespondencji, jest również język, którym została ona zredagowana. Czy treść maila jest adresowana bezpośrednio do nas? A może ma formę wystarczająco bezosobową, że może być do wszystkich i do nikogo zarazem, i została tak zbudowana specjalnie po to, by umożliwić masową wysyłkę przy założeniu, że większość odbiorców nie zada sobie trudu refleksji nad tym, co czyta i "da się złapać"?
Fałszywe e-maile, na które swoje ofiary łowią cyberprzestępcy, bardzo często żerują również na naszej skłonności do wiary w niesamowite promocje, obniżki cen, czy inne "czyszczenie magazynów" z zalegającego w nich super sprzętu. Pamiętacie słynne oszustwo na rozdania, w których można było po kliknięciu w link zdobyć nowego iPhone’a? To tylko jeden z bardziej naiwnych przykładów.
Phishing najczęściej opiera się na próbie skłonienia użytkownika do kliknięcia w link. Odnośnik zazwyczaj ukryty jest pod tekstem, tak, aby było trudniej zweryfikować adres, do którego przeniesie nas, gdy w niego klikniemy.
Linki początkowo mogą odsyłać do zaufanej strony, potem ruch może być jednak przekierowywany na witrynę kontrolowaną przez atakujących, podszywającą się pod prawdziwą stronę, gdzie np. znajduje się formularz pobierający od nas poufne dane do logowania - dla przykładu w bankowości elektronicznej lub na profilu w sklepie internetowym. Wyłudzenie danych to jednak nie jedyna metoda, jaką mogą posłużyć się cyberprzestępcy - podczas wizyty na kontrolowanej przez nich stronie, na naszym urządzeniu może zostać zainstalowane złośliwe oprogramowanie. Najczęściej w takim przypadku ofiara nie będzie zdawała sobie sprawy z tego, że program pobiera się i instaluje w tle.
Przynęta
Inną formą ataku socjotechnicznego jest próba złapania użytkowników internetu na przynętę zawartą np. w reklamach online. Złośliwy banner reklamowy może proponować nam zdarzająca się raz w życiu, niespotykaną okazję - i znów, socjotechnika opiera się w takim wypadku na naszej lekkomyślności i chęci łatwego zysku, która "wyłącza" u wielu osób zdolności analityczne i powoduje, że nie zastanawiają się one nad konsekwencjami swojej łatwowierności.
Przynętą mogą być również strony internetowe, oferujące np. bezpłatny dostęp do treści rozrywki na żądanie dostępnej legalnie w płatnych usługach.
Po kliknięciu w tego rodzaju linki, na urządzeniu ofiary zazwyczaj instalowane jest złośliwe oprogramowanie.
Właśnie w ten sposób działało malware Shylock - trudne do wykrycia, zbudowane po to, by wykradać dane do logowania w bankowości elektronicznej i służyć cybergangom, które specjalizują się w przestępstwach finansowych. Shylock to złośliwe oprogramowanie, które było wykorzystywane przede wszystkim w Wielkiej Brytanii - około 61 proc. wszystkich stron internetowych zainfekowanych tym robakiem pochodziło właśnie z tego kraju. Przede wszystkim były to witryny konsumenckie, należące do marek popularnych sklepów.
Socjotechnika może być wykorzystywana również precyzyjnie
Wyżej opisane sposoby wykorzystywania socjotechniki w cyberatakach ukierunkowane są na masową skuteczność. Rozsyłając tego rodzaju e-maile i stosując triki bazujące na złośliwych reklamach, atakujący liczą na to, że na ich "ofertę" skusi się możliwie jak największa liczba osób.
Socjotechnika może jednak być wykorzystywana również w atakach ukierunkowanych na określone organizacje i osoby - na przykład polityków, gwiazdy, czy menedżerów korporacji.
Spear phishing
Spear phishing to rodzaj phishingu, który jest ukierunkowany na atak względem konkretnej osoby. Aby był maksymalnie skuteczny, atakujący musi wcześniej dobrze rozeznać swój cel - gdzie pracuje? Z jakimi osobami utrzymuje kontakty? Jakimi rzeczami zajmuje się w swojej pracy? Każda informacja (w tym pozyskanie wcześniej firmowych dokumentów, często poufnych, w wyniku ataku na inne osoby z tej samej organizacji) zwiększa szansę na uwiarygodnienie się sprawcy i sukces jego działań.
Fałszywa korespondencja, która trafi do ofiary spear phishingu, będzie adresowana przeważnie jej imieniem, funkcją i nazwiskiem. Mail taki będzie pochodził pozornie od osoby, którą cel działań zna, bądź organizacji, z którą współpracuje. Będzie spersonalizowany i całkiem możliwe, że poświęcony sprawie, którą ofiara naprawdę się zajmuje.
Socjotechnika w atakach… fizycznych
Choć w czasie pandemii koronawirusa mieliśmy dużo mniej okazji do osobistych spotkań np. przy okazji konferencji lub sympozjów, to w czasie pierwszego od dwóch lat sezonu konferencyjno-targowego warto wspomnieć o tym, że socjotechnika bywa wykorzystywana również w ramach silnie ukierunkowanych, precyzyjnych cyberataków o ściśle fizycznym charakterze.
Pozostawiony przez kogoś nośnik USB, który budzi ciekawość i zostaje przez kogoś pobrany, w wyniku czego po podłączeniu go do komputera osoba taka staje się ofiarą cyberataku z wykorzystaniem złośliwego oprogramowania np. wykradającego dane, to już niemal symbol, a na pewno - anegdotka opowiadana na niemal każdym szkoleniu z cyberbezpieczeństwa.
W praktyce okazuje się jednak, że ta prosta, wręcz prostacka metoda ataku jest niezwykle skuteczna - zwłaszcza, gdy chodzi o konkretne osoby, znajdujące np. porzucony dysk CD albo USB z własnym imieniem na etykiecie…
Jak się chronić?
Przede wszystkim - włączyć myślenie. Jak już wspomnieliśmy, cyberataki oparte o socjotechnikę bazują głównie na naszych ludzkich słabościach.
W ochronie przed cyberatakami wykorzystującymi socjotechnikę może pomóc oprogramowanie antywirusowe i mechanizmy wbudowane w systemy poczty elektronicznej czy innych usług, z których korzystamy na co dzień - to nie są jednak wystarczające środki, by czuć się w pełni bezpiecznie.
Graniczące z truizmem stwierdzenie, że najlepszą ochroną przed cyberatakami socjotechnicznymi jest edukacja, to prawda - tylko sukcesywne zwiększanie świadomości użytkowników może pomóc uchronić się przed manipulacją w coraz szerszym cyfrowym uniwersum, za którego rozwojem (a tym samym, ewolucją metod, którymi posługują się przestępcy) niekiedy trudno nadążyć nawet największym specjalistom i analitykom.
Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany