Inżynieria Społeczna – Social Engineering

W dzisiejszych czasach, kiedy dostęp do Internetu jest bardzo rozpowszechniony, a informacji chronionych coraz więcej, mamy do czynienia z coraz to większą ilością ataków. Z jednej strony zabezpieczenia stają się coraz bardziej dostępne i udoskonalane, z drugiej zaś strony ilość atakujących, narzędzi ataku oraz dostępu do wiedzy też rośnie.

Bezpieczeństwo Informacji zajmuje się tym, aby przetwarzana informacja była dostępna, ujawniana jedynie uprawnionym osobom oraz odporna na manipulację. Ważne w tym stwierdzeniu jest to, że to informacja powinna być chroniona a nie sam system informatyczny, czy systemy, komputery itd.

Co to jest Social Engineering

Social Engineering, znany również jako Inżynieria Społeczna lub Socjotechnika, jest to zestaw technik psychologicznych i/lub technologicznych umożliwiających nieautoryzowane pozyskiwanie informacji, manipulację lub wywieranie wpływu.

Aby uzyskać informację, atakujący najczęściej posługuje się naturalnymi cechami ludzkiej osobowości, takimi jak:

  • Zaufanie
  • Strach
  • Chęć niesienia innym pomocy

Social Engineering – aspekty technologiczne

Social Enginnering wykorzystywany jest głównie do przedostania się do wewnętrznej sieci przedsiębiorstwa. Nie ma tu znaczenia, czy firma posiada wdrożone najnowocześniejsze typy zabezpieczeń, takie jak zapory ogniowe (Firewall), systemy wykrywania i zapobiegania włamaniom (IDS/IPS), wirtualne sieci prywatne (VPN).

W przypadku aspektów technologicznych atakujący zyskuje dostęp do wrażliwych danych z pomocą systemów informatycznych.

To człowiek jest tutaj najsłabszym ogniwem, umożliwiającym uzyskanie dostępu do chronionych zasobów.

Socjotechnik najczęściej interesuje się pozyskaniem informacji takich jak:

  • Kody dostępu
  • Uprawnienia dostępowe
  • Wrażliwe informacje
  • Polityki bezpieczeństwa
  • Poufne dokumenty
  • Informacje o topologii sieci
  • Hasła

Metodami pozyskiwania poufnych informacji z wykorzystaniem technologii są:

  • Emaile, załączniki do wiadomości
  • Komunikatory Internetowe
    • Pozyskiwanie informacji poprzez rozmowy z wybranymi użytkownikami. Interesującymi informacjami są np. daty urodzin, panieńskie nazwisko matki itp.
    • Tak pozyskane informacje służą do próby przejęcia kont Internetowych
  • Wyskakujące okienka
    • Okienka wyskakujące podczas korzystania z Internetu, z prośbą o podanie loginów/haseł lub zalogowanie się
  • Strony internetowe
  • Spam
    • Maile wysyłane masowo w celach marketingowych
    • Niechciane i niezamawiane wiadomości, mające na celu pozyskiwanie różnych informacji, wejście na zainfekowane strony lub otwarcie zainfekowanych plików. Również pozyskanie listy kontaktów
  • Łańcuszki lub Hoax
    • Hoax, to fałszywe informacje o wirusie lub zagrożeniu dotyczącym komputera, stosowane w celu żartu lub wymuszenia zainstalowania określonego oprogramowania na komputerze użytkownika
    • Łańcuszki to wiadomości zachęcające do wysłania/przekazania tej właśnie wiadomości do N kolejnych osób w celu ‘przyniesienia szczęścia’, rzekomej pomocy komuś potrzebującemu, otrzymania bezpłatnego podarunku lub wygranej
  • Phishing
    • Nieprawdziwy email fałszywie sugerujący, że pochodzi z prawdziwej strony i kierujący na nieprawdziwą stronę w celu kradzieży loginów / haseł / danych dostępowych / danych personalnych
    • Fałszywa informacja mówiąca o:
      • Koniecznej weryfikacji konta
      • Wymaganej aktualizacji informacji profilowych
      • Zamknięciu lub zawieszeniu konta
  • Rozmowy telefoniczne
    • Ta metoda oferuje unikalne możliwości ataku socjotechnicznego
    • Jest to popularna i znajoma każdemu forma komunikacji
    • Atakujący nie musi się przedstawiać osobiście, a jedynie wykorzystuje głos
    • Dostępne metody podszywania się pod dowolny numer
    • Znane ataki ‘na wnuczka’, ‘na policjanta’

Człowiek – najsłabsze ogniwo

To informacje pozyskiwane pośrednio lub bezpośrednio od ludzi stanowią podstawę do skutecznego ataku. Człowiek jest najsłabszym ogniwem, to znaczy, że jest najbardziej podatny na różnego rodzaju manipulacje skutkujące ujawnieniem poufnych informacji. Takie informacje mogą pochodzić z podsłuchiwanych rozmów w restauracji, firmowej stołówce, podczas rozmowy telefonicznej w pociągu itd. Informacje mogą być również podane atakującemu wprost podczas np. bezpośredniej rozmowy telefonicznej, gdzie atakujący podszywa się pod zaufaną stronę.

Pomimo posiadania zabezpieczeń sprzętowych oraz systemowych, zagrożenie wcale nie jest niwelowane a wyciek danych wciąż możliwy. Jako jedną z przyczyn takiego stanu rzeczy można upatrywać m.in. brak motywacji wśród pracowników firm.

W celu pozyskania nieautoryzowanych informacji od użytkowników atakujący posługują się technikami:

  • Przedstawianie się jako prawowity użytkownik
    • Podawanie się jako realny użytkownik organizacji i wykorzystywanie tej roli do wydobywania informacji chronionych
  • Przedstawianie się jako wysoko postawiona osoba
    • Podawanie się za prezesa, dyrektora, wysokiego szczebla managera lub kluczowego klienta organizacji w celu uzyskania informacji poufnej lub nakłonienia do określonego działania
  • Przedstawianie się jako pomoc techniczna
    • Podawanie się jako pomoc techniczna i nakłanianie użytkownika do podania haseł dostępu lub instalacji określonego oprogramowania zdalnego dostępu
  • Prośby o wypełnienie ankiet
    • Bezpośrednie wysyłanie ankiet z pytaniami o wrażliwe dane, również wkomponowane w zbiór nieistotnych pytań dla niewzbudzania podejrzeń
  • Prośby o dostarczenie ważnych informacji w imieniu innej osoby, wysoko postawionej w organizacji
    • Kontaktowanie się z użytkownikiem, aby dostarczył istotne informacje, w imieniu kogoś wysoko postawionego w organizacji np. szefa działu finansowego lub kadr
  • Reverse Social Engineering
    • Zajęcie pozycji wysoko postawionej osoby w organizacji lub dezinformacja, że atakujący jest taką osobą co skutkuje tym, że:
      • Użytkownik bezpośrednio sam inicjuje kontakt z wysoko postawioną osobą w celu dostarczania jej informacji zgodnych z procesami w firmie, np. raportów finansowych, danych osobowych, konfiguracji systemów itd.
    • Reverse Social Engineering obejmuje
      • Sabotaż
      • Marketing
      • Dostarczenie wsparcia

Następujące techniki umożliwiają atakującemu przeprowadzenie skutecznego ataku typu Social Engineering:

  • Zastraszanie
  • Perswazja
  • Wsparcie
  • Zdobywanie sympatii

Metody pozyskiwania wrażliwych danych nie ograniczają się jedynie do bezpośredniego kontaktu atakującego ze swoim celem. Jako metody pośrednie pozyskiwania wrażliwych informacji można wymienić m.in:

  • Przechwytywanie lub nieautoryzowane podsłuchiwanie rozmów lub czytanie wiadomości
  • Przechwytywanie wiadomości tekstowych, audio lub video
  • Dumpster Diving, czyli grzebanie w śmieciach
    • Bardzo wiele cennych oraz poufnych informacji znajduje się w formie drukowanej. Grzebanie w śmieciach, np. w kontenerach na śmieci, odpadach bezpośrednio z drukowania i koszach na dokumenty jest bardzo cenną formą pozyskiwania danych, również tych wrażliwych. Żółte karteczki i notatki pozostawione na biurkach. To wszystko pozwala na pozyskanie informacji takich jak:
      • Procedury operacyjne
      • Informacje finansowe
      • Billingi telefoniczne
      • Listy z kontaktami
  • Piggybacking – to sytuacja gdy autoryzowana osoba umożliwia dostęp osobie nieautoryzowanej, np. jako przysługa (przytrzymanie drzwi, otwarcie swoją kartą bramki na podstawie informacji o rzekomo zgubionej lub zapomnianej karcie itd.)
  • Tailgating – to sytuacja, gdy nieautoryzowana osoba przechodzi przez bramki lub drzwi bezpośrednio za autoryzowaną osobą, która otwiera drzwi swoim badgem, kartą dostępową lub kodem. Osoba autoryzowana niekoniecznie musi być świadoma tego, że umożliwia dostęp za swoimi plecami jakiejś innej nieautoryzowanej osobie.

Wyrafinowane ataki Social Engineering

Atak typu Insider

Jest to rodzaj ataku socjotechnicznego, gdzie atakujący dostaje się do wewnętrznych struktur organizacji – np. zatrudnia się na określone stanowisko gdzie już od środka rozpoczyna atak – pozyskuje poufne informacje

  • Jeśli jedna firma chce dokonać zniszczeń w firmie konkurencyjnej
  • Jeśli firma chce wykraść dane poufne konkurencji
  • Firma chce pozbyć się konkurencji

W takim przypadku może zatrudnić ‘swojego intruza’, i następnie przeprowadzić skuteczny atak.

  • Większość skutecznych ataków ma miejsce za firewallem
  • Wewnętrzny atak jest łatwy do przeprowadzenia
  • Zapobieganie jest bardzo trudne
  • Wewnętrzny atak ma duże prawdopodobieństwo powodzenia
  • Sprawca jest trudny do złapania

Szpiegostwo przemysłowe

Ataki socjotechniczne, to nie tylko kradzież haseł przez telefon lub ataki z wykorzystaniem narzędzi phishingowych. Często pomija się aspekt szpiegostwa przemysłowego lub bezpieczeństwa fizycznego obiektów. Szczególnie w dużych organizacjach lub wydarzeniach, gdzie zatrudnionych jest bardzo dużo ludzi, istnieje zwiększone ryzyko wtargnięcia kogoś nieupoważnionego.

Takie nieupoważnione osoby mogą podawać się np. za serwisantów instalacji, serwis sprzątający, dostarczycieli posiłków, klientów firmy, pracowników, itp.

Również wydarzenia kulturalne czy rozrywkowe niosą ryzyko wtargnięcia nieupoważnionych osób, które nie znajdują się na oficjalnych listach gości bądź też nie posiadają biletów wejścia.

W przypadku obszarów szczególnie chronionych, powinny zostać zaimplementowane mechanizmy identyfikacji i kontroli osób oraz ich prawa dostępu.

Jaki cel może mieć atakujący:

  • Kradzież danych technologicznych
  • Kradzież informacji poufnych na temat procesów wewnętrznych firmy i jej organizacji
  • Instalację urządzeń podsłuchowych lub szpiegujących
  • Kradzież sprzętu informatycznego
  • Działania destrukcyjne infrastruktury informatycznej
  • Zakłócenie wydarzenia
  • Dostęp do strzeżonych pomieszczeń
  • Kradzież danych patentowych
  • Modyfikację systemów dostępu umożliwiając późniejszy niepowołany dostęp
  • Spowodowanie przerwy w ciągłości działania procesu biznesowego
  • Spowodowanie naruszenia reputacji
  • Uzyskanie danych przeznaczonych jedynie dla osób autoryzowanych

Kto jest najczęstszym celem w Social Engineering

  • Pracownicy wsparcia technicznego
  • Pracownicy obsługi recepcji
  • Managerowie wsparcia technicznego
  • Dostawcy usług i rozwiązań do atakowanej organizacji
  • Użytkownicy
  • Ochrona
  • Administratorzy

Jakie są cechy u podatnych osób na bycie wykorzystanym w ataku typu Social Engineering?

  • Zaufanie
    • Ludzka natura zaufania jest podstawą każdego ataku typu Social Engineering
  • Ignorancja
    • Ignorancja na potencjalne wystąpienie ataku typu Social Engineering i jego skutków w organizacji, powoduje, że firma jest łatwym celem
  • Strach
    • Inżynierowie społeczni mogą straszyć poważnymi konsekwencjami w przypadku niespełnienia ich żądań
  • Chciwość
    • Atakujący zachęcają dużymi korzyściami finansowymi w zamian za spełnienie przysługi
  • Moralny obowiązek
    • Osoby podatne są proszone o pomoc i czują moralny obowiązek aby pomóc

Fazy ataku typu Social Engineering

  • Analiza atakowanej firmy
    • Grzebanie w śmieciach
    • Analiza stron internetowych
    • Analiza profili pracowników
    • Zwiedzanie lokalizacji firmy
  • Wybór celu
    • Wytypowanie sfrustrowanego pracownika atakowanej firmy
  • Nawiązanie relacji
    • Nawiązanie relacji z wytypowanymi pracownikami
  • Wykorzystanie relacji do uzyskania zaplanowanych korzyści
    • Pozyskanie wrażliwych danych kont
    • Informacje finansowe
    • Informacje technologiczne

Jak przeciwdziałać

Metody wykrywania i zapobiegania atakom SE

Zapobieganie atakom typu Social Engineering jest trudne, ponieważ to człowiek jest tutaj najsłabszym ogniwem a jego natura sprzyja atakującemu. Nie wystarczy posiadać odpowiedni sprzęt czy też oprogramowanie. Skuteczna ochrona polega na zdefiniowaniu odpowiednich polityk wewnętrznych firmy oraz na ciągłej edukacji pracowników oraz użytkowników.

Co wskazuje na możliwość trwającego właśnie ataku typu Social Engineering:

  • Brak możliwości weryfikacji numeru zwrotnego
  • Nieformalne prośby o wykonanie określonych działań
  • Używanie argumentu autorytetu
  • Naciski z powodu pośpiechu
  • Komplementy lub pochwały
  • Okazywanie dyskomfortu podczas zadawania pytań weryfikacyjnych
  • Przejęzyczenie imion lub nazwisk
  • Straszenie konsekwencjami

Aby była możliwa skuteczna obrona przed atakami socjotechnicznymi, organizacja powinna:

  • Stworzyć strukturę, polityki i procedury zarządzania bezpieczeństwem informacji
    • Polityki są krytycznym komponentem każdego programu bezpieczeństwa informacji
    • Nawet najlepsze polityki i procedury będą nieefektywne, jeśli nie będą rozumiane i respektowane przez użytkowników
    • Użytkownicy powinni być bardziej doceniani
    • Po odbyciu szkoleń ze świadomości zagrożeń, użytkownicy powinni oświadczyć na piśmie, że mają świadomość i rozumieją zagrożenia
  • Przeprowadzać analizy ryzyka i wdrożyć proces zarządzania ryzykiem
  • Wdrożyć mechanizmy i techniki obrony przed inżynierią socjalną, w ramach swoich polityk i procedur bezpieczeństwa

Przykładowe polityki bezpieczeństwa jakie mogą zostać utworzone:

Następujące mechanizmy i techniki mogą zostać wdrożone w celu zapobiegania atakom typu SE:

Organizacje powinny w szczególności wdrożyć:

  • Szkolenia pracowników
    • Skuteczny program szkoleń powinien zawierać wszystkie polityki bezpieczeństwa oraz metody zwiększenia świadomości na temat ataków socjotechnicznych
  • Polityki haseł
  • Wytyczne operacyjne
  • Polityki bezpieczeństwa fizycznego
  • Klasyfikacja informacji
  • Prawa dostępu
  • Sprawdzenie historii pracownika przed zatrudnieniem oraz polityki rozwiązywania umowy
  • Proces reagowania na incydenty typu Social Engineering
  • Proces zarządzania ryzykiem dostawców usług

Podsumowanie

’Zbyt skuteczne’ zabezpieczenie to też luka w zabezpieczeniach

Należy mieć świadomość, że jednym z czynników bezpieczeństwa informacji jest jej dostępność. Jeśli informacja lub system przestaną być dostępne, gdy to konieczne, to stworzone zostanie fałszywe poczucie bezpieczeństwa a tak na prawdę zagrożone bezpieczeństwo poprzez brak dostępności. Sam doświadczyłem tego na własnej skórze, kiedy to pomimo wszelkich upoważnień nie zostałem wpuszczony przez ochronę do chronionego obiektu w czasie awarii systemów bezpieczeństwa. Zostałem niesłusznie potraktowany jako osoba nieupoważniona. Ochrona nie dopełniła swoich obowiązków. Skutek – wydłużony przestój w działaniu firmy.

Przykłady skutecznych ataków

Opisując metody ataków typu Social Engineering, wydawać by mogło się, że to tylko fikcja fabularna, że takie zjawisko jest albo bardzo rzadkie albo w ogóle nie występuje. Nic bardziej mylnego. Sam osobiście w trakcie mojej wieloletniej kariery spotkałem się z sytuacjami, które nawet w teorii wydają się nie do zaakceptowania. W jednej z placówek dużego banku zostałem wprost poproszony o podanie mojego loginu i hasła do bankowości internetowej. Innym razem ten sam bank, rozmowa telefoniczna i pytanie o moje hasło. Oczywiście stanowczo odmówiłem w obydwu przypadkach.

Również pracując dla wielu organizacji zostałem raz poproszony przez pracownika o podanie mojego hasła dostępu. Odmówiłem oczywiście.

Takie sytuacje zdarzają się na co dzień i jeśli nie będziemy bardzo wyczuleni na nie oraz nie będziemy mieli procedur, którymi można się podeprzeć, będzie to skutkowało występowaniem przykrych incydentów i ich negatywnymi skutkami dla organizacji.

Ale takie sytuacje nie dotyczą wyłącznie pracowników firm. Mamy z nimi do czynienia także w sferze publicznej i zdarzają się one bardzo często:

  • Ataki na wnuczka
  • Ataki na policjanta
  • Spoofing telefoniczny – zarówno SMS jak i połączenia głosowe
  • Telefony rzekomo od wsparcia technicznego banków
  • Incydenty z fałszywymi telefonami do:
    • Prezydenta RP
    • Księcia Harry’ego
    • Eltona Johna
    • Berniego Sandersa
    • Recepa Tayyip Erdogana
    • Jean Claude’a Junckera
    • Borisa Johnsona
  • Oszustwa na Amerykańskiego żołnierza
  • Oszustwa nigeryjskie

Te i inne ataki oraz oszustwa socjotechniczne były i będą się pojawiać a wraz z nimi coraz to nowsze warianty. Rozwój technologii sprzyja powstawaniu coraz to nowszych odmian ataków z użyciem technologii. Już teraz pojawiają się próby eksperymentowania (skuteczne) z podszywaniem się pod wizerunek dzięki technologii DeepFake.

Rozwój technologiczny wcale nie oznacza, że klasyczne metody ataku przeszły do lamusa. Dalej aktualne są i będą próby fizycznego wtargnięcia do zabezpieczonej infrastruktury w przebraniu lub podając się za kogoś kim się nie jest.

Odpowiednio wdrożone procedury oraz edukacja są fundamentalne w walce z tego typu zjawiskami.

Jeśli spodobał Ci się ten artykuł, zapisz się na mój newsletter, a będziesz w przyszłości informowany o ciekawych inicjatywach z obszaru cyberbezpieczeństwa. Możesz także śledzić profil CyberWiedza na Facebooku oraz LinkedIn.

5 1 vote
Ocena artykułu
Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments
0
Zależy mi na Twojej opinii poniżej 😀x