„Socjotechnika (social engineering) w kontekście informatyki – stosowanie środków psychologicznych i metod manipulacji mających na celu przekazanie lub wyłudzenie określonych informacji, bądź nakłonienie do realizacji określonych działań.” Wikipedia
Jak może przebiegać atak socjotechniczny?
Telefon na biurku dzwonił już szósty raz tego dnia. Mariusz bardzo niechętnie podniósł słuchawkę, tylko po to, aby usłyszeć wyraźnie znudzony głos swojego rozmówcy:
– Dzień dobry, nazywam się Adam Nowak, dzwonię z firmy SuperTelco. Chciałbym umówić technika celem zbadania przepustowości łącza w Państwa firmie. Mieliśmy zgłoszenie o numerze CRT 2019/098542M, dotyczące wolno działającego Internetu w Państwa lokalizacji.
Mariusz pracował w nowej firmie jako administrator zaledwie od tygodnia, a jego poprzednik nie pozostawił mu zbyt wielu wskazówek. Zawahał się, ale po chwili przypomniał sobie, że temat „powolnego ładowania się stron www” rzeczywiście był ostatnio poruszany podczas rozmów na korytarzu.
– Czy ma Pan może imię i nazwisko osoby, która dokonała zgłoszenia? – zapytał z nadzieją, że jednak będzie mógł w jakiś sposób odwlec, lub choćby opóźnić wizytę technika i dodatkowe, nieplanowane, obowiązki.
Niestety, głos po drugiej stronie linii wymienił imię i nazwisko jego poprzednika. Mariusz umówił więc wizytę technika na kolejną środę.
Wizyta przebiegła dokładnie tak, jak nasz administrator zapamiętał z dziesiątek poprzednich spotkań z technikami firm telekomunikacyjnych. Padło kilka zrozumiałych tylko dla fachowców żartów które były śmieszne jedynie w środowisku osób „technicznych”, wypili wspólną kawę, po czym technik zamontował jakieś nieduże urządzenie na jednym z portów ethernetowych routera w serwerowni.
Wygląd podłużnego pudełka nie wzbudził podejrzeń Mariusza, sam technik natomiast zrobił na nim wrażenie bardzo miłego profesjonalisty.
Uzgodnili, że potrzebne jest więcej danych z dłuższego okresu, aby ustalić przyczynę „powolnego internetu” (obaj uśmiechnęli się porozumiewawczo, używając tego określenia), czemu miało służyć zamontowanie urządzenia. Zresztą obie diody na porcie ethernetowym migały już miarowo w rytm odbieranych pakietów danych. Po mniej więcej pół godzinie technik pożegnał się i odprowadzony przez Mariusza opuścił budynek firmy.
Gdzieś po drugiej stronie miasta człowiek przed ekranem laptopa uśmiechnął się zadowolony z efektów pracy swojego wspólnika, który właśnie zamontował urządzenie pozwalające na zdalny dostęp do sieci i podsłuchiwanie całego ruchu sieciowego w serwerowni pewnej firmy z branży ubezpieczeń. Interfejs zamontowanego w serwerowni urządzenia działał bez zarzutu. W konsoli zaczęły się już pojawiać pierwsze wyfiltrowane dane użytkowników służące do logowania do systemów wewnętrznych zaatakowanej firmy. Komunikacja nie była szyfrowana: większość firm nie szyfruje komunikacji w wewnętrznym intranecie, wychodząc z założenia, że jest to bezpieczna dla użytkowników strefa.
Dość szybko miało się okazać, jakie konsekwencje może mieć dla firmy takie niefrasobliwe podejście.
Dostęp do systemu działu rozliczeń pozwolił na zamianę większości numerów kont bankowych kontrahentów firmy na numery kont oszustów. Gdy pracownicy działu księgowego zorientowali się, że przelewy zostały wysłane na niewłaściwe konta, ponad sześćdziesiąt procent wyprowadzonych z firmy środków zdążyło już zniknąć.
Oprócz strat finansowych – kolejni kontrahenci zaczęli wysyłać ponaglenia do zapłaty nieopłaconych w terminie faktur – firma poniosła także ogromne koszty wizerunkowe.
Atak socjotechniczny nie musi być skomplikowany
Zastanówmy się przez chwilę, co jest niezbędne do przeprowadzenia takiego ataku.
Dane personalne poprzedniego administratora udało się pozyskać z popularnego portalu LinkedIn. Informacje udostępniane przez użytkowników na tym portalu obejmują daty zatrudnienia w danej firmie, wraz z zajmowanym w tym okresie stanowiskiem.
Nazwę firmy świadczącej usługi telekomunikacyjne dla „ofiary ataku”, dzwoniąc w dość krótkich odstępach czasu z fikcyjnymi ofertami popularnych firm z tego sektora. Po trzecim telefonie przemiła Pani zajmująca się umowami oznajmiła, że jest bardzo zadowolona z dotychczasowych usług firmy … tu padła nazwa… i nie interesuje jej żadna dodatkowa oferta.
Ubranie oraz legitymacja technika firmy telekomunikacyjnej zostały wykonane na zamówienie – ani w firmie poligraficznej, ani w punkcie świadczącym usługi wykonywania nadruków nie zadawano żadnych pytań.
Urządzenie zainstalowane w serwerowni przez fikcyjnego technika to tak zwany „LAN Turtle”. Każdy może zamówić taki gadżet za sumę około 90 dolarów amerykańskich. Urządzenie ma możliwość przechwytywania ruchu sieciowego w ramach sieci LAN, w której zostało zainstalowane.
Jak można zauważyć, nakład pracy potrzebny do przygotowania tak prostego, a zarazem niezwykle skutecznego ataku, nie jest zbyt duży. Natomiast skutki dla firmy, która padła jego ofiarą, mogą być niszczące, ponieważ w wyniku ataku wszystkie dane klientów oraz loginy i hasła pracowników trafiają w ręce włamywaczy.
Atak socjotechniczny na firmę lub organizację to atak psychologiczny, wykorzystujący naturalną skłonności ludzi do ufania innym. Atakujący podszywa się pod osobę, która budzi zaufanie, aby sprowokować pracownika do wykonania konkretnych działań lub ujawnienia danych. Nie muszą to być dane poufne, takie jak loginy i hasła, które rzadko są bezpośrednim celem atakującego. Mogą to być inne dane: nazwisko kierownika, czy nazwa kontrahenta, który świadczy usługi. Zdobywając z pozoru nieistotne informacje, atakujący może w następnym kroku łatwo uwiarygodnić się podczas kontaktów z innymi pracownikami firmy członkami organizacji. W ten sposób niegroźne z pozoru wycieki podstawowych informacji stają się środkiem do osiągnięcia właściwego celu, jakim jest przejęcie danych wrażliwych.
Jeśli chcesz przeprowadzić kontrolowany atak socjotechniczny w Twojej firmie skontaktuj się z nami.
Jak się bronić przed atakiem socjotechnicznym?
Inżynieria społeczna, inżynieria socjalna, socjotechnika to w kontekście bezpieczeństwa danych zestaw metod i technik manipulacji mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę. Hakerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie inne formy ataku. Wykorzystują przy tym najsłabszy punkt systemu bezpieczeństwa, którym jest człowiek.
Sposobem na skuteczną obronę przed takim atakiem jest podnoszenie świadomości pracowników oraz wypracowanie szczelnych procedur obiegu informacji. Firma dbająca o bezpieczeństwo danych swoich oraz swoich klientów powinna ustawicznie wdrażać, audytować oraz usprawniać procedury uniemożliwiające tego typu incydenty.
Pamiętajmy, że dbanie o bezpieczeństwo danych wymaga stałego wysiłku i profesjonalnej wiedzy.
Więcej o naszej ofercie testów socjotechnicznych, audytu procedur i zabezpieczeń.
Autorem artykułu jest Dominik Lewandowski, Koordynator testów penetracyjnych w Soflab Technology.
Fotografia Taskin Ashiq/ Unplash
