czerwona klawiatura symbolizująca testy socjotechniczne

Czy Twoja organizacja jest gotowa na atak socjotechniczny?

 

Jak przebiega atak socjotechniczny?

Telefon na biurku dzwonił już szósty raz tego dnia. Mariusz bardzo niechętnie podniósł słuchawkę, tylko po to, aby usłyszeć wyraźnie znudzony głos swojego rozmówcy:

– Dzień dobry, nazywam się Adam Nowak, dzwonię z firmy SuperTelco. Chciałbym umówić technika celem zbadania przepustowości łącza w Państwa firmie. Mieliśmy zgłoszenie o numerze CRT 2019/098542M, dotyczące wolno działającego Internetu w Państwa lokalizacji.

Mariusz pracował w nowej firmie jako administrator zaledwie od tygodnia, jego poprzednik odszedł do innej organizacji, nie zostawiając swojemu następcy zbyt wielu informacji. Zawahał się, ale po chwili przypomniał sobie, że temat „powolnego ładowania się stron www” był poruszany przez kilka osób na korytarzu.

– Czy ma Pan może imię i nazwisko osoby, która robiła zgłoszenie? – zapytał z nadzieją, że jednak będzie mógł w jakiś sposób odwlec, lub choćby opóźnić wizytę technika i dodatkowe obowiązki związane z nieplanowanym zgłoszeniem.

Niestety głos po drugiej stronie linii nieubłaganie wymienił imię i nazwisko jego poprzednika jako osoby zgłaszającej. Mariusz z ciężkim westchnieniem umówił się na wizytę w kolejną środę.

Wizyta przebiegła dokładnie tak jak nasz administrator zapamiętał z dziesiątek poprzednich spotkań z technikami firm telekomunikacyjnych. Padło kilka żartów, które były śmieszne jedynie w środowisku osób „technicznych”, wypili wspólną kawę, po czym technik zamontował jakieś nieduże urządzenie na jednym z portów ethernetowych routera w serwerowni.

Wygląd podłużnego pudełka nie wzbudził w żaden sposób podejrzeń Mariusza, sam technik natomiast zrobił na nim wrażenie bardzo miłego profesjonalisty.

Uzgodnili, że potrzebne jest więcej danych z dłuższego okresu, aby ustalić przyczynę „powolnego internetu” (obaj uśmiechnęli się porozumiewawczo, używając tego określenia) i zamontowane urządzenie miało ten proces umożliwić. Zresztą obie diody na porcie ethernetowym migały już miarowo w rytm odbieranych pakietów danych.  Po mniej więcej pół godzinie technik pożegnał się i odprowadzony przez Mariusza opuścił budynek firmy.

Gdzieś po drugiej stronie miasta człowiek przed ekranem laptopa uśmiechnął się zadowolony z efektów pracy swojego wspólnika, który właśnie zamontował urządzenie pozwalające na zdalny dostęp do sieci i podsłuchiwanie całego ruchu sieciowego w serwerowni pewnej firmy z branży ubezpieczeń. Interfejs zamontowanego w serwerowni urządzenia działał bez zarzutów. W konsoli zaczęły się już pojawiać pierwsze wyfiltrowane dane logowania użytkowników do systemów wewnętrznych zaatakowanej firmy. Komunikacja była nieszyfrowana, zresztą to akurat nie wydawało się w żaden sposób dziwne lub zaskakujące. Większość firm nie szyfruje komunikacji w wewnętrznym intranecie, wychodząc z założenia, że jest to bezpieczna dla użytkowników strefa.

Dość szybko miało się okazać jakie konsekwencje może mieć dla firmy takie niefrasobliwe podejście.

Dostęp do systemu działu rozliczeń pozwolił na podmianę większości rachunków bankowych kontrahentów firmy na zawczasu przygotowane rachunki złodziei. Gdy pracownicy działu księgowego zorientowali się, że przelewy zostały wysłane na niewłaściwe konta, ponad sześćdziesiąt procent środków zostało wypłaconych przez opłaconych „współpracowników” rabusiów.

Oprócz straty czysto finansowej firma poniosła także poważny uszczerbek wizerunkowy, gdy kolejni kontrahenci zaczęli wysyłać ponaglenia do zapłaty nieopłaconych w terminie faktur.

Atak socjotechniczny nie musi być skomplikowany

Zastanówmy się przez chwilę nad elementami niezbędnymi do wykonania powyższego ataku.

Niezbędne informacje na temat imienia i nazwiska poprzednika Mariusza udało się pozyskać z popularnego portalu LinkedIn. Informacje udostępniane przez użytkowników na tym portalu obejmują daty zatrudnienia w danej firmie wraz z zajmowanym w tym okresie stanowiskiem.

Nazwę firmy świadczącej usługi telekomunikacyjne dla „ofiary ataku” udało się uzyskać, dzwoniąc w dość krótkich odstępach czasu z fikcyjnymi ofertami popularnych firm tego sektora. Po trzecim telefonie przemiła Pani zajmująca się umowami oznajmiła, że jest bardzo zadowolona z dotychczasowych usług, ale nie interesuje jej żadna dodatkowa oferta.

Ubranie oraz legitymacja technika firmy telekomunikacyjnej zostały wykonane na zamówienie, jednak ani firma poligraficzna, ani też sklep świadczący usługi wykonywania nadruków na koszulkach nie zadawał żadnych dodatkowych pytań.

Urządzenie zainstalowane w serwerowni przez fikcyjnego technika to tak zwany „LAN Turtle”. Każdy może zamówić taki gadżet za sumę około 90 dolarów amerykańskich. Urządzenie ma możliwość przechwytywania ruchu sieciowego w ramach sieci LAN, w której zostało zainstalowane.

Koszty oraz czas poświęcony na wykonanie tak prostego, a zarazem niezwykle skutecznego ataku jak możemy zauważyć, nie są zbyt wygórowane. Skutki natomiast dla organizacji, która padła jego ofiarą, są bardzo trudne do przewidzenia. Z całą pewnością wszystkie dane klientów oraz loginy i hasła pracowników stają się w wyniku ataku socjotechnicznego własnością włamywaczy.

Jeśli chcesz przeprowadzić kontrolowany atak socjotechniczny, aby sprawdzić przestrzeganie procedur bezpieczeństwa oraz poziom świadomości bezpieczeństwa informacji w Twojej firmie skontaktuj się z nami.

Jak się bronić przed atakiem socjotechnicznym?

Inżynieria społeczna, inżynieria socjalna, socjotechnika to w bezpieczeństwie teleinformatycznym zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę. Hakerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku. Wykorzystują przy tym najsłabszy punkt systemu bezpieczeństwa, którym jest człowiek.

Atak socjotechniczny na firmę lub organizację to atak psychologiczny, którego celem jest wykorzystanie naturalnej skłonności ludzi do ufania innym. Atakujący przyjmuje alter ego, które budzi zaufanie, aby nakłonić daną osobę do wykonania działań lub ujawnienia danych. Mogą być to dane poufne, które rzadko są końcowym celem atakującego, jak loginy i hasła. Mogą być to jednak inne dane, takie jak: nazwisko kierownika, czy nazwa kontrahenta, który świadczy usługi, które są środkiem do osiągnięcia właściwego celu. Jest to szczególnie niebezpieczne, bo zdobywając z pozoru nieistotne informacje, atakujący może łatwo się uwiarygodnić w kontaktach z osobami, z którymi ma kontakt w organizacji.

Dlatego firma dbająca o bezpieczeństwo danych swoich oraz swoich klientów powinna ustawicznie wdrażać, testować oraz usprawniać procedury i kontrole uniemożliwiające tego typu incydenty.

Pamiętajmy, że bezpieczeństwo to nieustanny proces, a pomysłowość przestępców jest ograniczona wyłącznie posiadanym czasem i środkami technicznymi.

Więcej o naszej ofercie testów socjotechnicznych, testów procedur i zabezpieczeń fizycznych.

Autorem artykułu jest Dominik Lewandowski, Kkoordynator testów penetracyjnych w Soflab Technology. 

Fotografia Taskin Ashiq/ Unplash