Socjotechnika, czyli włamanie do naszych emocji
Socjotechnika czyli inżynieria społeczna w informatyce oznacza manipulację psychologiczną nakłaniającą użytkowników do popełnienia błędów bezpieczeństwa lub ujawnienia poufnych informacji. Oszuści i naciągacze od niepamiętnych czasów wykorzystywali ją, aby skłonić ofiary do działania wbrew ich rozsądkowi, by kogoś okraść lub oszukać. Obecnie dzięki internetowi przestępcy mają dostęp do zupełnie nowego świata nadużyć i skali potencjalnych celów.
- Oszustwa socjotechniczne opierają się na znajomości sposobu myślenia i działania ludzi. Służą do manipulowania ich zachowaniem. Gdy atakujący zrozumie, co motywuje działania użytkownika, może skutecznie kierować jego zachowaniem, a następnie oszukać - mówi Krzysztof Dyki, ekspert ds. cyberbezpieczeństwa ComCERT (Grupa Asseco). To, co sprawia, że inżynieria społeczna jest szczególnie niebezpieczna, to fakt, że opiera się ona na błędach ludzkich, a nie lukach w oprogramowaniu. Niewłaściwe zachowania i pomyłki dokonywane przez użytkowników są znacznie mniej przewidywalne i trudniejsze do powstrzymania niż włamania do systemów czy oprogramowania. Mogą stanowić jedno z największych zagrożeń dla bezpieczeństwa organizacji.
- Jeśli cyberprzestępcy wykorzystują złośliwe oprogramowanie i wirusy do włamywania się do naszych komputerów, to socjotechnika włamuje się do naszych umysłów i emocji. Osoby atakujące w ten sposób mają jeden z dwóch celów: sabotaż czyli zakłócanie lub uszkadzanie danych w celu spowodowania szkód lub niedogodności lub kradzież czyli uzyskiwanie wartościowych aktywów, takich jak informacje, dostęp do systemów lub pieniądze - dodaje Krzysztof Dyki z ComCERT (Grupa Asseco).
Sprawca najpierw bada wybraną ofiarę lub ofiary, aby zebrać niezbędne informacje, takie jak potencjalne punkty wejścia do systemu czy miejsca słabych zabezpieczeń. Następnie podejmuje działania, aby zdobyć zaufanie ofiary i nakłonić do czynności, które naruszają praktyki bezpieczeństwa, takie jak ujawnienie poufnych informacji, zmiana konfiguracji urządzenia lub udzielenie dostępu do ważnych miejsc. Takie działania są sprzeczne z logiką i przeczą zdrowemu rozsądkowi. Jednak manipulując naszymi emocjami - zarówno dobrymi, jak i złymi - takimi jak gniew, strach, miłość czy chęć posiadania, oszuści mogą sprawić, że przestaniemy myśleć racjonalnie i zaczniemy działać pod wpływem impulsu, bez względu na ryzyko.
Dla osób odpowiedzialnych za bezpieczeństwo błędy popełniane przez legalnych użytkowników, w odróżnieniu od włamań opartych na złośliwym oprogramowaniu, są znacznie mniej przewidywalne. Trudniej więc je zidentyfikować i zapobiegać ich popełnianiu.
- Większość ataków socjotechnicznych opiera się na rzeczywistej i bezpośredniej komunikacji między atakującymi a ofiarami. Atakujący stara się motywować użytkownika do wykonania określonych działań oraz naruszenia zasad bezpieczeństwa. Atak może odbywać się w jednym e-mailu lub w ciągu kilku miesięcy w serii czatów w mediach społecznościowych. Może to być też interakcja bezpośrednia - przykładowo kontakt online lub rozmowa telefoniczna - wskazuje Krzysztof Dyki.
Celem zawsze jest skłonienie ofiary do podjęcia określonego działania, na przykład udostępnienia informacji lub zainstalowania czego na urządzeniu. Atakujący często podszywają się pod pracowników wsparcia IT, przechwytują prywatne dane — takie jak imię i nazwisko, data urodzenia lub adres oraz dane logowania. Od tego momentu mogą zresetować hasła i uzyskać szeroki dostęp do danych. Mogą kraść pieniądze, rozpowszechniać złośliwe oprogramowanie socjotechniczne lub wykonywać elektronicznie inne czynności w imieniu użytkownika np. zrobić zakupy w internecie i zapłacić kartą lub przesłać kompromitujące treści.
Sugerowanie (scareware)
To technika bombardowania ofiar fałszywymi alarmami i fikcyjnymi groźbami. Użytkownicy są oszukiwani, myśląc, że ich system jest zainfekowany złośliwym oprogramowaniem, co skłania ich do zainstalowania oprogramowania, które nie rozwiązuje problemu, a przynosi korzyści jedynie sprawcy lub samo w sobie jest złośliwym oprogramowaniem. Typowym przykładem scareware są legalnie wyglądające banery reklamowe pojawiające się w przeglądarce internegowej, wyświetlające tekst typu "Twój komputer może być zainfekowany szkodliwymi programami szpiegującymi". Scareware może oferować również zainstalowanie złośliwego oprogramowania. Może również przekierować do złośliwej witryny, na której komputer zostanie faktycznie zainfekowany.
Pretekst
W tym przypadku atakujący uzyskuje informacje poprzez serię sprytnie spreparowanych kłamstw. Oszustwo jest często inicjowane przez sprawcę, który udaje, że potrzebuje od ofiary poufnych informacji, aby wykonać pilne i bardzo ważną czynność. Atakujący zwykle zaczyna od zdobycia zaufania ofiary, podszywając się pod współpracowników, policję, urzędników bankowych i podatkowych lub inne osoby, które mają prawo do posiadania określonej wiedzy. Atakujący zadaje pytania, które są rzekomo wymagane do potwierdzenia tożsamości ofiary, dzięki czemu zbiera ważne dane. Za pomocą tego oszustwa gromadzone są wszelkiego rodzaju istotne informacje, takie jak numery ubezpieczenia społecznego, adresy osobiste i numery telefonów, rejestry telefonów, daty urlopów pracowników, rejestry bankowe, a nawet informacje dotyczące bezpieczeństwa związane z miejscem pracy.
Phishing
Jeden z najpopularniejszych rodzajów ataków socjotechnicznych. Oszustwa phishingowe to kampanie e-mailowe i SMS-owe mające na celu wywołanie u ofiar poczucia pilności, ciekawości lub strachu. Następnie zachęca się ofiary do ujawniania poufnych informacji, klikania linków do złośliwych stron internetowych lub otwierania załączników zawierających złośliwe oprogramowanie. Przykładem jest wiadomość e-mail wysłana do użytkowników usługi elektronicznej, która ostrzega ich o naruszeniu zasad bezpieczeństwa, co wymaga natychmiastowego działania z ich strony, na przykład zmiany hasła. Atakujący przedstawia łącze do nielegalnej witryny (graficznie bardzo podobnej lub identycznej z jej legalną wersją), które zachęca ofiarę do wprowadzenia swoich aktualnych danych uwierzytelniających i nowego hasła.
Spear phishing
To bardziej ukierunkowana wersja oszustwa phishingowego, w ramach której atakujący wybiera określone osoby lub przedsiębiorstwa. Następnie dostosowuje swoje wiadomości w oparciu o cechy charakterystyczne, stanowiska pracy, potrzeby, kontrakty i kontakty należące do swoich ofiar, aby ich atak był bardziej skuteczny i trudny do wykrycia. Spear phishing wymaga znacznie większego wysiłku ze strony sprawcy. Przygotowanie do ataku i sam atak mogą zająć tygodnie lub nawet miesiące. Jeżeli ta kategoria ataku jest wykonana profesjonalnie to fakt ataku jest trudniejszy do wykrycia i posiada wyższą skuteczność. Scenariusz spear phishingu może obejmować atakującego, który podszywając się pod konsultanta IT organizacji, wysyła wiadomość e-mail do jednego lub większej liczby pracowników. Wiadomość jest sformułowana i podpisana dokładnie tak, jak zwykle robi to konsultant. W ten sposób oszukuje się odbiorców wiadomości, którzy wierzą, że wiadomość jest autentyczna.
1. Bądź ostrożny, gdy poczujesz niepewność wobec wiadomości e-mail, oferty wyświetlanej na stronie internetowej lub gdy natkniesz się na darmowe wersje płatnych gier lub programów.
2. Nie spiesz się. Atakujący chcą, abyś najpierw zareagował a później pomyślał. Jeśli przekaz niesie ze sobą poczucie pilności lub stosuje taktykę sprzedaży pod presją, bądź sceptyczny. Nie pozwól, aby pilność wiadomości wpłynęła na twoją dokładną analizę.
3. Włącz filtr spamu. Ataki odbywają się często za pośrednictwem poczty e-mail, więc najłatwiejszym sposobem ochrony przed tym jest zablokowanie przedostawania się spamu do skrzynki odbiorczej. Prawidłowe wiadomości e-mail czasami trafiają do folderu ze spamem, ale możesz temu zapobiec w przyszłości, oznaczając je jako "nie spam" i dodając legalnych nadawców do listy kontaktów.
4. Usuń wszelkie prośby o informacje finansowe lub hasła. Jeśli zostaniesz poproszony o odpowiedź na wiadomość z danymi osobowymi, to jest to oszustwo.
5. W wiadomościach e-mail i sms zwracaj uwagę na linki, które mają nietypowe adresy URL oraz uważaj na adresy, które nie pasują do domeny firmy, którą rzekomo reprezentuje nadawca.
6. Uważaj na pobieranie jakichkolwiek zasobów. Jeśli nie znasz nadawcy osobiście i nie oczekujesz od niego pliku, pobieranie czegokolwiek może stanowić bezpośrednie zagrożenie.
7. Jeżeli wiadomość zawiera literówki, złą gramatykę i nietypową składnię być może została automatycznie przetłumaczona i stanowi element ataku.
8. Nie otwieraj e-maili i załączników z podejrzanych źródeł - jeśli nie znasz nadawcy, nie musisz odpowiadać na wiadomość.
9. Pamiętaj, że adresy e-mail nadawcy są często fałszowane. Wiadomość e-mail rzekomo pochodząca z zaufanego źródła mogła zostać zainicjowana przez atakującego, który podmienił dane nadawcy.
10. Oferty zagraniczne są najczęściej fałszywe. Jeśli otrzymasz wiadomość z zagranicznej loterii, pieniądze od nieznanego krewnego lub prośby o przekazanie środków z obcego kraju za część pieniędzy - to jest to oszustwo.
11. Używaj uwierzytelniania wieloskładnikowego — jedną z najcenniejszych informacji, których szukają atakujący są loginy i hasła użytkownika. Korzystanie z uwierzytelniania wieloskładnikowego zwiększa ochronę konta w przypadku próby włamania.
12. Uważaj na kuszące oferty — jeśli oferta brzmi zbyt korzystnie, zastanów się dwa razy, zanim z niej skorzystasz. Sprawdzenie informacji w internecie może wyjaśnić, czy masz do czynienia z legalną ofertą, czy pułapką. W szczególności uważaj na oferty z serwisów, które nie podają fizycznych adresów swoich siedzib oraz numerów telefonów.
13. Aktualizuj oprogramowanie antywirusowe — upewnij się, że włączone są automatyczne aktualizacje sygnatur oraz systemu operacyjnego. Okresowo sprawdzaj, czy aktualizacje zostały zainstalowane i skanuj system oprogramowaniem antywirusowym w poszukiwaniu możliwych infekcji oraz podejrzanych plików.
14. Regularnie twórz kopie zapasowe najważniejszych danych. Jeśli padniesz ofiarą ataku socjotechnicznego, w którym cały dysk twardy został uszkodzony lub zaszyfrowany, niezbędne będzie posiadanie kopii zapasowej na zewnętrznym nośniku lub w chmurze.