Cyberzagrożenia zazwyczaj kojarzą nam się ze skomplikowanymi atakami hakerskimi wykorzystującymi DDoS, ransomware, luki w zabezpieczeniach i oprogramowaniu. Przestępcy mają na celu włamywanie się do kont bankowych, wykradanie wrażliwych danych z instytucji zaufania publicznego i sprzedawanie ich w darknecie. Jednak, jest obszar, który wykracza poza infrastruktury sieciowe czy bazy danych i sięga przede wszystkim do ludzkich słabości. W tym artykule zastanowimy się nad tym, czym jest inżynieria społeczna.
Na czym polega inżynieria społeczna?
Prawdopodobnie każdy z nas był zachęcany do zakupu produktów lub usług, których nie potrzebuje, np. poprzez spam, niechciane newslettery czy telefony z firm fotowoltaicznych. Przy pomocy technik manipulacji próbowano na nas wpłynąć, aby zmotywować nas do wykonania pożądanej przez drugą stronę czynności. W takich sytuacjach raczej jesteśmy w stanie odmówić lub zbyć daną propozycję albo chroni nas odpowiednie oprogramowanie. Sprawa komplikuje się, gdy trafimy na osobę doskonale znającą techniki manipulacyjne w tym sposoby na wzbudzenie zaufania, której celem jest pozyskanie wiedzy, wprowadzenie zamieszania i chaosu w organizacjach, a nawet w społeczeństwach.
Z powyższego wynika, że w przeciwieństwie do ataków wymierzonych bezpośrednio w systemy informatyczne inżynieria społeczna wykorzystuje środki psychologiczne oraz manipulacyjne, których celem jest skłonienie ludzi do ujawnienia poufnych informacji lub podjęcia określonych działań. Ofiary przestępców wykorzystujących inżynierię społeczną narażają siebie samych i organizacje na ryzyko.
Techniki inżynierii społecznej
Na przestrzeni lat cyberprzestępcy wypracowali różnorodne techniki inżynierii społecznej, aby oszukiwać ofiary i nakłaniać do wykonywania ryzykownych zachowań. Opiszemy je wraz z przykładami.
Dobrze znany phishing
Pierwsza metoda to najpopularniejsza forma oszustwa. Wykorzystuje ona treści wprowadzające w błąd w formie fałszywych e-maili lub SMS, które wyglądają na wiarygodne, pochodzące z zaufanych źródeł. Zawierają złośliwe linki i naśladują autentyczne wiadomości od znanych firm lub instytucji. Celem atakujących jest wyłudzenie informacji, takich jak hasła, numery kart kredytowych, a w kontekście korporacyjnym chodzi o uprawnienia dostępowe, wrażliwe informacje, kody dostępu, itp.
Spear phishing – ataki ukierunkowane
Podobne do powyższego, natomiast jest to atak ukierunkowany na konkretną osobę lub organizację. Wcześniej przestępca profiluje swoją ofiarę, aby stworzyć bardziej wiarygodną wiadomość phishingową. Atakujący zbiera informacje o miejscu pracy, kontaktach czy zakresie obowiązków danej osoby.
Uważaj, to jest przynęta
Baiting, czyli wyłudzanie poufnych informacji za pomocą „przynęty” to technika, która oferuje coś atrakcyjnego często za darmo. Przykładem mogą być pliki, muzyka czy filmy niestety zainfekowane złośliwym oprogramowaniem. Pewnie też nie raz widzieliśmy banner reklamowy, który proponuje nam niesamowitą i niepowtarzalną okazję, np. wygranie najnowszego iPhona za pomocą jednego kliknięcia. Jeśli coś wydaje się zbyt idealne, może to być oszustwo.
Quid pro quo – nadużywanie zasady wzajemności
W dosłownym tłumaczeniu „quid pro quo” oznacza „coś za coś”. Ta metoda odnosi się do sytuacji, w której atakujący oferuje coś wartościowego w zamian za pewne informacje lub nakłania do konkretnego działania. Przykładem może być sytuacja, gdy cyberprzestępca proponuje ofierze darmowy prezent lub zniżkę w zamian za podanie adresu e-mail lub numer telefonu. „Podarunkiem” mogą też być pliki, które po pobraniu zainfekują komputer złośliwym oprogramowaniem.
Pretexting – nie wszystko jest takie, jakie się wydaje
Cyberprzestępca tworzy fikcyjną historię lub sytuację (pretekst), aby uzyskać dostęp do pożądanych informacji lub nakłonić do pewnej czynności. Może stwarzać wrażenie pilności lub wywierać presję na swojego odbiorcę. Przykładami są być ataki vishingowe, czyli phishing przez telefon. Oszust podszywa się pod pracownika banku i wmawia nam, że włamano się na nasze konto. W mediach niedawno mogliśmy czytać o pracowniku działu finansowego firmy z Hongkongu, który stał się ofiarą oszustwa na „rozmowę z szefem”. Osoba ta uczestniczyła w wideo rozmowie z dyrektorem finansowym i według przekazanych instrukcji dokonała przelewów w wysokości 200 mln dol. hongkońskich (ponad 100 mln zł) na różne konta. W efekcie okazało się, że przestępcy wykorzystali technologię deepfake to stworzenia cyfrowego odpowiednika prawdziwego szefa działu finansowego.
Ktoś ci siedzi na ogonie
Istnieje metoda inżynierii społecznej, która zmusza oszusta do fizycznego wyjścia ze swojej bezpieczniej strefy, ale nie zniechęca go to – nadal będzie próbował uzyskać korzyść. Mowa tu o tailgatingu (siedzenie na ogonie), czyli próbie uzyskania nieuprawnionego dostępu do stref o ograniczonym dostępie, takich jak budynki firmowe, serwerownie lub laboratoria. Osoba nieautoryzowana śledzi upoważnionego pracownika do danej lokalizacji. Oszust może podszyć się pod kuriera i iść za pracownikiem, aby doręczyć paczkę. Ma na celu wykradzenie własności intelektualnej, poufnych informacji o przedsiębiorstwie lub sprawdzić, jak uzyskać dostęp do pożądanej lokalizacji.
Oszuści mogą też wykorzystywać metodę zbliżoną do tailgatingu, w której wykorzystują nieuwagę autoryzowanej osoby. Mowa tu o piggybackingu, czyli sytuacji, w której, np. pracownik danej firmy trzyma otwarte drzwi do biura. Rozmawiając z kimś, nie zauważa, że do środka wślizgnęła nieupoważniona osoba.
Jakie aspekty ludzkiej natury wykorzystuje inżynieria społeczna
Przestępcy stosujący inżynierię społeczną nieraz odnoszą sukces, bo jesteśmy ludźmi. Ataki nieraz opierają się na potrzebie bycia zaakceptowanym czy lubianym, ponieważ boimy się odrzucenia. Oszuści wykorzystują też naszą ufność i potrzebę życia w zgodzie z autorytetem, jak w opisanym wyżej przypadku pracownika działu finansowego z hongkońskiej firmy. Bywamy też łatwowierni i chciwi pod kątem rozwoju czy wzbogacania się. Obawiamy się straty zarówno materialnej jak i niematerialnej. Często powoduje nami też zwykła ciekawość w obliczu ekscytującej i niespodziewanej możliwości.
Przestępcy stosujący inżynierię społeczną niekoniecznie muszą być technologicznymi specami. Wystarczy im zręczne posługiwanie się znajomością psychologii i technik wywierania wpływu, aby osiągnąć pożądane korzyści.
Jak się bronić przed inżynierią społeczną?
Każdy z nas może stać się ofiarą inżynierii społecznej zarówno w sferze zawodowej jak i prywatnej. Jak możemy się ochronić? Przeprowadzać regularne szkolenia z zakresu najpopularniejszych metod ataku. Im bardziej wyedukowany pracownik, tym bezpieczniejsza firma. Elementem szkoleń powinna być nauka bezpiecznego i odpowiedzialnego zachowania w sieci oraz wiedza, jak rozpoznać oszusta. Ważne jest, aby być krytycznym wobec otrzymywanych informacji zwłaszcza z nieznanych źródeł. Weryfikujmy autentyczność wiadomości e-mail, stron internetowych i osób, z którymi kontaktujemy się online. Stosujmy zasadę ograniczonego zaufania nawet wobec współpracowników, szczególnie w sytuacjach, które wydają nam się podejrzane. Pamiętajmy także o stosowaniu silnych haseł i regularnym ich zmienianiu. Zainwestujmy w firewalle, oprogramowanie antywirusowe i antyspamowe. Warto także na bieżąco aktualizować procedury bezpieczeństwa. Te wszystkie działania mogą stanowić kompleksową strategię ochrony przed inżynierią społeczną.
Jeśli chcemy przekonać się czy efekty naszych działań zapobiegawczych sprawdzają się, można rozważyć testy penetracyjne, o których pisaliśmy tutaj.
Zapraszamy do zapoznania się z ofertą produktową WatchGuard. Wystarczy kliknąć w poniższy baner.
Redaktorka Net Complex Blog