Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Socjotechnika, nazwana również inżynierią społeczną lub inżynierią socjalną, od pewnego czasu stała się modnym tematem. W różnych mediach co chwilę słyszymy o atakach socjotechnicznych, ale czy na pewno zdajemy sobie sprawę z tego, czym jest socjotechnika i z czym się wiąże? Dziś postaramy się odpowiedzieć na pytanie, dlaczego jest to tak popularna i skuteczna metoda osiągania celu.

Coraz częściej firmy świadczące usługi w obszarze bezpieczeństwa teleinformatycznego uzupełniają swoją ofertę o elementy ataków socjotechnicznych, zapewniając, że ich skuteczność w takich przypadkach jest na poziomie stu procent. Nie powinno wzbudzać to zdziwienia, ponieważ należy pamiętać o tym, że firma zamawiająca taką usługę jest na przegranej pozycji od samego początku. Do przeprowadzenia skutecznego ataku na instytucję klienta wystarczy jeden pracownik, którego uda się "pozyskać" i za jego pośrednictwem uzyskać dostęp do interesujących nas zasobów. W praktyce jednak okazuje się, że podatnych na oszustwo pracowników jest znacznie więcej, co statystycznie zwiększa szanse na powodzenie przeprowadzenia skutecznego ataku. W konsekwencji niewielkim nakładem środków i z odrobiną technologii uzyskujemy zaskakująco dobre rezultaty podczas realizacji testów penetracyjnych.

Pytanie dlaczego ataki socjotechniczne „zawsze” działają? Żeby na nie odpowiedzieć, należy odwołać się do socjotechniki znacznie szerzej niż tylko w tym konkretnym kontekście bezpieczeństwa IT. Socjotechnika jest szeroko stosowanym narzędziem przez różne instytucje i stykamy się z nią częściej niż mamy tego świadomość. Handel, polityka, media masowe to tylko najbardziej typowe przykłady obszarów, w których socjotechnika jest obecna od dawna. Z powodzeniem większość współczesnych działań marketingowych, budowanie skutecznej marki, kreowanie wizerunku w mediach, reklamy i sprzedaż można zakwalifikować do obszaru socjotechniki.

Reklamy, które rok w rok o tej samej porze przypominają nam o rodzinnych świętach i wzbudzają w nas pozytywne emocje, skłaniają nas do kupienia konkretnego produktu i postawienia go na stole podczas rodzinnych spotkań. O skuteczności leków i suplementów w reklamach przekonują nas lekarze i farmaceuci. Marka i model samochodu zostały sztucznie wykreowane na wyznacznik statusu społecznego tylko po to, żeby skłonić do kupna samochodu odpowiednio droższego, ale niekoniecznie takiego, który jest nam potrzebny, tylko po to, żeby poczuć się subiektywnie lepiej. W polityce, gdy mamy dwie wiodące partie, które wzajemnie się ścierają, wzajemnie wmawiają opinii publicznej za pośrednictwem mediów masowych, że to ich konkurent jest tym „złym”, odwołując się do tematów, które bezpośrednio uderzają w konkretne idee lub przekonania, tym samym wywołując konkretne stany emocjonalne, które następnie są utożsamiane z  konkurentem.

Oczywiście dźwignią, która sprawia, że taki przekaz trafia do odbiorcy jest zaufany kanał komunikacji, jakim są media, dla jednych publiczne, a dla innych prywatne. Również typowym mechanizmem jest odwrócenie uwagi społeczeństwa od istotnych tematów społecznych poprzez budowanie tematów zastępczych, które zwykle są kontrowersyjne i po raz kolejny wywołują konkretne negatywne stany emocjonalne i tym samym prowokują burzliwe dyskusje i uruchamiają negatywne reakcje ludzi. Efekt osiągnięty, ponieważ skupiamy się w takich sytuacjach na sztucznie wygenerowanym problemie, a ten istotny umyka nam i jest spychany gdzieś na bok.

W oparciu o te kilka przykładów śmiało można stwierdzić, że to, co sprawia, że metody te działają, jest zmianą stanu świadomości odbiorcy, który osiąga się poprzez uruchamianie konkretnych emocji. To właśnie emocje, od których nie możemy się uwolnić,  będąc istotami emocjonalnymi, sprawiają, że reagujemy zgodnie ze scenariuszem, jaki atakujący dla nas przygotował, będąc tylko biernym uczestnikiem całego przedstawienia, znajdując się w jego centrum i odgrywając bardzo istotną rolę.

Jednak same emocje to trochę za mało, żeby metoda manipulacji zadziałała zgodnie z oczekiwaniami - należy zbudować odpowiedni kontekst. Budowanie kontekstu to nic innego jak dopasowanie okoliczności do emocji lub odwrotnie, wywołanie emocji w odpowiednich okolicznościach. Czasem bywa to bardzo łatwe i dzieje się automatycznie bez żadnego wysiłku jak np. w przypadku popularnego wyłudzenia pieniędzy metodą „na wnuczka”, gdzie kontekst jest oczywisty, dzwonimy i wmawiamy osobie po drugiej stronie, że jesteśmy jej/jego wnuczkiem. Prostym przykładem budowania kontekstu jest również wysłanie wiadomości z załącznikiem do instytucji finansowej, przedstawiając się jako urzędnik np. KNF, tutaj kontekst jest budowany adresem nadawcy wiadomości poczty elektronicznej.

Zobacz także:

Socjotechnika. Sztuka zdobywania władzy nad umysłami

Zapoznaj się krok po kroku z przebiegiem ataku socjotechnicznego. Autor tej książki definiuje, wyjaśnia i rozkłada socjotechnikę na cząstki elementarne, a następnie ilustruje całe zagadnienie, przytaczając analizy i prawdziwe historie.*

Czasem budowanie kontekstu bywa bardziej złożone i wymaga o wiele więcej zachodu i nakładu środków niż tylko wykonanie telefonu do starszej osoby czy wysłanie e-maila. W większości przypadków wiąże się to z bardzo istotnym i nieocenionym etapem zbierania informacji na temat celu. I tutaj, o ile przeszukanie portali społecznościowych, forów tematycznych i innych stron internetowych jest relatywnie proste, aczkolwiek czasochłonne, to przeszukanie śmieci danej firmy, odwiedzenie oddziałów i placówek, a nawet wejście w posiadanie sprzętu konkretnej instytucji np. na wyprzedażach poleasingowych może okazać się naprawdę kosztowne, jednak często dostarcza bardzo cennych informacji, których nie pozyskamy w inny sposób. Oczywiście nie należy też pomijać wariantu, w którym zwyczajnie zatrudnimy się w firmie, którą wzięliśmy na celownik.

W takich sytuacjach, gdy dołożyliśmy wszelkich starań, żeby poznać nasz cel (jakim jest konkretna organizacja) - czasem lepiej niż nie jeden pracownik, znamy jego strukturę organizacyjną i procesy realizowane wewnętrznie, możemy z powodzeniem przygotować konkretny kontekst i uwiarygodnić wszystkie nasze komunikaty wysyłane do naszego celu. W sytuacji, gdy jesteśmy zatrudnieni w atakowanej firmie albo udało nam się zatrudnić w firmie, która świadczy jakieś usługi na rzecz naszego celu, to kontekst właściwie sam się buduje. Pracownicy, od których chcemy uzyskać informacje lub skłonić ich do podjęcia jakichś działań, sami stwierdzą, że jako pracownik, kolega/koleżanka z pracy jesteśmy autoryzowani do dostępu do pewnych informacji lub prośba o wykonanie konkretnych działań jest naturalnym następstwem wykonywanych obowiązków służbowych. Innymi słowy, w takiej sytuacji z miejsca jesteśmy obdarzeni o wiele większym zaufaniem i oddalamy od siebie potencjalne podejrzenie o próby działania na szkodę firmy, w której przecież wszyscy razem pracujemy.

Jak widać, sposobów na wykorzystanie konkretnych stanów emocjonalnych jest dużo, jedne wymagają gruntownego wywiadu i przygotowania, a inne są trywialnie proste do wykorzystania. Wszystkie metody bazują na prostej zasadzie: znaleźć konkretny kontekst, w którym da się uruchomić pożądany stan emocjonalny. Jak tego dokonać? Kontekst, jak już zostało to wspomniane wcześniej, to nic innego jak tylko odnalezienie się w odpowiedniej sytuacji, miejscu i czasie lub umieszczenie naszego celu w odpowiednim miejscu i czasie lub zbudowanie odpowiedniej atmosfery dookoła naszego celu. Zgodnie z teorią opracowaną przez Roberta Cialdiniego istnieje sześć reguł wywierania wpływu na ludzi.

Gdy naszym celem jest uzyskanie dostępu fizycznego w budynku do obszaru innego niż publiczny, warto spróbować nawiązać kontakt z osobą z recepcji i poprosić o jakąś przysługę, relatywnie dużą, nie do spełnienia, ale w granicach rozsądku, żeby nie wzbudzać podejrzeń. Oczywiście przysługa ta nie zostanie spełniona, ale osoba' do której została skierowan'a zacznie odczuwać pewne napięcie związane z odmową i będzie o wiele łatwiej poprosić ją np. o wpuszczenie do toalety, która znajduje się parę metrów za recepcją, ale już w strefie niedostępnej dla osób spoza firmy – tutaj obowiązek wykonania drobnej przysługi należy do reguły wzajemności. Oczywiście rezultatem skutecznego wykonania ataku i dostępu do toalety w strefie pracowniczej jest automatycznie zbudowany kontekst dla pozostawionego tam nośnika danych ze złośliwym oprogramowaniem.

Zobacz także:

Sztuka podstępu. Łamałem ludzi, nie hasła

Już jako nastolatek swoimi umiejętnościami zastraszył całą Amerykę. Z czasem stał się najsłynniejszym hakerem świata i wrogiem publicznym numer jeden - okrzyknięty przez media groźnym cyberprzestępcą, gorliwie ścigany przez FBI, w końcu podstępem namierzony, osaczony i spektakularnie ujęty. Życiorys Kevina Mitnicka jest jak scenariusz dobrego filmu sensacyjnego.*

Kolejnym przykładem jest reguła konsekwencji. Tutaj łatwo można wykorzystać nawiązaną relację z pracownikiem firmy, który  jest pierwszą linią kontaktu, czyli pracownicy recepcji czy sekretariatu. Stopniowe budowanie zaufania i prośby o drobiazgi typu długopis, kartka do zanotowania, powtarzane regularnie i stopniowo zwiększające swój zakres, sprawiają, że osoba ta traci wewnętrzny opór przed wyświadczaniem nam kolejnych przysług, aż w końcowym etapie można poprosić np. o wydrukowanie dokumentu z pamięci USB lub skorzystania ze stacji roboczej. Warto tutaj wspomnieć efekt Franklina, który Lew Tołstoj w książce „Wojna i pokój” ujął następująco: „Nie tyle kochamy ludzi za dobrodziejstwa, które oni nam wyświadczyli, ile za dobrodziejstwa, któreśmy im wyświadczyli”.

Innym przypadkiem może być utwierdzanie osoby w przekonaniu, że nasza prośba była już zrealizowana przez kogoś innego, np. przez innego pracownika w zeszłym tygodniu. Takie przekonanie odwołuje się do społecznego dowodu słuszności i sugeruje, że skoro ktoś inny na moim stanowisku parę dni wcześniej już coś takiego wykonał, to nic nie stoi na przeszkodzie, żebym teraz ja to zrobił.

Oczywiście łatwiej ulegamy osobom, które wzbudzają naszą sympatię. Reguła sympatii jest oczywista i działa automatycznie, wystarczy jedynie wpisać się w pewne ramy i wyobrażenia naszego odbiorcy.

Podając się za osobę powiązaną z szefem firmy lub przedstawiając się jako urzędnik państwowy z instytucji, której podlega firma, będąca naszym celem możemy w szybki sposób uzyskać interesujące nas informacje. Reguła autorytetu działa najskuteczniej w organizacjach, w których panuje strach przed przełożonymi, w takich firmach pracownicy nie mają odwagi albo boją się ryzykować.

Zgodnie z regułą niedostępności za cenne i wartościowe uznajemy to, czego jest mało i jest trudno osiągalne. Funkcjonuje również odwrotna zasada, która mówi, że jeśli coś jest powszechnie dostępne, to nie może mieć dużej wartości. Ponieważ jedna z częściej przytaczanych zasad socjotechniki mówi, że nie ma informacji nieużytecznych, to warto skorzystać z każdej okazji do poszerzenia naszej wiedzy na temat celu, jego pracowników, kultury organizacyjnej i atmosfery w pracy, tylko po to, żeby skutecznie wcielić się w jednego z wielu szarych i typowych pracowników. Pozwoli nam to na swobodną wymianę informacji i komunikację z pracownikami naszego celu. Pracownicy często nie zdają sobie sprawy z wartości informacji udzielanych innym osobom przedstawiającym się jako pracownicy firmy.

Podsumowując, socjotechnika działa, ponieważ nie jesteśmy świadomi mechanizmów, które nami sterują, a tym samym nie potrafimy nad nimi zapanować i ich kontrolować. Żeby zwiększyć nasze szanse na zidentyfikowanie ataku i prawidłową reakcję należy w pierwszej kolejności zbudować świadomość pracowników i uwrażliwić ich na możliwość wykorzystania przeciwko nim technik bazujących na omawianych mechanizmach. Im więcej wiemy o metodach wykorzystywanych przez oszustów i złodziei, tym łatwiej nam jest rozpoznawać wzorce zachowań świadczące o potencjalnym zagrożeniu z ich strony i tym łatwiej będzie nam podjąć odpowiednie działanie w danej sytuacji.

Kreator Bezpieczeństwa - potrzeby i możliwości

Ponieważ socjotechnika jest stosunkowo nowym tematem mimo tego, że wykorzystywana jest w wielu dziedzinach naszego życia od bardzo dawna, jeszcze niewiele osób ma świadomość, jak się przed nią uchronić. Jedyną i najskuteczniejszą metodą jest budowanie świadomości, dlatego postanowiliśmy temu zagadnieniu poświęcić wiele uwagi podczas zbliżającej się konferencji zatytułowanej "Kreator Bezpieczeństwa - potrzeby i możliwości", która odbędzie się w dniach 19-20 stycznia 2017 r. w Warszawie.

Jeżeli zainteresował Państwa ten temat, zachęcamy do zapoznania się z informacjami o wydarzeniu dostępnymi pod adresem: http://successpoint.pl/kreator_bezpieczenstwa

Mikołaj Kopeć
Ekspert ds. bezpieczeństwa teleinformatycznego BCMG Sp. z o.o.

* Linki afiliacyjne. Kupując książki poprzez te linki wspierasz funkcjonowanie redakcji Dziennika Internautów.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *