Początek
O socjotechnikach, słyszał chyba każdy. Można by tu przytaczać różne książkowe definicje socjotechnik, ale czy to ma jakiś większy sens ? Według mnie nie ma. Dla mnie socjotechnika to sposób manipulowania ludźmi aby osiągnąć zamierzony cel. Nawet randkowanie samo w sobie jest swego rodzaju socjotechniką aby osiągnąć zamierzony cel. Na pewno wielu z was zastanawia się co ma wspólnego socjotechnika z bezpieczeństwem ? Ma i to bardzo dużo, ale o tym dalej.
Ludzie
No właśnie w metodach związanych bezpośrednio z socjotechnikami najważniejsi są ludzie. To od osób które posiadają dostęp do informacji które chce zdobyć druga strona, zależy czy im się to uda. Często nie zdajemy sobie sprawy, że wystarczy tylko dobrze poznać drugą osobę aby uzyskać potrzebne nam informacje to stworzenia algorytmu tworzenia przez ludzi haseł do różnych portali. Data urodzenia, to jak nazwaliśmy pieska, ksywka, imię dziecka itp. … Dlatego w wielu przypadkach osoba chcąca poznać nasze 'tajemnice’ często z nami się zaprzyjaźnia, udaje przyjaciela. Dość popularne w obecnym czasie – social media, staroświeckie czasy. Niestety mało kto zdaje sobie z tego sprawę, że może być właśnie ofiarą ataku z użyciem metod socjotechnicznych.
Phishing
Metoda ta polega na stworzeniu spreparowanej strony internetowej np. banku i wysłaniu linka do ofiary, ta nieświadoma loguje się myśląc, że jest to właściwa strona a tak naprawdę dzięki temu, jej hasło i login trafiają do właściciela 'podstawionej’ strony. Możecie, spytać – ale przecież weryfikacja dwuetapowa, helloł! No tak, a co z tego jak w momencie gdy my zalogowaliśmy się do przykładowego banku i tam po drugiej stronie, z automatu jest przygotowywany przelew po wprowadzeniu, przez nas danych i czekają tylko na to aż wprowadzimy token uwierzytelniający ? Tak, naprawdę osoba, która przygotowała tak spreparowaną stroną, nie przeprowadziła ataku 'hackerskiego’ w normalnym rozumowaniu, tylko sami podaliśmy jej te dane. Więc to również jest rodzaj socjotechniki.
Inne metody i zachowania ułatwiające wykorzystanie socjotechnik
Wyłudzanie danych osobowych przez telefon, jak często zdarza się, że dzwonią nachalni telemarketerzy, mający numer nie wiadomo z jakiego źródła i próbują, zweryfikować czy po drugiej stronie jest pan Kowalski ? Ano dość, co kogoś obchodzi kto jest właścicielem danego numeru, jak go posiada to powinien być pewien. A połączenie imienia, nazwiska, numeru telefonu i ewentualnego adresu zamieszkania to już potężna dawka informacji.
Często panie w urzędach, gdy idziemy coś załatwić, zostawiają nas samych w pokojach, co za problem na moment usiąść do komputera i zdobyć potrzebne nam dane w tym czasie ? No właśnie nikt, często osoba chcąca posiąść te informacje, tak kieruje rozmową by pozbyć się osoby z pokoju.
Hasła zapisane w widocznych miejscach, przyklejone na obudowie monitora, klawiaturze, routerze etc. Takie zachowania aż same się proszą by je wykorzystywać.
Standardowe hasła do routerów, typu admin/admin – same osoby ich nie zmieniają, ułatwiając atak.
Najsłabszy element
Tytułowym najsłabszym elementem, jest człowiek. Tak jest w lotnictwie i analogicznie w bezpieczeństwie systemów informatycznych. Często i prawie zawsze, systemy informatyczne są tak dobrze zabezpieczone, że dostęp do nich 'standardowymi’ metodami trwałby wieki i nie wiadomo czy byłby skuteczny. Kevin Mitnick, powiedział „Łamałem ludzi, nie hasła” i to najlepiej odzwierciedla, konkluzję o tym, że to ludzie są najsłabszym elementem. Według mnie, wynika to z ich łatwowierności i braku odpowiednich szkoleń. Takich rzeczy powinno uczyć się w szkołach a wśród seniorów przeprowadzać akcje informacyjne, dla pracowników którzy posiadają dostęp do poufnych informacji powinny być intensywne szkolenia. Ale jak to w rzeczywistości bywa wszyscy wiemy – człowiek jest tylko człowiekiem i popełnia błędy, ale błędy można minimalizować.
Ciekawostka
Kiedyś otrzymałem telefon od znajomego, że ktoś mu zmienił hasło do konta mailowego. Jak sobie z nim usiadłem i przeanalizowałem całe zdarzenie to zdałem sobie sprawę jak głupi był, ustawiając takie hasło. Możliwe, że jego login i mail gdzieś wyciekł lub ktoś jakiś rodzaj socjotechniki wykorzystał by poznać jego hasło. Clue tego, jest taki, że spytałem czy zna odpowiedź na „pytanie weryfikacyjne” – odpowiedział krótko, NIE. W tym wszystkim było najśmieszniejsze to, że znając go od ponad 20 lat i widząc to pytanie, potrafiłem trafić za pierwszym razem. Bo kto ustawia sobie hasło typu: gdzie się urodziłem, jakie mam hobby itp. Dlatego poznawanie ludzi, ich zainteresowań, historii życia może w łatwy sposób sprawić, że dostaniemy się do ich poufnych informacji lub je odzyskamy gdy ktoś inny je wykradnie. Socjotechnika to niedoceniona dziedzina, gdzie manupilacja ludźmi odgrywa wielką rolę.
Nota prawa
Stosowanie socjotechnik w celu pozyskania danych niejawnych jest przestępstwem ściganym przez polskie prawo. W innych krajach jest podobnie dlatego należy pamiętać aby nie robić takich rzeczy. Warto zachowywać się etyczne a zdobywanie danych do których nie jesteśmy uprawnieni takie nie jest.
Leave a Reply