Support 24/7: +48 61 646 07 77
Phishing, whaling i baiting. Nie, to nie podręczny słownik wędkarza, tylko trzy przykłady ataków socjotechnicznych. Jest ich oczywiście więcej. Od lat udoskonalane i dopasowywane do stale zmieniających się wymagań rynku, mogą posłużyć cyberprzestępcom do ominięcia nawet najlepszych zabezpieczeń technologicznych. Są proste, ale skuteczne, bo wykorzystują tak zwany „czynnik ludzki”. Skąd się wzięły i jak się przed nimi zabezpieczać?
Jeden z najsłynniejszych hakerów wszechczasów, Kevin Mitnick stwierdził „Łamałem ludzi, nie hasła.” Z kolei statystyki mówią, że nawet 94% skutecznych włamań do sieci cybernetycznych zaczyna się od błędu ludzkiego. Dlatego jeśli chcesz zminimalizować ryzyko udanego ataku cyberprzestępców na Twój biznes, koniecznie uwzględnij szkolenia z ataków socjotechnicznych zarówno dla pracowników, jak i dla managerów wyższego szczebla.
Z tego artykułu dowiesz się:
(Prawie) wszyscy – choć w różnym stopniu – jesteśmy podatni na socjotechnikę. Wszyscy też ją stosujemy. Psycholog Roberto B. Cialdini przeprowadził na ten temat badania i opisał sześć reguł wpływania na innych: zaangażowanie i konsekwencja, wzajemność, społeczny dowód słuszności, autorytet, lubienie i sympatia oraz niedostępność.
Łatwo wskazać te zasady w odniesieniu do sprzedawców, polityków i mediów, o których wiemy, że nami manipulują. Ale wszyscy każdego dnia używamy socjotechnik. W końcu jest to po prostu wpływanie na drugą osobę (lub grupę osób) w celu osiągnięcia czegoś. Obojętne czy tym osiągnięciem będzie zatrudnienie po rozmowie kwalifikacyjnej, czy zapewnienie kontrahenta, że może nam zaufać na podstawie referencji od innych klientów.
Problem zaczyna się wtedy, gdy socjotechniki zaczynają być wykorzystywane do działań nieetycznych.
Sam termin po raz pierwszy pojawił się 1894, ale dopiero rewolucja teleinformatyczna początku lat 90‑tych sprawiła, że wzrosła jego popularność. Pierwsze ataki tego typu wydarzyły się dobre kilka lat przed upowszechnieniem się dostępu do internetu i bazowały na kontakcie telefonicznym. Oszuści wyłudzali w ten sposób dane kart kredytowych lub wewnętrzne numery pozwalające na łączenie się z serwerem. Z kolei pierwsze ataki phishingowe miały na celu wyłudzanie kont w serwisie AOL. Co ciekawe, 20 lat później użytkownicy wciąż łapią się na wiadomości podszywające się pod pracowników mediów społecznościowych. To pokazuje jak uniwersalny i ponadczasowy jest to sposób.
Ze względu na zasięg i określenie celu, ataki możemy podzielić na masowe i ukierunkowane, ale te drugie najczęściej są po prostu wyspecjalizowaną odmianą tych pierwszych. W kolejnych akapitach opiszemy najpopularniejsze z nich.
Atak, o którym słyszał każdy użytkownik internetu. Od czasu wspomnianych pierwszych ataków z lat 90‑tych, phishing znacząco się rozwinął i wyspecjalizował. W ramach tej kategorii mamy dziś też vishing (atak głosowy) i smishing (atak SMSowy), oraz clone phishing, spear phishing i whaling. Dwa ostatnie to ataki ukierunkowane – na pracowników danej organizacji lub na jej kierownictwo.
No dobrze, ale co każdy z tych terminów dokładnie oznacza. Phishing to oszustwo, które polega na podszyciu się pod inną osobę lub instytucję w celu wyłudzenia danych wrażliwych (prywatnych lub firmowych), zainfekowania komputera lub nakłonienia do działania, z którego oszust może czerpać korzyść. Najbardziej znanym (choć raczej nie najbardziej efektywnym) przykładem phishingu są maile od nigeryjskiego księcia, który chciałby przekazać nam dużą ilość pieniędzy, ale najpierw trzeba zapłacić za obsługę prawniczą. Na szczęście w dzisiejszych czasach filtry antyspamowe wyłapują takie wiadomości, ale z dużym prawdopodobieństwem każdy użytkownik internetu dostał takiego maila przynajmniej raz w życiu.
Phishing, na który wciąż zbyt wiele ludzi się „łapie”, to (niestety) coraz poprawniej napisane wiadomości e‑mail od banków, urzędów i dostawców poczty, zachęcające do kliknięcia w link, który następnie wyłudzi nasze dane logowania, numer karty kredytowej lub inne dane, którymi wolimy się nie dzielić z cyberprzestępcami. Pod linkiem (alternatywnie, w załączniku, który udaje plik PDF) może być też ukryty instalator złośliwego oprogramowania.
W wersji podstawowej, phishing jest atakiem masowym, nastawionym na dotarcie do jak największej ilości potencjalnych ofiar, bez względu na stanowisko lub stan konta. Przestępcy liczą na to, że jakiś odsetek odbiorców kliknie w linka odruchowo, bez zastanowienia lub z braku wiedzy o możliwych konsekwencjach.
To odmiany phishingu wyróżniane ze względu na medium, którym się posługują. Przykładem vishingu będą telefony z banku informujące o włamaniu na konto, kiedy oszust wymaga od ofiary podania wszelkich danych dostępowych, żeby zapobiec utracie pieniędzy. Niestety ataki tego typu coraz częściej kierowane są do osób starszych, które nie mają świadomości, że mogą w ten sposób stracić oszczędności życia.
Z kolei przykładem smishingu są, ostatnimi czasy bardzo popularne, smsy z poczty lub od kuriera proszące o dopłatę za paczkę. Ich natężenie zwykle wzrasta w okresie przedświątecznym, kiedy wielu ludzi robi zakupy online i sami już nie wiedzą, na ile paczek jeszcze czekają. Nową odmianą smishingu jest oszustwo przeprowadzane przez komunikator WhatsApp – oszuści najczęściej proponują w ten sposób pracę i zachęcają do przesłania danych przy pomocy zamieszczonego linka.
Szacuje się, że spear phishing udaje się aż w 91% przypadków. Skąd ten wynik? W odróżnieniu od zwykłego phishingu, ten typ ataku musi być szczegółowo zaplanowany. Oszuści zdobywają kompletną wiedzę na temat ofiary, jej współpracowników, zakresu zadań, a nawet jej sytuacji prywatnej – wszystko po to, by przekonać ją do podzielenia się informacjami, danymi dostępowymi lub dokumentami firmowymi. Kilka takich ataków na pracowników średniego szczebla może też przygotowywać grunt pod kolejny typ ataku – whaling.
Nazwa w zasadzie mówi sama za siebie, bo whaling to po angielsku wielorybnictwo. Czyli polowanie na „grube ryby” biznesu. To atak wymierzony w kierownictwo wyższego szczebla, wymagający od oszustów zdecydowanie większego zaangażowania. Często wykorzystuje się do tego wcześniej pozyskane od pracowników dokumenty i tworzy funkcjonalne kopie stron internetowych. Wiadomości mogą wyglądać, jakby przychodziły od innych managerów w firmie, kancelarii prawniczych lub urzędów państwowych i zwykle są wynikiem dogłębnej obserwacji wcześniejszej komunikacji między stronami. Wszystko po to, żeby zminimalizować ryzyko jakichkolwiek wątpliwości u ofiary. Gra toczy się tu o najwyższą stawkę i to nie zawsze finansową.
Skoro jesteśmy już przy obserwacji korespondencji, to warto wspomnieć o clone phishingu, który polega na skopiowaniu prawdziwej wiadomości i podmianę oryginalnych załączników na złośliwe. Żeby zadbać o szczegóły, adres email można podmienić za pomocą spoofingu, chyba że wcześniejszy atak dał już oszustom dostęp do komputera nadawcy. Clone phishing spotkamy raczej przy atakach ukierunkowanych, choć zdarzają się też kampanie masowe – na przykład udające wiadomości z banku z nowym regulaminem, z którym koniecznie należy się zapoznać.
Ten atak może wydawać się podobny do ukierunkowanych typów phishingu, bo żeby stworzyć wiarygodny scenariusz, oszuści muszą dowiedzieć się sporo o swojej ofierze. Preteksting opiera się bowiem o stworzenie wystarczająco prawdopodobnego pretekstu dla udzielenia hakerom pożądanej przez nich informacji. Zwykle, choć nie zawsze, jest przeprowadzany telefonicznie – oszust podszywa się pod osobę z kierownictwa firmy lub pracownika urzędu i w starannie zaplanowanym scenariuszu skłania ofiarę do podzielenia się z nim interesującymi go informacjami.
Przede wszystkim należy pamiętać, że socjotechnika tego typu tworzona jest konkretnie pod daną osobę i bardzo mocno operuje na jej uczuciach, lękach i przekonaniach. „Pani Zosiu kochana, niech się pani zlituje… Szef mnie zabije, jeśli nie potwierdzę mu tej informacji za godzinę. Niech mi pani pomoże, bo mnie zwolnią.” – czy pani Zosia mogłaby odmówić?
Watering Hole to cyberatak, który ma na celu zainfekowanie możliwie wielu komputerów wybranej grupy osób. Mogą to być pracownicy pojedynczej firmy lub instytucji, ale atak ten z powodzeniem wykorzystano też w 2017 roku do zainfekowania całego polskiego sektora finansowego.
Na czym polega? Hakerzy odgadują lub obserwują strony popularne wśród profilowanej grupy osób, a następnie, korzystając z niezałatanych podatności witryn, infekują je złośliwym oprogramowaniem. Pobranie malware’u na komputer niczego nie podejrzewającego pracownika może odbyć się automatycznie po wejściu na stronę lub za pomocą monitu, który poprosi o kliknięcie w link. W ten sposób oszuści przejmują kolejne komputery, których z powodzeniem mogą użyć do innych ataków.
Atak bazujący na ludzkiej ciekawości i skłonności do korzystania z okazji. Sklepy internetowe przyzwyczaiły nas do tego, że niektóre produkty możemy kupić w nich dużo taniej. Ale jeśli promocja jest po prostu zbyt dobra, żeby mogła być prawdziwa, to może to być baiting. W przypadku tego ataku oszuści kuszą nas darmowym lub prawie darmowym produktem. Żal nie skorzystać, a przecież musisz tylko opłacić koszt wysyłki… W tym wypadku oszustom chodzi najczęściej o dane Twojej karty kredytowej.
Inną wariacją ataku „na przynętę” jest oferowanie darmowych plików lub wręcz wysyłanie ich na skrzynkę jako załącznika do odpowiednio zachęcającej wiadomości email. Pliki są oczywiście tak atrakcyjne, żeby ofiara pobrała je bez zastanowienia, instalując tym samym złośliwe oprogramowanie na swoim komputerze.
Istnieje też fizyczna wersja tego ataku, w której oszuści pozostawiają zainfekowany złośliwym oprogramowaniem pendrive w miejscu, w którym ofiara może go zauważyć. Nośnik danych może też zostać dostarczony kurierem do firmy. Czasami, dla wzmocnienia efektu, pendrive jest dodatkowo opisany jako „poufne”. Jeśli wygra ciekawość pracownika, malware zainstaluje się w momencie włożenia nośnika do portu USB.
Strach jest największym sprzymierzeńcem hakerów. Na tym przekonaniu bazuje przecież między innymi popularność (i opłacalność) ransomware. Ale czynnik strachu można też wykorzystać na dużo mniejszą skalę. Możliwości jest tu co najmniej kilka – najłatwiej będzie pokazać Scareware na przykładach. Nie tak dawno temu popularne były wiadomości na Facebooku wysyłane z konta bliskiego znajomego z linkiem, pod którym rzekomo są dostępne nagie zdjęcia ofiary. Drugim przykładem, na który mogłeś natrafić, jest przejęta przez hakerów strona internetowa, która pojawia się w wynikach wyszukiwania jako artykuł na interesujący Cię temat. Po kliknięciu zobaczysz wielki monit o zainfekowaniu komputera wieloma wirusami i konieczności przeskanowania go w tym momencie, aby zapobiec utracie danych.
Każdy z ataków uruchamia czynnik przerażenia u innej grupy odbiorców i być może do żadnej z nich nie należysz. Ale socjotechnika odwołująca się do strachu jest atakiem masowym, tak jak phishing. Skuteczność może być niska, ma być jakakolwiek.
Wspomnieliśmy wyżej o fizycznej formie ataku na przynętę, ale istnieje też atak socjotechniczny, który może, ale nie musi stać się zagrożeniem cybernetycznym. Celem tailgatingu jest dostanie się do budynku lub pomieszczenia, do którego oszust nie ma dostępu. Może wejść wraz z Tobą przez bramkę albo udając pomocnego kolegę potrzymać Ci drzwi (a następnie z nich skorzystać). Tailgating może być wykorzystany offline, do wyniesienia ważnych dokumentów z firmy, ale równie dobrze może posłużyć do zainfekowania całej sieci komputerowej, jeśli celem oszusta była na przykład serwerownia.
Najłatwiej przeprowadzić go w dużych korporacjach, gdzie nie ma szans, żeby wszyscy pracownicy znali się między sobą. Oszust może udawać, że pracuje w tym samym miejscu, ale zapomniał karty dostępowej lub jest nowym pracownikiem i nie dostał jeszcze wszystkich uprawnień. Będzie przy tym z pewnością niezwykle czarujący i uprzejmy.
Ostatni atak na naszej liście pojawił się wraz z technologiami towarzyszącymi rozwojowi AI. Deepfake zaczął się przeróbkami zdjęć, ale wraz ze wzrostem możliwości narzędzi do obróbki formatów audio i wideo, zagrożenie jakie ze sobą niesie znacznie wzrosło. Na obecnym etapie wygenerowanie zupełnie nowej wypowiedzi na podstawie próbek oryginalnego głosu nie stanowi już żadnego problemu. Coraz łatwiej jest też połączyć taki dźwięk z odpowiednio dopasowanym wideo.
Na szczęście AI wciąż ma pewne ograniczenia, ale nie zmienia to faktu, że złośliwe wykorzystanie deepfake’ów może stanowić zagrożenie nie tylko dla biznesu, ale dla państw i globalnej polityki. Jednym z bardziej znanych przykładów deepfake jest wideo z 2018 roku, w którym Barack Obama ostrzega przed zagrożeniami, jakie niesie nieetyczne wykorzystanie technologii cyfrowych… Czyż to nie ironiczne?
Platon powiedział, że wiedza jest drugim słońcem dla ludzi. Niestety sama wiedza rzadko wystarcza w przypadku socjotechnicznych umiejętności oszustów. Ataki te odwołują się do najbardziej ludzkich odruchów i uczuć takich jak ciekawość, strach, wiara w dobre intencje innych osób… Nie bez znaczenia jest również zaufanie do technologii, szczególnie widoczne w branży IT. O ile mając potrzebną wiedzę o bezpieczeństwie stosunkowo łatwo jest nam zignorować kampanie masowe, o tyle wysoka skuteczność ataków ukierunkowanych może już być powodem do zmartwień.
Niemniej jednak, jest kilka sposobów, które pozwolą Ci znacząco ograniczyć ryzyko powodzenia takiego ataku w biznesie i w życiu prywatnym. Pozwolimy sobie w tym artykule zupełnie pominąć temat zabezpieczeń technologicznych i skupimy się na czynniku ludzkim.
Mimo że wiedza to nie wszystko, z pewnością warto przeprowadzać regularne szkolenia, które oprócz suchych informacji w tabelkach, będą zawierały autentyczne przykłady ataków i opisy ich efektów. Większość ludzi prędzej przypomni sobie ciekawą historyjkę niż to, co było na piątym slajdzie prezentacji. Warto też rozszerzyć takie szkolenie o stosowanie zasad cyberbezpieczeństwa poza firmą, bo przecież atak socjotechniczny może zacząć się na prywatnym profilu społecznościowym pracownika.
Istotne jest też, by nauczyć osoby zatrudnione w firmie, że jeśli coś jednak się wydarzy – klikną link, otworzą załącznik albo przekażą komuś nieuprawnionemu poufne dane firmowe – to najlepszym wyjściem z sytuacji jest poinformowanie o tym zwierzchnika lub innej osoby, która może natychmiast zareagować na incydent bezpieczeństwa. Im szybciej przebiegnie taka komunikacja, tym sprawniej i skuteczniej będzie można atak odeprzeć. Dlatego nie warto korzystać ze strachu jako narzędzia edukacyjnego.
Załóżmy, że już przeprowadzasz regularne szkolenia, dbasz o to, by uczestnicy dowiadywali się o mrożących krew w żyłach atakach i na bieżąco dopasowujesz zakresy prezentacji do aktualnego stanu wiedzy. Super! Ale teraz czas na trening praktyczny.
Do organizacji ćwiczeń praktycznych najlepiej zaangażować zewnętrzną firmę specjalizującą się w audytach socjotechnicznych. Na czym polega taki audyt? Na przeprowadzeniu kontrolowanych ataków socjotechnicznych na niczego nie podejrzewających pracowników. Audytorzy użyją wszelkich środków, z których skorzystaliby hakerzy w prawdziwym ataku: wyślą maile z podejrzanymi linkami, podszyją się pod osobę z kierownictwa firmy lub zewnętrzne instytucje i spróbują wyłudzić informacje, pozostawią nieznane nośniki danych w strategicznych miejscach firmy, a nawet spróbują wejść do chronionych pomieszczeń. W skrócie, zastosują każdą formę socjotechnicznej manipulacji, na którą pracownicy mogą być narażeni w czasie prawdziwego ataku. Przy okazji sprawdzą, czy wszyscy znają i stosują procedury, z których zostali wcześniej przeszkoleni.
Bardzo rzadko zdarza się, by wszyscy pracownicy zdali ten egzamin. Ale ponieważ większość ludzi najlepiej uczy się na własnych błędach, to w ten sposób dasz im szansę na popełnienie takiego błędu w kontrolowanych warunkach. Z kolei wyniki audytu mogą wskazać, które szkolenia warto zmienić, uaktualnić, bądź uszczegółowić.
To taktyka, którą warto stosować w firmie bez względu na ataki i inne zagrożenia z zewnątrz. Każdy pracownik firmy powinien mieć przyznane tylko te dostępy, które są mu potrzebne do wykonywania pracy. Marketingowiec nie musi mieć dostępu do repozytoriów, programista do programów rozliczeniowych, a księgowa do kont społecznościowych. To oczywiście znacznie uproszczony obraz.
Ale faktem jest, że skuteczne i ustrukturyzowane zarządzanie uprawnieniami, stworzone w oparciu o zasadę minimum, może znacząco ograniczyć zasięg ataku socjotechnicznego, jeśli już do niego dojdzie.
Tylko dzisiaj przyszedł do mnie jeden scam smsowy, jeden mail z kodem do przywrócenia hasła z witryny, do której nie logowałam się od co najmniej miesiąca i jedna wiadomość ostrzegająca przed oszustami podszywającymi się pod instytucje finansowe. Czy to dużo, czy mało? Nie wiem.
W każdym razie wszystko wskazuje na to, że ataki oparte o socjotechniki mają się świetnie i jedyne, co możemy zrobić, to nauczyć się je lepiej rozpoznawać, a przy tym stosować w życiu codziennym chociaż minimum podejrzliwości i rozsądku. Oprócz tego, dobrym pomysłem jest skorzystanie ze wsparcia technologii i zadbanie o podstawy cyberbezpieczeństwa, takie jak wieloskładnikowe uwierzytelnienie i niepowtarzalność haseł. Warto także korzystać ze wsparcia profesjonalistów z Centurii pod kątem zabezpieczenia serwerów i środowisk developerskich w Twojej firmie.