Na co uważać? Jak się zabezpieczać!

Poznaj podstawowe i najczęstsze techniki cyber-ataków. Nie trać czujności i uważaj!

Podczas analizowania i projektowania zabezpieczeń systemów teleinformatycznych, musimy pamiętać, że oprócz całej palety dostępnych zabezpieczeń „cyfrowych” jednym z elementów każdego systemu jest jego interakcja z człowiekiem obsługującym ten system. Niestety, na podstawie przeprowadzonych badań i obserwacji można stwierdzić, że człowiek właśnie, jest najsłabszym ogniwem tych zabezpieczeń. To właśnie człowiek jest z jednej strony najmniej przewidywalny, a z drugiej najbardziej podatny na wpływy osób chcących złamać zabezpieczenia i pozyskać interesujące ich dane.

Ataki socjotechniczne

To ataki na systemy informatyczne przy użyciu technik wpływu na jego użytkowników. Bazują one na podatnościach nie sprzętu czy oprogramowania, ale na skłonności człowieka do ulegania bezwiednie wpływom osób, które chcą przez to zdestabilizować pracę systemu (a co za tym idzie, osoby lub organizacji) lub uzyskać dostęp do pożądanych informacji, takich jak dane dostępowe do konta bankowego, numer PIN lub CVC karty kredytowej, szczegółowe dane osobowe, czy też innej informacji, która w danym momencie jest dla nich niezbędna dla wykonania „misji” hakera.

Ataki w cyberprzestrzeni mogą być skierowane nie tylko w konkretną osobę, ale w całe przedsiębiorstwo czy organizację.

Celem hakera będzie przeniknięcie w jej głąb, poznanie struktury i podatności, a w końcu zaszkodzenie jej lub uzyskanie pożądanych informacji.

Hakerzy dostosowują atak do ofiary i sytuacji, często mieszając techniki wpływu społecznego.

Budując naszą obronę przed tego typu atakami, powinniśmy przede wszystkim poznać i, co najważniejsze, nauczyć się kilku podstawowych technik wpływu na zachowanie drugiego człowieka, aby w momencie, kiedy zostaniemy zaatakowani zauważyć ten fakt i zdążyć się przed nim obronić.

Niestety brak informacji o tym, kiedy jesteśmy atakowani, wykorzystywanie naszych słabości, mnogość typów ataków oraz sprytne ukrycie ich w interakcji z nami powoduje, że nawet wybitni specjaliści z zakresu psychologii społecznej raz na jakiś czas dają się złapać na przynętę atakującego. Niemniej jednak znajomość narzędzi wpływu społecznego jest podstawą do próby obrony przed napastnikiem.
Tak jak wiele szkół walki uczy chwytów, które mogą służyć do wyrządzenia przeciwnikowi krzywdy, lecz jednocześnie wpaja zasadę, że nauczone techniki powinny służyć tylko do obrony, tak samo specjaliści od wpływu społecznego chcąc uodpornić daną osobę na ataki socjotechniczne, uczą metod wpływania na drugiego człowieka, jednocześnie przestrzegając, by poznane techniki używać tylko i wyłącznie do obrony.

Haker przygotowując się do ataku w pierwszej kolejności poszukuje się informacji, które są dostępne bez konieczności interakcji daną osobą lub z pracownikami danej organizacji, które mają być celem ataku socjotechnicznego.

Wykonuje wtedy tzw. footprinting, czyli wstępne rozpoznanie celu. Podstawowym elementem tego rozpoznania może być m.in. „nurkowanie w śmietniku” (ang. dumpster diving), czyli poszukiwanie porzuconych informacji, które pomogą nam później sprofilować odpowiednio ataki socjotechniczne. Atak na osobę prywatną może być więc poprzedzony przejrzeniem jej kont w mediach społecznościowych.
W przypadku ataków na firmę poszukiwane są informacje o jej strukturze, adresy e-mail, nazwiska i stanowiska, numery telefonów czy nawet zużyte elementy wyposażenia informatycznego, które mogą zawierać przydatne dla atakującego dane.

Testowanie osób będących celem ataków. Haker szuka naszych słabych stron – podatności.

Aby atak socjotechniczny miał większe prawdopodobieństwo powodzenia, osoba będąca celem ataku w większości przypadków jest najpierw odpowiednio „testowana” by łatwiej było nią manipulować. Do tego typu działań zaliczają się m.in. dwa zupełnie odmienne zachowania – wprowadzenie ofiary w stan uczucia pełnego zaufania i komfortu lub w stan mocnego stresu.

Pierwsze z tych zachowań charakteryzuje się działaniami mającymi uśpić czujność ofiary, wprowadzić ją w nastrój, w którym czuje się dobrze i bezpiecznie, aby w momencie, którego się najmniej spodziewa lub którego może nawet nie zauważyć, przypuścić atak. W drugim z wymienionych zachowań atakujący wprowadza chaos w otoczeniu ofiary, aby poczuła się ona zagrożona lub zdezorientowana mnogością informacji i przez to działała w sposób jak najbardziej automatyczny. Związane jest to z jednym z podstawowych zasad działania ludzkiej psychiki, które odwołuje się do ewolucji gatunku ludzkiego i rozwoju mózgu człowieka.

Uważaj jeżeli dostaniesz pendrive w prezencie.

Jednym z najprostszych sposobów na atak z użyciem socjotechniki jest przekazanie ofierze prezentu w formie np. pendrive’a zawierającego złośliwe oprogramowanie, które wykradnie nam dane. Może to być prezent w zamian za wypełnienie ankiety (fikcyjnej oczywiście) lub podarunek od potencjalnego kontrahenta na poczet przyszłej współpracy. Każdy z nas lubi być obdarowywany, więc po otrzymaniu takiego prezentu rzadko podejrzewamy osobę, która była dla nas miła o próbę okradzenia nas. Na przykładowym pendrivie może znajdować się choćby rozbudowany keylogger, który przechwyci i wyśle do atakującego informacje np. o tym, z jakiego banku korzystamy, jaki mamy login i hasło.

Ataki „na wnuczka” w cyberprzestrzeni

Innym sposobem przekonania potencjalnej ofiary do wykonania prośby atakującego jest sprawienie, aby sądziła ona, że to, co wykonuje, jest wartościowe i potrzebne. Jest to stwarzanie poczucia bycia superbohaterem, wybawicielem innych. Wbrew pozorom na ataki „na wnuczka” wcale nie są narażone tylko osoby starsze. W przypadku cyber-ataku zamieniamy jedynie wypadek krewnego na awarię systemu, policjanta na administratora sieci, a pieniądze na dane logowania – mechanizm działania przestępcy jest dokładnie ten sam. Sposób ten jest często stosowany łącznie ze stwarzaniem wrażenia pośpiechu i dezorientacji osoby, będącej celem ataku.

Uwaga na fałszywe telefony

Może być to wykorzystane zarówno w rozmowie telefonicznej („Nastąpiła awaria serwerów, prosimy o podanie kodu dostępu do serwerowni, musimy szybko usunąć awarię.”), korespondencji mailowej („Tu administrator, wykryliśmy atak na Pana/Pani komputer, proszę podać login i hasło do swojego komputera/poczty, abyśmy mogli zweryfikować sprawcę. Prosimy nie rozpowszechniać tej informacji, aby nie spłoszyć włamywacza.”), jak i w interakcji bezpośredniej. Prośby te są często nieracjonalne, jeśli się nad nimi dłużej zastanowić, ale fakt wykonywania operacji w pośpiechu i świadomości, że od naszej akcji zależy np. odzyskanie danych firmowych, skłania nas do pójścia drogą wskazaną przez atakującego. Poprzez pośpiech nie weryfikujemy czy strona, na której się logujemy, nie jest stroną podstawioną przez hakera lub czy osoba dzwoniąca do nas naprawdę jest tym, za kogo się podaje, a dodatkowe stwierdzenie o nierozpowszechnianiu informacji z jednej strony zapewni atakującemu czas na dalsze działania, a z drugiej sprawi, że postrzegamy siebie jako istotny element ważnej misji ratunkowej.

Atak hakerski na „stopę w drzwiach”

Reguła konsekwencji to kolejne narzędzie, które jest wykorzystywane w atakach z użyciem socjotechniki. Zaangażowanie i konsekwencja każą nam nie wycofywać się z przedstawianych przez nas przed chwilą opinii. Jedną z konkretnych technik w ramach tej reguły jest tzw. „stopa w drzwiach” (ang. FITD – foot-in-the-door). Mówi ona o tym, że po zgodzie na pierwszą, małą prośbę, jesteśmy bardziej skłonni spełnić drugą, większą i nawet niezwiązaną nijak z pierwszą.

Ludzie mają także tendencję do podążania utartymi i znany szlakami, więc jeśli np. na przełomie miesiąca w firmie pojawiają się na skrzynce mailowej duże ilości faktur, istnieje dużo większe prawdopodobieństwo, że pracownik nie będzie weryfikował załącznika, ale od razu go otworzy. Załącznik może być zainfekowany przez hakera, podszywającego się pod kontrahenta i w najlepszym przypadku skończy się to ostrzeżeniem w oprogramowaniu antywirusowym, a w najgorszym zaszyfrowaniem całego dysku (lub jeszcze gorzej wraz z podłączonym akurat w tym momencie dyskiem z kopiami zapasowymi) i żądaniem okupu.

Fałszywe mejle

Reguła niedostępności używana może być do zmuszenia osób do wykonania jakiejś akcji tylko dlatego, że jeśli nie zrobią tego teraz, stracą niepowtarzalną szansę. Dlatego też w fałszywych mailach mogą się pojawiać sformułowania typu „To jest ostatnia wiadomość przed usunięciem twojej skrzynki mailowej. Zaloguj się na nowej stronie aby zachować wszystkie swoje wiadomości i kontakty!”, „Twoje hasło wygasło i musisz je natychmiast zmienić.” lub „Na twoim komputerze wykryto groźnego wirusa! Pobierz szybko oprogramowanie antywirusowe!”. Dodatkowo mail może być wysłany w piątek po godzinach pracy tak, by osoba atakowana po przyjściu do pracy w poniedziałek pomyślała, że musi działać szybko, bo w innym wypadku straci swoje dane. Jako element potęgujący stres mogą być użyte nazwy i/lub znaki graficzne np. instytucji skarbowych lub policji.

Technika na „konia trojańskiego”

Obrona przed atakami socjologicznymi, tak samo jak same ataki, to tematyka bardzo rozległa i może być kombinacją kilku technik. W każdym jednak przypadku ataku socjotechnicznego, od najprostszego otrzymania prezentu – konia trojańskiego, poprzez próbę zawarcia z nami przyjaźni lub udawania kogoś godnego zaufania aż do próby destabilizacji otoczenia wokół nas i oczekiwania od nas bardzo podjęcia odpowiedzialnej decyzji, można wstępnie zweryfikować zasadność własnych działań i ich następstw zadając sobie jedno proste pytanie. Dlaczego? To z pozoru banalne pytanie potrafi nas w jednej chwili otrzeźwić, kiedy zdamy sobie sprawę, że tak naprawdę nie ma racjonalnego powodu, dla którego mielibyśmy wykonać jakąś czynność (lub nawet nie wolno nam jej wykonać) albo też okaże się, że atakujący zostanie zbity z tropu pytaniem, na które nie jest przygotowany. Może się oczywiście okazać, że nasz oponent przemyślał możliwe ścieżki przebiegu ataku, ale ten krok może być punktem zaczepienia w toku obrony przed atakiem socjologicznym.

Może się jednak okazać, że damy się nabrać na sztuczki hakera i podamy nasze dane dostępowe na spreparowanej stronie pułapce. Ważnym staje się wtedy, czy stosujemy wszędzie to samo hasło czy nie. Jeśli atakujący pozna nasz adres e-mail i nasze hasło, i okaże się, że tego samego hasła używaliśmy nie tylko do poczty, ale także do logowanie się wszędzie indziej (lub używamy czytelnego klucza, jak nazwa-banku123, allegro1 itd.), to możemy stracić dużo więcej niż wiadomości e-mail.
Warto zatem stosować inne hasła do poczty i każdego innego logowania, a także, tam gdzie to możliwe, stosować autentykację wieloskładnikową, z użyciem kodów sms lub urządzeń wspomagających taką autentykację. Osobną kwestią jest temat przechowywania haseł. Warto skorzystać z oprogramowania do przechowywania haseł, zabezpieczonego mocnym hasłem głównym. Trzymanie haseł (jak również innych kluczowych informacji) w wersji papierowej na biurku, obudowie komputera, monitorze czy tablicy przy biurku, może prowadzić do tego, że nawet nie będziemy wiedzieli kiedy ktoś tylko zajrzał nam w nasze miejsce pracy i zapamiętał / zrobił zdjęcie / zapisał sobie nasze hasła.

Wielość metod ataku i sposób obrony przed nimi nieustannie ewoluuje. Każdy atak, zależy w głównej mierze od wiedzy i zdolności do jej wykorzystania przez hakera. Im ostrożniejsi będziemy my, jako użytkownicy systemów informatycznych, tym trudniej będzie hakerom przejąć władzę nam naszymi danymi.

Warto postawić na prewencje, podnosić świadomość pracowników, wprowadzać polityki, procedury, zabezpieczenia aby uniknąć przykrych konsekwencji.