Cyberbezpieczeństwo okiem programisty

SY0-601 cheatsheet – 1.1 Social Engineering

S

Niniejszy artykuł powstał na bazie moich notatek, które sporządzam na bieżąco, przygotowując się do egzaminu CompTIA Security+ SY0-601. Notatki są w formie opisu zagadnień obowiązujących na egzaminie, zawartych na oficjalnej liście: CompTIA Security+ Certification Exam Objectives. Główne materiały, z których korzystam przygotowując się do egzaminu:

Proszę mieć na uwadze, że artykuł nie wyczerpuje wszystkich opisanych tutaj tematów, a jedynie zawierają ogólne informacje, które trzeba przyswoić przed egzaminem.


Ten artykuł koncentruje się na dziale opisującym zagadnienia inżynierii społecznej (ang. social engineering), nazywanej też inżynierią socjalną lub socjotechniką. Zgodnie z podanymi wytycznymi, na egzaminie trzeba umieć wskazać różnice i podobieństwa pomiędzy przedstawionymi zagadnieniami:


Phishing

Jedna z najpopularniejszych metod oszustwa polegająca na podszywaniu się pod zaufaną instytucję lub osobę (np. bank, firmę kurierską czy osobę publiczną) celem nakłonienia ofiary do wykonania jakiejś czynności z korzyścią dla atakującego.

Przykładowo, możemy dostać maila, który wygląda niemalże identycznie jak wiadomość z naszego banku i który informuje nas o konieczności natychmiastowej zmiany hasła do naszej bankowości internetowej, ponieważ wykryto próby włamania się na nasze konto. W mailu znajduje się link, który po kliknięciu przekieruje nas na stronę przypominającą stronę logowania do naszego systemu bankowego. Niestety, jest to witryna podstawiona przez oszustów, a my właśnie przekazaliśmy im nieświadomie nasze dane logowania.

Istnieje wiele odmian phishingu, ale aktualnie najpopularniejszym kanałem dystrybucji jest email. Jeśli mamy odrobinę szczęścia takie maile są wykrywane przez filtry antyspamowe, ale nie zawsze. Atakujący mogą wiedzieć z jakich usług zazwyczaj korzystamy i będzie próbował podszyć się pod naszych zaufanych usługodawców. Często nasilenie takich ataków następuje przy okazji ważnych wydarzeń, np. przy okazji inwazji Rosji na Ukrainę (24.02.2022) możemy spodziewać się wzrostu liczby wiadomości z linkami do fałszywych zbiórek pieniędzy na uchodźców.

Na szczęście jeśli jesteśmy czujni, istnieje małe prawdopodobieństwo, że damy złapać się na haczyk. Zawsze powinniśmy zwracać uwagę na następujące elementy i jeśli coś nam się nie zgadza, w naszej głowie od razu powinna zawyć syrena alarmowa:

  • Czy adres mailowy nadawcy jest prawidłowy i czy nie ma w nim żadnych literówek? Oczywiście, nawet jeśli adres jest prawidłowy nie powinniśmy opuszczać gardy, ponieważ ktoś mógł się podszyć pod prawdziwy adres za pomocą bardziej wyrafinowanych technik.
  • Czy link zawarty w mailu jest prawidłowym adresem URL naszego usługodawcy? Przeważnie adresy URL w przypadku oszustwa wyglądają bardzo podobnie do tych prawdziwych, ale różnią się jakimś szczegółem, takim jak literówka w nazwie domeny czy inna nazwa domeny (np. mbank.net.pl zamiast mbank.pl). Pamiętajmy jednak, żeby bardzo dokładnie przyjrzeć się adresowi URL, bo może wyglądać niemalże identycznie jak ten oryginalny (patrz Atak Homograficzny), a najlepiej po prostu wpisać ręcznie prawidłowy adres w pasku przeglądarki.
  • Kiedy już kliknęliśmy link to sprawdźmy czy nic na stronie nie wzbudza naszych podejrzeń – mogą to być np. inne czcionki niż te, które pamiętamy lub inaczej wyglądająca szata graficzna.

Więcej informacji na temat phishingu:

Smishing (SMS phishing)

Rodzaj phishingu skierowany na wiadomości SMS (Short Message Service). Zasady są podobne do tych opisanych wyżej, z tą różnicą, że fałszywe wiadomości są przesyłane za pośrednictwem protokołu SMS. W tym przypadku atakujący może również podszyć się pod prawdziwy numer telefonu (Spoofing rozmów telefonicznych). Dodatkowo, dużo łatwiej jest wygenerować istniejący numer telefonu niż istniejący adres email, ponieważ liczba możliwych numerów telefonu jest bardziej ograniczona niż liczba prawidłowych adresów email.

Vishing (voice phishing)

Krótko mówiąc, phishing za pośrednictwem komunikacji głosowej (telefonicznej oraz VoIP). Dzwoniący oszust, podając się za kogoś kim nie jest i za pomocą technik socjotechnicznych, próbuje wyciągnąć od ofiary wrażliwe informacje. Przykład popularnego ostatnimi czasy działania: Policjanci publikują rozmowę z fałszywym pracownikiem banku. Nagranie ku przestrodze.

Spear phishing

Jest to odmiana phishingu ukierunkowana na określoną osobę lub grupę osób. Jest atakiem bardziej wyrafinowanym, ponieważ wymaga pewnych przygotowań, żeby uderzyć w określoną grupę docelową. Przykładem może być fałszywa wiadomość email wysłana do pracowników firmy produkującej oprogramowanie.

Na egzaminie warto uważnie czytać pytania, ponieważ przedstawiony scenariusz można podsumować jako atak phishingowy, ale okazuje się, że jest dostępna lepsza, bardziej precyzyjna odpowiedź. W poniższym pytaniu przykładowym mamy opis scenariusza, w którym wiadomość została wysłana do osoby związanej z branżą ubezpieczeniową, więc jest to niewątpliwie przykład spear phishingu:

Eliot is a sales manager with a major insurance company. He has received an email that is encouraging him to click on a link and fill out a survey. The email message mentions a major insurance association, so it looks legitimate. How would you describe the attack?

A. Smishing
B. Phishing
[X] C. Spear phishing
D. XSS

WHALING

Szczególną odmianą ukierunkowanego ataku phishingowego jest tzw. whaling, czyli dosadnie rzecz ujmując: polowanie na grubego zwierza. Celem takiego ataku są jednostki wysoko postawione w organizacji (prezesi, dyrektorzy) lub ważne osoby posiadające duże wpływy.

Fragment filmu Wilk z Wall Street (2013).

Pharming

Jest to bardziej wyszukana forma oszustwa i od standardowego phishingu różni się zasięgiem oraz dużo wyższym stopniem zaawansowania ze względu na aspekt techniczny. W wiadomościach phishingowych mamy linki do stron, których adresy URL jedynie przypominają te oryginalne (czasami nawet bardzo), ale zawsze jest jakaś różnica, którą da się wychwycić. Atak pharmingowy natomiast charakteryzuje się tym, że adres URL jest IDENTYCZNY jak ten oryginalny, ale strona, na którą wskazuje ten adres jest już fałszywa i całkowicie kontrolowana przez atakującego.

Jest to atak, przed którym bardzo trudno się obronić, ale z drugiej strony, jego przeprowadzenie wymaga sporo wysiłku i niemałych umiejętności technicznych. Rozpatrzmy 3 możliwe metody:

  • Atak na serwer DNS, czyli całkowite przejęcie kontroli nad serwerem DNS lub zatrucie pamięci DNS (ang. DNS cache poisoning). Jeśli atakujący ma całkowitą kontrolę nad serwerem DNS to może zmodyfikować rekordy DNS w taki sposób, żeby zapytania o określoną nazwę domeny zwracały podstawiony adres IP, gdzie znajduje się strona – przynęta. DNS cache poisoning lub DNS spoofing polega na umieszczeniu fałszywych wpisów (powiązań nazwy domeny z adresem IP) w pamięci podręcznej atakowanego serwera DNS. W sieci Internet funkcjonuje wiele serwerów DNS, które komunikują się ze sobą, żeby uzyskać adres IP określonej domeny. Żeby proces ten przyspieszyć, serwery DNS zapisują w swojej pamięci podręcznej uzyskane wpisy i dzięki temu mogą od razu zwrócić zapisany wcześniej adres IP. Jeśli oprogramowanie serwera DNS zawiera luki to atakujący może spreparować odpowiedź, która wygląda tak jakby pochodziła z innego zaufanego serwera DNS, ale zawiera sfałszowane mapowanie. Skompromitowany serwer DNS zapisuje taki rekord w swojej pamięci i zwraca go za każdym razem, dopóki pamięć cache nie zostanie wyczyszczona.
Przykładowy scenariusz ataku DNS cache poisoning.
  • Modyfikacja pliku hosts w systemie. Jeśli atakujący ma pełną kontrolę nad systemem ofiary (zdalnie lub fizycznie) to może w łatwy sposób zmodyfikować lokalną listę mapowań nazw domenowych na adresy IP, która jest przechowywana we wspomnianym pliku:
    • Windows: %SystemRoot%\system32\drivers\etc\hosts
    • Linux: /etc/hosts
  • Atak na router WiFi. Jeśli ofiara korzysta z sieci za pośrednictwem routera to prawdopodobnie cały ruch sieciowy jest obsługiwany przez ten router. W takim przypadku atakujący może w jakiś sposób (np. luka w oprogramowaniu urządzenia, domyślne hasło lub jego brak) dostać się do ustawień administracyjnych i zmienić adres serwera DNS na taki, który jest kontrolowany przez atakującego.

Aby uchronić się przed takimi atakami powinniśmy być bardzo ostrożni i jeśli coś wzbudzi nasze wątpliwości (np. strona wygląda trochę inaczej niż ją ostatnio zapamiętaliśmy) wstrzymajmy się przed podaniem jakichkolwiek danych i dokładnie sprawdźmy witrynę. Zwracajmy też uwagę czy nasza przeglądarka nie zgłasza jakichś nieprawidłowości związanych z certyfikatem domeny.

Prepending

Wg autora książki Comptia Security+ Practice Tests: Exam Sy0-601 jest to jedno z dziwniejszych zagadnień pojawiających się na egzaminie i jest rzadko używane w branży. W związku z tym należy sobie zapamiętać, że termin prepending, w kontekście egzaminu, może oznaczać:

  • Dodanie wyrażenia lub frazy do adresu email, tematu wiadomości lub nagłówków (ang. headers), zazwyczaj w celu oszukania użytkownika.
  • Dodanie informacji do konwersacji celem oszukania ofiary za pomocą socjotechniki.

Generalnie, chodzi o dodanie informacji do istniejących danych, które teoretycznie nie powinny być modyfikowane. Przykładem może być dodanie litery “v” do adresu strony vvilya.pl, żeby przeprowadzić atak phishingowy. Inny przykład w postaci pytania z wyżej wymienionej książki:

What type of attack involves adding an expression or phrase such as adding “SAFE” to mail headers:

A. Pretexting
B. Phishing
C. SQL injection
[X] D. Prepending

Typosquatting

Metoda oszukiwania użytkowników wykorzystująca typowe błędy literowe w adresach URL. Innym określeniem tej metody jest URL hijacking. Technika wykorzystuje nieuwagę użytkownika i fakt, że podstawiony adres z literówką wygląda bardzo podobnie do oryginalnego.

Przykładem jest domena google.com, gdzie użytkownik może w pośpiechu wpisać błędny adres gogole.com. Akurat w tym przypadku zostajemy przekierowani na oryginalny adres wyszukiwarki, ale w innych okolicznościach możemy mieć mniej szczęścia, bo typosquatting jest często wykorzystywany do ataków phishingowych.

Spam oraz SPIM

Terminem spam określa się niechciane (ang. unsolicited) wiadomości, które przeważnie lądują w naszej skrzynce poczty elektronicznej, ale nie tylko. Często takie wiadomości mogą pojawiać się na forach internetowych, w serwisach społecznościowych czy też w komentarzach pod różnymi publikacjami. Jeśli niechciane wiadomości otrzymujemy za pośrednictwem komunikatorów internetowych (IM = Instant Messaging), możemy je zakwalifikować jako SPIM (Spam over Instant Messaging). Chodzi o to, że wiadomość przychodzą za pośrednictwem protokołu, który pozwala na wymianę danych tekstowych w czasie rzeczywistym. Ciekawostką jest to, że termin SPIM jest dzisiaj rzadko używany w branży, ale dalej pojawia się na egzaminach CompTIA Security+.

Treść spamu może być różna. Od niechcianych i natarczywych reklam, po treści propagandowe promujące pewien punkt widzenia. Często zdarza się też spam, który jest wykorzystywany do phishingu. Nawet jeśli spam wydaje się być niegroźny (np. reklama środków powiększających pewną część ciała) to ogromna ilość takich wiadomości jest utrapieniem dla administratorów. Są to znaczne ilości danych, które trzeba gdzieś przechowywać i dodatkowo ich przesyłanie może obciążać sieć. Rozwiązaniem są oczywiście różnego rodzaju filtry antyspamowe, ale one również wymagają dodatkowych nakładów finansowych.

Celem filtrów antyspamowych jest odrzucenie niechcianych wiadomości jeszcze zanim zostaną obsłużone przez wewnętrzny serwer poczty. Aktualnie istnieje wiele technik walki ze spamem, ale musimy mieć na uwadze fakt, że żadna z nich nie jest idealna. Zawsze należy dostosować odpowiednie metody do naszych potrzeb, ponieważ zbyt restrykcyjne reguły mogą odrzucać prawidłowe maile, a z kolei zbyt luźne reguły przepuszczą to czego nie chcemy. Listę różnych technik antyspamowych można znaleźć tutaj: Anti-spam techniques.

Dumpster diving

Krótko mówiąc: grzebanie w śmieciach celem zdobycia cennych informacji, które mogą się przydać do dalszych ataków. Dumpster jest amerykańskim znakiem towarowym, który stał się tak popularny, że jego mianem określa się rodzaj mobilnego kontenera na śmieci (coś jak adidasy w branży obuwniczej).

Musimy więc uważać na to co wyrzucamy do kosza. Wrażliwe dane można np. zamazać, ale powszechnie stosuje się niszczarki dokumentów (ang. paper shredder), które tną papier w taki sposób, że odczytanie z niego informacji jest ekstremalnie trudne. Nie jest to jednak niemożliwe i ktoś, komu bardzo na tym zależy, może cierpliwie poskładać dokument w całość. W związku z tym, instytucje dbające o bezpieczeństwo w najwyższym stopniu często palą ważne dokumenty zamiast je wyrzucać.

Warto również dodać, że są na rynku firmy, które specjalizują się w niszczeniu i archiwizowaniu dokumentów.

Shoulder surfing

Jest to dosłownie zerkanie przez ramię. Bardzo często widuje się osoby pracujące na swoich laptopach w miejscach publicznych, takich jak kawiarnie, lotniska czy przestrzenie coworkingowe. Osoby takie powinny być świadome, że kiedy właśnie pracują ze swoimi prywatnymi i wrażliwymi danymi, ktoś (osoba stojąca za plecami) lub coś (kamera) może podglądać co właśnie robią, włączając w to podglądanie wpisywanych haseł. W ekstremalnych przypadkach, jeśli siedzimy przy oknie, ktoś właśnie może podglądać nas przez lornetkę. W związku z tym zawsze powinniśmy być świadomi otoczenia i wybierać takie miejsca do pracy, gdzie obserwacja naszych działań jest niemożliwa albo przynajmniej bardzo utrudniona.

Fragment filmu Batman Begins (2005).

Oprócz pilnowania otoczenia możemy też skorzystać z gadżetów, takich jak np. filtr prywatyzujący (ang. privacy filter).

Tailgating

Jest to zagrożenie fizyczne i polega na tym, że osoba nieuprawniona uzyskuje dostęp do budynku instytucji, z pominięciem autoryzacji, poprzez podążanie za osobą uprawnioną. Nietrudno wyobrazić sobie scenariusz, w którym pracownik danej firmy otwiera drzwi przy użyciu swojej karty dostępu (ang. access card, badge) i ze zwykłej ludzkiej uprzejmości przytrzymuje drzwi osobie, która podąża tuż za pracownikiem.

Osoby próbujące dostać się do środka w sposób nieautoryzowany mogą być bardzo dobrze przygotowane. Mogą udawać pracownika serwisu, który właśnie przyszedł naprawić klimatyzację lub niosą jakiś duży przedmiot zajmujący obie ręce (przecież kulturalnie jest w takim przypadku pomóc i przytrzymać drzwi). W dużych firmach, gdzie niemal niemożliwe jest poznanie wszystkich współpracowników, mogą zdarzyć się osoby, które udają, że właśnie wracają z przerwy na lunch bądź papierosa i bez problemu są w stanie wejść z grupką pracowników, którzy też właśnie wrócili z przerwy.

Aby zabezpieczyć się przed tego rodzaju atakiem stosowane są następujące rozwiązania:

  • Każda osoba spoza organizacji powinna mieć plakietkę wskazującą na to, że jest tylko gościem. Dodatkowo taki gość może przebywać na terenie instytucji, ale tylko w obecności jej członka.
  • Stosowanie bramek, drzwi obrotowych czy turnikiet elektronicznych, które pozwalają przejść tylko jednej osobie, dopiero po identyfikacji za pomocą karty dostępu.
  • Uświadamianie członków organizacji i zwracanie uwagi na potencjalne zagrożenie. Należy też sobie uświadomić, że nie ma nic złego w zapytaniu osoby, której nie znamy a która przebywa na terenie instytucji, kim jest i co tutaj robi.

Invoice scams

Atak skierowany na dział finansowy lub osoby w danej organizacji, które są odpowiedzialne za opłacanie faktur. Polega na wysłaniu fałszywych faktur do osób obranych za cel w nadziei, że te przeleją określoną kwotę na rachunek atakującego. Takie faktury są bardzo dobrze przygotowane i wyglądają jak rzeczywisty rachunek za usługę zamówioną przez organizację. Dodatkowo mogą przyjść z adresu, który wskazuje, że dokument wysłała osoba decyzyjna w danej instytucji (np. dyrektor wykonawczy) – w tym przypadku atakujący mógł podszyć się pod rzeczywisty adres nadawcy (spoofing).

Oprócz nieprawdziwej faktury atakujący może również wysłać link do fałszywej strony z płatnościami online lub spreparowanej strony banku, więc ten atak może też posłużyć do przejęcia wrażliwych danych, takich jak dane logowanie do systemu bankowego czy też dane karty płatniczej.

Podsumowując, atak invoice scams służy dwóm celom: wyłudzenie pieniędzy i/lub przejęcie danych uwierzytelniających (ang. credentials).

Credential harvesting

Jest to ogólne pojęcie, które agreguje różne czynności polegające na zdobywaniu/wyciąganiu danych uwierzytelniających (głównie loginów i haseł). Brzmi to trochę jak phishing, ale nie do końca tak jest – można powiedzieć, że phishing jest tylko jedną z metod zdobywania danych uwierzytelniających. Wyciągać hasła od użytkowników można na różne sposoby: socjotechniką, złośliwym oprogramowaniem, podsłuchiwaniem niezaszyfrowanych kanałów komunikacji czy nawet za pomocą skimmingu (kradzież danych zapisanych na karcie płatniczej).

Musimy też uważać gdzie przechowujemy nasze dane uwierzytelniające i być świadomi, że osoba, która ma dostęp do naszego komputera (zdalny lub fizyczny) może bez większego problemu odczytać hasła zapisane w przeglądarkach internetowych czy też innych aplikacjach, które pozwalają na podejrzenie zapisanego hasła. Dodam również, że jeśli ktoś przechowuje dane logowania na karteczce post-it, przyklejonej do monitora, to nawet trudno nazwać to socjotechniką – bardziej selekcją naturalną ;).

Co można zrobić, żeby ograniczyć ryzyko przed takimi działaniami:

  • Edukacja i uświadamianie użytkowników o zagrożeniach wynikających z:
    • ataków phishingowych;
    • instalowania podejrzanego oprogramowania i otwierania plików MS Office z nieznanych źródeł (złośliwe makra);
    • używania identycznych danych logowania do różnych usług i/lub przechowywanie tych danych w postaci jawnej, w łatwo dostępnym miejscu.
  • Stosowanie wieloetapowego uwierzytelniania (MFA = Multi-Factor Authentication) gdzie tylko to możliwe. Dzięki temu mamy szansę ochronić nasze konto, nawet jeśli ktoś przejmie nasz login i hasło, bo oprócz tych danych zostaniemy poproszeni o dodatkową weryfikację (np. wpisaniu kodu z wiadomości SMS, która przyszła na nasz numer telefonu).
  • Ograniczone użycie zewnętrznych bibliotek programistycznych, skryptów czy wtyczek (plug-in). Każdy taki zewnętrzny moduł powinien zostać bardzo dokładnie sprawdzony pod kątem bezpieczeństwa zanim zostanie użyty.
  • Ciekawą techniką, która prawdopodobnie nie pojawi się na egzaminie w tym kontekście, jest podejście Risk-based Access Control (istnieje kilka wariacji tego określenia, np. Risk-Based Conditional Access; Risk-Based Authentication; Risk-Adaptable Access Control). Generalnie chodzi o to, że polityka przyznawania dostępu do określonych zasobów jest definiowana dynamicznie, np. na podstawie zachowania użytkownika. Jeśli system stwierdzi, że zachowanie danego użytkownika jest podejrzane, może poprosić go dodatkowe uwierzytelnienie lub całkowicie go zablokować. Często w takich sytuacjach wykorzystywane jest uczenie maszynowe, żeby system był w stanie określić, które zachowania użytkowników odbiegają od normy i stanowią zwiększone ryzyko.

Przykładowe pytanie, żywcem wyjęte z wspomnianej wcześniej książki ComptTIA Security+ Practice Tests: Exam Sy0-601 (powołuję się na prawo cytatu):

Susan wants to reduce the likelihood of successful credential harvesting attacks via her organization’s commercial websites. Which of the following is not a common prevention method aimed at stopping credential harvesting:

A. Use of multifactor authentication.
B. User awareness training.
[X]
C. Use of complex usernames.
D. Limiting or preventing use of third-party web scripts and plugins.

Watering hole attack

Jeśli organizacja jest bardzo dobrze chroniona (tj. infrastruktura nie ma żadnych znanych podatności; wdrożone polityki bezpieczeństwa są dobrze przemyślane i respektowane; członkowie są dobrze przeszkoleni oraz świadomi zagrożeń), atakujący ma bardzo nikłe szanse powodzenia w bezpośrednim ataku. W takim przypadku jest zmuszony zmienić strategię i zastosować technikę, którą można przetłumaczyć jako zatruty wodopój bądź atak u wodopoju (ang. watering hole attack).

Ta strategia polega na określeniu miejsca, poza atakowaną organizacją, gdzie zazwyczaj gromadzą się i przebywają jej członkowie. Może to być miejsce fizyczne, takie jak kawiarnia chociaż częściej jest to zewnętrzny serwis internetowy (third party). Kolejnym krokiem jest atak na zidentyfikowany cel pośredni, który jest słabiej chroniony. Polega zazwyczaj na zainfekowaniu strony złośliwym oprogramowaniem, dzięki czemu istnieje duże prawdopodobieństwo, że członkowie organizacji również zostaną zainfekowani i da to atakującemu upragniony dostęp do instytucji docelowej. Aby uniknąć wczesnego wykrycia atakujący często próbuje zainfekować jedynie wąską grupę odwiedzających skompromitowaną stronę, np. infekując tylko użytkowników z określonymi adresami IP, związanych z docelowo atakowaną organizacją.

Przykładem takiego ataku z naszego podwórka jest atak na instytucje bankowe w Polsce, gdzie prawdopodobnym źródłem złośliwego oprogramowania był serwer Komisji Nadzoru Finansowego (KNF), który jest często odwiedzany przez pracowników bankowości. Więcej informacji o tym ataku można znaleźć w sieci, na przykład w artykule Poważny atak na polskie banki mniej tajemniczy.

Hoax

Dosłowne tłumaczenie tego terminu to oszustwo, mistyfikacja, bujda. Myślę, że każda osoba, która spędza czas w Internecie niejednokrotnie natknęła się na informację, która mogła wydawać się prawdziwa, ale ostatecznie okazała się kłamstwem.

To zjawisko może przybierać różne formy: od wiadomości email, przez irytujące okienko popup w przeglądarce, aż po wiadomość głosową w naszej poczcie głosowej. Takie oszustwo nie zawsze jest poważnym zagrożeniem, ale może być bardzo irytujące, ponieważ niepotrzebnie angażuje nasz czas i energię. Wystarczy sobie przypomnieć różnego rodzaju łańcuszki rozsyłane za pośrednictwem poczty elektronicznej, komunikatorów internetowych czy mediów społecznościowych. Na przykład: Uwaga! Obecnie w sieci krąży bardzo niebezpieczny wirus, który rozprzestrzenia się za pośrednictwem Facebooka i może usunąć wszystkie Twoje dane. Wystarczy, że ktoś wyśle Tobie spreparowaną wiadomość i możesz się zarazić nawet bez klikania w link. Wyślij tę wiadomość do swoich znajomych, żeby byli świadomi zagrożenia. Oczywiście, jest to bzdura.

Oprócz irytowania ludzi, oszustwa mogą być wykorzystane do ataków phishingowych (afrykański książę jest zmuszony przekazać część swojego majątku w darowiźnie akurat Tobie, żeby otrzymać spadek po ojcu – wystarczy, że odpiszesz na tego maila) jak i do prób zainfekowania systemów użytkowników złośliwym oprogramowaniem (malware). Przykładem mogą być też różne komunikaty, które pojawiają się na podejrzanych stronach internetowych, mówiące, że urządzenie (np. telefon z systemem Android) jest zainfekowane i należy ściągnąć oprogramowanie antywirusowe dostępne pod podanym adresem URL. Jeśli w to uwierzymy i klikniemy w link, to rzeczywiście może dojść do infekcji. W tym przypadku robi się groźnie, ponieważ może to doprowadzić do wycieku wrażliwych danych lub utraty środków finansowych.

Jak się bronić:

  • Stosuj zasadę mocno ograniczonego zaufania. Zawsze sprawdzaj źródło otrzymanej informacji i pamiętaj, jeśli coś brzmi za dobrze to najprawdopodobniej nie jest prawdziwe. Takie rzeczy się NIE zdarzają: Złapał scammera na gorącym uczynku :).
  • Pod terminem hoax możemy również umieścić wszystkie fake newsy. Jeśli nie mamy pewności co do prawdziwości otrzymanej informacji, możemy ją zweryfikować za pomocą dedykowanych serwisów, na przykład:
  • Większość takich wiadomości jest identyfikowana jako spam przez filtry antyspamowe, więc upewnijmy się, że z nich korzystamy.

Influence campaigns

Pod tym pojęciem kryją się kampanie informacyjne, które subtelnie (lub mniej subtelnie) wpływają na opinię publiczną. Wprawdzie taka kampania nie musi być manipulacją, bo może być prowadzona przez uczciwą osobę lub instytucję, która chce przedstawić pewien polityczny punkt widzenia lub ukazać jakiś problem społeczny. Bądźmy jednak świadomi, że jest to narzędzie, które może również posłużyć do ataku.

Social media

Popularyzacja mediów społecznościowych zrewolucjonizowała sposoby wpływania na opinię publiczną. Kiedyś wystarczyło do tego posiadanie prasy, radia bądź telewizji. Dzisiaj, kiedy za sprawą Internetu i mediów społecznościowych dostęp do informacji jest błyskawiczny, a ich rozpowszechnianie swobodne, klasyczne media utraciły swoją hegemonię. Osobiście, bardzo cenię sobie wolność informacyjną, ale jestem świadomy ceny, jaką trzeba zapłacić za tę wolność ze względu na potencjalne zagrożenia (np. wszędobylskie fake newsy).

Nietrudno sobie wyobrazić jak jakieś państwo (nation-state actor) wykorzystuje media społecznościowe, żeby wpłynąć na wyniki wyborów lub oddziaływać na opinię publiczną w innym kraju. Takie zjawisko można wyraźnie zaobserwować nawet teraz, w dobie wojny na Ukrainie (mowa o tzw. ruskich trollach).

Takie kampanie dezinformacji nie są prostą sprawą i wymagają wielu środków do realizacji, zarówno finansowych jak i ludzkich. Wykorzystane mogą być też boty. Przeprowadzenie takiej kampanii może wyglądać następująco:

  1. Inicjator (bad actor) tworzy określoną liczbę fałszywych kont w mediach społecznościowych. Utworzeni użytkownicy istnieją tylko online, ale wydają się być prawdziwymi ludźmi.
  2. Fałszywi użytkownicy zaczynają publikować treści, które mają przekonać opinię publiczną do określonej idei. Informacje są publikowane w wielu miejscach jednocześnie.
  3. W pewnym momencie te treści znajdują odbiorców w postaci prawdziwych użytkowników, którzy zaczynają je udostępniać dalej, powodując efekt kuli śnieżnej.
  4. Masowe media (klasyczne), które chcą być na bieżąco, dostrzegają nowy trend i również zaczynają promować treści wygenerowane w punkcie pierwszym.

Hybrid warfare

Okazuje się, że takie fałszywe kampanie informacyjne mogą posłużyć jako broń w wojnie. Mówimy wtedy o wojnie hybrydowej, czyli strategii wojennej łączącej działania konwencjonalne z niekonwencjonalnymi instrumentami siłowymi i dywersyjnymi (wliczając w to kampanie dezinformacyjne i ataki cybernetyczne).

Działania niekinetyczne mogą wyrządzić szkody nie mniejsze niż użycie siły kinetycznej (konwencjonalny atak zbrojny), a są mniej kosztowne i mniej ryzykowne. Ataki cybernetyczne na infrastrukturę oraz subtelne kampanie dezinformacyjne mogą znacznie zdestabilizować atakowane państwo. Atakujący ma jeszcze tę przewagę, że bardzo trudno jest jednoznacznie określić agresora. Więcej na temat wojny hybrydowej można przeczytać w tym artykule: Wojna hybrydowa – nowe zagrożenia, złożoność i „zaufanie” jako antidotum.

SOCIAL ENGINEERING – fundamenty

Inżynieria społeczna to złożone techniki manipulacji oparte na psychologii, stosowane w celu wyłudzenia informacji lub nakłonieniu do realizacji określonych działań. Głównym celem inżynierii społecznej nie jest zmuszanie ludzi do robienia tego, czego nie chcą, ale wskazanie im kierunku, w którym oni sami podążą z przekonaniem o słuszności swojego wyboru.

Poniższe zagadnienia stanowią fundament inżynierii społecznej, dlatego umieściłem je w jednym rozdziale.

Impersonation

W dosłownym tłumaczeniu jest to udawanie kogoś innego niż się jest w rzeczywistości i stanowi absolutną podstawę udanego ataku socjotechnicznego. Często atakujący podszywa się pod personę, która stoi wyżej w hierarchii organizacji niż osoba atakowana. Jest to czynnik psychologiczny, który może wywierać dodatkową presję na ofiarę i przez to będzie łatwiej nakłonić ją do zrobienia tego czego chce oszust.

Reconnaissance

Rekonesans (rozpoznanie) jest niezbędnym elementem udanego ataku socjotechnicznego i stanowi przeważnie pierwszy krok w jego realizacji. Dobrze przeprowadzone rozpoznanie pozwala precyzyjnie ustalić ofiarę ataku i określić pod jaką osobę lub instytucję należy się podszyć oraz jaki wymyślić pretekst (ang. pretext), żeby atak się powiódł. Jest to punkt wyjściowy do kolejnych etapów opisanych poniżej. Mała uwaga: na egzaminie, termin “rekonesans” może odnosić się również do etapu poprzedzającego wykonanie testów penetracyjnych.

Pretexting

Atakujący musi mieć dobry pretekst, żeby nakłonić swoją ofiarę do ujawnienia cennych informacji. Innymi słowy, musi wymyślić naprawdę zgrabną i wiarygodną bajeczkę, żeby ofiara w nią uwierzyła. Starannie przeprowadzony rekonesans owocuje nawet kilkoma scenariuszami. Atakujący może często posługiwać się technicznym żargonem, żeby jeszcze bardziej uwiarygodnić swoją historię. Aby utrudnić opracowanie dobrego pretekstu musimy być świadomi tego, co publikujemy w Internecie. Pozornie nieszkodliwe informacje umieszczane w mediach społecznościowych mogą posłużyć do opracowania naprawdę wiarygodnej historyjki. Przykładowe preteksty:

  • Dzień dobry, nazywam się Danuta Norek i dzwonię z Banku Centralnego Wakandy. Wykryliśmy na Pani koncie podejrzaną aktywność i tymczasowo zablokowaliśmy środki celem weryfikacji. Czy mogłaby Pani zalogować się do swojego banku przez link, który przed chwilą został wysłany i potwierdzić, że operacja została zlecona przez Panią?
  • Cześć, Karol! Dzwonię z 3-go piętra, z działu IT. Marek (atakujący wie, że tak ma na imię menadżer Karola) prosił mnie, żebym zresetował hasła w Waszym zespole, bo okazało się, że komunikacja między usługami AWS, a naszym serwerem Kerberos była po HTTP zamiast po HTTPS i byliśmy narażeni na sniffing. Czy mógłbyś zresetować swoje hasło przez link, który zaraz Tobie wyślę?
  • Jesteś 1000 osobą, która odwiedziła tę witrynę, w związku z tym przygotowaliśmy dla Ciebie małą niespodziankę. Wystarczy, że wypełnisz ten formularz…

Eliciting information/Elicitation

Kiedy ofiara złapała haczyk i zaufała atakującemu, rozpoczyna się proces wydobywania cennych informacji, czego ofiara nawet nie jest świadoma. Jakie są to informacje, to już zależy od celu ataku. Mogą to być dane logowania, adresy email czy też dane osobowe, które mogą później posłużyć do innych ataków lub oszustw. Na tym etapie warto wspomnieć o tym, że ataki socjotechniczne mogą być przeprowadzone w ramach zamówionych testów penetracyjnych. W takim przypadku, pentester może próbować wyciągnąć informacje o infrastrukturze sieci, używanych w firmie usługach i innych danych, które przydadzą się do późniejszych ataków.

Identity fraud

Jak już zostało wspomniane wcześniej, oprócz loginów i haseł, oszuści mogą próbować zdobyć nasze dane osobowe (imię, nazwisko, adres zamieszkania, PESEL/Social Security Number etc.), które mogą później posłużyć do kradzieży tożsamości. Jest to bardzo poważny problem, ponieważ oszust posługując się naszymi danymi jest w stanie wziąć pożyczkę w naszymi imieniu, otworzyć rachunek bankowy czy nawet zlecić przelew. Oczywiście renomowane banki powinny mieć procedury, które uniemożliwiają taki proceder, ale firmy oferujące tzw. chwilówki już niekoniecznie.

Principles (reasons for effectiveness)

Poniżej znajduje się lista podstawowych zasad inżynierii społecznej opierających się na wybranych błędach poznawczych. W realnych sytuacjach używa się zazwyczaj więcej niż jednej reguły – przykładowo, często z podszywaniem się pod autorytet (authority) dochodzi element zastraszania (intimidation). Trzeba o tym pamiętać na egzaminie, jeśli padnie pytanie jednokrotnego wyboru z przykładowym scenariuszem ataku, a nam będą pasowały 2 odpowiedzi. W takim przypadku musimy się chwilę zastanowić i wybrać tę, która najlepiej pasuje.

Authority

Zgodnie z tą regułą atakujący wykorzystuje siłę autorytetu, podając się za osobę lub organizację, do której zazwyczaj czuje się respekt, czy to ze względu na pozycję (np. CEO firmy), czy też ze względu na kompetencje (np. dział wsparcia technicznego). Na przykład:

  • Atakujący przedstawia się jako dyrektor finansowy (CFO) organizacji i prosi osobę z działu finansowego o opłacenie faktury, którą wysłał w załączniku.
  • Atakujący przedstawia się jako członek zespołu wsparcia technicznego firmy i informuje, że na kilku stacjach roboczych wykryto groźnego wirusa i prosi o ściągnięcie specjalnej aplikacji mającej za zadanie przeskanować system i usunąć wirusa.

Intimidation

W dosłownym tłumaczeniu jest to zastraszanie. Generalnie chodzi o to, żeby przekonać ofiarę, że w razie zaniechania przez nią żądanej czynności, mogą zdarzyć się bardzo nieprzyjemne konsekwencje, zarówno dla samej ofiary jak i dla innych ludzi. Atakujący może nawet użyć subtelnej groźby, np. jeśli tego nie zrobisz, będę zmuszony powiadomić o tym Twojego menadżera. Inne przykłady zastraszania:

  • Ignorując poniższą wiadomość narażasz się na odpowiedzialność karną.
  • Zainstaluj oprogramowanie antywirusowe na swoim telefonie, z którego logujesz się do bankowości elektronicznej, inaczej możesz stracić wszystkie środki na koncie.
  • Social engineering in penetration testing: Intimidation – ciekawa historia żołnierza Armii USA, który musiał zmierzyć się z atakiem socjotechnicznym opierającym się na regule autorytetu (authority) i zastraszania (intimidation). Okazuje się, że broń palna też przydaje się do obrony przed socjotechniką ;).

Consensus/Social proof

Społeczny dowód słuszności czyli zasada, według której ludzie często robią to co inni ludzie, szczególnie jeśli sami nie do końca wiedzą jak się zachować. Innymi słowy, określone zachowanie jest uważane za poprawne, jeśli inni ludzie też się tak zachowują. Wykorzystując tę zasadę, atakujący może nas przekonać do wykonania określonej czynności sugerując, że inni też tak zrobili/robią. Przykładowe scenariusze:

  • Anna ma wątpliwości odnośnie oprogramowania, które chce zainstalować w swoim systemie, więc szuka informacji na jego temat w sieci. Trafia na forum, gdzie użytkownicy zachwalają dostępne funkcje i twierdzą, że aplikacja jest bezpieczna. Anna ściąga i instaluje oprogramowanie – niestety, okazuje się, że to malware. W tym przypadku twórca złośliwego oprogramowania “podłożył” spreparowane informacje na forum, korzystając z fałszywych kont użytkowników.
  • Hej, czy mógłbyś podać nam informacje dotyczące Twojego systemu operacyjnego? Dzięki temu pomogłem już Kasi, Bartkowi i Tomkowi (z Twojego działu) uporać się z problemami technicznymi.

Scarcity

Reguła opierająca się na widmie niedostatku i bardzo mocno związana z regułą opierającej się na presji czasu (urgency). Okazuje się, że wystarczy przekonać człowieka do tego, że zasób, którego potrzebuje i jest dla niego bardzo ważny, stanie się wkrótce niedostępny (albo będzie bardzo trudny do zdobycia), a zapomni o rozsądku. Wystarczy przypomnieć sobie co działo się na stacjach benzynowych w Polsce, w dniu agresji Rosji na Ukrainę (24.02.2022). Inny przykład:

  • Do użytkownika przychodzi email z wiadomością, że określony pakiet oprogramowania będzie dostępny za darmo, ale tylko dla 50 pierwszych osób, które go ściągną.

Ogólnie jest to bardzo ciekawe zagadnienie z zakresu psychologii społecznej, ponieważ powoduje pośrednio, że rzadkie towary są takie cenne.

Familiarity/Liking

Wykorzystanie skłonności do ufania ludziom, których się lubi lub przynajmniej zna. Atakujący może też wykorzystać informacje z naszego konta w mediach społecznościowych i udawać, że ma z nami wspólnych znajomych. Będzie mu wtedy łatwiej grać rolę ziomka, któremu można zaufać.

Jako przykład można tutaj podać reklamy środków i usług wątpliwej jakości, w których wykorzystuje się wizerunek osób znanych i lubianych (w większości przypadków bez ich zgody). Możemy sobie łatwo wyobrazić zastosowanie podobnych zagrywek do przeprowadzania ataków.

Urgency

Reguła presji czasu jest ściśle powiązana z regułą ograniczonej dostępności (scarcity) i jej wykorzystanie wiąże się z wywarciem nacisku na ofiarę, która jest zmuszona do szybkiego podjęcia decyzji. Pod wpływem takiej presji istnieje prawdopodobieństwo, że decyzja będzie niewłaściwa. Przykładowy scenariusz:

  • Jeśli szybko nie odblokujesz tych przelewów (link w załączniku) to pracownicy Twojego działu nie dostaną wypłaty na czas – jest tutaj obecny element zastraszenia (intimidation), ale do tego scenariusza bardziej pasuje reguła ograniczonego czasu (urgency).

Trust

Zaufanie wobec dowolnego obiektu (człowieka, rzeczy, instytucji) jest wiedzą lub wiarą, że dany obiekt zachowa się tak jak się tego spodziewamy w określonych warunkach. Zdobycie zaufania jest podstawą i celem wszystkich technik inżynierii społecznej dlatego trudno jest podać przykład, który odnosiłby się wyłącznie do tej reguły. W rzeczywistości pasują tutaj wszystkie scenariusze wykorzystujące takie reguły jak siła autorytetu (authority), społeczny dowód słuszności (consensus) oraz znajomość (familiarity).

Studium przypadku

Fragment filmu Hakerzy (1995).

W ramach rozluźnienia spróbujmy przeanalizować powyższy fragment starego filmu Hakerzy, który przedstawia atak socjotechniczny przeciwko pracownikowi ochrony o imieniu Norman, celem zdobycia dostępu do sieci stacji telewizyjnej.

Główny bohater przedstawia się jako Eddie Vedder z działu księgowości. Mamy więc element podszywania się pod inną osobą (impersonation).

Następnie przedstawiona jest całkiem zgrabna historyjka nakreślająca tło do dalszych działań (pretext), czyli tłumaczenie, że z powodu awarii zasilania został utracony ważny plik z projektem, który miał być gotowy na jutro. Jeśli nasz bohater go nie odda w terminie, wpadnie w poważne tarapaty. W tym przypadku została użyta reguła presji czasu (urgency). Warto też zaznaczyć, że w pretekście został użyty żargon, który brzmi bardzo skomplikowanie: “My BLT drive on my computer just went AWOL“. W rzeczywistości są to bzdury, ale Norman o tym nie wie, ponieważ nie jest osobą techniczną. Można pokusić się o stwierdzenie, że atakujący chciał w ten sposób zbudować swój autorytet (authority), co spowodowałoby, że Normanowi trudniej byłoby odmówić wykonania prośby.

Później pojawia się żart o japońskich metodach zarządzania, co dodatkowo mogło wzbudzić w Normanie sympatię do swojego rozmówcy (familiarity/liking). Kiedy atakujący stwierdził, że ochroniarz połknął haczyk, przeszedł do sedna i poprosił o podanie informacji, na której mu zależało (eliciting information).

To tylko moje przemyślenia, które umieściłem tutaj dla zabawy. Jeśli ktoś ma jakieś uwagi odnośnie tej krótkiej analizy, zapraszam do podzielenia się nimi w komentarzach.

Obrona

Aby obronić się przed atakami socjotechnicznymi musimy być bardzo czujni. Pamiętajmy, że nigdy i pod żadnym pozorem nie powinniśmy podawać naszych haseł – prawdziwy i rzetelny usługodawca nigdy o nie nie poprosi. Powinniśmy też być bardzo ostrożni, jeśli chodzi o podawanie naszych danych osobowych. Czasami musimy je podać celem weryfikacji, ale jeśli pojawi choć cień wątpliwości, że osoba po drugiej stronie nie jest tą, za którą się podaje, natychmiast zamykamy dziób (mówiąc dosadnie) i upewniamy się, że nie trafiliśmy na oszusta (np. rozłączamy się i dzwonimy do instytucji, z której rzekomo jest nasz rozmówca, żeby to potwierdzić).

Powyższy akapit skupia się na bezpośrednim kontakcie telefonicznym (vishing), ale pamiętajmy, że oszuści mogą używać różnych mediów komunikacji, co zostało już wspomniane w sekcji traktującej o phishingu.

O autorze

Łukasz Mieczkowski

Programista, który zainteresował się cyberbezpieczeństwem.

6 komentarzy

Cyberbezpieczeństwo okiem programisty

Łukasz Mieczkowski

Programista, który zainteresował się cyberbezpieczeństwem.

Kontakt

Zapraszam do kontaktu za pośrednictwem mediów społecznościowych.