Artykuł pochodzi z wydania: Listopad 2022
W cyberprzestępczym świecie funkcjonują ataki, które pozwalają uzyskać dostęp do wartościowych danych często bez użycia ani jednej linijki kodu. Oparte są na podstępie i manipulacji, a hakuje się w nich nie sprzęt czy software, tylko człowieka.
Nic tak nie drażni ścisłych umysłów informatyków, administratorów i specjalistów z blue teamów w całym wielkim świecie IT jak fakt, że często czynnikiem decydującym o skuteczności działania systemów bezpieczeństwa jest człowiek. Triada CIA – poufność (confidentiality), integralność (integrity) i dostępność do informacji (availability) – oparta na twardych i nieugiętych regułach matematycznych musi ustąpić miękkiej psychologii ludzkiego umysłu. Można stwierdzić, że techniki inżynierii społecznej to rodzaje exploitów przygotowanych na ludzi, fragmenty kodu ich psychiki spreparowane tak, by móc wykorzystać ich największe podatności – strach, ekscytację, chciwość, ciekawość czy złość.
Z rocznego raportu CERT Polska „Krajobraz bezpieczeństwa polskiego internetu w 2021 roku” (na ten rok jeszcze się nie ukazał) wynika, że socjotechniki są wciąż jednym z bardziej eksploatowanych i skutecznych wektorów ataku. Wśród 29 483 zarejestrowanych unikalnych incydentów cyberbezpieczeństwa najpopularniejszym typem w 2021 r. był phishing, który stanowił aż 76,57% wszystkich obsłużonych zdarzeń, czyli 22 575 incydentów. Był to wzrost aż o 196% w porównaniu do roku poprzedniego. Dlaczego to użytkownicy wciąż są najsłabszym ogniwem tego łańcucha bezpieczeństwa? Być może dlatego, że nie da się pobrać łatki na głupotę. A tak zupełnie poważnie, wynika to z niewiedzy – ludzie nie spodziewają się, że mogą stać się ofiarą ataku, nie znają metod i technik, które stosują złośliwi aktorzy. Zazwyczaj w ogóle nie znają się na bezpieczeństwie – obeznani są z tym, co robią na co dzień. Wielu konsumentów i pracowników może nie nadążać za postępującym wyścigiem zbrojeń w zdobywaniu danych i nie zdawać sobie sprawy z zagrożeń, takich jak np. pobieranie plików w trybie drive-by. Ludzie mogą również nie rozumieć pełnej wartości swoich danych osobowych, takich jak numer telefonu. W rezultacie wielu użytkowników nie wie, jak najlepiej chronić siebie i swoje informacje, dlatego to w nich i ich zawodność celują cyberprzestępcy. Dobrze przygotowany phishing może zadziałać na każdego, nawet na osoby wyedukowane czy wręcz z działów bezpieczeństwa.
> Socjotechniki
W kontekście bezpieczeństwa informacji inżynieria społeczna to termin określający szeroki zakres złośliwych działań realizowanych poprzez interakcje międzyludzkie. To taktyka wpływania lub oszukiwania ofiary wykorzystująca manipulację psychologiczną, aby skłonić użytkownika do popełnienia błędów bezpieczeństwa oraz przekazania poufnych informacji w celu uzyskania kontroli nad systemem komputerowym lub kradzieży informacji osobistych i finansowych. Zatem bardziej niż na penetracji sprzętowych i software’owych systemów bezpieczeństwa skupia się na hakowaniu człowieka.
Ataki socjotechniczne przebiegają w jednym lub kilku etapach. Sprawca najpierw bada obraną ofiarę, aby zebrać niezbędne informacje, takie jak potencjalne punkty wejścia i słabe protokoły bezpieczeństwa, potrzebne do przeprowadzenia ataku. Następnie atakujący stara się zdobyć zaufanie ofiary i dostarczyć bodźców do kolejnych działań, które łamią praktyki bezpieczeństwa, takich jak ujawnienie poufnych informacji lub udzielenie dostępu do krytycznych zasobów. Tym, co czyni inżynierię społeczną szczególnie niebezpieczną, jest fakt, że opiera się ona na błędach ludzkich, a nie na lukach w oprogramowaniu i systemach operacyjnych. Błędy popełniane przez prawowitych użytkowników są znacznie mniej przewidywalne, przez co trudniej je zidentyfikować i udaremnić niż włamanie oparte na złośliwym oprogramowaniu.
Dyrektor techniczny Symantec Security Response – firmy odpowiedzialnej za antywirusa Norton – również potwierdził, że złośliwi aktorzy na ogół nie próbują wykorzystywać luk technicznych w systemie. Zamiast tego kierują się w stronę użytkownika: „Nie potrzeba aż tylu umiejętności technicznych, aby znaleźć jedną osobę, która może być skłonna, w chwili słabości, otworzyć załącznik zawierający złośliwą zawartość”. Tylko około 3% złośliwego oprogramowania próbuje wykorzystać wadę techniczną. Pozostałe 97% próbuje oszukać użytkownika poprzez jakiś schemat inżynierii społecznej.
[…]
Adam Kamiński
Autor jest testerem oprogramowania oraz entuzjastą technologii kwantowych i rozproszonych rejestrów. Redaktor prowadzący „IT Professional”.