W dzisiejszym cyfrowym świecie, gdzie każdy z nas codziennie korzysta z Internetu do pracy, nauki i rozrywki, bezpieczeństwo w sieci stało się kwestią kluczową. Wśród wielu zagrożeń, które czyhają na użytkowników, socjotechnika i phishing to jedne z najbardziej podstępnych i niebezpiecznych metod ataków. Czym są te techniki i jak możemy się przed nimi bronić?
Socjotechniki – czym są i dlaczego tak łatwo im ulec?
Socjotechnika to sztuka manipulacji, której celem jest skłonienie ofiary do ujawnienia poufnych informacji lub wykonania określonych działań. Atakujący wykorzystują naturalne skłonności ludzi do zaufania, współczucia czy posłuszeństwa wobec autorytetów, aby zdobyć dostęp do cennych danych lub systemów. Inżynieria społeczna bardzo często bywa wykorzystywana do wykonania tzw. ataków phishingowych polegających na wyłudzeniu cennych danych takich jak hasła, numery kart kredytowych czy też danych do logowania do ważnych firmowych lub prywatnych systemów.
Bardzo często dane pozyskane w ten sposób są wykorzystane do przeprowadzania kolejnych nakierowanych ataków phisingowych, czyli tzw. ataków „spear phising”.
Przykład:
Atak wykonany na użytkowników aplikacji Appjobs.work. Jego źródło było najprawdopodobniej wewnętrzne – pracownik z uprzywilejowanym dostępem, który przez lata gromadził dane osobowe użytkowników aplikacji. Na przestrzeni lat udało mu się pozyskać dane takie jak: imiona i nazwiska, dane wynikające z umowy z Appjobs, dane o obywatelstwie, adresy zamieszkania, dane dotyczące pojazdów, numery PESEL, dokumentu tożsamości czy rachunku bankowego, dane o wynagrodzeniach, informacje o zatrudnieniu. Następnie przestępca wykorzystał je do przeprowadzenia kampanii mailowej, w której te dane zostały wykorzystane do zmniejszenia czujności potencjalnych ofiar. W mailu phisingowym podał autentyczne dane osobowe oraz numery kont bankowych swoich ofiar. W wiadomości poinformował o dodatkowym bonusie dla użytkowników aplikacji w kwocie 4000 zł, do jej wypłacenia było tylko potrzebne potwierdzenie numeru konta za pomocą „drobnej” płatności wykonanej przez blik na kwotę 400 zł.
Taka taktyka często jest wykorzystywana przez cyberprzestępców. Najczęściej nie kończy się na jednym ataku i wyłudzeniu danych, ale te dane są wykorzystywane do kolejnych ataków – najczęściej w celu wyłudzenia pieniędzy lub szantażu.
W poprzednim przykładzie pojawił się wątek obniżenia poziomu czujności ofiar ataku. Ten mechanizm jest bardzo często wykorzystywany przez przestępców. Socjotechnicy (osoby wykonujące ataki socjotechniczne) wykorzystują nasze naturalne skłonności psychologiczne w celu pozyskania zaufania. Można powiedzieć, że zamiast łamać podatności technologiczne, łamią nasze podatności psychologiczne, ludzkie. Działają na nasze emocje (zarówno pozytywne, jak i negatywne). Wykorzystują naturalną, ludzką ciekawość. Sprawiają wrażenie wystąpienia nietypowej sytuacji wymagającej pilnej reakcji. Stosują reguły: wzajemności, zaangażowania, sympatii, niedostępności, konsekwencji. Wykorzystują autorytety i zasady społecznego dowodu słuszności.
Społeczny dowód słuszności
Szczególnie mocno działającymi regułami są zasady społecznego dowodu słuszności oraz reguła autorytetu. Społeczny dowód słuszności jest regułą bardzo często wykorzystywaną w biznesie, ale może być (i najczęściej jest) używana przez cyberprzestępców w atakach socjotechnicznych. Reguła ta nawiązuje do naszych pierwotnych instynktów, które każą nam podążać za tłumem. Widzimy długą kolejkę – wzbudza to naszą ciekawość. Kupując coś w internecie, najczęściej kierujemy się ilością opinii oraz liczbą ludzi, którzy już wcześniej kupili ten produkt. Mając to na uwadze, cyberprzestępcy często podstawiają się za osoby popularne lub podają się za pracowników znanych instytucji cieszących się zaufaniem społeczeństwa.
Reguła autorytetu
Kolejną zasadą, którą stosuje w kontekście podszywania się pod inne osoby, jest reguła autorytetu. Oddziałowywuje ona na naszą psychikę szczególnie mocno. Dobrym przykłądem jej zastosowania w praktyce jest eksperyment Milgrama. Badał on posłuszeństwo wobec autorytetów. Uczestnicy, pełniący rolę „nauczycieli”, mieli aplikować wstrząsy elektryczne „uczniom” za błędne odpowiedzi, zwiększając ich natężenie z każdą kolejną pomyłką. W rzeczywistości „uczniowie” byli aktorami i symulowali odczuwanie bólu. Wyniki badania były szokujące. Większość uczestników była gotowa na polecenie podać „uczniom” wstrząsy o sile potencjalnie śmiertelnej. Pokazuje to, jak pod wpływem autorytetu jesteśmy skłonni do wykonania poleceń, których normalnie byśmy nie wykonali. Bardzo często socjotechnicy podają się za pracowników działów bezpieczeństwa lub funkcjonariuszy służb (np. policji), w celu zwiększenia naszego zaufania i zmniejszenia czujności. Miejmy to na uwadze, odbierając telefon od pracownika banku, działu IT lub policjanta. Nigdy nie wiemy, czy osoba po drugiej stronie jest tym, za kogo się podaje.
Przykład
Wykorzystanie obu tych reguł w praktyce miało miejsce podczas słynnego ataku na X (ówczesnego Twittera) z 2020 r. Przestępcy przejęli dostęp do 130 kont o wysokiej rozpoznawalności w celu promowania oszustwa związanego z Bitcoinem. Przejęto konta m.in. Joe Bidena, Baracka Obamy, Billa Gatesa czy Elona Muska. Jak to możliwe? Hakerzy wykorzystali socjotechnikę opartą na telefonie, aby próbować uzyskać dane logowania pracowników X. Pracownicy często używali telefonów komórkowych w swoich zdalnych miejscach pracy, co umożliwiło im odbieranie połączeń z numerów innych niż te „wewnętrzne”, w tym od aktorów phishingowych podszywających się pod pracowników działu IT.
Początkowo przestępcom udało się zdobyć dane logowania pracowników niższego szczebla, którzy nie mieli dostępu do narzędzi administracyjnych. Kolejne działania, oparte na uzyskanych danych, pozwoliły hakerom skompromitować osoby posiadające wymagany dostęp do narzędzia administracyjnego. Pozwalało ono między innymi resetować adresy e-mail kont użytkowników portalu, co umożliwiło nieautoryzowanym użytkownikom zmianę ich haseł. W wyniku przestępstwa doszło do wycieku danych uwierzytelniających do 130 popularnych kont. Uzyskano archiwa prywatnych wiadomości 8 użytkowników oraz dostęp do prywatnych wiadomości 36 dodatkowych osób.
Dane zostały wykorzystane do promowania oszustwa związanego z Bitcoinem. Tweety zachęcały użytkowników do wysyłania waluty na konkretny portfel kryptowalutowy, w zamian za obietnicę podwojenia pieniędzy. W ciągu kilku minut od pierwszych postów, na wskazanym portfelu pojawiło się aż 320 transakcji na łączną sumę 110 000 dolarów.
Jakie zabezpieczenia technologiczne zastosować w celu ochorony przed atakami phisingowymi:
- filtry antyspamowe,
- uwierzytelnianie e-maili,
- logowanie wieloskładnikowe.
W przypadku zastosowania wszystkich możliwych zabezpieczeń technologicznych nie możemy jednak mówić o pełni bezpieczeństwa, jeśli najsłabsze ogniwo, czyli użytkownik, nie ma odpowiedniego poziomu świadomości. Zabezpieczenia nie chronią nas przed sytuacją, w której nieświadomy zagrożeń użytkownik poda poufne informacje, dane do logowania telefonicznie lub w bezpośredniej interakcji – tak jak w przykładzie ataku na X z 2020 roku. Co za tym idzie, podstawą bezpieczeństwa w kontekście socjotechnik i phisingu są szkolenia. Na ten aspekt mocno wskazuje dyrektywa NIS2, która w artykule 89. mówi o szerokim wachlarzu środków służących poprawie tzw. cyberhigieny. Jednym z tych środków są właśnie szkolenia z zakresu ataków socjotechnicznych oraz phishingu.
Szczególnie polecam wdrożenie platformy Cybersecurity Awareness takiej jak Axence SecureTeam®. Zawiera gotowe materiały szkoleniowe dla pracowników, dotyczące najczęściej występujących zagrożeń w sieci. W odróżnieniu od standardowych szkoleń taka platforma daje możliwość nadzorowania i raportowania procesu nauki. Materiały są przygotowane w przystępny sposób, łatwy do zrozumienia, również dla osób posiadających podstawową wiedzę z zakresu obsługi komputera. Szczególną przewagą jest możliwość ponownego odtwarzania lekcji, co jest kluczowe dla procesu nauki i utrwalania nabytej wiedzy.
Podsumowanie
W dzisiejszym świecie zagrożenia związane z socjotechnikami i phishingiem stanowią realne zagrożenie. Liczba tego typu ataków z roku na rok rośnie. Są łatwe do wykonania i nie wymagają skomplikowanego zaplecza technologicznego. Warto mieć na uwadze stosowane przez przestępców metody, tak, aby zwiększyć swoją czujność i uniknąć sytuacji, w której możemy stać się ofiarą tego zagrożenia. Warto więc szkolić pracowników z takich zagadnień. Przyczyni się to do zwiększenia świadomości, czujności, a przede wszystkim bezpieczeństwa pracowników organizacji.
Przeczytaj również
