Socjotechnika a ataki cybernetyczne

Zazwyczaj, kiedy statystyczny człowiek słyszy o cyberatakach, to w głowie od razu pojawiają mu się obrazy ponurych geniuszy stukających w klawiatury przy niebieskim świetle monitorów. W rzeczywistości jednak najskuteczniejszy atak cybernetyczny wcale nie musi opierać się o zaawansowane kodowanie. Wystarczy, że jest skonstruowany w oparciu o metody, które wykorzystują mechanizmy rządzące ludzką naturą.

Mowa tutaj o socjotechnice, gdzie podczas przeprowadzenia testu podatności, największą luką w bezpieczeństwa okazuje się człowiek.

Człowiek – najsłabsze ogniwo

Wszystkie wspaniałe systemy świata, firewalle, antywirusy, analizatory logów itp. na nic się zdadzą, jeśli użytkownik sam wyłoży swoje hasło na srebrnej tacy dla kelnera. Socjotechnika jest metodyką, sztuką manipulacji, która wykorzystuje psychologię do zdobycia informacji potrzebnych, aby uzyskać dostęp do systemów. Nikt wcale nie musi mozolnie łamać zabezpieczeń – wystarczy, że skutecznie przekona się ofiarę, żeby sama otworzyła drzwi.

Kevin Mitnick – mistrz socjotechniki

Jeśli mielibyśmy wskazać króla i prekursora socjotechniki cybernetycznej, to prawdopodobnie byłby nim Kevin Mitnick – legenda hakerskiego świata, a następnie wieloletni, doskonały ekspert ds. cyberbezpieczeństwa wielu organizacji. Powtarzał, że łamał ludzi, a nie hasła, tzn, że zamiast klasycznych metod typu brute-force, wolał po prostu zadzwonić do danej firmy i podać się za administratora IT, prosząc o „tymczasowy” dostęp. Jaki był efekt? Włamywał się tam, gdzie nikt nawet nie podejrzewał, że to możliwe. Jego metody były tak skuteczne, że FBI przez lata ścigało go jako jednego najgroźniejszych terrorystów, a po aresztowaniu na wszelki wypadek trzymano go w totalnej izolacji, jak żartował – „żebym nie mógł zainicjować zmasowanego ataku nuklearnego z więziennego aparatu telefonicznego„.

Jak metody wykorzystuje socjotechnika?

Potencjalny atakujący wcale nie potrzebuje Twojego hasła – on sprawi, że sam mu je podasz. Jak? Np. poprzez:

• Phishing – przychodzi mail od „banku”, który prosi o pilne potwierdzenie danych. Niedoświadczony użytkownik klika w link, wpisuje hasło i… już go nie odzyska.
• Pretexting – Do nieprzeszkolonego z zakresu cyberbezpieczeństwa użytkownika dzwoni ktoś z „działu IT”, który musi pilnie sprawdzić konto w systemie. Oczywiście potrzebuje do tego loginu i hasła.
• Baiting – Nieświadomy użytkownik wychodzi z pracy na parkingu przed firmą widzi pendrive z napisem „wynagrodzenia”. Ciekawy podłącza go, żeby zobaczyć, co tam jest. Właśnie zainstalował malware.

Jak się bronić?

Oczywiście nie chodzi o to, żeby popaść w paranoję i traktować każdego rozmówcę jak potencjalnego szpiega, lecz o budowanie świadomości i swego rodzaju cechy zdrowej podejrzliwości.

Kilka podstaw:

• Nigdy nie podawaj haseł przez telefon.
• Nie klikaj w linki w podejrzanych mailach
• Jeśli dostajesz dziwną prośbę, to najpierw sprawdź czy pochodzi z wiarygodnego źródła.
• I najważniejsze: inwestuj w edukację i szkolenia dotyczące cyberbezpieczeństwa.

Dziękujemy, że dotarli Państwo do końca naszej lektury.

Polecamy usługi Grupy E, polegające na wdrażaniu systemów cyberbezpieczeństwa, a także zapraszamy do bezpłatnej konsultacji dot. poprawy poziomu cyberodporności i dostosowania usługi Security Operations Center do Państwa potrzeb.