Preizkus, na katerem pademo vsi

Objavljeno: 13.6.2017 | Avtor: Miran Varga | Kategorija: Fokus | Revija: Posebna 2017

Ljudje smo najšibkejši člen informacijske varnosti. Hekerji in drugi kriminalci, ki obvladajo tehnike socialnega inženirstva, izkoriščajo človeške napake, naša čustva in občutke, da bi se denarno ali kako drugače okoristili – fizično ali virtualno. Podleže jim lahko vsak.

Sletna prosta enciklopedija Wikipedija ima termin socialno inženirstvo (angl. social engineering) zelo natančno opredeljen. Gre za med nepridipravi in še posebej prevaranti najpogosteje uporabljene tehnike zlorabe osebnih in drugih podatkov. Poznamo več deset različnih tehnik, s katerimi napadalec od žrtve ali žrtev pridobi zaupne podatke in informacije s pomočjo zlorabe zaupanja. Ta manipulacija je večinoma psihološko pogojena, saj napadalec uporablja različne psihološke tehnike, kot so prigovarjanje, vzbujanje zaupanja, uporaba vpliva in podobno, ter z uporabo socialnih veščin in zlorabo zaupanja pridobi od žrtve zaupne informacije, do katerih sicer ni pooblaščen. Kljub temu da je socialno inženirstvo tesno povezano z napadi na informacijske sisteme, pa ne smemo pozabiti, da je temeljni cilj teh tehnik pridobitev podatka ali informacije, ki se ne pojavlja nujno samo v digitalni obliki, temveč tudi kot pisano besedilo, slika, ustni podatek ali informacija. Pridobljene informacije lahko napadalec uporabi za pridobivanje premoženjske koristi, redkeje pa se lahko zgodi, da jih uporabi tudi v druge namene, kot so izsiljevanje, grožnje, šikaniranje ali drugo spravljanje žrtve v slabši in nelagoden položaj. Hekerji vse raje uporabljajo tehnike socialnega inženirstva, saj prek posameznikov lažje vstopijo v podjetje, na račun žrtev tudi brišejo svoje sledi, saj prevarajo posameznika v to, da sprejme denar ali namesti škodljivo kodo. V nadaljevanju opisujemo nekaj najpogostejših napadov s tehnikami socialnega inženirstva.

Telefonski klic

Prav neverjetno je, kaj vse je mogoče doseči že s preprostim telefonskim klicem. In to v organizacijah, kjer informacijska varnost ni pisana zgolj z veliko začetnico, temveč kar s tiskanimi črkami. Lani si je drzni heker privoščil ameriški zvezni preiskovalni organ FBI. Poklical je na tamkajšnjo linijo podpore uporabnikom in se predstavil kot nov zaposleni, ki še ne zna delati z intranetnim portalom. Čeprav so ga sprva vprašali po žetonu z geslom, so mu že v nadaljevanju ponudili svojega. Ob naslednjem kliku je imel prevarant dostop do sistema. Rezultat? 20.000 datotek organizacije FBI je pristalo javno dostopnih v spletu, heker je imel dostop do imen in kreditnih kartic zaposlenih. Po vsega dve minuti trajajočem telefonskem pogovoru! Tak klic se lahko pripeti vsakomur, napadalci pogosto merijo tudi na ljudi, ki imajo pooblastila za ravnanje z denarjem, npr. računovodje ali direktorje. Izvršni direktor podjetja Ubiquiti Networks Inc. je pred dvema letoma postal žrtev takšne prevare in na Kitajsko nakazal 46,7 milijona dolarjev (kljub hitremu posredovanju je podjetje pridobilo nazaj manj kot tretjino sredstev).

E-poštne prevare

Napadalci imajo zelo radi tudi e-poštne prevare, saj so te, posebej v angleško govorečem svetu, prav tako zelo učinkovite. Najprej ustvarijo e-poštni naslov, ki je na prvi pogled povsem enak naslovom v naši domeni, ter uporabijo ime zaposlenih z vrha hierarhije, saj je očitno, da bodo podrejeni njihova navodila izvršili v celoti. Kako napadalci pridobijo imena vodij oddelkov in drugih odločevalcev ali vodstva? Z različnih javnih seznamov, družabnih omrežij, LinkedIna, spletne strani podjetja pa tudi s preprostim skeniranjem prometa prek odprtih vrat omrežja. Napadalec potem le še počaka, da bo tisti, za katerega se pretvarja, odsoten z delovnega mesta, da žrtev ne more takoj preveriti informacij. Zelo veliko e-poštnih prevar se zgodi prav v času praznikov … Če želi napadalec okužiti računalnik žrtve in prevzeti nadzor nad njim, navadno v e-sporočilo doda priponko, okuženo s škodljivo kodo, ter besedilo oblikuje tako, da prejemnika nagovori k odprtju (temu sledi okužba).

Proti takim prevaram se je zelo težko boriti. Varnostni strokovnjaki svetujejo, naj zaposleni v podjetju, ki izvajajo plačila, in tisti, ki jih lahko avtorizirajo, med seboj vzpostavijo še tako preprosto dvofaktorsko avtentikacijo. Torej zgolj navodilo o nakazilu, poslano prek e-pošte, ne zadostuje, temveč si morata strani ustno (!) izmenjati tudi geslo, za katero sta se dogovorili.

Tehnika ribarjenja

Napadalci se precej pogosto pretvarjajo, da uporabnikom pišejo v imenu oddelka IT ali oddelka podpore uporabnikom in od njih zahtevajo zamenjavo gesla, pri čemer mora žrtev na spletni strani, ki je lahko na videz povsem enaka tisti, katero dejansko uporablja podjetje, vnesti tako staro kot novo geslo. S tem napadalec dobi dostop bodisi do sistema, omrežja, aplikacije, pač tarče, za katero je zahteval zamenjavo gesla. Tudi napadi s tehnikami ribarjenja so v praksi zelo učinkoviti, saj žrtve niti ne sumijo, da gre za prevaro. Varnostni strokovnjaki svetujejo, da v teh primerih uporabniki preverijo naslov spletne strani in morebitne varnostne elemente, npr. ikonico ključavnice, ki kaže, da je povezava varna/šifrirana. Uporabnikom odsvetujejo klikanje kakršnekoli povezave v e-poštnih sporočilih, ki vodijo do družabnih omrežij, nagradnih iger ali anket oziroma raziskav.

Kako se ubraniti tehnik socialnega inženirstva?

Različnih napadov in prevar se lahko uporabniki ubranijo le, če jih poznajo. Kako doseči visoko raven poznavanja in zavedanja digitalnih groženj in tehnik socialnega inženirstva, je v teoriji bistveno preprosteje kakor v praksi. So le štirje koraki, in sicer:

1. Izobraževanje zaposlenih.

2. Preverjanje osvojenega znanja.

3. Ukvarjanje z zaposlenimi, ki imajo težave.

4. Dodatno in redno izobraževanje o novostih, osveževanje znanja.

V praksi se zalomi že pri tem, da podjetja, ki se sploh odločijo za izobraževanje zaposlenih s tega področja, svoje delo končajo po opravljenem prvem koraku. A tudi drugi – tega lahko izvajajo zaposleni v podjetju ali tretje osebe (priporočljivo) – in nadaljnja dva koraka sta nujno potrebna, če naj organizacija dvigne svojo stopnjo varnosti.

Premeteni spletni napadalci pogosto postavijo spletne strani, ki spominjajo na uradne dveri podjetij in organizacij, razlikujejo se le v kakšni črki ali dveh, prav tistih, pri katerih je največja možnost, da se posameznik zatipka. In tako namesto uradne strani, dobi na zaslon grafično identično podobo prevarantske strani, namenjeno zbiranju podatkov – ko vnese svoje uporabniško ime in geslo, včasih pa tudi druge podatke, odvisno od tega, kako dobro prevarant pozna sam sistem, stran uporabnika preusmeri v pravi sistem in svoje napake sploh nikoli ne opazi, prevaranti pa ob kakšni drugi priložnosti izkoristijo zbrane podatke za napad ali zlorabo.

Pasti v obliki ključkov USB in zgoščenk

K tehnično preprostim, a prav tako učinkovitim prevaram sodi tudi naslednji trik, ki izkorišča človeško radovednost. Heker v prostorih podjetja pusti ključek USB ali zgoščenko z zanimivim napisom, npr. plače april 2017 ali kaj podobnega. V primeru zgoščenke lahko na nalepko natisne podobo priljubljenega glasbenega izvajalca ali skupine. Ko žrtev ključ USB ali zgoščenko vstavi v računalnik, se zažene škodljiva koda, ki odvisno od uspešnosti okužbe napadalcu omogoči prevzem nadzora nad računalnikom, krajo podatkov itd. Za še pristnejši napad lahko heker na ključek USB naloži vrsto datotek in pristnih dokumentov, oziroma v primeru glasbene zgoščenke več skladb.

Vzdrževalci in serviserji

Drzni hekerji se tako v filmih kot v realnem življenju pogosto oblečejo v vzdrževalce in serviserje ter osebju v podjetju sporočijo, da potrebujejo dostop do sobe z opremo IT, telekomunikacijske omarice, strežniške sobe in podobnega. Nič hudega sluteče zaposlene pogosto zamotijo še z zgodbicami o tem, da zamujajo, pa s klici »navideznih« šefov ipd. Ko je heker enkrat sam v prostoru in z opremo, ki jo išče, lahko zlorabi karkoli. Včasih pa takšne »izlete« hekerji uporabijo samo za ogled prostorov in puščanje vab v obliki že opisanih ključkov USB ali zgoščenk.

Prevare v družabnih omrežjih

Spretni napadalci so seveda nastanek družabnih omrežij zgrabili z obema rokama. Zelo pogosto v teh omrežjih ustvarjajo lažne blagovne znamke in profile, ki so zelo podobni že uveljavljenim blagovnim znamkam. Pri tem so zelo skrbni, saj gradijo na videz legitimne profile in zbirajo uporabnike. Tem nato pošiljajo kakšne novičke in zanimivosti, v katere vstavljajo povezave do spletnih strani s škodljivimi kodami ipd., kjer se uporabniki okužijo (oziroma okužijo svoje naprave) ali pa nepridipravom razkrijejo svoje prijavne podatke. V slednjem primeru hekerji dostop do uporabnikovega profila izkoristijo za pošiljanje okuženih povezav vsem prijateljem in znancem ter hitro širjenje okuženih datotek.

Celo v »profesionalnih« družabnih omrežjih, kakršno je LinkedIn, ne manjka prevarantov. Ti se uporabnikom prek zasebnih sporočil najpogosteje predstavijo kot kadroviki kakšnega znanega podjetja in jim ponujajo privlačna delovna mesta. Seveda spet prek povezav, ki vodijo do prevarantskih ali s škodljivimi kodami okuženih spletnih strani, na katerih o posameznikih zberejo cel kup osebnih podatkov – največkrat pod pretvezo preverjanja podatkov. S pridobljenimi osebnimi podatki lahko v nadaljevanju počno karkoli, še največkrat ti uporabniki postanejo žrtev zlorabljene spletne identitete.

Nevrolingvistično programiranje

Tako kot se najboljši prodajalci zatekajo k nekaterim tehnikam nevrolingvističnega programiranja v želji, da bi jih stranke vzljubile, tudi hekerji s pridom posvojijo iste metode. Najboljši med njimi znajo žrtev idealno posnemati, tako po tonu glasu kot po govorici telesa. Z uporabo istega besednjaka vzpostavljajo nezavedno povezavo s tarčo, v nadaljevanju pa s spremenjeno govorico telesa, dihanjem in pogovorom v žrtvi izzovejo želene občutke in jo prej ali slej obvladajo. Vse z jasnim ciljem: od nje pridobiti ključne informacije.

Obratno socialno inženirstvo

Ena najdrznejših tehnik je tudi obratno socialno inženirstvo. Gre za precej obsežno prevaro. Heker najprej napade omrežje ali sistem podjetja in povzroči nekaj škode ter pusti nekaj sledi. Nato se podjetju predstavi kot svetovalec ali strokovnjak za varnost, ki je odkril dokaze o napadu na spletno stran ali aplikacijo in podjetju ponudi ureditev varnostnih razpok za manjše plačilo. Ker je ponudba predobra, da bi jo podjetje zavrnilo, prikritemu napadalcu da (popoln) dostop do svojih virov IT, kjer nato v nadaljevanju postori praktično vse, kar se je namenil postoriti. Še več, tudi če kdo posumi vanj, se vedno lahko izgovori, da je težava posledica prvega hekerskega napada.

Ne podcenjujte zaposlenih

Opisali smo le nekaj izmed več de­set tehnik socialnega inženirstva. Večina temelji na pridobivanju dostopa do virov podjetja. A še bolj kot zunanji napadalci so lahko za podjetje škodljivi nezadovoljni zaposleni, ki z zlorabo ali krajo podatkov prav tako povzročijo veliko škodo – še posebej, ker točno vedo, kaj iskati in kje. Raziskave kažejo, da kar 63 odstotkov zlorab podatkov izvira iz podjetja.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki