„Jak nie drzwiami to oknem” — tym mottem zdaje się kierować coraz więcej cyberprzestępców i niestety mają w tym sporo racji. Wystarczy, że w miejsce „drzwi” podstawimy zabezpieczenia systemowe, a „okna” — pracowników. Dziś porozmawiamy o socjotechnikach, za pomocą których, hakerzy przeprowadzają swoje ataki.
Czym są socjotechniki i dlaczego w ogóle powinno Cię to obchodzić?
Być może sądzisz, że nie grozi Ci atak hakerski. Ba, jeśli prowadzisz biznes, prawdopodobnie zrobiłeś już wiele, aby nie dostał się on w ręce przestępców. Ustawiłeś silne hasła do kont firmowych. Zadbałeś o wysokiej jakości kod źródłowy strony. Zainwestowałeś w oprogramowanie antywirusowe i karty dostępu dla pracowników. Niestety, to wciąż może być za mało.
System bezpieczeństwa jest tak bezpieczny, jak jego najsłabsze ogniwo — nieważne czy jest nim słaba zapora sieciowa, czy „Pan Mietek”, który kliknie link, przesłany na jego służbową pocztę przez nigeryjskiego księcia.
Domyślasz się, do czego zmierzam?
Socjotechniki to metody manipulacji człowiekiem, mające na celu nakłonienie go do podjęcia określonych czynności. Nie trudno domyślić się, jakie akcje są na rękę cyberprzestępcom. Podanie danych logowania, wpuszczenie do budynku, pobranie zawirusowanego pliku — przykłady można mnożyć. Łączy je jedno: na końcu haker dostaje dokładnie to, czego chce. Aktualnie najczęstszym celem ataków jest pozyskanie dostępu do zasobów w firmie, w celu ich zaszyfrowania i zażądania okupu.
Wiesz już, czym są socjotechniki i dlaczego musisz bronić przed nimi swoją firmę. Czas dowiedzieć się więcej o tym, z jakich metody korzystają hakerzy.
Socjotechniki stosowane przez cyberprzestępców
Techniki używane przez cyberprzestępców możemy podzielić na wirtualne, fizyczne i mieszane (hybrydowe). Przyjrzymy się po kolei każdej grupie.
Metody wirtualne: phishing, fake news i inne
Jedną z najpopularniejszych metod wirtualnych jest phishing. Jest to niespersonalizowany, zwykle masowy, atak, najczęściej za pomocą fałszywych e-maili lub przekierowywań na sfabrykowane strony internetowe.
Odmianą phishingu jest spear-phishing. Jest on atakiem ukierunkowanym na konkretną osobę. Haker wybiera sobie ofiarę, a następnie planuje atak, uwzględniając jej słabości.
Przykładem spear-phishingu, wzbogaconego dodatkowo o metodę fake news jest wykonanie przez hakera telefonu do osoby odpowiedzialnej za Public Relations z prośbą o wypowiedź odnośnie głośnej afery związanej z firmą. Niepodejrzewająca niczego ofiara dopytuje o jakiej aferze mowa, na co rzekomy dziennikarz przesyła na jej skrzynkę mailową link do spreparowanego artykułu o chwytliwym tytule np. „Firma X zamyka oddział w Poznaniu. Szykują się masowe zwolnienia”. Po chwili na stronie pojawia się pop-up, zawierający link do wirusa. Ofiara klika, żeby zamknąć go i wznowić lekturę artykułu, a wirus trafia prosto do jej komputera. Co więcej, jeśli prześle ona stronę kolejnym osobom w firmie — co prawdopodobnie nastąpi — w niedługim czasie wirus obejmie całe przedsiębiorstwo.
Istnieje jeszcze jeden typ phishingu — whaling. W tym przypadku atak ukierunkowany jest na pracowników wysokiego szczebla, takich jak CEO lub CTO. Wybór jest nieprzypadkowy. Osoby znajdujące się wysoko w biurowej hierarchii, zwykle mają pełen dostęp do interesujących hakera poufnych danych.
Nie zapominajmy też o deepfake, czyli sfałszowanych nagraniach audio lub video. Wystarczy, że haker skorzysta z, chociażby, oprogramowania autorstwa Lyrebird, dzięki któremu wystarczy zaledwie minutowa próbka głosu, aby stworzyć jego cyfrowe odwzorowanie. Następnie może wykorzystać je np. do podszycia się pod prezesa firmy, który dzwoni do pracownika z poleceniem wykonania pilnego przelewu ze służbowego konta. Deepfake to stosunkowo nowe, ale bardzo poważne, zagrożenie.
Pretexting to próba pozyskania wrażliwych danych poparta brzmiącym wiarygodnie pretekstem. Haker może na przykład zadzwonić do firmy, podszywając się pod konkretną instytucję (np. bank, w którym prowadzone jest konto firmowe) twierdząc, że ma do przekazania ważne informacje, ale najpierw prosi o potwierdzenie tożsamości. Zaaferowany pracownik, chcąc jak najszybciej dowiedzieć się, o co chodzi, bez zastanowienia poda przestępcy dane, o które ten zapyta.
Metody fizyczne
Kiedy mowa o hakerach, wielu ludzi wyobraża sobie zakapturzonego mężczyznę, siedzącego w ciemnym pokoju, który rozświetlona tylko blask ekranu komputera. Ten znany z okładek gazet obraz, niekoniecznie dobrze odzwierciedla rzeczywistość. Hakerzy działają też w świecie rzeczywistym — i to z sukcesami.
Jedną z socjotechnik jest przebranie. Haker może pojawić się w firmie, na przykład udając serwisanta znanej firmy usługowej, któremu rzekomo zlecono zainstalowanie sterowników do drukarki. Wybierze przy tym idealny moment, kiedy w biurze nie ma akurat żadnej osoby, która mogłaby potwierdzić, czy faktycznie wzywano fachowca. W rezultacie, nie chcąc niepokoić szefa telefonami po godzinach, pracownik udostępni serwisantowi komputer celem zainstalowania sterowników i w pakiecie z nimi otrzyma złośliwe oprogramowanie.
Inną metodą wykorzystywaną podczas ataku socjotechnicznego jest baiting. Nazwa pochodzi od angielskiego słowa „bait” — przynęta. Skojarzenie z łowieniem ryb jest tu nieprzypadkowe. Tak jak rybak zawiesza na wędce robaka, tak i haker może podrzucić do firmy np. zainfekowany pendrive opatrzony intrygującą nalepką: “Wynagrodzenia”.
Tailgating to z kolei wejście w dane miejsce osoby do tego nieupoważnionej. Przykładem może być przytrzymanie przez pracownika drzwi do firmy spieszącemu się człowiekowi. Tailgating najczęściej ma miejsce w dużych przedsiębiorstwach, gdzie zatrudnieni nie znają wszystkich współpracowników.
Mieszane (hybrydowe)
Wśród cyberprzestępców popularne jest też łączenie metod wirtualnych i fizycznych. Wszystko po to, aby przeprowadzać jeszcze skuteczniejsze ataki.
Przekonali się o tym pracownicy warszawskiej korporacji, którzy kilka miesięcy temu otrzymali na służbowe maile informację o otwarciu nowej pizzerii i 30% zniżce dla pierwszych klientów. Podekscytowani szybko zorganizowali w firmie Pizza Day. Do biura trafiło 8 pudełek pizzy oraz gratis w postaci LED-owych lampek na USB — oczywiście zainfekowanych wirusem. Niepodejrzewający niczego pracownicy natychmiast podpięli prezent do swoich komputerów, dając do nich zdalny dostęp hakerom.
Na szczęście dla firmy, za atakiem staliśmy my 🙂
Cała akcja została przeprowadzona w ramach zleconego nam audytu bezpieczeństwa. Jeśli temat Cię zaciekawił, możesz poczytać więcej w artykule „Pizza Day – socjotechnika czai się wszędzie”.
6 reguł Cialdiniego
Niezależnie od metody, jaką wybiorą, cyberprzestępcy, przeprowadzając atak, często sięgają po 6 reguł wywierania wpływu, przedstawionych w bestsellerowej książce Roberta Cialdiniego pt. „Wywieranie wpływu na innych”. Aby lepiej zobrazować Ci działanie każdej z nich, przygotowaliśmy tabelkę z podsumowaniem:
Reguła wzajemności
O co chodzi: Kiedy ktoś wyświadcza nam przysługę, czujemy się zobowiązani odpłacić się tym samym.
Jak korzystają z niej hakerzy: Haker może zainscenizować sytuację, podczas której pomoże swojej ofierze, np. pozbierać dokumenty, które wypadły jej z rąk po tym, jak sam ją potrącił („Przepraszam, to mój pierwszy dzień w pracy, niezdara ze mnie…”). Następnie, zdobywszy zaufanie ofiary, poprosi o to, czego chce — przykładowo o możliwość wejścia do firmy („Zostawiłem kartę w biurze, a to mój pierwszy dzień, szef nie może się dowiedzieć…”).
Reguła zaangażowania i konsekwencji
O co chodzi: Ludzie lubią uważać się za konsekwentnych w działaniu. Gdy poświęciliśmy czemuś sporo czasu i energii, podejmowanie kolejnych zobowiązań przyjdzie nam dużo łatwiej, niż wtedy, gdy tego nie zrobiliśmy.
Jak korzystają z niej hakerzy: Pracownik, który zgodził się już na jedną prośbę hakera (np. wpuszczenie do firmy), prawdopodobnie zgodzi się też na kolejne (np. udostępnienie firmowego komputera). Z każdą spełnioną prośbą, rośnie szansa na akceptację kolejnych.
Reguła społecznego dowodu słuszności
O co chodzi: Kiedy inni postępują w dany sposób, łatwiej jest nam uwierzyć, że jest on właściwy i podejmować te same działania.
Jak korzystają z niej hakerzy: Pamiętasz przykład z Pizza Day? Gdy pracownicy warszawskiej korporacji otrzymali w gratisie do pizzy zainfekowane pendrivy, wystarczyło, że jeden z nich podpiął swój do komputera — reszta bez zastanowienia poszła w jego ślady.
Reguła sympatii
O co chodzi: Gdy kogoś lubimy, chętniej spełnimy jego prośby.
Jak korzystają z niej hakerzy: Wróćmy do przykładu z podszyciem się pod nowego pracownika, który zapomniał zabrać karty z biura i prosi, żeby go wpuścić („To mój pierwszy dzień, szef nie może się dowiedzieć…”). Tu też zadziała reguła sympatii — wielu pracowników nie odmówi udzielenia pomocy czarującemu niezdarze.
Reguła autorytetu
O co chodzi: Chętniej spełniamy prośby osób, mających w naszych oczach autorytet lub władzę.
Jak korzystają z niej hakerzy: Cyberprzestępca może podszyć się pod ważną osobę w firmie (w kontakcie mailowym/telefonicznym) lub kogoś cieszącego się szacunkiem — strażaka, policjanta (korzystając z przebrania).
Reguła niedostępności
O co chodzi:To, co rzadkie lub trudne do osiągnięcia, uważamy za cenniejsze.
Jak korzystają z niej hakerzy: Kto z nas choć raz nie otrzymał powiadomienia, że właśnie wygrał smartfona i musi spieszyć się, by go odebrać? No właśnie. To doskonały przykład jak hakerzy wykorzystują regułę niedostępności.
Jak uchronić firmę przed atakiem socjotechnicznym?
Oczywiście, wymienione powyżej socjotechniki nie są wszystkimi, z jakich korzystają hakerzy. Z roku na rok pojawiają się nowe metody, tak samo, jak powstają nowe wirusy. Najlepszą obroną przed nimi pozostają czujność i zdrowy rozsądek.
Aby uchronić się przed atakiem socjotechnicznym:
- Nie wykonuj czynności automatycznie — wyrób w sobie nawyk przeczytania adresu linku przed jego kliknięciem, dokładnego sprawdzania adresu mailowego nadawcy, porównania danych na wydrukowanych fakturach z danymi z elektronicznej wersji itd.;
- Stosuj zasadę ograniczonego zaufania — proś fachowców, którzy przychodzą do firmy o okazanie legitymacji, nie otwieraj drzwi tym, którzy nie mają karty dostępu;
- Regularnie aktualizuj system operacyjny oraz oprogramowanie antywirusowe — wymagaj też tego od pracowników pracujących na własnych urządzeniach (zdalnie);
- Zadaj sobie pytanie „Dlaczego?” — zanim zdecydujesz się spełnić przekazaną przez nieznajomego, prośbę, zastanów się co za nią stoi. Czy jest uzasadniona? Czy na pewno istnieje dobry powód, aby ją spełnić — i abyś zrobił to właśnie Ty?
- Upewnij się, z kim rozmawiasz — jeśli masz wątpliwości co do rozmówcy, wpleć w rozmowę błędne stwierdzenie, które u prawdziwej osoby szybko wywoła zdziwienie. Przykład? Proszę bardzo. Wyobraź sobie, że odbierasz telefon z działu księgowości kontrahenta z prośbą o zmianę numeru konta do przelewów. Możesz zapytać na przykład czy Zosia wróciła już z macierzyńskiego, wiedząc, że w firmie nie pracuje żadna Zosia;
- Potwierdzaj informacje u źródła — czasem wystarczy tylko jeden telefon z zapytaniem o przesłaną mailowo prośbę (np. zmianę numeru konta na fakturze), aby uniknąć tragedii.
Uczul swoich pracowników na kwestie bezpieczeństwa
To, że Ty masz świadomość zagrożenia, nie znaczy, że ma ją każdy w Twojej firmie. Hakerzy dobrze o tym wiedzą i często za cel obierają sobie pracowników pozbawionych nawet podstawowej wiedzy o cyberbezpieczeństwie. Nic dziwnego — przekonanie do podania danych logowania „pani Krysi” z recepcji jest zwykle łatwiejsze niż nakłonienie do tego członka zarządu.
Idealnie byłoby, gdyby każdy pracownik Twojej firmy zdawał sobie sprawę z grożących mu niebezpieczeństw i wiedział jak się przed nimi bronić. Na dobry początek możesz podrzucić im ten artykuł (np. w newsletterze wewnętrznym).
Przeprowadź testy socjotechniczne
Słowa mają to do siebie, że szybko ulatują z pamięci. Za to przeżycia, zwłaszcza te powiązane z silnymi emocjami, zostają w niej znacznie dłużej. A czy może być coś bardziej zapadającego w pamięć pracownika, niż odkrycie, że to właśnie z powodu popełnionych przez niego błędów, hakerzy dokonali udanego ataku na firmę?
Na szczęście nie musisz stawiać firmy w obliczu realnego zagrożenia, aby uczulić pracowników na kwestie cyberbezpieczeństwa. Wystarczy symulacja przeprowadzona przez CyberForces, w ramach testów socjotechnicznych.
Jak wyglądają takie testy krok po kroku?
- Podpisujemy umowę o poufności danych — Choć zawsze dbamy o bezpieczeństwo informacji, zdobytych podczas „ataku”, rozumiemy, że „papier to papier” i chcemy, abyś czuł się komfortowo;
- Rozmawiamy o Twojej firmie — Każdy biznes jest inny. Rozmowa pomoże nam lepiej zrozumieć strukturę Twojej firmy, jej kluczowe zasoby i pracowników — a następnie dopasować do nich testy;
- Ustalamy punkty wejścia — Szukamy luk w Twoich zabezpieczeniach, korzystając przy tym z ogólnodostępnych źródeł (informacje o firmie i pracownikach dostępne w sieci), weryfikujemy wektory ataku i ich wykorzystanie;
- Opracowujemy strategię — Wspólnie przygotowujemy scenariusz testu, dbając, aby był on jak najbardziej realistyczny;
- Testujemy — Oto moment, na który czekaliśmy od początku. Teraz okaże się, czy Twoi pracownicy są gotowi, aby odeprzeć atak hakera. Nasi specjaliści przeprowadzają ustalony scenariusz, np. włamanie do siedziby firmy, albo atak zdalny z wykorzystaniem spear-phishingu.
- Ustalamy co dalej — Po przeprowadzeniu testu, otrzymujesz od nas raport, ukazujący zarówno przebieg samego testu (do jakich zasobów uzyskaliśmy dostęp, jakie były punkty wejścia), jak i nasze rekomendacje (jakie obszary należy wzmocnić, jak opracować protokoły postępowania w takich sytuacjach). Proponujemy też przeprowadzenie szkolenia z pracownikami, aby wiedzieli jak radzić sobie z zagrożeniami w przyszłości.
Podsumowanie
Scenariuszy cyberataków jest wiele (i wciąż przybywają nowe!), ale główny sposób na obronę przed nimi się nie zmienia — jest nim zdrowy rozsądek.
Zadbaj, aby nie zabrakło go Tobie i Twoim pracownikom. Jak wspominaliśmy, na początek, możesz dać im do przeczytania ten artykuł. Jeżeli czujesz, że to za mało (a prawdopodobnie masz rację), rozważ przeprowadzenie testów socjotechnicznych w swojej firmie.