Jak „pracują” socjotechnicy?

Jak „pracują” socjotechnicy?

Ostatnio byłem na wykładzie człowieka, który miał przekazać nam czym jest socjotechnika i pokazać jak się przed nią bronić oraz jak wygląda atak socjotechniczny. Wykład z samą socjotechniką miał wspólnego całe pięć minut reszta to było wykrywanie ataków.

Czym więc jest socjotechnika ?

Definicja wg. Wikipedii mówi : to zespół technik służących osiągnięciu określonych celów poprzez manipulację społeczeństwem. To tyle co mówi regułka. A jak jest naprawdę?

Ja nazwałbym socjotechnikę jako zespól technik nadużywających zaufania osoby na której socjotechnika jest stosowana.

Osobiście dzielę socjotechnikę na część techniczną oraz tę, bardziej ciekawą, psychologiczną.

W części technicznej można wykorzystać mnóstwo dostępnych teraz środków popularnie nazywanych narzędziami hackerskimi. Ja jednak nie będę się nimi tutaj zajmować. Jednak, żeby je wykorzystać musza one zostać odpowiednio „sprzedane” ofierze.

Jak przeprowadzić dobry atak socjotechniczny? Nie ma sztywnej reguły, jednak atak można podzielić na kilka faz.

Faza rozpoznania.

W tej fazie socjotechnik posłuży się wszystkimi dostępnymi mu źródłami wiedzy na temat ofiary. Użyje portali społecznościowych takich jak Facebook, Linkedin. Sprawdzi zawartość skrzynki pocztowej, tej tradycyjnej. Postara się poznać nawyki ofiary, gdzie i co lubi jadać, jak spędza czas wolny. Posłuży się osobą trzecią do wywiadu środowiskowego – sąsiedzi są niesamowitym źródłem informacji. Generalnie w fazie rozpoznania socjotechnik musi wiedzieć prawie wszystko o swojej ofierze. W ostateczności podejmie kroki w celu zainstalowania podsłuchu zarówno na telefonie ofiary jak i w jej mieszkaniu. W fazie rozpoznania socjotechnik nigdy nie podejmuje żadnych przedmiotów należących do ofiary. W tej fazie chodzi o pozyskanie wiedzy o ofierze, a nie korzyści.

Faza ataku.

Socjotechnik zazwyczaj wpływa na uczucia ludzi takie jak strach, chciwość, ciekawość. Będzie starał się wykorzystać nasze uczucia do uzyskania tego czego on sam będzie oczekiwał. Faza ta ma na celu pozyskanie przez socjotechnika rzeczy, lub częściej informacji dla której przeprowadza cały atak. Socjotechnik w tej fazie musi być zdeterminowany i jeśli wkracza w rolę musi być do niej przekonany. Przykładowo jak gra ochraniarza to musi być przekonany o tym, że jest ochroniarzem. Nie może wyjść z roli.

Faza zacierania.

W tej fazie socjotechnik stara się aby materiały przez niego wykorzystane były usuwane z miejsca zdarzenia. Chodzi o zacieranie śladów po jego bytności.

Przykład ataku.

Powiedzmy, że naszą ofiarą jest kobieta. Pracuje w firmie i ma dostęp do danych, które nas interesują na jej komputerze. Narzędziem do przeprowadzenia ataku będzie odpowiednio spreparowany pendrive, który musi znaleźć się w porcie USB ofiary.

Socjotechnik najpierw zbiera informacje. Z portalu społecznościowego oraz z podsłuchanych na podwórku informacji zna także upodobania ofiary, wie o jej zamiłowaniu do dalekich podróży, zna nazwiska i maile jej najbliższych współpracowników w biurze. Wie jakim samochodem kobieta się porusza i wie także, ze bardzo o niego dba, jest to jej oczko w głowie.

Socjotechnik przygotowuje fałszywą stronę biura podróży. Koniecznie musi być na niej kilkanaście ofert oraz ta która zainteresuje koniecznie ofiarę. Wysyła na adres służbowy ofiary i jej koleżanki, która jest na wakacjach, ofertę z fałszywej strony biura podróży. W ofercie jest podany numer kontaktowy do socjotechnika. Socjotechnik zna numer telefonu komórkowego ofiary. Uzyskał go dzwoniąc do sekretariatu firmy, udając że nie może się skontaktować z ofiarą pozyskał numer od sekretariatu. Często też w firmach sekretariaty podają numery telefonów służbowych pracowników jako ogólnodostępne. W przypadku innych numerów niż numer ofiary rozmowy są ignorowane.

Kiedy zadzwoni ofiara socjotechnik wchodzi w rolę sprzedawcy. Wmawia osobie, że ma bardziej atrakcyjną ofertę niż ta podana na stronie i wspomina w trakcie rozmowy ze z jej formy też już ktoś jest od nich na wakacjach. Chodzi o tę koleżankę której dane socjotechnik też pozyskał z portali. Umawia się z ofiarą, ze dostarczy jej tę ofertę jeszcze dziś za 20 minut. I prosi, żeby się z nią zapoznać, bo dziś a w zasadzie za dwie godziny kończy się ta oferta. Działania socjotechnika są ukierunkowane na czas działania podczas tej fazy, nie daje ofierze szansy na przemyślenie działań.

socjol_01Punktualnie o tej godzinie o której powiedział ofierze socjotechnik melduje się przed wejściem do firmy. Socjotechnik tym razem gra rolę sprzedawcy z biura podróży. Plakietka z imieniem i nazwiskiem, telefon, słuchawka BT w uchu, folder z biura podróży – ważne są obrazki. Jednak socjotechnik nie chce się spotkać z ofiarą. Przeprowadza kolejną operację. Musi wybawić ofiarę z biura. Telefonuje do sekretariatu i przekazuje osobie informację, że właśnie na parkingu został uszkodzony samochód o numerach rejestracyjnych i prosi o poinformowanie właściciela o tym fakcie. Uszkodzenie jest pod samochodem, coś z niego wycieka. Pozostaje mu czekać. Kiedy tylko ofiara opuszcza budynek. Socjotechnik podąża do recepcji. Prosi o połączenie z telefonem ofiary. Oczywiście tamten telefon nie odpowiada. Prosi wiec recepcjonistę o przekazanie koperty wraz z pendrivem ofierze. Ponieważ się spieszy do następnego klienta. Informuje też recepcjonistę o tym, że w środku jest koperta z adresem zwrotnym, która należy odesłać wraz z wypełnionym drukiem oraz pendrivem. Socjotechnik usuwa się z firmy. Wsiada do swego samochodu i czeka.

Ofiara po podłączeniu pendrive widzi katalog zdjęć, i dokument do wypełnienia wraz z ofertą. Plik jest zarażony trojanem, który w momencie uruchomienia go przekazuje zawartość dysku do komputera socjotechnika.

Ofiara wypełnia formularz, wkłada pendrive do przygotowanej koperty. Po wyjściu z pracy wrzuca go w najbliższej skrzynce pocztowej.

Socjotechnik osiągnął swój cel, pozyskał dane oraz zatarł za sobą ślady. Ofiara nie ma dowodów na swą działalność, zostały przez nią samą wysłane gdzieś w świat. Socjotechnik w ramach zacierania śladów skasuje też zawartość strony

Jak więc się uchronić przed takim atakiem?

Po pierwsze: jeśli coś jest atrakcyjnie przedstawiane to musi być gdzieś ukryty haczyk.

Po drugie: sprawdzaj zawsze jak najwięcej informacji ci się uda. W tym przypadku można było sprawdzić czy taka biuro podróży istnieje, czy inne firmy o podobnym zakresie znają takową? SMS do koleżanki na wakacjach pomógłby zweryfikować z jakiego biura podróży udała się na wakacje.

Po trzecie: umówić się w siedzibie biura podróży na spotkanie.

Po czwarte: w pracy starajmy się nie załatwiać własnych prywatnych biznesów. Źle to wpływa jak widać zarówno na nas samych jak i na pracodawcę.

Nie podaje szczegółów technicznych w jaki sposób można odróżnić fałszywego maila od prawdziwego, dla przeciętnego śmiertelnika to wiedza prawie tajemna. Oszczędziłem wiec bełkotu technicznego. Jak widać najlepszym środkiem przeciwdziałania na atak socjotechniczny jest weryfikacja informacji, co szczerze każdemu i z osobna polecam.

Jarod

Jest to jeden z pierwszych tekstów kolegi – mamy nadzieję że powstaną kolejne,
tworząc stały cykl dotyczący socjotechniki.

Pytanie, dyskusje : http://forum.bezpieka.org/Thread-Socjotechnika

4 myśli nt. „Jak „pracują” socjotechnicy?

  1. Marek

    Cześć! Dzięki za artykuł. Zastanawiam się, czy są jakieś książki w temacie socjotechniki i obrony przed nią które polecacie. Niekoniecznie w języku polskim. Pozdrawiam!

    Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *