W holu pewnej wielkiej korporacji panował ogromny ruch. Pracownicy krzątali się, poszukując w tłumie kontrahentów, osoby ubiegające się o zatrudnienie nerwowo oczekiwały w poczekalni na rozmowę kwalifikacyjną, kurierzy dostarczali przesyłki. Gdyby nie organizacja i chęć niesienia pomocy przez recepcjonistki – z pewnością zapanowałby chaos.

Do recepcji ustawiały się najdłuższe kolejki. Było tak dlatego, że każdy, kto nie był pracownikiem i chciał przejść przez barierki oddzielające część ogólnodostępną od biurowej, musiał pokazać zaproszenie lub uzyskać pozwolenie od kogoś zatrudnionego. Gdy taka zgoda została wydana, recepcja wydawała tymczasowe karty umożliwiające poruszanie się po terenie całej firmy.
(Nie)zawodny system
Cały ten proces przebiegał bardzo sprawnie aż do momentu, w którym wszystkie laptopy w recepcji utraciły dostęp do sieci. Każde wejście musiało być ewidencjonowane w zdalnym systemie, ponadto kontakty do pracowników wyszukiwane były w bazie, do której teraz nie było dostępu. Zgodnie z procedurami, trzeba było przejść na klasyczne metody – zapisywanie wszystkiego w papierowym wykazie gości. Recepcjonistki nie przepadały za tą metodą, bo wiedziały, że później będą musiały wszystko to przepisać do systemu. Ludzi ciągle przybywało. Kolejka rosła. Nie było nawet czasu, by zadzwonić do pomocy technicznej. Po około 10 minutach, komputery ponownie połączyły się z siecią, a chwilę później zadzwonił telefon: „Cześć, tu Piotrek  z działu IT, widzieliśmy, że miałyście problem z intranetem. Udało nam się go tymczasowo naprawić. Wykryliśmy, że coś było nie tak z jednym z routerów w serwerowni. Jesteśmy tak zawaleni robotą, że nie mamy kiedy dokończyć ich konfiguracji i naprawić tego sprzętu, ale nie martwcie się – zadzwoniliśmy już do serwisu, który to za nas zrobi. Za około godzinę mają przyjechać serwisanci i sprawdzić, co jest nie tak. Pomóżcie nam, proszę, i wpuśćcie ich do środka. Bylibyśmy niezmiernie wdzięczni, gdybyście jeszcze poprosili ochronę o otworzenie im drzwi do serwerowni. Oni już wszystko wiedzą i poradzą sobie sami. My do nich oczywiście później podejdziemy, jak tylko sami odkopiemy się z tych zaległych ticketów”.

Fatalna decyzja
Kobieta po chwili namysłu zgodziła się, po czym wróciła do swoich obowiązków. Po około godzinie w holu pojawiły się dwie osoby ubrane w odzież roboczą. W rękach nieśli skrzynki z śrubokrętami, lutownicą i innym sprzętem elektronicznym. „Państwo z serwisu?” – zapytała recepcjonistka i w tym momencie po raz kolejny komputery utraciły połączenie z siecią. „Proszę się tym jak najszybciej zająć, za chwilę ochroniarz pokieruje Państwa do odpowiedniego pomieszczenia”. Po około 30 minutach technicy wyszli z serwerowni. Komputery znów działały, więc recepcja z uśmiechem na ustach podziękowała i nie pytając o nic, wypuściła serwisantów. Następnego dnia z nieznanego źródła do internetu wyciekły poufne firmowe informacje. Na domiar złego cała wewnętrzna sieć komputerowa nie działała. Nikt nie znał przyczyn tych incydentów i nie był w stanie powiedzieć, jak do nich doszło.

Hakerskie metody
Hakerzy podczas ataku starają się znaleźć słabości w sprzęcie i oprogramowaniu, które umożliwią im przełamanie zabezpieczeń. Jest to proces bardzo czasochłonny i wymagający sporo wysiłku. Regularna aktualizacja oprogramowania, instalowanie poprawek bezpieczeństwa oraz odpowiednia konfiguracja urządzeń i programów znacząco minimalizuje szansę powodzenia ataku. W takim przypadku wykrycie podatności w systemie jednego dnia nie implikuje jej istnienia w dniu kolejnym. Istnieje jednak jedna słabość każdego systemu teleinformatycznego, która praktycznie zawsze przyczynia się do przełamania zabezpieczeń – jest nią użytkownik. Inżynieria społeczna (zwana również socjotechniką), czyli wykorzystanie w procesie ataku czynnika ludzkiego, jest stosowana przez napastników jako alternatywna droga do przełamania mechanizmów bezpieczeństwa. Przyjrzyjmy się raz jeszcze początkowej historii, przeanalizujmy niekorzystne wydarzenia i prześledźmy całą sytuację z punktu widzenia atakującego.

Inżynieria społeczna (zwana również socjotechniką), czyli wykorzystanie w procesie ataku czynnika ludzkiego, jest stosowana przez napastników jako alternatywna droga do przełamania mechanizmów bezpieczeństwa.

1. NAPASTNICY POCZĄTKOWO WTAPIAJĄ SIĘ W TŁUM
– nie jest to trudne w przypadku, gdy dookoła znajduje się pełno ludzi. Osoba siedząca w poczekalni lub kawiarni z laptopem, która jest ubrana zgodnie z panującym w firmie dress code’em, nie wzbudzi podejrzeń, bo w żaden sposób nie odbiega od schematu. Mitem jest przedstawiany przez telewizję obraz hakera jako osoby z kapturem na głowie, siedzącej w kącie z komputerem na kolanach – coś takiego bardzo rzucałoby się w oczy i z pewnością przyciągnęłoby uwagę ochroniarzy lub innych pracowników. Niezwykle trafne w tym przypadku jest powiedzenie, że najciemniej jest zawsze pod latarnią.

2. NASTĘPNYM RUCHEM HAKERÓW JEST ZABLOKOWANIE MOŻLIWOŚCI POŁĄCZENIA LAPTOPÓW Z RECEPCJI Z ROUTEREM WI-FI.
Działanie to trwa na tyle długo, aby poirytować recepcjonistki, i jednocześnie na tyle krótko, by nie zostało wykryte przez prawdziwych administratorów. Do wykonania takiej akcji nie potrzeba żadnego wyrafinowanego sprzętu,  można to osiągnąć przy użyciu typowego komputera z dokupioną zewnętrzną kartą sieciową, którą podłącza się do portu USB.

3.  KOLEJNYM KROKIEM JEST PODSZYCIE SIĘ POD DZIAŁ IT.
W przypadku ogromnych korporacji istnieje nikłe prawdopodobieństwo znajomości wszystkich osób z organizacji. Recepcjonistka nie rozpoznaje głosu dzwoniącego, ale jest przekonana, że jest to informatyk – kto inny mógł przecież wiedzieć o tym, że nie działały komputery? „Nie było dostępu do sieci – jest dostęp do sieci, bo informatycy naprawili” – wszystko dla niej w tym momencie składa się w pozornie spójną całość. Haker wykorzystuje teraz tajniki czarnej perswazji, by zmanipulować niczego nieświadomą ofiarę.


4.HAKER W NIEZAUWAŻALNY SPOSÓB GRA NA EMOCJACH KOBIETY, ABY SKŁONIĆ JĄ DO SPEŁNIENIA JEGO PROŚBY.
Najpierw napawa optymizmem, informując, że IT wie o zaistniałym problemie i zajęło się nim. Jednocześnie, w tym samym zdaniu, wzbudza niepokój, sugerując, że rozwiązanie problemu jest jedynie tymczasowe, przez co niedogodności i utrudnienia mogą wkrótce pojawić się ponownie. Później wywołuje uczucie litości i współczucia, wspominając o ogromie obowiązków i zadań, które mają do zrobienia. Ostatnie zdanie przed prośbą ma znów pozytywny wydźwięk – jeszcze dziś przyjedzie pomoc i potem wszystko będzie działać jak należy.

5.  TERAZ DOCHODZIMY DO KLUCZOWEJ CZĘŚCI ROZMOWY
spowodowanie awarii przez napastników i jej naprawa miały na celu wytworzenie długu wdzięczności, który teraz zostanie wykorzystany. „My pomogliśmy tobie, więc teraz ty pomóż nam” – jest to tak zwana reguła wzajemności. Ludzie przejawiają naturalną chęć do niesienia pomocy i do odwzajemniania się. Odrzucenie tej prośby byłoby dla recepcjonistki niekomfortowe – właśnie przez dług wdzięczności. Wypowiedź napastnika jest bardzo szczegółowa. Używa on pojęć informatycznych takich jak intranet, router, ticket, co jeszcze bardziej utwierdza kobietę w przekonaniu, że jest to Piotrek z działu IT. Kobieta zgadza się na prośbę napastników.

Cel osiągnięty
Pierwszy etap zakończył się sukcesem. Pojawienie się po godzinie w holu osób, które wyraźnie odbiegają od schematu, przykuwa uwagę recepcjonistki. „To muszą być ci serwisanci, o których wspominał specjalista z IT” – zapewne pomyślała kobieta. Tu po raz kolejny napastnicy wykorzystują schematyczność naszego myślenia – jeżeli ktoś ma założoną na siebie sutannę, to od razu zakładamy, że jest to ksiądz, jeśli mundur policyjny –
musi to być policjant, a jeśli ubranie robocze, jak w tym przypadku, jest to serwisant. Mamy tu do czynienia z następującym przekonaniem: ubranie odzwierciedla wykonywany przez daną osobę zawód lub status społeczny. Podejrzliwi jesteśmy zazwyczaj jedynie wtedy, gdy nie oczekujemy kogoś lub gdy wykonywałby coś bądź zachowywałby się on niezgodnie z naszymi oczekiwaniami. W momencie, gdy serwisanci zbliżają się do recepcji, dzieje się coś, co po raz kolejny utwierdza kobietę w jej przekonaniu – ponownie zanika połączenie z siecią. Aby jak najbardziej zminimalizować czas trwania usterki, wpuszcza ich ona na teren firmy, zgodnie z wcześniejszą prośbą działu IT i bez jakiegokolwiek sprawdzania tożsamości. Druga część planu również zakończyła się sukcesem – hakerzy, zyskując dostęp fizyczny do sprzętu, omijają wiele zewnętrznych zabezpieczeń, co znacząco usprawnia proces ataku. Mają teraz nienadzorowany dostęp do sprzętu, co wkrótce wykorzystają. Przy ich wyjściu wszystko działa, zrobili swoje. Wychodzą i nikt ich nie sprawdza – ostatnia część planu zakończyła się sukcesem.

Mitem jest przedstawiany przez telewizję obraz hakera jako osoby z kapturem na głowie, siedzącej w kącie z komputerem na kolanach – coś takiego bardzo rzucałoby się w oczy i z pewnością przyciągnęło uwagę ochroniarzy lub innych pracowników. Niezwykle trafne w tym przypadku jest powiedzenie, że najciemniej jest zawsze pod latarnią.

Realne zagrożenie
Powyższa historia nie jest wyimaginowana – opiera się na atakach, które miały miejsce w rzeczywistości i są teraz opisywane w podręcznikach do socjotechniki. Pokazuje ona wyraźnie, jak ogromna odpowiedzialność spoczywa na każdym pracowniku. Jego świadomość zagrożeń oraz wiedza dotycząca sposobów uchronienia się przed incydentami bezpieczeństwa jest równie ważna, jak wszelkie zabezpieczenia technologiczne, takie jak antywirusy, firewalle, systemy IDS i IPS. Hakerzy oraz oszuści chcą osiągnąć swój cel przy użyciu jak najmniejszego wysiłku. Zamiast łamać skomplikowane hasła wolą przygotować spersonalizowaną wiadomość phishingową, w której podszyją się pod jakiś zaufany serwis i poproszą  podanie do niego hasła. Pracownicy niewiedzący jak sprawdzić autentyczność odebranej wiadomości i na co zwracać uwagę są niestety bardzo podatni na tego typu zabiegi socjotechniczne. Kliknięcie w zamieszczone w takich wiadomościach linki przenosi użytkowników na kontrolowane przez przestępców wierne kopie zaufanych stron. Podanie na nich danych uwierzytelniających jest równoznaczne z przekazaniem ich wprost do rąk przestępców. Administratorzy sieci komputerowych w firmach są świadomi, jak bardzo efektywna jest to metoda, dlatego cała poczta firmowa przechodzi zazwyczaj przez specjalne filtry antyspamowe i antywirusowe. Niestety, zatrzymanie wszystkich takich wiadomości zanim dotrą do użytkowników nie jest możliwe. Mimo bardzo rygorystycznych reguł co jakiś czas przez filtry „prześlizgnie się” niepożądana wiadomość – pokazuje to dobitnie, że świadomość użytkowników musi być dopełnieniem wszystkich mechanizmów bezpieczeństwa, aby działały one sprawnie i efektywnie.

Cyberstatystyki
W przeprowadzonych przez ERGO Hestię badaniach sprawdzana była wiedza i świadomość cyberzagrożeń wśród przedsiębiorców. Poniżej kilka zaczerpniętych z nich statystyk:

–  prawie co druga badana firma wskazywała brak świadomości zagrożeń wśród pracowników jako ryzyko dla bezpieczeństwa IT organizacji,

– firmy, które były ofiarami ataków komputerowych, wskazały jako ich przyczynę błędy użytkowników i ich nieświadomość zagrożeń w prawie 40% przypadków,

– aktualni pracownicy byli źródłem ponad 20%incydentów bezpieczeństwa,

– 2/3 wszystkich firm deklaruje, że organizuje szkolenia z bezpieczeństwa dla swoich pracowników.

Nadzieją napawa fakt, że przedsiębiorcy wiedzą zagrożeniach czyhających na swoich pracowników i organizują dla nich szkolenia podnoszące świadomość. Ważna jest regularność ich odbywania się, tak by nie uśpić czujności użytkowników. Pozostaje jedynie mieć nadzieję, że szkolenia te są czymś więcej aniżeli pokazem slajdów, który użytkownicy przeklikują jak najszybciej i bez zrozumienia. Jak pokazują powyższe punkty, wyeliminowanie lub zminimalizowanie liczby błędów czynnika ludzkiego może zauważalnie zmniejszyć liczbę incydentów. Podnoszenie poziomu wiedzy o cyberzagrożeniach u pracowników jest korzystne dla obu stron: pracodawca zmniejsza ryzyko powodzenia ataku komputerowego na firmę, użytkownik natomiast jest bezpieczniejszy w sieci i nie daje się łatwo oszukać. Gdyby recepcjonistka z początkowej opowieści zweryfikowała rozmówcę, poinformowała prawdziwy zespół IT o problemach z komputerem i wylegitymowała serwisantów, gdyby wiedziała, jakich technik używają przestępcy, by zmanipulować ofiarę, i zorientowała się, że jest to jedno wielkie oszustwo, wszystko potoczyłoby się zupełnie inaczej, a wyciek informacji byłby wciąż jedynie hipotetyczną sytuacją.

W przeprowadzonych przez ERGO Hestię badaniach sprawdzana była wiedza i świadomość cyberzagrożeń wśród przedsiębiorców. Prawie co druga badana firma wskazywała brak świadomości zagrożeń wśród pracowników jako ryzyko dla bezpieczeństwa IT organizacji.

About the author

POLECANE DLA CIEBIE

TAGI