Psychoartysta w akcji

Wykorzystując opisane wyżej reguły Cialdiniego, można rozmową kierować na setki sposobów. Istnieją schematy działania aplikujące reguły, które w rozmowie sprawdzają się całkiem nieźle. Nie musimy więc wynajdywać koła, skoro daje się skorzystać ze zdobytych przez innych doświadczeń. Spójrzmy zatem na popularne sposoby, jakie są wykorzystywane przez atakujących.

PODSZYWANIE NA TECHNIKA

Strategia ta polega na udawaniu osoby z działu wsparcia technicznego. Przygotowania najczęściej koncentrują się na zdobyciu informacji na temat rzeczywistych pracowników działu technicznego, tak aby w początkowej fazie rozmowy podać się za kogoś, o kim rozmówca mógł słyszeć. Często też napastnik uzyskuje ogólne informacje o sposobie rozwiązywania problemów technicznych w korporacji. Potem, już rozmawiając ze swoją ofiarą, przedstawia jej problem, który zaobserwowano w segmencie sieci, do którego należy użytkownik. Posługuje się przy tym żargonem informatycznym, czym dowodzi swoich kompetencji. Rozwiązanie problemu ma poprawić komfort pracy rozmówcy, no i przy okazji uchronić atakującego przed utratą premii w tym miesiącu (co dodatkowo wzbudza litość atakowanego). Następnie prosi o przeprowadzenie kilku niemających znaczenia testów (ping 127.0.0.1 itp.) i przy okazji dowiaduje się kilku rzeczy o stacji użytkownika, np. adres IP, brama domyślna, serwery DNS. "Testy" przeważnie trwają dość długo i nie dają rezultatu. Wówczas atakujący prosi o hasło do komputera, tak aby mógł wszystkich tych sprawdzeń dokonać bez angażowania użytkownika.

PODSZYWANIE NA DYREKTORA

(inaczej podszywanie kwalifikowane)

Wyobraźmy sobie, że atakowany dostaje telefon, który nie pochodzi od szeregowego pracownika, ale od Pana Dyrektora. Technika ta jest szczególnie skuteczna w dużych firmach, gdzie pracownicy nie znają przełożonych swoich szefów. Znając więc imię i nazwisko osoby zajmującej odpowiednio wysokie stanowisko, a także orientując się, jakiego rodzaju jest to osoba (nerwus, flegmatyk itp.), dosyć szybko można uzyskać potrzebne informacje. Często strategia ta jest stosowana wobec pracowników technicznych. Pan Dyrektor z wyraźnym poirytowaniem dzwoni do działu wsparcia technicznego i mówi, że nie może zalogować się do systemu finansowego - ten cały czas mówi, że hasło jest nieprawidłowe. Stąd już tylko krok do uzyskania prawidłowej składni nazwy użytkownika i zresetowania hasła.

MAM ZGODĘ

Napastnik w tym przypadku najczęściej wykorzystuje nieobecność jakiegoś pracownika i powołując się na przekazane mu pełnomocnictwa usiłuje uzyskać dostęp do zasobów. Technika ta sprawdza się zwłaszcza w przypadku dalekich wyjazdów pracownika, gdzie szansa na weryfikację przekazanych pełnomocnictw jest niewielka. Może też przybierać różne formy. Od kontaktu telefonicznego i prośby o przekazanie odpowiednich informacji niezbędnych do uzyskania dostępu albo wręcz osobistej wizyty w firmie. Wbrew pozorom sposób ten uzyskuje wysoki współczynnik skuteczności, jeżeli atakujący zachowuje się pewnie i sam swoją osobą nie wzbudza podejrzeń. Dzieje się tak prawdopodobnie dlatego, że zwłaszcza przy spotkaniu twarzą w twarz ludzie chcą być lubiani i uważani za koleżeńskich.

KONTAKT OSOBISTY

Najbardziej bezczelną, a z drugiej strony niezwykle skuteczną metodą uzyskiwania tajnych informacji jest bezpośrednie pojawienie się w miejscu, którego systemy mają paść późniejszym łupem. Tutaj na czoło wybijają się trzy techniki. Pierwsza (tzw. shoulder surfing) polega na odbyciu wycieczki krajoznawczej po obiekcie. Wystarczy podobny do używanych przez pracowników identyfikator przyczepiony do eleganckiego, ciemnego garnituru znakomicie współgrającego z niebieską koszulą (kolor wzbudzający zaufanie). Jeszcze tylko pewny, niezbyt szybki krok i 90% osób będzie uważało "inżyniera" za ważnego osobnika, który sprawdza, co robią pracownicy. Tym sposobem napastnik może bez zbędnych ceregieli zaglądać użytkownikom komputerów przez ramię - ba, nawet robić notatki z zawartości przylepionych w rozmaitych miejscach "żółtych karteczek". Metoda ta pozwala również na obserwowanie zwyczajów pracowników i samych pomieszczeń (np. kto robi długie przerwy, kto nie blokuje komputera, kto zostawia otwarte szuflady w biurku, jak rozmieszczone są kamery ochrony itp.).

Stąd już tylko krok do drugiej techniki różniącej się od pierwszej głównie celem i czasem działania. Chodzi tu o "PC hunting", czyli poszukiwanie niezablokowanych komputerów użytkowników, którzy akurat poszli coś zjeść lub też laptopów, które można po prostu zabrać ze sobą. Do niedawna nie znajdowała ona zastosowania w Polsce, ale od kiedy rozpleniły się "lancze" i wydzielone miejsca "na papieroska" oddalone od stanowisk pracy, krakerzy zyskali nowe pole do popisu. Osobnik o wyglądzie znanym już z opisu "shoulder surfingu" pojawia się w firmie w okolicach przerwy obiadowej i znajduje opuszczone stanowisko pracy z niezablokowanym systemem. Obydwie metody sprawdzają się świetnie w zasadzie tylko w dużych organizacjach, gdzie ludzie pracujący w boksach na jednym piętrze nie mają pojęcia o tych z piętra nad nimi.

I wreszcie trzecia technika - najmniej niebezpieczna, ale wymagająca poświęcenia - "na śmieciarza" (dumpster diving). Polega ona po prostu na grzebaniu w śmieciach wyrzucanych przez organizację będącą na celowniku. Przeszukiwanie śmietników w kontenerach przy budynku nie ma obecnie większego sensu, ponieważ większość wyrzucanych papierów przed opuszczeniem organizacji trafia do niszczarek. Dlatego też co bardziej zdeterminowani atakujący zatrudniają się w firmach sprzątających, co daje bezpośredni dostęp do koszy pracowników. A tam aż roi się od informacji.

MANIPULACJA ZAAWANSOWANA

Na deser zostawiliśmy sobie najbardziej zaawansowaną spośród "nietechnicznych" metod - "reverse social engineering". Scenariuszy jej zastosowania może być wiele. Jakie by jednak nie były, wymagają długich i starannych przygotowań. Polega ona w dużym skrócie na tym, że to użytkownik zwraca się do atakującego z prośbą o pomoc. Jako przykład może posłużyć zaatakowanie strony WWW, uszkodzenie jakiegoś odnośnika i zmodyfikowanie danych administratora, tak aby wskazywały na atakującego. Użytkownicy sami zaczną prosić o pomoc, a rzetelny administrator będzie musiał najpierw ich zweryfikować, żądając loginu i hasła. To przykład banalny, ale pokazuje mechanizm. Modyfikacji może być tysiąc, np. uszkodzenie pliku podczas wizyty w firmie (patrz PC hunting), a następnie zostawienie wizytówek z "namiarem" na fachowca od odzyskiwania danych (oczywiście współpracującego z napastnikiem). Najczęściej więc zastosowanie reverse social engineeringu wymaga posiadania wielu sprawności "harcerskich", jak np. mały sabotażysta, czy mały… krętacz.

<hr>

Marta Trębaczewska socjolog, Instytut Stosowanych Nauk Społecznych, Uniwersytet Warszawski

Skutki powszechnego stosowania inżynierii społecznej mogą mieć dużo większe konsekwencje niż utrata pieniędzy czy ważnych informacji. Takie, które uderzają bezpośrednio w relacje między ludźmi, niszczą je. Wchodząc w jakąkolwiek interakcję z drugim człowiekiem ufamy, że jest tym, za kogo się podaje i nie mamy w zwyczaju proszenia o dowód osobisty czy legitymację służbową. Korzystanie z inżynierii społecznej może doprowadzić do absurdalnej i chorej sytuacji, w której z obawy przed wykorzystaniem, oszukaniem czy manipulacją będziemy wyciągać rękę nie na przywitanie, ale po dokumenty, legitymacje, referencje, dyplomy i zaświadczenie o niekaralności. Każda wizyta u lekarza, urzędnika, znajomego czy ukochanej poprzedzona będzie weryfikacją jego/jej tożsamości, umiejętności, a w niedługiej przyszłości może nawet genotypu. Pamiętajmy o tym, kiedy z wypiekami na twarzy będziemy czytać o kolejnych "naiwniakach", którzy "dali się nabrać jak dzieci".