Maciej Ziarek
Analityk, Kaspersky Lab Polska

Z pewnością wielu z Was słyszało o terminie socjotechnika lub jego zamienniku inżynieria społeczna. Tematy związane z tymi zagadnieniami przewijają się na okrągło, można by rzec z pewną systematycznością, czy to w kontekście wyborów, reklam, czy wreszcie Internetu i informatyki... Każdy z nas jest poddawany jej działaniu, czasami nie jesteśmy nawet tego świadomi. Czym zatem jest socjotechnika?

Zacznijmy od definicji...

Słownikowa wersja jest krótka, lecz treściwa:

Socjotechnika - jest to umiejętność skutecznego oddziaływania na ludzi (na społeczeństwo).¹

Zatem jest to swego rodzaju zbiór cech, bądź umiejętność oddziaływania na innych, tak by osiągnąć zamierzony cel. Nie jest istotny fakt kłamstwa i zmyślania, liczy się efekt, którym ma być wydobyta informacja lub zachęcenie do pewnych działań. Aby bardziej to zobrazować posłużę się pewnymi przykładami, z którymi każdy z nas miał do czynienia.

1. Reklamy telewizyjne to bardzo dobry przykład na wywieranie wpływu i używanie perswazji do nastawienia odbiorcy na pewien produkt. Osoby, które biorą udział w reklamie są uśmiechnięte i przekonujące (niejednokrotnie to znani aktorzy lub po prostu osoby popularne i rozpoznawalne), produkt reklamowany jest jako jedyny w swoim rodzaju, często w tle słychać dobraną do klimatu reklamy muzykę. Niejednokrotnie reklamowany produkt jest porównywany do gorszego i nieistniejącego np. proszek markowy xyz, oraz zwykły proszek.
2. Przed wyborami mamy do czynienia z licznymi wystąpieniami, w radiu, telewizji i Internecie, polityków ubiegających się o konkretne stanowiska. Tutaj także używana jest socjotechnika. Niejednokrotnie spotkaliście się zapewne z próbą manipulowania opinią publiczną przez pokazywanie innych polityków i ich rządów w niekorzystnym świetle.

Jak pisze Zygmunt Gostkowski:

"Propaganda jest więc socjotechniką i manipulacją umożliwiającą sterowanie masowymi postawami, opiniami i zachowaniami."²

W artykule nie będę się jednak skupiał na działaniach podejmowanych przez ludzi, którzy chcą nas namówić do głosowania na nich lub przekonać do konkretnego produktu, niemającego sobie równych. Postaram się jednak pokazać, jak socjotechnika jest wykorzystywana w sieci i jakie zagrożenia to ze sobą niesie. Przedstawię różne jej aspekty, od próśb związanych z kliknięciem linku, po namowy do instalowania szkodliwego oprogramowania. Przekonacie się także, że bywały już w historii przypadki, kiedy wystarczyło... poprosić o hasło, aby nadać sobie samemu uprawnienia administratora. Nie trzeba było szukać luk w oprogramowaniu, wystarczyło zaatakować najsłabsze ogniwo całej sieci komputerowej - człowieka.

Czy znasz jakiegoś socjotechnika?

Zacznijmy od przedstawienia jednego z najsłynniejszych socjotechników. O Kevinie Mitnicku słyszało z pewnością wielu. Był on odpowiedzialny i oskarżony za stosowanie technik, dzięki którym wchodził w posiadanie informacji niejawnych. W skład oskarżenia wchodziły także liczne zarzuty dotyczące podszywania się pod osoby trzecie. Najciekawszą rzeczą w tym wszystkim jest jednak fakt, że wszystkie uprawnienia jakie zdobył , i dzięki którym zinfiltrował różne organizacje, otrzymał od ludzi, pracowników firmy. Najzwyczajniej w świecie o nie prosił... Wiele ze swoich trików opisał w dwóch książkach. W jednej z nich - "Sztuka podstępu" podaje przykład takiej właśnie prośby.

Atakujący potrzebuje czyjegoś zastrzeżonego numeru telefonu... Wykonuje zatem następujący manewr. Dzwoni do automatycznego centrum przydziału linii i wymyśla historię, która pomoże mu w zdobyciu numeru.

"Dzień dobry, tu Paul Anthony. Jestem monterem kabli. Proszę posłuchać, mam tu spaloną skrzynkę z centralką. Policja podejrzewa, że jakiś cwaniak próbował podpalić swój dom, żeby wyłudzić odszkodowanie. Przysłali mnie tu, żebym połączył od nowa całą centralkę na 200 odczepów. Przydałaby mi się pani pomoc. Które urządzenia powinny działać na South Main pod numerem 6723?".³

Informacje takie nie powinny być podawane nikomu, kto nie posiada do tego specjalnych uprawnień. Jednak sam fakt, że Paul Anthony wiedział o mechanicznym centrum przydziału linii (MLAC), sprawiał że stał się bardziej wiarygodny, nie była to bowiem informacja ogólnie dostępna. Dodatkowo mamy tutaj wywołanie swego rodzaju współczucia u rozmówcy. Wszystkie dane, o które prosił atakujący zostały podane bez koniecznego uwierzytelnienia.

Na zakończenie tego przykładu idealnie nadaje się uwaga samego Mitnicka:

"Szpiedzy przemysłowi lub hakerzy czasami próbują fizycznie dostać się na teren firmy. Zamiast łomu socjotechnik korzysta ze swojej umiejętności manipulacji i przekonuje osobę po drugiej stronie, aby otworzyła mu drzwi".⁴

Bywają także sytuacje, kiedy atakujący przed podaniem konkretnej prośby stara się poznać osobę, od której wyciąga informacje. Internet stwarza ku temu idealne warunki. Do dyspozycji są czaty, komunikatory, poczta elektroniczna, fora i wiele innych możliwości przekazywania informacji, które pozwalają zapoznać nowe osoby i przekonać je do siebie. Zdobycie zaufania to jeden z najważniejszych celów socjotechnika. Kiedy to osiągnie, kolejne, nawet niecodzienne prośby mogą przestać dziwić, zwłaszcza w świetle odpowiednich i zmyślonych przykładów popierających daną sytuację.

Spotkałem się kiedyś z próbą wykradzenia haseł z komunikatora gadu-gadu, która wśród niezorientowanych w tematyce komputerowej osób mogła skończyć się źle... Hasła przechowywane przez ten komunikator znajdują się w pliku conf. Istnieją sposoby na wydobycie haseł z takiego pliku, co wraz z numerem gg może zaowocować w stratę/przejęcie konta.

"Sztuczka" polegała na przekonaniu użytkownika do wysłania tego pliku. Atakujący posłużył się w tym celu własną, wymyśloną teorią na temat braku stabilności lub po prostu "padania" serwerów gadu gadu. Pisał on do użytkowników, że wystarczy odpowiednio zmodyfikować plik conf (oczywiście socjotechnik oferował taką "usługę"), aby w przyszłości uniknąć tego typu uciążliwości.

Także ciekawym przykładem korzystania z ludzkiej ciekawości jest instalowanie w firmach koni trojańskich (z tej metody korzystają coraz częściej szpiedzy przemysłowi), lecz przy pomocy... pracowników tejże firmy. Atakujący umieszcza przed wejściem do siedziby interesującej go placówki/firmy czy koncernu atrakcyjny pendrive np. 16 GB. Kiedy pracownik, który wchodzi właśnie do pracy zobaczy takowe urządzenie, istnieje bardzo duża szansa, że na swoim stanowisku roboczym będzie chciał sprawdzić czy działa lub jakie dane zawiera. W tym momencie uaktywnia się trojan, który w wypadku słabych zabezpieczeń sieci infekuje kolejne komputery zbierając przy tym coraz więcej informacji, które przesyłane są do atakującego.

Taki przypadek jak wyżej może tyczyć się także zwykłych użytkowników. W czasach, kiedy najtańsze używane pamięci o pojemności 1 GB i mniejsze można kupić za kilka złotych, ryzyko tego typu ataków przeprowadzanych na większą skalę rośnie. Nie muszę chyba wspominać, że ryzyko byłoby minimalne, gdyby znalazca takiego pendrive’a przeskanował go dobrym programem antywirusowym przed rozpoczęciem pracy.

Firmy często wydają miliony dolarów na zabezpieczenia sieci, konfigurują firewalle, instalują antywirusy, nad wszystkim całą dobę czuwają administratorzy, a najsłabsze ogniwo całego tego systemu, czyli człowiek, nadal pozostaje niezmienne - niewyszkolone. Tymczasem, jak pokazuje historia, wielu socjotechnikom udało się dotrzeć do tajnych dokumentów, bo potrafili w odpowiedni sposób rozmawiać z ofiarą, potrafili zachęcić do pewnych działań lub do instalacji pewnych aplikacji.

Spam i phishing - ulubione narzędzia socjotechnika

Przykładem manipulowania w sieci jest spam. Codziennie wielu użytkowników boryka się z problemem niechcianych wiadomości. Spam to nic innego jak nachalna reklama lub jedna z możliwości zainfekowania komputerów. Niejednokrotnie aby wzbudzić ciekawość i zachęcić do kliknięcia odnośnika korzysta się z tego co najbardziej przykuwa w dzisiejszych czasach uwagę - treści dla dorosłych. Jest to również sposób wpływania na nasze zachowanie i decyzje. Nie od dzisiaj wiadomo, że kontrowersyjne tematy, zwłaszcza jeżeli dotyczą znanych osób, są chodliwym tematem.

Powyższa wiadomość to spam, a jej treść ma za zadanie zachęcić do kliknięcia odnośnika. W liście możemy wyczytać, że senator (ówczesny) Obama w roku 2007 podczas wizyty na Ukrainie miał bliższe kontakty z wieloma kobietami. Jest nawet prośba skierowana do odbiorcy maila, aby przekazał tę informację do swoich przyjaciół. Film z całego zdarzenia możemy obejrzeć po kliknięciu linku. Jak się okazuje nie dotyczy on Obamy, a w międzyczasie komputer zostaje zainfekowany programem szpiegującym, który zbiera informacje o użytkowniku.

W powyższym przypadku odwołano się do znanej osoby i rzekomej sensacji. Całość poskutkowała wzbudzeniem ciekawości, zwłaszcza wśród osób, które podczas wyborów oddały swój głos na Obamę... Czy to był słuszny wybór? Trzeba to sprawdzić! Klik... Dalszy scenariusz możecie dopisać sobie sami...

Innym przykładem tego typu praktyk w e-mailach, jest wysyłanie samych odnośników w treści listu oraz odpowiednio spreparowanego tematu. Całość działa na podobnej zasadzie jak wyżej - manipulowaniu faktami i wzbudzaniu ciekawości. Wprawdzie nie niesie to za sobą tak przykrych konsekwencji jak pobieranie na nasz komputer szkodliwego oprogramowania, ale też jest formą oszustwa, gdyż zostajemy przeniesieni na stronę niezgodną z opisem...

Powyżej widzimy wiadomość, która nijak nie mogła trafić do folderu spam, gdyż pochodzi od zaufanego nadawcy (gmail). Pojawia się pytanie "Czy to czasem nie Twoje zdjęcie?" oraz link do fotografii. Wiele osób odruchowo kliknie myśląc, że zostanie przeniesiona na stronę, na której zobaczą siebie samych lub kogoś identycznego. Niestety jest to sposób reklamowania serwisu, gdyż odnośnik prowadzi do strony... pasty do zębów, wraz z numerem referencyjnym. W ten sposób ktoś nabił sobie licznik osoby polecającej serwis, z czego po przekroczeniu pewnego progu ma zapewne gratyfikacje.

Specyficznym, ale chyba najbardziej charakterystycznym rodzajem socjotechniki jest phishing. Phishing to wysyłanie wiadomości o tematyce najczęściej bankowej, gdzie proszeni jesteśmy np. o weryfikację danych i zalogowanie się na konto, używając odnośnika w wiadomości. Po przejściu na stronę instalowany jest trojan lub dane z formularza wysyłane są do atakującego, przez co może on przejąć kontrolę nad naszym kontem. Wiadomość taka może wyglądać następująco:

O phishingu pisałem przy okazji innego tematu, dlatego nie będę się tutaj rozdrabniał nad jego technicznymi szczegółami. Chciałem jednak zaznaczyć, że w mailach tego typu najłatwiej pokazać stosowanie inżynierii społecznej. Osoby zainteresowane tematyką phishingu odsyłam do mojego artykułu Phishing, pharming i sieci zombie - to czego nie wiesz o swoim komputerze.

Jak robi to robak Kido?

Kolejnym przykładem wpływania na użytkownika i sugerowania mu podjęcia pewnych działań jest bardzo świeża sprawa z robakiem Kido (zwanym także Confiker, Downadup oraz Downup). Postaram się ten przykład przedstawić bardziej szczegółowo. Jednym z jego działań jest pobranie fałszywego oprogramowania zabezpieczającego o nazwie SpywareProtect2009. Program "skanuje" komputer i na bieżąco wyświetla stosowne komunikaty o rzekomej infekcji i licznych atakach. Na obrazku widoczny jest następujący alert:

"System Windows wykrył zagrożenia. Oprogramowanie antywirusowe chroni komputer przed wirusami i innymi niebezpieczeństwami. Kliknij tutaj, aby przeskanować komputer. Twój system może być zagrożony."

Widzimy też, że włączone jest skanowanie. Przeskanowano 391 plików i znaleziono 5 zagrożeń. Program wskazuje też na zaktualizowaną bazę sygnatur. Posiada także zakładki w jakie często zaopatrzone są rzeczywiste programy zabezpieczające, jak np. aktualizacja, skanowanie, opcje...

Po zakończeniu skanowania wyświetlany jest kolejny komunikat:

"Twój komputer jest zainfekowany przez spyware - podczas skanowania plików i rejestru zostały wykryte 34 poważne zagrożenia. Zalecamy usunięcie szkodników i aktywację ochrony w czasie rzeczywistym przeciwko przyszłym zagrożeniom."

Zatem, aby teoretycznie usunąć szkodniki, należy najpierw zapłacić klikając odnośnik. Użytkownicy, którzy ulegli sugestii i zapłacili $50 (bo tyle właśnie ta wątpliwa przyjemność kosztuje), narażeni też byli na utratę danych osobowych podczas wpisywania np. nr karty kredytowej. Warto także zaznaczyć, że program SpywareProtect2009 instalował na komputerach ofiar trojana, który pobierał uaktualnienia szkodliwego oprogramowania. Przeanalizujmy zatem powyższy przypadek pod kątem manipulacji użytkownika:

Wygląd

Zacznijmy od samej budowy programu. Jest rozbudowany i przepełniony treściami, które mają zwiększyć jego wiarygodność. Można by rzecz, że zachowuje się jak typowy i w pełni funkcjonalny program antywirusowy. Wyświetlane są informacje o aktualnie znalezionych zagrożeniach, przeznaczenie wykrytego szkodnika (Description), ranga problemu (Severity) oraz rady co zrobić by usunąć zagrożenie.

Fałszywa aplikacja jest bardzo podobna do rzeczywistych, oferowanych przez czołowych producentów rozwiązań antywirusowych. Użytkownik może mieć wrażenie, że ma do czynienia z profesjonalnym programem, co może wzbudzić zaufanie. Nie każdy przecież zna nazwy wszystkich antywirusów jakie są dostępne na rynku.

Słownictwo

Kolejnym czynnikiem, który ma przekonać użytkownika do tego, że program, który jest uruchomiony na jego komputerze jest profesjonalny, jest fachowe słownictwo ("oprogramowanie antywirusowe", "skanowanie plików i rejestru", "ochrona w czasie rzeczywistym". Nie bez znaczenia są zwroty używane w wyskakujących komunikatach, takich jak na obrazku drugim:

"Ten komputer jest atakowany przez wirusa internetowego. To może być próba wykradzenia haseł. Atak pochodzi z adresu: 118.178.6.252, port: 51527".

Jest to próba wystraszenia użytkownika, wzbudzenia w nim niepokoju. Osoba, która co chwile otrzymuje ostrzeżenia o atakach z sieci lub widzi, że na jej komputerze wykryto szereg programów kradnących hasła, czuje się zagrożona. Wie, że nie może zalogować się do banku, na forum, sprawdzić poczty, ponieważ wszystkie te informacje mogą być przechwycone. W takiej sytuacji niejedna osoba będzie wolała zapłacić by mieć spokój i pseudoochronę "w czasie rzeczywistym".

Definicje i wyjaśnienia

Jak już wspomniałem, program przeładowany jest różnego typu informacjami. Główna ich tematyka to niebezpieczeństwo czające się na każdym kroku. W samym głównym oknie programu, podczas skanowania na bieżąco jesteśmy informowani o rodzaju szkodliwego oprogramowania, które zostało wykryte oraz jego przeznaczeniu. I tak kolejno:

1. LdPinch V - ranga: krytyczny - Rodzaj keyloggera przechwytującego hasła.
2. Advanced Stealth Email - ranga: krytyczny - Zaawansowany program przekierowujący.
3. CNNIC Update U - ranga: bardzo ważny - Program pobierający szkodliwe oprogramowanie.

Takie definiowanie ma na celu uzmysłowienie użytkownikowi w jak wielkim niebezpieczeństwie aktualnie się znajduje. Jeżeli do tego dodać informację:

"Ten komputer jest w tym momencie niechroniony, może być przez to podatny na ataki trojanów, wirusów i programów spyware."

Z pewnością będzie to miało wpływ na liczbę potencjalnych nabywców tego "programu". Na Rys. 5, w okienku Spyware Alert, widzimy także komunikat "Why do you need Spyware Protection? (Dlaczego potrzebujesz ochrony przeciwko Spyware)?". To kolejna próba udowodnienia, że program jest niezbędny do zapewnienia bezpieczeństwa.

Gwarancje bezpieczeństwa

Ostatnim aspektem związanym z tą aplikacją jest zapewnienie potencjalnego nabywcy programu, że wraz z wykupieniem subskrypcji na aplikację, skończą się jego kłopoty dotyczące bezpieczeństwa komputera.

"Aktualizuj program do pełnej wersji SpywareProtect2009, aby oczyścić komputer i zapobiec nowym rodzajom ataków. Otrzymasz możliwość dokonywania codziennych aktualizacji oraz ochronę przeciwko zagrożeniom z sieci."

Podobne ataki miały już miejsce w przeszłości. Były one oczywiście skutkiem działania innego szkodnika, jednak cel był ten sam - zachęcić do pobrania lub kupna "oprogramowania". Nawet metoda informowania o infekcji była podobna, a nawet bardziej nachalna od tej w ostatnim przykładzie.

W tym przypadku zablokowana została możliwość zmiany tapety pulpitu, a jako domyśla ustawiana była czerwona z wielkim napisem o zagrożeniu. Do tego dochodziła lista wykrytych niebezpieczeństw (np. 3 infekcje programami typu spyware, 95 śladów stron tylko dla dorosłych itp.).

Użytkownicy zainfekowanych komputerów byli także zachęcani do do wykonania skanowania:

"Niebezpieczeństwo! Poziom czerwony! Istnieje prawdopodobieństwo, że ktoś próbuje wykraść Twój nr karty kredytowej przez Internet używając programu szpiegującego. Przeskanuj komputer teraz, by temu zapobiec!"

Można by rzec, że jest to ironia losu... Oczywiście po dokonaniu skanowania zostaną odnalezione u nas szkodliwe programy, za których usunięcie musimy zapłacić $49,95...

Sprawa, która odróżnia aktualny przykład od wcześniejszego to fakt, że komunikaty były fałszywe i wyświetlane nie przez trojana, ale program antyspyware. Firma RazeSpyware zachęcała przez agresywne i oszukańcze reklamy do kupna pełnej wersji swojego produktu. Takimi komunikatami prowokowała i sugerowała pojawienie się zagrożenia w niezainfekowanym systemie. Istnieje wiele firm naśladujących tego typu praktyki. Nie da się jednak ukryć, że w obydwu przypadkach posłużono się socjotechniką. Wykorzystano ludzkie obawy do utraty majątku, manipulowano informacjami na temat zagrożeń, po to by zachęcić do kupna produktu.

Jak zatem widać większość ataków, jakie się obecnie stosuje polega na zachęcaniu do kliknięcia odnośnika lub instalacji trojana. W każdym momencie możemy być narażeni atak bezpośredni (przez przypadkowe zawarcie nowej znajomości) bądź pośredni (w przypadku otrzymania jednego z masowo wysłanych e-maili). Czy się im oprzemy i nie damy się oszukać zależy wyłącznie od nas. Siła perswazji wyszkolonej osoby może okazać się znacznie groźniejsza niż luka w oprogramowaniu.

Wiele osób myśli pewnie teraz: nie dam się namówić na żadną z tych sztuczek. Problem jednak w tym, że socjotechnik nie przedstawia się i nie zdradza swoich zamiarów. Nie wiemy kiedy i w jakim miejscu zostaniemy zaatakowani. Socjotechnika to przecież także wydobywanie informacji przez telefon (to telefon był głównym narzędziem działania Kevina Mitnicka czy Davea Buchwalda). Czy nie wyda nam się wiarygodna osoba, która przedstawi się jako pracownik banku i zna identyfikator lub login, który teoretycznie powinniśmy znać tylko my?

Jak się nie dać?

Na zakończenie przedstawię kilka porad, które mogą pomóc w ustrzeżeniu się przed tego typu atakami, jednak będą one bardzo ogólnikowe z racji charakteru poruszonego problemu. Metod ataków i jego scenariuszy nie da się zliczyć, dlatego ciężko jest powiedzieć co można zrobić, nie znając konkretnego przypadku.

• Unikaj klikania odsyłaczy w wiadomościach, które nie pochodzą od znanych Tobie nadawców. Banki i instytucje wymagające uwierzytelnienia nigdy nie proszą o loginy i hasła, a także o logowanie na stronach podanych w mailach.
• Nie ujawniaj nikomu informacji mogących przyczynić się do przejęcia konta komunikatora, konta pocztowego czy bankowego.
• Zachowaj ostrożność podczas zawierania nowych znajomości online.
• Nie instaluj programów wysyłanych przez przypadkowe osoby.
• Zainstaluj dobry pakiet typu Internet Security - ataki socjotechniczne to także instalowanie trojanów w trybie niewidocznym dla użytkownika.

Pozostaje zatem mieć nadzieje, że jeżeli już nawet dojdzie kiedykolwiek do ataku socjotechnika na kogokolwiek z nas, powinie mu się noga w myśl starego polskiego przysłowia "Nosił wilk razy kilka, ponieśli i wilka".

¹ - Kossecki Józef, Elementy nowoczesnej wiedzy o sterowaniu ludźmi, Kielce 2001, ISBN 83-87798-18-5
² - Gostkowski Zygmunt, Wybrane zagadnienia socjologii, Łódź 2005, ISBN 83-920189-3-1
³ - Simon William i Mitnick Kevin, Sztuka podstępu, ISBN 83-7361-116-9
⁴ - Simon William i Mitnick Kevin, Sztuka podstępu, ISBN 83-7361-116-9

Źródło: Kaspersky Lab