Polowanie na najsłabsze ogniwo

Styczeń 2010 r. Właściciele cennych na rynku praw do emisji dwutlenku węgla dostają e-maile od firmy zajmującej się cyberbezpieczeństwem. Z treści listu wynika, że Komisja Europejska uznała konta do handlu prawami za bardzo słabo zabezpieczone i nakazała jak najszybciej poprawić sytuację. Taki był początek jednego z najlepiej przygotowanych ataków socjotechnicznych w Europie.

Spreparowany e-mail otrzymali operatorzy w całej UE. Nadawca znał imię oraz nazwisko osoby odpowiedzialnej w konkretnej firmie za sieciowe zabezpieczenia i numer jej telefonu służbowego. Co ważne, wiadomości były napisane w odpowiednim języku narodowym. Wielu zaatakowanych dało się oszukać. Dane, które ujawnili, posłużyły przestępcom do wykradzenia uprawnień do emisji CO2. Szkody? Tylko w Niemczech oszacowano je na 3 mln euro. Polska nie poniosła strat, bo - jak poinformowała Agencja Bezpieczeństwa Wewnętrznego - w porę zareagował Krajowy Administrator Systemu Handlu Uprawnieniami.

Jak to się robi

Kevin Mitnick, najsłynniejszy haker lat 80. oraz 90., z ataku socjotechnicznego uczynił główne narzędzie swojego procederu. Socjotechnika, jak tłumaczył w książce "Sztuka podstępu", to sztuka wywierania wpływu na ludzi i ich okłamywania. Sprawienia, by uwierzyli w to, co mówisz, bo gdy tak się stanie, można się nimi posłużyć. Komputer i oprogramowanie mogą się przydać do włamania, ale nie są niezbędne do odniesienia sukcesu. "Udało mi się uzyskać dostęp do systemów komputerowych paru największych korporacji na planecie, spenetrować najlepiej zabezpieczone z istniejących systemów komputerowych. Używałem narzędzi technologicznych i niezwiązanych z technologią, aby uzyskać dostęp do kodu źródłowego różnych systemów operacyjnych, urządzeń telekomunikacyjnych i poznawać ich działanie oraz słabe strony" - wspominał.

Z opowieści Mitnicka wyłania się obraz starannie planowanych włamań składających się z wielu etapów. W przypadku ataku na właścicieli praw do emisji CO2 z pewnością tak było. A zaczęło się od skradzenia danych adresatów, do których potem skierowano e-maile. - Takie najprostsze dane mogą zostać później wykorzystane przez atakującego do uwiarygodnienia swojej tożsamości podczas rozmowy z kolejnym pracownikiem tej samej firmy. W ten sposób atakujący może go nakłonić do zainstalowania aplikacji, która jest koniem trojańskim zamieniającym komputer w posłuszną mu marionetkę - mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Bo - jak tłumaczy - podstawą ataku socjotechnicznego jest wykorzystanie ludzkiej naiwności i brak podejrzliwości. - Atakujący bezwzględnie rozpoznaje i wykorzystuje słabości danej osoby, grając na jej emocjach i odwołując się do jej systemu wartości - mówi. Najczęściej wykorzystuje u atakowanej osoby jej ciekawość, chęć pomocy innym oraz potrzebę odwzajemniania się i szacunek do autorytetów.

Beata Marek, prawniczka prowadząca blog cyberlaw.pl, zajmująca się m.in. bezpieczeństwem w sieci, podkreśla, że celem ataku socjotechnicznego na początku zawsze jest zdobycie informacji. - Przestępca precyzuje najpierw, co chce osiągnąć, później określa metody. Na ogół stosuje kilka różnych. Gdy jedna zawiedzie, sięga się po kolejną - tłumaczy. I dodaje, że dziś jest mu wyjątkowo łatwo, bo potencjalnych ofiar jest mnóstwo chociażby na Facebooku. - Jeśli np. księgowa z dużej firmy na swoim profilu, który jest publicznie dostępny, dodaje zdjęcia kilkuletniego dziecka oraz podaje, że mieszka w Katowicach, atakujący może wysłać jej na e-maila spreparowaną wiadomość z linkiem: "Na Śląsku dzieci masowo chorują na tę chorobę. Wystarczy pamiętać tylko o jednym, żeby jej uniknąć". Kliknięcie w link sprawi, że na komputer atakującego zostaną przesłane dane o adresie IP peceta księgowej, rodzaju i wersji przeglądarki internetowej, jakiej używa, jej dane geolokalizacyjne i historia odwiedzanych wcześniej stron - mówi Marek.

Ale to nie koniec: klikając w link, może uruchomić instalację złośliwego oprogramowania, które będzie wykonywać zrzuty ekranu - przestępca będzie widział to, co księgowa ma na ekranie, i keyloggera - czyli przestępca będzie wiedział, co pisze na komputerze. Taki zestaw gwarantuje szybkie przejęcie haseł, choćby do intranetu (firmowej sieci wewnętrznej).

Czego chce socjotechnik

To atak ukierunkowany: haker wie, czego chce, i próbuje to uzyskać. Nie jest działaniem na oślep, jak to ma miejsce w przypadku phishingu. Tu chodzi o zainstalowanie wirusa na jak największej liczbie komputerów lub wyłudzenie danych od jak największej liczby ludzi. Ta technika przypomina zarzucanie sieci: większość nie da się nabrać na wiadomość o wygranej na loterii, ale znajdą się tacy, którzy sprawdzą, co kryje się pod przesłanym linkiem. I wpadną w sieć.

Grzegorz Michałek, ekspert ArcaBit, uważa, że ofiarą ataku socjotechnicznego może paść każde przedsiębiorstwo lub organizacja. - Czynnikiem ułatwiającym jest rozbudowana struktura, złożone kompetencje, trudności komunikacyjne. Słabym ogniwem jest zawsze człowiek, bo im więcej ludzi, tym więcej potencjalnych punktów podatności na atak - mówi. Beata Marek dodaje, że najbardziej łakomym kąskiem będą zawsze poufne informacje, np. tajemnice handlowe, informacje finansowe, dane dotyczące klientów, strategie działania. - Ale również te, od których można łatwo wyłudzić zlecenia, np. udawać zainteresowanego klienta po to, by zamówić usługę i za nią nie zapłacić - mówi Beata Marek. - Czy mechanizmy ataków socjotechnicznych są również wykorzystywane w podchodach konkurencyjnych? Bez wątpienia tak. W końcu szpiegostwo przemysłowe istnieje praktycznie od zawsze - dodaje Grzegorz Michałek.

W opinii ekspertów polskie firmy nie są należycie zabezpieczone przed atakiem socjotechnicznym. - Nawet w dużych organizacjach sprawa bezpieczeństwa w internecie spychana jest na drugi plan. Firmom wystarczy informatyk, który ma pojęcie o Wordzie czy Excelu, wie, że trzeba mieć firewalla - ocenia Marek. Jej zdaniem świadomość zagrożenia powinien posiadać przede wszystkim zarząd (w mniejszych przedsiębiorstwach właściciel), potem szefowie działów i na końcu wszyscy pracownicy. Pomiędzy tymi trzema grupami powinien występować łącznik, jakim jest na przykład inspektor ds. bezpieczeństwa, który cyklicznie edukuje i zaleca właściwe rozwiązania. - Wystarczy przyjrzeć się polskim firmom, by stwierdzić, że większość z nich nie zatrudnia tak wyspecjalizowanego pracownika. Tym samym ich odporność na atak jest niska, bo kto oprócz swoich zadań w czasie dnia pracy ma jeszcze czas śledzić najnowsze metody działania cyberprzestępców? - pyta retorycznie.

Czy można się przed tym obronić

Najsłabszym ogniwem w firmie są nowi pracownicy, którzy jeszcze nie zostali odpowiednio przeszkoleni, albo tacy, którym nie zależy na bezpieczeństwie firmy. - Dlatego tak ważna w zapobieganiu atakom jest edukacja i dbanie o więź pracownika z firmą, poczucie misji. Bardzo podatne na atak są osoby sfrustrowane, przepracowane i za bardzo ufne. O ile z tym ostatnim czynnikiem można sobie poradzić poprzez edukację, o tyle o poprawę dwóch pierwszych powinien zadbać kadrowy, a w mniejszych firmach właściciel - mówi Beata Marek.

Podobnego zdania jest Kamil Sadkowski. Jego zdaniem tylko prewencja może ograniczyć ryzyko ataku. Oprócz szkoleń z przykładami realnych ataków socjotechnicznych pracownicy muszą też mieć świadomość, które dane dla firmy są szczególnie wrażliwe. - Warto rozważyć również instalację specjalnych zabezpieczeń, m.in. oprogramowania antywirusowego na komputerach pracowników, które może powstrzymać instalację złośliwego program - uważa ekspert.

Ile tracą polscy przedsiębiorcy na cyberatakach? Skali strat wywołanych atakami socjotechnicznymi w Polsce nikt dokładnie nie zbadał, a same firmy nie chcą się chwalić tym, że padły ich ofiarami. Poza tym większość nawet nie zdaje sobie sprawy z tego, że jest na celowniku hakerów. Grzegorz Michałek uważa, że straty obejmują zawsze sferę finansową (kwoty mogą być tutaj dowolnie wysokie), przewagę konkurencyjną (jeśli informacje, które zostały wykradzione, były właśnie gwarantem budowanej przewagi) oraz wizerunkową (co np. w przypadku organizacji zaufania publicznego, m.in. banków, ma rynkowo znaczenie kluczowe). - W skrajnym przypadku strata jest całkowita i powoduje upadek zaatakowanego podmiotu - dodaje.

Co gorsza, jeśli już do niej dojdzie, raczej nie ma co liczyć na odszkodowanie. Beata Marek mówi, że jedna przyczyna to podejście organów ścigania do takich spraw, które są traktowane czasem jak temat drugiej kategorii. Ale inny powód to brak skutecznych narzędzi. - Ściganie cyberoszustów wymaga specjalistycznej wiedzy, szybkiego czasu reakcji, a także współpracy na poziomie międzynarodowym, co nie zawsze jest możliwe - mówi prawniczka. Grzegorz Michałek dodaje, że co prawda przepisy na ogół dość precyzyjnie definiują tego typu przestępstwa, jednak ze stosowaniem ich w praktyce rzeczywiście jest już gorzej. - Dlatego wiele zgłoszeń kończy się umorzeniem postępowania - mówi ekspert.

Kevin Mitnick zwykł mawiać, że firma może dokonać zakupu najlepszych i najdroższych technologii służących zabezpieczeniom, przeprowadzić niezbędne szkolenia i pilnować obiegu informacji, a i tak wciąż będzie niezabezpieczona. - Kto stanowi największe zagrożenie bezpieczeństwa kapitału firmy? Odpowiedź jest prosta: socjotechnik - pozbawiony skrupułów magik, który, gdy patrzysz na jego lewą rękę, prawą kradnie twoje tajemnice. Do tego często bywa tak miły, elokwentny i uprzejmy, iż naprawdę cieszysz się, że go spotkałeś - napisał w "Sztuce podstępu".

@RY1@i02/2013/163/i02.2013.163.000001800.802.jpg@RY2@

Shutterstock

Marek Chądzyński