Socjotechnika

Dlaczego warto zaufać Techopedii

Czym jest socjotechnika?

Ludzie są z natury skłonni do pomagania innym. To leży w naszej naturze. Jeśli jesteś recepcjonistą lub pracujesz w punkcie pomocy, może to nawet być częścią twoich obowiązków zawodowych.

Niemniej jednak, bądź czujny wobec socjotechniki. Czym jest socjotechnika? To subtelna manipulacja personelem w celu uzyskania nielegalnego dostępu do budynków, systemów i danych.

Socjotechnika to forma hakowania. Ale nie polega na włamaniu się do sieci przez wykorzystanie technicznej luki. Socjotechnika to hakowanie twojego personelu, organicznej warstwy twojej obrony.

Wyjaśnienie Techopedii

Większość z nas ma podobne cechy. Nikt nie lubi mieć problemów w pracy i współczujemy tym, którzy je mają. Jesteśmy skłonni pomagać osobom borykającym się z problemami, nawet jeśli oznacza to nieco nagięcie zasad lub chwilowe złamanie protokołu.

Jesteśmy jeszcze bardziej skłonni to zrobić, jeśli lubimy lub współczujemy osobie, która ma problem. Jesteśmy również zaprogramowani do słuchania autorytetów. Chcemy być postrzegani jako zdolni do pomocy i gotowi do wsparcia.

Zdolni aktorzy zagrożeń mogą wykorzystać wszystkie te cechy i zmusić ludzi do robienia tego, czego chcą. Polega to na wykorzystaniu ludzkiej psychologii, aby skłonić nieświadomych do wykonania jakiejś czynności, która przynosi korzyść sprawcy.

Ataki socjotechniczne mogą się zdarzyć w jednej rozmowie telefonicznej, lub mogą być rozgrywane przez dłuższy czas, powoli zdobywając zaufanie i akceptację.

Ich celem jest przejście przez twoje środki bezpieczeństwa lub ich obejście.

To nic nowego

Socjotechnika istnieje tak długo, jak oszuści. Istnieją techniki, które działają, więc nieuniknione było, że zostaną przejęte i wykorzystane przez cyberprzestępców.

Działają one na podstawie szlachetnych cech ludzi, takich jak ich życzliwość i chęć pomocy, lub ich gorszych cech, takich jak chciwość i strach.

Aktor zagrożenia może chcieć:

  • Uzyskać dane dotyczące kart kredytowych lub inne szczegóły finansowe.
  • Uzyskać dane logowania do konta użytkownika.
  • Zainstalować złośliwe oprogramowanie, takie jak rejestratory klawiszy, aby naciśnięcia klawiszy ofiary były wysyłane na serwer aktora zagrożenia.
  • Zainstalować oprogramowanie zdalnego dostępu, które pozwala aktorom zagrożenia uzyskać dostęp do komputera ofiary.
  • Zainstalować ransomware, aby wymusić okup od firmy.
  • Uzyskać fizyczny dostęp do budynku, aby zainstalować ukryte urządzenia, ręcznie zainstalować złośliwe oprogramowanie lub ukraść sprzęt.

W przeciwieństwie do wielu cyberataków, ataki socjotechniczne są skierowane bezpośrednio na swoje ofiary. Jest to różne od ataków typu „spray and pray”, takich jak ataki phishingowe czy skanowanie portów.

Jak aktorzy zagrożeń wykorzystują socjotechnikę

Ataki socjotechniczne mogą obejmować rozmowy telefoniczne, e-maile lub osobiste wizyty na terenie twojej firmy. Często używana jest mieszanka tych technik, aby dostosować się do potrzeb ataku.

Rozpoznanie

Aktorzy zagrożeń przeprowadzają wywiad na temat celu w firmie. Monitorują X (dawniej Twitter) i LinkedIn, szukając informacji, które dają im przewagę. Media społecznościowe są mieczem obosiecznym. To, co przekazujesz światu, może łatwo zostać wykorzystane przeciwko Tobie.

  • Aktor zagrożenia może zauważyć, że starszy szczeblem pracownik będzie nieobecny w biurze z powodu konferencji. Jest to rodzaj informacji, które mogą wykorzystać. Daje to aktorowi zagrożenia drogę do wnętrza.
  • Zadzwoni i poprosi o rozmowę z asystentką tego pracownika. Ponieważ rozmawiają o prawdziwym wydarzeniu, asystentka nie ma powodu, by podejrzewać, że rozmówca jest oszustem.
  • Jeśli aktor zagrożenia podszył się (tzw. spoofing) pod numer identyfikacyjny dzwoniącego, sprawiając, że połączenie wydaje się pochodzić z prawdziwego numeru telefonu na potrzeby wydarzenia, iluzja staje się jeszcze bardziej przekonująca.
  • Przedstawi problem i poprosi o pomoc w jego rozwiązaniu. „Mamy zapis jego rezerwacji, ale brak zapisu depozytu lub płatności. Będę miał kłopoty, jeśli nie rozwiążę tego przed końcem mojej zmiany za dziesięć minut. Naprawdę liczę na to, że uratujesz mnie. Czy masz może dane karty kredytowej, za pomocą której dokonano rezerwacji, abym mógł to sprawdzić?”

Ataki telefoniczne

Najprostsze ataki są często najskuteczniejsze, a wsparcie techniczne jest częstym celem. Ich zadaniem jest rozwiązywanie problemów. Ich dzień pracy poświęcony jest zaspokajaniu potrzeb dzwoniących i eliminowaniu problemów.

1. Podszywanie się pod nowego pracownika

  • Firmy często zamieszczają takie posty na LinkedIn lub Twitterze. „Witamy nowego członka firmy, Pana Nową Osobę. Dołączy do zespołu XYZ, itp.”
  • Aktor zagrożenia może zadzwonić do zespołu wsparcia technicznego po godzinach pracy i udawać, że jest tą osobą. Powie, że właśnie zaczął tam pracować – tak, jestem w zespole XYZ – ale nie może uzyskać dostępu do systemów biurowych z domu.
  • Ten scenariusz często działa, ponieważ nowi pracownicy często mają początkowe problemy. Nie oczekuje się od nich, że będą już znać systemy, a także nie będzie podejrzane, jeśli nie będą mogli odpowiedzieć na jakieś pytanie. A ponieważ jest to po godzinach pracy, nie ma nikogo, kto mógłby sprawdzić lub potwierdzić informacje.
  • Zazwyczaj aktor zagrożenia poprowadzi rozmowę tak, że najłatwiejszą rzeczą do zrobienia dla zespołu wsparcia technicznego będzie reset hasła i podanie dzwoniącemu nowego hasła.

2. Zaangażowanie wsparcia technicznego w coś delikatnego

  • Innym podstępem jest zadzwonienie do wsparcia technicznego i udawanie kogoś z zespołu ds. wewnętrznych dochodzeń HR, działającego w delikatnej sprawie wymagającej najwyższej dyskrecji. Wspomną prawdziwą osobę w firmie, tak wysoką rangą, że inżynier wsparcia technicznego na pewno o niej słyszał.
  • „Jest objęta dochodzeniem, nie mogę powiedzieć dlaczego, oczywiście, ale musimy natychmiast zablokować jej konto i ustawić nowe hasło, aby zewnętrzni audytorzy mogli się zalogować, a ona nie. Oto hasło, które należy użyć…”
  • Oczywiście aktor zagrożenia po prostu wybrał imię ze strony Poznaj zespół na stronie internetowej. Ten podstęp działa, sprawiając, że osoba będąca ofiarą oszustwa czuje się jakby była zaangażowana w coś ważnego, tajnego i „dużego”.

3. Budowanie historii dla złośliwego załącznika

  • Równie prostym podstępem jest zadzwonienie do wsparcia technicznego i przejście przez procedurę opisywania problemu z pocztą e-mail aktora zagrożenia. Bez względu na to, co próbują, problem pozostaje nierozwiązany.
  • Aktor zagrożenia zaoferuje wysłanie zrzutu ekranu lub pliku logów do inżyniera wsparcia ze swojego osobistego e-maila, który oczywiście wciąż działa.
  • Przygotowany i czekający na e-mail, inżynier wsparcia technicznego, gdy tylko go otrzyma, natychmiast otwiera złośliwy załącznik. Aktor zagrożenia skutecznie zainstalował złośliwe oprogramowanie w sieci.

4. Udawanie wsparcia technicznego

Udawanie wsparcia technicznego i dzwonienie do innych pracowników to również ulubiona metoda oszustów. Istnieje wiele wariantów tego oszustwa.

  • Jedną z technik jest zadzwonienie na recepcję. Pyta o imię, które wybrał z LinkedIn lub innego źródła. Gdy się z nim skontaktuje, wyjaśnia, że jest wsparciem technicznym lub pracuje w zdalnym centrum danych albo coś podobnego.
  • „Wygląda na to, że zżerasz dużo miejsca na dysku serwera, kopiujesz dużo danych czy coś?”
  • Oczywiście, osoba odpowiada, że nie, niczego nie kopiuje. Po kilku dalszych pytaniach i gorączkowym pisaniu przez asystenta wsparcia technicznego, dochodzą do wniosku, że konto pracownika zostało skompromitowane. Wygląda na to, że ktoś gromadzi dane firmowe, gotowy do ich skopiowania poza sieć. Brzmiąc coraz bardziej podekscytowanie, nakłania pracownika do wylogowania się i ponownego zalogowania. „Nie, nic się nie zmieniło. Nadal to się dzieje”.
  • Asystent wsparcia, z trudem starając się zachować spokój, mówi pracownikowi, że zamierza wymusić zakończenie wszystkich procesów na tym koncie.
  • „Jeśli to zrobię, będę musiał cię ponownie zalogować, sam tego nie zrobisz. Jakie jest twoje imię użytkownika? OK, dzięki. A jakie jest twoje obecne hasło? Dobrze, OK, wyloguj się teraz”.
  • Po krótkiej przerwie asystent wsparcia mówi: „Świetnie, zatrzymałem to. Właściwie możesz się ponownie zalogować i kontynuować normalnie, nie musiałem czyścić twojego konta po wszystkim”. Będzie bardzo wdzięczny i podziękuje pracownikowi za pomoc. Powinien być wdzięczny. Teraz ma konto, którego może użyć, aby uzyskać dostęp do twojej sieci.

To są przykłady skutecznych ataków socjotechnicznych, które mają miejsce dzisiaj.

    Ataki osobiste

    Zdobycie fizycznego dostępu do twoich terenów daje aktorowi zagrożenia możliwość wykonania różnych działań, które dalsze zagrażają twojemu bezpieczeństwu.

    1. Tunelowanie SSH wsteczne

    Zazwyczaj firewalle łatwiej przepuszczają ruch z sieci niż ten, który próbuje się dostać do niej. Firewalle są strażnikami granicznymi, a większość ich uwagi skupia się na tym, co napływa z zewnątrz. Ruch wychodzący często jest drugorzędnym zainteresowaniem.

    • Aktor zagrożenia może wykorzystać tanie, jednopłytkowe komputery, takie jak Raspberry Pi, które po podłączeniu do sieci nawiązują szyfrowane połączenie wychodzące na serwer aktora zagrożenia. Zazwyczaj firewall nie jest skonfigurowany w taki sposób, aby to zatrzymać.
    • Aktor zagrożenia następnie nawiązuje szyfrowane połączenie z powrotem do urządzenia, które zainstalował, wykorzystując już nawiązane połączenie z Raspberry Pi. Daje mu to zdalny dostęp do twojej sieci. To technika nazywana tunelowaniem SSH wstecznym.

    Te ukryte urządzenia mogą być schowane w starych zasilaczach do laptopów lub innych niewinnych urządzeniach i szybko podłączone za sprzętem, takim jak duże drukarki.

    Drukarki potrzebują zasilania sieciowego i punktu sieciowego. Punkty sieciowe zazwyczaj są przypisywane parami, tak samo jak punkty zasilania. Drukarka potrzebuje tylko jednego z każdego. Za drukarką znajdują się połączenia potrzebne urządzeniu i ładne miejsce do ukrycia.

    2. Pendrive’y USB

    Aktor zagrożenia może po prostu wziąć laptopa i wyjść. Może zainfekować sieć złośliwym oprogramowaniem z pendrive’a USB.

    • Może zostawić pendrive’y USB z zainfekowanym oprogramowaniem w pobliżu ekspresów do kawy, w toaletach lub na pustych biurkach. Zazwyczaj do pendrive’a USB jest przyczepiony pęk kluczy.
    • Kiedy pendrive zostanie znaleziony, pytanie, które pojawia się w umyśle pracownika, brzmi: „Kto zapomniał kluczy?” a nie „Hmm – oto anonimowy pendrive USB”.
    • To lekkie przesunięcie w mentalnym podejściu jest ważne. Utrata kluczy to duży problem. Znajdący chce oddać klucze właścicielowi. Jak mogą to zrobić? Być może na pendrive’ie jest coś, co zidentyfikuje właściciela.
    • Na pendrive’ie są pliki. Mogą one wyglądać jak plik PDF lub dokument Word, ale są one maskowanym złośliwym oprogramowaniem. Jeśli mają atrakcyjne tytuły, takie jak „Plany redukcji zatrudnienia etap 1”, pracownik niemal z pewnością na nie kliknie.
    • Możliwe jest automatyczne uruchamianie programów zaraz po włożeniu pendrive’a USB, co oznacza, że pracownik nie musi nawet niczego klikać. Ale jeśli automatyczne uruchamianie jest wyłączone – co powinno mieć miejsce – posiadanie plików o kuszących tytułach jest powszechną strategią awaryjną.

    Podobne podejście polega na tym, że aktor zagrożenia zbiera jakąś promocyjną literaturę od rzeczywistej firmy, na przykład firmy kurierskiej.

    • Przyczepia pendrive USB do każdego z nich. Aktor zagrożenia pojawia się na recepcji i wręcza trzy lub cztery kopie. Prosi recepcjonistę, czy nie miałby nic przeciwko przekazaniu ich osobie odpowiedzialnej za wysyłki.
    • Na pewno recepcjonista odłoży jeden dla siebie, i jak tylko aktor zagrożenia opuści budynek, sprawdzi go na swoim komputerze.

    3. Dostanie się do budynku

    Aby przejść przez recepcję, aktorzy zagrożenia udawali różnych dostawców. Kurier, poczta, dostawy kwiatów, dostawcy pizzy, aby wymienić tylko kilka. Udawali też pracowników kontroli szkodników, pracowników budowlanych i serwisantów wind.

    • Przybycie na spotkanie z kimś, o kim aktor zagrożenia wie, że nie ma go w biurze (dzięki X lub LinkedIn), okazuje się zaskakująco skuteczne. Oczywiście, to ktoś z wyższego szczebla.
    • Recepcjonista próbuje zadzwonić do pracownika i mówi, że nie odbiera telefonu. Aktor zagrożenia mówi, że się tego spodziewał. Mieli rozmowę przez wiadomości tekstowe, a pracownik powiedział, że jego poprzednie spotkanie wygląda na to, że się przeciągnie.
    • „Zasugerowali, żebym poczekał w stołówce. Przyjdą po mnie, gdy będą wolni. Czy ktoś może mi pokazać, gdzie jest?”
    • W zamieszaniu, aktor zagrożenia wykorzystuje wejście kogoś innego do budynku jako sposób na przejście przez te samo drzwi. Jednym trikiem jest czekanie na zewnętrznym punkcie dla palących i rozpoczęcie rozmowy. Aktor zagrożenia przedstawia się.
    • Dowiaduje się imienia osoby, z którą rozmawia. To, co chce, aby się wydarzyło, to aby inni ludzie przybyli do punktu dla palących, podczas gdy on już prowadzi rozmowę. Poczeka, aż pierwszy pracownik wróci do budynku. Pożegna się z nim i będzie się do niego zwracać po imieniu.
    • Nowo przybyli nawet nie będą kwestionować, czy ta osoba jest członkiem personelu. Jest tutaj na ich miejscu dla palących, śmieje się i rozmawia z innymi członkami personelu, zwracając się do nich po imieniu.
    • Aktor zagrożenia rozmawia potem z nowymi przybyłymi. Pyta ich, czy znają osobę, która właśnie wyszła, i mówi im, że to miły człowiek.
    • Kiedy druga fala palaczy wróci do budynku, aktor zagrożenia będzie im towarzyszyć. Pozwoli pracownikom wprowadzić swój kod lub użyć swojego breloczka lub klucza.
    • Kiedy drzwi się otworzą, zrobi show, trzymając je otwarte i gestykulując, aby prawdziwi pracownicy weszli. Następnie wchodzi za nimi.

    Jak chronić się przed socjotechniką

    Mając do czynienia z ludźmi, jak można się domyślać, obrony obracają się wokół szkoleń, polityk i procedur.

    • Ćwiczenia ról i próby zespołowe: ćwiczyć procedury z zespołami i rozważyć włączenie sesji role-play prowadzonych przez doświadczonych, nieszkodliwych inżynierów społecznych.
    • Firmy ochrony i testy przenikania: firmy ochronne mogą być angażowane do wykorzystania wszystkich opisanych tutaj technik i więcej, aby próbować przeniknąć twoje obrony. Gdzie ich ataki odniosły sukces, będą cię prowadzić do dalszego zaostrzania bezpieczeństwa poprzez poprawę procedur lub zastosowanie większej kontroli do istniejących procedur. Tak jak testowanie penetracyjne, które sonduje twoje obrony techniczne, podatność na inżynierię społeczną powinna być testowana okresowo. Możesz zdecydować się połączyć to z nieszkodliwą kampanią phishingową.
    • Bezpieczeństwo urządzeń USB: wyłącz autootwieranie plików dla urządzeń USB. Potraktuj anonimowe pendrive’y jak skrzynię Pandory.
    • Polityka niezwyczajnych żądań: posiadaj politykę dla żądań niezwyczajnych. Są to żądania, które łamią protokół. Proszą o coś, na co zwykle byś się nie zgodził, ale możesz być skłonny, ponieważ to nagły wypadek. Albo jednorazowe. Albo specjalne okoliczności. Albo ten facet naprawdę potrzebuje odpoczynku. Nie wystawiaj swojego personelu na sytuację, w której czują się rozdarcie między chęcią pomocy a wiedząc, że nie powinni. Miej procedurę, której mogą przestrzegać.
    • Skanowanie sieci i identyfikacja nowych urządzeń: przeprowadź skanowanie sieci i zidentyfikuj oraz sprawdź nowe urządzenia, które zostały podłączone do sieci.
    • Ochrona poświadczeń logowania: nigdy nie podawaj wsparciu technicznemu – ani nikomu innemu, zresztą – swoich danych logowania. Nigdy o to nie zapytają. Jeśli jesteś proszony o tego typu informacje, rozmówca jest oszustem.
    • Bezpieczeństwo telefonu: jeśli otrzymasz telefon, w którym ktoś prosi cię o poufne informacje, których wcześniej udzieliłeś, najbezpieczniejsze będzie odłożyć słuchawkę i ponowne zadzwonienie do tej osoby
    • Polityka eskortowania odwiedzających: nigdy nie zostawiaj odwiedzających bez nadzoru i zawsze ich eskortuj. Pozwól odwiedzającym czekać na swój kontakt w recepcji.

    Wspieranie kultury zorientowanej na bezpieczeństwo w twojej firmie przyniesie zyski i stanowi fundament wielowarstwowego podejścia do bezpieczeństwa.

    Related Terms

    Margaret Rouse
    Technology Specialist
    Margaret Rouse
    ekspertka ds. technologii

    Margaret jest nagradzaną technical writerką, nauczycielką i wykładowczynią. Jest znana z tego, że potrafi w prostych słowach pzybliżyć złożone pojęcia techniczne słuchaczom ze świata biznesu. Od dwudziestu lat jej definicje pojęć z dziedziny IT są publikowane przez Que w encyklopedii terminów technologicznych, a także cytowane w artykułach ukazujących się w New York Times, w magazynie Time, USA Today, ZDNet, a także w magazynach PC i Discovery. Margaret dołączyła do zespołu Techopedii w roku 2011. Margaret lubi pomagać znaleźć wspólny język specjalistom ze świata biznesu i IT. W swojej pracy, jak sama mówi, buduje mosty między tymi dwiema domenami, w ten…