Piotr PACEWICZ Katedra Inżynierii Oprogramowania, Wydział Informatyki,

Zachodniopomorski Uniwersytet Technologiczny w Szczecinie

E-mail: ppacewicz@wi.zut.edu.pl

Socjotechnika, jako metoda do przełamywania

zabezpieczeń w systemach informatycznych

1. Wstęp

Współczesna kryptografia dostarcza informatykom zaawansowane algorytmy krypto-

graficzne takie jak AES, 3DES, RSA, które są powszechnie stosowane. Również

pojawiają się nowe algorytmy oparte o krzywe eliptyczne. Stanowią one podstawą

przy tworzeniu zabezpieczeń systemów informatycznych. Systemy bankowe oparte są

o klucze jednorazowe generowane przez tokeny do szyfrowania wymiany danych.

Również proste portale internetowe wykorzystują algorytmy z rodziny SHA-2 do

przechowywania informacji o haśle użytkownika w postaci niejawnej.

Przełamanie wyżej wymienionych metod wymaga od hakera posiadania sprzętu

o dużej mocy obliczeniowej lub bardzo dużej ilości cierpliwości. Hakerzy mogą sto-

sować atak brutalny, który jest w 100% skuteczny lecz efekt jego pracy można uzy-

skać po upływie dni, lat a nawet wieków. Dlatego opracowano metody, które nie dają

całkowitej pewności przełamania ale są dużo szybsze. Są to ataki słownikowe lub

ataki z użyciem tęczowych tablic. Przezwyciężenie technicznych zabezpieczeń sys-

temów informatycznych jest skomplikowane i kosztowne w przeprowadzeniu lub

proste i czasochłonne. Niemal każdy użytkownik ma zainstalowany firewall, antyvi-

rus, antyspam. Dzięki temu przejęcie kontroli nad zwykłym komputerem nie jest

rzeczą trywialną. To przyczyniło się do szukania przez audytorów zabezpieczeń

a przez hakerów innych sposobów zdobywania danych.

Celem ataku przestaje być obecnie komputer sam w sobie lecz jego użytkownik.

Człowiek jest zarazem najsilniejszym i najsłabszym ogniwem bezpieczeństwa syste-

mu informatycznego. Wystarczy jeden błąd człowieka, który może wynikać z naiwno-

ści, braku wiedzy lub najzwyklejszej głupoty by pomimo kosztownych i wyrafinowa-

nych rozwiązań technicznych włamać się i uzyskać dostęp do danych poufnych.

W celu uzyskania od użytkownika informacji lub działań, które narażą cały system

audytorzy i hakerzy stosują socjotechnikę.

2. Co to jest socjotechnika?

Angielska Wikipedia definiuje socjotechnikę jako manipulacje ludźmi w celu nakło-

nienia ich do podjęcia określonych działań lub ujawnienia poufnych informacji. Jest

to trafna definicja i oddaje istotę inżynierii społecznej, która może być stosowana

Piotr Pacewicz 138

w kontakcie z pojedynczą osobą jak i również z grupą ludzi. Wyróżnić można trzy

elementy działania socjotechnika: zbieranie informacji, urabianie oraz wywoływanie.

3. Zbieranie informacji

Napoleon Bonaparte powiedział „Podczas wojny informacja to 90% sukcesu”, myśl ta

jest ponadczasowa i odnosi się nie tylko do prawdziwej wojny. Posiadanie i zbieranie

informacji o przeciwniku jest najważniejszym elementem socjotechniki. Zdobyta

wiedza stanowi podstawę dalszych działań socjotechnika. Ważna jest każda informa-

cja, nawet ta najmniejsza i wydająca się bezwartościowa jak np. znajomość ulubione-

go rodzaju kawy prezesa przedsiębiorstwa. Informację taką można wykorzystać

w procesie urabiania.

Socjotechnik w procesie pozyskiwania informacji o obiekcie swoich zainteresowań

zbiera wszystkie dostępne publicznie dane. Wykorzystuje do tego przeglądarkę Goo-

gle. Jest to bardzo zaawansowane narzędzie do eksploracji danych umieszczonych w

Internecie. Google pozwala filtrować wyniki wyszukiwania pod kątem określonego

typu plików (w wyszukiwarce wpisać należy „filetype:typ”). Umożliwia dokładne

przeszukiwanie wybranych stron, wystarczy wpisać „site:adres_www”. Dzięki temu

można odnaleźć pliki i informacje, do których nie można dotrzeć poprzez zwykłe

przeglądanie witryny internetowej.

Ogromnym źródłem informacji są coraz popularniejsze sieci społecznościowe takie

jak facebook.com, nk.pl, grono.net itp. Ludzie zamieszczają na swoich profilach in-

formacje, które mogą wydawać się nieszkodliwe. W końcu jaką krzywdę może wy-

rządzić poinformowanie znajomych, że lubi się wędkarstwo. Również dla socjotech-

nika mogą być ważne zdjęcia zamieszczane w takich portalach. Wydawać się może,

że fotografia pucharu z lodami wykonana za pomocą smartfona jest pozbawiona ja-

kichkolwiek użytecznych socjotechnikowi informacji, lecz dzięki nowoczesnej tech-

nice takie zdjęcie zawiera geoznaczniki i pozwala określić miejsce jego wykonania.

To może dostarczyć informacje o tym, że osoba która umieściła takie zdjęcie na swo-

im profilu nie przebywa aktualnie w miejscu swojego zamieszkania.

Wyżej wspomniane metody pozyskiwania informacji określam mianem pasywnych

gdyż nie zawierają interakcji z ofiarą. W świecie informatyki popularnymi aktywnymi

metodami pozyskania danych jest Phishing. Polega on na tworzeniu fałszywych stron

internetowych, które wyglądają identycznie jak, te pod które się podszywamy. Jest to

popularna metoda służąca pozyskiwaniu danych do logowania w bankach lub witry-

nach internetowych. Adres takiej strony różni się od oryginalnego np. kolejnością

dwóch liter. Udowodnione naukowo jest, że ludzki umysł czyta od razu całe wyrazy

i nie przeszkadzają mu przestawione w środku wyrazu litery. Bewzłdaność proecsu

myślwoego nazsego mózgu stnaowi podsatwę oszustwa. Internauta wchodząc na

fałszywą stronę rozpoczyna proces logowania podając prawdziwe dane. Te są zapa-

miętywane a użytkownik jest przekierowywany na prawdziwą witrynę. Faktem jest,

że większość osób wykorzystuje to samo hasło i ten sam login do większości syste-

mów informatycznych z jakich korzysta, gdyż jest mu łatwiej zapamiętać te dane.

Socjotechnika, jako metoda do przełamywania zabezpieczeń… 139

By użytkownicy zaczęli korzystać z fałszywej strony należy wskazać im ją w sposób

który nie wzbudzi podejrzeń. Audytor lub haker dzięki wcześniej zdobytym informacją

znają klucz za pomocą którego generowane są adresy e-mail w przedsiębiorstwie oraz

wie jakie są wspólne zainteresowania pracowników. Preparuje on stronę www o odpo-

wiedniej tematyce, a następnie rozsyła emaile do pracowników, licząc na to że choć

jedna osoba skusi się i kliknie w linka zawartego w wiadomości email. Pod takim lin-

kiem może znajdować się wcześniej wspomniana fałszywa strona, wirus, koń trojański

lub exploit. Pozwoli to na zdobyć potrzebnych, niedostępnych informacji.

W celu pozyskania największej możliwej ilości danych, socjotechnik szuka ich niemal

w każdym miejscu. Częstą praktyką, która daje duży rezultat jest grzebanie w śmieciach

jakie wyrzucają ekipy sprzątające przedsiębiorstwa. Przeważnie można odnaleźć niedo-

kładnie zniszczone albo całkowicie nienaruszone poufne dokumenty. Uchybienia takie

związane są najczęściej z chęcią obniżenia kosztów i zakupem nieprofesjonalnej nisz-

czarki lub jej brakiem.

4. Urabianie

Jest to proces, w którym socjotechnik zakończył zbieranie danych i na ich podstawie

kreuje scenariusz ataku. Planuje on działania, które pozwolą zdobyć zaufanie ofiary.

Bez tego każdy atak jest z góry skazany na porażkę. Każdy proces urabiania jest indy-

widualny i wymaga sporej dozy kreatywności od socjotechnika. Dlatego nie ma uniwer-

salnego szablonu tworzenia scenariusza. Istnieje jedynie szereg wskazówek:

• im więcej czasu poświęci się zbieraniu informacji tym większa szansa powodzenia,

• im prostszy scenariusz tym większe szanse na sukces,

• obiektowi ataku należy podsunąć logiczne wnioski,

• scenariusz powinien sprawiać wrażenie spontanicznego,

• jeśli socjotechnik ma podobne zainteresowania co ofiara jego szanse na sukces zna-

cząco rosną,

• należy znać inteligencję i typ osoby, z którą się kontaktujemy.

5. Wywołanie

Jest to zadanie pytania lub zasugerowanie działania obiektowi ataku socjotechniczne-

go po tym, jak dzięki urabianiu zdobyliśmy jego zaufanie. Można określić to jako

symulację, która ma wywołać konkretną reakcję. Dla socjotechnika jest to umiejęt-

ność odpowiedniego formułowania wypowiedzi oraz pytań. Natomiast amerykańska

National Seciurity Agency definiuje wywołanie jako „subtelne pozyskanie informacji

w toku pozornie normalnej rozmowy”.

Skuteczność zawdzięcza się chęci człowieka do bycia miłym, profesjonalnym i do-

brze poinformowanym w czasie rozmowy. Często wywołanie następuje po serii po-

chwał dla rozmówcy. Dlatego jedyną obroną jest zachowanie czujności i kontroli nad

tym co mówimy.

Piotr Pacewicz 140

6. Przykładowy scenariusz

Pewnego popołudnia zadzwonił telefon. Na ekranie wyświetlał się nieznany numer

komórkowy, po odebraniu z głośnika telefonu dobiegał głos miłej pani, która przed-

stawiła się jako telemarketer banku, w którym ofiara posiada konto. Zadała ona pyta-

nie czy poświęcone zostanie jej 5 minut czasu, akceptacja tego rozpoczęła przedsta-

wianie oferty związanej z posiadaniem kary kredytowej. Następnie ofiara zapytała ją

czy informacje, które podała odnajdzie w witrynie internetowej banku. Gdy usłyszała

odpowiedź twierdzącą, grzecznie podziękowała za udzielenie jej informacji i powie-

działa, że poczyta jeszcze o tym i jeśli będzie dalej zainteresowana kartą kredytową to

uda się do oddziału banku w swojej miejscowości. Telemarketerka, z którą rozmawia-

ła zaproponowała, że przygotuje wstępną umowę i jeśli się namyśli to wystarczy udać

się do wskazanej wcześniej placówki, złożyć podpis i będzie można się cieszyć kartą

kredytową. Wystarczyło tylko podać swoje dane osobowe z dowodu osobistego, nu-

mer identyfikacji klienta oraz wprowadzić hasło w klawiaturze telefonu w celu uwie-

rzytelnienia posiadacza konta. Nasz obiekt ataku socjotechnicznego chcąc być

uprzejmym poinformował, że jest studentem i taka usługa nie jest mu potrzebna, po

czym się rozłączył.

Powyższy opis dla większości osób wydaje się zwyczajną rozmową z lekko natrętnym

telemarketerem, lecz są podstawy by twierdzić, że był to atak z wykorzystaniem so-

cjotechniki. Szczęśliwie nasza ofiara jest audytorem wewnętrznym systemów bezpie-

czeństwa informacji i jest świadoma zagrożenia, to uratowało ją przed skradzeniem

jej tożsamości.

Pierwsze potknięcia dzwoniący zaliczył na etapie zbierania informacji – nie wiedział,

że dzwoni do studenta, który posiada konto studenckie. Nie zebrał odpowiednich

informacji na temat procedur obowiązujących telemarketera – nie przedstawił się na

początku rozmowy tylko podał, że dzwoni z banku, zadzwonił z niezastrzeżonego

numeru komórkowego. Również dopytywał o to czy są stałe wpływy na konto. Jeśli

w rzeczywistości była to telemarketerka banku to powinna mieć dostęp do systemu

banku i informację o tym.

Niedokładne zebranie danych o ofierze i banku spowodowało, że na etapie urabiania

i realizowania wykreowanego przez nią scenariusza nie zyskała zaufania. Nie przeszko-

dziło to jednak jej w podjęciu próby wywołania, czyli poproszeniu o dane osobowe

osoby, z którą rozmawia i dane potrzebne do skorzystania z bankowości internetowej.

Ponieważ inżynieria społeczna jest obiektem zainteresowań naszego audytora, który

odebrał telefon stanowi on trudny cel ataku. Sprawdził on zatem czy scenariusz wy-

kreowany do rozmowy ze nim miałby szansę powodzenia podczas rozmowy ze zwy-

czajnym klientem banku wykorzystującym usługi bankowości elektronicznej. Osoba,

którą poddał testowi była wcześniej uświadamiana przez niego o zagrożeniach jakie

niesie wyjawienie danych osobowych. Pomimo tego była ona skłonna uwierzyć

i stwierdziła, że jeśli była by jej potrzebna karta kredytowa to skusiłaby się na możli-

wość szybszego załatwienia karty i podałaby dane, o które zostałaby poproszona.

Socjotechnika, jako metoda do przełamywania zabezpieczeń… 141

Haker, który uzyskałby wyżej wymienione informacje o osobie i jej koncie mógłby

bez problemów skraść osobowość, zaciągnąć kredyt, wybrać pieniądze. Problema-

tyczne byłoby też dochodzenie odszkodowania i umorzenie potencjalnego długu,

gdyż ze strony banku wygląda to na prawidłową transakcję dokonaną przez właścicie-

la rachunku bankowego.

7. Podsumowanie

Najlepszą metodą obrony przed atakiem socjotechnicznym jest poznanie mechanizmów

takiego ataku. Dzięki temu wzrośnie czujność i tak jak socjotechnik zaczniesz zwracać

uwagę na szczegóły, które mogą być podstawą do zmanipulowania twojej osoby. Rów-

nież zalecane jest kontrolowanie informacji jaką zamieszcza się o sobie w Internecie.

Często nieświadomie udostępniane są informacje np. większość nowoczesnych smart-

fonów automatycznie umieszcza na portalach społecznościowych zdjęcie, które właśnie

wykonaliśmy lub ma uruchomioną aplikację „moi znajomi w pobliżu” a to pozwala nas

namierzyć z dokładnością do 20 m. Tak więc czujność i zdrowy rozsądek powinien być

na pierwszym miejscu.

Istnieją witryny takie jak www.123people.com , które pozwalają w bardzo szybki spo-

sób wyszukać wszelkie informacje o konkretnej osobie, portale w których można szyb-

ko sprawdzić czy wskazana osoba jest zarejestrowana w KRS i co właściwie posiada.

Informacje o nas już są w Internecie. Nie ma sensu ułatwiać pracy socjotechnikom.

Zalecam zapoznać się z literaturą wymienioną poniżej. Są w niej opisane i omówione

rzeczywiste ataki socjotechniczne.

Literatura

1. Hadnagy Ch., tł. Witkowska M.: Socjotechnika Sztuka zdobywania władzy nad umy-

słami, Helion Gliwice 2011

2. Mitnick K., Simon W.: Sztuka Podstępu, Helion Gliwice 2003

3. Socjotechnika, dostępna w Internecie: www.social-engineer.org/framework/

Streszczenie

W referacie przedstawiono i opisano metody działań socjotechnicznych, które służą im

do zdobywania poufnych informacji lub infiltracji systemów informatycznych. Dzięki

temu czytelnik zwiększy swoją świadomość zagrożeń czyhających na niego. Dodatko-

wo zaprezentowany jest rzeczywisty scenariusz, z którym spotkał się autor niniejszego

artykułu oraz parę porad, które pomogą przeciwstawić się atakowi socjotechnicznemu.

Piotr Pacewicz 142

Social Engineering as a way to break into secure

IT systems

Summary

In this referee are presented and described methods, which social engineers use to col-

lect confidential information or infiltration IT systems. Reader will increase his aware-

ness about threats, which waits for him. Additionally there is described real scenario,

which encounter author of that article and a few advices about how to resists social

engineering attack.