Zacznijmy od definicji...

Słownikowa wersja jest krótka, lecz treściwa: „socjotechnika - jest to umiejętność skutecznego oddziaływania na ludzi (na społeczeństwo)” (Kossecki Józef, Elementy nowoczesnej wiedzy o sterowaniu ludźmi, Kielce 2001, ISBN 83-87798-18-5).

Zatem jest to swego rodzaju zbiór cech, bądź umiejętność oddziaływania na innych, tak by osiągnąć zamierzony cel. Nie jest istotny fakt kłamstwa i zmyślania, liczy się efekt, którym ma być wydobyta informacja lub zachęcenie do pewnych działań. Aby bardziej to zobrazować posłużę się pewnymi przykładami, z którymi każdy z nas miał do czynienia.

Reklamy telewizyjne to bardzo dobry przykład na wywieranie wpływu i używanie perswazji do nastawienia odbiorcy na pewien produkt. Osoby, które biorą udział w reklamie są uśmiechnięte i przekonujące (niejednokrotnie to znani aktorzy lub po prostu osoby popularne i rozpoznawalne), produkt reklamowany jest jako jedyny w swoim rodzaju, często w tle słychać dobraną do klimatu reklamy muzykę. Niejednokrotnie reklamowany produkt jest porównywany do gorszego i nieistniejącego np. proszek markowy xyz, oraz zwykły proszek.

Przed wyborami mamy do czynienia z licznymi wystąpieniami, w radiu, telewizji i Internecie, polityków ubiegających się o konkretne stanowiska. Tutaj także używana jest socjotechnika. Niejednokrotnie spotkaliście się zapewne z próbą manipulowania opinią publiczną przez pokazywanie innych polityków i ich rządów w niekorzystnym świetle. Jak pisze Zygmunt Gostkowski:

„Propaganda jest więc socjotechniką i manipulacją umożliwiającą sterowanie masowymi postawami, opiniami i zachowaniami" (Gostkowski Zygmunt, Wybrane zagadnienia socjologii, Łódź 2005, ISBN 83-920189-3-1).

W artykule nie będę się jednak skupiał na działaniach podejmowanych przez ludzi, którzy chcą nas namówić do głosowania na nich lub przekonać do konkretnego produktu, niemającego sobie równych. Postaram się jednak pokazać, jak socjotechnika jest wykorzystywana w sieci i jakie zagrożenia to ze sobą niesie. Przedstawię różne jej aspekty, od próśb związanych z kliknięciem linku, po namowy do instalowania szkodliwego oprogramowania. Przekonacie się także, że bywały już w historii przypadki, kiedy wystarczyło... poprosić o hasło, aby nadać sobie samemu uprawnienia administratora. Nie trzeba było szukać luk w oprogramowaniu, wystarczyło zaatakować najsłabsze ogniwo całej sieci komputerowej - człowieka.

Czy znasz jakiegoś socjotechnika?

Zacznijmy od przedstawienia jednego z najsłynniejszych socjotechników. O Kevinie Mitnicku słyszało z pewnością wielu. Był on odpowiedzialny i oskarżony za stosowanie technik, dzięki którym wchodził w posiadanie informacji niejawnych. W skład oskarżenia wchodziły także liczne zarzuty dotyczące podszywania się pod osoby trzecie. Najciekawszą rzeczą w tym wszystkim jest jednak fakt, że wszystkie uprawnienia jakie zdobył , i dzięki którym zinfiltrował różne organizacje, otrzymał od ludzi, pracowników firmy. Najzwyczajniej w świecie o nie prosił... Wiele ze swoich trików opisał w dwóch książkach. W jednej z nich - "Sztuka podstępu" podaje przykład takiej właśnie prośby.

Atakujący potrzebuje czyjegoś zastrzeżonego numeru telefonu... Wykonuje zatem następujący manewr. Dzwoni do automatycznego centrum przydziału linii i wymyśla historię, która pomoże mu w zdobyciu numeru.

"Dzień dobry, tu Paul Anthony. Jestem monterem kabli. Proszę posłuchać, mam tu spaloną skrzynkę z centralką. Policja podejrzewa, że jakiś cwaniak próbował podpalić swój dom, żeby wyłudzić odszkodowanie. Przysłali mnie tu, żebym połączył od nowa całą centralkę na 200 odczepów. Przydałaby mi się pani pomoc. Które urządzenia powinny działać na South Main pod numerem 6723?" (Simon William i Mitnick Kevin, Sztuka podstępu, ISBN 83-7361-116-9).

Informacje takie nie powinny być podawane nikomu, kto nie posiada do tego specjalnych uprawnień. Jednak sam fakt, że Paul Anthony wiedział o mechanicznym centrum przydziału linii (MLAC), sprawiał że stał się bardziej wiarygodny, nie była to bowiem informacja ogólnie dostępna. Dodatkowo mamy tutaj wywołanie swego rodzaju współczucia u rozmówcy. Wszystkie dane, o które prosił atakujący zostały podane bez koniecznego uwierzytelnienia.

Na zakończenie tego przykładu idealnie nadaje się uwaga samego Mitnicka:

"Szpiedzy przemysłowi lub hakerzy czasami próbują fizycznie dostać się na teren firmy. Zamiast łomu socjotechnik korzysta ze swojej umiejętności manipulacji i przekonuje osobę po drugiej stronie, aby otworzyła mu drzwi" (Simon William i Mitnick Kevin, Sztuka podstępu, ISBN 83-7361-116-9)

Bywają także sytuacje, kiedy atakujący przed podaniem konkretnej prośby stara się poznać osobę, od której wyciąga informacje. Internet stwarza ku temu idealne warunki. Do dyspozycji są czaty, komunikatory, poczta elektroniczna, fora i wiele innych możliwości przekazywania informacji, które pozwalają zapoznać nowe osoby i przekonać je do siebie. Zdobycie zaufania to jeden z najważniejszych celów socjotechnika. Kiedy to osiągnie, kolejne, nawet niecodzienne prośby mogą przestać dziwić, zwłaszcza w świetle odpowiednich i zmyślonych przykładów popierających daną sytuację.

Spotkałem się kiedyś z próbą wykradzenia haseł z komunikatora Gadu-Gadu, która wśród niezorientowanych w tematyce komputerowej osób mogła skończyć się źle... Hasła przechowywane przez ten komunikator znajdują się w pliku conf. Istnieją sposoby na wydobycie haseł z takiego pliku, co wraz z numerem GG może zaowocować w stratę/przejęcie konta.

„Sztuczka” polegała na przekonaniu użytkownika do wysłania tego pliku. Atakujący posłużył się w tym celu własną, wymyśloną teorią na temat braku stabilności lub po prostu "padania" serwerów gadu gadu. Pisał on do użytkowników, że wystarczy odpowiednio zmodyfikować plik conf (oczywiście socjotechnik oferował taką "usługę"), aby w przyszłości uniknąć tego typu uciążliwości.

Także ciekawym przykładem korzystania z ludzkiej ciekawości jest instalowanie w firmach koni trojańskich (z tej metody korzystają coraz częściej szpiedzy przemysłowi), lecz przy pomocy... pracowników tejże firmy. Atakujący umieszcza przed wejściem do siedziby interesującej go placówki/firmy czy koncernu atrakcyjny pendrive np. 16 GB. Kiedy pracownik, który wchodzi właśnie do pracy zobaczy takowe urządzenie, istnieje bardzo duża szansa, że na swoim stanowisku roboczym będzie chciał sprawdzić czy działa lub jakie dane zawiera. W tym momencie uaktywnia się trojan, który w wypadku słabych zabezpieczeń sieci infekuje kolejne komputery zbierając przy tym coraz więcej informacji, które przesyłane są do atakującego.

Taki przypadek jak wyżej może tyczyć się także zwykłych użytkowników. W czasach, kiedy najtańsze używane pamięci o pojemności 1 GB i mniejsze można kupić za kilka złotych, ryzyko tego typu ataków przeprowadzanych na większą skalę rośnie. Nie muszę chyba wspominać, że ryzyko byłoby minimalne, gdyby znalazca takiego pendrive’a przeskanował go dobrym programem antywirusowym przed rozpoczęciem pracy.

Firmy często wydają miliony dolarów na zabezpieczenia sieci, konfigurują firewalle, instalują antywirusy, nad wszystkim całą dobę czuwają administratorzy, a najsłabsze ogniwo całego tego systemu, czyli człowiek, nadal pozostaje niezmienne - niewyszkolone. Tymczasem, jak pokazuje historia, wielu socjotechnikom udało się dotrzeć do tajnych dokumentów, bo potrafili w odpowiedni sposób rozmawiać z ofiarą, potrafili zachęcić do pewnych działań lub do instalacji pewnych aplikacji.

Spam i phishing - ulubione narzędzia socjotechnika

Przykładem manipulowania w sieci jest spam. Codziennie wielu użytkowników boryka się z problemem niechcianych wiadomości. Spam to nic innego jak nachalna reklama lub jedna z możliwości zainfekowania komputerów. Niejednokrotnie aby wzbudzić ciekawość i zachęcić do kliknięcia odnośnika korzysta się z tego co najbardziej przykuwa w dzisiejszych czasach uwagę - treści dla dorosłych. Jest to również sposób wpływania na nasze zachowanie i decyzje. Nie od dzisiaj wiadomo, że kontrowersyjne tematy, zwłaszcza jeżeli dotyczą znanych osób, są chodliwym tematem.

Rysunek 1. Spam zachęcający do kliknięcia odnośnika prowadzącego do programu szpiegującego.

Powyższa wiadomość to spam, a jej treść ma za zadanie zachęcić do kliknięcia odnośnika. W liście możemy wyczytać, że senator (ówczesny) Obama w roku 2007 podczas wizyty na Ukrainie miał bliższe kontakty z wieloma kobietami. Jest nawet prośba skierowana do odbiorcy maila, aby przekazał tę informację do swoich przyjaciół. Film z całego zdarzenia możemy obejrzeć po kliknięciu linku. Jak się okazuje nie dotyczy on Obamy, a w międzyczasie komputer zostaje zainfekowany programem szpiegującym, który zbiera informacje o użytkowniku.

W powyższym przypadku odwołano się do znanej osoby i rzekomej sensacji. Całość poskutkowała wzbudzeniem ciekawości, zwłaszcza wśród osób, które podczas wyborów oddały swój głos na Obamę... Czy to był słuszny wybór? Trzeba to sprawdzić! Klik... Dalszy scenariusz możecie dopisać sobie sami...

Innym przykładem tego typu praktyk w e-mailach, jest wysyłanie samych odnośników w treści listu oraz odpowiednio spreparowanego tematu. Całość działa na podobnej zasadzie jak wyżej - manipulowaniu faktami i wzbudzaniu ciekawości. Wprawdzie nie niesie to za sobą tak przykrych konsekwencji jak pobieranie na nasz komputer szkodliwego oprogramowania, ale też jest formą oszustwa, gdyż zostajemy przeniesieni na stronę niezgodną z opisem...

Rysunek 2. Wiadomość e-mail ze sfałszowanym odnośnikiem.

Powyżej widzimy wiadomość, która nijak nie mogła trafić do folderu spam, gdyż pochodzi od zaufanego nadawcy (gmail). Pojawia się pytanie "Czy to czasem nie Twoje zdjęcie?" oraz link do fotografii. Wiele osób odruchowo kliknie myśląc, że zostanie przeniesiona na stronę, na której zobaczą siebie samych lub kogoś identycznego. Niestety jest to sposób reklamowania serwisu, gdyż odnośnik prowadzi do strony... pasty do zębów, wraz z numerem referencyjnym. W ten sposób ktoś nabił sobie licznik osoby polecającej serwis, z czego po przekroczeniu pewnego progu ma zapewne gratyfikacje.

Specyficznym, ale chyba najbardziej charakterystycznym rodzajem socjotechniki jest phishing. Phishing to wysyłanie wiadomości o tematyce najczęściej bankowej, gdzie proszeni jesteśmy np. o weryfikację danych i zalogowanie się na konto, używając odnośnika w wiadomości. Po przejściu na stronę instalowany jest trojan lub dane z formularza wysyłane są do atakującego, przez co może on przejąć kontrolę nad naszym kontem. Wiadomość taka może wyglądać następująco:

Rysunek 3. Wiadomość phishingowa.

O phishingu pisałem przy okazji innego tematu, dlatego nie będę się tutaj rozdrabniał nad jego technicznymi szczegółami. Chciałem jednak zaznaczyć, że w mailach tego typu najłatwiej pokazać stosowanie inżynierii społecznej. Osoby zainteresowane tematyką phishingu odsyłam do mojego artykułu Phishing, pharming i sieci zombie - to czego nie wiesz o swoim komputerze.