2.0
Socijalni inženjering

Socijalni inženjering

09/09/2010

Vrste socijalnog inženjeringa
Spomenuti primjer o pozivu administratora iz banke pripada u skupinu napada koji se nazivaju pretekstingom. Radi se o nekom unaprijed razrađenom scenariju, osmišljenom kako bi se došlo do informacija. Samom napadu prethodi istraživanje žrtve, informiranje o osobi i njezinim aktivnostima (npr. situacija plaćanja karticom u trgovini) ili informiranje o strukturi tvrtke, upoznavanje s internim žargonom, prikupljanje imena zaposlenika i slično. Često ga koriste i privatni istražitelji, agenti tajnih službi i industrijski špijuni.
Tailgating je specifičan oblik socijalnog inženjeringa. Strogo gledano, to i nije socijalni inženjering. Radi se, naime, o fizičkom ulazu u neki zaštićeni objekt – iskorištavanjem nekoga tko u tom trenutku ulazi u zgradu. Najčešće se nakon pauze za ručak ugurate u skupinu zaposlenika i postoji šansa da vas zaštitar na ulazu neće zaustaviti. Za ulaz u zaštićenije objekte napadači se ipak malo više i potrude. Ako ste primijetili zaposlenike neke tvrtke kako s ponosom nose kartice za ulaz u svoje prostorije, možete biti sigurni da nisu prošli tečaj sigurnosti. Vješti napadači vrlo će lako iskopirati izgled tih kartica i uz dovoljno dobrohotnog zaštitara ili nekog zaposlenika ući u zgradu. Scenarij je otprilike ovakav: dođete sa svojom lažnom karticom koja izgleda gotovo kao original. Odjenete se, dakako, u skladu s pravilima odijevanja tvrtke, pričekate da netko pokuša ući u zgradu i odglumite kako vam kartica ne radi kako treba, da ste je negdje vjerojatno oštetili i slično.
Ipak, većina socijalnih inženjera izbjegava bilo kakav kontakt sa žrtvama i ovakvim akcijama pribjegavaju zaista vrlo rijetko.
Dumpster diving je – uz već spomenuti shoulder surfing – jedna od metoda kojom se prikupljaju informacije o potencijalnim žrtvama napada. Običnim rječnikom rečeno – radi se o kopanju po smeću. Dakako, ne smeću od gableca (iako uz malo mašte možemo zamisliti i potencijalnu korist od te informacije), nego uglavnom po dokumentima, računima, zapisnicima sa sastanka i sličnom. Mnoge tvrtke koriste rezače za otpad, kako ne bi bio iskorišten u te svrhe, no vrlo često se zanemaruju manje važni dokumenti, koji strpljivim napadačima mogu poslužiti da stvore sliku o tvrtki, o navikama zaposlenika, o njihovim odnosima i slično. S druge strane, dovoljno strpljivi napadači uspjet će rekonstruirati i izrezane dokumente. Poučene nekim neugodnim iskustvima sa strpljivim rekonstrukcijama tajnih dokumenata, američke državne institucije najpovjerljivije dokumente uništavaju na papiriće veličine tek 1 x 5 milimetara.
Od shoulder surfinga – navirivanja preko ramena – relativno se lako zaštititi. Jednostavno treba prekriti tipkovnicu rukom dok ukucavamo lozinku ili je ne upisivati dok netko stoji iza nas.
Baiting bi se moglo prevesti kao mamljenje. Radi se o tome da se “kao slučajno” na mjestu na kojem se kreću potencijalne žrtve ostavi USB stick s logom konkurentske tvrtke, CD s nekim primamljivim nazivom poput “Zaposlenici 2008″ ili “Rezultati prodaje 2008″. Na CD-u će se vrlo vjerojatno nalaziti lažni dokument, no ono što će žrtva uz njega dobiti i instalirati bez vlastitog znanja jest neki malware, softver koji će špijunirati njihove aktivnosti na računalu, lozinke i slično. Na ostavljenom materijalu mogu biti i neki drugi sadržaji, poput filmića, spotova, glazbe, softvera i sl., koji služe kako bi navukli ljude da to ubace u svoje računalo. Na sličan način često se šire i računalni virusi, tako što “navuku” neoprezne primatelje da ih aktiviraju. Legendarni primjer je virus Anna Kournikova, koji je umjesto slike tenisačice naivnima prouzročio glavobolju.
Phishing smo već u nekoliko navrata spomenuli. Radi se o e-mailovima koji vas nastoje navesti da pritisnete na link na kojem trebate obnoviti korisničke podatke. Katkad se i već samim dolaskom na web stranicu pokreće skripta koja na vaše računalo nastoji instalirati malware program. Dobiveni e-mail napisan je tako kao da ga zaista šalje prava tvrtka, a web stranica na koju vodi zaista nalikuje originalu.
Za razliku od masovnih spam-napada koji su prevladavali u ne tako davnoj prošlosti, danas su napadi preciznije usmjereni, odnosno personalizirani. U tom slučaju često se govori o spear-phishingu. Primjerice, ako phisher dobije, kupi ili na neki drugi način dođe do popisa korisnika usluga neke tvrtke, slat će phisherske mailove samo njima.
Phisherski mailovi mogu biti i vrlo specijalizirani, adresirani na točno određene osobe. Taj se oblik phishing zove whaling, lov na kitove, jer su najčešće žrtve “krupne ribe”, poput direktora i menadžera. Osim phisherskih e-mailova poznati su i slučajevi phisherskih SMS-ova, koji imaju sličnu namjeru izvlačenja osobnih podataka, te Phone ili IVR phishing, pri čemu se žrtvu navodi da nazove broj banke ili slične institucije. Kad osoba nazove navedeni broj, javlja se automat koji zvuči autentično, a ako nasjedne na prijevaru, žrtva će putem tipki telefona potvrditi svoj PIN i broj računa.
Iako motiv socijalnog inženjeringa može biti zabava, izazov ili osveta, najčešći je motiv ipak materijalna korist. Često su skupine cyber-kriminalaca u različitim zemljama koje međusobno razmjenjuju informacije i iskustva. Poznat je nedavni slučaj hakiranja bankomata u Hrvatskoj, u kojem su dobiveni PIN-ovi i brojevi kartica korišteni u drugim državama.
Socijalni inženjering prevarantima može donijeti izravnu financijsku korist, odnosno oni mogu zaraditi prodajom informacija – otkrivanjem planova aktivnosti tvrtki ili, primjerice, popisima podataka o korisnicima, koje će prodati zainteresiranim stranama. Prema podacima tvrtke Cisco, jedan bankovni broj s PIN-om na crnom tržištu stoji oko 500 dolara.
Još jedna korist od napada kojima je cilj instaliranje malware programa jest i pretvaranje računala žrtve u takozvanog zombija – računalo koje će u mreži s ostalim zaraženim računalima cyber-kriminalci koristiti za slanje spamova i phisherskih mailova.
Prema izvještajima tvrtki koje se bave sigurnošću informacija, napadi koji uključuju socijalni inženjering sve su češći i sve sofisticiraniji. Sve veća sofisticiranost socijalnog inženjeringa posljedica je i kvalitetnije računalne sigurnosti. Zašto provesti više mjeseci u nastojanju da probijemo računalnu zaštitu kada se sve može riješiti s nekoliko telefonskih poziva ili e-mailom? Zašto se truditi razbijati lozinke i sigurnosna rješenja kada za računalima sjedi najnesigurniji dio sustava – ljudi.
Ovim člankom nismo željeli potaknuti opću paranoju, a još manje potaknuti na socijalni inženjering; ako vas moralna načela u tome ne bi spriječila, znajte da takva djela spadaju pod kazneni zakon.
Ono što je važno jest da budete svjesni povjerljivosti podataka te da ni u kojem slučaju ne nasjedate na upite o takvim informacijama pod krinkom žurnosti i spašavanja – osobito ne nekome preko telefona. Ako netko poznaje imena vaših kolega ili neke interne kratice, ne znači da je ta osoba zaista ono za što se predstavlja. Ako se predstavi kao zamjenik nekog direktora ili neki menadžer, što je također jedan od čestih scenarija, ne znači da je to zaista ta osoba. Osobito ako vas inače ta osoba nikada ranije nije zvala. Tvrtke koje drže do sigurnosti imaju točno propisane načine identifikacije osoba. I baš svatko, pa bio to i generalni direktor, mora dopustiti da se provjerava njegov identitet.
Zaista nije potrebno da svatko vidi vaš bankovni PIN, a ako vam netko stoji iza leđa dok ga ukucavate, zamolite ga da se pomakne. Ne mora svatko vidjeti kako izgleda čip-kartica tvrtke u kojoj radite, ni kako se zovete. Kada izađete iz tvrtke, spremite je na sigurno.
Za sigurnost informacija najvažnije je da za početak budete svjesni mogućih opasnosti, a umjerena doza opreza značajno će umanjiti uspjeh socijalnog inženjeringa.
Kako se zaštititi od phishinga
Većina nas naučila je da se e-mailom mogu širiti računalni virusi, čak i ako dolaze s e-mail adresa poznanika. Podaci pokazuju da je u posljednjih nekoliko godina na ovaj način znatno smanjeno širenje virusa.
Procjenjuje se da je oko 90% e-mail prometa u svijetu spam. Značajan postotak od toga otpada na phisherske e-mailove i očekuje se sve veći udio baš takvih e-mailova kojima vas lukavi autori nastoje navući da otkrijete podatke koje ne biste trebali ili da vam na računalo instaliraju neki zloćudan softver. Da vam se to ne bi dogodilo, evo na što trebate pripaziti:
- Ton e-maila često je takav da se zahtijeva neka hitna akcija, poput obnavljanja računa, jer će vaš račun biti ukinut. U nekim phisherskim kampanjama nude se i nagrade za one koji do određenog datuma obnove svoje račune. Čim takvo što uočite – neka u vama zazvoni alarm, pa makar dobili mail od tvrtke za koju znate da je u redu.
- U jeziku e-maila česte su pravopisne pogreške i pismo nije sastavljeno kao da ga je pisao netko tko poznaje poslovno dopisivanje.
- I sad najvažnije. Većina takvih e-mailova sadrži neke linkove. Pogledajte link. Ako vam se učini čudnim, ako upućuje na domenu drugačiju od službene domene tvrtke na koju se poziva e-mail, posumnjajte u phishing. Budite oprezni, često su domene koje phisheri koriste vrlo slične pravim tvrtkama. Tako će umjesto www.google.com pisati www.gOOgle.com ili umjesto www.stranica.com link će voditi na www.stranca.com. Ako link nije istaknut u e-mailu, nego je skriven iza teksta poput “click here“, prijeđite mišem preko tog teksta i u kutu bi vam se trebao pokazati link na koji vodi klik mišem.
- Suspregnite znatiželju. Odlaskom na phishersku stranicu vam se, čak i ako ništa ne upisujete, može instalirati zloćudni softver.
- Nemojte se pouzdati u spam-filtere. Iako korisni, dogodi se da vam u e-sandučić uleti i neki phisherski e-mail.
Najpoznatiji socijalni inženjeri
Vjerojatno najpoznatiji svjetski haker, danas 45-godišnji Kevin Mitnick, zapravo je po vlastitom priznanju do najvažnijih lozinki i podataka za upade u sustave dolazio tako što su mu “ljudi sami to rekli”. Već s 12 godina počeo se zanimati za računala i koristiti i usavršavati tehnike socijalnog inženjeringa. On sâm je i skovao taj izraz za hakiranje ljudi u svrhu dolaženja do informacija. U početku su njegova djela bila relativno bezazlena, poput hakiranja telefonskog sustava kako bi mogao besplatno telefonirati, ili sustava javnog prijevoza za dobivanje besplatnih vožnji. Kasnije je, međutim, počeo upadati u sustave velikih tvrtki i vladinih organizacija, što je dovelo do najveće potjere za nekim hakerom u povijesti, te do njegovog uhićenja i osude na zatvor. U zatvoru mu nije bilo dopušteno korištenje telefona kako ne bi napravio neku štetu. Na popisu njegovih žrtava nalaze se, između ostalih, i FBI, IBM, NEC, Nokia, Sun i Fujitsu-Siemens.
Nakon izlaska iz zatvora osnovao je vlastitu tvrtku koja se bavi računalnom i informacijskom sigurnošću.
Uz Mitnicka, u svijetu poznatih socijalnih inženjera vrijedi spomenuti i braću Badir. Ta trojica braće iz Izraela, inače slijepi od rođenja, 1999. godine optuženi su za čak 44 kaznena djela koja uključuju upade u sustav Izraelskog telekoma i štetu veću od 2 milijuna dolara.
Direktor Izraelskog telekoma, opisujući ih, rekao je da kad tipkaju broj na telefonu – “čine to srednjim prstom”. Od trojice braće samo je jedan osuđen na više godina zatvora.
Linkovi i literatura
Osim Googla i Wikipedije preporučujemo web stranice www.sans.org, agencije koja se bavi računalnom sigurnošću i odakle možete skinuti zanimljive dokumente i priručnike za sprječavanje socijalnog inženjeringa.
Od tiskanih knjiga svakako preporučujemo The Art of Deception, “oca socijalnog inženjeringa” Kevina Mitnicka. Uz brojne primjere socijalnog inženjeringa, knjiga donosi i savjete o tome kako se obraniti od različitih prijevara.
Za nešto detaljniji uvid u prikupljanje informacija shoulder surfingom, tailgatingom i sličnim metodama preporučujemo No Tech Hacking: A Guide to Social Engineering, Dumpster Diving and Shoulder Surfing Johna Longa i suradnika.
(Nada Bašić i Gordan Beraković, Plan B 20)

STRANICE: 1 2

Send to Facebook * Send to Twitter

TAGOVI:                                 

Oglas

Izdvojeno