Sztuka inżynierii społecznej 1

Sztuka inżynierii społecznej

Sztuka inżynierii społecznej. Historia o tym, jak przestępcy hakują umysł ludzki i naginają go do osiągnięcia własnych celów.

Sztuka inżynierii społecznej

Sztuka inżynierii społecznej, czyli jak podejść człowieka. Może ten początek odda choć trochę tego, na co możemy się natknąć w dzisiejszych czasach. Z reguły cyberprzestępcy trafiają do nas jako pomoc bankowa, wsparcie z giełdy krypto walut lub przedstawiciele firm sprzedających fotowoltaikę.

Zastanawialiście się czasami jak wygląda ich praca od środka? Dziś troszeczkę o tym, jak takie osoby hakują umysł ludzki. Jak grają na naszych reakcjach na bodźce i czego od nas oczekują. Ciekawi? Zapraszam!

Sztuka inżynierii społecznej 2
Photo by Anete Lusina: https://www.pexels.com/photo/crop-male-hacker-watching-desktop-computer-in-darkness-5240546/

Etyczny haker

Ostatnio udało mi się natknąć na ciekawy artykuł na portalu securityweek.com dotyczący rozmowy z etycznym hakerem1 na temat inżynierii społecznej. Główną postacią była tam Rachel Tobac, która jest tzw. „cybernetycznym inżynierem społecznym”.

Czym się zajmuje taka osoba? Otóż, w dużym uproszczeniu, przekonuje ona ludzi, aby robili to, czego ona chce, a nie to, co wiedzą, że powinni zrobić. Innymi słowy, zmienia sposób postępowania danej osoby na ten zgodny z jej wolą.

Teraz pewnie zapytacie: Ale jak? Używa do tego siły woli jak mistrz „Jedi”, czy może wykorzystuje do tego jakieś urządzenia? Cóż… I tak i nie.

Działa to mniej więcej tak, jak byśmy namawiali dziecko do zjedzenia warzyw, których nie lubi. Co zaś się tyczy urządzeń, to tak – wykorzystuje wiedzę z zakresu IT i umiejętności odpowiedniego montażu. Zatem jak działa inżynieria społeczna?

Inżynieria społeczna wykorzystuje wariacje siedmiu zasad psychologicznych opisanych w Zasadach perswazji Roberta Cialdiniego. Należą do nich wzajemność, zaangażowanie, dowód społeczny, szacunek, autorytet i niedobór. Ostatnia zasada jest często manipulowana przez inżyniera społecznego jako „pilność” i „chciwość” (czyli działaj teraz, albo przegapimy).

Jak robi to Rachel?

Cel, wywiad, pułapka i atak

Nasza Pani haker nazywa to „porwaniem Amygdali„. Dlaczego tak? Ano dlatego, że Amygdala to część naszego mózgu odpowiadającego za pamięć, emocje i warunkowanie strachu. W skrócie można to nazwać „graniem na emocjach”.

Początkową fazą jest określenie celu ataku. Zazwyczaj są to ludzie dobrze usytuowani i mający dobrze zarabiające firmy. Chodzi przecież o audyt bezpieczeństwa, a więc o odpowiednie przygotowanie przedsiębiorstwa przed atakiem z zewnątrz oraz wykazanie słabych jej punktów.

Kolejnym elementem jest zebranie informacji o obiekcie. Ważne jest to z kim się spotyka oraz pozostaje w stałym kontakcie. Jak się porusza, czy lata np. samolotem? Czym aktualnie się zajmuje i komu ufa najbardziej? Oczywiście zmiennych jest więcej, ale pozwólcie, że nie będę opisywał wszystkich jej niuansów.

Wreszcie następuje zakładanie pułapki. Określa się miejsce i czas ataku. Wybiera się opcje, których emocji należy użyć i w jakim czasie by uzyskać najlepszy efekt.

Na końcu następuje oczywiście atak. Z reguły jest to telefon lub mail z informacją potrzebną hakerowi do uzyskania dostępu. Owija się ją historią znaną atakowanemu i podszywając się pod osobę z jego kręgu, wymusza się dane naciskając na pilność przedsięwzięcia i stratę np. dobrych zysków.

Skąd my to znamy…

Ai_woman_1
Photo by ThisIsEngineering: https://www.pexels.com/photo/code-projected-over-woman-3861969/

Nasze polskie podwórko

Wiecie, że to co przeczytaliście powyżej występuje również u nas? Przyjrzyjcie się telefonom naciągaczy na krypto waluty czy fotowoltaikę lub pomoc w dofinansowaniu do „czystego powietrza”. Czy sposób „na wnuczka” nie jest Wam też znany? A może maile z informacjami o pomocy w znalezieniu partnerów biznesowych czy pracowników „na już”?

Najgorsze jest to, że ludziom zabieganym i takim ze słabą znajomością nowoczesnej techniki, ciężko jest odróżnić prawdę od rzeczywistości. Montaż dźwiękowy ze sklonowanym głosem bliskiej nam osoby czy nawet film z prośbą znajomego o pożyczenie pieniędzy wysłany z jego własnego numeru telefonu (spoofing i deepfake) wydaje się dziś jakże prawdziwy.

Czy skazani jesteśmy na przegraną? Otóż nie do końca. Dopóki będą takie osoby jak Rachel, czyli etyczni hakerzy, będziemy bardziej uważać na to co może nas narazić na duże koszty. Ważne jest też by być na bieżąco z technologią i informacjami. Czytajmy i uczmy się, by potem nie mieć problemów w realnym życiu.

Podsumowanie

Nie chcę opisywać całego artykułu, dlatego odsyłam Was do niego poprzez link powyżej. Polecam go przeczytać, bo jest naprawdę ciekawy. Dla tych co chcą zgłębić tajniki tej techniki, mogę zaproponować również książkę o prawdziwej ikonie Kevinie Mitnicku – „Sztuka podstępu” (Kevin Mitnick & William L. Simon) – naprawdę dobra.

Co zatem na koniec? Ano przestroga, by uważnie przyglądać się mailom, telefonom i innym informacjom napływającym do nas. Znajdźmy trochę czasu na sprawdzenie prawdomówności osób je przesyłających. Wszak pośpiech jest wskazany tylko… Z resztą sami wiecie po co. Na dziś to tyle i…

Do następnego!

  1. Etyczny hakerto ekspert bezpieczeństwa sieci i komputerów, który specjalizuje się w testach penetracyjnych, zabezpieczeniu systemów informatycznych i wykorzystywaniu wielu metodologii do zapewniania cyberbezpieczeństwa. Cechą definiującą etycznego hakera to działania zgodnie z prawem. ↩︎
Avatar photo
Ziew_acz
Artykuły: 89

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *