Socjotechnika, czy mówiąc inaczej inżynieria społeczna to każde działanie wpływające na inną osobę w celu nakłonienia jej do podjęcia pewnych działań, które mogą być niezgodne z osobistym interesem tej osoby. Często możemy spotkać się ze stwierdzeniem, że socjotechniką posługują się głównie różnej maści przestępcy, aby podszyć się pod jakąś osobę, wyłudzić pewne informacje bądź zmanipulować drugą osobą tak aby wykonała konkretne czynności. Jednak inżynieria społeczna towarzyszy nam praktycznie codziennie.
Możesz teraz pomyśleć: “Ale jak to?” jednak jak się dobrze zastanowisz to odpowiedzi znajdziesz bardzo szybko.
Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!
Aby wyjaśnić wcześniejsze stwierdzenie mówiące, że inżynieria społeczna jest wykorzystywana przeciwko nam praktycznie codziennie, nie trzeba daleko szukać – weźmy np. popularne markety.
Czy kiedykolwiek zastanawiałeś się, dlaczego produkty codziennego użytku są rozłożone tak naprawdę po całym sklepie?
Zastosowanie tej prostej sztuczki wymusza na nas przejście przez praktycznie cały sklep (nawet robiąc małe zakupy) co może skutkować tym, że po drodze zobaczymy jeszcze X rzeczy, które weźmiemy pomimo, że nie mamy jej na liście.
Kolejnym przykładem socjotechniki wykorzystywanej przeciwko nam mogą być gazety, reklamy w których to promowany produkt jest zachwalany przez znane osoby, do których mamy pewne “zaufanie”. Postrzegamy takie osoby za pewien autorytet więc skoro znana osoba zachęca do kupienia pewnego przedmiotu, podświadomie potrzebujemy go również posiadać. Nieważne że praktycznie identyczny produkt może być nawet o połowę tańszy, to przecież produkt o którym usłyszeliśmy w TV musimy posiadać.
Socjotechnik stosuje te same metody przekonywania, których wszyscy używamy na co dzień. Odgrywamy role, próbujemy być wiarygodni, tworzymy wzajemne zobowiązania. Ale socjotechnik stosuje te metody w manipulacyjny, oszukańczy, wysoce nieetyczny sposób, często z niszczycielskim skutkiem.
Będąc więc nieświadomym tej manipulacji, która jest stosowana w naszym kierunku przez massmedia i inne podmioty jesteśmy tak naprawdę bezbronni. Jeśli więc staniemy się celem doświadczonego socjotechnika – przestępcy, skutki takiej manipulacji mogą być dla nas straszne. Zwłaszcza że te osoby znają od podszewki różne techniki manipulacji, które opierają na starannie przygotowanym rozpoznaniu swojego celu.
O ile manipulacja naszymi umysłami np. poprzez markety, nie jest bezpośrednio dla nas szkodliwa to wykorzystanie tego oręża przez cyberprzestępcę np. w bezpośredniej rozmowie (podczas próby fizycznego wtargnięcia do firmy) czy to poprzez wykorzystanie phishingu, smishingu może być i dla nas osobiście i dla dobra firmy bardzo “bolesnym” i kosztownym doświadczeniem.
Odpowiedź jest dość prosta: bo tak jest łatwiej.
Czynnik ludzki jest zwykle uznawany za najbardziej ryzykowny (przez swą dużą nieprzewidywalność) przy projektowaniu wszelkich systemów bezpieczeństwa, gdyż jak się okazuje, zawodzi najczęściej. Ludzie z natury podejmują decyzje szybko, pod wpływem intuicji, na podstawie właśnie napotkanych informacji, nawet jeśli te są niepełne lub wręcz fałszywe. Racjonalna ostrożność oraz rozważanie argumentów “za” i “przeciw” wymagają wysiłku, którego zwykle staramy się unikać. Jest to właściwość ewolucyjna, która pozwala nam zaoszczędzić czas i zasoby mózgu na rozwiązywanie najbardziej istotnych problemów życiowych.
Niestety intuicja, która pozwala nam tak szybko i automatycznie dokonywać wyborów jest poważnym zagrożeniem, jeśli stosujemy ją z wygody przy istotnych kwestiach związanych np. z pieniędzmi, bezpieczeństwem czy prywatnością.
Tak jak na początku każdego ataku tak i w tym przypadku atakujący musi się przygotować i zebrać możliwie jak najwięcej informacji na temat celu jak i ofiary czyli osoby, która umożliwi jego osiągnięcie. W przypadku ataków socjotechnicznych przydatne mogą być informacje o adresach mailowych, numerach telefonów, wewnętrznej strukturze organizacji, sieci wzajemnych powiązań czy prywatnego życia pracowników (tu wiele informacji mogą dostarczyć media społecznościowe).
Te i wiele, wiele innych informacji możemy uzyskać za pomocą OSINTu (open-source intelligence) czyli białego wywiadu, który stanowi podstawę socjotechniki. Jest ona pewną kategorią wywiadu gospodarczego pozwalającą na gromadzenie różnych informacji z ogólnodostępnych źródeł.
Open-Source Intelligence
Oczywiście zwykłe przeczesywanie ogromnej liczby źródeł może być dość czasochłonne, dlatego z pomocą przychodzą nam różne serwisy, mechanizmy, narzędzia. Poniżej została przedstawiona krótka lista możliwości OSINTu:
Wyszukiwanie na podstawie twarzy – zdarzyć się może, że do sieci zostanie wpuszczone zdjęcie pracowników z np. imprezy integracyjnej. Jeśli takie zdjęcie będzie dostępne na popularnych mediach społecznościowych wystarczy przejrzeć komentarze czy tzw. “lajki”, aby spróbować określić tożsamość konkretnych pracowników a co za tym idzie, zdobyć o nich wiele informacji, które mogą zostać wykorzystane w atakach socjotechnicznych.
Co jeśli jednak zdjęcie jest dostępne na stronie firmowej gdzie nie możemy zastosować się do powyższego? W takim przypadku można użyć specjalnych wyszukiwarek, które na podstawie zdjęcia twarzy potrafią znaleźć strony/konta na których występuje ta sama bądź podobna osoba (trzeba pamiętać, że takie wyszukiwanie nie daje 100% poprawności wyszukiwania).
GHDB (Google Hacking DataBase) – GHDB można nazwać zaawansowanym wyszukiwaniem w Google. Za pomocą specjalnych zapytań możemy wyszukiwać publicznie dostępne informacje. Jakie to informacje? Zacząć można tu od paneli logowania, kopii zapasowych baz danych, poprzez pliki z hasłami czy “poufnymi” dokumentami w tzw. głębokim ukryciu. Oprócz tego cyberprzestępca może posłużyć się GHDB w celu wyszukiwania stron podatnych na konkretny błąd bezpieczeństwa.
Na temat OSINTu tworzone są całe książki, więc jeśli ta tematyka Cię zaciekawiła, na pewno znajdziesz coś wartego uwagi. Tak naprawdę za pomocą OSINTu możemy w bardzo dokładny sposób sprofilować wytypowane osoby i dowiedzieć się o nich na wiele rzeczy czy to informacji związanych z pracą czy na temat życia osobistego. Bez wątpienia wszystkie te informacje zdobyte w przedstawiony czy inny sposób socjotechnik będzie mógł obrócić przeciwko nam.
Coraz większe ilości informacji online są wykorzystywane do gromadzenia i analizy danych, ponadto państwa zachodnie borykają się z niedoborem analityków danych w połączeniu z rosnącym zapotrzebowaniem na militarną AI. Nauka o danych w sektorach rządowych zazwyczaj zajmuje się bardziej złożonymi projektami, opracowując narzędzia wspierające analityków niskiego szczebla na intuicyjnych systemach. Zespoły wywiadowcze muszą zmierzyć się z wyzwaniem, jakim jest brak dostępu do najnowszych źródeł internetowych.
Coraz częściej przedsiębiorstwa przekształcają swoje strategie biznesowe, tak aby objąć cyfryzację. Technologia ta korzystnie wpływa na poprawę doświadczeń klientów, produktywność i zarządzanie zasobami. Ale w tym samym duchu, przyjęcie technologii zwiększa możliwości kompromisów.
To samo dotyczy niemal wszystkich branż obecnych w sieci, czyli finansów, handlu detalicznego i transportu. Transformacja cyfrowa może mieć znaczący wpływ na bezpieczeństwo fizyczne, ponieważ przestępcy korzystają z bardziej anonimowego medium internetowego.
Dumpster Diving, który może być przetłumaczony jako “nurkowanie w śmietniku” to metoda stosowana przez różnych przestępców w celu zdobycia różnych informacji. Zwykle zainteresowanie pada na kontenery korporacyjne w których to często można znaleźć resztki dokumentów, na których można znaleźć imiona, nazwiska, numery telefonów, adresy e-mail, numery kont bankowych, loginy czy nawet hasła.
Warto więc być świadomym, że potencjalna zapisana kartka wyrzucona do śmietnika może być dla przestępcy źródłem wielu informacji, które później mogą zostać wykorzystane na niekorzyść firmy.
Dumpster diving jest dla atakującego sposobem na zdobycie informacji, które wykorzystuje do budowania zaufania.
Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!
Żeby móc się chronić przed pewnymi zagrożeniami musimy wiedzieć jak do nich dochodzi, co je powoduje, dlatego w tej części artykułu przyjrzymy się kilku zasadom, technikom, regułom które wykorzystują profesjonalni socjotechnicy.
Zasada wzajemności opiera się na założeniu, że ludzie zwykle chcą się odwdzięczyć za różne prezenty, przyjemności. Zwykle osoby które zostaną tak obdarowane (nawet jeśli prezent był niechciany) mają poczucie “niespłaconego długu”. Wykorzystując tą zasadę socjotechnik najpierw postara się odkryć co jego cel szczególnie sobie ceni aby później tą informację wykorzystać na niekorzyść celu. Dodatkowo ludzie są skłonni do wykonania pewnych działań po usłyszeniu np. komplementu (jest to pewnego rodzaju przyjemność o której pisałem wcześniej).
Zasada zobowiązania jest bardzo podobna do zasady wzajemności o której pisałem nieco wyżej. Zasada wzajemności polegała na poczuciu zadłużenia osobistego po otrzymaniu np. prywatnego prezentu czy innej przyjemności np. komplementu. Zobowiązanie jednak odnosi się do norm społecznych i oczekiwań, które są z nimi związane.
Przykładem wykorzystania tej zasady może być sytuacja w której socjotechnik chce przejść przez drzwi, które są zabezpieczone dostępem na kartę. Sytuacja ta mogłaby się potoczyć w taki sposób w którym to socjotechnik w porze wzmożonego ruchu spróbuje przejść przez drzwi z czymś ciężkim w dłoniach np. kartonem z dokumentami. Normy społeczne nakazują aby przytrzymać takiej osobie drzwi i ją wpuścić. Sytuacja może wydaje się być nagiętą jednak musicie uwierzyć, że takie sytuacje zdarzają się bardzo często, a to wszystko dlatego bo nie chcemy wyjść na osobę niegrzeczną.
Jest to dość prosta zasada która mówi o tym, że jeśli osoba mający istotny autorytet mówi coś bądź wykonuje jakieś czynności to zwykle ludzie traktują to bardzo poważnie. Prostym przykładem może być policjant, który każe się nam zatrzymać. Zapewne 99% czytelników wykonałoby to polecenie bez zastanowienia. Zwykle autorytet wiązany jest z osobami, które są pewne siebie i tak też wyglądają tj. osoby te posiadają wypiętą klatkę piersiową, mają podniesioną głowę a na twarzy raczej nie znajdziemy żadnych oznak strachu czy niepewności.
Dodatkowo autorytet często wywołuje w nas zaufanie, przez co nie wymagamy żadnego dowodu na to, aby potwierdzić, dlaczego właściwie mamy słuchać danej osoby. Co ważne, ten autorytet nie musi pochodzić bezpośrednio od nas, socjotechnik może tu wykorzystać np. fałszywą wiadomość SMS od kogoś wysoko postawionego w hierarchii firmy, w której to ktoś ponagla nas abyśmy dołączyli do ważnego spotkania.
Dowód społeczny jest metodą która pomaga nakłaniać inne osoby do wykonania czynności, na które nie mają ochoty. Metoda ta może być szerzej znana jako efekt owczego pędu. Zwykle kiedy jesteśmy czegoś niepewni, zmieszani zwracamy uwagę na to co robią inni aby zorientować się co my powinniśmy robić w danej sytuacji.
Przykładem tu może być winda. Jeśli wszyscy w windzie będą stać tyłem do wejścia za pewne Ty prędzej czy później też tak staniesz. Właśnie tak działa dowód społeczny. Socjotechnik może wykorzystać dowód społeczny w taki sposób, że wszystkie inne osoby wpisały się już na daną listę a Ty jeszcze nie. Oczywiście rzekoma lista będzie złośliwym oprogramowaniem.
Kiedyś przeczytałem zdanie: “Ludzie lubią ludzi, którzy lubią to co oni lubią. Lubią też tych, którzy ich lubią” które idealnie wyjaśnia tą zasadę. Ludzie którzy należą do jednego “plemienia” mają poczucie wzajemnej bliskości, znajomości co sprawiać może, że darzą się wzajemnym zaufaniem. Jednak żeby socjotechnik mógł wykorzystać tą regułę musi nawiązać ze wskazanym celem pewną relację.
Wszystko to dlatego, ponieważ uczucie sympatii musi być prawdziwe (jeśli będziemy udawać sympatię a druga osoba się zorientuje, możemy stracić możliwość na jej manipulację) dodatkowo prawdziwe sygnały niewerbalne grają tu olbrzymią rolę i mogą pomóc w wbudowaniu zaufania. Jeśli już zostanie zbudowana taka relacja, socjotechnik będzie mógł nas w prosty sposób zmanipulować do wykonania pewnych czynności. Na pewno zdarzyło Wam się chociaż raz wyświadczyć jakąś przysługę osobie, którą lubicie.
Oczywiście powyższe zasady, metody to jedynie część “arsenału” który zostanie wykorzystany przeciwko nam przez profesjonalnego socjotechnika. O ile podczas rozmów twarzą w twarz powyższe zasady są bardziej realne to już podczas np. ataku phishingowego może być nam ciężko wyobrazić sobie jak je można zastosować. Zwykle jednak w wiadomościach phishingowych cyberprzestępca próbuje w nas wywołać pewne emocje, np. strach (brak zapłaconej faktury skutkująca przestaniem dostarczania pewnej usługi), euforia (rzekoma duża wygrana na np. loterii) czy zawstydzenie (rzekomy wyciek prywatnych wiadomości).
Używaj specjalnych niszczarek do dokumentów– jeśli dokumenty zawierają poufne dane, istnieją specjalne firmy które zajmują się niszczeniem takich dokumentów. Pamiętajmy, że pocięte w paski dokumenty w dalszym ciągu można przeczytać! Zachowajmy więc rozwagę przy niszczeniu i wyrzucaniu dokumentów.
Uważaj co wrzucasz do Internetu – z pozoru zwykłe zdjęcie może być powodem wielu problemów (warto zwrócić uwagę na to czy gdzieś w tle zdjęcia nie widać dokumentów, uruchomionego komputera itp.)
Nie daj się ponieść emocjom raz zachowajmy zdrowy rozsądek podczas np. rozmów telefonicznych. Nie podawajmy więc poufnych informacji osobie, która podaje się za pracownika banku.
Stay Secure 👾
P.S. Widziałeś już ostatni CyberLabs #3 – Testy Penetracyjne – znajdź błędy przed cyberprzestępcą?
Security Manager
W przeszłości miał zostać architektem, jednak życie sprawiło że został etycznym hakerem. Lubi wiedzieć jak coś jest zbudowane, dzięki czemu łatwiej mu to później zepsuć. Na co dzień zarządza cyberbezpieczeństwem w firmie Vercom oraz dba oto aby wszystkie aplikacje były bezpieczne, a użytkownicy nie musieli martwić się o bezpieczeństwo swoich danych. Po pracy większość wolnego czasu poświęca na rozwój oraz zdobywane nowych umiejętności pozwalających na jeszcze sprawniejsze wyszukiwanie podatności.
Zobacz więcej wpisów autora
Z przyjemnością informujemy, że MessageFlow, produkt z grupy Vercom S.A., uzyskał prestiżowy Certyfikat CSA (Certified Senders Alliance). To wyróżnienie nie tylko podkreśla najwyższą jakość oferowanych przez nas usług, ale...
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Dostarczalność email, Reputacja Nadawcy
Rozpoczynasz swoją przygodę z wysyłką wiadomości e-mail? A może przechodzisz na dedykowaną infrastrukturę lub zmieniasz domenę wysyłkową? Nie zapomnij o kluczowym kroku – rozgrzewce! Rozgrzewka adresu IP i domeny...
Best practices, Dobre praktyki, Email Marketing
E-mail marketing to potężne narzędzie, które pozwala firmom nawiązać kontakt z grupą docelową, promować produkty i zwiększać konwersje. Jednak samo wysłanie kampanii e-mail nie gwarantuje sukcesu. Kluczową rolę w...
Dostarczalność email, Reputacja Nadawcy
Rozpoczynasz swoją przygodę z wysyłką wiadomości e-mail? A może przechodzisz na dedykowaną infrastrukturę lub zmieniasz domenę wysyłkową? Nie zapomnij o kluczowym kroku – rozgrzewce! Rozgrzewka adresu IP i domeny...
Best practices, Dobre praktyki, Email Marketing
E-mail marketing to potężne narzędzie, które pozwala firmom nawiązać kontakt z grupą docelową, promować produkty i zwiększać konwersje. Jednak samo wysłanie kampanii e-mail nie gwarantuje sukcesu. Kluczową rolę w...
Z przyjemnością informujemy, że MessageFlow, produkt z grupy Vercom S.A., uzyskał prestiżowy Certyfikat CSA (Certified Senders Alliance). To wyróżnienie nie tylko podkreśla najwyższą jakość oferowanych przez nas usług, ale...
16 września 2024 roku Apple, wraz z premierą iOS 18, wprowadził do aplikacji Mail długo wyczekiwaną funkcję – zakładki i kategoryzację wiadomości w skrzynce odbiorczej. Choć rozwiązanie nie jest...
Użytkownicy Gmaila mogą wkrótce skorzystać z przełomowej funkcji o nazwie Shielded Email, zaprojektowanej z myślą o zwiększeniu prywatności i zwalczaniu spamu. Choć funkcja nie została jeszcze oficjalnie wprowadzona, ostatnie...
Czy masz dość sytuacji, w której Twoje e-maile są blokowane przez Gmail? Zastanawiasz się, co powoduje ten problem i jak go rozwiązać? W tym artykule omówimy najczęstsze przyczyny blokowania...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Wchodząc w świat szeroko pojętej komunikacji mailowej, zapoznajesz się z wieloma pojęciami, które na pierwszy rzut oka wydają się proste i intuicyjne. Inne z nich natomiast mogą przysporzyć nie...
