Jaki rodzaj socjotechniki, na podstawie Pana wiedzy i obserwacji, przestępcy wykorzystują najczęściej względem firm? Czy na przestrzeni ostatnich trzech lat sposoby ataków znacząco zmieniły się? Jak?
W tle tego wszystkiego jest ciągle wywoływanie emocji, powodowanie, aby ofiara przestała myśleć, a zaczęła reagować. Jeśli natomiast miałbym powiedzieć o zmianie podczas pandemii i wojny to porównałbym to do budowy… szczepionek mRNA. W ich przypadku „nośnik” jest niezmienny, modyfikacji podlega kod wirusa, czyli „ładunek”. W przypadku phishingu, socjotechniki, nośnikiem są wspomniane wcześniej emocje, a ładunek zależny jest od tego, co dzieje się na świecie. Stąd phishing „opakowany” w informacje o rzekomych seriach zgonów po szczepionkach, podszywający się pod „raport WHO”, czy też „atak nuklearny na Kijów”. Tak, takie też były…
To jednak raczej specyfika phishingów na kradzież poświadczeń logowania do serwisów społecznościowych. Tymczasem generalnie niezmiennie mamy do czynienia z „niedopłatami rachunków”, „dopłatami do paczek”. Tu faktycznie pandemia zmieniła nieco profil, przez co najmniej pół roku przychodziły SMS-y o dopłacie na dezynfekcje paczki. Do tego jeszcze gangi ze wschodu i ich „płatności OLX”, czyli kontaktowanie się przez WhatsApp z informacją: „Już zapłaciłem, proszę kliknąć, żeby odebrać pieniądze” i wystawianie fałszywych bramek płatności albo wykradanie numerów kart. To się nie zmienia i to przynosi największe zyski przestępcom.
Dlaczego tak się dzieje, że tyle mówi się o manipulacjach, o cyberprzestępstwach, o technikach stosowanych przez oszustów — na firmy i pracowników także — a one nadal są skuteczne?
Bo taką mamy psychikę. Emocje, które wywoła sprawny socjotechnik, dzieją się na poziomie podświadomości. „Szybko”, „natychmiast”, „niedopłata”, „kara”, „konsekwencje” – to hasła, które powodują, że serce nam szybciej bije, nawet jeśli wiemy, że to absurd, bo z jakiej racji mamy niedopłatę za prąd w firmie A, skoro od zawsze płacimy firmie B? Albo sytuacja, gdy dostajemy maila, że za 3 dni wyjeżdżamy na dwutygodniowy urlop, podczas, gdy wcale go nie planowaliśmy, bo to jeszcze nie wakacje?
No to go szybko odwołam, muszę tylko kliknąć, zalogować się… No właśnie… A spojrzałaś/eś, logując się na adres w pasku przeglądarki? Dlatego głównym hasłem edukacji świadomościowej cyberbezpieczeństwa powinno być: „Zwolnij”, albo „Pomyśl”. Na szkoleniach, które prowadzę, mówię: „Wiem, że masz mało czasu, a terminy siedzą i dyszą Ci w kark. Ale ile dostajesz dziennie maili, czy SMS-ów, które budzą Twoje wątpliwości? Pięć? Poświęć każdemu minutę. To jest tylko PIĘĆ MINUT. A jeśli zrobisz błąd, będzie Cię to kosztowało znacznie więcej”.
Z drugiej strony, czego oczekiwać od dorosłych, jeżeli nawet w szkołach podstawa programowa nie przewiduje nauki związanej z cyberbezpieczeństwem... Po prostu nie jesteśmy przygotowani w tym temacie, np. podejmując pracę, gdzie ataki mogą być codziennością. Nie wiemy, nie tylko jak się bronić, ale jak możemy zostać zaatakowani.
I tu rola ludzi takich jak Adam Haertle, Piotrek Konieczny, Michał Sajdak, czy ja. Każdego, kto rozumie, o co chodzi w zagrożeniach w sieci i ma jakiejkolwiek zasięgi. Jak kiedyś powiedział pierwszy z nich – i ja się z nim absolutnie zgadzam – jeśli ktoś kliknął choćby w najbardziej prostacki phishing, to wcale nie jest idiotą! To nie jego wina! Tylko nasza, bo nie dotarliśmy do niego z naszą wiedzą. Niestety, nie mam nadziei, że zmieni się program nauczania informatyki.
Zdecydowanie najlepiej by było, gdyby to młodzi uczyli nas – w końcu to oni są „digital natives”. Póki co, pozostaje jednak edukacja i mniej lub bardziej skuteczne rozwiązania techniczne. Kiedyś nazywane zbiorczo „antywirusem”, ale to też się zmienia. Dziś lepiej od antywirusa działa zdrowy rozsądek, a większym ryzykiem niż złośliwy kod, są strony przekonujące nas do podania loginów i haseł do wrażliwych serwisów.
I tu kolejne pytanie, jak są zbierane dane na temat osób, będących celem ataku w ramach socjotechniki? Czy zdobycie informacji o ofierze to skomplikowany proces?
To jest akurat proste – celem ataku może być każdy. Żeby wykraść tajne dane firmy, nie trzeba phishować prezesa! Gdy w 2013 w efekcie ataku na amerykańską sieć marketów o nazwie – no-men omen – Target wyciekły dane 43 milionów klientów, zaczęło się od przejęcia konta pracownika firmy serwisującej klimatyzację w jednym ze stanów! Jemu wykradziono dane logowania do VPN-a Targetu, a potem, krok po kroku, przestępcy dostali się na serwery rozsyłający uaktualnienia oprogramowania do kas, gdzie wrzucili swoją wersję softu, z „niespodzianką”.
Ofiarami phishingów „wolumenowych” padają miliony losowych ludzi. Jeśli jednak chcemy trafić w konkretną osobę, czy raczej pracownika konkretnej firmy, zaryzykowałbym stwierdzenie, że skuteczność dobrego socjotechnika będzie bliska 100 procent. Same informacje w mediach społecznościowych, pozwolą atakującemu najpierw znaleźć x pracowników firmy Y, a w kolejnych krokach trafić na takiego, który udostępnia o sobie zbyt dużo.
Jeśli napastnikowi bardzo zależy, może zebrać dane niczym w szpiegowskich filmach, bywając w miejscach, gdzie np. pracownicy firmy Y spotykają się na lunch (i posłuchać, co mówią, o kim i o czym), znaleźć gdzieś wzór identyfikatora firmowego, skopiować, po czym wejść komuś „na plecach” na teren firmy, by zebrać więcej informacji… Powiedziałbym wręcz, że jeśli ktoś bardzo chce dostać się do sieci właśnie firmy Y, to szansa, że się dostanie jest bliska 100%. Pytanie brzmi, ile jest takich „firm Y”?
A czy istnieje możliwość wykorzystania socjotechnik w testach penetracyjnych? Jeśli tak, to w jaki sposób?
Jasne, że tak! Według badań poświęcenie roku na regularne kontrolowane ataki phishingowe powoduje spadek „klikających” w firmie z 31,4 do 4,8%! Ryzyko wciąż pozostaje i nigdy nie zniknie…, jest jednak nieporównywalnie mniejsze. Dlatego warto robić to regularnie, jeśli dysponujemy odpowiednim zespołem/fachowcami – wewnętrznie – a jeśli nie, zamawiając tego rodzaju usługę, oczywiście, w przemyślany sposób, a nie z podejściem „niech ktoś nam zrobi te fiszingi”.
Nie bez przyczyny US Navy Seals mawiają „Im więcej potu na ćwiczeniach, tym mniej krwi w boju”. Warto tylko pamiętać, by jedyną „karą” dla ofiar takiego phishingu było, np, przejście obligatoryjnego szkolenia. W Orange Polska absolutnie unikamy krytykowania za „wpadkę” przy kontrolowanym phishingu, stawiając na przekaz: „Wpadałeś/aś w pułapkę, ale na szczęście w naszą. Następnym razem zwróć uwagę na:” – i tu szczegółowo wypisane, na które elementy maila ofiara powinna była zwrócić uwagę.
Po przeprowadzonej akcji menedżerowie dostają informacje ile osób w ich jednostce dało się złapać – same liczby, bez nazwisk. Dowodem na to, jak dobre phishingi robią moi koledzy, jest fakt, że na pierwsze dwa złapałem się sam…
Czyli rozsądek, uważność, zatrzymanie się na minutę np. przy podejrzanym mailu czy poście w social mediach i głęboki wdech wydają się przynajmniej częściowym sposobem na uniknięcie włamania do zasobów firmy. Dziękuję za rozmowę.
Rozmawiała: Monika Świetlińska
