Inżynieria społeczna
inaczej socjotechnika (ang. social engineering) – zespół metod wywierania wpływu na ludzi w celu skłonienia ich do wykonania określonych czynności lub zmiany ich zachowania. W kontekście cyberbezpieczeństwa inżynieria społeczna może być definiowana jako naruszenie bezpieczeństwa (np. organizacji) poprzez wpływanie na inne osoby w taki sposób, aby złamały one obowiązujące procedury bezpieczeństwa. Socjotechnika wykorzystywana jest m.in. w celu zdobycia poufnych informacji (np. haseł dostępu do systemu). Metody inżynierii społecznej mogą pojawić się również w manipulacjach podczas bezpośredniego kontaktu, w wiadomościach e-mailowych (np. w formie phishingu), wiadomościach otrzymywanych w mediach społecznościowych lub rozmowach telefonicznych.
W celu wyjaśnienia skuteczności działania inżynierii społecznej przytacza się różnorodne teorie dotyczące technik wpływu społecznego, m.in. sześć cech ludzkiej natury R. Cialdiniego, siedem psychologicznych zapalników (ang. psychological triggers) D. Gragga lub siedem zasad oszustwa (ang. principles of scam) F. Stajano i P. Wilsona.
Według Cialdiniego ludzie są podatni na manipulacje ze względu na następujące cechy:
- Władza – ludzie mają tendencję do podporządkowywania się woli osoby, która ma „władzę”. Cialdini opisuje eksperyment, w którym podstawiona osoba dzwoniła na dyżurkę pielęgniarek w szpitalu i podając się za lekarza, zmieniała dawkowanie leków pacjentom. W 95% wypadków pielęgniarka wyciągała zmieniony lek z szafki i kierowała się w stronę pacjenta. W tym momencie eksperyment był przerywany przez ukrytego obserwatora.
- Sympatia – ludzie mają tendencję do podporządkowywania się woli osoby, która jest sympatyczna, ma podobne zainteresowania, poglądy, podejście do życia. W kontekście wykorzystania tej socjotechniki możemy sprawdzić, czym interesuje się ofiara, a następnie dopasować atak.
- Wzajemność – ludzie chętniej podporządkowują się prośbie, jeśli obiecano im lub dano coś wartościowego. Prezent nie musi być materialny, może to być np. rada lub pomoc. Przykład ataku: socjotechnik dzwoni do jednego z urzędników i podając się za informatyka, informuje, że właśnie przechwycił bardzo szkodliwego wirusa, który miał zaatakować jego komputer. Oczywiście podaje przykłady strat, które pracownik poniósłby w momencie zainfekowania komputera. Następnie prosi np. o podanie hasła w celu weryfikacji jego poziomu bezpieczeństwa. Pracownik, przestraszony wizją zainfekowania swojego sprzętu, może chętniej podzielić się swoim hasłem.
- Konsekwencja – ludzie mają tendencję do podporządkowywania się, jeżeli wcześniej publicznie ogłosili swoje poparcie i zaangażowanie w danej sprawie. Przykład ataku: socjotechnik przypomina pracownikowi, na jakie zasady zawarte w polityce bezpieczeństwa formy się zgodził (jakie zasady obowiązują w firmie), a następnie „weryfikuje” zgodność jego hasła (które pracownik podaje) z tymi zasadami.
- Przyzwolenie społeczne – ludzie mają tendencję do spełniania próśb, kiedy wydaje się, że ich zachowanie będzie zgodne z zachowaniem innych. Przykład ataku: do pracownika recepcji podchodzi socjotechnik podszywający się np. pod kuriera i mówi, że musi dostarczyć przesyłkę do rąk własnych konkretnej osoby. Recepcjonista informuje, że nie może go wpuścić do budynku bez odpowiedniej przepustki. Fałszywy kurier odpowiada: „W zeszłym tygodniu pana koleżanka (może nawet powiedzieć „Ania z księgowości” lub „Tomek z HR”) mnie wpuściła i przecież nic się nie stało”.
- Rzadka okazja – ludzie mają tendencję do podporządkowywania się, jeśli wierzą, że poszukiwany obiekt występuje w ograniczonej liczbie, jest pożądany przez innych lub dostępny przez krótki czas. Przykład ataku: napastnik wysyła wiadomość e-mailową, że pierwsze 500 osób, które zarejestrują się na podanej stronie, otrzyma darmowe bilety do kina. Strona oczywiście jest fałszywa i utworzona przez napastnika specjalnie do wykradania danych. Kiedy ktoś zdecyduje się na utworzenie konta, będzie musiał wymyślić login i hasło. Ludzie przejawiają tendencję do wykorzystywania tych samych haseł do logowania się do różnych kont, więc napastnik może spróbować wykorzystać podane hasło do włamania się na inne konta użytkownika.
Gragg sformułował natomiast siedem psychologicznych zasad, według których można wpływać na ludzi lub przekonywać ich do wykonania określonych działań. Są to:
- silny wpływ (strong affect) – wywołanie silnych emocji u ofiary (np. silne zdziwienie, gniew, panika) zakłóci jej zdolność do logicznego myślenia i przeciwstawienia się sprawcy. Silne emocje mogą być wywołane np. obietnicą wysokiej nagrody lub groźbą utraty danych;
- przeciążenie (overloading) – podanie ofierze zbyt dużej ilości informacji w taki sposób, aby wywołać przeciążenie i ograniczyć czas potrzebny na przetworzenie informacji;
- wzajemność (reciprocation) – ofiara otrzymuje prezent lub obietnicę, więc czuje się zobowiązana do odwdzięczenia się za przysługę;
- zwodnicze relacje (deceptive relationships) – zbudowanie relacji z ofiarą w celu późniejszego wykorzystania tej ostatniej. Zasada ta obejmuje także wzbudzanie sympatii u ofiary oraz wskazywania wspólnych cech (np. wspólnych zainteresowań i poglądów);
- rozproszenie odpowiedzialności i moralnego obowiązku (diffusion of responsibility and moral duty) – ofierze łatwiej będzie podjąć decyzję lub wykonać określone działania, jeśli socjotechnik przekona ją, że nie będzie odpowiedzialna za daną czynność lub nie poniesie ewentualnych konsekwencji;
- autorytet (authority) – socjotechnik podszywa się pod osobę posiadającą władzę lub autorytet (np. będącą na wyższym stanowisku niż ofiara);
- uczciwość i konsekwencja (integrity and consistency) – ofiara będzie skłonna wykonać zaleconą czynność, jeśli socjotechnik przekona ją, że wcześniej obiecała ona (lub np. ktoś ze współpracowników) wykonać dane zadanie.
Stajano i Wilson na podstawie analizy wielu typów oszustw opracowali siedem zasad wyjaśniających, dlaczego oszustwa są skuteczne. Są to:
- zasada rozproszenia (the distraction principle) – odwrócenie uwagi lub rozproszenie ofiary sprawi, że będzie ona bardziej skłonna wykonać polecenia socjotechnika;
- zasada zgodności społecznej (thes social compliance principle) – normy społeczne nie pozwalają ludziom na kwestionowanie autorytetu, dlatego podszywanie się pod osobę o takich cechach jest skuteczną formą oszustwa;
- zasada stada (the herd principle) – ludzie są skłonni postępować w sposób, w jaki postępują inni; lub usprawiedliwiać swoje zachowanie postępowaniem innych osób;
- zasada nieuczciwości (the dishonesty principle) – skłonienie ofiary do wykonania nieodpowiednich lub nielegalnych czynności (np. pobrania nielegalnego oprogramowania lub darmowej pornografii) spowoduje, że w razie odkrycia przez nią oszustwa nie będzie mogła zwrócić się po pomoc (np. na policję);
- zasada oszustwa (the deception principle) – ludzie zapominają o możliwości, że „rzeczy i ludzie mogą nie być tym, czym się wydają”, i nie przeprowadzają weryfikacji autentyczności;
- zasada potrzeby i chciwości (the need and greed principle) – potrzeby i pragnienia ludzi (np. chęć zdobycia pieniędzy) sprawiają, że są oni bardziej podatni na manipulacje;
- zasada czasu (the time principle) – ludzie pod presją czasu mają ograniczone możliwości podejmowania decyzji i logicznego myślenia.
Znajomość zasad psychologicznych oraz sposobów oszukiwania i manipulowania ludźmi jest niezbędna socjotechnikowi do przeprowadzenia skutecznego ataku z wykorzystaniem inżynierii społecznej.
Typowymi metodami inżynierii społecznej są m.in. podszywanie się pod pracownika tej samej firmy, firmy partnerskiej, agencji rządowej, udawanie nowego pracownika proszącego o pomoc, oferowanie pomocy w wypadku wystąpienia problemu (np. zainfekowania komputera złośliwym oprogramowaniem), wysyłanie złośliwego oprogramowania w załącznikach do wiadomości phishingowej, używanie firmowego żargonu w celu zdobycia zaufania, wymienianie nazwisk innych pracowników lub kierownictwa, okazywanie posiadania władzy, komplementowanie lub schlebianie.
Cykl socjotechniczny mający na celu zdobycie informacji można podzielić na cztery główne etapy:
- rozpoznanie – obejmuje ogólną analizę powszechnie dostępnych informacji (np. treści w mediach społecznościowych, zawartość stron internetowych, prasy, a nawet zawartości koszy na śmieci). Wiele informacji, które wydają się bez znaczenia i są powszechnie dostępne, może zostać wykorzystanych w dalszych etapach ataku, np. podczas podszywania się pod inną osobę;
- budowanie więzi i zaufania – polega m.in. na użyciu wewnętrznych informacji, podawaniu się za kogoś innego, wspominaniu nazwisk znanych ofierze, zgłoszeniu pomocy (w tym momencie wykorzystywane są informacje zdobyte na etapie rozpoznania);
- wykorzystanie zaufania – zmanipulowanie ofiary i bezpośrednie działanie (np. prośba o informację);
- wykorzystanie informacji – jeżeli uzyskana informacja jest tylko kolejnym krokiem przybliżającym napastnika do celu, to wraca on do poprzednich etapów cyklu aż do osiągnięcia sukcesu.
W literaturze przedmiotu można znaleźć stwierdzenia, że każdy człowiek w odpowiedniej sytuacji, czasie i przy wykorzystaniu dopasowanych technik staje się podatny na ataki oparte na inżynierii społecznej. Praktycznie nie jest możliwe zapobieżenie naruszeniom bezpieczeństwa spowodowanym przez tego typu ataki, jednak zastosowanie wielowarstwowych mechanizmów ochrony może zmniejszyć prawdopodobieństwo skuteczności ataku socjotechnicznego lub ewentualnie zminimalizować negatywne skutki. Ochrona przed inżynierią społeczną w kontekście ochrony zasobów organizacji polega na:
- zwiększeniu lub usprawnieniu fizycznej ochrony – zapewnienie bezpieczeństwa fizycznego i środowiskowego jest jednym z podstawowych elementów ograniczającym lub uniemożliwiającym dostęp do danych, informacji i systemów dla osób nieuprawnionych;
- stworzeniu silnej polityki bezpieczeństwa (szczególnie polityki bezpieczeństwa informacji) – polityka bezpieczeństwa powinna być regularnie weryfikowana i aktualizowana, tak aby swoim zakresem obejmowała wszystkie kluczowe aspekty bezpieczeństwa informacji (np. udostępnianie informacji, uzyskiwanie dostępu, zmiana haseł, stosowanie identyfikatorów, niszczenie poufnych dokumentów);
- kontroli reakcji na naruszenia bezpieczeństwa – pracownicy powinni zostać przeszkoleni w zakresie reagowania na wszelkie próby naruszeń bezpieczeństwa. Kontrola ta obejmuje również przeprowadzanie regularnych szkoleń przypominających o obowiązujących procedurach bezpieczeństwa oraz wdrożenie systemu kar za łamanie zasad i procedur;
- wdrożeniu procedur postępowania w przypadku incydentów – oprócz wiedzy na temat inżynierii społecznej niezbędne są także praktyczne umiejętności w zakresie reagowania na próby naruszenia bezpieczeństwa (np. sposobów weryfikacji tożsamości rozmówcy poprzez oddzwanianie, poręczenie zaufanego pracownika, podanie specjalnego kodu, kontaktu ze zwierzchnikiem lub szefem, rozpoznawanie po głosie, osobiste spotkanie itd.).
Podstawowym narzędziem ochrony przed inżynierią społeczną są wiedza i świadomość istniejących zagrożeń i sposobów manipulacji oraz wykształcenie odpowiednich nawyków, zachowań i reakcji na sytuacje zagrożenia.
R. Cialdini, Wywieranie wpływu na ludzi. Teoria i praktyka, tłum. B. Wojciszke, Gdańskie Wydawnictwo Psychologiczne, Sopot 2016; A. Ferreira, L. Coventry, G. Lenzini, Principles of Persuasion in Social Engineering and Their Use in Phishing, [w:] HAS 15, LNCS 9190, T. Tryfonas, I. Askoxylakis (eds.), Springer International Publishing Switzerland 2015; I. Ghafir, V. Prenosil, A. Alhejailan, et al., Social Engineering Attack Strategies and Defence Approaches, wystąpienie konferencyjne, IEEE 4th International Conference on Future Internet of Things and Cloud, [b.m] 2016; W. Gogołek, Komunikacja sieciowa. Uwarunkowania, kategorie i paradoksy Oficyna Wydawnicza ASPRA-JR, Warszawa 2010. K. Krombholz, H. Hobel, M. Huber et al., Advanced Social Engineering Attacks, „Journal of Information Security and Applications” 2015, vol. 22; D. Gragg, A Multi-Level Defense Against Social Engineering, SANS Institute, Information Security Reading Room, [b.m.] 2003; K. Mitnick, W. Simon, Sztuka podstępu. Łamałem ludzi, nie hasła, tłum. J. Dobrzański, Wydawnictwo Helion, Gliwice 2016; F. Stajano, P. Wilson, Understanding Scam Victims: Seven Principles for System Security, University of Cambridge Computer Laboratory, Technical Report no. 754, August 2009.