30. listopad 2020.

Socijalni inženjering - jedna od najsofisticiranijih netehničkih strategija za krađu podataka

piše: Marko Gulan, ICT Consultant
piše: Marko Gulan, ICT Consultant

Kada govorimo o rizicima modrenog poslovanja, prva misao koja nam pada na pamet je hakerski napad ili kibernetički napad koji se najčešće odnosi na tehničku stručnost napadača koji koristi svoju tehničku superiornost za ulazak u zaštićene računalne sustave i ugrožavanje podataka. Poznati nam kibernetički napadi phishing i ransomware su napadi koji spadaju u skupinu napada socijalnog inženjeringa. Međutim socijalnim inženjeringom napadači se ne služe samo kako bi realizirali kibernetički napad, njime se služe kako bi dobili i pristup podacima za koje im ne treba pristup računalnim sustavima ili kako bi pristupili i fizičkim prostorima.

Socijalni inženjering jedna je od najsofisticiranijih netehničkih strategija kojom se služe napadači kako bi realizirali plan protupravnog stjecanja koristi i iskoristili jedinu slabost svake organizacije, a to je ljudska psihologija. Oslanja se u velikoj mjeri na ljudsku interakciju i uključuje prijevaru u kojoj se manipulira ljudi da prekrše sigurnosne procedure. Ideja socijalnog inženjeringa je iskoristiti prirodne i emocionalne reakcije potencijalne žrtve. Uspjeh socijalnog inženjeringa uvelike ovisi o sposobnosti napadača da manipuliraju žrtvama koje će obaviti određenu radnju koja za posljedicu ima otkrivanje ili curenje povjerljivih podataka ili pristup štićenim prostorima.

Čak i ako u poslovnu zgradu implementirate najsofisticiranije sustave u procesu i dalje ne možete izbjeći čovjeka kao jednu od (najslabijih) karika. Prepoznat je kao jedna od najvećih sigurnosnih prijetnji za poslovanje s kojim se tvrtke susreću. Socijalni inženjering razlikuje se od tradicionalnog hakiranja svojim netehničkim tehnikama i ne uključuje kompromitaciju softwarea ili informacijskog sustava.

Socijalni inženjering je ponajviše prikupljanje podataka

Kriminalcima će trebati tjedni, možda i mjeseci da upoznaju mjesto napada prije samog ulaska u zgradu ili telefonskog kontaktiranja pojedinaca unutar tvrtke. Priprema uključuje proučavanje organizacijske strukture tvrtke dostupne na internetskim stranicama, upoznavanje sa odgovornim pojedincima i funkcijama pojedinaca u tvrtci, Pronalazak telefonskih brojeva za kontakt, pretraživanje zaposlenika. Dobru pripremu olakšavaju i sami pojedinci koji na društvenim mrežama prečesto ostavljaju dobrovoljno i previše osobnih ili poslovnih informacija (mjesta kud se kreću, koje su im osobne preferencije, frustracije, poslovni uspjesi…).

Priprema napada također uključuje i neposredno opažanje u obližnjem caffe baru gdje se većinom okupljaju zaposlenici. Neposrednim opažanjem napadač može vrlo lako doći i do podataka koji su čestu navedeni na karticama, koje koriste zaposlenici za ulaz u tvrtke, koje nerijetko sadržavaju slike, imena i prezimena, odjeljenja u kojima rade, pa čak i neke interne identifikacijske brojeve.

Najčešći motivi socijalnog inženjeringa

Socijalni inženjeri najčešće iskorištavaju neke globalne pojave sa katastrofalnim posljedicama kao što je veliki potres iz prosinca 2004. na Sumatri gdje je tsunami usmrtio gotovo 250.000 ljudi. I 2020. otvorila je jedan ogroman poligon kojeg socijalni inženjeri iskorištavaju za svoje nečasne radnje. Prilikom napada koriste se sofisticiranim komunikacijskim formama gdje se u nastupu predstavljaju kao formalne zdravstvenih organizacija koje provode akcije prikupljanja pomoći najpogođenijim područjima. Obično su njihove fraze koncipirane na način da kod ljudi isključuju racionalno razmišljanje i navode ljude da se vode isključivo emocijama kako bi impulzivnije reagirali na traženu akciju.

Međutim, ukoliko im je meta napada pravna osoba komunikacijska strategija bitno se razlikuje i napadači se oslanjaju na detaljno prikupljanje relevantnih podataka iz svih dostupnih izvora. Tek u drugom koraku se pripremaju za komunikaciju, obično putem telefona gdje se mogu predstavljati kao zaposlenici ili vanjska relevantna tijela ili čak kao autoriteti unutar tvrtke (odjel sigurnosti, direktori ili čak predsjednici uprava) kako bi zvučali uvjerljivo i lakše se domogli cilja.

Najpoznatiji načini napada socijalnog inženjeringa

Vrlo je mali broj tvrtki koje će na prvu i bez razmišljanja reagirati na hitnost i važnost nekog dokumenta koji je dostavljen u fizički poštanski sandučić. Nebrojeno puta smo do sad mogli vidjeti više ili manje uspješne pokušaje da tvrtkama pod krinkom zakonske obveze plaćamo članstva u registrima. Zašto se onda u svijetu elektroničke komunikacije ponašamo drugačije i impulzivnije? 

Gotovo nikad slučajnom prolazniku nećemo na ulici ustupiti svoje osobne podatke. Ali zašto se u npr. telefonskoj komunikaciji ponašamo drugačije?

Gdje se najčešće događaju napadi socijalnim inženjeringom?

Telefonskim pozivom

Socijalni inženjer može nazvati telefonski i pretvarati se da je zaposlenik ili kolega ili čak neko revizorsko ili zakonsko tijelo. Ukoliko socijalni inženjer prikupi dovoljno podataka u telefonskom razgovoru može se vrlo vješto identificirati kao zaposlenik i zatražiti od tima za podršku pristupne podatke navodeći kao problem nemogućnost pristupa računalnom sustavu. Obično se za razgovor pripremi tako da glumi nervozu i rastrojenost kako ne može obaviti vrlo bitan zadatak kojem je rok sutra ujutro. Na traženje podrške imena i prezimena, napadač obično proaktivno i vrlo brzo navodi i e-mail adresu, interni identifikacijski broj i na taj način dolazi do korisničkog imena i lozinke i pristup informacijskom sustavu mu je omogućen. ---

image
Marko Gulan, ICT Consultant
foto

Jedan od najlakših načina prikupljanja podataka o fizičkim osobama je poziv prema pozivnim centara telekoma. Razina provjere autentičnosti korisnika je vrlo niska i poprilično je olakšan pristup podatcima. Jedan od primjera može se naći na vodećoj video platformi sa konferencije DefCon gdje je u roku od nekoliko minuta voditeljica uz neke opće informacije sugovornika uspjela dobiti pristup korisničkom računu (naziv videa: Hacking challenge at DEFCON).

Na ulaznim vratima

Socijalni inženjer stoji pred vratima zgrade odjeven u djelatnika dostavne službe koji u ruci nosi paket. Prilikom ulaska u zgradu nekog od zaposlenika zamoli zaposlenika: „Možete li mi pridržati vrata?“. Mislim da ne postoji niti jedna osoba koja nije u svojoj karijeri imala ovakvu situaciju. Zaposlenik u najboljoj namjeri i u želji da pomogne dostavljaču pridrži vrata i osoba ima nesmetan pristup objektu. Štoviše napadač sad ima „insidera“ koji će prvom prilikom vrata otvoriti svojim suradnicima i čitav tim kriminalaca je u objektu.

Sofisticiraniji oblik ovakvog napada temelji se na istom mehanizmu, međutim napadač se pretvara da je novi zaposlenik koji uz sebe nema pristupnu karticu niti ključ i vješto se uz ostale zaposlenike kreće čak i u prostorima više razine štićenja.

Kod napada gdje napadač probije fizičku barijeru ulaza vrlo često se koristi USB ključevima koje jednostavno ispuste na pod i u takvim slučajevima obično igraju na ljudsku zainteresiranost ili pohlepu na način da na USB ključ nalijepe naljepnicu „Povjerljivo – financijska izvješća“ ili „Bonusi“ ili imenom predsjednika uprave ili neki sličan naziv. Očekivana radnja od strane zaposlenika koji pronađe USB je da zaposlenik poželi pretražiti sadržaj USB ključa i tu nastaje problem.

Ukoliko napadač ne probije barijeru ulaza, USB ključeve jednostavno baci u neposrednoj okolici tvrtke računajući na iste navedene radnje. U nekim tvrtkama zaposlenici su upoznati sa ovakvim vrtama napada pomoću USB ključeva, pa se napada često posluži taktikom da ostavi „novi“ zapakirani USB ključ po mogućnosti s računom u najlonskoj vrećici kako zaposlenici ne bi posumnjali da se radi o USB ključu koji je već predefiniran s malicioznim kodovima.

Mobitel kao WiFi točka

Jedna od ne pretjerano tehničkih metoda u današnje vrijeme kriminalcima omogućava da svoje pametne telefone pretvore u WiFi pristupnu točku imenujući je imenom objekta u kojem se nalazi (npr. LiderFreeWiFi) i osobama koje pristupe internetu putem navedene mreže lako „otima“ podatke ili u nepovoljnijem scenariju radi možda i financijsku štetu.

Ukoliko osoba koja je žrtva napada koristi službeni mobilni uređaj može doći i do znatne poslovne štete.

Na društvenim mrežama

Web stranice društvenih mreža olakšale su provođenje napada socijalnog inženjeringa. Najčešće se na društvenim mrežama ciljaju odjeli marketinga i ljudskih potencijala. Odjelima marketinga vrlo često na administratorske račune dolaze upozorenja kako je došlo do promjene politike korištenja usluge te od korisnika unutar sučelja društvene mreže forsiraju da ažuriraju podatke i postavke klikom na gumb za akciju. Kod odjela ljudskih resursa napadači se predstavljaju kao potencijalni kandidati i u privitku šalju dokument koji izgleda kao životopis, a vrlo često je dokument zapravo maliciozni kod.

Odjeli sigurnosti – temelj sigurnosti poslovanja

U većini tvrtki odjeli sigurnosti su samo jedan od odjela, što je totalno pogrešna poslovna strategija. Odjeli sigurnosti trebali bi biti stup sigurnosti poslovanja. Čak štoviše niti management tvrtki ne uviđa važnost odjela sigurnosti i ulaganja u sigurnost se dešavaju tek nakon sigurnosnih propusta. Što management i odjeli sigurnosti mogu napraviti kako bi osigurali poslovanje?

Održavati redovite periodičke treninge – osigurati uspostavljen i sveobuhvatan program obuke o sigurnosti koji se redovito nadopunjava kako bi se prilagodio novonastalim mogućim prijetnjama. Pritom sigurnost ne treba gledati samo kao kibernetičku sigurnost, već kao zaštitu kontinuiteta poslovanja.

Ključnom osoblju pružiti detaljan pregled trendova u svijetu prevara – bitno je uključiti rukovoditelje svih odjela, a ne samo, kako je uobičajeno, odjele financija. Nisu samo financijske prevare ugroza poslovanja. Svaki zaposlenik jednako je velika prijetnja za sigurnost poslovanja (od C-level managementa do najnižih operativnih razina)

Revizija procesa i stalno unaprjeđenje procesa – kontrola i sigurnosnih procesa nikad nije dovoljno ni previše.

Razmotrite nove politike odnosa prema komunikaciji sa sumnjivim izvorima – ujednačiti poslovnu politiku interne komunikacije. Ukoliko neka poruka dođe sa privatnog ili vanjskog izvora npr. Gmail adresa CEO-a ili podrške, daljnju komunikaciju s takvim izvorima treba odmah zabraniti.

Socijalni inženjering ozbiljna je i stalna prijetnja za mnoge tvrtke ali i za fizičke osobe koje postaju žrtve uslijed iskrenih i časnih namjera. Obrazovanje i provođenje simulacija prvi je i najvažniji korak u sprječavanju da organizacija ili pojedinac postanu žrtve pametnih napadača koji koriste sve sofisticiranije metode socijalnog inženjeringa kako bi stekli pristup osjetljivim podacima.