ponedjeljak, 12. ožujka 2012.

Socijalni inženjering






                              

Kao uvod u temu o socijalnom inženjeringu zamislite sljedeći scenarij: sjedite u svojem domu, u subotu navečer, počeo je zanimljiv film – kad odjednom zazvoni telefon. Zovu iz vaše banke. U to doba. Čovjek koji zove predstavio se kao Marko, administrator je korisničkih podataka u vašoj banci. Kaže vam da je neki haker presreo podatke o brojevima računa i PIN-ovima prilikom transakcija između vaše banke i trgovine X. Podaci jesu kriptirani, ali tvrdi da nije siguran da ih netko neće dekriptirati, te vas stoga moli broj vašeg računa i PIN, kako bi vam što prije mogao promijeniti PIN. Jasno mu je da se radi o vrlo povjerljivim informacijama, no ako želite, u ponedjeljak ujutro možete nazvati tu i tu osobu u banci i provjeriti informaciju.

Vi zaista jeste danas bili u trgovini X. Administrator vas je oslovio po imenu i prezimenu i zaista ste komitent te banke. Hoćete li onome koji zove odati svoj PIN? Vi možda i nećete, jer ste čuli za slične slučajeve prijevare, odnosno socijalnog inženjeringa. Ali zamislite koliko bi slabije informiranih osoba nasjelo na to.
A kako naš tajanstveni pozivatelj zna o kojoj je banci riječ, kako zna za trgovinu X? Jeste li čuli za shoulder surfing? Jutros je bila poprilična gužva u trgovini, mjesec je tek počeo pa su bankovni računi još relativno puni, subota je, pa se obavljaju i velike vikend-kupnje. Kad trgovac ubaci karticu u čitač, pojavi se ime i prezime. Malo vještiji shoulder surfer oštrijeg vida pročitat će i zapamtiti vaše ime i prezime. Zatim će u večernjim satima, kada više banke ne rade, a vi ste možda u nekom opuštenijem raspoloženju, nazvati i “stisnuti vas”. On je u totalnoj frci, spašava novce komitenata banke, zove i mijenja PIN-ove kako zlonamjerni kradljivac podataka ne bi pokrao račune. Čak vam, ako je jutros u trgovini uspio vidjeti koju znamenku PIN-a što ste ga ukucali, može reći kako je on, eto, uspješno dekriptirao dio vašeg PIN-a u ovih nekoliko sati i da mu za ostatak ne treba puno te da je haker možda već uspješno dekriptirao sve PIN-ove.
Vjerujemo – na temelju dosadašnjih prijevara – da se nemali broj ljudi koji će se naći u ovakvoj situaciji odlučuje dati svoj PIN. Pozivatelj može poklonjeni broj vašeg računa i PIN iskoristiti kako bi sâm skinuo novac s računa, ili ga može prodati, zajedno s brojevima ostalih žrtava socijalnog inženjeringa koji je izveo.
Ma tko li to odaje lozinke?
Vjerojatno vam se čini da, uz bezbroj upozorenja na portalima i putem ostalih medija i networking zajednica, ljudi rijetko nasjedaju na ovakve prijevare ili da teško otkrivaju lozinke i slične podatke – međutim, samo ste dijelom u pravu.
Ovakve prijevare još su lakše izvedive kada se radi o odavanju podataka koji se izravno ne tiču neke osobe. Stoga su najčešći napadi “socijalnih inženjera” i usmjereni na zaposlenike u tvrtkama: pokušavaju ih “navući” da otkriju zaštićene podatke, najčešće lozinke, koje prevarantima omogućuju pristup podacima o klijentima tvrtke, poslovnim planovima, nacrtima novih proizvoda i slično.
Prema istraživanju agencije InfoSecurity Europe iz 2003. godine, većina anketiranih djelatnika bez većih je teškoća odala lozinku za pristup računalu na kojem rade. Štoviše, oko dvije trećine znalo je koje lozinke koriste njihovi kolege.
Iako donekle izlazi iz okvira teme članka, analiza korištenih lozinki dodatno je ukazala na nisku razinu svijesti o sigurnosti. Najčešće korištena lozinka je “password”, a među često korištenima je vlastito ime korisnika, datum ili godina rođenja, ime djeteta, nogometnog kluba, brojevi “12345″ i slično.
Prema izvještajima tvrtki koje se bave računalnom sigurnosti, napadi koji uključuju socijalni inženjering u sve su većem porastu. Kako ne biste ostali u uvjerenju da je socijalni inženjering isključivo povezan s modernim tehnologijama, podsjetit ćemo vas na neke oblike ove vrste prijevare koji su poznati već dulje, a česti su i danas. Tako se nedavno u novinama opet pojavila vijest da je netko nasjeo na takozvanu Prometejevu prijevaru s ogrlicom. Taj je trik poznat već godinama i svako toliko nekoliko naivnih “iskešira” par tisuća kuna za bezvrijednu bisernu ogrlicu. Prometejeva prijevara s ogrlicom izvodi se tako da prevarant odabranoj žrtvi “uleti” s ogrlicom koju hitno treba prodati (lopov već izmisli neki uvjerljiv razlog), a koja vrijedi više tisuća kuna, no vlasnik ogrlice je, eto, prodaje za trećinu cijene jer mu je novac hitno potreban. Inačica te varke izvodi se tako da prevarant žrtvi u trenutku nepažnje ogrlicu baci pred noge, skrećući joj pozornost na to da su zajedno pronašli dragocjeni predmet. Prevarant se izgovara da mu, primjerice, za pola sata kreće vlak, pa da ne možete zajedno otići k draguljaru, prodati ogrlicu i podijeliti novac. Ako nalaznik-žrtva nasjedne na priču i pristane dati prevarantu 500 kuna, ovaj će se na kraju složiti s takvim “nepravednim rješenjem”.
Izvanredan primjer sličnog tipa podvale bio je uspješan pokušaj prevaranata koji su naivnim bogatašima prodali Eiffelov toranj ili Kip slobode.
Opasnosti od socijalnog inženjeringa danas su veće nego ikada zahvaljujući suvremenoj tehnologiji, a socijalni inženjeri sve su sofisticiraniji u napadima na ljudski element računalnih sustava, koji se katkad naziva i wetwareom.
Mehanizmi socijalnog inženjeringa
Socijalni inženjering, iako zvuči kao neka high-tech aktivnost usmjerena na druženje (poput social networkinga), zapravo je obična, manje ili više sofisticirana prijevara. Bilo da se radi o pozivu kombiniranom sa shoulder surfingom, kao u našem primjeru, ili o slanju sofisticiranih phishing mailova. Phishing mail zaista izgleda kao da ga je poslao vaš bankar – tu su logo, wording i ostali lako prepoznatljivi znakovi, zbog kojih uopće ne sumnjate u porijeklo ovog maila. Međutim, tu je i zamka – link koji vas vodi na klon web stranice vaše banke.
Neovisno o tome radi li se o telefonskom pozivu, Prometejevoj varki ili phishing e-mailu, većina napada socijalnim inženjeringom ima nekoliko zajedničkih osnovnih značajki.
1. Vjerodostojnost napadača. Napadač/prevarant predstavlja se da je netko drugi – što je ključno za uspjeh socijalnog inženjeringa. Vjerodostojnost može izgraditi poznavanjem internog rječnika neke tvrtke, kao što je organizacijska struktura, interne kratice, sleng koji se koristi, imena šefova i slično. Kod phishing mailova to je najčešće logotip tvrtke i formalni ton e-maila. Kod lažnih web stranica – izgled stranice identičan je onoj pravoj. Štoviše, katkad lažna stranica izgleda i bolje od originala. Najzanimljiviji primjer bila je lažna web stranica za “prodaju” karata za Olimpijadu u Pekingu 2008. godine. Lažna je web stranica, naime, bila mnogo bolje dizajnirana, s jasnijom navigacijom, lakšim procesom kupnje karata i integracijom s Facebookom. Čak su je preporučivale i relevantne web stranice. “Jedini problem” u svemu tome bilo je to što je novac za kupnju karata odlazio na nečije privatne račune, a kupci nisu dobili karte. Štoviše, autori stranice skupili su i poveću bazu brojeva kreditnih kartica.
2. Hitnost situacije. Situacija je uvijek hitna, kako bi žrtva imala što manje vremena za razmišljanje – kako ne bi stigla promisliti o logičnosti zahtjeva. “Sad ili nikad”, “Ako mi ne kažete lozinku – vaši će podaci biti izgubljeni” i slično. Vrlo često napadi su tempirani tako da žrtva ima i dodatne prepreke za stvarnu provjeru situacije – primjerice, kada se takvo što dogodi u petak, pred kraj radnog vremena.
3. Emocije. Mnogi napadi socijalnih inženjera “pucaju” na emocije žrtve. Izazivanje sažaljenja, potrebe da pomognemo – vrlo često biva iskorišteno u socijalnom inženjeringu. Tko se ne bi sažalio nad novim kolegom koji vas zove sav uspaničen i traži podatak o važnom klijentu? Ili, tko ne bi poslao cirkularni e-mail još desetorici prijatelja i poznanika jer će time pomoći bolesnoj djevojčici, ne misleći na to kako se možda radi o skupljanju valjanih e-mail adresa koje će dobro doći spamerima.
Socijalni inženjeri često ciljaju i na ljudsku pohlepu. Pošaljite ovaj e-mail na deset e-mail adresa i za svaki od njih i onih koji će se proslijediti dalje dobit ćete 10 dolara. Da ne spominjemo e-mail nekog afričkog svrgnutog predsjednika u kojem vas moli da mu pošaljete broj svojeg bankovnog računa da na njega prebaci nešto novca koji je uspio spasiti. Neke naivne žrtve su zbog nasjedanja na takve e-mailove osumnjičene za pranja novca.
Praznovjerje je još jedan od “zgodnih” fenomena koji se koriste za prikupljanje e-mail adresa (srećom, to barem nije tragično za vaš mjesečni račun). Tako našu svakodnevnicu uljepšavaju poslani tekstovi koji se protežu preko barem tri ekrana ili prezentacije s prekrasnim opuštajućim slikama i sporo učitavajućim tekstom (svi efekti koje pruža MS Power Point su tu, tekst je “by Dalaj Lama, osobno”). Na kraju poruke obavezno je apeliranje da se ne zaborave stari prijatelji i da se taj mail (naravno, s kompletnom mailing-listom) proslijedi dalje, na barem 10 adresa, i time osigura ostvarenje jedne od vaših brojnih želja u roku od magičnih 3, 7 ili 10 dana. Naravno, veći broj adresa na koji ćete proslijediti ovaj mail osigurava i brže ostvarenje vaše želje. Ponekad vam se i priprijeti pričom o jadnoj Suzanne, koja ne samo da se nije udala, nego je i izgubila posao u lokalnoj pekarnici… i sada je bez muža i bez svježeg peciva negdje u Oregonu, jer je zanemarila poruku iz maila… Ako se pak odazovete na ovakav e-mail, uskoro će vam radna jutra započinjati brisanjem različitih spamova: povoljne ponude Viagre, supersredstva za mršavljenje, produženja penisa, replika originalnih satova, kredita…
Vrste socijalnog inženjeringa
Spomenuti primjer o pozivu administratora iz banke pripada u skupinu napada koji se nazivaju pretekstingom. Radi se o nekom unaprijed razrađenom scenariju, osmišljenom kako bi se došlo do informacija. Samom napadu prethodi istraživanje žrtve, informiranje o osobi i njezinim aktivnostima (npr. situacija plaćanja karticom u trgovini) ili informiranje o strukturi tvrtke, upoznavanje s internim žargonom, prikupljanje imena zaposlenika i slično. Često ga koriste i privatni istražitelji, agenti tajnih službi i industrijski špijuni.
Tailgating je specifičan oblik socijalnog inženjeringa. Strogo gledano, to i nije socijalni inženjering. Radi se, naime, o fizičkom ulazu u neki zaštićeni objekt – iskorištavanjem nekoga tko u tom trenutku ulazi u zgradu. Najčešće se nakon pauze za ručak ugurate u skupinu zaposlenika i postoji šansa da vas zaštitar na ulazu neće zaustaviti. Za ulaz u zaštićenije objekte napadači se ipak malo više i potrude. Ako ste primijetili zaposlenike neke tvrtke kako s ponosom nose kartice za ulaz u svoje prostorije, možete biti sigurni da nisu prošli tečaj sigurnosti. Vješti napadači vrlo će lako iskopirati izgled tih kartica i uz dovoljno dobrohotnog zaštitara ili nekog zaposlenika ući u zgradu. Scenarij je otprilike ovakav: dođete sa svojom lažnom karticom koja izgleda gotovo kao original. Odjenete se, dakako, u skladu s pravilima odijevanja tvrtke, pričekate da netko pokuša ući u zgradu i odglumite kako vam kartica ne radi kako treba, da ste je negdje vjerojatno oštetili i slično.
Ipak, većina socijalnih inženjera izbjegava bilo kakav kontakt sa žrtvama i ovakvim akcijama pribjegavaju zaista vrlo rijetko.
Dumpster diving je – uz već spomenuti shoulder surfing – jedna od metoda kojom se prikupljaju informacije o potencijalnim žrtvama napada. Običnim rječnikom rečeno – radi se o kopanju po smeću. Dakako, ne smeću od gableca (iako uz malo mašte možemo zamisliti i potencijalnu korist od te informacije), nego uglavnom po dokumentima, računima, zapisnicima sa sastanka i sličnom. Mnoge tvrtke koriste rezače za otpad, kako ne bi bio iskorišten u te svrhe, no vrlo često se zanemaruju manje važni dokumenti, koji strpljivim napadačima mogu poslužiti da stvore sliku o tvrtki, o navikama zaposlenika, o njihovim odnosima i slično. S druge strane, dovoljno strpljivi napadači uspjet će rekonstruirati i izrezane dokumente. Poučene nekim neugodnim iskustvima sa strpljivim rekonstrukcijama tajnih dokumenata, američke državne institucije najpovjerljivije dokumente uništavaju na papiriće veličine tek 1 x 5 milimetara.
Od shoulder surfinga – navirivanja preko ramena – relativno se lako zaštititi. Jednostavno treba prekriti tipkovnicu rukom dok ukucavamo lozinku ili je ne upisivati dok netko stoji iza nas.
Baiting bi se moglo prevesti kao mamljenje. Radi se o tome da se “kao slučajno” na mjestu na kojem se kreću potencijalne žrtve ostavi USB stick s logom konkurentske tvrtke, CD s nekim primamljivim nazivom poput “Zaposlenici 2008″ ili “Rezultati prodaje 2008″. Na CD-u će se vrlo vjerojatno nalaziti lažni dokument, no ono što će žrtva uz njega dobiti i instalirati bez vlastitog znanja jest neki malware, softver koji će špijunirati njihove aktivnosti na računalu, lozinke i slično. Na ostavljenom materijalu mogu biti i neki drugi sadržaji, poput filmića, spotova, glazbe, softvera i sl., koji služe kako bi navukli ljude da to ubace u svoje računalo. Na sličan način često se šire i računalni virusi, tako što “navuku” neoprezne primatelje da ih aktiviraju. Legendarni primjer je virus Anna Kournikova, koji je umjesto slike tenisačice naivnima prouzročio glavobolju.
Phishing smo već u nekoliko navrata spomenuli. Radi se o e-mailovima koji vas nastoje navesti da pritisnete na link na kojem trebate obnoviti korisničke podatke. Katkad se i već samim dolaskom na web stranicu pokreće skripta koja na vaše računalo nastoji instalirati malware program. Dobiveni e-mail napisan je tako kao da ga zaista šalje prava tvrtka, a web stranica na koju vodi zaista nalikuje originalu.
Za razliku od masovnih spam-napada koji su prevladavali u ne tako davnoj prošlosti, danas su napadi preciznije usmjereni, odnosno personalizirani. U tom slučaju često se govori o spear-phishingu. Primjerice, ako phisher dobije, kupi ili na neki drugi način dođe do popisa korisnika usluga neke tvrtke, slat će phisherske mailove samo njima.
Phisherski mailovi mogu biti i vrlo specijalizirani, adresirani na točno određene osobe. Taj se oblik phishing zove whaling, lov na kitove, jer su najčešće žrtve “krupne ribe”, poput direktora i menadžera. Osim phisherskih e-mailova poznati su i slučajevi phisherskih SMS-ova, koji imaju sličnu namjeru izvlačenja osobnih podataka, te Phone ili IVR phishing, pri čemu se žrtvu navodi da nazove broj banke ili slične institucije. Kad osoba nazove navedeni broj, javlja se automat koji zvuči autentično, a ako nasjedne na prijevaru, žrtva će putem tipki telefona potvrditi svoj PIN i broj računa.
Iako motiv socijalnog inženjeringa može biti zabava, izazov ili osveta, najčešći je motiv ipak materijalna korist. Često su skupine cyber-kriminalaca u različitim zemljama koje međusobno razmjenjuju informacije i iskustva. Poznat je nedavni slučaj hakiranja bankomata u Hrvatskoj, u kojem su dobiveni PIN-ovi i brojevi kartica korišteni u drugim državama.
Socijalni inženjering prevarantima može donijeti izravnu financijsku korist, odnosno oni mogu zaraditi prodajom informacija – otkrivanjem planova aktivnosti tvrtki ili, primjerice, popisima podataka o korisnicima, koje će prodati zainteresiranim stranama. Prema podacima tvrtke Cisco, jedan bankovni broj s PIN-om na crnom tržištu stoji oko 500 dolara.
Još jedna korist od napada kojima je cilj instaliranje malware programa jest i pretvaranje računala žrtve u takozvanog zombija – računalo koje će u mreži s ostalim zaraženim računalima cyber-kriminalci koristiti za slanje spamova i phisherskih mailova.
Prema izvještajima tvrtki koje se bave sigurnošću informacija, napadi koji uključuju socijalni inženjering sve su češći i sve sofisticiraniji. Sve veća sofisticiranost socijalnog inženjeringa posljedica je i kvalitetnije računalne sigurnosti. Zašto provesti više mjeseci u nastojanju da probijemo računalnu zaštitu kada se sve može riješiti s nekoliko telefonskih poziva ili e-mailom? Zašto se truditi razbijati lozinke i sigurnosna rješenja kada za računalima sjedi najnesigurniji dio sustava – ljudi.
Ovim člankom nismo željeli potaknuti opću paranoju, a još manje potaknuti na socijalni inženjering; ako vas moralna načela u tome ne bi spriječila, znajte da takva djela spadaju pod kazneni zakon.
Ono što je važno jest da budete svjesni povjerljivosti podataka te da ni u kojem slučaju ne nasjedate na upite o takvim informacijama pod krinkom žurnosti i spašavanja – osobito ne nekome preko telefona. Ako netko poznaje imena vaših kolega ili neke interne kratice, ne znači da je ta osoba zaista ono za što se predstavlja. Ako se predstavi kao zamjenik nekog direktora ili neki menadžer, što je također jedan od čestih scenarija, ne znači da je to zaista ta osoba. Osobito ako vas inače ta osoba nikada ranije nije zvala. Tvrtke koje drže do sigurnosti imaju točno propisane načine identifikacije osoba. I baš svatko, pa bio to i generalni direktor, mora dopustiti da se provjerava njegov identitet.
Zaista nije potrebno da svatko vidi vaš bankovni PIN, a ako vam netko stoji iza leđa dok ga ukucavate, zamolite ga da se pomakne. Ne mora svatko vidjeti kako izgleda čip-kartica tvrtke u kojoj radite, ni kako se zovete. Kada izađete iz tvrtke, spremite je na sigurno.
Za sigurnost informacija najvažnije je da za početak budete svjesni mogućih opasnosti, a umjerena doza opreza značajno će umanjiti uspjeh socijalnog inženjeringa.
Kako se zaštititi od phishinga
Većina nas naučila je da se e-mailom mogu širiti računalni virusi, čak i ako dolaze s e-mail adresa poznanika. Podaci pokazuju da je u posljednjih nekoliko godina na ovaj način znatno smanjeno širenje virusa.
Procjenjuje se da je oko 90% e-mail prometa u svijetu spam. Značajan postotak od toga otpada na phisherske e-mailove i očekuje se sve veći udio baš takvih e-mailova kojima vas lukavi autori nastoje navući da otkrijete podatke koje ne biste trebali ili da vam na računalo instaliraju neki zloćudan softver. Da vam se to ne bi dogodilo, evo na što trebate pripaziti:
- Ton e-maila često je takav da se zahtijeva neka hitna akcija, poput obnavljanja računa, jer će vaš račun biti ukinut. U nekim phisherskim kampanjama nude se i nagrade za one koji do određenog datuma obnove svoje račune. Čim takvo što uočite – neka u vama zazvoni alarm, pa makar dobili mail od tvrtke za koju znate da je u redu.
- U jeziku e-maila česte su pravopisne pogreške i pismo nije sastavljeno kao da ga je pisao netko tko poznaje poslovno dopisivanje.
- I sad najvažnije. Većina takvih e-mailova sadrži neke linkove. Pogledajte link. Ako vam se učini čudnim, ako upućuje na domenu drugačiju od službene domene tvrtke na koju se poziva e-mail, posumnjajte u phishing. Budite oprezni, često su domene koje phisheri koriste vrlo slične pravim tvrtkama. Tako će umjesto www.google.com pisati www.gOOgle.com ili umjesto www.stranica.com link će voditi na www.stranca.com. Ako link nije istaknut u e-mailu, nego je skriven iza teksta poput “click here“, prijeđite mišem preko tog teksta i u kutu bi vam se trebao pokazati link na koji vodi klik mišem.
- Suspregnite znatiželju. Odlaskom na phishersku stranicu vam se, čak i ako ništa ne upisujete, može instalirati zloćudni softver.
- Nemojte se pouzdati u spam-filtere. Iako korisni, dogodi se da vam u e-sandučić uleti i neki phisherski e-mail.
Najpoznatiji socijalni inženjeri
Vjerojatno najpoznatiji svjetski haker, danas 45-godišnji Kevin Mitnick, zapravo je po vlastitom priznanju do najvažnijih lozinki i podataka za upade u sustave dolazio tako što su mu “ljudi sami to rekli”. Već s 12 godina počeo se zanimati za računala i koristiti i usavršavati tehnike socijalnog inženjeringa. On sâm je i skovao taj izraz za hakiranje ljudi u svrhu dolaženja do informacija. U početku su njegova djela bila relativno bezazlena, poput hakiranja telefonskog sustava kako bi mogao besplatno telefonirati, ili sustava javnog prijevoza za dobivanje besplatnih vožnji. Kasnije je, međutim, počeo upadati u sustave velikih tvrtki i vladinih organizacija, što je dovelo do najveće potjere za nekim hakerom u povijesti, te do njegovog uhićenja i osude na zatvor. U zatvoru mu nije bilo dopušteno korištenje telefona kako ne bi napravio neku štetu. Na popisu njegovih žrtava nalaze se, između ostalih, i FBI, IBM, NEC, Nokia, Sun i Fujitsu-Siemens.
Nakon izlaska iz zatvora osnovao je vlastitu tvrtku koja se bavi računalnom i informacijskom sigurnošću.
Uz Mitnicka, u svijetu poznatih socijalnih inženjera vrijedi spomenuti i braću Badir. Ta trojica braće iz Izraela, inače slijepi od rođenja, 1999. godine optuženi su za čak 44 kaznena djela koja uključuju upade u sustav Izraelskog telekoma i štetu veću od 2 milijuna dolara.
Direktor Izraelskog telekoma, opisujući ih, rekao je da kad tipkaju broj na telefonu – “čine to srednjim prstom”. Od trojice braće samo je jedan osuđen na više godina zatvora.
Linkovi i literatura
Osim Googla i Wikipedije preporučujemo web stranice www.sans.org, agencije koja se bavi računalnom sigurnošću i odakle možete skinuti zanimljive dokumente i priručnike za sprječavanje socijalnog inženjeringa.
Od tiskanih knjiga svakako preporučujemo The Art of Deception, “oca socijalnog inženjeringa” Kevina Mitnicka. Uz brojne primjere socijalnog inženjeringa, knjiga donosi i savjete o tome kako se obraniti od različitih prijevara.
Za nešto detaljniji uvid u prikupljanje informacija shoulder surfingom, tailgatingom i sličnim metodama preporučujemo No Tech Hacking: A Guide to Social Engineering, Dumpster Diving and Shoulder Surfing Johna Longa i suradnika. 

Izvor: planb.hr

Nema komentara:

Objavi komentar