Być jak internetowy naciągacz

Naciąganie, udawanie, inżyniera społeczna - czyli sztuka manipulowania ludźmi dla swoich celów - są stare jak historia ludzkości. Techniki te były praktykowane i udoskonalane przez całe rzesze ludzi, od legendarnego cyrkowca P.T. Barnuma po niesławnego rosyjskiego szpiega w FBI Roberta Hanssena. Jednak w nowoczesnym, przywiązującym uwagę do bezpieczeństwa, świecie, techniki te są równie niebezpieczne. Pomimo postępu technologicznego, który daje nam iluzję bezpieczeństwa, jesteśmy podatni na sztuczki naciągaczy tak samo, jak wcześniej. Mając to właśnie na uwadze, przeprowadziliśmy rozmowy z ekspertami ds. bezpieczeństwa, którzy zajmują się fizycznymi testami penetracyjnymi. Wypytaliśmy ich o sztuczki, jakich używają, by ominąć zabezpieczenia. Mamy nadzieję, że dzięki tej wiedzy będziesz w stanie lepiej zabezpieczyć się przed wyciekiem poufnych informacji. Poniżej znajdziesz, czytelniku, kilka metod, którymi posługują się specjaliści testujący firmy.

Specjaliści ds. bezpieczeństwa IT często wykorzystują techniki inżynierii społecznej podczas badania bezpieczeństwa firmy. Przecież nawet odłączona od Internetu sieć firmowa nie jest w stu procentach bezpieczna, jeśli komuś uda się wraz z grupą pracowników wślizgnąć do budynku, podłączyć odpowiednie bezprzewodowe urządzenie i spokojnie wyjść. Smutna prawda jest taka, że nawet osoba amatorsko zajmująca się inżynierią społeczną może nas oszukać. Ludzie są naiwni, a bez przejścia prawdziwej próby tak naprawdę nie wiadomo, na ile odporny jest system komputerowy.

Sprawdź swój cel

To przedszkole dla potencjalnego oszusta. Zanim nawiążesz kontakt, upewnij się, że to czego szukasz jest tam, gdzie myślisz. Po co zadawać sobie trud i ryzykować przenikanie do budynku firmy, jeśli okaże się, że informacje, które chcesz ukraść, znajdują się w innym miejscu.

"Musisz się dowiedzieć jak najwięcej o samym celu i o tym, jakie informacje są dla niego ważne" - zauważa Ira Winkler. On wie co mówi. Jest autorem książek "Szpiedzy wśród nas: jak powstrzymać szpiegów, terrorystów, hakerów i kryminalistów, których spotykasz codziennie" oraz "Zen i sztuka zabezpieczania informacji". Winkler jest jednym z najbardziej znanych ekspertów ds. inżynierii społecznej.

Najdroższe włamanie w historii?

Jedną z metod przeprowadzenia ataku na instytucję może być wykorzystanie istotnej luki w jej zabezpieczeniach. Tak postąpili przestępcy, którzy kilkanaście miesięcy temu włamali się do sieci amerykańskiej firmy TJX i bezkarnie buszowali w niej przez 18 miesięcy (w tym czasie wykradli numery 45 mln kart kredytowych). W czasie śledztwa ustalono, że do przeprowadzenia ataku wykorzystano luki w chroniącym sieci WLAN protokole WEP. Atak przeprowadzony został z pewnej odległości - przestępcy wykorzystali do tego celu "antenę w kształcie teleskopu" (tak opisali to policjanci w raporcie) oraz komputer przenośny, który posłużył do złamania WEP (metoda łamania tego protokołu opracowana została już w 2001 r.). Zdobyte w ten sposób informacje umożliwiły im spenetrowanie sieci TJX.

Łączne straty, jakie firma poniosła na skutek włamania do jej sieci informatycznej, przekroczą 150 mln USD. Zdaniem analityków, jeśli informacja ta zostanie potwierdzona, to "sprawa TJX" będzie najkosztowniejszym włamaniem w historii. Więcej informacji na ten temat znaleźć można w tekście "TJX: najdroższe włamanie w historii".

To, na co zwraca uwagę Winkler, jest niezwykle ważne. Jeden z ekspertów, z którymi rozmawialiśmy na potrzeby tego artykułu (chciał pozostać anonimowy), zdradził nam, iż na początkach swojej kariery niemal został aresztowany. Winą było jego słabe przygotowanie. Postawiono przed nim z pozoru proste zadanie. Przedstawiciele amerykańskiej firmy chcieli sprawdzić zabezpieczenia swojego londyńskiego oddziału. Wynajęli go, by przeniknął do budynku. Ta pozorna prostota go zgubiła, gdyż nie wiedział, że w tym samym biurowcu mieści się siedziba MI5 - odpowiednika polskiej Agencji Bezpieczeństwa Wewnętrznego.

"Namierzyli mnie już gdy byłem obok sąsiedniego budynku. Śledzili mnie za pomocą kamer przemysłowych i zatrzymali mnie w momencie, gdy miałem podejść do jednej z pracownic i poprosić ją o wpuszczenie do budynku" - mówi nasz ekspert.

Innymi słowy, inżynieria społeczna to nie metoda "na wyrwę". Nie chodzi o dopadnięcie do informacji i zabrania jej. Przeciwnie - wymaga to prawdziwej zręczności. "Jeśli masz zamiar się tym zajmować, musisz mieć szczegółowy plan. Im mniejsze masz doświadczenie, tym bardziej dokładny musi być plan" - mówi Winkler.

Poszukaj tego, co łączy cię z celem

Szpieg nie podchodzi do przypadkowej osoby na ulicy i nie prosi jej o zdradzenie tajemnic kraju. Mijają tygodnie, miesiące a nawet lata zanim napisze raport ze spotkania. W tym czasie stopniowo wyciąga coraz bardziej poufne informacje.

Jeśli jednak chodzi o inżynierię społeczną, to zwykle nie ma aż tyle czasu. A nikt nie zawiera prawdziwej przyjaźni podczas jednego spotkania czy rozmowy telefonicznej. Tutaj przydaje się kontekst i intuicja.

Od początku swojej kariery włamywacza musisz zwracać uwagę na cel, dowiadując się w krótkim czasie jak najwięcej o nim lub o niej. Trzeba być bystrym obserwatorem i mieć pewną intuicję, jeśli chodzi o określanie charakteru danej osoby. Potrzebne to będzie do rozpoczęcia rozmowy na taki temat, który zainteresuje nasz cel. Niedawno rozegrany mecz, kłopoty z wychowaniem dzieci czy jeszcze coś innego... cokolwiek, co przekona tę osobę, iż macie wspólne problemy czy zainteresowania.

Udowadniając w ten sposób, że należysz do tej samej grupy, szybko zdobywasz zaufanie, a twój rozmówca przekonuje się, że warto ci pomóc, bo nie jesteś przypadkową osobą z ulicy.


Zobacz również