Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



01.12.2022

Wyższy poziom programowania

Progress oferuje nowe narzędzia programistyczne: Progress Telerik, Progress Kendo UI i...
01.12.2022

Łączność w podróży

VMware SD-WAN VMware zaprezentował rozwiązanie SD-WAN nowej generacji, w tym nowego...
01.12.2022

Bezpieczne e-maile

Nowa aplikacja firmy Cypherdog Security Inc. umożliwia bezpieczną wymianę maili i...
01.12.2022

Pierwszy w branży

Schneider Electric wprowadza na rynek APC Smart-UPS Ultra. To pierwszy w branży...
01.12.2022

Przełączniki 10G dla MŚP

Nowe urządzenia to przełączniki 10G kompatybilne z systemem Omada SDN.
01.12.2022

Zarządzanie danymi

Firma Synology wprowadziła na rynek czterokieszeniowy DiskStation DS923+.
01.12.2022

Nowatorski system chłodzenia

OVHcloud zaprezentował nową, autorską technologię hybrydowego zanurzeniowego chłodzenia...
01.12.2022

Linia smart routerów

D-Link zaprezentował najnowszą rodzinę routerów Smart Wi-Fi z algorytmami sztucznej...
04.11.2022

Nowa platforma Red Hat

Nowa platforma Red Hat Enterprise Linux (RHEL) w wersjach 8.7 i 9.1 Beta obsługuje...

Rodzaje i scenariusze ataków

Data publikacji: 04-11-2022 Autor: Adam Kamiński

W cyberprzestępczym świecie funkcjonują ataki, które pozwalają uzyskać dostęp do wartościowych danych często bez użycia ani jednej linijki kodu. Oparte są na podstępie i manipulacji, a hakuje się w nich nie sprzęt czy software, tylko człowieka.

 

 Nic tak nie drażni ścisłych umysłów informatyków, administratorów i specjalistów z blue teamów w całym wielkim świecie IT jak fakt, że często czynnikiem decydującym o skuteczności działania systemów bezpieczeństwa jest człowiek. Triada CIA – poufność (confidentiality), integralność (integrity) i dostępność do informacji (availability) – oparta na twardych i nieugiętych regułach matematycznych musi ustąpić miękkiej psychologii ludzkiego umysłu. Można stwierdzić, że techniki inżynierii społecznej to rodzaje exploitów przygotowanych na ludzi, fragmenty kodu ich psychiki spreparowane tak, by móc wykorzystać ich największe podatności – strach, ekscytację, chciwość, ciekawość czy złość.


Z rocznego raportu CERT Polska „Krajobraz bezpieczeństwa polskiego internetu w 2021 roku” (na ten rok jeszcze się nie ukazał) wynika, że socjotechniki są wciąż jednym z bardziej eksploatowanych i skutecznych wektorów ataku. Wśród 29 483 zarejestrowanych unikalnych incydentów cyberbezpieczeństwa najpopularniejszym typem w 2021 r. był phishing, który stanowił aż 76,57% wszystkich obsłużonych zdarzeń, czyli 22 575 incydentów. Był to wzrost aż o 196% w porównaniu do roku poprzedniego. Dlaczego to użytkownicy wciąż są najsłabszym ogniwem tego łańcucha bezpieczeństwa? Być może dlatego, że nie da się pobrać łatki na głupotę. A tak zupełnie poważnie, wynika to z niewiedzy – ludzie nie spodziewają się, że mogą stać się ofiarą ataku, nie znają metod i technik, które stosują złośliwi aktorzy. Zazwyczaj w ogóle nie znają się na bezpieczeństwie – obeznani są z tym, co robią na co dzień. Wielu konsumentów i pracowników może nie nadążać za postępującym wyścigiem zbrojeń w zdobywaniu danych i nie zdawać sobie sprawy z zagrożeń, takich jak np. pobieranie plików w trybie drive-by. Ludzie mogą również nie rozumieć pełnej wartości swoich danych osobowych, takich jak numer telefonu. W rezultacie wielu użytkowników nie wie, jak najlepiej chronić siebie i swoje informacje, dlatego to w nich i ich zawodność celują cyberprzestępcy. Dobrze przygotowany phishing może zadziałać na każdego, nawet na osoby wyedukowane czy wręcz z działów bezpieczeństwa.


> Socjotechniki

 

W kontekście bezpieczeństwa informacji inżynieria społeczna to termin określający szeroki zakres złośliwych działań realizowanych poprzez interakcje międzyludzkie. To taktyka wpływania lub oszukiwania ofiary wykorzystująca manipulację psychologiczną, aby skłonić użytkownika do popełnienia błędów bezpieczeństwa oraz przekazania poufnych informacji w celu uzyskania kontroli nad systemem komputerowym lub kradzieży informacji osobistych i finansowych. Zatem bardziej niż na penetracji sprzętowych i software’owych systemów bezpieczeństwa skupia się na hakowaniu człowieka.


Ataki socjotechniczne przebiegają w jednym lub kilku etapach. Sprawca najpierw bada obraną ofiarę, aby zebrać niezbędne informacje, takie jak potencjalne punkty wejścia i słabe protokoły bezpieczeństwa, potrzebne do przeprowadzenia ataku. Następnie atakujący stara się zdobyć zaufanie ofiary i dostarczyć bodźców do kolejnych działań, które łamią praktyki bezpieczeństwa, takich jak ujawnienie poufnych informacji lub udzielenie dostępu do krytycznych zasobów. Tym, co czyni inżynierię społeczną szczególnie niebezpieczną, jest fakt, że opiera się ona na błędach ludzkich, a nie na lukach w oprogramowaniu i systemach operacyjnych. Błędy popełniane przez prawowitych użytkowników są znacznie mniej przewidywalne, przez co trudniej je zidentyfikować i udaremnić niż włamanie oparte na złośliwym oprogramowaniu.


Dyrektor techniczny Symantec Security Response – firmy odpowiedzialnej za antywirusa Norton – również potwierdził, że złośliwi aktorzy na ogół nie próbują wykorzystywać luk technicznych w systemie. Zamiast tego kierują się w stronę użytkownika: „Nie potrzeba aż tylu umiejętności technicznych, aby znaleźć jedną osobę, która może być skłonna, w chwili słabości, otworzyć załącznik zawierający złośliwą zawartość”. Tylko około 3% złośliwego oprogramowania próbuje wykorzystać wadę techniczną. Pozostałe 97% próbuje oszukać użytkownika poprzez jakiś schemat inżynierii społecznej.


> Podłoże psychologiczne


Oszustwa oparte na inżynierii społecznej bazują na sposobie myślenia i działania ludzi. W związku z tym ataki socjotechniczne są szczególnie przydatne do manipulowania zachowaniem użytkownika. Gdy atakujący zrozumie, co motywuje użytkownika do działania, może go skutecznie oszukać. Wszystkie techniki inżynierii społecznej opierają się na pewnych atrybutach ludzkiego procesu decyzyjnego znanych jako schematy poznawcze. Te tendencje, nazywane czasami „błędami w ludzkim sprzęcie”, są wykorzystywane w różnych kombinacjach do tworzenia technik ataku, z których niektóre zostały wymienione w dalszej części artykułu. Inżynieria społeczna w dużym stopniu czerpie z sześciu kluczowych zasad teorii wpływu ustanowionych przez Roberta Cialdiniego: wzajemności, zaangażowaniu i spójności, dowodzie społecznym, autorytecie, sympatii i rzadkości (ramka 6 zasad Cialdiniego).


W większości ataków socjotechnicznych dochodzi do rzeczywistej komunikacji między atakującym a ofiarą. Atakujący zazwyczaj próbuje nakłonić użytkownika do wyjawienia lub udostępnienia swoich danych, zamiast polegać na metodzie brute force. Proces ten, opisany w ramce Cykl życia ataku opartego na inżynierii społecznej, daje przestępcom niezawodny sposób postępowania w trakcie oszukiwania użytkownika. Proces ten może zamknąć się w pojedynczym e-mailu lub być prowadzony przez miesiące czatowania w mediach społecznościowych. Może to być nawet interakcja twarzą w twarz. Ale ostatecznie kończy się działaniem podjętym przez użytkownika, takim jak udostępnienie informacji lub narażenie się na działanie złośliwego oprogramowania.


Ważne jest, aby postrzegać inżynierię społeczną jako sposób na wprowadzenie w błąd. Wielu pracowników i konsumentów nie zdaje sobie sprawy, że zaledwie kilka informacji może dać hakerom dostęp do wielu sieci i kont. Ataki socjotechniczne koncentrują się na wykorzystaniu przez atakującego perswazji i zaufania. W przypadku zastosowania tej taktyki użytkownik jest bardziej skłonny do podjęcia działań, których w przeciwnym razie by nie podjął. Następujące zachowania i metody wskazują, że możemy być ofiarą próby oszustwa:

 

  • wzmożone emocje – manipulacja emocjonalna daje napastnikom przewagę w każdej interakcji. Człowiek jest o wiele bardziej skłonny do podejmowania irracjonalnych lub ryzykownych działań, kiedy jesteś w podwyższonym stanie emocjonalnym. Te, na których najczęściej polegają atakujący, to: strach, ekscytacja, ciekawość, złość, poczucie winy, smutek;
  • poczucie pilności – ograniczone czasowo okazje lub żądania to kolejne niezawodne narzędzie w arsenale napastnika. Użytkownik może być zmotywowany do wykonania niepoprawnych czynności pod pozorem poważnego problemu, który wymaga natychmiastowej uwagi. Alternatywnie może chodzić o nagrodę, która przepadnie, jeśli nie będzie działać szybko. Jedno i drugie podejście osłabia zdolność krytycznego myślenia;
  • zaufanie – wiarygodność jest bezcenna i niezbędna w ataku inżynierii społecznej. Ponieważ atakujący ostatecznie kłamie, zaufanie odgrywa tu ważną rolę. Po prawidłowo przeprowadzonym rekonesansie ma wystarczająco dużą wiedzę na temat ofiary, by stworzyć narrację, w którą łatwo uwierzyć i która raczej nie wzbudzi podejrzeń.


Istnieją pewne wyjątki od tych cech. W niektórych przypadkach napastnicy stosują bardziej uproszczone metody inżynierii społecznej, aby uzyskać dostęp do sieci lub komputera. Na przykład haker może odwiedzać publiczną strefę gastronomiczną dużego biurowca i „surfować przez ramię” użytkowników pracujących na swoich tabletach lub laptopach. W ten sposób można pozyskać dużą liczbę haseł i nazw użytkownika, a wszystko to bez wysyłania wiadomości e-mail lub pisania choć linijki kodu wirusa.


> Bestiariusz ataków

 

Ataki socjotechniczne występują w wielu różnych formach i mogą być przeprowadzane wszędzie tam, gdzie zachodzi interakcja międzyludzka. Zrozumienie różnych wektorów ataku dla tego typu przestępstw jest kluczowe, jeśli chodzi o zapobieganie. Poniżej przedstawiamy typowe formy cyfrowych ataków socjotechnicznych.


> Phishing

 

Phishing jest najczęstszym typem ataku socjotechnicznego, któremu z powodzeniem moglibyśmy poświęcić cały temat numeru. Jest również najprostszym jego rodzajem, a jednocześnie najbardziej niebezpiecznym i skutecznym. Jest to także najbardziej pojemne i obszerne pojęcie określające w zasadzie zbiór metod. Już w 1987 r. technika phishingu została szczegółowo opisana w referacie wygłoszonym na Międzynarodowej Grupie Użytkowników HP, jednak pierwsza wzmianka o tym terminie występuje w zestawie narzędzi hakerskich AOHell stworzonym przez Koceilaha Rekouche’a w 1995 r. Atakujący, by wykraść konta z serwisu AOL – jednego z głównych dostawców usług internetowych w Stanach Zjednoczonych – udawał członka zespołu serwisu i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w celach przestępczych. Uważa się, że „phishing” jest odmianą słowa „fishing”, powstałą pod wpływem phreakingu, i nawiązuje do stosowania coraz bardziej wyrafinowanych przynęt w celu „łowienia” wrażliwych informacji użytkowników. Termin „phishing” bywa tłumaczony jako „password harvesting fishing”, czyli łowienie haseł.


Ale do rzeczy. Phishing to rodzaj socjotechniki, w której napastnik, podszywając się pod godny zaufania podmiot, wysyła sfałszowaną (np. nieuczciwą, oszukańczą, spoofingowaną lub w inny sposób zwodniczą) wiadomość, której celem jest zdobycie poufnych informacji, takich jak nazwy użytkownika, hasła i dane karty kredytowej, lub wdrożenie w infrastrukturze ofiary złośliwego oprogramowania, takiego jak ransomware. Ataki phishingowe stały się coraz bardziej wyrafinowane i obecnie często w pełni naśladują atakowaną stronę, pozwalając phisherowi (atakującemu) obserwować działania na stronie internetowej po stronie ofiary i wraz z nią pokonywać kolejne zabezpieczenia. Phishing jest zdecydowanie najczęstszym atakiem wykonywanym przez cyberprzestępców. Od 2020 r. IC3 (Internet Crime Complaint Center) – oddział FBI zajmujący się podejrzaną działalnością przestępczą prowadzoną przez internet – odnotowuje ponad dwa razy więcej przypadków phishingu niż jakiegokolwiek innego rodzaju przestępstw komputerowych.


Większość oszustw phishingowych ma na celu osiągnięcie trzech rzeczy: uzyskanie informacji osobistych, takich jak nazwiska, adresy i numery ubezpieczeń; wykorzystanie skróconych lub mylących linków, które przekierowują użytkowników do podejrzanych witryn zawierających strony docelowe do wyłudzania danych; oraz wykorzystanie strachu i poczucia pilności, aby zmusić użytkownika do szybkiej reakcji.

 

Techniki phishingu

 

Większość rodzajów phishingu wykorzystuje jakąś formę oszustwa technicznego, którego celem jest sprawienie, aby link w e-mailu wydawał się należeć do organizacji, pod którą podszywają się napastnicy. Błędnie wpisane adresy URL lub wykorzystanie subdomen to powszechne sztuczki stosowane przez phisherów. Inną często spotykaną sztuczką jest sprawienie, aby tekst wyświetlany dla odsyłacza sugerował wiarygodne miejsce docelowe, podczas gdy w rzeczywistości odsyłacz prowadzi do sfałszowanej strony. Wiele klientów poczty elektronicznej i przeglądarek internetowych pokazuje docelowy adres URL odsyłacza w pasku stanu po najechaniu na niego myszką. Funkcja ta może być jednak w pewnych okolicznościach nadpisana przez phishera (ramka Kamuflowanie złośliwego adresu). Natomiast aplikacje mobilne na ogół nie mają tej funkcji podglądu.


Międzynarodowe nazwy domen (IDN) mogą być wykorzystywane poprzez IDN spoofing lub ataki homograficzne (o których pisaliśmy w poprzednim numerze) w celu stworzenia adresów internetowych wizualnie identycznych z legalną stroną, a które prowadzą do jej szkodliwej wersji. Phisherzy wykorzystują podobne ryzyko, używając otwartych przekierowań URL na stronach zaufanych organizacji, aby ukryć złośliwe adresy URL za pomocą zaufanej domeny. Nawet certyfikaty cyfrowe nie rozwiązują tego problemu, ponieważ oszuści mogą kupić ważny certyfikat, a następnie zmienić treść, aby sfałszować prawdziwą stronę internetową.

 

Inną techniką jest używanie obrazów zamiast tekstu, aby ominąć filtry antyphishingowe lub utrudnić im wykrycie tekstu powszechnie używanego w e-mailach phishingowych. Te bardziej zaawansowane narzędzia antyspamowe są w stanie odzyskać ukryty tekst w obrazach przy użyciu optycznego rozpoznawania znaków (OCR) i mimo wszystko zapewniać ochronę. Samą formę inżynierii społecznej, jaką jest phishing, możemy podzielić na kilka podtypów.


> E-mail phishing


Większość wiadomości phishingowych jest dostarczana przez spam e-mailowy i nie jest spersonalizowana ani skierowana do konkretnej osoby lub firmy. Tę metodę określa się jako bulk lub spam phishing. Treść bulk phishingowych wiadomości różni się znacznie w zależności od dążeń atakującego – powszechne cele podszywania się obejmują banki i usługi finansowe, dostawców usług poczty elektronicznej i chmury oraz usługi streamingowe. Atakujący mogą wykorzystać uzyskane dane uwierzytelniające do bezpośredniej kradzieży pieniędzy od ofiary, chociaż skompromitowane konta są często wykorzystywane jako punkt wyjścia do przeprowadzenia innych ataków, takich jak kradzież zastrzeżonych informacji, instalacja szkodliwego oprogramowania lub spear phishing innych osób w organizacji celu. Przejęte konta w serwisach streamingowych są zwykle sprzedawane bezpośrednio konsumentom na rynkach darknetowych.


Przykładem może być wiadomość e-mail wysyłana do użytkowników usługi online, która informuje o naruszeniu zasad, co wymaga natychmiastowego działania z ich strony, np. zmiany hasła. Zawiera ona łącze do sfałszowanej strony internetowej – o niemal identycznym wyglądzie jak jej legalna wersja – zachęcając niczego niepodejrzewającego użytkownika do wprowadzenia swoich aktualnych danych uwierzytelniających i nowego hasła. Po wysłaniu formularza informacje te przekazywane są atakującemu. Pewnym pocieszeniem jest fakt, że ze względu na to, że w kampaniach phishingowych identyczne wiadomości są wysyłane do wszystkich użytkowników, ich wykrywanie i blokowanie przez serwery pocztowe mające dostęp do platform współdzielenia zagrożeń jest znacznie łatwiejsze.


Niedawna kampania phishingowa wykorzystywała branding LinkedIn, aby oszukać osoby poszukujące pracy. Atakujący, podszywając się pod rekruterów ze znanych firm takich jak American Express czy CVS Carepoint, wysłali aplikującym pochlebne wiadomości, w których informowali, że zostali dostrzeżeni na portalu społecznościowym, ich profil wydał się atrakcyjny i potencjalni pracodawcy są nimi zainteresowani. E-maile miały nagłówki, które były kuszące dla osób poszukujących pracy, mających nadzieję, że zostaną zauważone, takie jak: „Kto szuka cię online”, „Pojawiłeś się w 4 wyszukiwaniach w tym tygodniu” lub nawet „Masz 1 nową wiadomość”. Same e-maile phishingowe były przekonującymi duplikatami, zbudowanymi w szablonach HTML z logotypami, kolorami i ikonami właściwymi dla LinkedIn. Nawet stopka maila zawierała adres siedziby firmy i linki „unsubscribe”, aby nadać mailom autentyczność. Po kliknięciu w odsyłacze zamieszczone w e-mailu odbiorcy byli przekierowywani na strony mające na celu kradzież ich danych uwierzytelniających LinkedIn.


> Spear phishing


Spear phishing to niewielki, skoncentrowany atak za pośrednictwem poczty elektronicznej ukierunkowany na konkretną osobę lub dział firmy, którego celem jest przeniknięcie do systemów obronnych. Spear phishing wycelowany jest zazwyczaj w kadrę kierowniczą lub osoby pracujące w działach finansowych, które mają dostęp do wrażliwych danych finansowych i usług organizacji.


W przeciwieństwie do bulk phishingu spear phishing jest techniką, w której napastnicy w sposób nieuczciwy pozyskują prywatne informacje poprzez wysyłanie wysoce spersonalizowanych wiadomości e-mail do niewielu użytkowników końcowych, aby zwiększyć prawdopodobieństwo powodzenia ataku. Jest to główna różnica w porównaniu do ataków phishingowych, ponieważ kampanie spamowe skupiają się na wysyłaniu dużych ilości uogólnionych wiadomości e-mail z oczekiwaniem, że tylko kilka osób odpowie. Również w odróżnieniu od masowego wysyłania wiadomości, które mogą próbować dystrybuować ransomware’owe oprogramowanie lub zbierać indywidualne dane logowania, aby uzyskać szybki zysk, spear phisherzy są zwykle nastawieni na poufne informacje, tajemnice biznesowe itp. Badanie Daniela O’Leary’ego z Uniwersytetu Południowej Kalifornii z 2019 r. wykazało, że firmy księgowe i audytorskie są częstym celem spear phishingu ze względu na dostęp ich pracowników do informacji, które mogą być cenne dla przestępców.

 

[...]

 

Autor jest testerem oprogramowania oraz entuzjastą technologii kwantowych i rozproszonych rejestrów. Redaktor prowadzący „IT Professional”.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"