Słusznie przyjmuje się, że najsłabszymi ogniwami w łańcuchu bezpieczeństwa są ludzie. Najmniej przemyślane decyzje podejmujemy pod wpływem presji czasu lub innych osób, czy też w sytuacji lęku lub zagrożenia. Zrealizowane w taki sposób czynności trudno jest odtworzyć w późniejszym czasie czy też po prostu racjonalnie umotywować. Po zdarzeniu uświadamiamy sobie, że gdyby nie te nadzwyczajne okoliczności lub zwyczajnie, gdybyśmy chwilę dłużej poświęcili na przeanalizowanie sytuacji, postąpilibyśmy zupełnie inaczej. Wiemy o tym my, ale doskonale zdają sobie też z tego sprawę cyberprzestępcy – z tej przyczyny często w swoich atakach wykorzystują oni działania określane zbiorczo jako „socjotechnika”.
Socjotechnika – w ogólności – definiowana jest jako „ogół metod i działań, zmierzających do uzyskania pożądanego zachowania jednostek i grup ludzkich”. W kontekście cyberprzestępczości, pojęcie to jest używane na określenie działań, mających na celu nakłonienie człowieka do wykonania określonej czynności lub ujawnienia poufnych informacji. Ataki wykorzystujące elementy socjotechniki nie wymagają zazwyczaj wykorzystania specjalnego sprzętu, oprogramowania czy specjalistycznej wiedzy, a jedynie dysponowania pewnym poziomem umiejętności interpersonalnych. Opierają się one na ludzkich słabościach, łatwowierności i niewiedzy.
Działania socjotechnika mogą mieć różną formę – rozmowy telefonicznej, wiadomości mailowych, SMS, chatów internetowych, wiadomości na portalach społecznościowych, itp. Zalicza się do nich m.in. phishing (ogólne określenie na podszywanie się pod inny podmiot w celu wyłudzenia danych), vishing (oparty na zainicjowanej przez oszusta rozmowie telefonicznej), smishing (oparty na wysłanej przez oszusta wiadomości SMS) i pretexting (oparty na wykorzystaniu zaufania i wskazaniu przez sprawcę zasadnej na pierwszy rzut oka przyczyny wykonania jakiejś czynności przez potencjalną ofiarę, np. podania hasła, danych osobowych, kliknięcia w link).
Zadaniem socjotechnika jest przekonać potencjalną ofiarę do tego, że musi coś zrobić (i to natychmiast), aby uniknąć negatywnych konsekwencji czy zyskać coś pozytywnego. Klasycznym przykładem są wiadomości SMS, w których wskazuje się na konieczność dokonania wpłaty/dopłaty pod przesłanym linkiem, w celu uniknięcia zatrzymania przesyłki lub odłączenia od sieci elektroenergetycznej lub telekomunikacyjnej. Znane są przypadki, w których ofiary postąpiły zgodnie z instrukcją z otrzymanej wiadomości, nawet wówczas, gdy wskazano w niej dane innego operatora sieci elektroenergetycznej niż ich faktyczny dostawca energii elektrycznej. Inny przykład, to wiadomość e-mail zawierająca informację o potrzebie zalogowania się do konta w danym serwisie za pośrednictwem przesłanego linku, w czasie najbliższych 24 godzin, w celu zapobiegnięcia usunięcia konta e-mail czy konta w serwisie społecznościowym. Spotykane są też wiadomości o uzyskaniu wygranej w loterii czy konkursie (w których adresat nawet nie brał udziału) i potrzebie podania szczegółowych danych w celu odebrania nagrody.
Kliknięcie w link przesłany w takiej wiadomości skutkuje przekierowaniem na stronę przestępcy – dane podane na niej przez użytkownika trafiają bezpośrednio do sprawcy. Po przejęciu konta pocztowego – przykładowo – sprawca będzie miał dostęp do informacji zawartych w mailach (wszystkich materiałów, które zawarte są w otrzymanych i wysłanych wiadomościach), możliwość wysłania wiadomości z naszego konta (np. o charakterze spam-u), ale i dokonania kradzieży naszej tożsamości, np. w celu dokonania ataku na inną osobę lub instytucję. Dość jaskrawym przykładem opisywanych działań było ujawnienie zawartości prywatnej skrzynki GMail, należącej do Johna Podesty, szefa kampanii prezydenckiej Hillary Clinton. Skrzynka była wykorzystywana do załatwiania spraw służbowych. Jak wskazał niebezpiecznik.pl, John Podesta otrzymał e-mail z informacją o tym, że ktoś wykradł jego hasło i musi natychmiast je zmienić. Wiadomość zawierała link do dokonania takiej zmiany. E-mail miał zostać skierowany do sztabowego informatyka (w celu weryfikacji), który miał potwierdzić jego prawidłowość – co doprowadziło do kliknięcia w podesłany link i podania hasła. Co ciekawe, informatyk w późniejszym czasie tłumaczył się, że odpisując, zrobił literówkę — chciał napisać illegitimate (nieprawdziwy), a napisał legitimate (prawdziwy).
Sprawcy często idą o krok dalej i personalizują swoje działania, wybierając konkretną osobę na swoją ofiarę i zbierając informacje na jej temat. Warto zatem zauważyć, że ataki socjotechnika nie muszą się opierać na niezindywidualizowanych komunikatach, nadawanych przez nieznane nam osoby czy podmioty i kierowanych do Pana/Pani/Państwa. Sprawca może podszyć się pod znaną nam osobę – członka rodziny, współpracownika, przełożonego, kontrahenta czy osobę, która wchodzi z nami w interakcje w mediach społecznościowych. W rozmowie czy wiadomości może zostać użyte nasze imię, nazwisko czy stanowisko służbowe. Bardziej zorganizowani przestępcy dostosowują treść komunikatu czy używane określenia do charakteru naszej relacji z daną osobą – np. wiedzą, jak osoba, pod którą się podszywają, rozpoczyna wiadomości e-mail, czy jest z adresatem komunikatu na „ty”.
Spersonalizowany atak może zatem polegać na rzekomym telefonie od szefa, który akurat przebywa na zagranicznej podróży i potrzebie wysłania na wskazany w rozmowie telefonicznej adres e-mail informacji z bazy danych firmy czy poufnych dokumentów. Może być to telefon rzekomego informatyka do sekretarki – wykonany na 15 minut przed zakończeniem pracy w piątek – zawierający informację o tym, że wskazany pracownik jako jedyny z całej firmy nie wykonał jakiejś krytycznej aktualizacji oprogramowania i może za to zostać zwolniony, ale informatyk może szybko pomóc w usunięciu tego niedopatrzenia.
W tym miejscu więcej uwagi chciałabym poświęcić atakowi typu BEC. Business email compromise (BEC) to rodzaj działania, w którym sprawca korzysta z wiadomości e-mail, wysłanej przez znanego nam nadawcę, np. przełożonego lub kontrahenta. Według danych podanych przez FBI (a dokładniej przez Internet Crime Complaint Center), zebranych na podstawie zawiadomień wniesionych od czerwca 2016 r. do lipca 2019 r., szkody związane z tym mechanizmem działania wyniosły globalnie ponad 26 miliardów dolarów. Zgłoszenia pochodziły z 50 stanów i 177 krajów. Fałszywe przelewy wysłane zostały do 140 krajów, z czego kierunkami były przede wszystkim banki zlokalizowane w Chinach, Hongkongu, ale i w Wielkiej Brytanii, Meksyku i Turcji.
Każda wersja działania ma tu na celu doprowadzenie do przelewu środków przedsiębiorstwa na podstawiony przez oszusta rachunek bankowy. Najczęstszym scenariuszem opisywanego ataku jest podanie nowego rachunku bankowego do wykonania zapłaty z tytułu umowy, dostarczonego towaru czy wykonanej usługi, czy przesłanie fałszywej faktury. Takiemu oszustwu padły już m.in. jedna ze spółek należących do Polskiej Grupy Zbrojeniowej (tracąc 4 miliony złotych), Podlaski Zarząd Dróg Wojewódzkich (tracąc 3,7 miliona złotych) czy warszawskie metro (tracąc ponad pół miliona złotych). Zagraniczna firma Ubiquiti została z kolei w ten sposób oszukana na kwotę 46,7 milionów dolarów. Wiadomości omawianego typu zwykle wysyłane są w piątek, w okresach świątecznych, blisko końca dnia roboczego lub w czasie zwiększonej absencji pracowników.
Możliwe są jednak inne warianty tego oszustwa. Do jednego z nich należy podszycie się pod członka zarządu spółki lub inną osobę, która pełni stanowisko CEO. Sprawcy mogą poświęcić wiele tygodni na studiowanie organizacji przedsiębiorstwa, systemu płatności, stylu komunikacji przełożonego, jego rozkładu dnia czy planów podróży. W standardowym scenariuszu, podczas nieobecności np. prezesa zarządu spółki wysyłany jest w jego imieniu e-mail do księgowego z nakazaniem wykonania natychmiastowej płatności, zwykle do zaufanego odbiorcy, w ściśle określonym celu, np. sfinalizowania umowy w sprawie, w której prezes aktualnie udał się do kontrahenta.
Atak nie musi być jednak od razu nakierowany na pozyskanie korzyści finansowej. Sprawca może mieć inny cel – chcieć przejąć skrzynkę e-mail czy konto w serwisie społecznościowym. Może też po prostu chodzić o skompromitowanie danej osoby. W tym zakresie sprawcy często na swoje ofiary wybierają osoby, które aktywnie działają w tematyce cyberbezpieczeństwa. O wykorzystaniu swojej tożsamości przez oszustów informował chociażby Adam Haertle (redaktor naczelny jednego z serwisów internetowych poświęconych bezpieczeństwu informacji – ZaufanaTrzeciaStrona.pl), wskazując, że posłużono się jego danymi do pogróżek, zgłaszania fałszywych alarmów bombowych, zakładania fanklubów czy wyłudzenia materiałów z zamkniętych konferencji o Technicznych Aspektach Przestępczości Teleinformatycznej. Sprawca do tego celu wykupił nawet domenę zaufanatrzeciastrona.com – aby wysłane przez niego wiadomości wzbudziły zaufanie adresatów.
Przed działaniami socjotechnika nie uchroni nas nic innego, niż my sami. Naszym największym wrogiem jest pośpiech. Jeśli w danym komunikacie nadawca kilkakrotnie podkreśla, że sprawa jest bardzo pilna, jest wysoce prawdopodobne, że mamy do czynienia z atakiem – zwłaszcza, jeśli wiąże się to z sugestią zignorowania obowiązujących procedur czy użyciem konkretnego linka. Warto skontaktować się z nadawcą i potwierdzić, że komunikat pochodzi od niego. W przypadku rozmowy telefonicznej wzbudzającej wątpliwości, należy przerwać połączenie i samodzielnie skontaktować się z rzekomym rozmówcą (oczywiście, nie wybierając funkcji oddzwonienia na numer, z którego nawiązano podejrzane połączenie).
Przedruk z publikacji „Socjotechnika jako instrument cyberprzestępcy”, opublikowanej w Głosu Banków Spółdzielczych nr 1 2023 (styczeń – luty 2023)
Autor: Kamila Mizera-Płaczek – radca prawny
