Łamałem ludzi, nie hasła

Tytułem są słowa Kevina Mitnicka – ten najsłynniejszy haker świata używał umiejętności oraz technik, które obecnie nazywamy socjotechniką.


Jego włamania z reguły nie wyglądały jak te, które obserwujemy na filmach akcji, gdzie informatycy siedzą przed monitorem, na którym pojawiają się niezliczone ilości szlaczków kodu programu czy cyferek. Jemu wystarczyło wykorzystać ludzkie podatności. Obecnie większość przestępstw komputerowych związanych jest z nieostrożnością użytkowników.


Jak to robił? Wystarczyło, że przekonał użytkownika systemu, że  jest zaufaną osobą (np. pracownikiem albo serwisem IT). Przykładowo dzwonił do firmy, uwiarygadniał się, rozpoczynając rozmowę w żargonie firmy, podawał parę nazwisk osób, które tam pracują i prosił o podanie hasła. Otrzymywał je, dzięki czemu mógł wejść do systemu i ukraść dane, na których mu zależało. System komputerowy mógł być idealny, bezpieczny, bez błędów (chociaż takie nie istnieją), ale najsłabszym ogniwem zawsze pozostaje użytkownik.


Phishing to rodzaj manipulacji socjotechnicznej. Jej celem jest pozyskanie danych, spowodowanie u odbiorcy kliknięcia w link, otwarcia załącznika, nakłonienie odbiorcy do wykonania pożądanej przez przestępcę czynności lub nawiązanie relacji i zbudowanie zaufania u ofiary z zamysłem realizacji większego planu później[1].


W dzisiejszych czasach życia online takie pułapki widzimy niemal na każdym kroku. Np. okres świąteczny, czyli czas wzmożonej pracy kurierów. Pewnie wielu z Was otrzymało SMS z koniecznością dopłaty do paczki, która została gdzieś przetrzymana. Serwisy ogłoszeniowe? Wystarczy wystawić jakąś rzecz na sprzedaż, a z wielkim prawdopodobieństwem napisze do nas ktoś zainteresowany kupnem oraz wysyłką przez „jakiegoś” kuriera. Maile przychodzące do użytkowników z „banków” z prośbą o zmianę hasła bo… wygasło.


Większość tych prób ataków łączy jedna cecha – użytkownik ma podać dobrowolnie i samodzielnie swoje dane dostępowe do konta bankowego albo karty płatniczej, z której później przestępcy dokonują kradzieży naszych środków.


Jak to robią? Użytkownik otrzymuje maila/SMS z linkiem do sfałszowanej strony banku. Po kliknięciu w podany w wiadomości link użytkownik jest przenoszony na stronę do złudzenia przypominającą oryginalną „bankową” – ta sama kolorystyka, te same informacje, te same reklamy. Przede wszystkim należy sprawdzić, czy w adresie strony znajduje się informacja o protokole https, czy widoczna jest kłódka, a po kliknięciu w nią wyświetlane są informacje na temat certyfikatu. Jeżeli na takiej sfałszowanej stronie podamy swoje dane dostępowe, natychmiast wpadają one w niepowołane ręce. Czujny użytkownik nie da się nabrać na taką sztuczkę, ale ilość prób ataków dowodzi, że w jakimś procencie są one skuteczne. Do tego przestępcy mają coraz bardziej wyrafinowane pomysły. Jednym z ciekawych ostatnio pomysłów na atak są aktywności oszustów na… portalach randkowych. Procedura wygląda w skrócie tak, że do męskiego użytkownika pisze atrakcyjna kobieta (z reguły są to kobiety o azjatyckiej urodzie) – opowiada, jak on się jej podoba oraz że niebawem będzie w Polsce i chętnie się spotka. Przy okazji mówi, jak łatwo zarabia fortunę na giełdach kryptowalut. Gdy użytkownik zainteresuje się tematem, oszust nakłania go do zainstalowania aplikacji do obsługi giełdy walutowej – i o ile ta jest prawdziwa, o tyle link do aplikacji, który przesyła, jest sfałszowaną wersją programu. W momencie, gdy użytkownik przeleje tam swoje środki, w okamgnieniu znikają one razem z niby atrakcyjną kobietą. To tylko błędy ludzkie, a systemy? Ludzkie – takie, które nie oznaczają użytkownika, ale twórców systemu. Oczywiście tego typu podatności na włamania istnieją i im więcej systemów, tym takich błędów jest i będzie więcej. Są ludzie, którzy wykorzystując swoją wiedzę, faktycznie łamią zabezpieczenia. Jednak my, jako użytkownicy, nie mamy na to wpływu. Na szczęście z reguły im większe zagrożenie, tym system jest szybciej łatany, czyli naprawiany. Dlatego warto używać aktualizacji oprogramowania i korzystać z najnowszych wersji systemów. W przypadku baz danych również głośno jest o wyciekach, czyli o tym, że przestępcy poprzez jakąś „dziurę” w systemie wykradli nasze dane (np. z jakiegoś serwisu internetowego). Wycieków jest bardzo dużo i jako użytkownicy nie jesteśmy się w stanie przed nimi ustrzec, ale możemy się bronić. Wystarczy, że w różnych serwisach będziemy stosować różne hasła dostępu, wtedy nawet takie ujawnione dane nikomu nie posłużą.


Jak nie dać się okraść?


Najważniejsze, aby być czujnym w sieci, nie stosować tego samego hasła w różnych (zwłaszcza popularnych) serwisach internetowych. Pamiętajmy, że dostęp do skrzynki mailowej włamywaczowi umożliwia zresetowanie hasła w wielu serwisach, więc brońmy zwłaszcza jej. Jako hasła nie używajmy prostych kombinacji typu „12345678”, bo włamywacze często stosują tzw. słowniki do uzyskiwania dostępu. Jeżeli nasze hasło będzie słownikowe, prędzej czy później może zostać złamane. Używajmy również aktualnego oprogramowania. Zmniejszymy wtedy ryzyko posiadania systemu z jakąś znaną podatnością.






[1] Co to jest phishing, https://secawa.com/co-to-jest-phishing/, 31.01.2022.



LinkedIn

O autorze

Kuba Kwiatkowski
CTO - Czuwa nad tym aby w projektach była wykorzystywana optymalna technologia.