Socijalni inženjering – Hakovanje ljudske svesti

Postoji mnogo načina koji eksploatišu bezbednosne propuste računara. Mnoge od njih koriste grešku u kodu kako bi došli u posed poverljivih podataka bilo da su u pitanju podaci lične ili kompanijske prirode. Propuste je moguće rešiti, ali kako rešiti kada je meta eksploaticije propusta čovek a ne računar?

Socijalni inženjering za razliku od većine malware-a zahteva poznavanje ne samo operativnog Sistema koji je meta napada već i osobe koja upravlja datim sistemom. Ono što je specifičnog kod socijalnog inženjeringa je da je spektar napada mnogo veći u korporativnom okruženju. Prema istraživanju kompanije Agari tokom 2016 godine 60% kompanija i organizacija su bile žrtve socijalnog inženjeringa. Iako je prethodnu godinu obeležio napad WannaCry i ostalih verzija ransomware-a ne treba zaboraviti da u mnogim slučajevima socijalni inženjering služi kao pomoćno sredstvo u postizanju krajnjeg cilja. Naime, ako bi nam neko poslao fajl na email sa kim imamo redovnu prepisku i sa kim imamo poslovnu saradnju mi u prvom momentu ne bismo pomislili da postoji sa tim mejlom jer a dobijamo od pouzdane osobe. Sledeće što se dešava jeste da mejl koji je ustvari phishing mejl, sadrži attachment sa malicioznim programom, koji se predstavlja kao legitiman fajl. Nakon što bismo preuzeli i pokrenuli dati fajl da ga pregledamo, u istom momentu bi otpakovali ransomware koji bi tako, enkriptovao naše podatke, tražeći nam da pošaljemo novac autorima, kako bi dobili šifru za pristup istima.  Ovde je reč o tome da se u korporativnom okruženju koristi poverenje koje postoji u takvim organizacijama između osoba. Napadač se zatim predstavlja kao osoba čije je podatke pridobio i kroz komunikaciju sa drugim zaposlenim eskalira napad na sledeći nivo.

Proces napada

Važno je razlikovanje 2 tipa socijalnog inženjeringa od kojih je jedan interni a drugi eksterni inženjering. Kod internog inženjeringa je reč o korišćenju podataka do kojih smo došli legalni putem u okviru određene organizacije kako bi koristeći iste pridobili podatke drugih. U mnogim slučajevima će biti reč o bivšem zaposlenom koji je povukao bazu podataka sa informacijama drugih zaposlenih i istu zloupotrebljava kako bi naneo štetu svom nekadašnjem poslodavcu. Kod eskternog inženjeringa napadač je neko ko ne pripada našem krugu poznanika niti organizaciji. On koristi podatke koje je pridobio od zaposlenog bilo kroz socijalni inženjering putem socijalnih mreža ili kroz curenje istih sa sajtova koji su bili predmet napada. Kod curenja podataka, reč je o tome da je zaposleni koristio iste naloge za pristup različitim sajtovima i poslu. U ovim slučajevima je i šifra za email nalog ista kao i za nalog na sajtu tako da napadač u početku ima odakle da projektuje svoj napad ka drugim zaposlenima.

Bilo da je reč o zaposlenima ili običnim građanima, eksploatiše se svest istih kako bi se pridobio pristup sistemima sa poverljivim podacima. Zamislimo da se neko od vaših prijatelja trenutno nalazi u Egiptu. Vi to znate jer ste bilo upućeni u njegove planove kao i rok u kome planira da ostane tamo. Tokom odmora, ode do kafića u Kairu i pristup svom nalogu na Facebook-u prekog nezaštićenog ili slabo zaštićenog Wi-Fi pristupne tačke. Pretpostavimo da se u okruženju nalazi haker koji prikuplja podatke. U onom trenutku kada se unesu korisničko ime i lozinka isti će biti zabeleženi kada od strane hakera korišćenjem sniffera. Nakon toga, on koristi pridobijene podatke da se loguje na Facebook. Tom prilikom vam šalje poruku da je zaglavljen u Kairu i da mu je potrebno 500$ jer su ukrali kreditnu karticu. U našem okruženju ovaj primer ne bi toliko prošao jer kao prvo teško da bi potencijalni haker govorio srpski, a svakome bi bilo sumnjivo da odjednom vodi sumnjivu konverzaciju sa vam na engleskom koju je oduvek vodio na srpskom. U područijima gde je engleski jezik dominantan ovakav napad ima mnogo više šanse da uspe. Na našem prostoru analizirajući napade obe prirode, mnogo bolje prolaze napadi u kojima se tvrdi da ste postali srećni dobitnik određenog proizvoda ili novca u nagradnoj igri. Jedan od primera jeste i slučaj tokom prethodne godine gde je napadač koristio period Maxi nagradne igre, pridobivši u medjuvremenu pistup u Maxi-u. Kroz email kampanju, poslato je više phishing mejlova sa listom dobitnika u XLS fajlu koji je sadržao ransomware. U svim slučajevma koristi se poverenje bilo da je reč o prijateljskom odnosu, poslovnom odnosu, ili odnosu poverenja između korisnika i kompanije. Da niko nije imun, govori i činjenica da je čak i FBI tokom 2016. god. bio meta napada socijalnog inženjeringa gde je došlo do curenja 20.000 email-ova zahvaljujući dobro odrađenom napadu. Isti je i slučaj sa kampanjama Demokratske i Republikanse stranke tokom predsedničkih izbora u SAD 2016. god.  koje su bile izložene napadu što je na kraju rezultovalo curenjem podataka koji su zatim postali dostupni na internetu.

U prethodnoj godini napad na Equifax, agenciju za kreditni rejting učinio je dostupnim podatke preko 100 miliona korisnika.

Kao i u našem pravu impersonacija, odnosno krađa identita je u svim pravima krivično delo. Jedan od primera gde je ovo delo imalo najveći impakt na naše građane, jeste bilo curenje baze podataka Agencije za privatizaciju i spiskovi političkih partija sa podacima o građanima, simpatizerima, članovima.  Kroz korišćenje JMBG otvarane su fiktivne firme koje su napravile ogromne dugove, a zatim zbog organizacije iste, imovinsku štetu snosili su građani koji nisu bili svesni u prvim momentima o čemu je reč. U našem krivičnom zakoniku ova pitanja su regulisana u članu 301 i 302.

Socijalni inženjering je u periodu  pre digitalizacije bio i kopanje po papirima i računima, kako ib se došlo do podataka o određenom licu. Danas, akcenat je na interakciji između napadača i žrtve. Napadač će uvek koristiti phishing napada ali ono što njemu omogućava da uspeh bude zagarantovan, jeste psihološka eksploatacija žrtve. Analizirajući žrtvu, on je u mogućnosti da sastavi psihološki profil iste i da na osnovu toga prilagodi svoju taktiku na onu koja garantuje najviše uspeha.

Ne postoji softver koji može da spreči socijalni inženjering. Najvažnija je edukacija kako običnih korisnika tako i zaposlenih o napadima i kako da prepoznaju isti. Potrebna je kontinuirana edukacija korisnika jer načini napada neće uvek biti isti a sa istom i usvajanje određenih bezbednosnih navika kao što je korišćenje jačih šifri, izbegavanje pristupanju otvorenih mrežama i unošenje osetljivih podata na istim, brisanje nekorišćenih naloga na raznim sajtovima koje više ne koristite a koji sadrže vaše podatke, korišćenje password manager-a. Kroz edukaciju on neće nestati ali će se broj napada smanjiti a socijalni inženjering biti manje efektivan.

 

Nikola Stojić

 

 

More Stories
Kolumna prof. Force-ŠTA NAS IZAZIVA, A ŠTA NAM PRETI U 2018. GODINI? – prvi deo