Techniky sociálneho inžinierstva
„Zlaté pravidlo ako sa nenechať oklamať – Ak je niečo príliš dobré na to, aby to bola pravda, tak to pravda nie je.“
Bez zbytočného chodenia okolo horúcej kaše priamo nadviažem na článok „Sociálne inžinierstvo-necháte sa nachytať?“. Vysvetlili sme si základné princípy sociálneho hackingu a dnes vám predstavím – tak ako nadpis napovedaná – techniky sociálneho inžinierstva.
Keďže sme portál zameraný na prevenciu IT kriminality, budem sa vo veľkej časti venovať technikám, ktoré súvisia s informačnými technológiami a sú to teda:
- Trashing
- Fishing
- Pharming
- Vishing
- HOAX a SPAM (viac o tejto téme v článku SPAM vs. EMAIL)
- Rôzne internetové lotérie
Trashing
Trashing je metóda, pri ktorej útočník prehľadáva odpadkové koše – už samotný názov tomu napovedaná – trash = odpad. Stručné a výstižné. Mnoho ľudí sa ani len nezamýšľa nad tým, čo všetko vyhadzuje do kontajnerov. Z odpadkov obetí sa toho dá zistiť veľa. Sociálny inžinier dokáže zneužiť aj to, že ste počas dňa jedli pomaranče – podľa šupiek v odpade, alebo že máte radi nakladané uhorky, pretože vyhadzujete veľké množstvo zaváraninových pohárov. Často krát obete vyhadzujú staré lekárske potvrdenky, výmenné lístky, výpisy z banky a pod.. A pri tom na nich bolo ich rodné číslo alebo číslo občianskeho preukazu, prípadne iné dôležité a citlivé osobné údaje. Ľudia, ktorí nedbajú na životné prostredie a vyhadzujú do kontajnerov staré mobilné telefóny, nefunkčné notebook-y a pod. si ani len neuvedomujú, čo všetko sa z nich ešte dá vyťažiť. Preto dbajte na to, čo vyhadzujete do odpadkového koša a minimálne začiernite osobné údaje, ktoré by mohol ktokoľvek a akokoľvek zneužiť voči vám.
Phishing
Anglické slovo Phishing vo voľnom preklade znamená „rybárčenie“ a teda si sociálneho inžiniera môžeme predstaviť aj ako človeka, ktorý sedí za počítačom a rybárči vaše prístupové údaje.
Podstatou phishingových útokov je získať prístupové údaje k rôznym službám. Často krát ide o podvodné maily, ktoré vyzerajú ako keby pochádzali od skutočných spoločností – banky, rôzne inštitúcie a pod.. Oznamujú vám, že váš účet bude deaktivovaný ak sa okamžite neprihlásite a nezmeníte si prihlasovacie heslo. Pod textom bude umiestnený odkaz, ktorý vás premiestni na dokonalú napodobeninu webovej stránky danej inštitúcie a po zadaní prihlasovacích údajov sa vám stránka nenačíta alebo vám zobrazí chybové hlásenie. Vy to teda necháte tak avšak útočník má už dávno prihlasovacie údaje k vášmu internet bankingu na svojom serveri. Pozor si treba dávať aj na spustiteľné súbory v prílohách mailov. Často krát vám môžu do počítača zaniesť rôzny škodlivý softvér a vytvoriť tak napr. spätné vrátka do vášho systému, ktoré umožnia útočníkovi pripojiť sa na váš počítač a dosadiť do systému ďalší softvér, ako napr. keylogger, ktorý môže sledovať vaše stlačené klávesy.
Ako rozpoznáte phishingový mail ?
Phishingový útok sa však nemusí vzťahovať len na mailovú komunikáciu. Sociálny inžinier vás môže kontaktovať aj telefonicky – práve tam sa prejaví jeho schopnosť dokonalej manipulácie s ľuďmi. Dokáže vás presvedčiť že je zamestnanec banky a vy mu máte vydať to, čo od vás žiada.
Pharming
Druh útoku, ktorý je veľmi podobný phishingovým mailom a stránkam. Útočník vás opäť privedie na dokonalú napodobeninu stránky, na ktorej ste sa pôvodne chceli prihlásiť a to :
- Napadnutím DNS servera a zmenou DNS záznamu
- Prepísaním súboru hosts na lokálnom počítači
Každej webovej stránke prislúcha konkrétna adresa, tzv. adresa IP. Server DNS spravuje preklady názvov stránok. Dokážete si predstaviť zapamätať si desiatky IP adries vašich obľúbených stránok? Preto sa zaviedol preklad názvov. Vy síce zadáte do prehliadača www.socialnasiet.com, no váš počítač(veľmi zjednodušene povedané) sa snaží kontaktovať danú stránku pomocou IP adresy. A práve o tento preklad sa stará DNS server. Pokiaľ teda útočník upraví tento záznam, vy síce zadate www.socialnasiet.com ale váš DNS server vás presmeruje na adresu, ktorú útočník zadal. Keďže peniaze hýbu svetom, ide hlavne o stránky internet bankingu, rôznych internetových peňaženiek a pod. Preto si treba stále overiť, na akú stránku sa prihlasujete. Mnohé banky (snáď všetky), majú zakúpený certifikát SSL, ktorý sa vyznačuje zeleným adresným riadkom. Pokiaľ tam tento adresný riadok nesvieti na zeleno, niečo nie je v poriadku.
Vishing
Metóda Vishing-u sa spolieha na to, že ľudia často krát dôverujú mobilným telefónom a pevným linkám, pretože ich umiestnenie je často krát známe. Najčastejšie je však využívaná služba VoIP, teda prenos hlasu cez internet. Útočník dokáže zameniť zdroj alebo cieľ komunikácie, presmerovať hovory a pod. Mnoho krát sú využívané automatizované systémy, ktoré postupne vytáčajú mobilné čísla a účtujú si nemalé sumy už za sekundy hovoru. Určite to poznáte keď vám zvoní mobil a vidíte neznáme číslo, po zdvihnutí počujete len nahratý hlas, ako vám niečo hovorí. Aj toto bol pokus o Vishingový útok. Často krát vám hlas v telefóne oznámi, že vaše bankové konto bolo zablokované a máte okamžite zavolať na uvedené telefónne číslo, kde si overia vašu totožnosť a prihlasovacie údaje. Obeť naivne vytočí číslo, odpovie na všetky otázky a ani sa nenazdá a na konte bude v tom lepšom prípade svietiť obrovská nula. V tom horšom zistíte, že za deň ste na seba zobrali v piatich rôznych zemiach 5 rôznych nákupov na splátky.
Podvodné lotérie
S podvodnými lotériami sa už určite každý užívateľ stretol. Vyskakovacie okná, ktoré vás informujú o tom, že ste vyhrali nový iPhone alebo o tom že ste návštevník, ktorý vyhráva nové auto na nás číhajú na každej druhej webovej stránke. Mnoho naivných ľudí sa už nechalo takto oklamať. Často krát sa názvy lotérií spájajú s menami známych medzinárodných firiem. Keď si chcete svoju výhru vyzdvihnúť zistíte, že musíte zaplatiť manipulačný poplatok alebo že musíte zavolať na čísla so zvláštnym tarifom, ktoré si už od prvých sekúnd účtujú desiatky eur za hovor. Nakoniec zistíte, že ste nič nevyhrali a ešte ste aj prišli o nie malý finančný balík.
Ozrejmil som vám teda niekoľko techník sociálnych inžinierov a jemne som vám naznačil ako sa im brániť. Zlaté a najdôležitejšie pravidlo znie: „Dôveruj ale preveruj!“. Ľudská hlúposť a neopatrnosť často hraničiaca s naivitou nás sprevádza na každom kroku. Preto treba byť opatrný pri každej jednej príležitosti, ktorá sa javí byť až príliš lukratívna.
Tomáš Paulus
Zdroje:
[1]Interná knižnica Info consult s.r.o. (http://www.infoconsult.sk)
[2]How to recognize phishing email messages, links, or phone calls: Microsoft.com (http://www.microsoft.com/security/online-privacy/phishing-symptoms.aspx)
[3]Podvodné lotérie: HOAX.CZ (http://www.hoax.cz/loterie/co-jsou-to-podvodne-loterie)
Obete sociálnej manipulácie či v reálnom svete alebo vo svete internetu si často neuvedomujú, že sa stali vlastne obeťami. Zarážajúcim je často nekritická dôvera v obsah internetových fór, stránok, mailových ponúk – tendencia, ktorá je očakávateľná z krátkodobej i dlhodobej perspektívy bude smerovať k nárastu počtu obetí manipulátorov a logicky aj k nárastu škôd (materiálnych i nemateriálnych).