Login i hasło raz proszę!

Login i hasło raz proszę!
30 kwietnia 2009
Maciej Ziarek
Analityk, Kaspersky Lab Polska
Z pewnością wielu z Was słyszało o terminie socjotechnika lub jego zamienniku inżynieria społeczna.
Tematy związane z tymi zagadnieniami przewijają się na okrągło, można by rzec z pewną
systematycznością, czy to w kontekście wyborów, reklam, czy wreszcie Internetu i informatyki... Każdy
z nas jest poddawany jej działaniu, czasami nie jesteśmy nawet tego świadomi. Czym zatem jest
socjotechnika?
Zacznijmy od definicji...
Słownikowa wersja jest krótka, lecz treściwa:
Socjotechnika - jest to umiejętność skutecznego oddziaływania na ludzi (na społeczeństwo).
1
Zatem jest to swego rodzaju zbiór cech, bądź umiejętność oddziaływania na innych, tak by osiągnąć
zamierzony cel. Nie jest istotny fakt kłamstwa i zmyślania, liczy się efekt, którym ma być wydobyta
informacja lub zachęcenie do pewnych działań. Aby bardziej to zobrazować posłużę się pewnymi
przykładami, z którymi każdy z nas miał do czynienia.
1. Reklamy telewizyjne to bardzo dobry przykład na wywieranie wpływu i używanie perswazji do
nastawienia odbiorcy na pewien produkt. Osoby, które biorą udział w reklamie są
uśmiechnięte i przekonujące (niejednokrotnie to znani aktorzy lub po prostu osoby popularne i
rozpoznawalne), produkt reklamowany jest jako jedyny w swoim rodzaju, często w tle słychać
dobraną do klimatu reklamy muzykę. Niejednokrotnie reklamowany produkt jest porównywany
do gorszego i nieistniejącego np. proszek markowy xyz, oraz zwykły proszek.
2. Przed wyborami mamy do czynienia z licznymi wystąpieniami, w radiu, telewizji i Internecie,
polityków ubiegających się o konkretne stanowiska. Tutaj także używana jest socjotechnika.
Niejednokrotnie spotkaliście się zapewne z próbą manipulowania opinią publiczną przez
pokazywanie innych polityków i ich rządów w niekorzystnym świetle.
Jak pisze Zygmunt Gostkowski:
"Propaganda jest więc socjotechniką i manipulacją umożliwiającą sterowanie masowymi postawami,
2
opiniami i zachowaniami."
W artykule nie będę się jednak skupiał na działaniach podejmowanych przez ludzi, którzy chcą nas
namówić do głosowania na nich lub przekonać do konkretnego produktu, niemającego sobie równych.
Postaram się jednak pokazać, jak socjotechnika jest wykorzystywana w sieci i jakie zagrożenia to ze
sobą niesie. Przedstawię różne jej aspekty, od próśb związanych z kliknięciem linku, po namowy do
instalowania szkodliwego oprogramowania. Przekonacie się także, że bywały już w
historii przypadki, kiedy wystarczyło... poprosić o hasło, aby nadać sobie samemu
uprawnienia administratora. Nie trzeba było szukać luk w oprogramowaniu,
wystarczyło zaatakować najsłabsze ogniwo całej sieci komputerowej - człowieka.
Czy znasz jakiegoś socjotechnika?
Zacznijmy od przedstawienia jednego z najsłynniejszych socjotechników. O
Kevinie Mitnicku słyszało z pewnością wielu. Był on odpowiedzialny i oskarżony za
stosowanie technik, dzięki którym wchodził w posiadanie informacji niejawnych. W skład oskarżenia
wchodziły także liczne zarzuty dotyczące podszywania się pod osoby trzecie. Najciekawszą rzeczą w
tym wszystkim jest jednak fakt, że wszystkie uprawnienia jakie zdobył , i dzięki którym zinfiltrował
różne organizacje, otrzymał od ludzi, pracowników firmy. Najzwyczajniej w świecie o nie prosił... Wiele
ze swoich trików opisał w dwóch książkach. W jednej z nich - "Sztuka podstępu" podaje przykład takiej
właśnie prośby.
Atakujący potrzebuje czyjegoś zastrzeżonego numeru telefonu... Wykonuje zatem następujący
manewr. Dzwoni do automatycznego centrum przydziału linii i wymyśla historię, która pomoże mu w
zdobyciu numeru.
"Dzień dobry, tu Paul Anthony. Jestem monterem kabli. Proszę posłuchać, mam tu spaloną skrzynkę z
centralką. Policja podejrzewa, że jakiś cwaniak próbował podpalić swój dom, żeby wyłudzić
odszkodowanie. Przysłali mnie tu, żebym połączył od nowa całą centralkę na 200 odczepów.
Przydałaby mi się pani pomoc. Które urządzenia powinny działać na South Main pod numerem
3
6723?".
Informacje takie nie powinny być podawane nikomu, kto nie posiada do tego specjalnych uprawnień.
Jednak sam fakt, że Paul Anthony wiedział o mechanicznym centrum przydziału linii (MLAC), sprawiał
że stał się bardziej wiarygodny, nie była to bowiem informacja ogólnie dostępna. Dodatkowo mamy
tutaj wywołanie swego rodzaju współczucia u rozmówcy. Wszystkie dane, o które prosił atakujący
zostały podane bez koniecznego uwierzytelnienia.
Na zakończenie tego przykładu idealnie nadaje się uwaga samego Mitnicka:
"Szpiedzy przemysłowi lub hakerzy czasami próbują fizycznie dostać się na teren firmy. Zamiast łomu
socjotechnik korzysta ze swojej umiejętności manipulacji i przekonuje osobę po drugiej stronie, aby
4
otworzyła mu drzwi".
Bywają także sytuacje, kiedy atakujący przed podaniem konkretnej prośby stara się poznać osobę, od
której wyciąga informacje. Internet stwarza ku temu idealne warunki. Do dyspozycji są czaty,
komunikatory, poczta elektroniczna, fora i wiele innych możliwości przekazywania informacji, które
pozwalają zapoznać nowe osoby i przekonać je do siebie. Zdobycie zaufania to jeden z
najważniejszych celów socjotechnika. Kiedy to osiągnie, kolejne, nawet niecodzienne prośby mogą
przestać dziwić, zwłaszcza w świetle odpowiednich i zmyślonych przykładów popierających daną
sytuację.
Spotkałem się kiedyś z próbą wykradzenia haseł z komunikatora gadu-gadu, która wśród
niezorientowanych w tematyce komputerowej osób mogła skończyć się źle... Hasła przechowywane
przez ten komunikator znajdują się w pliku conf. Istnieją sposoby na wydobycie haseł z takiego pliku,
co wraz z numerem gg może zaowocować w stratę/przejęcie konta.
"Sztuczka" polegała na przekonaniu użytkownika do wysłania tego pliku. Atakujący posłużył się w tym
celu własną, wymyśloną teorią na temat braku stabilności lub po prostu "padania" serwerów gadu
gadu. Pisał on do użytkowników, że wystarczy odpowiednio zmodyfikować plik conf (oczywiście
socjotechnik oferował taką "usługę"), aby w przyszłości uniknąć tego typu uciążliwości.
Także ciekawym przykładem korzystania z ludzkiej ciekawości jest instalowanie w firmach koni
trojańskich (z tej metody korzystają coraz częściej szpiedzy przemysłowi), lecz przy pomocy...
pracowników tejże firmy. Atakujący umieszcza przed wejściem do siedziby interesującej go
placówki/firmy czy koncernu atrakcyjny pendrive np. 16 GB. Kiedy pracownik, który wchodzi właśnie
do pracy zobaczy takowe urządzenie, istnieje bardzo duża szansa, że na swoim stanowisku roboczym
będzie chciał sprawdzić czy działa lub jakie dane zawiera. W tym momencie uaktywnia się trojan,
który w wypadku słabych zabezpieczeń sieci infekuje kolejne komputery zbierając przy tym coraz
więcej informacji, które przesyłane są do atakującego.
Taki przypadek jak wyżej może tyczyć się także zwykłych użytkowników. W czasach, kiedy najtańsze
używane pamięci o pojemności 1 GB i mniejsze można kupić za kilka złotych, ryzyko tego typu ataków
przeprowadzanych na większą skalę rośnie. Nie muszę chyba wspominać, że ryzyko byłoby
minimalne, gdyby znalazca takiego pendrive’a przeskanował go dobrym programem antywirusowym
przed rozpoczęciem pracy.
Firmy często wydają miliony dolarów na zabezpieczenia sieci, konfigurują firewalle, instalują
antywirusy, nad wszystkim całą dobę czuwają administratorzy, a najsłabsze ogniwo całego tego
systemu, czyli człowiek, nadal pozostaje niezmienne - niewyszkolone. Tymczasem, jak pokazuje
historia, wielu socjotechnikom udało się dotrzeć do tajnych dokumentów, bo potrafili w odpowiedni
sposób rozmawiać z ofiarą, potrafili zachęcić do pewnych działań lub do instalacji pewnych aplikacji.
Spam i phishing - ulubione narzędzia socjotechnika
Przykładem manipulowania w sieci jest spam. Codziennie wielu użytkowników boryka się z
problemem niechcianych wiadomości. Spam to nic innego jak nachalna reklama lub jedna z
możliwości zainfekowania komputerów. Niejednokrotnie aby wzbudzić ciekawość i zachęcić do
kliknięcia odnośnika korzysta się z tego co najbardziej przykuwa w dzisiejszych czasach uwagę treści dla dorosłych. Jest to również sposób wpływania na nasze zachowanie i decyzje. Nie od dzisiaj
wiadomo, że kontrowersyjne tematy, zwłaszcza jeżeli dotyczą znanych osób, są chodliwym tematem.
Rys. 1. Spam zachęcający do kliknięcia odnośnika prowadzącego do programu szpiegującego.
Powyższa wiadomość to spam, a jej treść ma za zadanie zachęcić do kliknięcia odnośnika. W liście
możemy wyczytać, że senator (ówczesny) Obama w roku 2007 podczas wizyty na Ukrainie miał
bliższe kontakty z wieloma kobietami. Jest nawet prośba skierowana do odbiorcy maila, aby przekazał
tę informację do swoich przyjaciół. Film z całego zdarzenia możemy obejrzeć po kliknięciu linku. Jak
się okazuje nie dotyczy on Obamy, a w międzyczasie komputer zostaje zainfekowany programem
szpiegującym, który zbiera informacje o użytkowniku.
W powyższym przypadku odwołano się do znanej osoby i rzekomej sensacji. Całość poskutkowała
wzbudzeniem ciekawości, zwłaszcza wśród osób, które podczas wyborów oddały swój głos na
Obamę... Czy to był słuszny wybór? Trzeba to sprawdzić! Klik... Dalszy scenariusz możecie dopisać
sobie sami...
Innym przykładem tego typu praktyk w e-mailach, jest wysyłanie samych odnośników w treści listu
oraz odpowiednio spreparowanego tematu. Całość działa na podobnej zasadzie jak wyżej manipulowaniu faktami i wzbudzaniu ciekawości. Wprawdzie nie niesie to za sobą tak przykrych
konsekwencji jak pobieranie na nasz komputer szkodliwego oprogramowania, ale też jest formą
oszustwa, gdyż zostajemy przeniesieni na stronę niezgodną z opisem...
Rys. 2. Wiadomość e-mail ze sfałszowanym odnośnikiem.
Powyżej widzimy wiadomość, która nijak nie mogła trafić do folderu spam, gdyż pochodzi od
zaufanego nadawcy (gmail). Pojawia się pytanie "Czy to czasem nie Twoje zdjęcie?" oraz link do
fotografii. Wiele osób odruchowo kliknie myśląc, że zostanie przeniesiona na stronę, na której zobaczą
siebie samych lub kogoś identycznego. Niestety jest to sposób reklamowania serwisu, gdyż odnośnik
prowadzi do strony... pasty do zębów, wraz z numerem referencyjnym. W ten sposób ktoś nabił sobie
licznik osoby polecającej serwis, z czego po przekroczeniu pewnego progu ma zapewne gratyfikacje.
Specyficznym, ale chyba najbardziej charakterystycznym rodzajem socjotechniki jest phishing.
Phishing to wysyłanie wiadomości o tematyce najczęściej bankowej, gdzie proszeni jesteśmy np. o
weryfikację danych i zalogowanie się na konto, używając odnośnika w wiadomości. Po przejściu na
stronę instalowany jest trojan lub dane z formularza wysyłane są do atakującego, przez co może on
przejąć kontrolę nad naszym kontem. Wiadomość taka może wyglądać następująco:
Rys. 3. Wiadomość phishingowa.
O phishingu pisałem przy okazji innego tematu, dlatego nie będę się tutaj rozdrabniał nad jego
technicznymi szczegółami. Chciałem jednak zaznaczyć, że w mailach tego typu najłatwiej pokazać
stosowanie inżynierii społecznej. Osoby zainteresowane tematyką phishingu odsyłam do mojego
artykułu Phishing, pharming i sieci zombie - to czego nie wiesz o swoim komputerze.
Jak robi to robak Kido?
Kolejnym przykładem wpływania na użytkownika i sugerowania mu podjęcia pewnych działań jest
bardzo świeża sprawa z robakiem Kido (zwanym także Confiker, Downadup oraz Downup). Postaram
się ten przykład przedstawić bardziej szczegółowo. Jednym z jego działań jest pobranie fałszywego
oprogramowania zabezpieczającego o nazwie SpywareProtect2009. Program "skanuje" komputer i na
bieżąco wyświetla stosowne komunikaty o rzekomej infekcji i licznych atakach. Na obrazku widoczny
jest następujący alert:
"System Windows wykrył zagrożenia. Oprogramowanie antywirusowe chroni komputer przed wirusami
i innymi niebezpieczeństwami. Kliknij tutaj, aby przeskanować komputer. Twój system może być
zagrożony."
Widzimy też, że włączone jest skanowanie. Przeskanowano 391 plików i znaleziono 5 zagrożeń.
Program wskazuje też na zaktualizowaną bazę sygnatur. Posiada także zakładki w jakie często
zaopatrzone są rzeczywiste programy zabezpieczające, jak np. aktualizacja, skanowanie, opcje...
Rys. 4. Fałszywy program ochronny instalowany przez robaka Kido.
Po zakończeniu skanowania wyświetlany jest kolejny komunikat:
"Twój komputer jest zainfekowany przez spyware - podczas skanowania plików i rejestru zostały
wykryte 34 poważne zagrożenia. Zalecamy usunięcie szkodników i aktywację ochrony w czasie
rzeczywistym przeciwko przyszłym zagrożeniom."
Rys. 5. Ostrzeżenie o rzekomym zagrożeniu wyświetlane przez fałszywy program ochronny
instalowany przez robaka Kido.
Zatem, aby teoretycznie usunąć szkodniki, należy najpierw zapłacić klikając odnośnik. Użytkownicy,
którzy ulegli sugestii i zapłacili $50 (bo tyle właśnie ta wątpliwa przyjemność kosztuje), narażeni też
byli na utratę danych osobowych podczas wpisywania np. nr karty kredytowej. Warto także zaznaczyć,
że program SpywareProtect2009 instalował na komputerach ofiar trojana, który pobierał uaktualnienia
szkodliwego oprogramowania. Przeanalizujmy zatem powyższy przypadek pod kątem manipulacji
użytkownika:
Wygląd
Zacznijmy od samej budowy programu. Jest rozbudowany i przepełniony treściami, które mają
zwiększyć jego wiarygodność. Można by rzecz, że zachowuje się jak typowy i w pełni funkcjonalny
program antywirusowy. Wyświetlane są informacje o aktualnie znalezionych zagrożeniach,
przeznaczenie wykrytego szkodnika (Description), ranga problemu (Severity) oraz rady co zrobić by
usunąć zagrożenie.
Fałszywa aplikacja jest bardzo podobna do rzeczywistych, oferowanych przez czołowych producentów
rozwiązań antywirusowych. Użytkownik może mieć wrażenie, że ma do czynienia z profesjonalnym
programem, co może wzbudzić zaufanie. Nie każdy przecież zna nazwy wszystkich antywirusów jakie
są dostępne na rynku.
Słownictwo
Kolejnym czynnikiem, który ma przekonać użytkownika do tego, że program, który jest uruchomiony
na jego komputerze jest profesjonalny, jest fachowe słownictwo ("oprogramowanie antywirusowe",
"skanowanie plików i rejestru", "ochrona w czasie rzeczywistym". Nie bez znaczenia są zwroty
używane w wyskakujących komunikatach, takich jak na obrazku drugim:
"Ten komputer jest atakowany przez wirusa internetowego. To może być próba wykradzenia haseł.
Atak pochodzi z adresu: 118.178.6.252, port: 51527".
Jest to próba wystraszenia użytkownika, wzbudzenia w nim niepokoju. Osoba, która co chwile
otrzymuje ostrzeżenia o atakach z sieci lub widzi, że na jej komputerze wykryto szereg programów
kradnących hasła, czuje się zagrożona. Wie, że nie może zalogować się do banku, na forum,
sprawdzić poczty, ponieważ wszystkie te informacje mogą być przechwycone. W takiej sytuacji
niejedna osoba będzie wolała zapłacić by mieć spokój i pseudoochronę "w czasie rzeczywistym".
Definicje i wyjaśnienia
Jak już wspomniałem, program przeładowany jest różnego typu informacjami. Główna ich tematyka to
niebezpieczeństwo czające się na każdym kroku. W samym głównym oknie programu, podczas
skanowania na bieżąco jesteśmy informowani o rodzaju szkodliwego oprogramowania, które zostało
wykryte oraz jego przeznaczeniu. I tak kolejno:
1. LdPinch V - ranga: krytyczny - Rodzaj keyloggera przechwytującego hasła.
2. Advanced Stealth Email - ranga: krytyczny - Zaawansowany program przekierowujący.
3. CNNIC Update U - ranga: bardzo ważny - Program pobierający szkodliwe oprogramowanie.
Takie definiowanie ma na celu uzmysłowienie użytkownikowi w jak wielkim niebezpieczeństwie
aktualnie się znajduje. Jeżeli do tego dodać informację:
"Ten komputer jest w tym momencie niechroniony, może być przez to podatny na ataki trojanów,
wirusów i programów spyware."
Z pewnością będzie to miało wpływ na liczbę potencjalnych nabywców tego "programu". Na Rys. 5, w
okienku Spyware Alert, widzimy także komunikat "Why do you need Spyware Protection? (Dlaczego
potrzebujesz ochrony przeciwko Spyware)?". To kolejna próba udowodnienia, że program jest
niezbędny do zapewnienia bezpieczeństwa.
Gwarancje bezpieczeństwa
Ostatnim aspektem związanym z tą aplikacją jest zapewnienie potencjalnego nabywcy programu, że
wraz z wykupieniem subskrypcji na aplikację, skończą się jego kłopoty dotyczące bezpieczeństwa
komputera.
"Aktualizuj program do pełnej wersji SpywareProtect2009, aby oczyścić komputer i zapobiec nowym
rodzajom ataków. Otrzymasz możliwość dokonywania codziennych aktualizacji oraz ochronę
przeciwko zagrożeniom z sieci."
Podobne ataki miały już miejsce w przeszłości. Były one oczywiście skutkiem działania innego
szkodnika, jednak cel był ten sam - zachęcić do pobrania lub kupna "oprogramowania". Nawet metoda
informowania o infekcji była podobna, a nawet bardziej nachalna od tej w ostatnim przykładzie.
Rys. 6. Fałszywa aplikacja ochronna.
W tym przypadku zablokowana została możliwość zmiany tapety pulpitu, a jako domyśla ustawiana
była czerwona z wielkim napisem o zagrożeniu. Do tego dochodziła lista wykrytych niebezpieczeństw
(np. 3 infekcje programami typu spyware, 95 śladów stron tylko dla dorosłych itp.).
Użytkownicy zainfekowanych komputerów byli także zachęcani do wykonania skanowania:
"Niebezpieczeństwo! Poziom czerwony! Istnieje prawdopodobieństwo, że ktoś próbuje wykraść Twój
nr karty kredytowej przez Internet używając programu szpiegującego. Przeskanuj komputer teraz, by
temu zapobiec!"
Można by rzec, że jest to ironia losu... Oczywiście po dokonaniu skanowania zostaną odnalezione u
nas szkodliwe programy, za których usunięcie musimy zapłacić $49,95...
Sprawa, która odróżnia aktualny przykład od wcześniejszego to fakt, że komunikaty były fałszywe i
wyświetlane nie przez trojana, ale program antyspyware. Firma RazeSpyware zachęcała przez
agresywne i oszukańcze reklamy do kupna pełnej wersji swojego produktu. Takimi komunikatami
prowokowała i sugerowała pojawienie się zagrożenia w niezainfekowanym systemie. Istnieje wiele
firm naśladujących tego typu praktyki. Nie da się jednak ukryć, że w obydwu przypadkach posłużono
się socjotechniką. Wykorzystano ludzkie obawy do utraty majątku, manipulowano informacjami na
temat zagrożeń, po to by zachęcić do kupna produktu.
Jak zatem widać większość ataków, jakie się obecnie stosuje polega na zachęcaniu do kliknięcia
odnośnika lub instalacji trojana. W każdym momencie możemy być narażeni atak bezpośredni (przez
przypadkowe zawarcie nowej znajomości) bądź pośredni (w przypadku otrzymania jednego z masowo
wysłanych e-maili). Czy się im oprzemy i nie damy się oszukać zależy wyłącznie od nas. Siła
perswazji wyszkolonej osoby może okazać się znacznie groźniejsza niż luka w oprogramowaniu.
Wiele osób myśli pewnie teraz: nie dam się namówić na żadną z tych sztuczek. Problem jednak w
tym, że socjotechnik nie przedstawia się i nie zdradza swoich zamiarów. Nie wiemy kiedy i w jakim
miejscu zostaniemy zaatakowani. Socjotechnika to przecież także wydobywanie informacji przez
telefon (to telefon był głównym narzędziem działania Kevina Mitnicka czy Davea Buchwalda). Czy nie
wyda nam się wiarygodna osoba, która przedstawi się jako pracownik banku i zna identyfikator lub
login, który teoretycznie powinniśmy znać tylko my?
Jak się nie dać?
Na zakończenie przedstawię kilka porad, które mogą pomóc w ustrzeżeniu się przed tego typu
atakami, jednak będą one bardzo ogólnikowe z racji charakteru poruszonego problemu. Metod ataków
i jego scenariuszy nie da się zliczyć, dlatego ciężko jest powiedzieć co można zrobić, nie znając
konkretnego przypadku.
Unikaj klikania odsyłaczy w wiadomościach, które nie pochodzą od znanych Tobie nadawców.
Banki i instytucje wymagające uwierzytelnienia nigdy nie proszą o loginy i hasła, a także o
logowanie na stronach podanych w mailach.
Nie ujawniaj nikomu informacji mogących przyczynić się do przejęcia konta komunikatora,
konta pocztowego czy bankowego.
Zachowaj ostrożność podczas zawierania nowych znajomości online.
Nie instaluj programów wysyłanych przez przypadkowe osoby.
Zainstaluj dobry pakiet typu Internet Security - ataki socjotechniczne to także instalowanie
trojanów w trybie niewidocznym dla użytkownika.
Pozostaje zatem mieć nadzieje, że jeżeli już nawet dojdzie kiedykolwiek do ataku socjotechnika na
kogokolwiek z nas, powinie mu się noga w myśl starego polskiego przysłowia "Nosił wilk razy kilka,
ponieśli i wilka".
1
2
3
- Kossecki Józef, Elementy nowoczesnej wiedzy o sterowaniu ludźmi, Kielce 2001, ISBN 83-87798-18-5
-Gostkowski Zygmunt, Wybrane zagadnienia socjologii, Łódź 2005, ISBN 83-920189-3-1
- Simon William i Mitnick Kevin, Sztuka podstępu, ISBN 83-7361-116-9
Źródło:
Kaspersky Lab
Materiał został opublikowany na portalu Viruslist.pl