Jak cyberprzestępcy zdobywają informacje o firmie i pracownikach

Łańcuch zabezpieczeń jest tak mocny, jak jego najsłabsze ogniwo. Często bywa nim człowiek, który dzięki socjotechnice staje się mimowolnym pomocnikiem cyberprzestępców. Jak się przed tym bronić?

Po co łamać hasła, gdy wystarczy zapytać człowieka?

Kevin Mitnick to prawdopodobnie najsłynniejszy haker i cyberprzestępca świata. Obecnie jest cenionym specjalistą, prowadzącym szkolenia z zakresu cyberbezpieczeństwa. Przed laty był w Stanach Zjednoczonych wrogiem publicznym numer jeden – seria spektakularnych włamań, połączonych z kradzieżą danych spowodowała, że jego ujęcie stało się dla władz i ośmieszonych specjalistów od bezpieczeństwa elektronicznego sprawą honoru.

Po latach od tamtych wydarzeń Mitnick – już jako zresocjalizowany członek społeczeństwa - wydał kilka książek. Jedna z nich nosi znamienny tytuł: „Sztuka podstępu. Łamałem ludzi, nie hasła”. Trudno o lepsze podsumowanie zarówno dokonań słynnego hakera, jak i zagrożeń czyhających na firmy i ich pracowników.

Kluczem do wielu groźnych włamań, wycieków danych czy różnych przestępstw, dokonywanych drogą elektroniczną, jest bowiem socjotechnika, nazywana również inżynierią społeczną. Zamiast forsować zabezpieczenia, szukać luk w systemach bezpieczeństwa i próbować przechytrzyć twórców oprogramowania, cyberprzestępcy biorą na cel ludzi: pracowników czy klientów. Jak taki atak może wyglądać w praktyce?

Niegroźna prośba o drobną przysługę

Na jednym z biurek działu kadr pewnej firmy dzwoni telefon. Z uprzejmej prezentacji wynika, że dzwoni Mariusz, pracownik jednej z zamiejscowych siedzib firmy. Mają tam problem – nie działają karty dostępu nowo przyjętych pracowników, a Mariusz chciałby je przeprogramować. Aby kolejnego dnia uniknąć problemów, prosi o nazwiska i służbowe numery telefonów nowych kolegów – jest już późno, nie chce zawracać kadrom głowy błahostkami i sam chce przekazać informację nowym kolegom.

Kolejny telefon dzwoni już zamiejscowej siedzibie. Jest późno, ale księgowość nadal pracuje. Głos po drugiej stronie słuchawki przedstawia się jako Monika. Monika jest nowym pracownikiem. Cieszy się, że zastała jeszcze kogoś w siedzibie firmy. Prosi o przysługę – księgowa ma podejść do jej pokoju, zalogować się do komputera i sprawdzić, czy da się pobrać pewien plik. Księgowa nie wie, że lista loginów i haseł dla nowych pracowników trafiła wczoraj – niezniszczona – do kosza na śmieci. Chce pomóc nowej koleżance. Podchodzi do jej komputera, loguje się – hasło i login są prawidłowe – a następnie pobiera i otwiera plik z podanego adresu.

Nic się nie dzieje. Monika przeprasza za kłopot, prosi o restart komputera i upewnia się, że wszystko działa, jak należy. Obiecuje sprawdzić pobrany plik jutro rano, gdy tylko przyjdzie do pracy.

Serwisy społecznościowe – ogólnodostępna kopalnia wiedzy

Powyższy, hipotetyczny scenariusz ataku to przykład zastosowania w praktyce prostej, ale skutecznej socjotechniki, dzięki której w firmowej sieci uruchomiono złośliwe oprogramowanie. Przygotowując atak cyberprzestępcy często starają się zdobyć o swoim celu jak najwięcej informacji.

Obok tych ogólnodostępnych – przedstawionych np. na firmowej stronie – doskonałym źródłem mogą być serwisy społecznościowe. Zdjęcia z firmowych imprez, relacje ze służbowych wyjazdów, geolokalizacja potwierdzająca położenie i zwyczaje konkretnych osób – to doskonałe źródła informacji. Trafnie skomentował to Frank William Abagnale – geniusz manipulacji, którego przestępczą karierę przedstawia film „Złap mnie, jeśli potrafisz”:

- To, co robiłem w młodości, teraz jest sto razy łatwiejsze. Technologia rodzi przestępstwa. (…) Musimy być mądrzejsi i sprytniejsi. Nie ma nic złego w byciu sceptycznym.

Fizyczny dostęp

Dla bardziej zdeterminowanych przestępców źródłem danych mogą być również firmowe śmieci czy sami pracownicy – różne eksperymenty dowiodły, że człowiek w stroju montera, poruszający się pewnym krokiem z kilkoma narzędziami w ręce bywa wpuszczany wszędzie, niezależnie od procedur bezpieczeństwa.

Co więcej, wielu pracowników poda mu wszystkie informacje, o które poprosi. Prywatny numer kierownika? Hasło do komputera albo firmowej sieci bezprzewodowej? Kod dostępu do archiwum? Bardzo proszę, byle jak najszybciej skończył swoją pracę, przestał bałaganić, spakował te poplątane kable i nie wiercił więcej w ścianie tuż nad uchem. Trafnie podsumował to przedstawiciel firmy F-Secure, tworzącej oprogramowanie antywirusowe:

- Wiele firm nie spodziewa się tego, że uzyskamy dostęp fizycznie, wkradając się do budynku. Na dodatek często jest to zaskakująco proste zadanie. Wystarczy pracownicza odblaskowa kamizelka bezpieczeństwa, która działa lepiej niż peleryna niewidka rodem z Harry’ego Pottera.

Uniwersalne zasady bezpieczeństwa

Nie wszystkie ataki są tak wyrafinowane. Wiele z nich jest znacznie prostszych– to np. mail, wyglądający jak korespondencja z klientem, który podsyła przeterminowaną fakturę. Może to być zabawna prezentacja, przesłana z konta wyglądającego jak prywatna skrzynka znajomego z pracy, który zazwyczaj siedzi przy biurku obok, ale akurat ma urlop.

Może to być po prostu telefon, który – jak pokazują udane ataki – bywa potężnym narzędziem. Kilka lat temu pewien Polak zadzwonił do amerykańskiej firmy, przedstawił się jako jej prezes, podał kilka szczegółów i poprosił o serię przelewów na konta „kontrahentów”. Do udanego ataku i kradzieży 7 mln dolarów (części kwoty nie udało się odzyskać!)  wystarczyły ogólnodostępne informacje, które pozwoliły na zyskanie zaufania pracowników.

Jak utrudnić życie cyberprzestępcom?

Nie każdy jest specjalistą od cyberprzestępczości. Co gorsza, niemal wszyscy – choć w różnym stopniu – jesteśmy podatni na socjotechnikę. Na szczęście nie jesteśmy bezbronni. Pierwszą linią obrony jest to, o czym wspomina słynny przestępca i socjotechnik, Frank William Abagnale – zdrowy sceptycyzm. 

Do tego większość dużych firm nie szczędzi wydatków na bezpieczeństwo. Obok szkoleń, prezentacji i podnoszenia świadomości zagrożeń, powstają zestawy zaleceń, zbiory dobrych praktyk czy szczegółowe instrukcje.

W wielu wypadkach wystarczy zapoznać się z firmową polityką bezpieczeństwa i trzymać się procedur, by nie dać cyberprzestępcom żadnych szans – ani na zdobycie niezbędnych informacji, ani na przeprowadzenie skutecznego ataku. Rozwiązania są z reguły gotowe: przemyślane, sprawdzone i skuteczne. Wystarczy stosować je w praktyce.