A może atak socjotechniczny?

Autor: Arkadiusz Tobiasz 28 listopada 2008

Wielu projektantów systemu bezpieczeństwa skupia się natworzeniu odpowiednich programów antywirusowych, firewali, aby zminimalizować ryzyko włamania się do systemu. Jednak kiedy przeanalizujemy dokładniej możliwe próby ataków na system najsłabszym ogniwem w tym wszystkim jest – człowiek. Celem hakera jest uzyskanie od nas potrzebnych mu informacji, któe podajemy mu zupełnie nieświadomie, nie wiedząc w jakim celu je później wykorzysta. To są właśnie ataki socjotechniczne. Czym jest socjotechnika? Według Słownika Encyklopedycznego Edukacja Obywatelskiego socjotechnika to: „ogół środków i działań zmierzających do wywołania pożadanego zachowania”. Z tej definicji łatwo wywnioskować, że z socjotechniki nie tylko korzystają hakerzy, ale także, a może nawet w głownej mierze politycy czy telemarketerzy.

Oczywiście w każdym przedsiębiorstwie są różne poziomy dostępu do informacji, przynajmniej tak być powinno. W związku z tym osoby planujące atak socjotechniczny muszą również ten aspekt brać pod uwagę chcąc uzyskać potrzebne im informacje czy osiągnąć zamierzony cel. W listopadowym numerze magazynu hakin9 mżecie przeczytać ciekawy artykuł pod tytułem „Ataki socjotechniczne”, który był inspiracją do napisania tego artykułu. Pozwolę sobie z tego artykułu przytoczyć przykład ataku socjotechnicznego, który myślę, że najlepiej zobrazuje to, o co w nim chodzi.

(haker) Witam, nazywam się xxxx xxxxx. Czy mógłbym zostać połączony z działem reklamacji?
(kobieta) W czym mogę pomóc?
(h) Otóż proszę Pani, zakupiłem jakiś czas temu… (tu cała historia zakupu karty), a teraz nie działa, nie mogę jej zainstalować, mogłaby mi Pani coś doradzić, jak rozwiązać ten problem?
(k) Proszę podać adres e-mail, wyślę Panu link do sterowników producenta.
(h) Ależ oczywiście…

Po czym dzwonimy po jakimś czasie:

(h) Dzień dobry, nazywam się xxxx xxxxx, ja rozmawiałem tutaj z bardzo miłą panią…
(k) To ja, pamiętam… (słychać niewinny śmiech) – niczego nieświadoma pracownica wpadła w naszą pułapkę.
(h) Czy istnieje możliwość zamiany tej karty Wi-FI na inną, działającą?
(k) Tak, oczywiście.

W tym momencie umawiamy się na wymianę karty za pomocą przesyłki łączonej. Kurierowi dajemy paczkę zwrotną, w której nie ma żadnej karty. Osobom zaonteresowanym tematem polecam wspomniany już artykuł.

Odpowiedz

 

Arkadiusz Tobiasz student Akademii Ekonomicznej im. Karola Adamieckiego w Katowicach na specjalnościach informatyka ekonomiczna oraz rachunkowość. Więcej...

jQuery Validation i funkcja remote

Jakiś czas temu zwrócił się do mnie użytkownik z problemem. Chodzi o to, że korzysta on z pluginu walidacji jQuery, […]

Zend Framework: integracja z Uploadify

W tym wpisie postaram się przedstawić Wam w jaki sposób zintegrować skrypt Uploadify z Zend Frameworkiem. Dzięki temu będziemy mogli […]

Javascript: Czasowe wyświetlanie reklamy

Czasami chcemy, aby na pewnym elemencie naszej strony wyświetlała się reklama przez jakiś czas, a następnie zniknęła. W tym wpisie […]

Linux: backup wszystkich baz danych MySQL

Swego czasu pisałem o tym jak z poziomu konsoli można szybko i przyjemnie zrobić backup bazy MySQL. Wszystko jest ładnie […]