Quo vadis, sociální inženýrství?

Ač je sociální inženýrství starší než počítače samy, jde o techniku neustále a dynamicky se vyvíjející. K ošálení uživatelů už nestačí to, co před deseti lety. „Klikni na jakoukoliv přílohu e-mailu" už nefunguje – nebo alespoň ne tak dobře jako dříve.


Svět ICT bezpečnosti se dramaticky mění. Jsou v něm ale dvě stálice, které nás přes maximální snahu provázejí už mnoho let a hned tak se jich nezbavíme: sociální inženýrství a spam. V tomto příspěvku se budeme věnovat prvně jmenované stálici. I když je sociální inženýrství stále prachobyčejným podvodem, jeho cíle a způsoby provedení nejsou vytesané do kamene.

 

Sociální inženýrství je umění klamu. Jeho cílem je vytvořit v člověku nějakým způsobem dojem, že situace je jiná, než ve skutečnosti je. Jinými slovy: podváděný nepozná, že mu telefonuje nebo e-mailuje nebo ho jinak oslovuje podvodník, ale na základě některých uměle vytvořených indicií se domnívá, že komunikuje s někým úplně jiným (důvěryhodným).

Sociální inženýrství má ostatně kořeny i v klasických podvodech reálného světa: falešní výběrčí doplatků za vodu, plyn či elektřinu jsou velmi jasným příkladem.

Přitom v kybernetickém prostoru je sociální inženýrství zneužíváno více než kde jinde – díky standardizované komunikaci a díky nesmírně jednoduchému ústupu i špatnému zajišťování stop v globálním médiu, jakým je internet.

Typickým příkladem využití sociálního inženýrství jsou e-mailové výzvy.

V zásadě ale není podstatné, jakým způsobem je sociální inženýrství prováděno, mnohem důležitější je určit, kam směřuje. Tento směr nám následně dá nápovědu o tom, jak se chránit a bránit.

 

Příklady táhnou

Abychom si názorně ilustrovali nebezpečí sociálního inženýrství pro dnešní organizace, připomeňme nedávný téměř neuvěřitelný kousek nejmenovaného německého bezpečnostního konzultanta.

Ten od managementu jedné firmy (protože šlo o penetrační test, nebylo její jméno zveřejněno) dostal zakázku na odhalení bezpečnostních slabin. Konzultant se bez větších obtíží (= jen s pomocí své výřečnosti) dostal do firmy, kde se na několik dní „usídlil" v jedné ze zasedacích místností.

Zde ale nebyl zabarikádovaný a po budově se volně pohyboval. Navštívil mnoho kanceláří, serveroven, skladovacích prostor... Využíval interní telefonní systém, obvolával pracovníky a vydával se za zaměstnance interního IT oddělení, čímž z nich „tahal" hesla a další informace.

Z dvaceti oslovených uživatelů přihlašovací jména a hesla poskytlo sedmnáct. Mezitím se vesele stýkal se zaměstnanci, s mnoha si začal tykat. A to včetně ochranky, což mu nakonec umožnilo do budovy „protáhnout" i svého kolegu, který provedl přímo zevnitř analýzu informačního systému.

Sociální inženýrství je zkrátka velmi nebezpečnou zbraní.

 

Starý kabát, nové techniky

Pravdou je, že ač je sociální inženýrství starší než počítače samy, jde o techniku neustále a dynamicky se vyvíjející. Slovo „sofistikované" v souvislosti s útoky vedenými pomocí sociálního inženýrství je přitom zcela na místě.

Aneb k ošálení uživatelů už nestačí to, co před deseti lety. „Klikni na jakoukoliv přílohu e-mailu" už nefunguje – nebo alespoň ne tak dobře jako dříve. Uživatelé jsou opatrnější a poučenější. Ale stále jsou stejně zranitelní: útočníci to dobře vědí a dělají vše pro to, aby onu obezřetnost otupili.

A tak si různými způsoby připravují půdu pro to, aby jejich podvod prošel. Například před dvěma lety se objevil v České republice první masový phishing směřující na zákazníky České spořitelny (jehož strojové překlady typu „Drahoušek zákazník" vpravdě zlidověly) a naše e-mailové schránky byly zasypané stovkami podobných laciných pokusů o vylákání osobních údajů.

Pak náhle ale přišel jiný e-mail. Perfektní styl slohový i grafický, precizní provedení, decentnost sama, nechyběly zpětné kontakty a mnoho dalších „detailů" – celá zpráva pak byla pojata jako varování klientům od banky před právě probíhající vlnou podvodů.

A na první pohled nebyla ani agresivní: požadovala pouze „verifikaci" e-mailové adresy přistoupením na určenou webovou stránku (na první pohled vypadala jako oficiální stránka internetového bankovnictví, ale ve skutečnosti směrovala na jiný web). Zde byl uživatel v rámci „verifikace" slušně a nenásilně požádaný o své přihlašovací údaje včetně bezpečnostního kódu.

Není přitom podstatné, zda první a druhá vlna útoků byly nějak spojené nebo jen jiná skupina kyberzločinců velmi obratně využila půdu, kterou jim někdo jiný předchystal. Podstatné je právě ono využití rozdělané půdy: po primitivních útocích (které nečiní uživateli problém odhalit) přichází předstíraný a nevtíravý zájem „banky" (což uživatele pochopitelně potěší). A dokonce se po něm na první pohled nevyžadují žádné citlivé informace – jen ověření e-mailové adresy, a to v zájmu vlastní bezpečnosti.

Do podobné kategorie sofistikovanějších „dvoustupňových" útoků patří třeba i pharming, což je technologie využívající DNS Cache Poisoning" – otrávení uložených DNS záznamů. Dochází při ní ke změně záznamu IP adresy, který je dočasně uložený v lokálním disku: ten je provedený třeba útokem škodlivého kódu. Následuje ona „druhá vlna" útoku, kdy je uživatel přiměn k návštěvě určité stránky a přestože zadá zcela korektní adresu, je díky změně DNS záznamů přesměrovaný na web útočníka.

Sociální inženýrství navíc může nabývat mnoha různých podob. S jeho pomocí lze třeba velmi snadno těžit ohromná množství osobních dat. A je to přitom tak jednoduché – stačí si dát na inzertní weby nabízející práci atraktivní nabídku. Životopisy zájemců o práci s veškerými osobními údaji (data narození, adresy, telefony, vzdělání, záliby apod.) budete během několika hodin počítat na stovky...

Toto není nabádání k nekalé činnosti – to je varování před typem útoku na osobní údaje, který se v poslední době velmi rozmáhá. Osobní data jsou následně zneužívána k mnoha následným kriminálním či přinejmenším neetickým úkonům jako je zneužití identity nebo oslovování s obchodními nabídkami.

 

Nebezpečná „bezpečnost"

Právě sofistikovanější techniky a lákavější „balení" jsou jednoznačným trendem dnešní doby v oblasti sociálního inženýrství. Svědčí o tom například loňský mimořádný úspěch falešných antivirových a bezpečnostních programů.

Jejich podstata je jednoduchá: útočník „zabalí" svůj škodlivý kód (a je zcela lhostejné, co s jeho pomocí chce získat – ovládnout počítač, odcizit přihlašovací údaje k internetovému bankovnictví apod.) do důvěryhodného obalu. A to do tak důvěryhodného, že si jej uživatel sám vyhledá, dobrovolně nainstaluje a ještě je nad míru spokojený, jakou že záslužnou činnost vykonal. Jinými slovy, škodlivý kód je skrytý do podoby bezpečnostního programu.

V podstatě je to geniální myšlenka, protože hraje na zcela přirozené lidské pudy. Jednak na strach o bezpečí a bezpečnost. Aneb kdo by nechtěl mít zabezpečený počítač a jistotu, že se tento nestane rejdištěm podvratných živlů? A jednak je tu zcela přirozená lidská snaha ušetřit. Tedy proč vynakládat drahé peníze, které navíc můžeme využít jinak a smysluplněji, na něco, co lze bez větších obtíží mít zadarmo. Že to asi bude lehce na úkor kvality. Ono se to poddá. Počítačový program jako počítačový program.

Takže uživatel toužící ochránit svůj počítač i peněženku se rozhodne stáhnout si nějaký bezpečnostní program z internetu. Častokráte je mu přitom přímo podbízen v reklamách na pochybných webových stránkách nebo rovnou ve formě spamu. Platí přitom, že tento „bezpečnostní program" má nějaké neutrální či známé jméno a často neomaleně vykrádá i grafické prvky skutečných programů, aby tím zvýšil svoji důvěryhodnost.

Proto pozor na aplikace s názvy WinDefender 2008 či System Defender (nezaměňovat s Windows Defender! – útočníci záměrně zneužívají podobná jména), Antivirus XP 2008, SysClean, AntiMalware 2009, Internet Explorer Antivirus, Total Eliminator, eKerberos, Andromeda Antivirus, Real Antivirus a mnohé další aplikace. Podotýkáme, že tento výčet není a nemůže být úplný, fantazie útočníků je totiž neomezená.

Podle zprávy Security Intelligence Report vydané společností Microsoft bylo jen v průběhu roku 2008 nalezeno na počítačích po celém světě instalovaných více než deset milionů nebezpečných „bezpečnostních" aplikací. Podotýkáme, že jde jen o čísla z počítačů, z nichž Microsoft shromažďuje statistické údaje! Těch je asi 170 miliónů, takže touhu „zabezpečit se a ušetřit" pocítil celosvětově každý zhruba sedmnáctý majitel PC.

Varováním budiž v této souvislosti i „causa Virus Protector", kdy se stovky uživatelů se nechaly zlákat internetovými podvodnými kampaněmi a instalovali si (plus zaplatili) tuto aplikaci. Tvářila se jako bezpečnostní program, ve skutečnosti ale šlo o podvodný software, který jakoukoliv práci pouze předstíral. Na což někteří z uživatelů posléze přišli a prodejce kontaktovali.

Ten jim promptně vyhověl s tím, že pro vrácení peněz požadoval detailní informace o bankovním kontě. Výsledek si asi dovedete představit: podvedeným uživatelům zůstal nefunkční program, vyluxovaný bankovní účet a oči pro pláč. Je poněkud zvláštní, jak lidé ochotně prozrazují své citlivé údaje někomu, o kterém vlastně dopředu vědí, že je podvodníkem...

 

Velrybáři přicházejí

Že je phishing odvozený od slovíčka fishing, tedy rybaření (česky je často překládaný jako rhybaření), ví snad každý. V poslední době ale nastupuje v sociálním inženýrství jiný trend, kterému se říká whaling – velrybaření.

Jak už název napovídá, útočníci se v tomto případě zaměřují jen na velké ryby – obrazně řečeno, velryby. Malé podvůdky se jim zkrátka nevyplatí, když mohou při vynaložení stejného úsilí (nebo téměř stejného úsilí) získat o několik řádů více. Jinými slovy: zaměří se jen na několik vybraných cílů, zato se na ně ale soustředí důkladně.

Tento postup má ještě jednu velkou výhodu: tím, že cílů jsou jednotky, nikoliv statisíce či milióny, jsou případy považované za ojedinělé. A to jak médii (které nespustí obvyklou vlnu varování), tak bezpečnostními firmami (pro které je počet ohrožených velmi podstatným kritériem) nebo třeba i orgány činnými v trestním řízení (na jednotlivé pokusy o podvod se nahlíží jinak, než na zločin organizovaný).

Vyprávět by o tom mohl třeba ředitel skotské banky HBOS (Halifax Bank Of Scotland) Andry Hornby, který musel nechat svůj internetový účet zablokovat poté, co z něj zmizely tisíce liber. Podle dostupných informací zareagoval na podvodný phishingový e-mail.

O tom, že nikdo není vůči podvodníkům imunní a že čím lépe připravený útok, tím je vyšší šance na úspěch, svědčí i pokus britské konzultační firmy NCC. Ta nakoupila a rozeslala pět set USB flash disků finančním ředitelům velkých organizací v zemi. Připojila k nim přitom dopis s nabídkou, že se mohou zúčastnit největšího mejdanu svého života: každé ovšem obsahovalo spustitelný skript, který se do počítače instaloval a podal zprávu svému „pánovi". Výsledek dopadl tragicky – alespoň pro ředitele. Plných 47 procent z nich vložilo USB flash disk do svého počítače a program si nainstalovalo.

Co dodávat?

 

Technicky i organizačně

Těžko budeme vytvářet nějaké obecně platné scénáře protiopatření, protože sociální inženýrství ctí tři zákonitosti. Jednak útok může přijít odkudkoliv. Jednak bývá útočník velmi dobře připravený. A jednak je útok „šitý na míru".

Jinak by se také dalo říci, že to, co bude platit na pracovníka A, nebude platit na pracovníka B. A naopak. Opět názorný příklad: statisticky je dokázáno, že muži klikají na přílohu u e-mailů s nabídkou pikantních fotografií několikrát častěji než ženy. Každou z těchto cílových skupin je tak zapotřebí oslovovat jinak...

Z čehož samozřejmě nevyplývá, že je zapotřebí vypracovávat pro každou osobu speciální plán ochrany před sociálním inženýrstvím. To se ani nemůže podařit neboť není možné ošetřit všechny případné varianty útoku. Je zapotřebí vypracovat systém, který bude maximálně odolný proti jakémukoliv útoku.

Ochrana každopádně musí mít dvě části: technickou a organizační. Útoku se pochopitelně předejít nedá, ale existují různé technické prostředky, které jsou schopné různé drobné nesrovnalosti odhalit - například jde o neplatné certifikáty webů, směrování odkazů jinam, než vidí uživatel, blokování vyskakovacích oken...

Z organizačního hlediska je pak důležité kvalitní školení pracovníků, jasné rozdělení pravomocí a zodpovědnosti, připravenost na mimořádné situace nebo identifikace a ochrana kritických zdrojů. A samozřejmě dodržování těchto pravidel, což často bývá nejslabším místem systému.

Obě oblasti – organizační i technická – přitom musí být velmi úzce propojené tak, aby se navzájem doplňovaly.

 

Vyšlo v Security Worldu 3/2010
Časopis lze koupit se slevou 20 %

 











Komentáře