TŁO I HISTORIA

Inżynieria społeczna nie jest nową taktyką ani wynalazkiem współczesnych hakerów. Termin ten ma swoje fundamenty w historii politycznej, gdy osoba lub grupa manipuluje grupą ludzi, dużą lub małą, próbując przekonać lub manipulować postawami lub przekonaniami społecznymi. Często rządy lub partie polityczne angażują się w tę praktykę. Początki współczesnego terminu sięgają II wojny światowej, a naziści rzeczywiście wymyślili ten termin. Do dziś termin ten ma negatywną konotację ze względu na swoje korzenie w historii, zwłaszcza w kontrolowanych przez nazistów Niemczech. Niektórzy badacze uważają także, że dziedzina inżynierii społecznej obejmuje wszystko, od reklamy i nowoczesnych mediów po polityczne grupy działania. Inżynieria społeczna jest dziś bardziej znana z zastosowania jej jako techniki penetracji bezpieczeństwa. Oszustwo było nieodłącznym elementem szpiegostwa na przestrzeni wieków. Sun Tzu napisał w V wpne

* „Każda wojna jest podstępem”.

* „Po skazaniu na szpiegów, robieniu pewnych rzeczy otwarcie w celu oszustwa i umożliwieniu naszym szpiegom ich poznania i zgłoszenia ich wrogowi”.

Oszustwo – w szczególności podawanie fałszywych informacji szpiegom wroga – było integralną częścią Drugiej Wojny Punickiej między Rzymem a Kartaginą w III wieku p.n.e. Podczas Drugiej Wojny Światowej Alianci użyli „Operacji Ochroniarz”, aby oszukać moce Osi, aby uwierzyć, że inwazja D-Day nastąpi w innym czasie i miejsce z jego prawdziwego harmonogramu i celu. Oszustwo było integralną częścią konkurencji szpiegowskiej z kontrwywiadem między blokiem komunistycznym a Zachodem podczas zimnej wojny. Dobrze znanym przykładem inżynierii społecznej są eskapady Franka W. Abagnale’a, temat fikcyjnego filmu Złap mnie, jeśli potrafisz. Abagnale był w stanie skutecznie podszywać się pod autorytety, w tym lekarza, pilota, adwokata i nauczyciela, mimo że był nastolatkiem. Używał także technik inżynierii społecznej, aby przekonywać i manipulować niewinnymi i dobrodusznymi osobami, aby pomóc mu w przeprowadzeniu wielu jego oszustw. Wiele technik Abagnale odniosło duży sukces i zostało dobrze zaprojektowanych. Dziś pomaga organizacjom rozpoznawać i bronić się przed takimi atakami poprzez swoje wystąpienia mówcze i doradztwo biznesowe. Jednym z najbardziej znanych inżynierów społecznych jest Kevin Mitnick. Chociaż Mitnick jest obecnie konsultantem, wykładowcą i autorem bezpieczeństwa komputerowego, jego obecną karierę poprzedziło wiele lat spędzonych jako haker komputerowy i inżynier społeczny. Od dawna zreformowany, Mitnick napisał kilka książek omawiających jego obserwacje i techniki jako hakera komputerowego. Mitnick utrzymuje, że inżynieria społeczna jest najpotężniejszym narzędziem w zestawie narzędzi hakera. Od kiedy inżynieria społeczna stała się popularną i, co ważniejsze, skuteczną techniką, jej częstotliwość stosowania wzrosła. Jednym z najbardziej widocznych przypomnień jest duża liczba ataków typu phishing i pharming. Na niektórych konwencjach hakerów kryminalnych socjotechnika stała się nawet sportem dla widzów. Podczas targów DEF CON 2012 w Las Vegas Shane MacDougall wygrał konkurs zdobywania flagi przez socjotechnikę, oszukując dyrektora Walmart w kanadyjskim sklepie, aby ujawnił każdą poufną informację wymienioną w celach konkursu

Darnell zapytał kierownika o całą logistykę fizyczną swojego sklepu: wykonawcę usług porządkowych, dostawcę usług gastronomicznych w stołówce, cykl płac pracowników i harmonogramy zmian personelu. Dowiedział się, o której menedżerowie robią sobie przerwy i gdzie zwykle idą na lunch. Utrzymując stały szloch na temat nowego projektu i życia w Bentonville, Darnell zmusił kierownika do podania kilku kluczowych szczegółów na temat rodzaju używanego komputera. Darnell szybko ustalił markę i numery wersji systemu operacyjnego komputera, przeglądarki internetowej i oprogramowania antywirusowego.

Inżynieria społeczna, gdy jest używana jako samodzielne narzędzie ataku, jest bardzo skuteczna. Ale to narzędzie może być używane jako część większego ataku, a nawet jako część ataku technicznego. Inżynieria społeczna jest powszechnie stosowana na początku większego, bardziej znaczącego ataku. Ważne jest, aby pamiętać, że niektóre ataki miały miejsce przez tygodnie, miesiące lub lata. Nie zawsze tak jest i tylko dlatego, że uniknięto konkretnej próby inżynierii społecznej, większy atak może nie zostać całkowicie złagodzony. Przykładem może być to, że początkowy atak nie powiódł się, ponieważ atakujący nie miał wystarczających lub dokładnych informacji do przeprowadzenia ataku. Atakujący może ponownie powrócić do inżynierii społecznej i strategii ataku o niskim poziomie technologii, aby zebrać informacje o innym, być może udanym, ataku technicznym. Chociaż organizacja może mieć najlepszą na świecie zaporę ogniową, system wykrywania włamań i narzędzia do zarządzania ryzykiem, osoba atakująca może skorzystać z inżynierii społecznej, aby obejść te zabezpieczenia techniczne. Atakujący nie zostanie zatrzymany przez najlepszą obronę techniczną, jeśli będzie w stanie wydobyć prawidłową nazwę użytkownika i hasło od niczego niepodejrzewającego pracownika. Gdy osoba atakująca uzyska te informacje, może być wystarczająca do przeprowadzenia masowego ataku na systemy informatyczne organizacji – być może nie zostanie wykryta. Przestępcy komputerowi byli w stanie zastosować czysto socjotechnikę i techniki ataku low-tech, nie polegając na żadnej poważnej technologii, aby spowodować szkody na dużą skalę również w organizacji. Czynność tak prosta, jak usunięcie odrzuconych, potencjalnie szkodliwych informacji ze śmietnika i przesłanie ich do lokalnych mediów, może spowodować znaczne uszkodzenie wizerunku organizacji. Akt ten może być częścią większej kampanii lub operacji grupy osób poszukujących działań politycznych lub społecznych przeciwko organizacji. Przykładem tego jest ostatnio Home Box Office (HBO) z udziałem grupy obywateli, która rutynowo zbierała śmieci z okręgowych centrów wyborczych i urzędów miasta, aby zebrać dowody, które mogliby przedstawić mediom w celu udowodnienia oszustwa wyborcy. Dokumenty, które zostały niewłaściwie usunięte, miały niezwykle negatywne konsekwencje dla urzędników wyborczych

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *