Kao uvod u temu o socijalnom inženjeringu zamislite sljedeći scenarij: sjedite u svojem domu, u subotu navečer, počeo je zanimljiv film – kad odjednom zazvoni telefon. Zovu iz vaše banke. U to doba. Čovjek koji zove predstavio se kao Marko, administrator je korisničkih podataka u vašoj banci. Kaže vam da je neki haker presreo podatke o brojevima računa i PIN-ovima prilikom transakcija između vaše banke i trgovine X. Podaci jesu kriptirani, ali tvrdi da nije siguran da ih netko neće dekriptirati, te vas stoga moli broj vašeg računa i PIN, kako bi vam što prije mogao promijeniti PIN. Jasno mu je da se radi o vrlo povjerljivim informacijama, no ako želite, u ponedjeljak ujutro možete nazvati tu i tu osobu u banci i provjeriti informaciju.
Vi zaista jeste danas bili u trgovini X. Administrator vas je oslovio po imenu i prezimenu i zaista ste komitent te banke. Hoćete li onome koji zove odati svoj PIN? Vi možda i nećete, jer ste čuli za slične slučajeve prijevare, odnosno socijalnog inženjeringa. Ali zamislite koliko bi slabije informiranih osoba nasjelo na to.
A kako naš tajanstveni pozivatelj zna o kojoj je banci riječ, kako zna za trgovinu X? Jeste li čuli za shoulder surfing? Jutros je bila poprilična gužva u trgovini, mjesec je tek počeo pa su bankovni računi još relativno puni, subota je, pa se obavljaju i velike vikend-kupnje. Kad trgovac ubaci karticu u čitač, pojavi se ime i prezime. Malo vještiji shoulder surfer oštrijeg vida pročitat će i zapamtiti vaše ime i prezime. Zatim će u večernjim satima, kada više banke ne rade, a vi ste možda u nekom opuštenijem raspoloženju, nazvati i “stisnuti vas”. On je u totalnoj frci, spašava novce komitenata banke, zove i mijenja PIN-ove kako zlonamjerni kradljivac podataka ne bi pokrao račune. Čak vam, ako je jutros u trgovini uspio vidjeti koju znamenku PIN-a što ste ga ukucali, može reći kako je on, eto, uspješno dekriptirao dio vašeg PIN-a u ovih nekoliko sati i da mu za ostatak ne treba puno te da je haker možda već uspješno dekriptirao sve PIN-ove.
Vjerujemo – na temelju dosadašnjih prijevara – da se nemali broj ljudi koji će se naći u ovakvoj situaciji odlučuje dati svoj PIN. Pozivatelj može poklonjeni broj vašeg računa i PIN iskoristiti kako bi sâm skinuo novac s računa, ili ga može prodati, zajedno s brojevima ostalih žrtava socijalnog inženjeringa koji je izveo.
Ma tko li to odaje lozinke?
Vjerojatno vam se čini da, uz bezbroj upozorenja na portalima i putem ostalih medija i networking zajednica, ljudi rijetko nasjedaju na ovakve prijevare ili da teško otkrivaju lozinke i slične podatke – međutim, samo ste dijelom u pravu.
Ovakve prijevare još su lakše izvedive kada se radi o odavanju podataka koji se izravno ne tiču neke osobe. Stoga su najčešći napadi “socijalnih inženjera” i usmjereni na zaposlenike u tvrtkama: pokušavaju ih “navući” da otkriju zaštićene podatke, najčešće lozinke, koje prevarantima omogućuju pristup podacima o klijentima tvrtke, poslovnim planovima, nacrtima novih proizvoda i slično.
Prema istraživanju agencije InfoSecurity Europe iz 2003. godine, većina anketiranih djelatnika bez većih je teškoća odala lozinku za pristup računalu na kojem rade. Štoviše, oko dvije trećine znalo je koje lozinke koriste njihovi kolege.
Iako donekle izlazi iz okvira teme članka, analiza korištenih lozinki dodatno je ukazala na nisku razinu svijesti o sigurnosti. Najčešće korištena lozinka je “password”, a među često korištenima je vlastito ime korisnika, datum ili godina rođenja, ime djeteta, nogometnog kluba, brojevi “12345″ i slično.
Prema izvještajima tvrtki koje se bave računalnom sigurnosti, napadi koji uključuju socijalni inženjering u sve su većem porastu. Kako ne biste ostali u uvjerenju da je socijalni inženjering isključivo povezan s modernim tehnologijama, podsjetit ćemo vas na neke oblike ove vrste prijevare koji su poznati već dulje, a česti su i danas. Tako se nedavno u novinama opet pojavila vijest da je netko nasjeo na takozvanu Prometejevu prijevaru s ogrlicom. Taj je trik poznat već godinama i svako toliko nekoliko naivnih “iskešira” par tisuća kuna za bezvrijednu bisernu ogrlicu. Prometejeva prijevara s ogrlicom izvodi se tako da prevarant odabranoj žrtvi “uleti” s ogrlicom koju hitno treba prodati (lopov već izmisli neki uvjerljiv razlog), a koja vrijedi više tisuća kuna, no vlasnik ogrlice je, eto, prodaje za trećinu cijene jer mu je novac hitno potreban. Inačica te varke izvodi se tako da prevarant žrtvi u trenutku nepažnje ogrlicu baci pred noge, skrećući joj pozornost na to da su zajedno pronašli dragocjeni predmet. Prevarant se izgovara da mu, primjerice, za pola sata kreće vlak, pa da ne možete zajedno otići k draguljaru, prodati ogrlicu i podijeliti novac. Ako nalaznik-žrtva nasjedne na priču i pristane dati prevarantu 500 kuna, ovaj će se na kraju složiti s takvim “nepravednim rješenjem”.
Izvanredan primjer sličnog tipa podvale bio je uspješan pokušaj prevaranata koji su naivnim bogatašima prodali Eiffelov toranj ili Kip slobode.
Opasnosti od socijalnog inženjeringa danas su veće nego ikada zahvaljujući suvremenoj tehnologiji, a socijalni inženjeri sve su sofisticiraniji u napadima na ljudski element računalnih sustava, koji se katkad naziva i wetwareom.
Mehanizmi socijalnog inženjeringa
Socijalni inženjering, iako zvuči kao neka high-tech aktivnost usmjerena na druženje (poput social networkinga), zapravo je obična, manje ili više sofisticirana prijevara. Bilo da se radi o pozivu kombiniranom sa shoulder surfingom, kao u našem primjeru, ili o slanju sofisticiranih phishing mailova. Phishing mail zaista izgleda kao da ga je poslao vaš bankar – tu su logo, wording i ostali lako prepoznatljivi znakovi, zbog kojih uopće ne sumnjate u porijeklo ovog maila. Međutim, tu je i zamka – link koji vas vodi na klon web stranice vaše banke.
Neovisno o tome radi li se o telefonskom pozivu, Prometejevoj varki ili phishing e-mailu, većina napada socijalnim inženjeringom ima nekoliko zajedničkih osnovnih značajki.
1. Vjerodostojnost napadača. Napadač/prevarant predstavlja se da je netko drugi – što je ključno za uspjeh socijalnog inženjeringa. Vjerodostojnost može izgraditi poznavanjem internog rječnika neke tvrtke, kao što je organizacijska struktura, interne kratice, sleng koji se koristi, imena šefova i slično. Kod phishing mailova to je najčešće logotip tvrtke i formalni ton e-maila. Kod lažnih web stranica – izgled stranice identičan je onoj pravoj. Štoviše, katkad lažna stranica izgleda i bolje od originala. Najzanimljiviji primjer bila je lažna web stranica za “prodaju” karata za Olimpijadu u Pekingu 2008. godine. Lažna je web stranica, naime, bila mnogo bolje dizajnirana, s jasnijom navigacijom, lakšim procesom kupnje karata i integracijom s Facebookom. Čak su je preporučivale i relevantne web stranice. “Jedini problem” u svemu tome bilo je to što je novac za kupnju karata odlazio na nečije privatne račune, a kupci nisu dobili karte. Štoviše, autori stranice skupili su i poveću bazu brojeva kreditnih kartica.
2. Hitnost situacije. Situacija je uvijek hitna, kako bi žrtva imala što manje vremena za razmišljanje – kako ne bi stigla promisliti o logičnosti zahtjeva. “Sad ili nikad”, “Ako mi ne kažete lozinku – vaši će podaci biti izgubljeni” i slično. Vrlo često napadi su tempirani tako da žrtva ima i dodatne prepreke za stvarnu provjeru situacije – primjerice, kada se takvo što dogodi u petak, pred kraj radnog vremena.
3. Emocije. Mnogi napadi socijalnih inženjera “pucaju” na emocije žrtve. Izazivanje sažaljenja, potrebe da pomognemo – vrlo često biva iskorišteno u socijalnom inženjeringu. Tko se ne bi sažalio nad novim kolegom koji vas zove sav uspaničen i traži podatak o važnom klijentu? Ili, tko ne bi poslao cirkularni e-mail još desetorici prijatelja i poznanika jer će time pomoći bolesnoj djevojčici, ne misleći na to kako se možda radi o skupljanju valjanih e-mail adresa koje će dobro doći spamerima.
Socijalni inženjeri često ciljaju i na ljudsku pohlepu. Pošaljite ovaj e-mail na deset e-mail adresa i za svaki od njih i onih koji će se proslijediti dalje dobit ćete 10 dolara. Da ne spominjemo e-mail nekog afričkog svrgnutog predsjednika u kojem vas moli da mu pošaljete broj svojeg bankovnog računa da na njega prebaci nešto novca koji je uspio spasiti. Neke naivne žrtve su zbog nasjedanja na takve e-mailove osumnjičene za pranja novca.
Praznovjerje je još jedan od “zgodnih” fenomena koji se koriste za prikupljanje e-mail adresa (srećom, to barem nije tragično za vaš mjesečni račun). Tako našu svakodnevnicu uljepšavaju poslani tekstovi koji se protežu preko barem tri ekrana ili prezentacije s prekrasnim opuštajućim slikama i sporo učitavajućim tekstom (svi efekti koje pruža MS Power Point su tu, tekst je “by Dalaj Lama, osobno”). Na kraju poruke obavezno je apeliranje da se ne zaborave stari prijatelji i da se taj mail (naravno, s kompletnom mailing-listom) proslijedi dalje, na barem 10 adresa, i time osigura ostvarenje jedne od vaših brojnih želja u roku od magičnih 3, 7 ili 10 dana. Naravno, veći broj adresa na koji ćete proslijediti ovaj mail osigurava i brže ostvarenje vaše želje. Ponekad vam se i priprijeti pričom o jadnoj Suzanne, koja ne samo da se nije udala, nego je i izgubila posao u lokalnoj pekarnici… i sada je bez muža i bez svježeg peciva negdje u Oregonu, jer je zanemarila poruku iz maila… Ako se pak odazovete na ovakav e-mail, uskoro će vam radna jutra započinjati brisanjem različitih spamova: povoljne ponude Viagre, supersredstva za mršavljenje, produženja penisa, replika originalnih satova, kredita…
