Socjotechnika to pojęcie, którym określa się techniki manipulacji człowiekiem. W ich skład wchodzi m.in. popularne ostatnio NLP, czyli programowanie neurolingwistyczne, sprytne odwracanie uwagi ofiary, rozpraszanie jej przez nadmierną gadatliwość, czy też po prostu kłamstwo. Socjotechnikę najlepiej wytłumaczyć na przykładzie, który pokazuje jak sprytnie można zmusić ludzi do chodzenia po schodach, a nie korzystania ze schodów ruchomych:
Inny przykład, którym często podczas szkoleń obrazuję socjotechnikę to kosze na śmieci w parku. Pewna firma zamontowała w nich czujniki ruchu, tak by wrzucany śmieć wydawał kilkusekundowy odgłos spadania (znany z kreskówek). Ludzie po wrzuceniu czegoś do kosza byli na tyle zaskoczeni, że momentalnie szukali kolejnego “śmiecia” byle powtórzyć odgłos i sprawdzić co jest nie tak ze śmietnikiem. W ten sposób, przez jeden dzień, za darmo, sprytna firma wysprzątała “ciekawskimi” ludźmi cały park :-)
Manipulują wszyscy, Google też.
Google też manipuluje, a może raczej wykorzystuje tłum (ang. crowdsourcing) do wykonywania pracy na rzecz wyszukiwarki — bo jak inaczej nazwać grę Google Image Labeler, której zadaniem jest wspólne tagowanie zdjęć? Ludziom dostaraczana jest możliwość zabawy i rywalizacji, a Google dzięki grze ma darmową siłę roboczą, wykonującą skądinąd żmudne zadanie opisywania obrazków (dzięki czemu łatwiej jest je wyszukać).
Wszyscy jesteśmy marionetkami w rękach...
Podobnie sprawa ma się z popularnymi w sieci reCAPTHA — wiedzieliście, że tylko jeden z wyrazów tak naprawdę jest brany pod uwagę jeśli chodzi o “poprawność” przepisania? Drugi to wyraz, z którego nie odczytał system OCR skanujący książki. Ludzie wypełniając reCATPCHĘ “rozczytują” nieznany wyraz — jeśli kilkanaście osób wpisze to samo, system zakłada, że jest to prawda — Facebook już raz się na tym przejechał, 4chan z kolei co jakiś czas przypuszcza ataki na reCaptcha.
Socjotechnika podczas testów penetracyjnych
Prywatnie wykorzystuję techniki manipulacji podczas wykonywania testów penetracyjnych dla firm. Wcielenie się w rozmowie telefonicznej w “zamotanego” kuriera zawsze skutkuje zdobyciem prywatnego adresu ofiary (na który ma zostać dostarczona nieistniejąca przesyłka). Podszycie się pod pracownika GUS-u świetnie (bo na mocy ustawy) pozwala wyciągać dane dot. konfiguracji sieci komputerowej od niczego nieświadomych kadrowych i księgowych. Niedawno prezentowaliśmy też jak za pomoca odpowiednio zmodyfikowanego pliku PDF o nazwie “raport płacowy” można przejąć kontrolę nad komputerem pracownika.
Ofiary często da się zmanipulować do tego stopnia, że same z siebie, nie pytane podają nam hasła dostępowe do “chronionych zasobów” w firmie. Przykładowo, nieporadny monter zazwyczaj wzbudza litość, z koli ludzie z natury lubią przychodzić z pomocą, zwłaszcza jeśli ma to przyśpieszyć pozbycie się kogoś, ktoś będzie im wiercić nad głową przez cały dzień :-) Ale to nie wszystko, stosując odpowiednią manipulację, niektórzy potrafią zapłacić kawałkami papieru, a nie prawdziwymi pieniędzmi:
…chociaż moim prawdziwym faworytem jest pracowniczka, która przekonała napadającego na bank rabusia, żeby zamiast gotówki wziął… kredyt :-)
…chociaż moim prawdziwym faworytem jest pracowniczka, która przekonała napadającego na bank rabusia, żeby zamiast gotówki wziął… kredyt :-)
Sposobów na atak socjotechniczny jest naprawdę wiele… wystarczy wspomnieć ile szumu narobił tegoroczny turniej inżynierii społecznej organizowany podczas konferencji DEFCON oraz specjalne aplikacje, które wspierają ataki socjotechniczne, np. SET.
A teraz pora na was — pochwalcie się w komentarzach, jakie ataki socjotechniczne zastosowaliście, i z jakim skutkiem?
Autor: Piotr Konieczny
Posty
0 komentarze:
Prześlij komentarz