Socjotechnika przepełnia nasze życie i jest powszechnie używana w działaniach mieszczących się w ramach obowiązującego prawa, choć często znajdujących się na granicy etyki. Jako skuteczna metoda wywierania wpływu w naturalny sposób stanowi też podstawę wielu różnych działań przestępczych. Mając świadomość, że ataki socjotechniczne polegają na celowym oddziaływaniu i ograniczaniu autonomii ofiar, czyli wpływają na ich decyzyjność i swobodę działania we własnym interesie, przy użyciu różnych kanałów komunikacyjnych i technik manipulacji, zjawisko to można rozpatrywać z perspektywy cybernetyki i teorii komunikacji. Atak socjotechniczny jest bowiem procesem komunikacyjnym, w którym napastnik steruje ofiarą w określonym celu, generując oczekiwane reakcje i sprzężenia zwrotne.
Na bardzo wysoką skuteczność i rosnącą popularność ataków socjotechnicznych zwraca uwagę m.in. raport Europolu "Internet Organised Crime Threat Assessment 2018" (IOCTA 2018).
Anatomia ataku socjotechnicznego w aspekcie cybernetyczno-komunikacyjnym
1. ANATOMIA ATAKU SOCJOTECHNICZNEGO
W ASPEKCIE CYBERNETYCZNO-KOMUNIKACYJNYM
mgr Paweł Wawrzyniak
European Association for Security (EAS)
Gdynia, 8 maja 2019
2. Ataki socjotechniczne. Podstawowe założenia
Ataki socjotechniczne:
➢ Dotyczą każdego z nas
➢ Nie wymagają zastosowania nowoczesnych
technologii (kanałów komunikacji)
➢ Nie wymagają wielkich nakładów
finansowych
➢ Są skuteczne i najbardziej
rozpowszechnione
➢ Stanowią istotne wyzwanie w obszarze
cyberbezpieczeństwa (bezpieczeństwa
cybernetycznego)
➢ Zrozumienie ich istoty wymaga spojrzenia z
perspektywy cybernetycznej (sterowanie) i
komunikacyjnej (proces)
Najsłabszym ogniwem jest człowiek
https://www.seekpng.com/ipng/u2w7q8w7i1w7i1o0_broken-chains-art/
3. Ataki socjotechniczne. Dlaczego?
(cz. I)
Raport Europolu Internet Organised Crime
Threat Assessment 2018 (IOCTA 2018) [1]
podaje przykład:
➢ W marcu 2018 roku, aresztowano w
Hiszpanii, w Alicante, przywódcę grupy
przestępczej, która przy użyciu złośliwego
oprogramowania (ang. malicious software,
malware) własnej produkcji zaatakowała
ponad 100 instytucji finansowych na
świecie
➢ Dochodzenie prowadzone było przez policję
hiszpańską, przy wsparciu Europolu, FBI,
władz rumuńskich, białoruskich, tajwańskich
i prywatnych firm zajmujących się
bezpieczeństwem cybernetycznym
(cyberbezpieczeństwem)
http://m.bankingexchange.com/cyberfraud-id-theft/item/5282-carbanak-cyber-gang-steals-1-
billion-from-banks [2]
4. Ataki socjotechniczne. Dlaczego?
(cz. II)
Raport Europolu Internet Organised Crime
Threat Assessment 2018 (IOCTA 2018) [1]
podaje przykład:
➢ Gang odpowiadał za kampanie Carbanak i
Cobalt, które dotknęły banków w ponad 40
krajach
➢ Straty oszacowano na ponad 1 miliard EUR
➢ Obydwie kampanie zaczynały się od ataku
socjotechnicznego
Banki są deponentami wielkich sum pieniędzy,
stają się więc oczywistym celem ataków [3]
http://m.bankingexchange.com/cyberfraud-id-theft/item/5282-carbanak-cyber-gang-steals-1-
billion-from-banks [2]
5. Cyberprzestrzeń
➢ Ustawa z dnia 29 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach
Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym
organom Rzeczypospolitej Polskiej, art. 2 ust. 1b [4]:
Przez cyberprzestrzeń […] rozumie się przestrzeń przetwarzania i wymiany
informacji tworzoną przez systemy teleinformatyczne, określone w art. 3 pkt 3
ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących
zadania publiczne (Dz. U. z 2017 r. poz. 570), wraz z powiązaniami pomiędzy nimi
oraz relacjami z użytkownikami.
➢ Definicja Centrum Doskonalenia Cyberobrony NATO w estońskim Tallinie (ang.
NATO Cooperative Cyber Defence Centre of Excellence, CCDCoE) [5]:
Cyberprzestrzeń jest – zależnym od czasu zbiorem połączonych systemów
informacyjnych oraz ludzi/użytkowników wchodzących w interakcję z tymi
systemami.
➢ Własna definicja: przestrzeń wzajemnego oddziaływania międzysystemowego
zawierająca komponent techniczny i ludzki.
6. Cybernetyka
➢ Cybernetyka to nauka o sterowaniu, zajmująca się ogólnymi modelami
sterowania i komunikacji w systemach technicznych, biologicznych i społecznych
➢ Norbert Wiener, amerykański matematyk – książka pt. „Cybernetyka, czyli
sterowanie i komunikacja w zwierzęciu i maszynie” (1948 r.) [6]
➢ Marian Mazur, twórca polskiej szkoły cybernetycznej, w tym koncepcji systemów
autonomicznych (autonomów) („Cybernetyka i charakter”, 1976) [7]
https://pixabay.com/pl/illustrations/zabezpiecze%C5%84-zamek-pewny-strza%C5%82ki-3014154/
7. Czym jest sterowanie?
(cz. I)
➢ Sterowanie jest wywieraniem pożądanego wpływu na określone zjawiska
(procesy)
➢ W szerszym ujęciu – sterowanie to oddziaływanie mające na celu zapewnienie
zachowania obiektu w żądany sposób lub w sposób zbliżony do żądanego albo
realizację żądanego celu
➢ Zawsze musi więc istnieć ktoś (lub coś), kto ten wpływ na kogoś (lub coś) wywiera,
czyli musi istnieć obiekt sterujący i obiekt sterowany, a także coś, co łączy
wzajemnie te obiekty, co umożliwia wywieranie tego wpływu, czyli kanały lub po
prostu tor sterowniczy
https://pixabay.com/pl/vectors/statek-ko%C5%82o-kierownicy-%C5%82%C3%B3d%C5%BA-157789/
8. Czym jest sterowanie?
(cz. II)
➢ Zarówno człowieka (jednostkę), jak i społeczeństwo (grupę, zbiorowość) można
uznać za systemy autonomiczne, czyli takie, które w ogólności mają m.in.
zdolność sterowania się (reagowania) i zdolność przeciwdziałania utracie
zdolności sterowania (obrona) oraz funkcjonują we własnym interesie
(realizują własne cele)
➢ Wszelkie wzajemne oddziaływania pomiędzy systemami możliwe są dzięki
istnieniu sprzężeń, czyli istniejących między nimi powiązań
➢ Sprzężenie, w którym dwa systemy oddziałują na siebie wzajemnie, stanowi
sprzężenie zwrotne
System X System Y
Na podstawie: [7]
9. Socjotechnika
➢ Kevin Mitnick, w książce pt. „Sztuka podstępu” [8] – definicja negatywna:
➢ Christopher Hadnagy, w książce pt. „Socjotechnika. Sztuka zdobywania władzy
nad umysłami” [9] – definicja prawie neutralna:
Socjotechnika to wywieranie wpływu na ludzi i stosowanie perswazji w celu oszukania ich tak,
aby uwierzyli, że socjotechnik jest osobą o sugerowanej przez siebie, a stworzonej na potrzeby
manipulacji, tożsamości. Dzięki temu socjotechnik jest w stanie wykorzystać swoich rozmówców,
przy dodatkowym (lub nie) użyciu środków technologicznych, do zdobycia poszukiwanych
informacji.
Prawdziwa socjotechnika polega na manipulowaniu drugą osobą w taki sposób, aby podjęła
określone działania, które mogą, ale nie muszą leżeć w jej interesie. Może chodzić tu o
pozyskiwanie informacji, uzyskiwanie dostępu do czegoś lub nakłanianie ofiary do podjęcia
konkretnych działań.
11. Manipulacja
➢ Jerzy Bralczyk, „Manipulacja językowa” [10]:
➢ Język to system znaków – dalej: kod (w szerokim rozumieniu)
➢ Manipulacja (nie tylko językowa) jest integralną częścią socjotechniki
Dalece nieprecyzyjne definicje manipulacji językowej wiążą ją z takim językowym działaniem
perswazyjnym, które ma wpłynąć na postawy odbiorców (czasem: sprowokować ich działania)
przy założeniu nieznajomości (lub nierozpoznawania) właśnie stosowanych przez nadawcę
zabiegów.
Manipulację można uznać za nieetyczną także w tym sensie, że zawiera pierwiastek oszustwa,
możliwego dzięki przewadze nadawcy nad odbiorcą w procesie komunikacji, gdy warunkiem
uczciwej komunikacji jest równość jej uczestników.
12. Czy socjotechnika jest zła?
(cz. I)
➢ Christopher Hadnagy zauważa [9], że:
➢ Używają jej: dzieci, rodzice, nauczyciele, terapeuci, specjaliści od reklamy i
marketingu, sprzedawcy, politycy, stróże prawa i przestępcy… Ktoś jeszcze? ☺
Socjotechnika, podobnie jak każde inne narzędzie, sama w sobie nie jest ani dobra, ani zła – jest
po prostu narzędziem o wielu różnych zastosowaniach.
https://pixabay.com/pl/illustrations/w%C5%82%C4%85czenie-grupy-w%C3%B3zek-inwalidzki-2731343/
13. Czy socjotechnika jest zła?
(cz. II)
➢ Różnice zachodzą w obszarze:
o intencji i motywacji
o celu oddziaływania
o szeroko rozumianego interesu strony oddziałującej i poddawanej oddziaływaniu
https://pixabay.com/pl/photos/strony-marionetka-ba%C5%82wan-polityczny-784077/
14. Atak socjotechniczny jako proces komunikacyjny
(cz. I)
➢ Autorska propozycja modelu komunikacyjnego, który najlepiej pozwoli wytłumaczyć
przedmiot naszych rozważań
➢ Zaproponowany model łączy w sobie wybrane cechy kilku innych ujęć, w tym:
➢ Modelu komunikacji językowej Jakobsona z 1960 r., który wprowadza
pojęcia: nadawcy, odbiorcy, kontekstu, kontaktu, komunikatu, kodu
➢ Modelu wszechmocy propagandy Czakotina z 1939 r., który wprowadza
pojęcia m.in. motywów, a także ludzkich popędów, postaw, zachowań
➢ Modelu aktu perswazyjnego Lasswella z 1948 r., który wprowadza m.in.
zagadnienia analizy medium oraz analizy efektu
➢ Modelu sprzężenia zwrotnego DeFleura z 1966 r., który wprowadza
wcześniej omówione – cybernetyczne – pojęcie sprzężenia zwrotnego
15. Atak socjotechniczny jako proces komunikacyjny
(cz. II)
➢ Proponowany model opracowano na podstawie:
➢ Ch. Hadnagy, Socjotechnika. Sztuka zdobywania władzy nad umysłami, przeł.
M. Witkowska, Gliwice 2012, s. 63-75 [9]
➢ T. Goban-Klas, Media i komunikowanie masowe. Teorie i analizy prasy, radia,
telewizji i Internetu, Warszawa-Kraków 1999, s. 52-79 [11]
16. Atak socjotechniczny jako proces komunikacyjny
(cz. II)
Kontekst
Nadawca
(np. sprawca,
propagandysta,
funkcjonariusz itp.)
Odbiorca
(np. ofiara,
słuchacz, świadek,
przestępca itp.)
Medium (przekaźnik)
Efekt
(reakcja)
Kodowanie
(kod)
Dekodowanie
(kod)
Komunikat
(przekaz informacyjny)
Sprzężenie zwrotne
(informacja zwrotna)
Kontakt
Ludzkie popędy,
postawy i
zachowania,
emocje
(podatności)
Motywy
Medium
(przekaźnik)
Sprzężenie zwrotne
(informacja zwrotna)
Kod kulturowy
Opracowanie własne na podstawie: [9], [11]
17. Rodzaje ataków socjotechnicznych
➢ Najczęściej omawiane ataki:
o Phishing – password harvesting fishing (łowienie haseł), charakter masowy
o Spear phishing – atak ukierunkowany na konkretne osoby, wąska grupa
odbiorców
o Vishing – voice phishing, atak z użyciem połączenie telefonicznego
(podszywanie się)
o Smishing – atak z użyciem SMS
o Pharming – szczególny przypadek, bardziej zaawansowany atak
o […]
➢ IOCTA 2018 zwraca uwagę, że phishing oparty na poczcie elektronicznej
pozostaje najbardziej popularnym cyberatakiem (atakiem cybernetycznym)
wykorzystującym socjotechnikę. Następne w kolejności są warianty tego ataku
– tzw. vishing i smishing [1]
➢ Atak nie musi mieć na celu kradzieży danych (ani haseł)
18. Phishing. Czy tylko kradzież „haseł”?
Email
(od napastnika)
Załącznik ze
złośliwym
oprogramowaniem
Odnośnik do
fałszywej strony
Złośliwe
oprogramowanie
zostaje
zainstalowane na
urządzeniu ofiary
Formularz
logowania na
fałszywej stronie
Przejęto kontrolę
nad urządzeniem
ofiary
Poufne dane
trafiają do
cyberprzestępców
Na podstawie: [12]
19. Jak bronić się przed phishingiem?
(cz. I)
➢ Sprawdzać poprawność adresów email nadawców, uwzględniać literówki, nie
wierzyć wyłącznie w wyświetlane imię i nazwisko, funkcję itp.
➢ Przejrzeć dokładnie wiadomość, ale nie klikać w żaden odnośnik. Sprawdzić, jakie
adresy kryją się pod odnośnikami
➢ Sprawdzić błędy językowe, które są cechą charakterystyczną większości ataków
phishingowych
➢ Sprawdzić, czy powitanie pasuje do treści (np. "Szanowny Kliencie")
➢ Czy w treści maila znajdują się prośby o podanie danych osobowych lub danych
wrażliwych, informacji niejawnych itp.? Szczególnym przypadkiem są tutaj ankiety i
zaproszenia do udziału w konkursach lub odbioru nagród
20. Jak bronić się przed phishingiem?
(cz. II)
➢ Odwoływanie się do autorytetu nadawcy, jego funkcji i pilności działań, które mamy
podjąć powinno budzić podejrzenia
➢ Profesjonalny email powinien zawierać pełną sygnaturę nadawcy i jego dane
kontaktowe
➢ Ostrożnie z załącznikami. Do propagacji złośliwego oprogramowania można użyć
np. dokumentów MS Office (np. *.XLSX, *.DOCX), które mogą zawierać makra i
złośliwy kod w języku VBA (Visual Basic for Applications)
➢ Jeżeli tylko cokolwiek wzbudza nasze podejrzenia, nie powinniśmy pochopnie ufać.
Zwłoka w podejmowaniu decyzji bywa cnotą
➢ Jeżeli jesteś w pracy, być może warto skontaktować się z komórką SOC (Security
Operations Center)
24. Ransomware. Uśpić czujność ofiary
(cz. I)
➢ Djvu (pierwotne rozszerzenie zaszyfrowanych plików) – ransomware propagowany
w tzw. „crackach”
➢ Ransomware może być także propagowany przez email
Na podstawie: [11]
28. Atak na klienta banku metodą „na prokuratora”
(cz. I)
(1) Do jednego z mieszkańców zadzwonił telefon.
(2) Mężczyzna w słuchawce przedstawił się z imienia, nazwiska oraz z pełnionej funkcji «prokuratora»
nadzorującego prowadzoną właśnie akcję.
(3) «Prokurator» ostrzegł przed oszustami, którzy usiłują właśnie wkraść się na konto 85-latka. Podał
również pełną instrukcję, w jaki sposób mężczyzna ma zabezpieczyć swoje pieniądze.
(4) Według oszusta jedyną bezpieczną metodą uratowania oszczędności emeryta było wpłacenie ich
na podane przez niego (oszusta – przyp. wł.) konto.
(5) «Prokurator» w trosce o bezpieczeństwo mężczyzny nie pozwolił mu się rozłączyć do czasu
zakończenia akcji.
Na podstawie: [17]
29. Atak na klienta banku metodą „na prokuratora”
(cz. II)
(6) 85-latek udał się do banku, wypłacił 30 tys. zł, cały czas utrzymując kontakt telefoniczny z
oszustem.
(7) Następnie ofiara przesłała pieniądze przekazem pocztowym na wskazane konto.
(8) Wtedy oszust poprosił mężczyznę o kolejną kwotę, w celu wsparcia akcji zatrzymania oszustów.
(9) Kiedy starszy mężczyzna powiedział, że nie ma więcej oszczędności, oszust zasugerował mu
wzięcie w tym celu pożyczki.
(10) Mężczyzna będąc przekonanym, że pomaga w policyjnej akcji złożył wniosek o przyznanie mu 26
tys. zł kredytu.
(11) Tym razem jednak czujność i wzorowa postawa pracownika jednego z banków
spowodowała, że do akcji wkroczyli mokotowscy kryminalni, a pokrzywdzony nie przelał sprawcom
kolejnych pieniędzy.
(ustalono, że pieniądze zostały wypłacone w banku na terenie Lublina; ujęto sprawcę, 25-latka –
przyp. wł.)
Na podstawie: [17]
32. Memy. Narzędzie walki politycznej?
Na podstawie: [20]
➢ Przeniesienie komunikatu do innego kontekstu w celu zmiany jego znaczenia
➢ Afera Cambridge Analytica. Oddziaływanie w trakcie wyborów
33. Co dalej?
➢ Marketing i sprzedaż
➢ Wywiad gospodarczy
➢ Dezinformacja
➢ Propaganda
➢ Wojna psychologiczna
➢ Wojna informacyjna
➢ Wojna cybernetyczna
➢ Dialog człowieka z maszyną
o sztuczna inteligencja
o przetwarzanie języka naturalnego
➢ Automatyzacja ataków
➢ Techniczne zaplecze ataków
https://pixabay.com/pl/illustrations/technologia-robota-ludzi-r%C4%99ka-2025795/
34. Bibliografia
(cz. I)
[1] Internet Organised Crime Threat Assessment 2018 (IOCTA 2018),
https://www.europol.europa.eu/sites/default/files/documents/iocta2018.pdf, stan z dn. 18 marca 2019.
[2] J. Ginovsky, Carbanak cyber gang steals $1 billion from banks. Up to 100 banks victimized in dozens of
countries—and cyber scheme remains active, http://m.bankingexchange.com/cyberfraud-id-theft/item/5282-
carbanak-cyber-gang-steals-1-billion-from-banks, stan z dn. 18 marca 2019.
[3] R. Patterson, Kompendium terminów z zakresu bankowości po polsku i angielsku, Warszawa 2015.
[4] Ustawa z dnia 29 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił
Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej, Dz.U. 2002 Nr
156 poz. 1301.
[5] M. Grzelak, K. Liedel, Bezpieczeństwo w cyberprzestrzeni. Zagrożenia i wyzwania dla Polski - zarys
problemu, „Bezpieczeństwo Narodowe”, II–2012/22.
[6] N. Wiener, Cybernetyka, czyli sterowanie i komunikacja w zwierzęciu i maszynie, Warszwa 1971.
[7] Marian Mazur, Cybernetyka i charakter, Warszawa 1976.
[8] K. Mitnick, Sztuka podstępu, przeł. J. Dobrzański, Warszawa 2002.
[9] Ch. Hadnagy, Socjotechnika. Sztuka zdobywania władzy nad umysłami, przeł. M. Witkowska, Gliwice
2012.
[10] Jerzy Bralczyk, Manipulacja językowa (w:) Dziennikarstwo i świat mediów, pod. red. Z. Bauera i E.
Chudzińskiego, Kraków 2000.
[11] T. Goban-Klas, Media i komunikowanie masowe. Teorie i analizy prasy, radia, telewizji i Internetu,
Warszawa-Kraków 1999.
35. Bibliografia
(cz. II)
[12] O. Kamionek, „P” jak phishing, https://bankomania.pkobp.pl/bankofinanse/bezpieczenstwo/p-jak-
phishing/, stan z dn. 28 kwietnia 2019.
[13] Y. Klijnsma, First Activities of Cobalt Group in 2018: Spear Phishing Russian Banks,
https://www.riskiq.com/blog/labs/cobalt-group-spear-phishing-russian-banks/, stan z dn. 18 marca 2019.
[14] M. Zalewski, Phishing w PKO BP, http://bezpieczneoszczedzanie.com.pl/2015/04/phishing-w-pko-bp/,
stan z dn. 24 kwietnia 2019.
[15] Fake Google New Year promotion, http://blog.spamfighter.com/phishing/fake-google-new-year-
promotion.html, stan z dn. 28 kwietnia 2019.
[16] L. Abrams, Djvu Ransomware Spreading New .TRO Variant Through Cracks & Adware Bundles,
https://www.bleepingcomputer.com/news/security/djvu-ransomware-spreading-new-tro-variant-through-
cracks-and-adware-bundles/, stan z dn. 28 kwietnia 2019.
[17] Areszt za oszustwo metodą „na prokuratora”, http://www.policja.pl/pol/aktualnosci/123583,Areszt-za-
oszustwo-metoda-quotna-prokuratoraquot.html, stan na dn. 28 kwietnia 2019.
[18] Ch. Wang, Information Security and Pop Culture: How Real-Life Social Engineering Techniques are
Used in Movies and Television, https://www.bettercloud.com/monitor/information-security-and-pop-culture/,
stan z dn. 6 maja 2019.
[19] S. Booth, J. Tompkin, H. Pfister, J. Waldo, K. Gajos, R. Nagpal, Piggybacking Robots: Human-Robot
Overtrust in University Dormitory Security,
http://www.eecs.harvard.edu/~kgajos/papers/2017/booth17piggybacking.shtml, stan z dn. 6 maja 2019.
[20] https://demotywatory.pl/4599215/2035-rok-Amerykanski-zolnierz-patroluje-przedmiescia-Berlina, stan
z dn. 28 kwietnia 2019.