Socjotechnika (inżynieria społeczna), to w dość ogólnej definicji zespół technik służących osiągnięciu określonych celów poprzez manipulację.

Jeden z najbardziej znanych komputerowych włamywaczy, Kevin Mitnic, w swojej książce „Sztuka podstępu” opisał techniki uzyskiwania dostępu do tajnych informacji z wykorzystaniem różnych, najprostszych nawet, środków komunikacji. Autor udowodnił, że najsłabszym punktem systemów bezpieczeństwa jest zawsze człowiek. Kosztujące niejednokrotnie wiele milionów dolarów systemy zabezpieczeń, można pokonać za pomocą danych zdobytych dzięki znajomości ludzkiej psychiki, pochodzących od naiwnych lub nieświadomych pracowników.

Socjotechnika jest jedną z najpopularniejszych i wyjątkowo groźnych metod wykorzystywanych przez cyberprzestępców, ponieważ atak tego typu trudno jest wykryć przed powstaniem szkody. Najczęściej zaatakowani pozostają zupełnie nieświadomi, że za pomocą manipulacji zostali skłonieni do określonego działania.

Powstaje pytanie: dlaczego przestępcy w większości wypadków nie mają problemów z uzyskaniem informacji?

Tu musimy odwołać się do psychologii. Człowiek większość bodźców zewnętrznych odbiera automatycznie i rzadko analizuje powody konkretnego działania. W związku z tym umiejętnie zastosowany bodziec zewnętrzny będzie prowadzić do uzyskania określonego zachowania.

Atakujący wykorzystują techniki wpływu społecznego, znane jako sześć reguł Roberta Cialdiniego:

  • Reguła wzajemności„Jeśli ty zrobiłeś dla mnie coś dobrego, to ja także zrobię coś dobrego dla ciebie” – człowiek czuje się zobowiązany odwdzięczyć, jeśli coś od kogoś otrzyma za darmo.
  • Reguła społecznego dowodu słuszności„Jeżeli inni ludzie postępują w dany sposób, to oznacza to, że ten sposób jest właściwy i ja również będę postępował w ten sam sposób” – jeśli powszechnie uznaje się określone działanie za słuszne, łatwiej jest przekonać do tego konkretną osobę.
  • Reguła sympatii – „Jeżeli lubię cię, to chętniej spełnię twoją prośbę” – człowiek chętniej spełnia prośby kogoś, kogo lubi; sympatycznym osobom ufamy bardziej.
  • Reguła autorytetu – „Jeżeli uważam, że jesteś autorytetem, to chętniej spełnię twoją prośbę” – człowiek chętniej wypełnia prośby osób posiadających w jego oczach autorytet, np. ze względu na stanowisko lub wiedzę.
  • Reguła niedostępności – „Jeżeli coś jest rzadkie lub trudno osiągalne, to pewnie jest dobre” – większą wartość przypisuje się rzeczom, które są trudno dostępne lub unikatowe.
  • Reguła zaangażowania i konsekwencji„Jeżeli zaangażowałem się w coś, to będę kontynuował to działanie, ponieważ chcę być postrzegany jako osoba konsekwentna” – człowiek podtrzymuje pogląd na konkretną sprawę, tylko dlatego, że wyraził swoje zdanie w przeszłości, nawet jeśli jest w błędzie.

Działania socjotechniczne skierowane są najczęściej przeciw:

pracownikom nieświadomym zagrożeń – decyduje łatwość uzyskania potrzebnych informacji,

posiadającym specjalne uprawnienia – istnieje możliwość uzyskania dostępu do ważnych danych,

pracujących w kluczowych działach – istnieje możliwość uzyskania dostępu do najważniejszych systemów.

Należy pamiętać, że każdy atak poprzedzony jest dokładnym badaniem struktury organizacji, zakresu kompetencji pracowników, listy firm współpracujących i innych informacji ogólnie dostępnych, potrzebnych do ustalenia wektora uderzenia. Atakujący rozpoznaje cel, potem (z wykorzystaniem wyżej wymienionych zasad) zdobywa sympatię i zaufanie konkretnej osoby, następnie skłania ją do określonego działania, jakim jest najczęściej uzyskanie konkretnej informacji. Działania tego typu mogą dotknąć wiele osób w firmie, a zdobyta cząstkowa wiedza wykorzystana do przeprowadzenia zmasowanego ataku.

Typowe przykłady to: udawanie pracownika tego samego przedsiębiorstwa, udawanie osoby posiadającej władzę, udawanie nowego pracownika, który potrzebuje pomocy lub udawanie przedstawiciela firmy, z którą realizowana jest stała współpraca.

Na tego typu ataki najbardziej narażone są duże firmy, posiadające wiele oddziałów lub takie, w których system komunikacji wewnętrznej jest niedostateczny, a ludzie nie znają się wzajemnie. To ułatwia podszycie się pod pracownika innego działu.

Największym czynnikiem ryzyka dotyczącym wszystkich firm jest niska świadomość zagrożenia. Często organizacje same upubliczniają poufne dane w internecie, niedostateczne nadzorują systemy bezpieczeństwa, zbyt rzadko przeprowadzają audyty kontrolne i nie dbają o należytą kwalifikację informacji.

Warto również pamiętać, że ataki socjotechniczne to nie tylko kontakty telefoniczne. Często przestępcy pojawiają się osobiście, podając się za pracowników firm serwisujących lub przedstawicieli handlowych. Stosują praktycznie wszystkie dostępne technologie: e-mail, SMS, wiadomość na portalach społecznościowych lub czatach internetowych.

Najbardziej skuteczną ochroną przed oddziaływaniem socjotechnicznym jest zbudowanie u pracowników świadomości potencjalnych zagrożeń oraz dokładne określenie zakresu informacji, które nie powinny opuszczać firmy.

Jak się zabezpieczyć?

Przede wszystkim należy zadbać o świadomość pracowników wszystkich szczebli poprzez okresowe szkolenia obejmujące materiał teoretyczny i umiejętności praktyczne. Bogatsi o wiedzę dotyczącą procesów psychologicznych oraz schematów działań przestępców, pracownicy łatwiej będą potrafili rozpoznać atak. Warto pamiętać, że samo wpojenie zasad bezpieczeństwa może nie być wystarczające. Pracownicy powinni znać powody wprowadzenia określonych reguł postępowania, uzyskać wiedzę o korzyściach postępowania według wytycznych i konsekwencje załamania zasad.

Równie ważne jest wprowadzenie systemu zarządzania bezpieczeństwem informacji, który jasno określi sposoby klasyfikacji informacji, odpowiedzialności za poszczególne elementy systemu, zasady związane z bezpieczeństwem IT (regulujące między innymi stosowanie haseł systemowych o odpowiedniej złożoności, konieczność regularnej zmiany haseł oraz sposobu ich przechowywania). Dokumentacja powinna uwzględniać ryzyko utraty poufnych informacji, a także opisywać ewentualne straty (finansowe, moralne, przewagi konkurencyjnej) wynikające z „wycieku” danych tego typu.

Istotnym elementem polityki bezpieczeństwa jest regularne przeprowadzanie audytów bezpieczeństwa informatycznego. W ich wyniku otrzymujemy pełną wiedzę, która pozwoli na weryfikację skuteczności zastosowanych procedur, sprawdzi stopień odporności firmy na ataki socjotechniczne, pozwoli na wykrycie problemów i przede wszystkim umożliwi wprowadzenie skutecznych działań naprawczych.

Podstawowe środki ostrożności:

*Zasady poruszania się w zinformatyzowanym świecie wydają się być oczywiste, ale bardzo często o nich zapominamy:

*Hasła dostępu – nigdy nie powinniśmy ich udostępniać trzecim osobom. Trzeba pamiętać, że administratorzy danych we wszystkich organizacjach posiadają własne uprawnienie i nigdy nie będą prosić podanie indywidualnego hasła! Należy stosować różne hasła do każdego serwisu, odporne na złamanie (wysoki stopień komplikacji znaków alfanumerycznych).

*Udostępnianie informacji. – im mniej danych o sobie, o naszej organizacji udostępniamy, tym trudniej jest atakującemu dokonać manipulacji. Każdy, nawet z pozoru nieznaczący szczegół, połączony z innymi informacjami może stworzyć kompletny obraz. Dotyczy to wszelkich portali społecznościowych, publicznych for, chatów, list mailingowych.

*Weryfikacja – przed otwarciem załączonych plików lub kliknięciem na link trzeba koniecznie sprawdzić nadawcę SMS-a lub domenę nadawcy maila. Jeśli mamy jakiekolwiek wątpliwości dotyczące źródła, należy skasować wiadomość bez przeglądania jej zawartości. W przypadku telefonu z prośbą o udostępnienie danych  w pierwszej kolejności należy prosić o kontakt do dzwoniącej osoby, następnie, potwierdzić w zaufanym miejscu numer telefonu firmy i oddzwonić. Dopiero wtedy pewność, że naprawdę rozmawiamy z właściwą osobą.