Audyt socjotechniczny - co to jest i w jakim celu go przeprowadzać?

19 Jan 2022
Przeczytaj w 5 minut
Ataki socjotechniczne są zawsze skierowane na ludzi jako na najsłabsze ogniwo zabezpieczeń sieci. Wiele firm zamawia więc testy socjotechniczne mające sprawdzić odporność ich pracowników na tego typu zagrożenia. Wprawny przestępca, stosując sztuczki socjotechniczne, jest w stanie wydobyć wszystkie niezbędne informacje i dostępy podszywając się pod osoby, którym atakowany poda je bez obaw. W tym artykule opiszemy, co to jest atak socjotechniczny, jego rodzaje oraz jak bezpieczna firma można się przed nimi bronić.

Atak socjotechniczny – co to jest?

Socjotechnika to metody manipulacji człowiekiem, które mają skłonić go do podjęcia określonych czynności. Sprawny socjotechnik wykorzystuje swoich rozmówców lub osoby, do których pisze w celu zdobycia poszukiwanych informacji. Obecnie najczęściej ataki socjotechniczne polegają na skłonieniu użytkowników do: otworzenia załącznika do maila, pobrania pliku, otworzenia linku lub podania danych poufnych na fałszywej stronie internetowej. Zwykle w tym celu wysyłana jest wiadomość, która może wydawać się użytkownikowi dobrą okazją lub obowiązkiem, którego niespełnienie grozi karą, np.:
  • zaproszenie do wzięcia udziału w konkursie z atrakcyjnymi nagrodami poprzez wypełnienie formularza,
  • oferta darmowej albo promocyjnej aplikacji do ściągnięcia na jego telefon,
  • przesłanie informacji mailem pod wskazany adres e-mail łudząco podobny do urzędowego.
Takie ataki socjotechniczne mają w ostatnich latach liczne przykłady jak: pliki lub linki o następujących tytułach: wezwanie do zapłaty, faktura do opłaty, e-faktura za energię elektryczną, korekta zeznania podatkowego czy Twoje konto zostało zablokowane. Działania te mogą również przybierać postać bezpośredniego kontaktu, głównie telefonicznego, np.: przestępca wyłudza dane, podając się za kuriera, ankietera czy pracownika banku, policji lub jakiegoś urzędu.

Ataki socjotechniczne – rodzaje

Socjotechnika wyłudzania informacji wymaga stosowania różnych metod, w zależności od rozmówcy oraz funkcji osoby, za którą podają się przestępcy. Wśród ataków socjotechnicznych można wyróżnić następujące rodzaje:
  • zmniejszanie uległości, czyli wystąpienie z propozycją lub prośbą, która na pewno zostanie odrzucona, a następnie przedstawienie mniejszej prośby, możliwej do spełnienia, choć z pewnych względów niedopuszczalnej,
  • zwiększanie uległości, czyli poprzedzenie właściwej prośby, której spełnienie jest mało prawdopodobne, mniejszą z wysokim prawdopodobieństwem spełnienia. Jeśli atakowany zgodzi się na jej wykonanie, zwiększa się szansa, że zgodzi się i na kolejną,
  • odwzajemnienie, polegające na zobowiązaniu ofiary do wykonania jakiejś czynności na rzecz atakującego w zamian za okazaną pomoc, np. w zamian za usunięcie rzekomej awarii komputera. Często wdzięczna ofiara sama z siebie występuje z propozycją wykonania czegoś na rzecz przestępcy,
  • prośba o pomoc, czyli odwrócenie odwzajemnienia. Atakujący zwraca się prośbą o pomoc do pracowników firmy, udając młodszego stażem pracownika, który nie wie jak poradzić sobie z danym zagadnieniem. To dość skuteczna metoda, gdyż większość ludzi chętnie pomaga osobom, które znalazły się w trudnym położeniu,
  • wzbudzanie poczucia winy lub zastraszanie, polegające na wmówieniu atakowanemu jakiegoś negatywnego zachowania, następnie zaproponowania mu wykonania określonej czynności mającej je złagodzić. Zastraszanie zazwyczaj jest stosowane wobec pracowników niskiego szczebla w dużych przedsiębiorstwach lub organizacjach. Atakujący zwykle podaje się wtedy za osobę na wysokim stanowisku,
  • podanie się za pracownika jakiejś firmy – socjotechnik zdobywa najpierw podstawowe informacje na temat atakowanej firmy, a następnie używając jej nazw stanowisk oraz charakterystycznego słownictwa wydobywa interesujące go informacje od pracowników. Ta metoda jest niezwykle skuteczna wobec nowozatrudnionych, od których podając się za osobę z działu IT może wydobyć np. hasło dostępu do wewnętrznego systemu pod pozorem zbadania jego zgodności z procedurami,
  • budowanie zaufania, polegające na stopniowym poznawaniu ofiary np. poprzez wykonywanie częstych telefonów podając się za pracownika tej samej firmy lub kontrahenta. Po zbudowaniu pewnej relacji następuje atak właściwy, czyli prośba o podanie pewnych informacji, która z większym prawdopodobieństwem zostanie spełniona.

Co to jest i jak przebiega audyt socjotechniczny?

Audyt socjotechniczny polega na zbadaniu podatności pracowników danej organizacji na manipulację stosowaną podczas ataków socjotechnicznych. Podczas kontrolowanego ataku firma przeprowadzająca go stara się uzyskać informacje chronione z danej firmie. Przy okazji badana jest znajomość procedur i ich przestrzegania oraz świadomość możliwości stosowania przez przestępców technik manipulacyjnych. Badanie wykonywane jest przy użyciu tych samych źródeł, które do ataków wykorzystują przestępcy, czyli telefonu, maila oraz kontaktu osobistego. W ramach audytu mogą być przeprowadzane następujące działania:
  • podszywanie się pod różne osoby lub instytucje za pośrednictwem maila i telefonu,
  • dostarczanie przesyłek z nieautoryzowaną zawartością jak nośniki danych,
  • podrzucanie obcych nośników danych na terenie firmy,
  • próby fizycznego wejścia do chronionych pomieszczeń firmowych, np. serwerowni.
Działania prowadzone podczas audytu mają na celu:
  • wyłudzenie od pracowników poufnych informacji, np. loginów i haseł dostępu albo tajemnic technologicznych firmy,
  • uzyskanie dostępu do zasobów np. poprzez wyłudzenie hasła do konta w systemie lub uzyskanie możliwości utworzenia nowego,
  • aktywowanie złośliwego oprogramowania np. szpiegującego,
  • wyłudzenie pieniędzy lub środków materialnych.

Dlaczego warto przeprowadzać testy socjotechniczne w firmie?

Przeprowadzanie testów socjotechnicznych pozwala na weryfikację stopnia przygotowania danej firmy na zagrożenia atakami socjotechnicznymi. Większość incydentów bezpieczeństwa opiera się na prostych technikach manipulacyjnych stosowanych wobec pracowników firmy. W ich wyniku tracone są dane dostępu do kont bankowych, wyłudzane są tajemnice handlowe lub technologiczne albo aktywowane programy szpiegowskie, dzięki którym przestępcy mogą prowadzić inwigilację lub niszczyć dane. Dlatego warto przeprowadzać testy socjotechniczne mogące zapobiec tego typu zagrożeniom w firmie. Na podstawie ich wyników można przeprowadzić szkolenie dla pracowników, pozwalające na uniknięcie tego typu ataków w przyszłości. Szkolenie to efektywna forma podnoszenia poziomu bezpieczeństwa w firmie.

Podsumowanie

Świadomość możliwości ataku socjotechnicznego i tego, co to jest, pozwala na podjęcie środków zapobiegawczych. Świadczona przez nas opieka informatyczna dla firm w Warszawie zapewnia niezbędne wsparcie w ochronie i przestrzeganiu procedur bezpieczeństwa informacji w organizacji. Testy socjotechniczne na zamówienie pomogą w wyeliminowaniu błędów użytkowników związanych dostępem do danych, a profesjonalna obsługa informatyczna firm w Warszawie zagwarantuje skuteczne rozwiązania dla bezpieczeństwa danych.