Social engineering

From EIK wiki

Antud artikkel on kirjutatud aine "Operatsioonisüsteemide administreerimine ja sidumine" raames. Artikkel peaks andma põgusa ülevaate social engineering'ust ning mõndadest olulistemast rünnetest selles vallas.

Üldiselt võib öelda, et social engineering on inimese psüühikaga manipuleerimine selleks, et panna teda tegema seda, mida manipuleerija tahab. Kui igapäevaelus võib see hõlmata ka lihtsalt seda, et üks "veenab" teist koeraga jalutama minema, siis IT-maailmas on see rohkem seotud konfidentsiaalse informatsiooni kättesaamisega, ettevõtete ja teiste ohvrite pilgu läbi turvalisuse rikkumise ja infokaoga [1].

Social engineering on suures osas alternatiiv häkkerile, kes käsitsi süsteemi sisse murrab ja selle konfidentsiaalse info enda valdusesse võtab. Selle asemel, et sissemurdmist ise teostada, "veenab" ta pigem kedagi, kes antud infole ligipääsu omab, seda jagama. Selline viis on tunduvalt kiirem, kui ise kõigepealt sisse murda, siis see info kätte saada ja alles siis kättesaadut rakendama hakata[2].

Social engineering on väga vähesel määral seotud arvutis kasutatava tarkvaraga, kuna enamikel juhtudel on "nõrgimaks lüliks" inimene ja mitte tarkvaravead. Nagu Digital Guardian oma artiklis ära märgib, siis umbes ainult 3% pahavarast on seotud tarkvaranõrkuste ärakasutamisega. Tervelt 97% juhtudel aga kasutatakse ära inimese enda "nõrkust" infot kergekäeliselt ära anda [3].

Autor

Gert Sikk A21 2015/2016

Esitamise kuupäev 6.12.2015


Täiendatud: Triinu Tamm A21 2016/2017

Esitamise kuupäev 7.12.2016

Eesmärk

Social engineering on inimeste psüühiline manipuleerimine konfidentsiaalse informatsiooni kättesaamiseks, olgu need siis kasutajanimed, paroolid, pangaandmed vms. Kuigi enamasti on eesmärgiks saada kätte petta saava inimese hallatav(ad) informatsioon(id), siis tihti on prioriteediks ka saada ligi inimese arvutile, et salaja installida sinna pahavara (lisaks isiklikele andmetele saadakse ka kontroll kasutaja arvuti üle). "Kriminaalid" eelistavad tihtipeale just sellist lähenemist, sest inimeste usalduse võitmine on tunduvalt lihtsam, kui ise hakata sisse murdma süsteemidesse [4]. Social engineering'u erinevad tehnikad ja nende rakendamine on enamasti väike osa suuremast petuskeemist kriminaalile vajaliku infomatsiooni kättesaamiseks.

Social engineering töötabki inimese manipuleerimise baasil. Tihti mängitakse inimese emotsioonidega, harv ei ole olukord, kus ründaja, mängides kedagi, kes ta ei ole (nt sõber, töökaaslane), kirjutab emailis, et ta läks reisile, teda rööviti-rünnati, ja tal ei ole enam rahagi, et koju tagasi saada. Sellises olukorras on rünnatava inimese usaldus juba võidetud (sest tegemist on ju siiski "vana hea sõbraga") ning inimene ei hakkagi mõtlema, et tegu võiks olla mõne pahatahtliku inimesega, kelle ainuke eesmärk on hoopis ohvrit rahast lagedaks teha[5].

Tehnikad

Social engineering'us on väga palju erinevaid tehnikaid, mis loodud selle järgi, kuidas inimene otsuseid langetab. Väga tihti on üks osa tehnikast kas e-mail või mõni muu kiirsuhtluseks loodud vahend, mis eeldab kiiret reageerimist ja vastust (näiteks telefon) [6]. Kasutades tehnikat, mis hõlmab endas e-maili kasutamist, on häkkeri poolt tavaliselt kirja sisse pandud mõni link või manus, mis viitab kas nakatunud lehele või lahtipakitavale viirusele. N-ö inimese poolt tehtud "ekslikke otsuselangetusi" kutsutakse ka kui "bugs in the human hardware" ehk inimese tarkvaras esinevaid vigu.

See, millist tehnikat millises olukorras kasutatakse, oleneb suuresti sellest, mis on ründaja eesmärk ja kes on ohver. Seetõttu on ka erinevaid tehnikaid üpris mitu, mõned enimkasutatavamad on siinkohal välja toodud.

Phishing

Phishing (tuleneb sõnadest "password" ja "fishing") on tõenäoliselt kõige populaarsem social engineering'u tehnikatest (umbes 91% kõikidest informatsiooni väljapetmistest on phishing-tüüpi)[7].

Phishing 'ule peamised iseloomulikud jooned on isikliku informatsiooni kättesaamine (nimed, aadressid, isikukoodid) ja lühendatud või omakorda teise lingi sisse peidetud lingid, mis viitavad nakatunud lehekülgedele. Et ohver kindlasti klikiks lingile, siis on e-mailis ära mainitud, et antud lingile klikades on võimalik saada rohkemat informatsiooni vms. Samuti on phishing 'u juures olulisel kohal ohvrile teada andmine, et kogu olukorraga on kiire ning ohver kindlasti ei tohiks asja edasi lükata, vaid kohe saadetud lingiga tegelema hakata[8]

Spear phishing

Spear phishing erineb tavapärasest phishing'ust selle võrra, et esimene juht on suunatud mingile konkreetsele ettevõttele või organisatsioonile. Phishing-tüüpi meetodi puhul viitavad saadetud lingid tavaliselt hästituntud saitidele ja ettevõtetele (näiteks PayPal või eBay), samas kui spear phishing-meetodiga kasutatakse rünnatava ettevõtte/organisatsiooni enda kodulehekülge ja tihtipeale viidatakse ka ettevõttesisestele juhtivatel kohtadel olevatele inimestele, et kiiremini võita ohvri usaldust ründaja suhtes[9].

Pretexting

Pretexting on valetamise ja stsenaariumi väljamõtlemise teel salastatud informatsiooni kättesaamine, kus häkker räägib end olevat kellegina, kes ta tegelikult ei ole, seda enamasti telefoni teel (tihtipeale nimetatakse seda ka identideedivarguseks). See meetod nõuab ründajalt väga laialdast eelinformatsiooni kogumist (nii ohvri- kui ka ettevõttepoolset), et võita ohvri täielik usaldus nii, et tal ei tekiks ühtegi kahtlust, kui ründaja püüab salajast informatsiooni kätte saada[10].

Tihtipeale ründaja teeskleb, et ta on keegi, kel on olemas kõik õigused ja privileegid saamaks teada vastuseid kõigile küsimustele, mis ta küsib. Enamasti alustatakse sellega, et ründaja palub ohvril ennast identifitseerida, et panna ohver tundma, et konkreetses olukorras on tõesti tegemist "legaalse" inimesega [11].

Kõige tihedamini teeseldakse, et ollakse kusagilt küsitlusfirmast paludes vastata mõnele lihtsale küsimusele suurema uuringu tarbeks [12]. Saades teada piisavalt informatsiooni ohvri kohta, kasutatakse seda ära, esinedes ohvri endana (näiteks eelnevalt küsitakse ohvrilt n-ö kontrollküsimusi tema finantsandmete kohta ning hiljem, teades neid andmeid, helistatakse ohvri panka ja esitatakse seda sama informatsiooni pangale).

Baiting

Baiting on tehnika social engineering'us, kus kasutatakse ära kas inimese ahnust, heatahtlikkust või uudishimu. Ründaja meelitab ohvrit andma ära isiklikku või konfidentsiaalset informatsiooni, saades ise vastutasuks midagi, mida ohver tahab (näiteks saab ta alla laadida muusikat või filmi, millele ohvril muidu ligipääsu ei oleks)[13].

Kuid inimese lõksutõmbamiseks ei pea tingimata kasutama digitaalset "sööta". Baiting'gu puhul on enimkasutatud hoopis selle füüsiline vorm. Kõige tavapärasem on jätta USB-pulk kuhugile lauale (või mõnda muusse läbikäidavasse ja lihtsasti nähtavasse kohta) ning loota, et inimese loomulik uudishimuinstinkt ja healoomulisus panevad ohvrit vaatama USB sisu. Sellega nad käivitavad USB-pulgal oleva viiruse ning automaatselt laevad selle enda arvutisse alla [14]

Scareware

Scareware kasutab ära inimese hirmutunnet. Ründaja paneb ohvri arvama, et ta arvuti on nakatunud pahavaraga ning samal ajal "abistavalt" pakub välja programme pahavara eemaldamiseks. Tegelikkuses on ründaja pakutavates programmides ja linkides peidetud pahavarad, millele klikates ja alla laadides nakatab ohver oma arvuti [15].

Seda tehnikat realiseeritakse reeglina kahel viisil - kas e-maili teel või eraldiseisva tarkvarana, mis genereerib brauserisse vastavasisulisi pop-up'e (mis teavitavad süsteemiriketest ja -rünnetest). Enamasti sellisel pop-up'idel on omadus, et kui püüda klikkida "X"-ile või "Cancel"-nupule, siis see on just see, mis aktiveerib pahavara ja hakkab seda arvutisse installima[16].

Alati pole eesmärgiks ainult ohvri arvutisse pahavara installeerida, vaid ka lihtsal teel neilt raha välja pressida. Kui ohver jääb uskuma, et ta arvuti on nakatunud, siis tihtipeale ollakse kerges paanikas ning valmis tegema kõike, et viirusest lahti saada, samuti ka maksma summasid asja eest, mis väidetavalt peaks probleemid lahendama. Siis enam ei mõelda ega kontrollita seda, kas antud jutt ka tõele vastab, vaid usutakse pimesi.

Tailgating

Tailgating (samuti ka piggybacking) on meetod, kus inimene siseneb ruumi, kuhu tal tegelikult õiguseid ei ole. Selle saavutamiseks vastavate õigusteta inimene enamasti n-ö käib järgi inimesel, kel need õigused on [17].

Tihti teeseldakse, et ollakse kas kuller või ettevõttesisene töötaja. Teeseldes kullerit, palutakse kaupa vastuvõtval töötajal hoida ust lahti mingil põhjusel ja nii kaua, kui töötaja ust lahti hoiab, läheb keegi sinna ruumi volitamata sisse. Teine populaarsem viis on teeselda ettevõttesisest töötajat, kes kogemata unustas oma töötajakaardi laua peale ning seetõttu palub "kaastöötajal" hoida ust lahti ning lasta ta sisse niisama[18].

Vältimine

See on teadatuntud tõde, et lihtsam on rünnakuid vältida selle asemel, et pärast nende tagajärgedega tegeleda. Sama reegel kehtib ka social engineering'u puhul. Kuna social engineering "mängib" inimese psühholoogiaga, seega ennekõike peaks tegelema sellega, et teadvustada inimesi erinevtest rünnakuvõimalustest ja -viisidest, et töötajad (ja ka teised) oskaksid ohumärke ära tunda[19].

Tähtis on mitte avada e-kirju, mille allikas kindel ei olda, samuti mitte vastu võtta pakkumisi, mis tunduvad kahtlased või liiga head, et tõsi olla. Ka tööarvutid võiksid olla lukustatud, kui inimene ise arvuti järelvalveta jätab, et volitamatad isikud ei saaks lihtsalt andmetele ligi [20]

Oluline ka on see, et arvutis oleks olemas korralik viirustõrjeprogramm. Kuigi see ei kaitse absoluutselt kõige eest, aitab see hoida silma peal kahtlastel asjaoludel süsteemis[21].

Administreerija seisukohalt peaks firmasiseselt pidevalt tegema n-ö penetration teste, et veenduda, kas ja kuidas töötajad reageerivad, kui social engineering'u rünnak peaks päriselt juhtuma. Samuti on olulisel kohal töötajate pidev informeerimine, et oleksid teada rünnakute tundemärgid ja mida peaks sellisel olukorras tegema.

Suuremad rünnakud

Mõned näited suurematest rünnakutest.

Nigerian Scam

Enamasti rünnatakse väike- ja keskmise suurusega ettevõtteid ja heategevusfonde. Ohvrile saadetakse e-mail, saadetud Nigeeria Keskpanga (või ka Nigeeria valitsuse enda) poolt. Kirjas väidetakse, et Nigeeria Keskpank/valitsus otsib välismaist ettevõtet, kelle pangakontole nad saaksid kanda $10-$60 millionit, mille Nigeeria valitsus olevat liiga palju maksnud mingi tehingu raames.

Petuskeemi eesmärk on panna ohvrit arvama, et just tema on välja valitud sellise "kohustuse" eestvedajaks. Ründaja toob välja kõik "ametliku väljanägemisega" dokumendid, pangaandmed ja kontoväljavõtted. Samuti on korraldatud ka reaalseid kokkusaamisi, et petuskeem näeks eriti autentne välja.

Ründaja jaoks hakkab kasu tulema siis, kui ohver on täiesti lõksu saadud. Kuigi esialgselt lubati lihtsalt pangaülekannet ühest pangast teise, siis mida aeg edasi, seda rohkem hakkab tekkima probleeme, mille ainuke lahendus paistab olevat maksmine. Oluline on fakt, et ründaja lubab ohvrile, et konkreetne makse jääb kindlasti viimaseks. Selline protsess kestab tihti kuid[22].

RSA SecurID Breach

2011. aastal toimunud rünnak küberkaitsefirma vastu. Kogu rünnak algas social engineering'ust, kus ründaja saatis välja kaks phishing-tüüpi e-maili kahele erinevale töörühmale kahel erineval päeval. Kirjad läksid esialgu rämpsposti, kuid ühe töötaja jaoks tundus pakkumine ahvatlev ja ta võttis kirja rämpsust välja, avades kirjas oleva excel-faili. Konkreetne fail sisaldas endas viirust, mis laadis alla tagaukse läbi Adobe Flashi nõrkuse. Kogu rünnak läks ettevõttele maksma ligi 66 miljonit dollarit. See on omakorda ka üks suuremaid rünnakuid küberkaitsefirma vastu [23]

Kokkuvõte

Social engineering põhineb inimese psühholoogial, mis tähendab, et olenemata tarkvarast on seda väga raske vältida. Isiklikult leian, et häkkerid leiavad alati viisi, kuidas kuhugile sisse murda (social engineering on hea näide, et enam ei läheneta tarkvara poole pealt, vaid hakatakse ära kasutama hoopis inimeste nõrkusi). Minu jaoks on social engineering väga huvitav nähtus IT-maailmas, sest esmapilgul ei tundu, et rünnata võiks hoopis sellest küljest, arvestades, et inimesed arvavad tihtipeale, et ainuke viis infokaoks on puudulik viirusetõrjeprogramm või viiruseid täis lingid.

Antud artikkel koostati aine "Operatsioonisüsteemide administreerimine ja sidumine" raames, et lähemalt tutvustada social engineering'ut kui sellist ning tuua välja mõned ohukohad ning asjaolud, mille teadmine oleks ka administreerijale kasulik.

Viited

  1. https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering
  2. http://sin.thecthulhu.com/library/security/social_engineering/The_Art_of_Human_Hacking.pdf; Peatükk 1 "Overview of Social Engineering", alapeatükk "The Different Types of Social Engineers"
  3. https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack; Peatükk "Social engineering attacks"
  4. https://www.webroot.com/us/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering
  5. http://searchsecurity.techtarget.com/definition/social-engineering
  6. https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack
  7. https://digitalguardian.com/blog/social-engineering-attacks-common-techniques-how-prevent-attack
  8. https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/
  9. http://searchsecurity.techtarget.com/definition/spear-phishing
  10. http://www.social-engineer.org/framework/influencing-others/pretexting/
  11. http://searchcio.techtarget.com/definition/pretexting
  12. http://www.scambusters.org/pretexting.html
  13. http://www.datto.com/blog/5-types-of-social-engineering-attacks; Punkt 2. Baiting
  14. https://www.incapsula.com/web-application-security/social-engineering-attack.html; Social engineering attack techniques, Baiting
  15. https://www.incapsula.com/web-application-security/social-engineering-attack.html; Social engineering attack techniques, Scareware
  16. http://whatis.techtarget.com/definition/scareware
  17. http://www.datto.com/blog/5-types-of-social-engineering-attacks;Punkt 5. Piggybacking
  18. https://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/; Punkt 5. Tailgaiting
  19. https://www.incapsula.com/web-application-security/social-engineering-attack.html; Social engineering prevention
  20. http://www.datto.com/blog/5-types-of-social-engineering-attacks; Viimased lõigud
  21. hhttps://www.tripwire.com/state-of-security/security-awareness/5-social-engineering-attacks-to-watch-out-for/; Recommendations
  22. http://www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html
  23. http://www.darkreading.com/the-7-best-social-engineering-attacks-ever/d/d-id/1319411?image_number=3