Inżynieria społeczna w sieciach społecznościowych

- autor: tsissput

W przeciągu ostatnich lat, w okresie boomu internetowego, zauważamy rosnące zapotrzebowanie na dane. Badane są zachowania ludzi, zbierane są ich numery telefonów, adresy email. Osoby niepożądane próbują uzyskać dane dotyczące kart kredytowych, kont bankowych, wyłudzania pieniędzy (niegdyś poprzez zmuszanie do „wdzwaniania się” do internetu poprzez numer „0700”, dziś zmuszające do wysyłania sms premium).

Z drugiej strony, ludzie coraz mniej świadomie dane te przekazują. Korzystając z internetu, na każdym kroku pytani jesteśmy o adres email, hasło, login, często także o adres i numer telefonu, kartę kredytową. Jesteśmy w końcu społeczeństwem informacyjnym [1]. Utraciliśmy odruch „zastanawiania się” nad tym, komu te dane podajemy i w jakim celu. Przyjmujemy niejako na wiarę, schematy, którym ufamy (ta strona wydaje się być godna zaufania). Takie podejście pozostawia pole do nadużyć.

Inżynieria społeczna

To, z punktu widzenia politologii, zespół technik służących osiągnięcie określonych celów poprzez manipulację społeczeństwem [2]. Z punktu widzenia bezpieczeństwa systemów informatycznych, to najprawdopodobniej jedno z najlepszych narzędzi przełamywania zabezpieczeń. Istnieje duża szansa, iż stosując odpowiednie schematy psychologiczne uda nam się uzyskać informację, do której nie powinniśmy mieć dostępu, bądź też uda nam się wykorzystać osobę do wykonania czynności, której nie powinna wykonać [3].

Sieci społeczne

Wielokrotnie przeprowadzano badania, w których zadawano podchwytliwe pytania, przedstawiano podchwytliwe rysunki i proszono o wyjaśnienie zagadnienia (np. „która strzałka jest dłuższa”). Okazywało się, że dopóki wszyscy w grupie odpowiadali niepoprawnie, ale zgodnie, ja również najprawdopodobniej odpowiem niepoprawnie. Dopiero, gdy ktoś przede mną się „wyłamie” i odpowie prawidłowo, ja również mogę udzielić prawidłowej (lecz niepopularnej) odpowiedzi.
Warto mieć na uwadze „zachowania stadne” człowieka, gdy będziemy rozważać dlaczego aplikacje wyłudzające dane cieszą się takim powodzeniem w serwisach takich jak Facebook.

Analiza przypadku – Facebook

Nie ma chyba osoby, która nie znałaby „twarzoksiążki”. Wcześniej w Polsce dużą rolę odgrywała „nasza-klasa”, dziś jej dominacja nie jest już tak wielka.

Zacznijmy od scenariusza, gdy atakujący chciałby uzyskać dostęp do naszych emaili. Statystyki [5,6] pokazują, że zwykle hasła zawierają słowa które są prywatnie znaczące (imię, nazwisko, imię żony, córki, daty urodzenia, ulubione miejsce, etc.).
W takiej sytuacji najlepiej jest zacząć od informacji, których przecież nie mamy. Zaraz zaraz, przecież większość z tych informacji (jeśli nie wszystkie!) znajdziemy … na Facebooku. Może być łatwo – wejdziemy na profil użytkownika i uzyskamy dostęp do wszystkich niezbędnych danych.
Jednak możliwe jest, że ustawienia prywatności nie pozwolą crackerowi uzyskać tych informacji. Załóżmy, że jesteśmy więc bezpieczni.

Czy na pewno?

Jako cracker, nie poddajemy się tak łatwo. Nie minęło jeszcze 5 minut. Postarajmy się te dane uzyskać inaczej … może wystarczy wykonać, modną ostatnio, aplikację „Mój Kalendarz” [7]? Że taka istnieje? To co! Sukces murowany!

Wszedłem w zeszłym tygodniu na Facebooka, i zobaczyłem 5 zaproszeń do aplikacji kalendarz. Kliknąłęm na jedno, zastanowiłem się po co tej aplikacji dostęp do wszystkich moich danych, kliknąłem anuluj, nie pozwalając aplikacji uzyskać do nich dostępu. Minął dzień, a w mojej skrzynce pojawiło się kolejnych 7 zaproszeń. Zacząłem się zastanawiać „co to jest za fajna aplikacja, tyle osób już ją ma”. Jednak gdy Facebook pyta mnie zgodę na udostępnienie wszystkich moich danych (tablicy, daty urodzenia, etc.) to ostrzegawcza lampka powinna zapalić się u każdej osoby. A jednak około połowa moich znajomych zatwierdziła aplikację. Szanujmy informacje o sobie!

Zaraz zaraz, byliśmy przy crackerze. O, uzyskał on właśnie stosunkowo małym wysiłkiem dane „prywatne” kilku tysięcy / milionów osób (bo przecież każda kolejna osoba ufała osobie, która jej tę aplikację [nieświadomie] poleciła). W tym numery telefonów, maile, znajomi, relacje (związek z kim). Nie wprost uzyskał także informacje o koligacjach (ojciec, syn, brat, siostra), mąż, żona, partner. Nagle lista haseł do naszego emaila stała się dużo bardziej prawdopodobna. A propos! Zapomniałbym o ulubionych książkach, filmach, muzyce.

Idąc dalej – posiadam dane do emaila. Cracker uzyskał adres email z Facebooka, dopasował do niego hasło korzystając z najpopularniejszych haseł lub dzięki innym danym pozyskanym z Facebooka. No i co z tego?

Kto posiada internetowe konto bankowe? Kto otrzymuje wyciąg z konta na email? Masz konto na allegro? Zmienimy hasło i sprzedamy trochę fałszywych przedmiotów korzystając z Twoich „gwiazdek”.

Trzymasz kompromitujące materiały na Dropboxie, Facebooku, mailu? Może nawet nie wiesz, że są kompromitujące. Cracker będzie miał okazję do szantażu.

Reklamy, smsy, telefony

Oprócz jawnych strat, które możemy ponieść wskutek uzyskania dostępu do danych z Facebooka, możemy mieć także straty niejawne:

  • otrzymywanie niechcianych emaili/smsów/telefonów
  • wyświetlanie spersonalizowanych reklam (przykładowo: masz zdjęcia z pieluszkami – zaproponujemy Ci piwo, jesteś w nieformalnym związku – zaproponujemy Tobie środki antykoncepcyjne, etc.)

Handel informacją (bazami danych) jest zjawiskiem popularnym, dlatego zawsze powinniśmy zwracać uwagę na to, jakie warunki akceptujemy przy zakładaniu konta (nasza-klasa chciała wykorzystywać dane w celach marketingowych [11]).

Aplikacje…

Powiecie: „Ale ja nie akceptuję żadnej aplikacji.” lub „Znam aplikacje, które akceptuję.”. Nie uwierzę ale nie będę drążył tematu. A co z konkursami „wygraj macbooka” i do podobnymi?

W takim przypadku zastanówmy się nad scenariuszem „lubię to” [9]. Bardzo łatwo utworzyć stronę, na której uzyskamy kilkaset tysięcy fanów. Bardzo łatwo możemy wyświetlać im dedykowane reklamy, poprosić ich o wypełnienie formularzy, kliknięcie w link z potencjalnym wirusem. Znowu wracamy do zagadnienia związanego z faktem, że ludzie mają tendencję do ufania podmiotom, którym ufa wiele osób. Nikt nie będzie podejrzewał takiego „fanpage’a” o działania niepożądane.

Znajomi

No dobrze. Załóżmy, że jesteśmy ostrożni dodając nowe aplikacje, czy dodając się do „fanpage’y”. Czy jesteśmy ostrożni dodając znajomych? Czy jak ktoś zaprosi nas do znajomych, to od razu akceptujemy zaproszenie? Czy zastanawiamy się, co robimy? Trzeba być świadomym, że dodanie osoby do znajomych skutkuje udostępnieniem mu tych informacji, o których pisałem w części dotyczącej aplikacji. Ponadto, w zależności od ustawień prywatności, często dajemy dostęp do prywatnych danych „znajomym znajomych”, co powoduje kolejny wyciek informacji.

Ukryte linki

Niegdyś na Facebooku popularna była praktyka zasłaniania linków innymi przyciskami. Powinniśmy byli kliknąć na prostokąty w odpowiedniej kolejności, czy też kliknąć na interesujące elementy. W rzeczywistości takie klikanie skutkowało pobraniem wirusa, dodaniem znajomego, zaakceptowaniem aplikacji, przekierowaniem na wybraną stronę.

Ponownie, należy zwrócić uwagę na to, by przemyśleć czynności, które wykonujemy i nie wykonywać ślepo poleceń, które przekazuje nam niezaufana aplikacja.

HoneyBot

Bardzo ciekawą socjotechniką, spotykaną już wcześniej w sieciach komunikatorów, jest rozmowa z botem. Dzięki potencjalnemu dostępowi do listy znajomych, taki bot może skutecznie udawać drugą stronę rozmowy. Podaje się on za naszego znajomego, zagaduje, a potem próbuje wymusić kliknięcie w link, czy podanie pewnych prywatnych danych [10]. Okazuje się, że około 75% osób klika na wskazany link.

Wnioski

Pomijając fakt, jak cenne informacje sami umieszczamy na Facebooku, podstawowe zaniedbania których się dopuszczamy to:

  • ustawianie nieodpowiedniego poziomu prywatności
  • zbyt „chętne” dodawanie znajomych
  • zbytnie zaufanie do produktów „dobrze wyglądających” lub których intencje wydają się być dobre
  • zbytnie zaufanie do ocen znajomych (znajomi dodali aplikację, dodam i ja)
  • wykonywanie operacji, o które ktoś nas poprosi
  • nieświadomość wartości własnych danych
  • brak rozsądku w umieszczaniu zdjęć

[1] http://pl.wikipedia.org/wiki/Spo%C5%82ecze%C5%84stwo_informacyjne
[2] http://pl.wikipedia.org/wiki/In%C5%BCynieria_spo%C5%82eczna_(politologia)
[3] http://en.wikipedia.org/wiki/Social_engineering_(security)
[4] http://computertutorflorida.com/2010/04/social-engineering-on-facebook/
[5] http://www.zdnet.com/blog/security/weak-passwords-dominate-statistics-for-hotmails-phishing-scheme-leak/4538
[6] http://itickr.com/?p=148
[7] http://www.polskieradio.pl/5/3/Artykul/504456,Grozny-kalendarz-na-Facebooku-To-nie-tylko-spam
[8] http://www.komputerswiat.pl/nowosci/internet/2011/51/moj-kalendarz-na-facebooku-i-znowu-nas-naciagaja!.aspx
[9] http://antyweb.pl/jak-sie-zarabia-w-polsce-na-farmach-fanow-i-spamie-na-facebooku-wywiad/
[10] http://niebezpiecznik.pl/post/honeybot-czyli-sprytny-atak-social-engineering-na-facebooku/
[11] http://www.wiadomosci24.pl/artykul/nasza_klasa_moze_wykorzystac_zdjecia_uzytkownikow_145677.html

Autor: Piotr Ślatała

Advertisements

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d blogerów lubi to: