Metody socjotechniczne – BAITING (część V)

I.              BAITING – DEFINICJA ZJAWISKA

 

Baiting, czyli technika przynęty, to jedna z metod socjotechnicznych, które wykorzystują ludzkie cechy charakteru, takie jak ciekawość, chciwość czy pragnienie korzyści do osiągnięcia swoich celów. Można ją rozumieć jako formę pułapki, w której ofiara jest nakłaniana do podjęcia pewnych działań, które prowadzą do naruszenia bezpieczeństwa, stracenia poufnych danych lub dostępu do systemu.

Głównym elementem tej techniki jest "przynęta". Jest to coś, co jest wystawiane na widok jako potencjalnie atrakcyjne dla ofiary i skłania ją do działania. Przynęta może przybierać różne formy, w zależności od kontekstu i celów atakującego. Może to być na przykład pendrive pozostawiony w miejscu publicznym, link do rzekomej strony z wyjątkowo atrakcyjną ofertą, wiadomość e-mail sugerująca możliwość zdobycia dużych sum pieniędzy, a nawet fałszywe ogłoszenia o pracy.

Podstawowym mechanizmem, który sprawia, że baiting jest skuteczny, jest ludzka ciekawość i chęć zysku. Kiedy ofiara zauważa przynętę, jej naturalną reakcją może być chęć sprawdzenia, co to jest lub skorzystania z możliwości jakie daje. W momencie, gdy ofiara podejmuje działanie (np. podłącza pendrive, klika w link, otwiera załącznik wiadomości mailowej, itp.), atakujący instaluje szkodliwe oprogramowanie, uzyskuje dostęp do systemu lub zdobywa cenne informacje.

 

II.            FORMY ZASTOSOWANIA

 

Omawiana technika może przyjmować wiele różnych form, zależnie od kontekstu 
i celów. Poniżej przedstawiam kilka typowych przykładów:

 

1.      Fizyczny Baiting: Fizyczne formy omawianej techniki mogą obejmować takie działania jak pozostawianie urządzeń pamięci masowej (pendrive'ów) w miejscach publicznych 
z nadzieją, że ktoś je znajdzie i podepnie do swojego komputera. Pendrive może zawierać złośliwe oprogramowanie, które automatycznie zainstaluje się na komputerze ofiary, gdy zostanie podłączany. Skutkiem tego będzie następnie umożliwienie dostępu atakującemu do systemu lub danych. Może to być również forma dokumentu z "poufnymi" informacjami, które wydają się interesujące dla ofiary i mogą ją skłonić do podjęcia działań, które naruszają zasady bezpieczeństwa.

 

2.      Cyfrowy Baiting (Phishing): W cyfrowej formie zjawiska atakujący korzysta z e-maili, wiadomości na mediach społecznościowych, SMS-ów lub innych form komunikacji online, aby przekonać ofiarę do kliknięcia w link lub otwarcia załącznika. Wiadomości te często zawierają "przynętę" w postaci atrakcyjnych ofert, nagród, straszliwych ostrzeżeń lub innych bodźców, które skłaniają ofiarę do działania. Po kliknięciu na link, ofiara może być przekierowana na fałszywą stronę logowania, która wykrada jej dane, lub może pobrać złośliwe oprogramowanie na jej urządzenie.

 

3.      Baiting za pośrednictwem mediów społecznościowych: Media społecznościowe są idealnym miejscem do stosowania technik socjotechnicznych, w tym baitingu. Atakujący mogą udawać osoby, które ofiara zna, a co za tym wzbudzają jej zaufanie, mogą również udawać organizacje lub marki, które ofiara rozpoznaje. Następnie poprzez wykorzystanie używać fałszywych tożsamości przesyłane są wiadomości z przynętą, takie jak link do "niezwykłej" oferty, czy też interesującego filmu. Socjotechnicy mogą również tworzyć fałszywe posty, które wydają się pochodzić od zaufanych źródeł i zawierać przynętę w postaci linku lub załącznika, w które ofiara ma kliknąć.

 

 

4.      Baiting w środowisku pracy: opisywana socjotechnika może być również wykorzystywana w środowiskach pracowniczych, gdzie atakujący mogą korzystając z ciekawości i pragnienia awansu pracowników wysłać im spersonalizowane wiadomości e-mail z fałszywym ogłoszeniem o pracy lub informacją o wewnętrznym szkoleniu, które wymaga kliknięcia w link lub pobrania załącznika.

 

III.          ASPEKT PSYCHOLOGICZNY ZJAWISKA

 

Technika Baiting’u skutecznie wykorzystuje kilka podstawowych skłonności ludzkiego umysłu.

1.      Ciekawość - Ludzie są naturalnie ciekawi, a atakujący wykorzystują tę skłonność do osiągania swoich korzyści. Przykładowo, jeśli ktoś znajdzie pendrive'a na parkingu, może chcieć zobaczyć, co na nim jest z czystej ciekawości. Skutkiem tego może być podłączenie pendrive'a do komputera, co następnie prowadzi do zainfekowania go złośliwym oprogramowaniem.

2.      Pragnienie korzyści/chciwość - Baiting często polega na oferowaniu czegoś, co wygląda na zbyt dobre, aby mogło być prawdziwe, zwykle jest to nieprawdziwe. Atakujący liczą na to, że chciwość lub pragnienie korzyści przezwycięży zdrowy rozsądek i prowadzi do naruszenia bezpieczeństwa.

3.      Zaufanie - Omawiana technika często polega na udawaniu zaufanej osoby lub organizacji, aby skłonić ofiarę do podjęcia określonych działań. Atakujący mogą na przykład udawać pracownika pomocy technicznej i prosić o dostęp do komputera ofiary, a następnie instalować złośliwe oprogramowanie. 

Wszystkie te czynniki są wykorzystywane w technice Baitingu, aby skłonić ofiary do podjęcia działań, które prowadzą do naruszenia ich własnego bezpieczeństwa. Dlatego zrozumienie tych psychologicznych aspektów może pomóc w rozpoznaniu i uniknięciu takich ataków.


IV.          PRZYKŁADY ZASTOSOWANIA 

     Poniżej załączam kilka znanych przykładów wykorzystania omawianej metody socjotechnicznej.

 

1.      Atak Stuxnet - Jeden z najbardziej znanych przykładów Baitingu to atak z użyciem wirusa Stuxnet, który był jednym z najbardziej zaawansowanych złośliwych w historii. Został zaprojektowany do ataku na irańskie instalacje nuklearne i rozprzestrzeniał się poprzez fizyczne urządzenia USB. Ktoś musiał więc włożyć zainfekowany pendrive do systemu. (1)

 

2.      Szkodliwe oprogramowanie Locky - W 2016 roku pojawiło się szkodliwe oprogramowanie o nazwie Locky, które rozprzestrzeniało się przez e-maile zawierające załączniki w formie faktur. Ofiary, celem sprawdzenia rzekomej faktury, otwierały załącznik, a tym samym instalowały złośliwe oprogramowanie, które następnie szyfrowało pliki na ich komputerach i wymagało okupu za odszyfrowanie. (2)

 

       Musimy pamiętać,  że w każdym z tych przypadków ofiara podjęła jakieś działania, takie jak podłączenie pendrive'a do komputera, czy kliknięcie w link. Dopiero po wykonaniu tych czynności ataki okazywały się skuteczne. 

 

V.            PODSUMOWANIE

 

       Technika socjotechniczna Baitingu jest skuteczną metodą manipulacji, która wykorzystuje psychologiczne skłonności człowieka do ciekawości, pragnienia korzyści/chciwości lub zaufania w celu skłonienia ofiary do naruszenia zasad bezpieczeństwa. Omawiana technika może przyjmować różne formy, od pozostawiania fizycznych urządzeń z zainstalowanym złośliwym oprogramowaniem, po przesyłanie przekonujących wiadomości e-mail, które skłaniają do kliknięcia linku lub otwarcia załącznika.

 

       Baiting jest szczególnie skuteczny, ponieważ wykorzystuje naturalne skłonności ludzkiego umysłu. Możemy być naturalnie ciekawi lub chciwi, a atakujący wykorzystają te cechy do skłonienia nas do podjęcia działań, których normalnie byśmy unikali. 

 

       Pomimo wielu znanych i udokumentowanych przypadków wykorzystania techniki Baitingu, ważne jest pamiętanie, że zawsze istnieje ryzyko nowych, bardziej zaawansowanych ataków. Dlatego kluczowe jest utrzymanie aktualności naszej wiedzy na temat taktyk socjotechnicznych i podejście do tematyki bezpieczeństwa z perspektywy "założenia najgorszego".

 

 

Bibliografia:

 

1.     Kim ZETTER, Stuxnet. Początek ataku na infrastrukturę krytyczną świata, WCN, źródło: https://wszystkoconajwazniejsze.pl/kim-zetter-stuxnet/

2.     Piotr Dziubak, Uważajcie na Locky bo nie będziecie lucky. Ten trojan szyfruje dane komputera, 11.04.2016, Cashless.pl, źródło: https://www.cashless.pl/1175-uwazajcie-na-locky-bo-nie-bedziecie-lucky-ten-trojan-szyfruje-dane-komputera

 

 

 

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Sztuczna inteligencja a zagrożenia dla uczciwości wyborów w Polsce: potencjalne scenariusze ataków

I.                Wstęp   Sztuczna inteligencja (AI) stanowi obecnie narzędzie o niespotykanych wcześniej możliwościach (1), które może być wykorzystane do różnorodnych celów, w tym także do manipulacji opinią publiczną w czasie wyborów. W kontekście procesu wyborczego, działania takie podejmowane za pomocą sztucznej inteligencji mogą prowadzić do szeregu negatywnych skutków, w tym wpływania na podejmowanie decyzji wyborczych. Jednym z największych zagrożeń, jakie stoją przed naszym społeczeństwem, jest wykorzystanie sztucznej inteligencji do celów nieetycznych, w tym manipulacji wyborczej. Takie zachowania mogą prowadzić do osłabienia zaufania społecznego do instytucji publicznych, ograniczania wolności słowa, rozprzestrzeniania dezinformacji i pogłębiania podziałów społecznych. Szczególną uwagę trzeba zwrócić na manipulację społeczną, która prowadzona za pomocą sztucznej inteligencji może okazać się szczególnie niebezpieczna w kontekście nadchodzących wyborów, z uwagi na trudność jej
Czytaj więcej

Coordinated Inauthentic Behavior (CIB) - Jedno z największych wyzwań w wojnie w sieci.

Obraz
 Jednym z najczęstszych słów jakie pojawiają się w kontekście wojny na Ukrainie jest dezinformacja. W zasadzie nie ma dnia byśmy nie słyszeli o dezinformacji w telewizji, internecie czy też social mediach. Dziesiątki ekspertów radzą jak weryfikować wiadomości, jak rozpoznawać deep fake czy też walczyć z dezinformacją. W dzisiejszym wpisie "popłynę" z prądem mody na dezinformację, ale poruszę to nieco z innej strony, a mianowicie skupię się na pojęciu  Coordinated Inauthentic Behavior - CIB (skoordynowanego, nieautentycznego zachowania). Na początek co to jest CIB i dlaczego to jest takie ważne pojęcie. Jest wiele definicji CIB, ale w skrócie możemy przyjąć, że Coordinated Inauthentic Behavior występuje kiedy grupa ludzi lub profili (social media) pracuje razem w skoordynowany sposób wprowadzając innych w błąd w celu osiągnięcia określonych korzyści. Poniżej film który* w bardzo przystępny sposób to wyjaśnia: * źródło - Exposer of Trolls Co ważne CIB nie jest tylko związane
Czytaj więcej

Dezinformacja jako element walki w sieci - prawne aspekty odpowiedzialności karnej w prawie polskim.

Obraz
DEZINFORMACJA JAKO ELEMENT WALKI W SIECI – PRAWE ASPEKTY ODPOWIEDZIALNOŚCI KARNEJ W PRAWIE POLSKIM     1. WPROWADZENIE              W dobie powszechnego dostępu do internetu i rozwoju mediów społecznościowych problem dezinformacji stała się jednym z najpoważniejszych wyzwań, z jakimi musi mierzyć się współczesne społeczeństwo. Szerzenie fałszywych informacji, celem manipulowania i wpływania na opinię publiczną  w dzisiejszych czasach zyskało wręcz nieograniczony potencjał. W kontekście wojny informacyjnej prowadzonej w wirtualnej rzeczywistości dezinformacja odgrywa obecnie kluczową rolę, podważając zaufanie społeczne do organów państwa, mediów, organizacji społecznych, czy też wpływając na procesy polityczne, np. zakłócając prawidłowy tok prowadzonych procesów wyborczych w tym kampanii.                 W niniejszym artykule zamierzamy podjąć się omówienia szeroko pojętego zjawiska dezinformacji oraz prawnych aspektów odpowiedzialności karnoprawnej z nim związanej. Mamy nadzieję, iż pu
Czytaj więcej