Czym jest socjotechnika? W kontekście bezpieczeństwa IT pod tym pojęciem rozumie się próby dotarcia do poufnych informacji za pomocą manipulacji. Do tego celu przestępcy często wykorzystują różne środki komunikacji - np. telefon czy pocztę elektroniczną. W Polsce problem został kilka lat temu nagłośniony słynną książką Kevina Mitnicka "Sztuka podstępu. Łamałem ludzi, nie hasła". Jest to obowiązkowa lektura dla każdego, kto obecnie ma do czynienia z bezpieczeństwem IT.

Jednak wciąż brakuje na rynku publikacji, które odnosiłyby się do naszych lokalnych realiów. Jeżeli dokładnie przyjrzymy się sytuacji w Polsce, może okazać się, że wiele czynników ułatwia ataki socjotechniczne. - Podczas mojej pracy jako pentestera podanie się za pracownika GUS-u i powołanie się w rozmowie na odpowiedni zapis wystarczało, by natychmiast uzyskać dostęp do danych każdej firmy, w której przeprowadzałem audyt bezpieczeństwa - mówi Piotr Konieczny, pracujący w brytyjskim oddziale koncernu Philips, obecnie specjalista ds. bezpieczeństwa w krakowskim Compendium.

Pamiętajmy, że obrona przed profesjonalnym socjotechnikiem - zawodowym szpiegiem i złodziejem danych - wymaga zupełnie innych środków niż ochrona przed amatorem, który znalazł w Internecie darmowe narzędzia "hakerskie". Socjotechnik atakuje w sposób całkowicie odmienny i trudniejszy do przewidzenia. Szuka słabych punktów u ludzi i bez skrupułów wykorzystuje każde zawahanie.

Kim jest socjotechnik?

Nie ma większego znaczenia, czy socjotechnik pracuje na własny rachunek, czy też dla firmy lub organizacji. Może on równie dobrze realizować zlecenia, polegające na zdobyciu informacji o konkurencji, jak i być prywatnym detektywem tropiącym niewiernego męża. Trudno jest przewidzieć wszystkie możliwe scenariusze, dlatego też zabezpieczenia przeciw atakom socjotechnicznym muszą być uniwersalne i podlegać regularnym testom.

Najczęściej przestępca przyjmujący rolę socjotechnika, dysponuje wysokimi umiejętnościami interpersonalnymi, które nieustannie szlifuje. Bardzo łatwo wzbudza zaufanie. Jest zawsze miły, uprzejmy, uśmiecha się i zna się na mechanizmach ludzkiej psychiki. Doskonale rozumie metody manipulacji, a kłamiąc, nigdy nie traci zimnej krwi. Zasady psychologii wykorzystuje dla własnej korzyści. Na ogół bardzo dobrze orientuje się w różnych zagadnieniach technicznych. Łącząc ze sobą wymienione cechy, socjotechnicy potrafią przeprowadzać brawurowe i celne ataki na przedsiębiorstwa i jednostki administracji. W ostatnich latach coraz częściej dowiadujemy się o wypadkach wycieku danych wynikających z niedbalstwa i słabości procedur. Jednak o kradzieżach danych dokonanych przy użyciu ataków socjotechnicznych nie słyszy się praktycznie nigdy. Wynika to z rzadkości takich ataków czy może raczej z ich wysokiej skuteczności?

Siła niepozornych informacji

Podstawą większości ataków socjotechnicznych jest wykorzystanie pozornie nieistotnych informacji, których pracownicy na ogół nie starają się chronić.

[...]

Autor prowadzi firmę konsultingową Entigra doradzającą firmom w zakresie użyteczności stron WWW. Jest także dziennikarzem w branży IT współpracującym z takimi tytułami, jak m.in. Magazyn INTERNET, Chip i PC World.