Sociálne inžinierstvo a princípy presviedčania

FOTO: pixabay.com/gabrielle_cc

Už tradične sa za jeden z najnebezpečnejších a zároveň najčastejších vektorov útokov považuje phishing. Táto forma sociálneho inžinierstva ide cestou najmenšieho odporu a zneužíva najslabší článok každého bezpečnostného systému – človeka. Hoci existujú technologické riešenia, ktorých snahou je zamedziť takýmto správam, aby sa dostali k adresátovi, nie vždy sa to podarí. Tobôž  nie ak správa prichádza z dôveryhodného účtu, nad ktorým útočník prevzal kontrolu. Efektívna obrana preto v konečnom dôsledku závisí len a len od bezpečnostného povedomia a návykov adresáta.

Čo sa phishingu týka, väčšina článkov doteraz rozoberala rôzne typy „príbehov“, s ktorými odosielateľ vyrukoval, ako napríklad súťaže, upozornenia, pohľadávky či správy od zamestnávateľa. V závere takýchto článkov sa typicky nachádzali odporúčania, aby používatelia neotvárali podozrivé, neočakávané e-maily, skontaktovali sa s odosielateľom prostredníctvom iného kanála a podobne.

Na rozdiel od predchádzajúcich článkov, tento pristúpi k danej problematike systematickejšie a rozoberie phishing z pohľadu psychológie. Text má za cieľ oboznámiť čitateľa so vzorcami, resp. princípmi, ktoré sú charakteristické pre „psychologickú hru“ sociálneho inžinierstva, a naučiť ho rozoznávať ich . Po prečítaní textu by sa mal tak čitateľ, ako potenciálna obeť, dokázať lepšie brániť aj voči sofistikovanejším a cielenejším útokom, ktoré vedia napodobniť reálnu komunikáciu dôveryhodnejšie, či iným podvodom na internete.

Princípy presviedčania

Sociálne inžinierstvo sa často označuje aj ako umenie presvedčiť, oklamať, zmanipulovať či dokonca „heknúť“ človeka. Nech má už však akýkoľvek doplnok, v princípe nejde o nič viac než len o to, ako nenásilným spôsobom prinútiť iného človeka vykonať niečo, čo je v našom vlastnom záujme. Cieľom takéhoto spoločenského vplyvu je teda pozmeniť postoje, ciele alebo správanie druhej osoby v náš prospech. Phishing sa v tomto ohľade snaží presvedčiť adresáta k tomu, aby poskytol utajované informácie alebo vykonal nejakú akciu – napríklad stiahol si prílohu alebo navštívil priložený link.

Pri snahe zodpovedať otázku ako presne si však útočníci podrobujú svoje obete je treba načrieť do studnice poznania z oblasti marketingu, kde fenomén presviedčania hrá hlavnú rolu. Americký profesor Robert Cialdini vo svojej knihe Influence: The Psychology of Persuasion identifikoval šesť princípov, ktorými spoločnosti ovplyvňujú ľudí. Práve na ich základe sa následne začal výskum psychológie sociálneho inžinierstva, phishingu a podvodov na internete. Menovite ide o princípy autority, spoločenského schválenia, náklonnosti, odplaty, nedostatku, a záväzkov a zásadovosti.

Princíp autority

Ľudia sa už odmala učia, aby neodporovali autoritám a že by ich mali radšej nasledovať. Či už vo vzťahu dieťa-rodič, zamestnanec-zamestnávateľ alebo občan-štát, očakáva sa, že tí na nižších pozíciách budú plniť príkazy tých nad nimi. Pri phishingu ide o pomerne zaužívaný princíp presviedčania, pri ktorom sa útočník snaží navodiť dojem, že odosielateľom je práve nejaká takáto autorita. V e-mailových správach sa tento prístup typicky prejavuje rozkazovacími slovami „musíte“, „je treba“ alebo „požadujeme“. Príkladom môže byť podvodná správa z IT oddelenia, ktorá po vás požaduje zmenu hesla k účtu na priloženom linku.

Princíp náklonnosti

Nie každý človek však rešpektuje autority. Najmä nie tie, ktoré sú mu vzdialené. Princíp náklonnosti si zakladá práve na tom, že skôr ako autoritám, niektorí ľudia majú tendenciu dôverovať svojim blízkym známym a nechať sa nimi ovplyvniť. Ak vás útočník nepresvedčí v mene vášho šéfa, aby ste si stiahli do počítača nejaký dokument, možno sa mu to podarí, keď sa bude vydávať za osobu z vášho okolia, napríklad suseda, kamaráta zo strednej školy alebo kolegu z inej pobočky. Takéto správy zvyknú vzbudzovať pocit vľúdnosti, priateľskosti.

Princíp spoločenského schválenia

Keď sa o niektorých ľuďoch hovorí, že sa správajú ako ovce, ide presne o prípad princípu spoločenského schválenia, kedy sa človek radšej podrobí názoru alebo konaniu väčšiny, než aby použil vlastnú hlavu. Takýmto spôsobom nadobúda pocit, že koná správne a že hoci by sa aj niečo pokazilo, sám nebude niesť za to zodpovednosť, pretože väčšina spoločnosti schválila tento postoj. Takto zaslepení ľudia sú pre útočníkov ľahkým cieľom. Naletieť im môžu na falošné správy, ktoré sa týkajú prieskumov, petícií, charity a iných podobných záležitostí, do ktorých sa zapája väčšie množstvo ľudí. Stačí len poznamenať, že adresát je súčasťou väčšej vzorky ľudí, ktorí sa aktívne zapájajú.

Princíp odplaty

Je prirodzené, že keď vám niekto urobí láskavosť, vy mu ju chcete vrátiť. Nikto predsa nechce zostať nikomu nič dlžný. Je to jedna z tých vlastností, ktorú zdieľajú všetci ľudia naprieč rôznymi kultúrami a ktorá položila základný kameň hospodárstva menom barter. Čo sa týka phishingu, útočníci v tomto prípade radi rozosielajú poukážky na nákup alebo zľavu a jediné, čo od vás požadujú na oplátku je registrácia na priloženom linku, kde vyplníte svoje meno a kontaktné údaje. Rovnako tak vám môže prísť do e-mailovej schránky upozornenie, že sa vám niekto neúspešne pokúsil preniknúť do účtu. Hoci sa takáto informácia vždy hodí, priložený link, ktorý by mal viesť k nastaveniam zabezpečenia alebo kontrole aktivít už však nemusí byť legitímny.

Princíp nedostatku

Čas je jediná komodita, ktorú si nemožno kúpiť. Keď vás preto niekto vystaví do časovej tiesne, nechcete zbytočne strácať svoje ani jeho drahocenné minúty vyčkávaním a premýšľaním. Pravdepodobne budete chcieť vyriešiť danú situáciu čo najskôr, a preto budete konať skôr unáhlene, a to aj za cenu menších ziskov na úkor väčšieho rizika. Princíp nedostatku je typický pre tzv. BEC podvody, pri ktorých vám útočník v mene vášho šéfa nariadi vykonať nejakú platbu okamžite. Stretnúť sa s ním môžete ale aj pri akejkoľvek ponuke na limitovaný tovar alebo tajné dokumenty či upozornení na vypršanie platnosti účtu.

Princíp záväzkov a zásadovosti

Lojálnosť, spoľahlivosť či zodpovednosť. Akákoľvek pozitívna vlastnosť, ktorá vyvoláva pocit konzistentnosti a stability je žiadúca nielen pre zamestnávateľov, ale aj v bežnom živote. Tieto „istoty“ ale nie sú jednosmerná záležitosť. Napríklad, ak potrebujete peniaze, môžete sa spoľahnúť, že vám ich váš známy alebo banka poskytne. Ale ak tento známy alebo banka vidí, že nie ste schopní splácať svoje záväzky, nemusí vám už v budúcnosti požičať. Budovanie vlastnej zásadovosti je preto to, na čom si chcete zakladať. Útočníci túto vašu vlastnosť zneužívajú napríklad tým, že si vopred zistia, o čo sa zaujímate, a následne vám zašlú správu s ponukou na danú vec. V prípade ponuky bytu do podnájmu si vás v prvom kroku môžu „poistiť“ žiadosťou o osobné údaje a následne v druhom žiadosťou o zálohu, resp. rezerváciu.

Záverom

Teória nám pomáha odhaľovať zákonitosti, vďaka ktorým vieme predpovedať budúce dianie. Hoci princípy presviedčania čerpajú v prvom rade z oblasti marketingu, po ich osvojení sa však budete vedieť lepšie brániť voči phishingu a podvodom v budúcnosti. Jedna vec je totiž vedieť rozoznať podozrivé prvky v správe na konkrétnom príklade, ktorý pred vás niekto predloží. Druhá, ťažšia je už vedieť samostatne rozoznať či ide o legitímnu správu alebo sofistikovaný phishing, podvod. Pri rozhodovaní preto dbajte nielen na dodržiavanie základných bezpečnostných zásad, ale majte na pamäti aj tieto princípy. Pre tých, ktorí sa chcú o nich dozvedieť viac, odporúčam publikácie A Multi-Level Defense Against Social Engineering od Davida Gragga alebo Understanding Scam Victims: Seven Principles for Systems Security od Franka Stajana a Paula Wilsona, ktorí sa venovali princípom v sociálnom inžinierstve viac do hĺbky.

Článok bol pôvodne uverejnený na Preventista.sk.