Jak zhakować człowieka?

Proste narzędzia i perfidna psychotechnika pozwalają cybergangsterom przejmować cyfrowe tożsamości, wykradać prywatne dane oraz podszywać się pod ofiarę.

Dziury w oprogramowaniu można załatać, instalując odpowiednie poprawki. Lecz istnieje jedna luka, której nie da się usunąć: człowiek. Nieświadomy zagrożenia użytkownik stanowi dla wyćwiczonych w manipulowaniu cyfrowych kryminalistów otwartą bramę do danych, niewymagającą łamania zabezpieczeń systemu operacyjnego czy przeglądarki. Łupem internetowych złodziei padają cyfrowe tożsamości realnych ludzi, sprzedawane w półświatku za realne pieniądze. Metody ich postępowania są określane wspólną nazwą: social hacking. Odnosi się ona do agresywnych działań z zakresu inżynierii społecznej, zagrażających obecnie przede wszystkim użytkownikom Facebooka i innych sieci społecznościowych. Jedynym sposobem obrony przed takimi zakusami przestępców jest zrozumienie stosowanych przez nich psychologicznych sztuczek.

Facebook: Grzebanie w cyfrowym koszu

Socjotechnika – sztuka oszukiwania – ma bardzo długą historię (patrz: ramka na następnej stronie), ale przez długi czas była wykorzystywana głównie przeciwko firmom. Hakerzy mieszali pracownikom w głowach, aby ci, działając w dobrej wierze, sami zdradzali im cenne informacje. Punktem zaczepienia w przypadku takich ataków były często pozornie niegroźne informacje, takie jak schematy organizacyjne firmowej hierarchii. Zdobywano je zupełnie nietypowymi drogami, na przykład przeglądając dokumenty wyrzucane do śmieci. Później nadeszła era Google’a i Facebooka, i nagle okazało się, że aby uzyskać takie informacje, nie trzeba nawet ruszać się z kanapy. „Zamiast grzebać w śmieciach, można prześledzić powiązania społeczne obserwowanej osoby, przeglądając jej profile w portalach społecznościowych – i przy okazji poznać jej upodobania” – mówi Stefan Schumacher z Instytutu Studiów nad Bezpieczeństwem (MIS) w Magdeburgu. Na Facebooku – w cyfrowym śmietniku – hakerzy szukają również danych osobowych milionów użytkowników, na których można nieźle zarobić. Chodzi o adresy elektroniczne, numery telefonów, informacje o poglądach politycznych, powiązanych kontach w innych serwisach, wskazówki ułatwiające odgadywanie haseł itp. Według raportu serwisu secure.me zajmującego się zabezpieczeniami kont w serwisach społecznościowych takie informacje publikuje na Facebooku aż 76 proc. Europejczyków.

Wartość zbioru danych o konkretnej osobie waha się od kilku centów do kilku dolarów, w zależności od zakresu zebranych informacji oraz pochodzenia użytkownika. Internauci z bogatych krajów zachodnich są na czarnym rynku warci więcej niż obywatele biednych krajów rozwijających się. W tej branży zarobek wynika z ogromnej liczby skradzionych informacji – handlarze nie sprzedają pojedynczych kont, ale pakiety zawierające dane setek czy nawet tysięcy użytkowników. Dealerzy to pojedynczy hakerzy oraz grupy hakerów, oferujące swoje usługi na odpowiednich forach internetowych. Nie jest to wcale mała grupa, bo sposobów na wykradanie cyfrowych tożsamości jest niewyobrażalnie wiele.

Główny cel każdego ataku to uzyskanie bezpośredniego dostępu do konta użytkownika. Dzięki temu haker mógłby nie tylko bez przeszkód odczytać wszystkie informacje podane przez ofiarę, ale również zagrozić jej znajomym. Skutecznym narzędziem ułatwiającym takie działania są zwłaszcza aplikacje – małe programy rozszerzające możliwości Facebooka: gry, kalendarze urodzin itp. Dużą popularnością wśród użytkowników cieszą się zwłaszcza aplikacje obiecujące funkcje, których dotychczas nie ma na Facebooku, na przykład dodanie przycisku „Nie lubię tego”. Doświadczenia ostatnich lat pokazują, że użytkownicy Facebooka bez namysłu akceptują takie oferty – zwłaszcza jeśli zostały polecone przez znajomego. Nikt nie podejrzewa przy tym, że jego konto mogło zostać zhakowane. Nawet ostrożni internauci szybko padają ofiarami social hackingu – w efekcie zastosowania innej sztuczki. Odrzucając prośbę o nadanie aplikacji uprawnień poprzez kliknięcie przycisku „Anuluj”, nie wracają oni do swojego profilu, ale lądują na spreparowanej stronie logowania do Facebooka. Za sprawą adresu zaszytego w przycisku „Anuluj” trafiają więc na stronę phishingową, którą można rozpoznać jedynie po niewłaściwym adresie URL. Co prawda, po zalogowaniu się wracają do swojego profilu (to prawdziwe logowanie następuje automatycznie), ale hakerzy znają już ich dane dostępowe. Jeśli nie jesteśmy wystarczająco uważni, nie zauważymy przy tym niczego niezwykłego. Mało tego, tworzenie takich aplikacji jest dziecinnie poste. Już za 25 dolarów można kupić kreator aplikacji (np. Tinie) i samemu zbudować podobny program. Hakerzy tworzą je masowo, ponieważ wykryte aplikacje trafiają na czarną listę Facebooka.

KRÓTKA HISTORIA SOCJOTECHNIKI
Inżynieria społeczna jest, krótko mówiąc, sztuką oszukiwania – sztuką, która ma bardzo długą historię.

Zhakowane konta: Włamanie przez frontowe drzwi

Bardziej bezpośrednim, choć mniej eleganckim sposobem uzyskania dostępu do konta ofiary jest złamanie hasła. Szybkie procesory i karty graficzne ułatwiają stosowanie metody brute force, skutecznej zwłaszcza wówczas, gdy użytkownik sam niejako pomaga wykonać zadanie włamywaczom, stosując banalnie proste hasło. Ten sposób daje szybkie efekty jedynie wtedy, gdy hasłem jest faktycznie istniejące słowo („hasło”), typowa kombinacja znaków („123456”) albo zbyt krótki ciąg liter („qwerty”). Na hakerskich forach internetowych można znaleźć narzędzia z gotowymi słownikami, sprawdzające w pierwszej kolejności właśnie takie proste wyrażenia. Niezbędny do zalogowania adres elektroniczny lub nazwę użytkownika można odkryć równie szybko za pomocą tej samej metody.

Poza takimi atakami, w których celem są użytkownicy Facebooka, cyberprzestępcy posługują się również bardziej klasycznymi metodami – groźną bronią w ich rękach wciąż pozostają keyloggery rejestrujące wpisywane hasła oraz trojany śledzące transmisję danych. Część hakerskiej społeczności kradnie pliki cookie. Ta metoda ataku zyskała rozgłos za sprawą wtyczki do Firefoksa o nazwie Firesheep, umożliwiającej przechwytywanie nieszyfrowanych plików cookie zawierających dane logowania, przesyłanych przez ogólnodostępne sieci. Mając takie informacje, haker może bez przeszkód podszywać się pod swoją ofiarę, narażając ją na duże szkody. Użytkownicy komputerów klasy PC są już zabezpieczeni przed tą formą ataku – dane niezbędne do zalogowania się w serwisie Facebook są teraz domyślnie szyfrowane. W gorszej sytuacji znajdują się użytkownicy urządzeń mobilnych, przede wszystkim tych z Androidem. Korzystając z aplikacji takich jak FaceNiff czy DroidSheep, hakerzy mogą przejąć konto ofiary, jeśli tylko uda im się podłączyć do tej samej Sieci. Zagrożeni są więc przede wszystkim użytkownicy publicznych hotspotów.

W kręgach hakerów zapotrzebowanie na narzędzia ułatwiające przeprowadzanie różnego rodzaju ataków osiągnęło już takie rozmiary, że w Sieci pojawili się naciągacze próbujący oszukać oszustów. Serwisy internetowe takie jak wellmug.com obiecują łamać zabezpieczenia kont na Facebooku w ciągu kilku sekund. Podaje się email ofiary, by po chwili uzyskać potwierdzenie, że hasło zostało złamane – ale by je zobaczyć, trzeba zapłacić 200 dolarów przez Western Union albo w sieciowej walucie Bitcoin. Jak łatwo przewidzieć, pieniądze znikają, a haker amator zostaje bez hasła i z pustym portfelem.

Cyfrowe złoto: Hasła i adresy elektroniczne

Hakerzy, którym powiodło się w polowaniu na nieostrożnych internautów, mają w ręku najbardziej wartościowy towar w cyfrowym półświatku: hasła. Są one kluczem nie tylko do niezliczonych danych personalnych na osobistym profilu ofiary, ale w wielu przypadkach także do jej kont w wielu innych serwisach, takich jak Google, Amazon, eBay, PayPal, usługi poczty elektronicznej. Różne badania przeprowadzone w ostatnich latach wykazały, że ponad połowa surfujących po Sieci używa tego samego hasła do wielu – a nawet do wszystkich – kont w Internecie. W przeciwieństwie do zwykłych danych osobowych, wartych zaledwie kilkadziesiąt centów, jedno poprawne hasło przynosi hakerowi nawet 200 dolarów zysku. Taka suma wypłynęła w procesie sądowym między dwoma kuwejckimi miliarderami, z których każdy zapłacił chińskim hakerom z grupy „Invisible Hacking Group” za złamanie hasła używanego przez konkurenta.

Ten casus z życia gospodarczego pokazuje, że social hacking stanowi zagrożenie nie tylko dla prywatnych użytkowników. Potwierdzenie tego znajdziemy także w opublikowanym niedawno studium firmy Imperva zajmującej się bezpieczeństwem informacji. Wynika z niego, że zleceniodawcami hakerów coraz częściej są firmy i instytucje państwowe. Kradzieże danych mogą przy tym stanowić realne zagrożenie dla życia ludzi – na przykład gdy do Sieci wyciekną informacje o planowanych operacjach militarnych. Przykładowo w marcu 2010 roku izraelska armia musiała wstrzymać interwencję w zachodniej Jordanii, gdyż jeden z żołnierzy zdradził na Facebooku czas i miejsce uderzenia i obawiano się, że przeciwnik wykorzysta te doniesienia do przygotowania kontrataku.

Dla firm równie kłopotliwe może być publikowanie przez pracowników na osobistych profilach internetowych informacji dotyczących miejsca pracy. Mogą to być wskazówki dotyczące struktury organizacyjnej, ujawniane choćby przez podanie pozycji zawodowej na Facebooku (nie mówiąc już o wpisach w portalach takich jak LinkedIn, specjalizujących się w ułatwianiu kontaktów biznesowych). Groźne mogą być też wycieki danych z zamkniętych grup na Facebooku, wykorzystywanych jako fora dyskusyjne przez członków zespołów projektowych w wielu firmach. Co prawda, takie informacje bardzo rzadko mają realną czarnorynkową wartość, ale mogą posłużyć jako punkty zaczepienia do kolejnych socjotechnicznych ataków, mających znacznie poważniejsze skutki.

Kiedy manipulantowi uda się przejąć konto użytkownika, może on – używając cudzej tożsamości – atakować kolejnych internautów. Nie wymaga to nawet łamania żadnych haseł: wystarczy wykorzystać lukę w zabezpieczeniach, jaką stanowi łatwowierność użytkowników portali wobec innych członków społeczności – zarówno znanych, jak i nieznajomych. Właśnie tu sieci społecznościowe takie jak Facebook odsłaniają ogromny – z punktu widzenia hakera – potencjał: oglądając udostępniony przez kogoś klip czy klikając podany link, nie zastanawiamy się, skąd on pochodzi.

Przynęta: Przycisk „Lubię to”

Zdaniem ekspertów od zabezpieczeń z firmy Symantec najpopularniejsza obecnie metoda stosowana przez hakerów to like-baiting. Po włamaniu na konto użytkownika przestępca dodaje w jego imieniu posty oraz wysyła znajomym wiadomości zawierające link do spreparowanej strony. Spełnia on rolę przynęty (ang. bait) i zwykle kieruje ofi arę na facebookowy fanpage. Na tej stronie znajduje się na przykład obietnica zdobycia bezpłatnego kuponu zniżkowego – by go otrzymać, wystarczy tylko kliknąć przycisk „Lubię to”. Nieświadomy internauta klika, a później wypełnia wyświetloną ankietę, zdradzając hakerowi kolejne informacje o sobie i tym samym jeszcze bardziej zwiększając jego zyski – jako pośrednik otrzymuje on prowizję od zleceniodawcy ankiety, sięgającą od 20 centów do nawet 50 dolarów, w zależności od jej długości i tematyki.

Portale społecznościowe są też idealnym środowiskiem dla szantażystów, którzy bezlitośnie wykorzystują nieumiarkowanie użytkowników w podawaniu danych. W lutym tego roku „znajomy” z Facebooka zagroził amerykańskiemu studentowi, że jeśli ten nie zapłaci mu 500 dolarów, do Sieci trafi jego prywatny klip wideo. Innym razem kalifornijski haker włamał się do skrzynek pocztowych setek kobiet, korzystając z funkcji przywracania zapomnianego hasła i bezbłędnie odpowiadając na pytania pomocnicze (np. o ulubiony kolor czy drugie imię ojca) na podstawie informacji opublikowanych przez ofiary na Facebooku. Później szantażował niektóre z kobiet, grożąc upublicznieniem zdjęć – również aktów – znalezionych w ich skrzynkach emailowych albo po prostu wysyłał prywatne materiały do wszystkich z listy kontaktów zapisanych w książce adresowej.

Hakerzy podszywający się – tak jak w opisanych wyżej przypadkach – pod użytkownika Facebooka mają znacznie ułatwione zadanie w porównaniu z tymi, którzy posługiwali się socjotechniką przed erą portali społecznościowych. Wówczas informacje wyłudzano głównie przez telefon, atakujący musiał być bardzo przekonujący i mieć refleks. Na Facebooku jest znacznie więcej czasu na reakcję na wiadomości czy wypowiedzi na czacie. Ten czas można wykorzystać na lepsze sprawdzenie ofiary. Asynchroniczność komunikacji jest dla napastników jedną z największych zalet FB.

Z racji swojej specyfiki Facebook również w przyszłości będzie ulubionym celem hakerów, posługujących się coraz to nowymi metodami. Kolejnym hitem może być tzw. spear phishing, czyli phishing precyzyjnie wymierzony w ofiary o odpowiednim profilu psychologicznym. Taki profil może być tworzony automatycznie na bazie algorytmów wykorzystujących informacje podawane przez użytkowników Facebooka. Przeciwnikami hakerów będzie 300 inżynierów zabezpieczeń zatrudnianych przez portal i korzystających ze specjalnego systemu analizującego do nadzorowania aktywności na stronie. Ponadto pod koniec kwietnia Facebook nawiązał współpracę z firmami McAfee, Sophos, Symantec i Trend Micro, tworzącymi oprogramowanie zabezpieczające – by poprawić skuteczność rozpoznawania i blokowania niebezpiecznych linków. Jednak błędy w zachowaniu w Internecie każdy musi skorygować samodzielnie – najlepiej trzymając się zasady ograniczonego zaufania wobec treści i osób w portalach społecznościowych.

ZHAKOWANE IMPLANTY

Najpierw przedsiębiorstwa, później cyfrowe tożsamości – kolejnym celem hakerów staną się ludzie z krwi i kości. Już dziś symuluje się takie ataki i szuka odpowiednich zabezpieczeń.

ATAK NA LUDZKIE CIAŁO

Moduły komunikacji bezprzewodowej montowane na przykład w rozrusznikach serca są niezbędne do sprawdzania i aktualizowania urządzeń oraz nadzorowania stanu zdrowia pacjenta. Ze względu na ograniczoną żywotność baterii trzeba jednak rezygnować z szyfrowania przesyłanych danych. Bazując na tym, ekspert z firmy McAfee zdołał wpłynąć na pracę pompy insulinowej w taki sposób, że wydała całą dostępną insulinę naraz, co w rzeczywistych warunkach mogłoby spowodować śmierć chorego. Z kolei profesor Kevin Fu z Uniwersytetu w Massachusetts zmodyfikował ustawienia defibrylatora wszczepianego pacjentom z zaburzeniami pracy serca, mającego normalizować jego pracę – znalazł sygnał radiowy pozwalający wyłączyć urządzenie.

OCHRONA PRZED BIOHAKERAMI

Na słynnym uniwersytecie MIT naukowcy wciąż pracują nad metodami ochrony przed tego rodzaju atakami. Wrogie sygnały może zagłuszać niewielki nadajnik zakłóceń (zwany shield, czyli tarczą), przez cały czas noszony przez pacjenta. Zakłócenia nie mogą jednak blokować sygnału emitowanego przez sam implant. Z tego względu nadajnik musi być dokładnie dostrojony do implantu. Każdy inny sygnał jest zakłócany przez ochronną „tarczę”.