background image

16

 

POCZĄTKI

HAKIN9 7-8/2009

Z

apytaj ludzi, pracowników danej firmy, 
studentów, administratorów sieci, 
potencjalnej ofiary. Uważasz, że to 

szalony pomysł? Masz rację, jednak podstępne 
włamywanie się do cudzych systemów 
zdecydowanie nie jest racjonalnym zajęciem. 
Poniższy tekst ukazuje drugą stronę hakingu, 
tajemnicę strzeżoną bardziej niż skrywane kody 
oprogramowania. Wkrocz do świata magicznych 
sztuczek i kłamstw.

Wizerunek hakera zbierającego informacje 

jedynie za pomocą sieci jest kompletnie 
sfałszowany. W rzeczywistości zdobycie 
niezbędnych informacji wiąże się nie tylko 
z ogromnym wysiłkiem intelektualnym, ale 
również ze stresem, próbą pokonania samego 
siebie i przezwyciężenia chęci zrezygnowania 
z podjętych działań. Dlaczego tak się dzieje? 
Otóż kwintesencją prawdziwego hakingu 
jest perfekcyjnie opanowana sztuka zwana 
socjotechniką. Można ją także określić mianem 
manipulacji zachowaniami lub prościej, 
sterowaniem ludźmi. To zaskakujące, ale 
największe światowe włamania komputerowe 
możliwe były dzięki doskonałej znajomości zasad 
socjotechniki. Hakerzy nie tylko byli przygotowani 
od strony merytorycznej, lecz posiadali duże 
doświadczenie w wywieraniu wpływu na innych. 
Kim jest socjotechnik, na czym polega jego 
działanie i jak można się przed nim obronić? 
Są to kluczowe pytania, na które postaramy się 
odpowiedzieć w tym artykule. Zacznijmy jednak 

ŁUKASZ CIESIELSKI

Z ARTYKUŁU 

DOWIESZ SIĘ

w jaki sposób skonfigurować 

system okien X

czym charakteryzują się 

poszczególne środowiska 

graficzne

odpowiemy na pytanie: Czy 

FreeBSD nadaje się na 

Desktop?

jak przeprowadzić wstępną 

konfigurację multimediów.

CO POWINIENEŚ 

WIEDZIEĆ

znać podstawowe pojęcia 

związane z Linuksem

rozróżniać pojęcia: środowisko 

graficzne i menedżer okien

sprawnie posługiwać się 

kontem roota (co w niektórych 

przypadkach

okazuje się umiejętnością 

kluczową).

od scharakteryzowania takiej osoby. Uzyskany 
dzięki temu obraz będzie pełniejszy i pozwoli 
lepiej zrozumieć przesłanki kierujące hakerem 
– socjotechnikiem.

Twój przyjaciel haker 

Ilu pracowników rozmaitych firm lub 
administratorów sieci wie czym jest 
socjotechnika, jak się objawia i dlaczego jest 
taka niebezpieczna? Niewielu, choć większość 
prawdopodobnie już padła jej ofiarą. Uogólniając, 
mamy tu do czynienia z szeroko pojętymi 
działaniami, które zmierzają do wywołania 
pewnych zachowań, wykorzystują utarte 
stereotypy reakcji ludzi na określone sytuacje. 
Jak nietrudno sobie wyobrazić, jest to zadanie 
niezwykle skomplikowane. Na sukces składają 
się w dużej mierze dodatkowe okoliczności. 
Umiejętne przejęcie kontroli nad nimi sprawia, 
że intruz może w pełni opanować zaistniałą 
sytuację. I choć przewidywanie każdego 
detalu wydaje się zadaniem niemożliwym do 
wykonania, rzeczywistość zdecydowanie obala 
ten mit. Większość ataków socjotechnicznych 
jest skrupulatnie przemyślana i zaplanowana w 
każdym szczególe. Socjotechnicy są mistrzami 
projektowania własnej rzeczywistości. Wszystko 
dzieje się w zatrważającym tempie i stresie. Na 
domiar złego wydaje się tak realne, że ofiara 
bezgranicznie wierzy w wersję przedstawioną 
przez atakującego. Haker musi zapanować 
nie tylko nad aktualną sytuacją, własnym 

Stopień trudności

Tak robią to 

prawdziwi 

hakerzy – cz. 2 

Rozmaite techniki, zaawansowane oprogramowanie i długie godziny 

przed monitorem nie są w stanie zagwarantować hakerowi sukcesu. 

Celem jest oczywiście pokonanie barier i zabezpieczeń, aby zdobyć 

pożądane dane. Co zrobić w sytuacji, kiedy okazuje się, że posiadana 

wiedza jest niewystarczająca? Skąd zdobyć niezbędne informacje?

background image

17

 

SOCJOTECHNIKA

HAKIN9 

7-8/2009

organizmem (np. biciem serca czy 
oddechem), lecz przede wszystkim 
myślami. Do złudzenia przypomina to 
pracę magika, który znając prawdę o 
wykonywanych na pokazie sztuczkach, 
musi przedstawić publiczności stosowną 
projekcję. Metody te stosowane są 
powszechnie na całym świecie. To 
właśnie socjotechnika jest fundamentem 
dla reklam, marketingu, a nawet polityki. 
Doświadczeni hakerzy odkryli możliwości 
socjotechniki zanim powstały rozmaite 
skrypty i programy, które są często 
wykorzystywane przez pseudohakerów, 
czyli tzw. script kiddies

O ile w odniesieniu do hakerów 

można rozróżnić tych, którymi kierują 
godne przesłanki oraz ich przeciwników, 
w przypadku socjotechników byłoby 
to niezwykle trudne. Być może nawet 
niemożliwe. Dlaczego? Ponieważ zależy 
im na jednym – oszukaniu swojej ofiary 
i zdobyciu niezbędnych informacji. 
Oczywiście można polemizować z tym 
stanowiskiem, ponieważ zdobyte dane 
mogą zostać wykorzystane w rozmaity 
sposób. Skoro jednak są strzeżone na 
tyle pilnie, że niezbędnym okazuje się 
skorzystanie z socjotechniki oznacza 
to, że nie powinny przedostać się w 
ręce osoby nieupoważnionej do ich 
posiadania. Można jednak wyodrębnić 
cztery grupy socjotechników. Pierwszą 
stanowią osoby, które pragną zaspokoić 
własną ciekawość. Najczęściej w 
pełni satysfakcjonuje je umiejętne 
wydobycie informacji, przełamanie 
bariery międzyludzkiej i przeprowadzony 
z powodzeniem pokaz ich umiejętności. 
Hakerzy tego pokroju nie oczekują 
korzyści materialnych. Chodzi jedynie o 
wykonanie kolejnego kroku na drodze 
zdobywania wiedzy i pogłębiania 
umiejętności. Drugą grupę stanowi 
szerokie grono hakerów, których celem 
jest pokonywanie barier, zdobywanie 
doświadczenia i udowadnianie swojego 
poziomu intelektualnego. Nagrodą dla 
nich jest umiejętne oszukanie ofiary, 
wzbudzenie zaufania i nawiązanie 
nici porozumienia, dzięki czemu są w 
stanie całkowicie przejąć kontrolę nad 
sytuacją. Motorem postępowania jest 
stres, adrenalina i świadomość swojej 
wyższości nad przeciwnikiem. Najczęściej 
są to osoby poszukujące wrażeń. W 

przeciwieństwie do wspomnianej wyżej 
grupy, nie chodzi jedynie o radość z 
posiadanej wiedzy i możliwości poznania 
tego, co ukryte i tajemnicze. W tym 
przypadku chodzi o coś więcej, o emocje 
towarzyszące łamaniu zabezpieczeń i 
prawa. Proces oszukiwania i przejmowania 
kontroli nad innymi osobami stał się 
priorytetem, a jego status okazał się 
ważniejszy od zdobytej wiedzy. Hakerzy 
reprezentujący stanowiska obu grup są do 
siebie pozornie podobni, jednak szczegóły 
dotyczące kierujących nimi przesłanek, 
umożliwiają przejrzystą klasyfikację.

Trzeci typ hakera – socjotechnika 

przeprowadza ataki dla uzyskania 
korzyści materialnych. Jego celem 
jest zdobycie informacji lub danych, 
a następnie sprzedanie ich lub inne 
działania prowadzące do zdobycia 
pieniędzy lub przedmiotów wartościowych. 
Socjotechnika w ich wykonaniu jest 
wyjątkowo wyrachowana i skrupulatna. W 
odniesieniu do uczuć atakowanej osoby są 
bezwzględni. Często wierzą, że cel uświęca 
środki. Pod tym względem ich przesłanki 
są tożsame z przesłankami ostatniej grupy 
jaką stanowią cyberterroryści. Cele tej 
grupy nie pozostawiają wątpliwości. Ich 
działania mają na celu pozyskanie korzyści 
materialnych lub spowodowanie zniszczeń 
na szeroką skalę.

Początkujący socjotechnicy 

najczęściej trenują swoje umiejętności 
na nieznajomych, próbując uzyskać od 
nich informacje, które mogłyby okazać 
się przydatne podczas włamania. Co 
nimi kieruje? Trudno jednoznacznie 
określić przyczyny. Być może chęć 
manipulowania ludźmi, pragnienie zysku, 
możliwość włamania komputerowego i 
kradzież cudzych danych. Czasem jest to 
po prostu chęć bycia akceptowanym w 
środowisku składającym się z podobnych 
osób. Bez względu na przyczyny zostania 
socjotechnikiem, należy pamiętać, że jest 
to zagrożenie większe niż jakikolwiek wirus, 
czy małoletni haker.

Dlaczego w podtytule zostało 

użyte stwierdzenie, że haker jest Twoim 
przyjacielem. W bardzo krótkim czasie jest 
w stanie dowiedzieć się o Tobie więcej 
osobistych informacji niż sam pamiętasz. 
Powyższa część tekstu zarysowała 
osobowość socjotechnika, pokrótce 
nakreśliła jego umiejętności i charakter. 

Zdecydowanie osoby takie muszą 
posiadać zdolność łatwego nawiązywania 
kontaktu z innymi. To jednak byłoby 
niewystarczające. Niezbędna okazuje się 
też pewnego rodzaju intuicja, pozwalająca 
na wybór ofiary najbardziej podatnej 
na atak. Socjotechnik musi perfekcyjnie 
rozpoznać osobowość i temperament 
osoby, np. pracownika od którego chce 
uzyskać niezbędne informacje. Dzięki 
temu możliwy jest odpowiedni dobór 
tematu rozmowy, komplementów, tonacji 
głosu i całej otoczki, która tworzy niewinną 
sytuację. Po przeprowadzonym ataku 
należy się wycofać, zachowując przy tym 
maksimum spokoju i zmieniając wygląd 
tak szybko jak to możliwe. Podstawą do 
sukcesu jest sztuka kłamania. Człowiek ma 
wyuczone pewne odruchy, np. wiedząc, że 
kłamstwo jest czymś złym w momencie 
kiedy nie mówi prawdy odwraca wzrok 
lub opuszcza głowę i patrzy w dół. W 
odniesieniu do socjotechnika są to 
zachowania karygodne. Podstawową 
umiejętnością jest okłamywanie niczego 
nie świadomych ludzi, patrząc im przy tym 
głęboko w oczy. Nie można myśleć o tym, 
że zostaje im wyrządzona krzywda lub 
szkoda. Niestety, trzeba być bezwzględnym.

Informacja w potrzasku

Zagrożeniem dla bezpieczeństwa firm 
lub urzędów nie jest oprogramowanie 
antywirusowe, zapory ogniowe itd., ale 
pracownicy. Brzmi to niedorzecznie i 
szokująco, ale niestety jest prawdziwe. 
Nie chodzi tu oczywiście o sabotaż, lecz 
zagrożenie stwarzane nieświadomie. 
Chociaż zdarzają się przypadki, w których 
zdenerwowany na szefa pracownik 
wyjawia rozmaite tajemnice firmy bez 
większych zahamowań. Większość 
informacji można uzyskać zwyczajnie 
o nie prosząc. Pracownicy mając 
świadomość istniejących w firmie 
zabezpieczeń, zatrudnionej ochrony 
itp. nie biorą nawet pod uwagę, że coś 
może jej zagrażać. To zaskakujące, ale 
świadomość społeczeństwa w odniesieniu 
do socjotechniki jest znikoma. Część 
uważa nawet, że przy współczesnych 
zabezpieczeniach coś takiego jak 
wyłudzenie informacji jest niewykonalne. 
A jednak okazuje się, że jest możliwe, a 
co więcej coraz powszechniejsze. Jeden 
z najznakomitszych socjotechników 

background image

18

 

POCZATKI

HAKIN9 7-8/2009

SOCJOTECHNIKA

19

 

HAKIN9 

7-8/2009

– Kevin Mitnick – napisał w swojej książce, 
że to głupota ludzka jest przyczyną 
przeprowadzonego z sukcesem ataku. 
Oczywiście miał całkowitą rację. 
Można by do tego dołączyć jeszcze 
panującą w dzisiejszych firmach 
beztroskę pracowników w stosunku do 
zabezpieczeń. Jakże często zdarza się, 
że po zakończeniu pracy komputer nie 
zostaje wyłączony, a użytkownik jest w 
dalszym ciągu zalogowany. A przecież 
wystarczyłoby, że haker podając się za 
nowo przyjętą osobę odpowiedzialną 
za utrzymanie porządku zerknie w 
sekretne zakamarki systemu. Być może 
nawet miałby czas na skopiowanie 
potrzebnych danych. Bruce Schneider 
określił bezpieczeństwo nie jako produkt, 
ale proces. Składa się na nie mnóstwo 
czynników dodatkowych. Wiąże się 
bezpośrednio z ludźmi i określonymi 
sposobami zarządzania. Właśnie z tego 
względu prześledzimy teraz klasyczne 
metody, najczęściej wykorzystywane 
przez atakujących, aby móc następnie 
spróbować sformułować plan, który 
pomoże uniknąć niechcianych sytuacji.

Co dla socjotechnika jest 

najważniejsze, najistotniejsze i 
najcenniejsze? Odpowiedź jest banalna 
– wiedza. Jednakże dla hakera są to nie 
tylko dane, które dla większości osób 
wydawałyby się niepotrzebne. Dla niego 
jest to furtka do realizacji swoich planów. 
Celem najczęściej przyświecającym 
osobom dokonującym kradzieży 
informacji jest oczywiście zdobycie 
czegoś cennego, jak np. informacje 
ważne dla konkurencji, kapitał firmy, 
rzadziej sprzęt. Podczas pierwszego etapu 
działania socjotechnika, czyli przygotowań 
wstępnych każda, najmniejsza broszurka 
jest istotna. Chociażby dlatego, że zawiera 
najczęściej numery telefonów do firmy, 
a czasem także konkretne nazwiska, na 
które może się powołać atakujący. Trudno 
to sobie wyobrazić, jednak często zdarza 
się, że dzięki zdobytej w ten sposób wiedzy 
dokonywano mniej istotnych ataków. 
Warto jednak wziąć pod uwagę, że takowe 
istniały, a to co wydaje się bezużyteczną 
wiedzą, dla hakera jest cenne. Nikt 
przecież nie podejmuje ryzyka i nie 
włamuje się bez konkretnego powodu. 
Postarajmy się sprawdzić, jak mógłby 
wyglądać atak na określoną instytucję 

lub firmę. Pierwszym, co przychodzi 
niemalże każdemu do głowy, jest bank. 
Zagraniczne banki chętnie sprawdzają 
wiarygodność klientów korzystając 
z usług firm, które się w tym właśnie 
specjalizują. Doskonałym przykładem 
jest CreditChex (www.creditchex.net). 
Jeżeli firma potwierdzi wiarygodność 
danej osoby, bank także przyjmuje takie 
stanowisko. W jaki sposób przebiega 
taka procedura? Otóż bank kontaktuje 
się z CreditChex i podaje prawidłowy 
numer kupca oraz serię danych jak np. 
imię i nazwisko, numer ubezpieczenia i 
datę urodzenia. Oczywiście są to dane 
sprawdzanej osoby, nie sprawdzającej! 
Następuje weryfikacja i jeżeli wszystko 
się zgadza, osoba która nas obsługuje 
podaje potrzebne nam informacje. 
Największym problemem może okazać 
się zdobycie numeru kupca, jednak przy 
odrobinie inwencji twórczej jest to możliwe. 
W jaki sposób? Jest ich kilka, a wachlarz 
możliwości zaczyna się od podpytaniu 
znajomego pracującego w banku (mało 
realne) a kończy się na stworzeniu 
fikcyjnej ankiety (bardzo realne). Dlaczego 
ankieta? Ponieważ gdybyśmy zadali 
pytanie wprost, osoba z którą rozmawiamy 
natychmiast nabrałaby podejrzeń. W takim 
wypadku albo wezwałaby policję albo 
zwyczajnie się rozłączyła. W odniesieniu 
jednak do bankowości zawsze zostaje 
wezwana policja, ponieważ wymagają 
tego wewnętrzne procedury. W ankiecie 
pytanie o numer kupca powinno 
znajdować się pod koniec dosyć długiej 
i mało istotnej serii pytań, np. godziny 
otwarcia, częstotliwość dzwonienia 
z zapytaniami o wiarygodność, czas 
oczekiwania na odpowiedź, dokładność 
uzyskanych informacji itd. W zasadzie 
można pytać o wszystko co nie budzi 
podejrzeń. Na końcu także powinno 
się znaleźć niezobowiązujące pytanie, 
np. odnośnie dalszej współpracy i 
jakiś komplement dla osoby, z którą 
rozmawiamy. Łatwo zauważyć, że 
socjotechnika w dużej mierze opiera się 
na intuicji i spontanicznych decyzjach. 
Jeżeli rozmówca nabierze podejrzeń 
należy natychmiast zmienić technikę i 
dalszy ciąg rozmowy lub wycofać się. 
Należy mieć na uwadze, że sprawnie 
przeprowadzony atak, może zapewnić 
nam źródło, z którego będzie możliwe 

czerpanie dalszych korzyści w przyszłości. 
Jest to istotna sprawa, ponieważ 
pozyskanie nowego przysparza niekiedy 
dodatkowych trudności lub nie udaje się. 
Socjotechnik nigdy nie nastawia się w taki 
sposób, że zdobędzie cenne informacje 
za pierwszym razem i w dodatku od 
jednej ofiary. Najczęściej musi krok po 
kroku szukać dalszego tropu. Właśnie 
dlatego tak ważne są drobne informacje, o 
których była mowa w cz. 1, np. partnerzy z 
którymi współpracuje firma czy placówka. 
We wspomnianym wyżej przypadku 
bank X korzysta z firmy zewnętrznej 
CreditChex. Atakujący nie dzwoni do 
banku w celu uzyskania informacji, lecz 
do jego partnera. Jednak informacje 
dzięki temu uzyskane pozwalają na 
robienie przelewów i kradzież cudzego 
mienia. Czy banki nie wdrażają procedur, 
które mogły ochronić je przed tego typu 
działaniami? Zasady takie już od bardzo 
dawna funkcjonują. Prawidłowo osoba, z 
którą była prowadzona rozmowa powinna 
oddzwonić na numer podany w systemie 
banku. Gdyby pracownik stosował się do 
przyjętych procedur, atak byłby niemożliwy 
lub bardzo utrudniony. Zawiodła jednak 
ludzka natura i ufność. Intruz okazał 
się wiarygodny, ponieważ posiadał 
wszelkie niezbędne informacje. Przykład 
ten pokazuje, że nawet najdoskonalsze 
zabezpieczenia w bankach nie są w 
stanie ochronić przed atakami. Haker 
– socjotechnik nie musi nawet korzystać 
z komputera. Nieustannie udoskonalane 
oprogramowanie chroni jedynie przed 
włamaniami amatorów, wirusami i 
programami jak np. konie trojańskie. Cóż 
jednak z tego, jeżeli doświadczeni hakerzy 
w dalszym ciągu mogą mieć dostęp 
do środków na kontach klientów banku? 
Warto mieć to na uwadze, gdyż dzięki 
temu możliwe jest zrozumienie, dlaczego 
wszelkie informacje mające związek z 
danymi klienta banku są skrywane. Kody 
PIN znajdują się na papierze, którego nie 
można podejrzeć pod światłem lub hasła 
jednorazowe, które często wydawane są w 
formie zdrapki itp.

Największym błędem w 

rozbudowanych firmach, posiadających 
wiele wydziałów jest ufność pracowników 
do siebie nawzajem. Nawet do tych 
osób, których nigdy nie widzieli. Często 
pracownicy dzwonią do innych wydziałów 

background image

18

 

POCZATKI

HAKIN9 7-8/2009

SOCJOTECHNIKA

19

 

HAKIN9 

7-8/2009

i proszą o pewne informacje. Gdyby się 
im przyjrzeć okazałyby się nieistotne. 
Nie ma zatem powodu, dla którego ktoś 
miałby ich nie podać. W ten sposób myśli 
każdy, kto nie ma jeszcze odpowiedniej 
świadomości na temat działań 
socjotechnicznych i skutków, będących 
ich następstwem. Zastanówmy się, co jest 
celem atakującego? Pierwszorzędnym 
oczywiście będzie osiągnięcie pewnych 
korzyści. Jednak aby było to możliwe, 
musi on wcielić się w określoną rolę, np. 
pracownika firmy, urzędnika itp. Do tego 
niezbędne są dane personalne nowej 
postaci. Zdobycie ich jest banalnie proste, 
ponieważ nikt ich nie ukrywa. Dlaczego? 
Otóż pojedynczo są nieistotne, natomiast 
świadomość czyhającego zagrożenia 
jest wśród pracowników niestety 
niewystarczająca. Jeżeli uzyskane przez 
socjotechnika informacje zostaną zebrane 
w jedną całość, okaże się, że zyskał 
tożsamość danego pracownika. W takim 
wypadku stanowi poważne zagrożenie. 
Wcześniej jednak nikt się nie zastanawiał, 
że podane informacje jak np. imię, 
nazwisko, stanowisko w firmie, czy numer 
identyfikacyjny, który prawie zawsze jest 
jawny, mogą zaszkodzić firmie. Dodatkowo 
wiadomo też w jakim wydziale czy 
mieście pracuje ofiara ataku. Nietrudno 
wyobrazić sobie sytuację, w której do 
firmy X dzwoni telefon. Odbiera sekretarka. 
Głos w słuchawce przedstawia się jako 
pracownik, podaje nazwisko i miejsce 
pracy. Następnie prosi o przesłanie mu 
listy telefonów do wszystkich pracowników 
firmy. Sekretarka waha się, ponieważ 
tajemniczy głos (nieznany jej wcześniej) 
wydaje się mało wiarygodny. Socjotechnik 
natychmiast to wyczuwa. Co robi w 
takiej sytuacji? Z całą pewnością nie 
wycofuje się, ponieważ przewidział, że tak 
będzie i przygotował koło ratunkowe. Dla 
uwierzytelnienia swojej tożsamości, podaje 
swój numer identyfikacyjny i stanowisko w 
firmie. W tym momencie słychać stukanie 
klawiatury, czyli sekretarka sprawdza 
w systemie, czy podane informacje są 
prawdziwe. Atakujący może dodać dla 
pewności, że chyba się przeziębił, bo ma 
katar i głos mu się zmienia. Jaki będzie 
wynik? Sukces! Dane personalne się 
zgadzają, a zmodyfikowany głos został 
w miarę racjonalnie wytłumaczony. 
Wszystko zależy od dwóch elementów 

– przygotowania merytorycznego oraz 
umiejętności werbalnych i słownych. 
Został tu podany typowy przykład 
wycieku informacji w firmach i rozmaitych 
instytucjach. Im bardziej rozbudowaną 
organizację ma atakowany obiekt, tym 
łatwiej ulega socjotechnikom. Przyczyna 
jest niezwykle prosta. Otóż w dużych 
zakładach osoby nie są w stanie poznać 
każdego pracownika. Łatwo podszyć się 
pod kogoś kim się nie jest. Perspektywa 
ta jest dosyć przerażająca, zwłaszcza 
jeśli dotyczy pilnie strzeżonych tajemnic 
np. marketingowych, jak chociażby 
nowa taryfa w danej sieci komórkowej. 
W jaki sposób można tego uniknąć? 
Należy mieć świadomość, że nawet 
pojedyncza, nic nie znacząca informacja 
dla socjotechnika jest bezcenna. Po 
zebraniu takich danych może on stworzyć 
profil danej osoby, co jak wiadomo 
umożliwi mu atak. Sytuacjom takim 
zawsze towarzyszy otoczka pozornego 
bezpieczeństwa, ponieważ wprawny haker 
potrafi przekonać ofiarę, że można mu 
całkowicie zaufać. Niezbędne są szkolenia 
pracowników w zakresie bezpieczeństwa, 
procedur. Należy uświadomić im o jakim 
zagrożeniu jest mowa. Nie wolno zdradzać 
używanego w firmie żargonu, podawać 
telefonów do innych pracowników, a 
zwłaszcza numerów ich identyfikatorów. 
Może okazać, że rozmówca będzie byłym 
pracownikiem, doskonale znającym 
panujące w zakładzie zwyczaje i przepisy 
wewnętrzne. Koniecznie trzeba sprawdzić, 
czy osoba za którą się podaje w 
rzeczywistości nadal pracuje. Poważnym 
błędem jest podawanie danych, kiedy 
dzwoni rozmówca. Prawidłowo rozmowa 
taka powinna zostać przerwana, a 
rozmówca otrzymać telefon zwrotny. 
Jeżeli odbierze, ryzyko oszustwa zostanie 
znacznie zmniejszone. A co jeżeli przykład 
wyłudzenia informacji nastąpi w banku? 
Skutki mogą okazać się tragiczne. Do tej 
pory nie braliśmy tego pod uwagę, ale 
przecież haker może podszywając się 
pod serwis komputerowy, przeprowadzić 
wywiad na temat systemu operacyjnego, 
zabezpieczeń, a nawet haseł dostępu! 
Wydaje się to niemożliwe, jednak wiele 
firm przeprowadza konserwacje systemów 
w sposób zdalny. Oznacza to, że 
pracownicy mają kontakt z informatykami 
jedynie przez telefon. Niestety znajomość 

informatyki w społeczeństwie nadal 
jest na niskim poziomie i większość 
związanych z nią terminów to magia. 
Wyobraźmy sobie sytuację, że dzwoni 
telefon. Pracownica odbiera. Głos 
przedstawia się i mówi, że dzwoni z działu 
informatyki, ponieważ było zgłoszenie 
zawirusowania systemu lub konieczność 
zainstalowania nowych sterowników dla 
karty graficznej. Następnie przeprowadza 
ankietę w sposób opisany powyżej, czyli 
najpierw błahe pytania, a następnie 
istotne dla włamania. Oczywiście uzyskuje 
wszelkie informacje a z kont w niedługim 
czasie znika potężna suma pieniędzy.

Do dzieła!

Nie istnieje uniwersalna technika ataku. 
Sposób działający na każdą ofiarę. Haker 
musi mieć przede wszystkim intuicję, 
potrafić zachować spokój i opanowanie, 
skoncentrować się na zaistniałej sytuacji. 
Każdy niepożądany odruch może 
zaprzepaścić dotychczasowe działania. 
Istnieje jednak kilka metod dających 
pewne podstawy ułatwiające atak. Wybór 
odpowiedniej znacznie zwiększa szanse na 
sukces. Należy jednak pamiętać, że każda 
z opisanych poniżej metod jest formą 
ataku bezpośredniego, co w mniejszym 
lub większym stopniu naraża socjotechnika 
na schwytanie. Niestety sztuka ta zostaje 
najczęściej wykorzystywana w celu 
zdobycia poufnych informacji, co w 
przeważającej części przypadków jest 
niezgodne z prawem. Zacznijmy jednak 
od najprostszego sposobu na zdobycie 
informacji – wywiadu.

Nie jest to jednak wywiad rozumiany 

jako gatunek dziennikarski. W praktyce z 
pewnością forma ta by się nie sprawdziła. 
Chodzi raczej o wypytanie danej osoby, 
ale zrobienie tego w taki sposób aby 
nie nabrała ona podejrzeń. Kluczem do 
sukcesu jest oczywiście odpowiednie 
dobieranie słownictwa i układanie 
pytań w takiej kolejności, aby zasypać 
informatora błahostkami, natomiast 
te kluczowe pytania zadać dopiero w 
połowie rozmowy. Nigdy nie kończymy 
po uzyskaniu satysfakcjonujących 
odpowiedzi, ponieważ pracownik, z 
którym była prowadzona rozmowa 
natychmiast zacznie o niej rozmyślać i 
nabierze podejrzeń. Podstawowa zasada 
w przypadku socjotechniki mówi, że 

background image

20

 

POCZATKI

HAKIN9 7-8/2009

SOCJOTECHNIKA

21

 

HAKIN9 

7-8/2009

nie powinno się zatrzaskiwać za sobą 
wszystkich drzwi. Nigdy nie wiadomo 
czy nawiązane kontakty nie okażą 
się potrzebne w przyszłości. Zawsze 
kończymy wywiad niezobowiązującą 
rozmową lub pytaniem, na które 
odpowiedź jest oczywista i jawna. Jakie 
preteksty są najczęściej wykorzystywane 
podczas takich rozmów? Zasadniczo 
można wyróżnić dwa, chociaż realnym 
ograniczeniem jest tylko wyobraźnia i 
zdolności osoby wyłudzającej informacje. 
Pierwsza to powołanie się na biuro 
zarządu firmy, dyrekcji lub prezesa, np. 
Dzień dobry! Mówi xxx z biura zarządu. 
Dzwonie w bardzo pilnej sprawie...
Tekst ten musi zostać wypowiedziany 
pewnie i stanowczo, a jednocześnie 
socjotechnik musi znać personalia 
osoby, na którą się powołuje. Można 
też udawać roztargnionego i odrobinę 
zestresowanego pracownika, który musi 
podać informacje swojemu szefowi. 
Niestety nie zna ich, ponieważ zepsuł się 
komputer (został zawirusowany, awaria 
dysku twardego itd.) lub zgubił notatki. 
Metoda ta odegrana z odpowiednią 
dramaturgią okazuje się niemalże zawsze 
skuteczna.

Druga metoda polega na stworzeniu 

pozornego zaufania. W momencie, gdy 
pracownik uzna, że dana osoba jest 
wiarygodna atak zostanie uwieńczony 
pożądanymi informacjami. Socjotechnik 
ma świadomość podejrzliwości dla 
nieznajomych oraz pewnego rodzaju 
oporów związanych właśnie z brakiem 
zaufania. Nie jest jednak prawdą, że ludzie 
są nieufni z natury. Doświadczeni hakerzy 
nastawiają się na pokonanie dystansu 
dzielącego socjotechnika i ofiarę. W 
pewnych sytuacjach warto zaplanować 
tok rozmowy. Jest oczywistym, że w 
praktyce przebiegnie ona nieco inaczej, 
jednak świadomość konkretnego planu 
zapobiegnie wpadnięciu w panikę w 
momencie wpadki. W jaki sposób zdobyć 
zaufanie pracownika lub pracownicy? 
Trudno ujednolicić odpowiedź na to pytanie, 
ponieważ nie istnieje jeden czynnik, który 
mógłby to zagwarantować. Na sukces 
składa się zespół wielu rozmaitych cech, 
zachowań, a nawet wygląd socjotechnika. 
Choć kobiet zajmujących się socjotechniką 
jest zdecydowanie mniej niż mężczyzn, 
mają one niezwykły dar przekonywania 

i już sam głos kobiecy może przełamać 
barierę podejrzliwości. Wyobraźmy sobie 
sytuację, że dzwoni mężczyzna i prosi 
o pomoc. Dokładnie zna imię osoby, z 
którą rozmawia. Tłumaczy, że niezbędna 
jest mu pomoc, a on sam pracuje w 
innym wydziale tej samej firmy. Rozmowa 
przebiega w niezwykle miłym tonie, 
natomiast ofiara nabiera coraz szybciej 
przekonania, że atakujący jest przemiłą 
osobą. W jednej chwili z tajemniczego 
nieznajomego staje się sympatycznym 
kolegą z pracy. Po uzyskaniu pożądanych 
informacji warto ofiarować swoją pomoc 
w przyszłości. Może to być zdanie w 
stylu: Bardzo Ci dziękuję. Bez Twojej 
pomocy nie wiem co bym zrobił. Gdybyś 
potrzebował mojej pomocy dzwoń śmiało 
na ten numer.... Oczywiście pod podanym 
numerem nie będzie przemiłego hakera, 
z którym rozmawiał pracownik. Dlaczego 
takie sytuacje mają miejsce? Ponieważ 
ludzie w czasach, kiedy każdego dnia setki 
ludzi zostają oszukane w dziesiątkach 
dziedzin życia społecznego, w dalszym 
ciągu w to nie wierzą. Wystarczy użyć 
fachowej terminologii, np. ... wyślij mi proszę 
projekt BlueSun... połącz mnie z Janem. 
Pracuje w dziale X na trzecim piętrze albo 
... padł nam serwer FastMaster. Wyślij mi 
hasła to spróbuję to naprawić. Myślisz, że 
to nie może być prawdziwe? Niestety to 
prawda – ludzie są naiwni.

Inna technika opiera się na tzw. 

socjotechnice zwrotnej. Polega ona na 
sprowokowaniu takiej sytuacji, żeby ofiara 
sama skontaktowała się z hakerem i 
poprosiła o pomoc. Oczywiście haker 
staje się fikcyjną postacią i występuje 
w tej roli pod przybranym nazwiskiem. 
Może się zdarzyć, że ofiara odkryje próbę 
ataku i będzie starała się wydobyć jak 
najwięcej informacji o socjotechniku. W 
takim wypadku role zostaną odwrócone. 
Typowym przykładem pierwszej wersji 
tej metody jest sytuacja, w której do 
firmy dzwoni haker – socjotechnik. 
Przedstawia się jako informatyk i tłumaczy, 
że wystąpił problem z systemem i może 
to zagrozić utratą danych. Można jednak 
temu zapobiec instalując specjalną 
łatę bezpieczeństwa. Pracownik po 
krótkich przemyśleniach sam prosi o 
przesłanie programu. Haker spełnia 
prośbę i instruuje w jaki sposób należy 
zainstalować poprawkę. Niewinna sytuacja, 

a jednak pracownik nie ma pojęcia, że 
właśnie ujawnił wszystkie dane firmy. W 
rzeczywistości program był trojanem, a 
dokładniej jego serwerem. Teraz w prosty 
sposób, korzystając z trojana – klienta, 
atakujący przeszukuje zawartość dysku 
twardego komputera firmy. Doskonałym 
obiektem ataków są nowi pracownicy, 
ponieważ nie znają oni jeszcze całej kadry. 
Wystarczy dowiedzieć się kogo przyjęto w 
ostatnim czasie i na nim skoncentrować 
atak. Dodatkowo osoby takie chcą 
pokazać się od najlepszej strony, są 
miłe i uczynne. Aby uniknąć tego typu 
sytuacji konieczne są częste szkolenia 
pracowników w zakresie bezpieczeństwa. 
Wspominaliśmy już o tym jednak działania 
takie to podstawa funkcjonowania firmy. Nie 
pomogą programy antywirusowe i ściany 
ogniowe (i tak mało kto z pracowników 
potrafi je obsłużyć) w sytuacji, gdy 
pracownicy nie wiedzą jak rozpoznać atak 
socjotechniczny i co w takich sytuacjach 
zrobić. Na wyobraźnię najdobitniej działa 
groźba formatowania dysku. Jeżeli dana 
osoba usłyszy, że dysk twardy musi 
zostać sformatowany, ponieważ wirusa 
nie można usunąć, natychmiast zacznie 
myśleć o ratowaniu swoich danych. Dla 
socjotechnika otwiera się szeroki wachlarz 
możliwości. Należy jednak pamiętać, że 
nie wolno pod żadnym pozorem podawać 
obcej osobie (zwłaszcza przez telefon) 
poufnych informacji, np. loginów i haseł, 
kodów PIN itd. Warto także po każdej 
podejrzanej sytuacji zmienić hasło. Dzięki 
temu, nawet jeśli pracownik padnie 
ofiarą ataku, uniknie go w przyszłości. 
Gdzie można spodziewać się ataku 
na firmę? Odpowiedź jest prosta, w 
każdym jej sektorze. Niektóre z obszarów 
funkcjonowania danej firmy są strzeżone 
doskonale, natomiast inne prawie w ogóle. 
Pierwsze ataki z oczywistych względów 
zapewne nastąpią na te drugie. Jeśli firma 
uznała segment za mniej ważny oznacza 
to, że pracownicy są tam mniej przeczuleni 
na ataki socjotechniczne, uważając 
posiadane informacje za nieistotne.

Kolejna taktyka to wprowadzanie 

ofiary w zakłopotanie, zdenerwowanie, 
a nawet wściekłość. Załóżmy, że 
znamy podstawowe dane osoby 
odpowiedzialnej w firmie za przelewy, np. 
wypłat pracowników. Chcemy natomiast 
poznać informacje dotyczące pracownika 

background image

20

 

POCZATKI

HAKIN9 7-8/2009

SOCJOTECHNIKA

21

 

HAKIN9 

7-8/2009

nazywającego się Jan Kowalski. Sprawa 
jest prosta. Wystarczy zadzwonić do 
niego, poinformować, że zgodnie z 
jego życzeniem cała wypłata została 
przelana na inne, fikcyjne konto. Jaki 
będzie efekt? Natychmiastowy wybuch 
wściekłości Jana. Aby załagodzić sprawę, 
socjotechnik zaczyna się tłumaczyć 
(oczywiście wszystko zgodnie z planem) 
i proponuje, że naprawi szkodę. Niestety 
do tego potrzebne mu będzie kilka 
informacji. Teraz atakujący bez skrupułów 
wyciąga z pracownika wszystko co go 
interesuje. Po kilku minutach oddzwania i 
mówi, że wszystko udało się przywrócić. 
Zarówno haker jak i ofiara są zadowoleni, 
ponieważ osiągnęli cele. Przeraża 
łatwość z jaką socjotechnicy potrafią 
zdobywać informacje. Nawet te bardzo 
strzeżone, z klauzulą tajności. Jak można 
się przed tym uchronić? Po pierwsze 
skuteczną metodą potwierdzenia 
tożsamości osoby dzwoniącej jest 
wspomniane już oddzwonienie na numer 
pracownika. Nawet jeśli nie odbierze i 
włączy się automatyczna sekretarka, 
będzie to pomocne, ponieważ umożliwi 
porównanie obu głosów (dzwoniącego i 
nagranego na sekretarkę). Drugą kwestię 
stanowią identyfikatory pracowników. 
Ponieważ większość firm używa ich 
do potwierdzania tożsamości, należy 
nadać im charakter poufny. Bardzo 
niewiele danych potrzeba, aby uznać 
nieznajomego za jednego z pracowników. 
A przecież większość tych informacji 
można zdobyć w ciągu kilku chwil! 
Przeprowadzane szkolenie powinno w 
dużym stopniu położyć nacisk na zbytnią 
ufność. Te same zasady dotyczą również 
administratorów sieci wewnętrznych, 
a nawet pracowników ochrony. To 
jednak nie wszystko. W ostatnim 
czasie niezwykle modne stało się 
instalowanie skomplikowanych urządzeń, 
których zadaniem jest uwierzytelnianie 
pracownika. Niestety dla doświadczonych 
hakerów – socjotechników pokonanie 
tego typu zabezpieczeń to tylko kwestia 
czasu. Mają one zatem sens jedynie, kiedy 
działają w tajemnicy. Zdradzenie intruzowi 
rodzaju zabezpieczeń z jakich korzysta 
firma, daje mu możliwość odpowiedniego 
przygotowania do ataku.

Czy jest ktoś, kto oprze się pokusie 

odebrania prezentu? Prawdopodobnie 

niewielu. Początkujący hakerzy zastanawiają 
się w jaki sposób zainstalować u kogoś 
trojana. Rozwiązanie jest tak banalne, że 
mało kto na nie wpada. Wystarczy założyć 
fikcyjne konto e-mail, mające w nazwie 
atrakcyjny login. Następnie wystarczy 
wysłać wiadomość do potencjalnej ofiary 
wraz ze stosownym załącznikiem (czyli 
serwerem trojana). W treści wystarczy 
wpisać, że informacje zostały wysłane 
w postaci takiego pliku ze względu na 
zmniejszenie objętości. Doświadczenie 
pokazuje, że pomysłowość nie zna granic. 
Ilu socjotechników, tyle wiarygodnych 
historii, które kuszą i sprawiają, że ofiara 
zawsze klika na załącznik. Załączniki 
to jednak nie wszystko. Coraz częściej 
pojawiają się fałszywe strony internetowe 
lub wyskakujące okienka. Mechanizm 
działania jest identyczny jak w przypadku 
wiadomości e-mail. Muszą być kolorowe, 
zawierać atrakcyjne zdjęcia, na których 
znajdują się uśmiechnięci ludzie (rzekomi 
zwycięzcy rozmaitych konkursów itp.). Być 
może stwierdzenie, że każdy wpada w 
sidła hakerów – socjotechników byłoby 
mocno przebarwione. Prawdą jest jednak, 
że w pułapkę wpada ogromna liczba 
pracowników, urzędników i użytkowników 
sieci. W ten sposób rozprzestrzeniły się 
jednak z najgroźniejszych wirusów, np. Love 
Letter, Anna Kurnikova.

Swojego czasu modne były 

ogłoszenia zamieszczane właśnie przez 
socjotechników, które informowały, że 
autor odkrył metodę na włamywanie się 
do kont e-mail. Polegało to na wpisaniu w 
tytule i treści określonej frazy, a następnie 
wysłanie takiej wiadomości na podany 
adres e-mail. Na czym polegała sztuczka? 
W treści trzeba było wpisać login i hasło 
do własnego konta oraz login do konta 
innej osoby. Loginy można wytłumaczyć, 
ale po co hasło? Twórcy tłumaczyli, że 
są one niezbędne do jakiejś tajemniczej 
weryfikacji. Jakie były skutki? Setki naiwnych 
użytkowników Internetu wysyłało informacje 
o własnych kontach na adresy e-mail 
przygotowane przez hakerów, którzy w ten 
sposób mieli do nich całkowity dostęp. 
Bardziej złośliwi zmieniali swoim ofiarom 
hasła i dzięki temu uniemożliwiali dostęp. 
Przypadek ten pokazuje w jaki sposób 
można wykorzystać chęć posiadania 
wiedzy zastrzeżonej dla nielicznych. 
Niestety ludzie lubią podążać do celu 

możliwie najkrótszą drogą i często kończy 
się to tragicznie.

Choć mogłoby wydawać się, że 

przedstawione powyżej sytuacje wyczerpują 
temat, niestety tak nie jest. Dlaczego ludzie 
posiadający duże doświadczenie w pracy, 
osoby które ukończyły renomowane, 
wyższe uczelnie ulegają oszustwom 
socjotechników? Być może wpływa na 
to nadmierna świadomość istniejących 
zagrożeń. Jest ich tak wiele, że z czasem 
pracownicy zaczynają je lekceważyć, 
ponieważ od dłuższego czasu i tak nic się 
nie wydarzyło. Na taki moment czekają 
socjotechnicy. Ich dodatkowym atutem 
jest niezwykła umiejętność rozpraszania 
myśli swojej ofiary. Pozwala to na szybkie 
przemycenie swojej wersji historii do 
świadomości danej osoby. Dzięki temu 
szybko zostaje nawiązana nić porozumienia 
i osiągnięty cel.

Podsumowanie

Artykuł miał na celu wskazanie najczęściej 
stosowanych przez hakerów technik 
oszukiwania ludzi oraz kilka porad, dzięki 
którym można uniknąć problemów. Niestety 
w dalszym ciągu ostrożność nie jest 
największym atutem firm. Wyrzucają one 
śmieci i dokumenty zawierające wszelkie 
niezbędne informacje pozwalające na 
przeniknięcie nieznajomego do wewnątrz. 
Nagle okazuje się, że osoba której nikt 
wcześniej nie widział staje się najlepszym 
kolegą i poznaje wszelkie tajemnice 
dotyczące przyszłego celu. Dopóki firmy i 
urzędy nie uświadomią sobie, że stosowane 
zabezpieczenia są niewystarczające, gdyż 
problemem jest człowiek, socjotechnika 
będzie rozkwitać. Hakerzy natomiast 
zamiast tracić czas na skomplikowane 
zapory i systemy autoryzacji, po prostu 
zadzwonią prosząc o login i hasło niczego 
nie podejrzewającego pracownika. Czy 
jest on naiwny? Zdecydowanie nie, jest 
nieprzeszkolony. Uważasz, że Twoja firma 
jest bezpieczna? Mylisz się, ponieważ 
każdego dnia uchodzą z niej cenne 
informacje. Powiedz STOP! Zorganizuj 
szkolenie!

Łukasz Ciesielski

Autor od lat zajmuje się systemami z rodziny Linuksa, 

zwłaszcza Debianem i Slackware. W wolnych chwilach 

pisze programy w C/C++, Javie, Pythonie, Pascalu (także 

z wykorzystaniem bibliotek Qt i GTK). Od kilku lat autor 

zajmuje się zabezpieczeniami sieci i systemu. 

Kontakt z autorem: lucas.ciesielski@o2.pl.