Testy socjotechniczne

Badanie podatności pracowników na manipulacje socjotechniczne - w skrócie nazywane testami socjotechnicznymi - polega m.in. na realizacji prób nakłonienia pracownika lub pracowników Klienta do wykonania określonych działań wbrew obowiązującym regulaminom lub ogólnie pojętym zasadom bezpieczeństwa. Przykładowo można próbować skłonić pracownika do:

Część wspomnianych prób realizowana jest zdalnie. Głównie są to kampanie phishing-owe skierowane do konkretnego pracownika lub grupy pracowników realizowane w formie wiadomości e-mail z odsyłaczem do złośliwej strony. Działania te są poprzedzane rekonesansem, w ramach którego m.in. zbierane są publicznie dostępne informacje o pracownikach Klienta bądź pozyskiwane dodatkowe informacje o osobach wytypowanych przez Klienta do testów socjotechnicznych. Zebrane informacje pozwalają na dobranie odpowiednio skutecznego scenariusza działań wpasowującego się np. w zainteresowania pracowników bądź najnowsze wydarzenia. Niektóre działania mogą być także realizowane lokalnie w biurze Klienta. W przypadku takich testów nasi specjaliści próbują bezpośrednio lub pośrednio zmanipulować ofiary do wykonania odpowiednich działań. Przykładem bezpośrednich manipulacji może być scenariusz, w którym socjotechnik podszywając się pod pracownika firmy Klienta próbuje dostać się na jej teren nie posiadając przepustki. Następnie na terenie biura wyszukuje urządzenie przenośne (np. laptop), które pozostawione bez nadzoru i niezabezpieczone może zabrać i wynieść z biura. Działania pośrednie polegają na podłożeniu na terenie biura Klienta nośników danych (np. pamięci USB) ze spreparowaną złośliwą zawartością (np. dokument Word o chwytliwej nazwie „Plan zwolnień” z macro wykonującym złośliwy kod w momencie otwarcia pliku). Taki atak zakłada, że użytkownik chcąc oddać „zagubiony” nośnik podłączy go w swoim komputerze (by sprawdzić do kogo należy). Dzięki „chwytliwej” nazwie pliku istnieje szansa, że zostanie on, np. z ciekawości uruchomiony przez pracownika.

W przypadku testów socjotechnicznych możliwe jest prowadzenie działań z zastosowaniem różnego stopnia inwazyjności. Począwszy od niskiego, który zakłada jedynie odnotowywanie faktu skutecznej manipulacji, poprzez średni – gdzie m.in. podejmowany jest dialog z ofiarą i próby dalszej eskalacji ataku, po wysoki stopień inwazyjności, gdzie m.in. podejmuje się próby infekcji środowiska ofiary złośliwym oprogramowaniem. Najczęściej ze względu na to, że testy socjotechniczne są wykonywane względem pracowników mających kontakt ze środowiskiem produkcyjnym proponowany jest niski poziom inwazyjności testów, który charakteryzuje się wykluczeniem zastosowania oprogramowania mogącego zainfekować system ofiary, a w jego miejsce zastosowanie oprogramowania, którego jedyną funkcją jest zliczanie liczby uruchomień/kliknięć, co pozwala jednoznacznie odnotować fakt skutecznego zmanipulowania.

Bazując na naszym wieloletnim doświadczeniu możemy stwierdzić, że jedną z lepszych form podsumowania testów socjotechnicznych jest realizacja szkoleń dla pracowników. Szkolenia, które mają na celu zapoznanie pracowników z aktualnymi trendami w dziedzinie zagrożeń czyhających w sieci Internet oraz sposobami wykrywania prób ataków są szczególnie istotne w przypadku, gdy testy socjotechniczne wykazały, że istnieją wektory ataków, które agresor może wykorzystać by zmanipulować niektóre osoby w firmie Klienta. Tego typu szkolenia są przydatne dla osób, które dały się zmanipulować, by podnieść ich świadomość względem zagrożeń i sposobów ich wykrywania. Jednakże również inni pracownicy skorzystają na takim szkoleniu poprzez np. ugruntowanie wiedzy, przećwiczenie dodatkowych scenariuszy możliwych ataków oraz możliwość dyskusji w szerszym gronie na temat bezpieczeństwa organizacji i swojego miejsca pracy.

Referencje