Socjotechnika Web 2.0

Ewoluuje technika, ewoluują nowe technologie i ewoluuje coś, co wydawałoby się od lat pozostanie niezmienne – socjotechnika. Okazuje się, że także cyberprzestępcy muszą zmieniać wektor ataków, jeśli chcą skorzystać z dobrodziejstw Web 2.0.

Sama idea inżynierii społecznej opiera się o dwa podstawowe czynniki – uzyskanie informacji przez ciekawość (z tego skorzystał chociażby popularny w 2000 roku wirus VBS/Loveletter), a nawet zastraszanie (maile z 2005 ze zmienionym nagłówkami, tak, aby wskazywały na adresy FBI, które informowały, że wykryto przeglądanie nielegalnych stron i aby uniknąć problemów, należy odpowiedzieć na dołączone w załączniku pytania – załączniku, który oczywiście zawierał wirusa [użyłem tego przykładu, bo okazuje się, że wzmożoną częstotliwości  wysyłania podobnych e-maili, z identycznym malware zauważono również w tym roku]). Oczywiście nie brakowało aktualnych wiadomości ze świata (WTC, tsunami) , które zachęcić miały do kliknięcia i pobrania szkodliwej wiadomości.

Powyższe sposoby miały pewną wadę – społeczeństwo można wyedukować, że organizacja X nie wysyła (i nigdy nie będzie wysyłała) maili do użytkowników. Skąd zresztą znana telewizja, czy też inna popularna firma miałaby znać adres zwykłego, szarego użytkownika Internetu? Coraz mniej osób daje się nabrać na tak niewyszukane sztuczki. Okazuje się jednak, że w dobie Web 2.0 socjotechnicy postanowili zwrócić się do atakowanych bezpośrednio. Nie otwieraj nieoczekiwanych załączników mailowych – trąbią media. Nie klikaj na podejrzane linki na Facebooku – tego już niestety prawie nikt nie mówi.

Trend, w którym przyjęło się, że serwisy e-maile wykorzystujemy głównie do kontaktów firmowych, a serwisy społecznościowe przede wszystkim do kontaktów ze znajomymi i rozrywki stał się coraz popularniejszy. Stąd dużo „łatwiej” jest kliknąć nam w link przesłany drogą społecznościową. Zerknijmy, jakie ułatwienia mają twórcy złośliwego oprogramowania przeznaczonego na popularną Twarzo-ksiażkę.

Po pierwsze publiczny dostęp do podstawowych danych (jak imię, nazwisko, czasem data urodzenia) daje sporą przewagę socjotechnikowi. Wiele ludzi twierdzi, że szkodliwe oprogramowanie wysyłane jest masowo (to prawda), więc wpis, który zaadresowany jest bezpośrednio do nas [przykład: Hej Bogdan, zobacz jaki fajny film obejrzałem; Bogdan! Nie mogę uwierzyć, że na tej stronie o Tobie piszą!; itp.]  nie może być zły (to już prawdą nie jest). Pobranie danych i wysłanie takiej wiadomości na potocznie zwaną „ścianę” jest wręcz banalne.
Kolejna sprawa to znajomi. Potwierdza się często słyszana zasada, że istnieje wiele różnic pomiędzy znajomością w świecie realnym i tym wirtualnym. Jedną z takich różnic jest to, że nie można bezgranicznie wierzyć tym drugim. Wpisy „reklamujące” [czyt. ukrywające szkodliwe oprogramowanie muszą się jakoś rozprzestrzeniać Najlepszą drogą jest pobranie naszej listy znajomych i umieszczeniu na ich tablicy złośliwego kodu. Zaadresowany bezpośrednio do nas, w dodatku od naszego najlepszego znajomego link jeszcze bardziej zachęca  do kliknięcia w niego.
Oczywiście sama „ściana” to dla niektórego malware za mało. Przecież mamy jeszcze inne drogi komunikacji – jak prywatne wiadomości, czy nawet chat.

Na koniec zachęcam do zapoznania się z przykładem takiego facebookowego scamu (http://pastebin.com/uk0NZ758) jak widać, napisanie takiego kodu jest wyjątkowo banalne.. Mam nadzieję, że media nie zasną i będą na bieżąco informować o niebezpieczeństwie czyhającym w Web 2.0, a ja z niecierpliwością czekam na Web 3.0 – tam to socjotechnika będzie musiała ewoluować.