Socjotechnika ułatwia popełnianie nadużyć

Data: 18 września 2013 | Autor: Mikołaj Rutkowski | 1 komentarz »

Brytyjskie media ujawniły w ostatnich dniach arcyciekawą sprawę próby sprzeniewierzenia środków klientów hiszpańskiego banku Santander. Sprawa była połączeniem socjotechniki oraz – co tu dużo mówić – mało wyrafinowanej technologii, ale mimo to odbiła się szerokim echem w środowisku osób zajmujących się bezpieczeństwem instytucji finansowych. Mimo że specjaliści zapewniają, iż podjęty „atak” miał niewielkie szanse powodzenia, to nie zdecydowano się ujawnić zbyt wielu szczegółów, co zapewne miało przeciwdziałać potencjalnym naśladowcom. Sprawę warto jednak opisać, zważywszy na rolę, jaką odegrały w niej mechanizmy socjotechniki.

Najpierw fakty: przed kilkoma dniami policja aresztowała 12 osób planujących kradzież środków zdeponowanych na kontach klientów brytyjskiej części Santander Banku. Przy okazji komunikatu ogłoszono, iż bank narażony był na utratę milionów funtów. Czy tak faktycznie było? Raczej można w to wątpić, co nie znaczy, że sprawa jest błaha. Obrazuje bowiem, jak łatwo przeniknąć na teoretycznie chronione zaplecze oddziału bankowego i przeprowadzić tam nie do końca legalne działania.

Celem ataku przestępców był oddział banku zlokalizowany w londyńskim centrum handlowym Surrey Quays. Do oddziału wszedł człowiek podający się za technika komputerowego, przysłanego przez centralę w celu wykonania rzekomych drobnych prac. Co dziwne, najwyraźniej został on bez problemów wpuszczony na zaplecze oddziału, udostępniono mu także sprzęt komputerowy. Tymczasem jedynym zadaniem rzekomego technika było wpięcie do sieci tzw. przełącznika KVM (keyboard-video-mouse). To proste i tanie (ok. 30-50 zł) urządzenie umożliwia albo fizyczne podłączenie do niego dodatkowych zestawów klawiatury, myszy oraz monitora, a tym samym zdalne kontrolowanie wybranego komputera, albo też zdalny dostęp poprzez internet za pomocą innego komputera. Ta druga możliwość miała być podstawą opisywanego nadużycia.

Dzięki wpięciu urządzenia bezpośrednio w infrastrukturę oddziału, przestępcy sądzili, iż uda im się dostać do wewnętrznej sieci banku, bez konieczności przełamywania zabezpieczeń. Planowali, iż poprzez komputer wybranego pracownika zrealizują przelewy na założone uprzednio na fałszywe dane konta bankowe. Potem już tylko wypłacą skradzione środki lub przeleją je na kolejne rachunki i będą ustawieni na długi czas. Jednak, jak już wiemy, z planów tych nic nie wyszło. Nie podano wprawdzie, co konkretnie zawiodło w zastosowanych mechanizmie, ale z dużą dozą prawdopodobieństwa można założyć, iż systemy IDS/IPS wykryły i zneutralizowały nieautoryzowany ruch w sieci banku (policja nie potwierdziła, iż w ogóle podjęto próbę dostępu).

Bank oświadczył, iż nie stwierdzono współudziału żadnego z jego pracowników w tej sprawie. Osobiście nie jestem jednak co do tego przekonany. Przestępcy musieli wiedzieć, do którego konkretnie komputera podłączyć KVM. Wybór maszyny na chybił trafił rodził zbyt duże ryzyko, że będzie na nim zalogowana osoba nie posiadająca odpowiednich uprawnień do realizacji operacji w systemie bankowym, co skazałoby całe przedsięwzięcie na niepowodzenie. Co więcej, musieli przynajmniej zakładać, a być może wiedzieli, że przeprowadzanie takiej operacji nie wymagałoby dodatkowego wprowadzenia hasła użytkownika, którego zapewne nie znali. Wreszcie – należało wybrać komputer osoby, która albo „przypadkowo” nie zwróci uwagi na operacje przebiegające na jej monitorze, albo też nie celowo / przypadkowo zablokuje stacji, odchodząc od stanowiska pracy. Wydaje się, że tych założeń było zdecydowanie zbyt dużo jak na tego rodzaju operację, a szanse na jej powodzenie w takim układzie byłyby minimalne. Natomiast posiadanie wewnątrz oddziału wspólnika pozwalałoby tego rodzaju niewiadome wyeliminować.

Z drugiej strony można zastanawiać się, po co przestępcy uciekali się do pozorowania interwencji technika, zamiast poprosić swojego potencjalnego wspólnika, aby to on(a) wpiął urządzenie we właściwe miejsce. Myślę jednak, że prawdopodobieństwo, iż ów wspólnik był na bakier z techniką jest wyższe, niż założenie, że przestępcy wpięli KVM zupełnie na ślepo.

Odchodząc od tych dywagacji, niezależnie od niepowodzenia tego konkretnego przypadku, należy zauważyć, że modus operandi sprawców było niezwykle groźne i generowało duże szanse powodzenia (takie przypadki miały już miejsce – vide: kradzież 5,2 mln USD z kont klientów Postbanku w RPA). Stosowane oprogramowanie zabezpieczające w dużej mierze koncentruje się na przypadkach prób przełamywania zabezpieczeń sieci. Tutaj mieliśmy do czynienia z jej bezpośrednią infiltracją, co mogło oszukać mniej wyrafinowane systemy. Jeśli oszustom udałoby się po fakcie usunąć przełącznik, to cała wina za utratę środków spadłaby na pracownika, którego komputer i konto sieciowe wykorzystano. Wnioski nasuwają się same – w szkoleniach pracowników związanych z bezpieczeństwem i przeciwdziałaniem nadużyciom nie może zabraknąć informacji na temat mechanizmów socjotechniki.

---