„Łamałem Ludzi, A Nie Hasła” – Czy Kevin Mitnick Mógłby Dziś Działać Tak Samo?

Mit „hakera” zostawmy na boku. Tu chodzi o procesy

Kevin Mitnick – legendarny haker, który powtarzał „Łamałem ludzi, a nie hasła” – udowodnił, iż najskuteczniejszym wektorem ataku jest czynnik ludzki. Ponad dwie dekady temu Mitnick z powodzeniem wykorzystywał socjotechnikę, manipulując ludźmi do ujawniania tajemnic firm i haseł dostępu. Dziś, mimo rozwoju technologii obronnych, zasada ta pozostaje aktualna: najsłabszym ogniwem w bezpieczeństwie wciąż bywa człowiek.

Co więcej – współcześni atakujący udoskonalili klasyczne metody socjotechniczne, czyniąc je trudniejszymi do wykrycia. W tym artykule z perspektywy Blue Team (zespołów obrony, takich jak SOC – Security Operations Center) przeanalizujemy, jak obecne zagrożenia socjotechniczne przypominają podejście Mitnicka, ale wykorzystują nowe narzędzia: MFA, AI, OSINT i automatyzację. Pokażemy również, gdzie technologie bezpieczeństwa mogą nie wystarczyć oraz jak procesy i architektura obronna muszą wypełnić lukę.

O samym Kevinie Mitnick’u pisaliśmy w artykule – Kevin Mitnick – Legendarny Hacker. jeżeli interesuje Cię historia i życiorys to więcej informajci znajdziesz właśnie tam.

Mitnick i sztuka podstępu – dawne metody, niezmienne słabości

Kevin Mitnick zasłynął nie dzięki wyrafinowanym exploitom oprogramowania, ale dzięki mistrzowskiej manipulacji ludźmi. Jego ataki polegały na zdobywaniu zaufania i informacji od pracowników firm, często przez telefon – wystarczył mu przekonujący pretekst, by ofiary same zdradzały poufne dane. W latach 90. Mitnick potrafił nakłonić personel techniczny do podania haseł, udając np. innego pracownika lub zewnętrznego konsultanta. U podstaw tych ataków leżała psychologia zaufania i skłonność ludzi do pomocy – cechy, które nie zmieniły się mimo upływu lat.

Dlaczego takie ataki działały? Mitnick uderzał tam, gdzie zabezpieczenia techniczne nie sięgały – w procedury i relacje międzyludzkie. Firewall czy antywirus nie miał znaczenia, jeżeli ofiara dobrowolnie podała intruzowi hasło przez telefon. Mitnick wykorzystał fakt, iż firmy skupiały się na ochronie infrastruktury, a zapominały o edukacji pracowników i kontrolach procesów. To ważna lekcja: choćby dziś najlepsze narzędzia bezpieczeństwa nie pomogą, gdy użytkownik sam wpuszcza atakującego. Jak ujął to ekspert Bitdefender, techniki socjotechniczne pozostały te same – zmieniła się tylko ich jakość i kontekst.

Współcześnie przez cały czas obserwujemy, iż „człowiek jest najsłabszym ogniwem”. choćby przy zaawansowanych systemach ochrony, użytkownicy wciąż dają się nabrać na sztuczki oszustów. Co gorsza, dzisiejsi cyberprzestępcy znacznie podnieśli poprzeczkę. Ataki socjotechniczne ewoluowały – wiadomości phishingowe są wolne od oczywistych błędów, rozmowy telefoniczne brzmią profesjonalnie, a oszust potrafi podszyć się choćby pod prezesa firmy. Przykładowo, nowoczesny spear phishing to już nie koślawy e-mail z Nigerii, ale starannie przygotowana wiadomość od rzekomego dyrektora finansowego do działu księgowości, z idealnym polskim językiem i znajomością wewnętrznych procedur. Celem może być nakłonienie pracownika do przelania pieniędzy na konto atakującego lub podania danych logowania – atakujący zdobywa w ten sposób przyczółek w sieci ofiary. Innymi słowy: tak jak Mitnick „łamał ludzi” socjotechniką, tak dziś robią to samo współcześni agresorzy, choć otoczenie technologiczne się zmieniło.

Socjotechnika 2.0 – ewolucja ataków w erze MFA, AI i OSINT

Dzisiejsi cyberprzestępcy dysponują arsenałem, o jakim Mitnick mógł tylko marzyć. Socjotechnika 2.0 to nowa generacja ataków wspieranych przez sztuczną inteligencję, big data z wycieków i powszechny dostęp do informacji (OSINT). Ataki stały się hiperpersonalizowane, kontekstowe i przerażająco wiarygodne. Przyjrzyjmy się kluczowym trendom, które nawiązują do podejścia Mitnicka, ale wykorzystują współczesne technologie:

Phishing napędzany OSINT – spersonalizowane pułapki

OSINT (Open Source Intelligence) daje atakującym niespotykane dawniej możliwości rozpoznania ofiary. Publiczne profile w mediach społecznościowych, LinkedIn, dane z wycieków – to wszystko pozwala zebrać szczegółowe informacje o pracownikach i firmie. Agresor przed wysłaniem phishingu może wiedzieć, jak nazywa się szef IT, nad jakim projektem pracuje dział ofiary, a choćby jakiego systemu używa się w firmie. Spear phishing z wykorzystaniem OSINT to atak skrojony na miarę: e-mail wygląda jak wewnętrzna korespondencja, używa fachowego języka i odnosi się do aktualnych spraw firmy. Ofiara, widząc znajome konteksty, ufa wiadomości znacznie bardziej.

Przykład: Pracownik działu kadr otrzymuje mail od rzekomego CTO firmy, dotyczący „pilnej aktualizacji portalu HR”. Wiadomość zawiera imię prezesa i szczegóły ostatniego all-hands (zdobyte z mediów społecznościowych firmy), dzięki czemu wygląda autentycznie. W mailu jest link do fałszywej strony logowania. Pracownik kliknie – strona prosi o podanie hasła i kodu MFA. jeżeli niczego nie podejrzewa, atakujący przechwyci jego dane logowania oraz jednorazowy kod. W ten sposób, przy użyciu phishingu 2.0, napastnik może ominąć choćby uwierzytelnianie wieloskładnikowe. Taki atak określa się czasem jako phishing MFA (znany też jako MITM phishing lub adversary-in-the-middle), gdzie sprytna proxy wykrada tokeny sesyjne zanim trafią do prawdziwego serwisu. To nowoczesna odmiana „łamania ludzi” – ofiara sama podaje dane na podstawionej stronie, nieświadoma, iż przekazuje klucze do swojego konta agresorowi.

Warto zauważyć, iż choć mechanizmy uwierzytelnienia się rozwijają, sprytnie przygotowana socjotechnika potrafi je obejść. Hasło o długości 16 znaków czy token sprzętowy nic nie pomoże, jeżeli użytkownik sam zostanie oszukany, by je ujawnić atakującemu. To właśnie sedno filozofii Mitnicka, które pozostaje prawdziwe w dobie cyfrowej.

Vishing i deepfake – głos, któremu uwierzysz

Mitnick często wykorzystywał telefon do socjotechniki, udając kogoś innego. Dziś tradycyjne vishing (voice phishing) również przybrało nową formę dzięki AI. Pojawiły się oszustwa z użyciem deepfake audio, czyli syntetycznych głosów generowanych przez sztuczną inteligencję. Atakujący mogą klonować czyjś głos na podstawie kilkunastosekundowej próbki i zadzwonić do ofiary, brzmiąc jak jej przełożony czy współpracownik. Taka rozmowa potrafi całkowicie zniwelować czujność – przecież “dzwoni szef”, więc komu ufać, jak nie jemu?

Scenariusz ataku deepfake vishing:
1. Przygotowanie głosu (OSINT & AI): Napastnik znajduje nagranie głosu prezesa firmy (np. z wywiadu na YouTube). Następnie trenuje model AI, aby sklonować ten głos (dzisiejsze algorytmy potrzebują często poniżej minuty próbki!).
2. Podszycie się pod prezesa: Agresor dzwoni do działu finansowego firmy, a dzięki syntezatorowi mowy ofiara słyszy w słuchawce niemal nie do odróżnienia głos prawdziwego prezesa.
3. Wywołanie presji: Podszyty „prezes” pilnie zleca wykonanie dużego przelewu lub podanie poufnych informacji (np. listy klientów, kodów dostępu). Może dodać, iż sprawa jest super tajna, by zabronić konsultacji z kimkolwiek.
4. Sfinalizowanie ataku: jeżeli pracownik uwierzy, iż rozmawia z szefem, wykonuje polecenie – przelew trafia na konto oszustów lub dane zostają przekazane. Atak zakończony, zanim ktokolwiek zorientuje się, iż to mistyfikacja.

Ten przykład nie jest teoretyczny – takie ataki już się zdarzają. Deepfake vishing doprowadził do wielomilionowych strat finansowych w firmach na świecie. Głos to potężny nośnik zaufania: ofiary często choćby nie podejrzewają, iż można go podrobić. Dla Blue Teamu wykrycie takiego incydentu jest ekstremalnie trudne, bo z perspektywy systemów wszystko odbywa się “legalnie” – ktoś w firmie autoryzował transakcję lub zdradził dane na pozornie uzasadniony telefon.

Automatyzacja i skala: Sztuczna inteligencja nie tylko podrabia głosy czy tworzy realistyczne fałszywe wideo. AI pełni też rolę “sekretarza” cyberprzestępcy – automatyzuje research i personalizację na masową skalę. Dawniej atak socjotechniczny wymagał czasu i wysiłku (Mitnick musiał np. manualnie wertować dokumenty z dumpster diving albo godzinami obdzwaniać numery). Dziś wiele z tych zadań załatwia oprogramowanie: skrypty mogą przeanalizować setki profili LinkedIn w ciągu minut, a chatGPT-like modele wygenerują dziesiątki unikatowych, przekonujących treści phishingowych. Demokratyzacja AI sprawiła, iż tworzenie wyrafinowanych kampanii socjotechnicznych stało się tanie i łatwo skalowalne. To oznacza, iż obrońcy muszą przygotować się na falę ataków, które są liczniejsze, lepiej dopasowane do ofiar i trudniejsze do wykrycia niż kiedykolwiek wcześniej.

Ataki na MFA – zmęczenie i inne obejścia

W odpowiedzi na wycieki haseł i proste ataki phishingowe, firmy masowo wdrożyły uwierzytelnianie wieloskładnikowe (MFA). Pojawiła się nadzieja, iż choćby jeżeli hasło wycieknie, dodatkowy czynnik (kod SMS, powiadomienie push, klucz U2F) powstrzyma intruza. Niestety, i na to znaleziono sposób. Pojęcie MFA fatigue (dosłownie “zmęczenie MFA”, znane też jako MFA bombing) opisuje atak polegający na zasypaniu ofiary lawiną powiadomień autoryzacyjnych, aby wymusić przypadkową zgodę.

Jak to wygląda w praktyce? Wyobraźmy sobie, iż napastnik wszedł w posiadanie hasła pracownika (np. kupując je na czarnym rynku lub dzięki phishingowi). Próbuje zalogować się na konto ofiary przez VPN lub pocztę firmową – co uruchamia prośbę o potwierdzenie logowania w aplikacji MFA (np. Duo, Microsoft Authenticator) u prawdziwego użytkownika. Atakujący powtarza próby logowania dziesiątki razy na minutę, przez co telefon ofiary non stop wyświetla powiadomienia “Czy potwierdzasz logowanie…?”. Taki spam może trwać godzinę lub dłużej, aż w końcu sfrustrowany lub zdezorientowany użytkownik klika “Akceptuj” – być może myśląc, iż to jakiś błąd systemu, który zniknie po potwierdzeniu. W tym momencie atakujący zostaje wpuszczony. Głośny przykład to atak na Uber w 2022 roku: jeden z pracowników przyznał, iż dostał tyle powiadomień MFA, iż w końcu je zaakceptował, zwłaszcza iż rzekomy “ktoś z IT” na komunikatorze prosił go o to, by „zatrzymać spam”. Ta technika socjotechniczna skutecznie obchodzi MFA – nie łamie go kryptograficznie, ale dynamizuje ludzkie zmęczenie i odruch akceptacji.

Co istotne, atak typu MFA fatigue został oficjalnie potwierdzony jako wektor włamania w wielu incydentach. Firma Uber w swoim oświadczeniu przyznała, iż intruz kompromitował konto pracownika zewnętrznego właśnie przez socjotechnikę i “zmęczenie atakiem MFA”. Takie przypadki pokazują, iż choćby najlepsze mechanizmy uwierzytelniania mogą zostać obejście, jeżeli atakujący umiejętnie zmanipuluje nasze zachowanie.

Innym podejściem jest phishing ukierunkowany na kody jednorazowe (OTP). Ofiary otrzymują fałszywe strony lub wiadomości SMS proszące o podanie kodu 2FA – i często, w dobrej wierze, same go przekazują przestępcom. Jeszcze inną techniką jest przechwytywanie sesji: atakujący nie pyta ofiary o kod, tylko przechwytuje istotny token sesyjny (np. cookie po logowaniu) poprzez podstawiony proxy – wspomniany wcześniej atak man-in-the-middle na strony logowania. W 2023 roku zanotowano nasilenie tych metod: Microsoft raportował 300% wzrost ataków typu MFA fatigue rok do roku, a analizy pokazały, iż znaczna część (ponad 70%) skutecznych włamań zawierała element socjotechniki. To oznacza, iż “łamanie ludzi” jest wciąż bardziej opłacalne dla atakujących niż łamanie mechanizmów kryptograficznych. Z perspektywy obrońców rodzi to duże wyzwania.

Blue Team kontra socjotechnika – wyzwania obrony

W klasycznych atakach sieciowych Blue Team ma do dyspozycji szereg narzędzi: SIEM zbierający logi, systemy EDR/IDS analizujące podejrzane działania, zapory filtrujące ruch. Jednak atak socjotechniczny często nie generuje oczywistych alarmów technicznych. Jak wykryć w SIEM, iż rozmowa telefoniczna była oszustwem? Jak zlogować, iż pracownik dał się nabrać na fałszywy email? To problem, z którym mierzą się dziś zespoły bezpieczeństwa.

Niewidzialny atak: Gdy intruz zdobywa dostęp podstępem, używa w zasadzie legalnych poświadczeń. Dla systemów monitoringu wygląda to jak normalna aktywność użytkownika. Przykładowo, w ataku na MGM Resorts w 2023 r. napastnicy zadzwonili do helpdesku IT, podszywając się pod pracownika firmy. Wykorzystali ogólnodostępne informacje (zapewne z OSINT) do przejścia weryfikacji i przekonali support, by zresetował hasło oraz wydał im dostęp MFA do konta administratora. W efekcie zdobyli “klucze do królestwa” – hasła i tokeny MFA, mając informacje, które było banalnie łatwo zdobyć. W logach systemowych najpewniej widać było tylko wpis o tym, iż “pracownik X zmienił hasło” oraz iż “logowanie z nowego urządzenia zostało pomyślnie uwierzytelnione”. Żadnych exploitów, żadnego malware – tylko czysta socjotechnika. SIEM nie podniósł czerwonej flagi, bo technicznie rzecz biorąc ktoś przeszedł poprawnie proces resetu i logowania. Dopiero po fakcie, gdy zaczęły dziać się anomalie (dziwne operacje w sieci, wycieki danych), odkryto, iż to efekt oszustwa.

Powyższy przykład pokazuje, iż narzędzia techniczne mają ograniczenia. Jak ujęto to w pewnym opracowaniu, choćby najlepszy antyspam, najdroższy firewall i najbardziej zaawansowany EDR będą bezradne, gdy uwierzytelniony pracownik sam, w dobrej wierze, wykonuje polecenia intruza. Ataki socjotechniczne uderzają w luki w ludzkiej psychice, a nie w luki w oprogramowaniu – te pierwsze są znacznie trudniejsze do „załatania”. Blue Team musi więc rozszerzyć pole działania poza czysto techniczne sygnały.

Wykrywanie subtelnych oznak: Mimo trudności, obrońcy nie są bezsilni. Kluczem jest szukanie pośrednich anomalii i korelacja zdarzeń. Przykładowo, w przypadku ataku MFA fatigue – pojedynczy zaakceptowany push nie wzbudzi alarmu, ale 20 powiadomień MFA w ciągu 2 minut dla jednego użytkownika to już nietypowe zjawisko. Dobrze skonfigurowane systemy mogą generować alert po wykryciu takiego wzorca. Przykładowy log:

2025-12-01T10:23:45Z AUTHENTICATION MFA Push user=j.nowak status=DENY device=MobileApp
2025-12-01T10:24:10Z AUTHENTICATION MFA Push user=j.nowak status=DENY device=MobileApp
2025-12-01T10:24:25Z AUTHENTICATION MFA Push user=j.nowak status=DENY device=MobileApp
2025-12-01T10:24:58Z AUTHENTICATION MFA Push user=j.nowak status=ALLOW device=MobileApp **Successful**

Powyżej widać cztery niemal seryjne próby MFA – trzy odrzucone, czwarta zaakceptowana. Analiza korelacyjna w SIEM mogłaby tu zgłosić podejrzany ciąg (w normalnej pracy użytkownika rzadko występuje taka sekwencja). Podobnie, o ile konto użytkownika wykonuje działania o 2 w nocy, choć zwykle pracuje 8-16, i chwilę wcześniej nastąpiła zmiana jego hasła przez helpdesk – takie powiązanie faktów też powinno zapalić lampkę ostrzegawczą.

Blue Team coraz częściej sięga po mechanizmy UEBA (User and Entity Behavior Analytics), by uczyć się typowych wzorców zachowań użytkowników i wykrywać odstępstwa mogące świadczyć o przejęciu konta. Przykład: o ile Jan Kowalski z działu HR nigdy nie loguje się do systemu administracji serwerami, a nagle to robi – system UEBA podniesie alarm o nietypowej aktywności. Również analiza treści komunikacji może pomóc – niektóre zaawansowane filtry potrafią wykryć w mailach typowe zwroty socjotechniczne (np. “pilny przelew”, “poufne hasło”, “nie udostępniaj nikomu”), choć atakujący uczą się je maskować.

Ograniczone zaufanie: Architekci bezpieczeństwa promują dziś model Zero Trust, który niejako zakłada, iż prędzej czy później ktoś wewnątrz sieci może zostać przejęty. Stąd wdraża się zasady najmniejszych uprawnień i dodatkowe weryfikacje choćby po zalogowaniu. Przykładowo: jeżeli użytkownik nagle próbuje uzyskać dostęp do bardzo wrażliwych danych, system może wymagać ponownej autoryzacji (step-up authentication) lub potwierdzenia przez drugą osobę. Segmentacja sieci i kontrole dostępu również utrudnią atakującemu poruszanie się “na skróty” choćby po uzyskaniu czyichś danych logowania.

Ostatecznie jednak technologia nie wystarczy, jeżeli nie towarzyszą jej dobre procesy i świadomość ludzi. Dlatego obrona przed socjotechniką to w dużej mierze kwestia organizacyjna: szkolenia, testy, procedury i kultura bezpieczeństwa.

Dlaczego to ma znaczenie?

Ataki socjotechniczne w stylu Mitnicka – choć w nowych odsłonach – są dziś codziennością. Według raportów aż 74% cyberataków wykorzystuje element socjotechniki. Oznacza to, iż niezależnie od tego, jak silne mamy hasła czy nowoczesne firewalle, statystycznie największe zagrożenie i tak przyjdzie przez manipulację człowiekiem. Dlaczego to takie groźne? Bo te ataki omijają większość tradycyjnych zabezpieczeń. Żaden skaner podatności nie “załata” łatwowierności pracownika, a alerty o logowaniu nic nie pomogą, gdy ofiara sama potwierdzi dostęp intruzowi.

Z punktu widzenia Blue Teamu i architektów bezpieczeństwa zrozumienie tych mechanizmów to klucz do skutecznej obrony. Trzeba identyfikować obszary, których nie obejmują narzędzia bezpieczeństwa – najczęściej są to właśnie procesy biznesowe i interakcje międzyludzkie. Przykładowo, czy Wasz helpdesk ma twarde procedury weryfikacji dzwoniących? Czy pracownik może zresetować hasło dzwoniąc na IT, podając tylko podstawowe dane? Jak weryfikujecie tożsamość rozmówcy przez telefon? To pytania, na które trzeba mieć odpowiedzi zanim dojdzie do incydentu.

Współczesne podejście do obrony musi uwzględniać, iż “czynnik ludzki” jest równie istotny jak aktualizacja systemów czy konfiguracja zapory. choćby najlepsza architektura bezpieczeństwa rozpadnie się, o ile procesy zawiodą – np. jeżeli napastnik przekona waszego dostawcę usług (partnera) do nieautoryzowanego działania lub jeżeli dział HR potwierdzi referencje fikcyjnego nowego pracownika. Dlatego tak duży nacisk kładzie się dziś na security awareness training (szkolenia uświadamiające) oraz na projektowanie systemów z myślą o minimalizowaniu skutków ludzkich błędów (np. wieloetapowe potwierdzanie krytycznych operacji, mechanizmy “four eyes” do autoryzacji płatności powyżej pewnego progu itp.).

Podsumowując, socjotechnika to pole, na którym toczy się większość bitew cyberbezpieczeństwa. Ignorowanie jej to jak zostawienie otwartych drzwi przy włączonym alarmie – technologia może wyć na czerwono, ale gdy drzwi są otwarte, intruz i tak wejdzie.

Checklista techniczna dla SOC i architekta bezpieczeństwa

• Edukacja i testy socjotechniczne: Regularnie przeprowadzaj szkolenia awareness dla pracowników. Ucz ich rozpoznawania phishingu, vishingu, deepfake’ów. Uzupełniaj to kontrolowanymi testami (podrzucane fałszywe maile, symulowane telefony) i omawiaj wyniki.
• Weryfikacja tożsamości w procesach: Przeanalizuj procedury biznesowe, zwłaszcza te realizowane drogą telefoniczną lub mailową. Sprawdź procedurę resetu haseł – czy helpdesk wymaga silnej weryfikacji dzwoniącego? Upewnij się, iż nie da się łatwo podszyć pod pracownika znając tylko podstawowe dane. Dodaj hasła bezpieczeństwa lub dodatkowe pytania uwierzytelniające dla krytycznych operacji.
• Zasada ograniczonego zaufania: Wdroż MFA tam, gdzie to możliwe, ale traktuj je jako jedną z warstw, nie panaceum. Rozważ bezpieczniejsze formy MFA odporne na phishing (tokeny sprzętowe U2F/FIDO2 zamiast kodów SMS czy powiadomień push). Miej świadomość ataków typu MFA fatigue – wybierz rozwiązania pozwalające ograniczyć lawinę powiadomień (np. wymuszanie odczekania czasu po kilku nieudanych próbach) i informuj użytkowników, by zgłaszali nadmiarowe prośby MFA.
• Monitoring i analiza behawioralna: Skonfiguruj systemy SIEM/SOAR, by wyłapywały nietypowe wzorce mogące wskazywać na socjotechnikę. Przykłady: wiele błędnych prób MFA, logowanie z nowego miejsca po telefonie do helpdesku, aktywność użytkownika poza normalnymi godzinami, nagła eskalacja uprawnień. Wdroż narzędzia UEBA do profilowania zachowań użytkowników i automatycznego alertowania o anomaliach.
• Ograniczanie skutków błędów: Stosuj least privilege – minimalne uprawnienia dla kont i segmentacja sieci. jeżeli choćby pracownik da się oszukać, intruz nie powinien zyskać od razu dostępu do wszystkiego. Krytyczne operacje opakuj dodatkowymi warstwami kontroli (wymagaj dwóch autoryzacji, stosuj mechanizmy potwierdzania tożsamości przez inny kanał komunikacji).
• Procedury reakcji: Przygotuj plan reagowania na incydenty socjotechniczne. Upewnij się, iż pracownicy wiedzą, gdzie zgłaszać podejrzane telefony lub maile (np. dedykowany kanał do zgłaszania phishingu). Przećwicz scenariusze typu “oszust telefoniczny” – np. czy wasz helpdesk rozłączy połączenie i zweryfikuje oddzwonieniem na oficjalny numer, gdy ktoś żąda nietypowej akcji? Czas reakcji ma znaczenie – im szybciej zorientujecie się, iż ktoś został zmanipulowany, tym większa szansa zablokowania transakcji czy zmiany haseł zanim dojdzie do szkód.
• Testuj swoich obrońców: Zorganizuj wewnętrzne war games lub zatrudnij Red Team do przeprowadzenia kontrolowanych ataków socjotechnicznych przeciwko waszej organizacji. Raport z takich testów wskaże dziury w waszych procesach (np. podatny na manipulację dział, słaba weryfikacja klienta w call center, itp.). Poprawcie te słabe ogniwa zanim zrobi to prawdziwy atakujący.

Podsumowanie

Jeśli po tym tekście zostaje jedna myśl, to ta: Mitnick nie jest przeszłością – Mitnick to schemat. Dziś mamy MFA, awareness, SIEM i EDR, a i tak przegrywamy w momencie, gdy człowiek staje się przekaźnikiem do procesów: resetu hasła, dopisania urządzenia, zatwierdzenia operacji, „jednego wyjątku na chwilę”.

Przy dzisiejszym poziomie technologii socjotechnika ma lepszy język (AI), lepszy kontekst (OSINT), lepszą wiarygodność (deepfake) i większą skalę (automatyzacja), ale fundament jest ten sam: autorytet, presja, rutyna i potrzeba bycia pomocnym.

Niewygodny wniosek? To nie „user” jest problemem. Problemem jest projekt bezpieczeństwa, który pozwala procesom ulegać manipulacji. jeżeli chcesz realnej odporności, przestań liczyć na to, iż ludzie „będą uważniejsi” — zacznij budować architekturę i procedury, które wygrywają z presją czasu, telefonem z „IT” i wiadomością od „szefa”.

Bibliografia