I. BAITING – DEFINICJA ZJAWISKA
Baiting, czyli technika przynęty, to jedna z metod socjotechnicznych, które wykorzystują ludzkie cechy charakteru, takie jak ciekawość, chciwość czy pragnienie korzyści do osiągnięcia swoich celów. Można ją rozumieć jako formę pułapki, w której ofiara jest nakłaniana do podjęcia pewnych działań, które prowadzą do naruszenia bezpieczeństwa, stracenia poufnych danych lub dostępu do systemu.
Głównym elementem tej techniki jest "przynęta". Jest to coś, co jest wystawiane na widok jako potencjalnie atrakcyjne dla ofiary i skłania ją do działania. Przynęta może przybierać różne formy, w zależności od kontekstu i celów atakującego. Może to być na przykład pendrive pozostawiony w miejscu publicznym, link do rzekomej strony z wyjątkowo atrakcyjną ofertą, wiadomość e-mail sugerująca możliwość zdobycia dużych sum pieniędzy, a choćby fałszywe ogłoszenia o pracy.
Podstawowym mechanizmem, który sprawia, iż baiting jest skuteczny, jest ludzka ciekawość i chęć zysku. Kiedy ofiara zauważa przynętę, jej naturalną reakcją może być chęć sprawdzenia, co to jest lub skorzystania z możliwości jakie daje. W momencie, gdy ofiara podejmuje działanie (np. podłącza pendrive, klika w link, otwiera załącznik wiadomości mailowej, itp.), atakujący instaluje szkodliwe oprogramowanie, uzyskuje dostęp do systemu lub zdobywa cenne informacje.
II. FORMY ZASTOSOWANIA
Omawiana technika może przyjmować wiele różnych form, zależnie od kontekstu
i celów. Poniżej przedstawiam kilka typowych przykładów:
1.
Fizyczny Baiting: Fizyczne formy omawianej techniki mogą obejmować takie działania jak pozostawianie urządzeń pamięci masowej (pendrive'ów) w miejscach publicznych
z nadzieją, iż ktoś je znajdzie i podepnie do swojego komputera. Pendrive może zawierać złośliwe oprogramowanie, które automatycznie zainstaluje się na komputerze ofiary, gdy zostanie podłączany. Skutkiem tego będzie następnie umożliwienie dostępu atakującemu do systemu lub danych. Może to być również forma dokumentu z "poufnymi" informacjami, które wydają się interesujące dla ofiary i mogą ją skłonić do podjęcia działań, które naruszają zasady bezpieczeństwa.
2. Cyfrowy Baiting (Phishing): W cyfrowej formie zjawiska atakujący korzysta z e-maili, wiadomości na mediach społecznościowych, SMS-ów lub innych form komunikacji online, aby przekonać ofiarę do kliknięcia w link lub otwarcia załącznika. Wiadomości te często zawierają "przynętę" w postaci atrakcyjnych ofert, nagród, straszliwych ostrzeżeń lub innych bodźców, które skłaniają ofiarę do działania. Po kliknięciu na link, ofiara może być przekierowana na fałszywą stronę logowania, która wykrada jej dane, lub może pobrać złośliwe oprogramowanie na jej urządzenie.
3. Baiting za pośrednictwem mediów społecznościowych: Media społecznościowe są idealnym miejscem do stosowania technik socjotechnicznych, w tym baitingu. Atakujący mogą udawać osoby, które ofiara zna, a co za tym wzbudzają jej zaufanie, mogą również udawać organizacje lub marki, które ofiara rozpoznaje. Następnie poprzez wykorzystanie używać fałszywych tożsamości przesyłane są wiadomości z przynętą, takie jak link do "niezwykłej" oferty, czy też interesującego filmu. Socjotechnicy mogą również tworzyć fałszywe posty, które wydają się pochodzić od zaufanych źródeł i zawierać przynętę w postaci linku lub załącznika, w które ofiara ma kliknąć.
4. Baiting w środowisku pracy: opisywana socjotechnika może być również wykorzystywana w środowiskach pracowniczych, gdzie atakujący mogą korzystając z ciekawości i pragnienia awansu pracowników wysłać im spersonalizowane wiadomości e-mail z fałszywym ogłoszeniem o pracy lub informacją o wewnętrznym szkoleniu, które wymaga kliknięcia w link lub pobrania załącznika.
III. ASPEKT PSYCHOLOGICZNY ZJAWISKA
Technika Baiting’u skutecznie wykorzystuje kilka podstawowych skłonności ludzkiego umysłu.
1. Ciekawość - Ludzie są naturalnie ciekawi, a atakujący wykorzystują tę skłonność do osiągania swoich korzyści. Przykładowo, jeżeli ktoś znajdzie pendrive'a na parkingu, może chcieć zobaczyć, co na nim jest z czystej ciekawości. Skutkiem tego może być podłączenie pendrive'a do komputera, co następnie prowadzi do zainfekowania go złośliwym oprogramowaniem.
2. Pragnienie korzyści/chciwość - Baiting często polega na oferowaniu czegoś, co wygląda na zbyt dobre, aby mogło być prawdziwe, zwykle jest to nieprawdziwe. Atakujący liczą na to, iż chciwość lub pragnienie korzyści przezwycięży zdrowy rozsądek i prowadzi do naruszenia bezpieczeństwa.
3. Zaufanie - Omawiana technika często polega na udawaniu zaufanej osoby lub organizacji, aby skłonić ofiarę do podjęcia określonych działań. Atakujący mogą na przykład udawać pracownika pomocy technicznej i prosić o dostęp do komputera ofiary, a następnie instalować złośliwe oprogramowanie.
Wszystkie te czynniki są wykorzystywane w technice Baitingu, aby skłonić ofiary do podjęcia działań, które prowadzą do naruszenia ich własnego bezpieczeństwa. Dlatego zrozumienie tych psychologicznych aspektów może pomóc w rozpoznaniu i uniknięciu takich ataków.
IV. PRZYKŁADY ZASTOSOWANIA
1. Atak Stuxnet - Jeden z najbardziej znanych przykładów Baitingu to atak z użyciem wirusa Stuxnet, który był jednym z najbardziej zaawansowanych złośliwych w historii. Został zaprojektowany do ataku na irańskie instalacje nuklearne i rozprzestrzeniał się poprzez fizyczne urządzenia USB. Ktoś musiał więc włożyć zainfekowany pendrive do systemu. (1)
2. Szkodliwe oprogramowanie Locky - W 2016 roku pojawiło się szkodliwe oprogramowanie o nazwie Locky, które rozprzestrzeniało się przez e-maile zawierające załączniki w formie faktur. Ofiary, celem sprawdzenia rzekomej faktury, otwierały załącznik, a tym samym instalowały złośliwe oprogramowanie, które następnie szyfrowało pliki na ich komputerach i wymagało okupu za odszyfrowanie. (2)
Musimy pamiętać, że w każdym z tych przypadków ofiara podjęła jakieś działania, takie jak podłączenie pendrive'a do komputera, czy kliknięcie w link. Dopiero po wykonaniu tych czynności ataki okazywały się skuteczne.
V. PODSUMOWANIE
Technika socjotechniczna Baitingu jest skuteczną metodą manipulacji, która wykorzystuje psychologiczne skłonności człowieka do ciekawości, pragnienia korzyści/chciwości lub zaufania w celu skłonienia ofiary do naruszenia zasad bezpieczeństwa. Omawiana technika może przyjmować różne formy, od pozostawiania fizycznych urządzeń z zainstalowanym złośliwym oprogramowaniem, po przesyłanie przekonujących wiadomości e-mail, które skłaniają do kliknięcia linku lub otwarcia załącznika.
Baiting jest szczególnie skuteczny, ponieważ wykorzystuje naturalne skłonności ludzkiego umysłu. Możemy być naturalnie ciekawi lub chciwi, a atakujący wykorzystają te cechy do skłonienia nas do podjęcia działań, których normalnie byśmy unikali.
Pomimo wielu znanych i udokumentowanych przypadków wykorzystania techniki Baitingu, ważne jest pamiętanie, iż zawsze istnieje ryzyko nowych, bardziej zaawansowanych ataków. Dlatego najważniejsze jest utrzymanie aktualności naszej wiedzy na temat taktyk socjotechnicznych i podejście do tematyki bezpieczeństwa z perspektywy "założenia najgorszego".
Bibliografia:
1. Kim ZETTER, Stuxnet. Początek ataku na infrastrukturę krytyczną świata, WCN, źródło: https://wszystkoconajwazniejsze.pl/kim-zetter-stuxnet/
2. Piotr Dziubak, Uważajcie na Locky bo nie będziecie lucky. Ten trojan szyfruje dane komputera, 11.04.2016, Cashless.pl, źródło: https://www.cashless.pl/1175-uwazajcie-na-locky-bo-nie-bedziecie-lucky-ten-trojan-szyfruje-dane-komputera