Kevin D. Mitnick Sztuka podstępu

sztuka podstępu

Książka numer 6/2021

Kevin D. Mitnick, William L. Simon Sztuka podstępu. Łamałem ludzi, nie hasła.

Kiedy kradniemy pieniądze lub przedmioty, ktoś zauważa ich zniknięcie. Kiedy kradniemy informacje, w większości przypadków nikt tego nie dostrzega, ponieważ informacja pozostaje dalej w posiadaniu właściciela.

Kevin D. Mitnick

To była jedna z najbardziej przerażających mnie lektur, a wiesz przecież, że nie stronię od mocnych kryminałów. Dlaczego książka Kevina Mitnicka i Willama L. Simona spędziła mi sen z powiek? Pozwól mi zacząć od początku.

Wróg publiczny

Dawno temu w Los Angeles pewien trzynastolatek odkrył sposób podróżowania za darmo autobusami miejskimi, bez obawy o kontrole biletów. Jak to zrobił? Zapytał kierowców! Parę lat później ten sam człowiek włamywał się do systemów komputerowych najważniejszych instytucji w USA. Jak to robił? Cóż, często po prostu pytał o hasło dostępu. Ale jak pytał!!!

W 1995 roku Kevin Mitnick, bo o nim oczywiście mowa, został za owe włamania skazany przez sąd. Nigdy jednak nie postawiono mu zarzutu czerpania korzyści materialnych z popełnionych przestępstw.

Socjotechnika

W tej chwili Mitnick jest przedsiębiorcą. Szkoli pracowników różnych firm w rozpoznawaniu i udaremnianiu ataków socjotechnicznych. Książka, którą właśnie przesłuchałam, jest poradnikiem skierowanym do przedsiębiorców, pokazującym metody działania socjotechników i sposoby obrony przed nimi. Nie bez powodu pełny jej tytuł brzmi Sztuka podstępu. Łamałem ludzi, nie hasła. Autor konsekwentnie powtarza, że najczęściej najsłabszym elementem systemu zabezpieczeń okazuje się odpowiednio zmanipulowany człowiek.

W tym momencie masz może ochotę zapytać: skoro to poradnik dla przedsiębiorców, to czym się przejmować? Wszystkim!

Ty też możesz być celem

To nie jest tak, że socjotechnicy kierują swoje zainteresowanie jedynie na duże firmy. Oczywiście atak przeprowadzony na dużą korporację przynosi duży rozgłos (Mitnick twierdzi, że firmy często jednak zatajają fakt takiego ataku) i czasami ogromne pieniądze. Niesie ze sobą także duże ryzyko wpadki. Tymczasem osobę prywatną zmanipulować jest dużo prościej, a stosując metodę ziarnko do ziarnka również można nieźle się obłowić.

Pożyczyłabyś kiedykolwiek 600 tysięcy złotych osobie, której nigdy w życiu nie widziałaś na oczy?Ja oczywiście nie, choćby dlatego, że nie dysponuję taką kwotą. 🙂 Pewna mieszkanka Piaseczna dysponowała i zadysponowała przelew na konto rzekomego syna Clinta Eastwooda na pilną operację znanego aktora. To oczywiście przykład ekstremalny, ale pewnie wielokrotnie słyszałaś o „amerykańskich żołnierzach”, którzy nawiązują internetowy kontakt z Polkami i znacznie uszczuplają ich portfele. Wcale nie robią tego przemocą, zapoznane panie same, dobrowolnie zlecają przelewy na konto wskazane przez „żołnierza”. Tak, dobrze się domyślasz, owi panowie wykorzystują socjotechnikę do zmanipulowania swoich ofiar.

Łatwo naśmiewać się z naiwności innych, ale zastanów się proszę: czy nigdy nie zostałaś skłoniona do zrobienia czegoś na co tak naprawdę nie miałaś ochoty? Nigdy nie zostałaś naciągnięta? Nie skusiłaś się na super ofertę, która wcale nie była super? Bestseller sprzed paru lat – Wywieranie wpływu na ludzi- brutalnie obnażył podatność ludzi na działania socjotechniczne. Kevin Mitnick tylko ją potwierdza.

Bez daty ważności

Możesz pomyśleć, że skoro to dość stara książka, wydana w 2001 roku, to może nie jest aż tak źle. Technologia zabezpieczeń poszła mocno do przodu, możemy więc czuć się bezpiecznie. Nic bardziej mylnego.

Dawno temu uczestniczyłam w szkoleniu agentów ubezpieczeniowych dużej, polskiej firmy. Podczas tego szkolenia padło pytanie o bardzo nowoczesne drzwi i zamki antywłamaniowe. Dowiedziałam się wtedy, że włamywacze są zazwyczaj pierwszymi kupującymi nowości producenta tych zabezpieczeń. To odwieczny wyścig. Nie zapominaj także, że autor wprost mówi, że sama technologia zabezpieczeń częstokroć nie zawodzi. To my zostawiamy klucz w zamku najnowszej generacji.

SMS – nowa sztuczka

Mieszkam w UK. Od dawna dostaję przeróżne SMSy zawierające link do strony internetowej. Jednego dnia jest to wiadomość od popularnej platformy streamingowej, że moja płatność się nie powiodła i powinnam zalogować się na konto (korzystając z podanego linka), żeby uniknąć zablokowania usług. Zabawne jest to, że nie mam u nich żadnego konta. Czasem dostaję SMS w pilnej sprawie opłacenia podatku drogowego (przez podany link). Znam osoby, które zalogowały się przez podobne linki, żeby dostać zwrot podatku dochodowego czy odrzucić autoryzację podejrzanej i dość wysokiej transakcji w popularnym serwisie pośredniczącym w płatnościach on-line. Nie muszę chyba dodawać, że mieli z tego powodu kłopoty. Ostatnio czytałam, że w Polsce pojawiły się wiadomości o niewielkiej niedopłacie do oczekiwanej przesyłki kurierskiej.

Daj lajka

Na socjotechniczne „zagrywki” napotykasz dużo częściej niż sądzisz. Nie zawsze chodzi o opróżnienie Twojego konta bankowego. O niegroźnej lecz w gruncie rzeczy bardzo opłacalnej sztuczce socjotechnicznej popularnej w internecie wspomniałam w poście:

Zajrzyj tam, żeby sprawdzić czy zdarzyło Ci się wesprzeć internetowych spryciarzy. 🙂

Zrozumieć zasady

Ostatnią część książki, zawierającą instrukcje zabezpieczenia firm przed atakiem, przesłuchałam jednym uchem, bo mnie osobiście nie dotyczy. Może za to dotyczyć Ciebie jeśli prowadzisz swoją firmę lub zajmujesz kierownicze stanowisko. Wciąż jednak wszystkim niezależnie od pozycji zawodowej polecam pierwsze jej części. Znalazłam nawet złotą radę dla rodziców:

„Można powiedzieć dziecku: „Zawsze rozglądaj się w obie strony, zanim wejdziesz na jezdnię”, ale dopóki nie zrozumie ono dlaczego jest to takie ważne, będziemy opierali się jedynie na ślepym posłuszeństwie. Wszelkie zasady wymagające wyłącznie ślepego posłuszeństwa są zwykle ignorowane i zapominane”.

Please follow and like us: