Atak za pomocą pretekstu to szczególny rodzaj socjotechniki, skoncentrowany na stworzeniu dobrego pretekstu lub sfabrykowanego scenariusza, aby przeprowadzić określone działanie. W encyklopedii PWN pretekst to «zmyślony powód podany w celu ukrycia właściwej przyczyny».
Gdy dostaję zlecenie, aby uzyskać dostęp do danych w jakimś obiekcie (oczywiście w ramach audytu), zazwyczaj zaczynam od badania bezpieczeństwa obiektów, przeczesywania strony internetowej i przeszukiwania kont pracowników w mediach społecznościowych. Sprawdzam kontrahentów, podwykonawców i wszystkich, którzy pozwolili mi dostać się do budynku pod jakimś wymyślonym przeze mnie pretekstem . Czasem jest to przerażająco proste, nawet do serwerowni można łatwo wejść, tylko dlatego, że trzymasz w rękach mopa, szmatkę, odpowiedni strój i posiadasz PRETEKST, jakim jest sprzątanie… Pretekst do wejścia do jakiegoś miejsca bardzo często łączy się z technikami wywierania wpływu na ludzi, o których pisał Cialdini, a najłatwiej jest połączyć go z autorytetem, gdy np. jesteśmy tutaj z polecenia pana prezesa, prezydenta czy innego „ważnego” dyrektora.
Mój ulubiony socjotechnik Chris Hadnagy definiuje preteksty jako „sztukę tworzenia kontekstu lub okazji do rozmowy, dzięki czemu masz większe szanse na osiągnięcie swoich celów”. Tworząc pretekst, „przypisujesz sobie rolę do odegrania”. Przedstawiasz również „racjonalne uzasadnienie, wyjaśnienie lub »pretekst« do prowadzenia działań na danym terenie”.
Pretexting to jedno z wielu narzędzi w pasku narzędzi socjotechniki. Prawidłowo wykorzystany dodaje nam wiarygodności, dzięki czemu możemy zdobyć różne ciekawe informacje.
Aby odnieść sukces, atakujący musi wymyślić wiarygodny scenariusz lub historię, aby przekonać wybrany przez siebie cel. Sprawa powinna pasować do lokalizacji i czasu celu. Scenariusz oszusta jest planowany tak aby był trafny, atrakcyjny i wiarygodny, ponieważ dodaje dodatkowej wiarygodności stworzonej historii.
Warto też zwrócić uwagę, że wiarygodna sytuacja wymaga odgrywania ról. Rola, jaką odgrywa atakujący, jest bardzo istotna. Ważne, aby sprawca był pewny siebie , ubierał i wypowiadał się w sposób pasujący do stanowiska. Postać pomoże utrwalić historię. Na przykład, jeśli podszywa się pod prawnika, powinna ubierać się formalnie, używać słownictwa związanego z branżą i odnosić się do tematu w taki sam sposób, w jaki robiłby to prawnik.
Podświadomie wielu z nas używa pretekstów w codziennym życiu. Możemy pokrótce zastanowić się, jakie podejście do rozmowy da nam pożądany rezultat. Na przykład, dziecko, które chce wyjść do kolegi i wie, że w danym momencie mama może mu na to nie pozwolić, zapewne użyje pretekstu, jakim jest wspólna nauka. Stara się odegrać rolę pilnego ucznia, aby uzyskać określony efekt. W osiągnięciu celu ważne będzie określone zachowanie, które pozwoli nam osiągnąć oczekiwany rezultat. W tym przypadku mama na pewno przychylniej spojrzy na dziecko, gdy będzie trzymało w ręce książkę oraz notatki i nie pokaże piłki, która zdradziłaby realny pretekst wyjścia do kolegi.
Skuteczne wchodzenie w rolę przez atakującego zależne jest od dopasowania najbliższej mu roli.Na przykład podszywanie się pod dostawcę usług sprzątających wcale nie jest tak łatwe, jeżeli nigdy w życiu nie umyło się podłogi lub też nie miało w rękach myjki do okien… Dobry socjotechnik podczas działania stara się dostosować scenariusz do własnych predyspozycji, aby być autentycznym.
Scenariusz rozmowy
Każdy z nas prawdopodobnie choć raz w życiu przygotowywał się do ważnej rozmowy i wyobrażał jej przebieg. Tak też jest w przypadku wcześniej przygotowanego scenariusza działania, który układa sobie w głowie socjotechnik, aby pozyskać jakąś informację lub osiągnąć określony cel. Dobry socjotechnik skupia się na tym, co najprawdopodobniej się wydarzy. Przemyślenie rozmowy i ważnych punktów, które chce poruszyć, a także tematów, których chce uniknąć, może pomóc w płynniejszym przebiegu ważnych rozmów. Oczywiście, wiele może się wydarzyć w terenie i nie jesteśmy w stanie wszystkiego przewidzieć – zawsze pozostaje element zaskoczenia, a umiejętność reagowania na dynamicznie zmieniającą się sytuacje to ważna cecha dobrego socjotechnika.
Działanie na emocjach
Wynik działań socjotechnika zależy od jednej ważnej rzeczy: co druga zaangażowana osoba myśli o Tobie i Twoich prośbach. Dla Ciebie oznacza to, że skupienie się na drugiej osobie i jej uczuciach będzie w Twoim najlepszym interesie. Zazwyczaj działanie na emocjach to szybkie i skuteczne zrealizowanie zadania, później ta osoba może ochłonąć i zorientować się, że nie powinna tak postąpić.
Bazując na swoim doświadczeniu, chcę Ci pokazać pięć etapów manipulowania ofiarą, które mają skłonić ją do wykonania konkretnego zadania.
Co można zrobić, aby ograniczyć ryzyko oszustwa lub incydentu z wykorzystaniem informacji poufnych i szybko zareagować, jeślido niego dojdzie? Powyżej dużo napisałem o bezpośrednim, fizycznym ataku na miejsce. Warto jednak podkreślić, że bardzo często atakujący nie będzie tak odważny, aby pojawić się na miejscu i będzie chciał podejść nas zdalnie, wykorzystując Internet czy też telefon.
Sposoby ataków ciągle się zmieniają, nie zmienia się jednak ich cel, jakim jest pozyskanie informacji. Konta pocztowe pracowników powinny zostać odpowiednio zabezpieczone, w zależności od potrzeb. Wewnętrzny system musi tak działać aby informować o tym, że wiadomości przychodzące od osób obcych są spoza organizacji, w której pracują, i należy wówczas zachować ostrożność. Blokowanie możliwości klikania w linki lub też ostrzeżenia przed zrobieniem tego to także ważny element przeciwdziałania pretextingowi.
Świadomość zagrożeń to najważniejszy element przeciwdziałania każdemu zagrożeniu. Ta świadomość musi być na każdym szczeblu, niezależnie czy dotyczy pana sprzątającego, sekretarki czy księgowej. Każda osoba musi być przeszkolona i świadoma.
Dostarczaj ukierunkowane szkolenia, oparte na analizie zagrożeń dla odpowiednich użytkowników. Treść funkcji najlepszych programów jest w pełni konfigurowalna i zbudowana zgodnie z zasadami uczenia się. Dzięki temu Twoi pracownicy będą zaangażowani podczas szkolenia i lepiej przyswoją te kluczowe umiejętności.
Co zrobić, gdy dojdzie do ataku? Opracuj politykę wraz zespołami HR i prawnymi w swojej organizacji, jak postępować w sytuacji, gdy odkryjesz, że pracownik dał się nabrać na oszustwo. Polityka ta powinna obejmować: sposób rejestrowania incydentów lub trendów działań, konsekwencje złamania zasad, sposób uzyskania ważnego dowodu oraz wskazać organy, które pracownik powinien powiadomić, jeśli do tego dojdzie.