Un pic de inginerie socială

Dacă serverele de mail îşi fac treaba din ce în ce mai bine treaba în protecţia împotriva SPAM-ului şi altor tipuri de mesaje, browser-ele web filtrează din ce în ce mai bine phishing-ul, iată că Web 2.0 ne oferă o nouă formă de inginerie socială care va da şi mai mult de furcă administratorilor de reţele, părinţilor şi altora.

Pe scurt povestea şi apoi interpretările.

Aseară primesc invitaţie pe Facebook de la o anumită persoană. Precaut cum sunt, m-am uitat la profil. Absolvent FEEA!, Iaşi. Contabil. M-am uitat apoi la data naşterii. Promoţia 2008. Search după nume în baza de date… Nixt. Caut mai detaliat… Tot nimic.

Mă uit apoi la poze… (nu se spune fotografii în acest context). Mda! Accept! :)

Dau un mesaj în care i-am transmis că facultatea absolvită este FEAA nu FEEA. Nici un răspuns.

Astăzi apar etichetat într-o fotografie de-a ei. ID-ul de yahoo era trecut acolo, precum şi toţi prietenii etichetaţi.

La ora 00:30 avea 12 prieteni, astăzi la 13:13 are 55 în creştere.

Atunci am realizat că ceva nu este în regulă şi am început săpăturile.

Pe un alt site apare dintr-o altă localitate, cu altă dată de naştere dar acelaşi nume şi fotografie de profil.

După şi mai multe săpături, am decis să trecem la pasul urmator. Contactul pe Messenger.

Surpriză, primesc răspunsuri:

Scopul SpamRobotului era de a mă directa spre pagina de web pe care erau doar nişte legături sponsorizate. Răspunsurile apăreau permanent după 15 – 20 secunde, şi se cunoştea din scriere că nu este un nativ de Engleză.

Acum interpretările

Conform Wikipedia Ingineria socială (engleză Social Engineering) este un termen prin care se înțelege arta de a influența, de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în psihologia maselor de a-i face pe alții să gândească și să creadă ceea ce ‘maestrul’ vrea ca acei "alții" să creadă.

Vladii încearcă în articolul său despre acest topic să explice care sunt tehnicile prin care inginerul social încearcă să extragă informaţii de la voi sau să vă determine să efectuaţi anumite acţiuni.

Într-un alt articol de pe WorldID ni se explică modul în care am putea să ne protejăm împotriva unor acţiuni de acest gen.

Scopul modelului prezentat în acest articol este de a acumula cât mai multe conexiuni pe diferite reţele sociale, prin afişarea unor informaţii aproximativ exacte şi a unor fotografii şi mesaje provocatoare.

Este uşor de acaparat în acest fel persoane de genul masculin. Wow colega mea… Silicoane!… fără a se gândi dacă au fost sau nu colegi :)

Persoanele de genul feminin sunt atrase prin tehnicile de asociere la o comunitate sau alta. Am terminat contabilitate la FEAA în 2008. Victima feminină poate ignora orice alte informaţii, iar fotografiile pot constitui un bun subiect de bărfă: Ai văzut fată, […] aia şi-a pus silicoane (acesta este un mesaj perfect real, autorul şi metoda de obţinere fiind păstrată deliberat confidenţială).  E greu totuşi să convingi o victimă feminină să acceseze o pagină de webcam pornografic, dar nu se ştie niciodată. :) 

Din punctul meu de vedere inginerul social duce o muncă sisifică. Trebuie să convingă cât mai multă lume să dea un click pe un link. Hai să analizăm rentabilitatea. Să luăm în considerare că un click costă 0,01 USD. Pentru a plăti un Indian pe zi pentru activitatea aceasta (media veniturilor in India este de 2 USD/zi) ai nevoie de 200 de click-uri. Discuţia mea cu Spamerul a durat 5 minute, timp în care am dat de 5 ori click în pagina destinaţie… rezultând 60 de click-uri pe oră ceea ce ar însemna că se pot produce 14,4 USD în 24 de ore. Şi asta dacă vorbeşti cu o singură victimă în acelaşi timp şi dacă un click costă doar 0,01 USD. Plus lista de ID-uri şi e-mailuri valabile.

Dacă te ţii de treabă poţi scoate mai mulţi bani pe lună decât un profesor de liceu român. Şi nici nu încalci nici un fel de regulament sau de lege din nici un stat!

Anul trecut cunoscusem o studentă din România care era plătită cu 450 USD pe lună (plus beneficii din realizări) pentru a citi cărţi în engleză şi a comenta pe forumuri de discuţii specializate, introducând subtil, în context, mesaje către anumite tipuri de medicamente. În lunile bune putea primi până la 1200 USD.

Ne putem proteja în astfel de cazuri?

Unii spun că da! Eu cred că nu. Socializarea face parte din natura noastră, deci într-o zi sigur putem fi victimele unei astfel de tehnici.

Cea mai bună protecţie în astfel de cazuri este educaţia.

A doua atenţia! Suntem sociabili dar facem conexiuni cu persoane pe care le cunoaştem, sau le-am cunoscut. Orice invitaţie pe o reţea socială trebuie verificată şi validată înainte de a o accepta.

O întrebare pertinentă este: Cum protejează reţelele sociale utilizatorii în astfel de cazuri?

Tehnic având în vedere că utilizatorul (răufăcătorul :) ) nu încalcă regulamentul nu ai cum să-ţi dai seama că este un spammer. Greşeala făcută în cazul de faţă de spammer este etichetarea mai multor persoane pe aceeaşi fotografie. Ar putea exista o tehnică de detectare a etichetărilor masive, dar este doar o idee.

Dacă aţi fost victima unui inginer social trebuie să vă eliminaţi din fotografia în care aţi fost etichetat şi să denunţaţi acea fotografie. Apoi eliminaţi spammerul din lista voastră de prieteni pentru a nu-i “infecta” şi pe alţii.

Personal folosesc ingineria socială ori de câte ori am ocazia.

Sintetic tehnica se numeşte: Zâmbind obţii mai mult!

Mergeţi la un ghişeu al statului, la care un/o angajat(ă) cu 25% mai acru(ă) nici măcar nu se uită la voi când spuneţi Bună ziua! Zâmbiţi şi întrebaţi cum merge treaba. Lăsaţi-i de înţeles că îl/o compătimiţi pentru cât de mult are de muncă şi cât de aglomerat este … etc, etc. Veţi pleca cu 25% din timp mai repede decât în mod obişnuit şi în 75% din cazuri cu treaba rezolvată.

Sper că nu v-am stricat această zi minunată de 13 septembrie :)