Socjotechnika, czyli inżynieria społeczna, polega na manipulowaniu ludźmi i sytuacjami w taki sposób, aby uzyskać dostęp lub informacje, które w innym przypadku byłyby nie do zdobycia. Socjotechnikę można czasami wykorzystywać do omijania zabezpieczeń fizycznych — mechanizmów zapobiegających dostępowi osób nieupoważnionych. Nie tylko jednak do tego.

Organizacje płacą mi za sprawdzanie ich mechanizmów obronnych. Używam do tego połączenia inżynierii społecznej z działaniami fizycznymi. Zabezpieczenia, które testuję, mogą mieć postać zamków w drzwiach, ochroniarzy i recepcjonistów lub sieci komputerowych. Najczęściej są to wszystkie te elementy, a także cała gama innych. Poznacie je dokładniej, gdy zacznę opisywać, w jaki sposób włamuję się do banków 🐱‍👤



Jako specjalista ds. bezpieczeństwa, który chce się gdzieś włamać, wykorzystuję psychologię, mowę ciała, wdzięk osobisty, flirtuję, używam wytrychów i wielu innych niecnych narzędzi. Zanim jednak zacznę wykorzystywać takie techniki, zawsze czeka mnie mnóstwo przygotowań i papierkowej roboty.



Socjotechnika ma długą historię, choć zwykle pod inną nazwą — oszustwa. Zanim opowiem o moich przygodach, przyjrzyjmy się najpierw pierwszemu atakowi z wykorzystaniem inżynierii społecznej.


Najbardziej znanym historycznym przykładem użycia socjotechniki jest koń trojański. Choć prawie na pewno jest to mit, wspomina się o nim w drugiej księdze Eneidy, greckich poematach, a także w Odysei Homera. Jak zapewne wiecie, Grecy wycofali się, udając, że porzucili oblężenie Troi, ale pozostawili po sobie gigantycznego drewnianego konia. Trojanie uznali, że to dar od bogów i wprowadzili go do otoczonego murem miasta. W nocy wojownicy ukryci wewnątrz konia wydostali się z niego, zabili strażników i wpuścili grecką armię do środka 🐴


Na pewno potraficie wyciągnąć lekcję z tej historii — nie należy ufać temu, czego się nie zna, ani tym bardziej wpuszczać tego poza linię obrony. Wirusy komputerowe często nazywa się trojanami, ponieważ udają one coś nieszkodliwego. W micie o koniu znajdziemy wiele aspektów, na których opiera się inżynieria społeczna: oszustwo, fałszywe poczucie bezpieczeństwa, odwracanie uwagi i sprawianie, że cel czuje się, jakby odniósł sukces — a wszystko to dzieje się po myśli napastnika.


Wiele lat temu poproszono mnie o fachową konsultację z zakresu bezpieczeństwa dla więzienia w Anglii, w którym często dochodziło do zamieszek i ucieczek. Moja rola była nietypowa: nie miałem zapobiegać wsadzaniu ludzi za kraty, lecz skupić się na tym, aby się zza nich nie wydostawali. Usłyszałem wtedy historię uciekiniera, który użył metody przypominającej tę z koniem trojańskim.


Zauważył on, że dwie pralki były zepsute i wymagały wymiany. Zostały odłączone, sprawdzone i pozostawione w strefie załadunku. W dniu, w którym przyjechano po odbiór urządzeń, ukrył się w jednym z nich, podobnie jak greccy żołnierze ukryli się w koniu. Kilka kilometrów dalej wydostał się z pralki, następnie z ciężarówki i uciekł (ostatecznie udało się go schwytać). Ciekawe, czy kiedykolwiek czytał Odyseję?


Przestępcy wykorzystują inżynierię społeczną do przeprowadzania wszelkiego rodzaju ataków, od tak zwanych ataków phishingowych w celu uzyskania haseł po ogromne oszustwa, w wyniku których znikają setki milionów funtów 🎣


Podczas gdy wielu przestępców wykorzystuje socjotechnikę do oszukiwania innych, niektórzy ludzie używają jej codziennie, czasem nieświadomie. Na przykład sprzedawcy próbują przekonać nas do zrobienia czegoś, czego nie zawsze chcemy zrobić: wydania pieniędzy. Marketing to także inżynieria społeczna: presja czasu, rabaty i wartości dodane, które tak naprawdę nie mają znaczenia. Supermarkety wydają miliony na odpowiednie pozycjonowanie produktów w sklepach, aby skłonić klientów do zakupu. Jak myślicie, dlaczego w pobliżu kas znajdują się słodycze? Ponieważ stoicie tam w kolejce, a Wasze dzieci będą błagać o batonika lub cukierki, które po prostu muszą mieć. To bardzo skuteczna metoda.


Każdego dnia w biurze dopuszczamy się drobnych perswazji, zmuszając innych do zrobienia czegoś dla nas. Założę się, że nie wiedzieliście, iż jesteście inżynierami społecznymi! Każdy jednak wie, że uśmiechanie się lub pochlebstwa to doskonały sposób, aby coś dla siebie ugrać. Zastanówcie się, ile razy w ciągu ostatniego roku udało Wam się osiągnąć jakiś cel i pomyślcie, jak tego dokonaliście.


Aby pracować skutecznie, muszę manipulować ludźmi i skłaniać ich do działań, których normalnie by nie wykonali. Nie zawsze jest to łatwe. Ale mój zawód wymaga również posiadania umiejętności atakowania lub omijania fizycznych systemów ochronnych. Nawet najlepszy inżynier społeczny nie zdoła oszukać uśmiechem lub komplementem czytnika linii papilarnych. Zamknięte drzwi pozostaną zamknięte bez względu na to, jak bardzo będziemy na nie krzyczeć lub grzecznie prosić — po prostu ktoś musi je otworzyć kluczem.


Inżynieria społeczna to jedynie ułamek umiejętności, które są mi potrzebne do robienia tego, co robię. Jest to jednak niezbędna i podstawowa umiejętność. Wśród przestępców jest to wciąż metoda numer jeden, tak dzieje się od tysięcy lat. Zrozumienie, na czym polega i dlaczego jest skuteczna, jest jedynym sposobem, aby się przed nią obronić. Czytając książkę "Jak rabuję banki (i inne podobne miejsca)", śmiejąc się z najzabawniejszych anegdot i najdziwniejszych momentów, próbujcie w myślach wskazywać „czerwone flagi”, których odpowiednio wczesne wykrycie mogłoby zapobiec atakowi. Wyciągnięte wnioski warto docenić i wykorzystać w codziennym życiu 🐱‍💻