Într-o sucursală bancară din centrul Bucureștiului, un tânăr intră disperat cu telefonul în mână și se îndreaptă către unul dintre agenții disponibili, rugându-l să-i împrumute un cablu de încărcare pentru telefon, fără de care nu ar putea ajunge la interviul de angajare.
Agentul refuză inițial, dar o colegă nou-venită în bancă, impresionată de insistențele tânărului, îi oferă cablul ei de încărcare. Acesta îi mulțumește și pleacă grăbit, nu înainte de a o asigura că îi va restitui încărcătorul. În aceeași seară, aproape de finalul programului, tânărul își onorează promisiunea și îi înapoiază angajatei cablul de încărcare.
Câteva săptămâni mai târziu, primii angajați ai băncii care au ajuns la serviciu au descoperit că sucursala fusese deschisă, iar mai multe laptopuri și obiecte personale, care s-ar fi vândut ușor, lipseau. Însă angajații băncii nu erau singurele victime. Alte zeci de puncte de lucru cu publicul ale unor unități economice întâmpinaseră aceeași problemă în seara precedentă. Service-uri GSM, print-shop-uri, case de pariuri și altele au calculat un prejudiciu de câteva sute de mii de euro.
Manipularea sentimentelor
Metoda de acțiune a fost simplă și s-a bazat pe două elemente-cheie: empatia omului obișnuit și avansul tehnologiei la un nivel pe care îl consideram doar o închipuire a scenariștilor de la Hollywood. Totul a pornit de la un banal cablu de date care permite încărcarea telefonului mobil și pe care, într-un gest profund uman, angajata băncii l-a împrumutat unui om al cărui viitor avea nevoie de o șansă. Însă cablul înapoiat de tânăr nu era același cu cel împrumutat.
Cablul restituit conținea un microprocesor integrat care transmite wireless tot ce se tasta pe dispozitivul în care era introdus către serverele atacatorilor cibernetici. Într-un schimb de mesaje pe WhatsApp, agenta din sucursala bancară îi transmite unui coleg nou parola care dezactiva alarma, întrucât acesta intenționa să ajungă mai devreme la serviciu în ziua următoare.
Un scenariu susținut de realitate
Deși acest scenariu pare o simplă demonstrație a unui grup de programatori foarte talentați, un cablu de acest tip a fost prezentat la DEFCON 2019, una din cele mai importante conferințe din domeniul cibernetic, care reunește hackeri, specialiști IT și reprezentanți ai agențiilor guvernamentale de securitate din SUA. Anual, în Las Vegas, Nevada, cele mai sclipitoare minți își etalează cunoștințele și abilitățile în atacuri cibernetice.
Cablul respectiv se produce, astăzi, la scară industrială, fiind disponibil nu doar pentru iPhone ci și pentru telefoane care au conexiuni de tip USB-C sau Micro-USB. Există o metodă prin care să te poți proteja de un astfel de atac? În primul rând, poți să nu împrumuți nimănui, niciodată, încărcătorul. Însă incidentul de securitate descris la început nu se bazează doar pe a compromite dispozitivele victimelor prin mijloace tehnice, ci pe cea mai puternică armă din arsenalul unui hacker: ingineria socială. Metoda presupune manipularea utilizatorului pentru ca acesta să acționeze așa cum își dorește agresorul cibernetic.
Soluții pentru siguranța datelor
Fiecare instituție bancară are propriul protocol privind transmiterea parolelor, limitele ajutorului oferit clienților sau obiectele personale acceptate la locul de muncă. Într-un spațiu unde se lucrează cu publicul, laptopurile ar trebui păstrate în siguranță, iar grupurile de pe platformele de comunicare ce nu sunt supuse măsurilor interne de securitate, precum WhatsApp, nu ar trebui folosite pentru a transmite informații confidențiale.
Atacul cibernetic descris nu s-a întâmplat niciodată și poate nici nu se va întâmpla. Însă trebuie să înțelegem că nicio instituție, publică sau privată, nu este infailibilă. Bănci, spitale și diverse alte companii private au trecut prin experiențe similare, văzându-și întreaga infrastructură blocată, banii aruncați din bancomate sau sediul lor compromis din cauza noilor metode de hacking disponibile.
Instructajele de securitate și respectarea politicilor interne de protecție, oricât de draconice ar fi, sunt singurele metode prin care pot fi protejate de atacurile cibernetice întreprinderile, private sau de stat, dar și angajații. Oricât de actualizată este infrastructura IT dintr-o companie sau instituție și oricât de complexă este parola utilizatorului, nimic din toate acestea nu mai contează atunci când angajatul o trimite pe WhatsApp direct atacatorului.
Abstract
Social engineering is a method that exploits human psychology to obtain confidential information. The well-meant victim is tricked by the offender to provide access to the employer’s private data. Technical devices such phone charger cables can be altered to send typed data to cybercriminals. While we can mind what we use and what we borrow, it is ultimately our willingness to help the others that can expose us to hackers. Bulky and complex security protocols though must be accepted, learned, and followed thoroughly as the only way to prevent confidential information leaks.
Autor: Cezar Nagîț
