Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Można nawet powiedzieć więcej: możliwość przeprowadzenia takiego ataku warunkuje albo bardzo szczególna pozycja zawodowa (policjant, ochroniarz itp. – o tym szerzej za chwilę), albo współpraca z osobą o takiej pozycji, albo właśnie perfekcyjne opanowanie i umiejętności interpersonalne na tyle rozwinięte, aby skutecznie operować socjotechniką.

Przyjrzyjmy się możliwym scenariuszom takiego ataku, oraz powiązanym z nimi możliwym komplikacjom i specyficznym dla nich ryzykom. W dalszej części artykułu omówimy natomiast ryzyka niezależne od wybranego scenariusza.

Miejsce o swobodnym dostępie

Metoda najprostsza i nie wymagająca dużych umiejętności interpersonalnych, aczkolwiek z oczywistych względów mająca bardzo ograniczony zasięg, to przeszukanie miejsc, do których atakujący ma już swobodny dostęp: własnego biura (jako pracownik), otwartych szafek w szatni na siłowni (jako klient) itd.

Oczywiście ma to sens tylko wtedy, gdy atakujący ma w ten sposób jakiś punkt styku z atakowaną osobą lub firmą – z drugiej strony zawsze może spróbować taki punkt styku wykreować, np. zapisać się na „właściwą” siłownię.

Ryzyka wiążące się z tą metodą to:

• ryzyko nagrania na kamery monitoringu wizyjnego
• ryzyko przyłapania na gorącym uczynku (np. jeśli cel zbyt szybko wróci spod prysznica, albo osoba trzecia zwróci uwagę na działania atakującego) – dlatego warto tą metodę połączyć z socjotechniką i choć trochę wiarygodną historią uzasadniającą to, na czym zostało się przyłapanym

Modyfikacją tej metody jest współpraca atakującego z osobą, która posiada potrzebny dostęp – np. pracując w atakowanej firmie. Współpraca czy to na zasadzie równorzędnej grupy, w której każda osoba ma swoje zadania, czy też na zasadzie płatnej usługi (atakujący płaci wspólnikowi za podłożenie oprogramowania lub wykonanie innych działań). Współpraca taka zmienia cały model ryzyk, oraz dynamikę działania poszczególnych osób – przeczytasz o tym na końcu artykułu.

Metoda na policjanta (lub na ochroniarza)

Bycie policjantem, ochroniarzem lub kimkolwiek innym dysponującym uprawnieniami do choćby chwilowego zatrzymania i przeszukania innej osoby – lub współpraca z taką osobą – umożliwia odegranie scenariusza, w którym osoba będąca celem jest zatrzymywana pod pretekstem uzasadniającym przeszukanie, np.:

• zatrzymanie i rewizja osobista przez policjanta „na legitymację” (w trybie pilnym – niezbędne jest późniejsze uzasadnienie tego przed prokuratorem)
• zatrzymanie przez ochroniarza sklepowego na piszczącej bramce antykradzieżowej (aktywowanej pilotem – większość ochroniarzy sklepowych takowe posiada)

po czym znalezione przy takiej osobie nośniki USB są zabierane na krótką chwilę poza zasięg jej wzroku – można je wówczas podłączyć do odpowiedniego narzędzia (np. Funkcjonariusza Mobilnego), które rozpoznaje system plików na podłączonym nośniku i wykonuje jego kopię albo wgrywa odpowiednie, przygotowane wcześniej dane.

Cała operacja trwa kilkadziesiąt sekund, a „sprawdzony” nośnik można oddać niczego nie spodziewającemu się celowi ataku.

Główna komplikacja wiążąca się z tą metodą to konieczność dobrego uzasadnienia użycia uprawnień służbowych wobec konkretnej osoby (która w dodatku często bywa osobą na wysokim stanowisku i/lub mającą znajomości).

Dostęp do pomieszczeń z użyciem socjotechniki

Ten sposób jest zdecydowanie najbardziej zaawansowany ze wszystkich. Wymaga on perfekcyjnego opanowania oraz odpowiednio rozwiniętych umiejętności interpersonalnych (lub aktorskich), aby wiarygodnie wcielić się w wymyśloną przez siebie rolę, np.:

• sprzątacza
• dostawcę pizzy lub innego jedzenia (w dzisiejszych czasach jest to nawet łatwiejsze niż kiedyś z uwagi na ciągle rosnącą popularność serwisów pośredniczących w zamawianiu jedzenia typu Glovo czy Uber Eats, dzięki czemu ten sam dostawca, ubrany w charakterystyczny strój, może za jednym podejściem przynieść kilka zamówień, przy okazji obchodząc kilka różnych pomieszczeń)
• ogrodnika (jeśli atakowana osoba jest kimś na wysokim stanowisku, może mieć własny gabinet z roślinami, akwarium itp. – tego typu „uprzyjemniacze” są najczęściej obsługiwane przez osoby z firm zewnętrznych)
• elektryka
• serwisanta komputera, klimatyzacji lub dowolnego innego sprzętu (każdy z tych wariantów daje dodatkowe możliwości, np. wygonienie z pokoju wszystkich pozostałych pracowników z powodu ekstremalnie wysokiej temperatury na „wymagającej naprawy” klimatyzacji)
• wdrożeniowca jakiegoś oprogramowania (np. branżowego – generalnie takiego, którym nie zajmuje się wewnętrzny dział IT)
• praktykanta, stażystę, pracownika w pierwszym dniu/tygodniu pracy itp.

Każde z wymienionych podejść daje rozmaite unikalne możliwości – np. elektryk może zupełnie oficjalnie zacząć manipulować przy instalacji elektrycznej w danym pomieszczeniu i odciąć zasilanie dla potencjalnych kamer przed przystąpieniem do właściwego ataku.

Z drugiej strony, każde z tych podejść wiąże się z różnymi indywidualnymi ryzykami, oraz szczegółami, o które należy zadbać wcześniej (np. odpowiednimi dokumentami, ubraniami, narzędziami, czy wreszcie realnymi umiejętnościami – np. manipulowanie przy instalacji elektrycznej bez odpowiedniej wiedzy jest zwyczajnie niebezpieczne dla samego atakującego).

Każde z podejść wymaga także dobrego wyuczenia i wyczucia roli – a każdej z takich ról można by poświęcić oddzielny artykuł. Znacznie lepszym pomysłem jest znalezienie i poobserwowanie realnych osób w takich zawodach, aby poznać specyfikę branży, słownictwo branżowe, sposób wyrażania się, mentalność itp. detale, które często są związane np. z poziomem wykształcenia, regionem rodzinnym danej osoby itd.

Ryzyka i komplikacje niezależne od wybranego scenariusza

Ryzyka i komplikacje przy podrzucaniu danych na nośnik USB

• koszt specjalistycznych narzędzi (w ramach Funkcjonariusza Mobilnego całe oprogramowanie dostajesz całkowicie za darmo, ale konieczny jest jeszcze sprzęt, którego koszt to ok. 400-1000 zł, w zależności od wybranej konfiguracji sprzętowej)
• brak możliwości aktualizacji wgranych plików już po ich podrzuceniu – dlatego też w przypadku wybrania tego sposobu, niezbędne staje się zastosowanie infekcji wieloetapowej, z użyciem tzw. droppera (czyli programu pośredniego, którego jedyną rolą jest ściągnięcie i uruchomienie kolejnego programu)

Ryzyka i komplikacje przy podrzucaniu danych na komputer

• konieczność wcześniejszego zdobycia dostępu do Windows (lub innego systemu), a w niektórych przypadkach także do konkretnych aplikacji (alternatywne metody typu rozkręcanie komputera, wydłużają działania, oraz wprowadzają dodatkowe ryzyka – jeśli nie masz dostępu do Windows, celuj raczej w podłożenie danych na nośnik, albo nawet w podłożenie własnego nośnika – albo licz na łut szczęścia, że akurat atakowana osoba jest jedną z tych, które nadal zapisują swoje hasła na żółtych karteczkach i przyklejają w okolicach monitora)
• ryzyko pozostawienia na komputerze śladów cyfrowych identyfikujących konkretny nośnik – dobrym pomysłem jest zabranie ze sobą 2 identycznych nośników, w tym drugiego z legalną i nieszkodliwą zawartością, uzasadniającą podłączenie jej do komputera – np. z muzyką w formacie MP3 do słuchania podczas sprzątania

Ryzyka wspólne dla obu wariantów

• ryzyko pozostawienia śladów biologicznych na nośniku/komputerze lub w jego okolicach (nie tylko odcisków palców, ale również np. pojedynczych włosów, resztek śliny czy innych śladów DNA – czy choćby odcisków butów)
• ryzyko zostania nagranym na jawną lub ukrytą kamerę monitoringu wizyjnego – nie tylko w trakcie samego podkładania, ale również przed i po, np. w drodze (koszty przeglądu i ręcznej korelacji nagrań z różnych monitoringów są na tyle niskie, że zdarza się, że są w ten sposób identyfikowani nawet sprawcy drobnych przestępstw, typu ucieczka ze stacji benzynowej bez płacenia – można więc założyć, że w przypadku ataku powodującego wielomilionowe straty, możliwości korelacji nagrań i innych poszlak okażą się jeszcze większe)
• ryzyko zostania zapamiętanym przez osoby, z którymi atakujący wchodził w interakcję – tym większe, im bardziej nietypowa była rola i im bardziej zaciekawiła drugą osobę

Jak skutecznie przeciwdziałać takim ryzykom?

Ogólnie rzecz ujmując, najskuteczniejsza metoda przeciwdziałania to profesjonalizacja i podział na role w ramach grupy osób. Tak aby realizacją ataku zajęła się osoba będąca ekspertem w tym konkretnym obszarze:

• wiedząca, jakie słowa i argumenty wymieniane w ramach normalnej rozmowy biznesowej/pracowniczej zapadają w pamięć bardziej, a jakie mniej i potrafiąca świadomie kierować rozmową
• mająca rozpracowaną daną rolę i potrafiąca się w niej dobrze odnaleźć
• mająca chociaż podstawowe umiejętności związane z rolą
• bez widocznych znaków charakterystycznych i potrafiąca choć w podstawowym stopniu dopasować wygląd zewnętrzny do potrzeb roli
• a przy okazji mieszkająca na co dzień jak najdalej od miejsca przeprowadzenia ataku, co zmniejsza ryzyko przypadkowego rozpoznania osobistego na ulicy lub w innej przypadkowej sytuacji, jak i utrudnia korelację danych z monitoringu samochodów (bo monitoring ten prowadzony jest w każdym mieście osobno)

Oczywiście z zawiązaniem takiej grupy osób wiążą się inne ryzyka:

• wpadki wskutek zeznań wspólnika (albo źle rozpoznanego niedoszłego pomocnika) – ogólna zasada w kryminalistyce jest taka, że w grupie 2-osobowej ryzyko wpadki wzrasta o 50% z samego tylko powodu współpracy 2 osób, w grupie 3-osobowej o 75% itd.
• znajomość między członkami grupy nie bierze się znikąd – jakoś musi dojść do poznania się poszczególnych osób i zawiązania się grupy mającej konkretne cele, a to może się wiązać z pozostawieniem jakichś śladów – najczęściej grupy przestępcze są rozpracowywane właśnie metodą śledzenia wcześniejszych powiązań pomiędzy różnymi osobami

Dodatkową komplikacją związaną z taką grupą jest fakt, że całkowicie zmienia ona dynamikę działalności: z bardzo dokładnie planowanej i rozmyślnie prowadzonej „manufaktury” szybko robi się „fabryka” z tendencją do stopniowego obniżania poziomu ostrożności, w szczególności w zakresie zasad 11 i 13.

Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.