HARD CORE SECURITY LAB

Einstein zwykł ponoć mawiać, że:

Powyższą hipotezę co chwilę potwierdzają kolejne doniesienia o spektakularnych oszustwach, które mogły się udać wyłącznie w wyniku eksploatowania nieskończonych pokładów ludzkiej głupoty i naiwności. Spójrzmy na kolejną tego typu historię. Otóż pewien majętny pianista oddał swój zawirusowany komputer do serwisu, w wyniku czego ostatecznie... utracił około 20 milionów USD.

Historia ta rozpoczęła się z pozoru zupełnie banalnie w roku 2004. Pewien bardzo dobrze sytuowany pianista z Nowego Jorku, pan Roger Davidson, nałapał komputerowych wirusów. Jako człowiek nie zaprzątający sobie głowy zupełnie niezrozumiałymi dla niego kwestiami nowoczesnych technologii, jednak obawiający się o byt własnych danych, postanowił skorzystać z profesjonalnej usługi serwisowej.

Muzyk odwiedził więc sklep komputerowy prowadzony przez 36-letniego Vickram Bedi oraz jego dziewczynę Helgę Invarsdottir. Jak się okazało, komputer był rzeczywiście zapaskudzony złośliwym oprogramowaniem. Jednak zachłanna para, gdy tylko zwietrzyła bogactwa naszego biednego pianisty, uknuła plan oszustwa tak przebiegłego i wyrachowanego, że pewnie nie powstydziłby się go nawet sam wielki mistrz socjotechniki.

Otóż przebiegła para przekonała pianistę, że infekcja obecna w jego systemie, to tak naprawdę jedynie część wielkiego spisku wymierzonego w jego osobę. Przez kilka lat kreatywni oszuści przekonywali Davidsona, że jest on na celowniku tajnych agencji rządowych, szpiegów z obcych wywiadów, a nawet tajemniczych polskich katolickich duchownych powiązanych z Opus Dei!

Poznajcie Vickrama i Helgę

Vickram i Helga zaoferowali jednak naszemu biednemu pianiście swą pomoc. Otóż zobowiązali się, że za skromne comiesięczne wynagrodzenie w kwocie 160 tys. USD pomogą mu odpierać zmasowane ataki tajemniczych szpiegów i zachłannych księży. Para tak skutecznie omotała swą ofiarę, że przez kilka lat udało jej się przejąć szacunkowo nawet do 20 milionów USD należących do pianisty. Na chwilę obecną z całą pewnością potwierdzono już sumę w wysokości 6 milionów USD...

Morał z tej historii jest prosty i ogólnie znany. Naiwność i głupota jest o wiele groźniejsza i bardziej szkodliwa od najbardziej wymyślnych wirusów komputerowych. Takie historie pokazują również, że ataki socjotechniczne zawsze będą miały ogromny potencjał. Moim zdaniem warto więc rozwijać narzędzia oraz metody pozwalające na przeprowadzanie praktycznych socjotechnicznych testów penetracyjnych, które obok tradycyjnych pentestów powinny na stałe wejść do kanonu praktycznych metod oceny bezpieczeństwa systemów teleinformatycznych.

[źródło]