Dużo łatwiej jest sprowokować człowieka do popełnienia błędu (zazwyczaj w całkowitej jego nieświadomości), niż przełamać skomplikowane zabezpieczenia systemów.

Problem ten coraz bardziej zaczyna dotyczyć polskich kancelarii prawnych. Przetwarzane są w nich dane szczególnie wrażliwe, stanowiące łakomy kąsek dla hakerów. Jak pokazał ostatni głośny atak na jedną z kancelarii, za tymi działaniami potrafią stać konkretne pieniądze. I to zarówno te, których haker zażądał od kancelarii za nieujawnianie wykradzionych danych, jak i te, które kancelaria jest gotowa zapłacić za wskazanie tożsamości hakera i przedstawienie dowodów jego winy. Nie wiemy, czy atak ten był przypadkowy, czy też kancelaria została świadomie wybrana jako cel.

Z obserwacji aktywności hakerów można jednak wywnioskować, że w ostatnich latach nastąpił zdecydowany wzrost ataków celowanych, bazujących na połączeniu prostych metod technicznych i socjotechnicznych. Najczęściej są to próby podszycia się pod inne osoby i wyłudzenia cennych informacji za pośrednictwem wiadomości e-mail czy podczas rozmowy telefonicznej. Bardziej zaawansowane ataki bazują na skłonieniu użytkownika do wejścia na podstawioną stronę WWW lub otworzenia zawirusowanego pliku załącznika. Znane są też próby zastosowania prostej socjotechniki bezpośredniej, np. wejścia na teren kancelarii pod pozorem dostarczenia pizzy lub udawania osoby poszukującej innej firmy z tego samego budynku, a to tylko po to, aby porozglądać się po kancelarii, sprawdzić rozmieszczenie kamer i systemów alarmowych czy przetestować zachowanie pracowników. A czasem po prostu wykorzystać chwilę nieuwagi i ukraść niezabezpieczonego laptopa.

Wygląda jednak na to, że w dobie coraz skuteczniejszych systemów zabezpieczających najlepszą metodą ataku pozostaje stary poczciwy e-mail. Należy tutaj wyjaśnić, że format i protokoły przesyłania wiadomości poczty elektronicznej zostały stworzone kilkadziesiąt lat temu i praktycznie do dzisiaj pozostają niezmienione. A ponieważ wiadomości są wysyłane zwykłym nieszyfrowanym tekstem, a protokół ich dostarczania nie daje możliwości jednoznacznego autoryzowania nadawcy, stąd możliwości sfałszowania wiadomości e-mail i podszycia się pod dowolnego nadawcę są dużo większe, niżby się to nam mogło wydawać.

Hakerzy wykorzystują zatem pocztę elektroniczną do wysyłania wiadomości, w których mogą podawać się nawet za kolegę z biurka obok. W treści e-maila będą prosić zazwyczaj o podesłanie konkretnych danych poufnych na swój „adres domowy” lub też odwiedzenie wskazanej strony WWW, zalogowanie się na niej i zweryfikowanie „czy aby nie pojawiły się tam informacje istotne dla prowadzonej aktualnie sprawy”. Z reguły odwiedzana strona WWW jest wierną kopią tej faktycznie wykorzystywanej przez pracowników kancelarii, z tym że w rzeczywistości służy jedynie do przechwycenia loginu i hasła. Użytkownik nie zauważy różnicy, bo zaraz po zalogowaniu na stronie fałszywej zostanie przekierowany automatycznie już na tę właściwą, gdzie będzie mógł kontynuować swoje standardowe działania. Tak przygotowane fałszywe strony oraz proces zachęcania użytkowników do ich odwiedzenia określa się jako phishing.

Jeżeli dane uzyskane w ten sposób nie są wystarczające dla atakującego, to może rozszerzyć swoją fałszywą wiadomość o równie fałszywy załącznik, udający np. dokument lub zdjęcie, a będący w rzeczywistości rodzajem wirusa. Uruchomienie wirusa – czyli pierwsza próba otworzenia załącznika – może skutkować nawet przejęciem przez hakera zdalnej kontroli nad komputerem. Najbardziej podatne na taki atak są komputery mające stary nieaktualizowany system operacyjny (np. Windows XP) oraz niechronione aktualnym oprogramowaniem antywirusowym.

Czy mamy jakieś możliwości obrony? Dobrze podrobiona wiadomość e-mail może nie różnić się od prawdziwej – nasz program pocztowy wyświetli ją tak samo, jakby pochodziła od rzeczywistego nadawcy. Jedyną obroną w takiej sytuacji może być więc tylko zdrowy rozsądek. Jeżeli w treści wiadomości odnajdziemy niecodzienną prośbę lub naszą uwagę zwróci inny niż zazwyczaj styl odnoszenia się do adresata, to nie bójmy się potwierdzić treści e-maila bezpośrednio z domniemanym nadawcą, np. telefonicznie.

Aby obronić się skutecznie przed socjotechniką, musimy jednak przede wszystkim być jej świadomi. Szkolenia teoretyczne mogą nie być wystarczające. Dobrą praktyką jest sporadyczne przeprowadzanie próbnych ataków socjotechnicznych, zwłaszcza takich z wykorzystaniem fałszywej wiadomości e-mail. Bo tutaj akurat znajomość natury ludzkiej przyjdzie nam z pomocą: człowiek najlepiej uczy się na własnych błędach i istnieje duża szansa, że nie powtórzy ich podczas rzeczywistego ataku.