Navigace

Sociální inženýrství -  Skryté nebezpečí, které nelze podcenit

Sociální inženýrství -  Skryté nebezpečí, které nelze podcenit

V dnešní digitální době si většina z nás uvědomuje nebezpečí virů, malwaru a kybernetických útoků. Mnohem méně lidí si však uvědomuje, že jedním z největších nebezpečí pro jejich osobní údaje a bezpečnost není samotná technologie, ale spíše lidská psychika.

Tento typ hrozby se nazývá „sociální inženýrství“ a jeho zákeřnost spočívá v tom, že využívá naší důvěřivosti, nepozornosti a někdy i strachu. Sociální inženýrství označuje různé netechnické formy útoku, pomocí kterých dokážou kybernetičtí zločinci zmanipulovat uživatele k tomu, aby ignorovali bezpečnostní nebo jiné (firemní) postupy a předali útočníkovi citlivé informace, nebo mu umožnili přístup k financím. Primárním cílem těchto technik je v oběti vyvolat nějakou emoci (výhra, strach, tíseň… )

 

Co to je a jak funguje Sociální inženýrství

Sociální inženýrství je technika, kterou používají útočníci, aby manipulovali s lidmi a přiměli je k odhalení citlivých informací, jako jsou hesla, čísla kreditních karet nebo osobní údaje a další citlivé / pracovní údaje. Na rozdíl od technických útoků, které se zaměřují na prolomení softwarových, nebo hardwarových systémů, sociální inženýrství cílí přímo na člověka.

Útočník se zpravidla vydává za nějakou autoritu, nebo za zástupce nějaké známé instituce. V oběti se pokusí vyvolat nějakou emoci (radost, strach nebo často stud) pomocí lživé informace. Typický je také tlak na to, aby uživatel reagoval co nejrychleji. Útočníci se takto snaží z uživatele vylákat citlivé informace, data či peníze.

Většina technik sociálního inženýrství nevyžaduje od útočníka žádné technické znalosti. Proto se může stát útočníkem téměř kdokoli: od drobných zlodějů až po ty nejsofistikovanější útočníky. Nejznámějšími technikami jsou Phishing a Spam o kterých jsme již hovořili v minulých článcích. Dalšími jsou:

Spear phishing: Tento typ útoku je ještě nebezpečnější, protože je velmi cílený. Útočník si předem zjistí informace o vás nebo vaší firmě, aby vytvořil věrohodnější podvodnou zprávu. Může se například vydávat za vašeho kolegu, nebo nadřízeného.

Vishing a Smishing: jsou techniky sociálního inženýrství podobné phishingu, ale prováděné jinými prostředky než e-mailem. Vishing (hlasový phishing) používá podvodné telefonní hovory, zatímco smishing (SMS phishing) textové zprávy SMS obsahující škodlivé odkazy nebo obsah.

Pretexting: Útočník si vymyslí falešný scénář (pretext), aby získal vaši důvěru a donutil vás odhalit informace. Může to být telefonát, kde se dotyčný představí jako pracovník zákaznické podpory, nebo policista. Falešná technická podpora obvykle zahrnuje podvodné telefonáty, nebo webové reklamy, v rámci kterých útočníci nabízejí obětem nevyžádané služby technické podpory. Ve skutečnosti se kybernetičtí zločinci snaží vydělat peníze prodejem falešných služeb a řešením neexistujících problémů.

Baiting: Někdy útočníci lákají oběti na nějakou „odměnu“, například bezplatný software, slevu nebo zajímavý obsah. Pokud na návnadu kliknete nebo ji stáhnete, můžete si tím nainstalovat škodlivý software do svého zařízení.

Whaling (lov velryb): je útok, při kterém útočníci cílí na „velké ryby“, tedy na konkrétní, většinou vysoce postavené osoby, např. vrcholové manažery nebo majitele firem

Zosobnění (impersonace): má v kybernetické bezpečnosti podobný význam jako jeho ekvivalent v reálném světě. Kybernetičtí zločinci jednají pod falešnou identitou ve jménu důvěryhodné osoby a snaží se navést oběti k činům, které poškozují danou osobu nebo její organizaci. Typickým příkladem je útočník, který se vydává za generálního ředitele společnosti v době jeho nepřítomnosti a objednává a schvaluje podvodné transakce.

Scareware: je software, který se snaží vyvolat strach a úzkost a zmanipulovat oběť k instalaci škodlivého kódu na vlastní zařízení. Obvykle útočník inkasuje za nefunkční či dokonce škodlivý software finanční prostředky. Typickým příkladem je nabídka instalace falešného antivirového programu jako řešení údajného napadení zařízení uživatele.

Sextorze: zpravidla začíná e-mailem, který se snaží oběť vydírat smyšlenou lechtivou nahrávkou oběti. Vyděrač obvykle tvrdí, že už nějaký čas uživatele sleduje přes webkameru, a dokonce má nahrávku, na které je oběť vidět při sledování pornografie. Vyhrožuje, že pokud oběť nezaplatí výkupné, nahrávku zveřejní a zcela zničí pověst oběti.

Tailgating (Piggybacking): Tento útok je fyzický – útočník se pokusí dostat do zabezpečené oblasti tím, že se vtírá za oprávněnou osobu, která má přístup.

Jak poznat sociální inženýrství

Velmi těžko, ale jde to…

Na rozdíl od většiny ostatních typů kybernetických útoků se sociální inženýrství spoléhá spíše na slabiny v lidské psychice, než na mezery v technologických řešeních. Využívá důvěry, strachu nebo nepozornosti lidí. I takové „nevinné“ otevření dveří kolegovi / kolegyni kterého neznám, ale vypadá podobně jako ostatní v rámci budovy, může mít za následek průchod nepovolané osoby do bezpečnostních zón. A při tom jsme byli jen zdvořilí…

Podezření na útok by ve vás měla vyvolat přílišná naléhavost sdělení, která se snaží donutit příjemce jednat bez rozmyslu, nebo nestandardní žádost o citlivá data. Renomované společnosti nikdy nepožadují hesla ani osobní údaje prostřednictvím e-mailů nebo po telefonu.

Jak se chránit

Nejlepším způsobem, jak se vyhnout nástrahám sociálního inženýrství, je nenechat se napálit.

  • Nikdy nevěřte ničemu, o čem si nejste absolutně jistí – buďme skeptičtí.
  • Nepřijímejte žádné nevyžádané nabídky – ověřujme informace z více nezávislých zdrojů
  • Neklikejte na žádné odkazy z neznámých zdrojů
  • Nesdělujte vaše citlivé informace
  • Chraňte si svá hesla – dvou faktorová autentizace je opravdu základ.
  • Kontrolujte správnost URL adresy navštěvovaných stránek
  • Školení a trénink je nezbytnou součástí obrany proti sociálnímu inženýrství
Závěrem
Sociální inženýrství je jednou z nejnebezpečnějších forem kybernetických útoků, protože se nespoléhá na chyby v softwaru, ale na chyby v lidském chování. Je důležité být stále na pozoru a udržovat si zdravou dávku skepse vůči nečekaným požadavkům na sdílení citlivých informací.
Pamatujte, že vaše bezpečnost začíná u vás!

TeamViewer Pro Windows Pro MAC

+420 222 300 800 info@ipodnik.cz

cs sk