Co je sociální inženýrství? - 2. díl

3. 6. 2012

Sdílet

 Autor: © farsh - Fotolia.com
Sociální inženýrství je umění klamu. Jedná se o způsob manipulace lidí za účelem provedení nějaké akce nebo získání určité informace. Jeho cílem je vytvořit v člověku dojem, že situace je jiná, než ve skutečnosti opravdu je.

Jinými slovy: Člověk nepozná, že mu telefonuje nebo mailuje nebo ho jinak oslovuje podvodník. Na základě některých uměle vytvořených indicií se ale domnívá, že komunikuje s někým důvěryhodným. Sociální inženýrství má ostatně kořeny i v klasických podvodech reálného světa. Známým příkladem jsou falešní výběrčí doplatků za vodu, plyn či elektřinu.

Hlavní myšlenka je následující: Proč se obtěžovat s používáním brutální síly na prolamování hesel, když je jednodušší přinutit někoho, kdo heslo zná, k tomu, aby jej řekl? Navíc, při dobře vedeném útoku si oběť v drtivé většině vůbec neuvědomí, že něco vyzradila nepovolané osobě. Toto je nejnebezpečnější rys problematiky sociálního inženýrství.

Když vám ukradnou peněženku s kreditní kartou, hned víte, že tuto skutečnost musíte ohlásit a příslušná karta bude zablokována. Ale v případě, že je použito sociální inženýrství, se vůbec nedozvíte, že vás v danou chvíli někdo okradl (o informace).

 

1. díl článku: Technika sociálního inženýrství

 

Jdeme do útoku

Po získání základních informací je možno přistoupit k samotnému útoku. Útokem může být třeba získání významné informace po telefonu. Nyní přicházejí na řadu metody založené především na lidském chování – v první řadě stres.

Člověk pod tlakem reaguje jinak než člověk v pohodě. Proto sociotechnici naléhají na důležitost daného úkonu, nebo na časovou tíseň. Díky vyvíjenému tlaku se oběť nemá čas zamyslet nad důsledky svého konání. Ano, je důležité, aby oběť neměla příliš času na přemýšlení.

Dalším způsobem je ovlivňování využitím autorit. Pokud útočník na oběť naléhá, že si to přeje šéf a že už to dávno mělo být hotové, chudák sekretářka ze strachu udělá, co se jí řekne. Zvláště ve velké firmě platí, že ne každý zná každého. Když zazvoní telefon, je potřeba rychle konat nebo sdělit informaci, aby se zabránilo nejhoršímu (např. ztráta významného zákazníka, prémií). Tady obvykle málokdo zaváhá.

Jinou metodou je strach z nebezpečí ztráty osobních financí. „Váš účet je ohrožen, pro vyšší bezpečnost si prosím změňte heslo…“ Tuhle větu dostal v mailové zprávě snad každý.

Phishing

Zvláštním druhem sociálního inženýrství je phishing. Jde zpravidla o kombinaci všech uvedených metod. Phishing je druh internetového podvodu, jehož cílem je vylákat z uživatele citlivé informace, jako např. číslo účtu, heslo nebo číslo kreditní karty. Uživatel je manipulován, aby svá data zadal např. na podvrženou webovou stránku. Přitom je využito právě výše zmíněných sociotechnik. Více se například dočtete v našem starším článku „Phishing útočí – jak ochránit své osobní informace?“

Baiting

Baiting můžeme přirovnat k útoku pomocí Trojského koně v reálném světě. Scénář útoku je analogický s použitím Trojského koně jako lsti k dobytí města Tróje. Pouze namísto dřevěného koně, který měl v útrobách řecké vojáky, je použito médium (CD, USB disk) s programem k „dobytí“ počítače oběti.

Útočník nechá paměťové médium s lákavým nápisem či dokumentem (např. Mzdy třetí kvartál) na místě, kde jej oběť s velkou pravděpodobností nalezne. Poté již nechá pracovat zvědavost. Dříve či později někdo vloží médium do svého počítače. Tak dojde k aktivaci škodlivého kódu, s jehož pomocí získá útočník přístup k počítači nebo dokonce k celé firemní počítačové síti.

Ke všem uvedeným metodám útoků využívá útočník předem získaných informací o společnosti, zaměstnancích nebo konkrétní oběti. Tady platí především, že pečlivá příprava je základem pozdějšího úspěchu.

bitcoin školení listopad 24

Závěr

Těžko lze vytvářet nějaké obecně platné scénáře protiopatření, protože sociální inženýrství ctí tři zákonitosti: Za prvé – útok může přijít odkudkoliv. Za druhé – útočník je velmi dobře připravený. A za třetí – útok je „šitý na míru“. A také platí, že to, co funguje na pracovníka A, nebude fungovat na pracovníka B, a naopak. Je statisticky dokázáno, že muži klikají na přílohu u e-mailů s nabídkou pikantních fotografií několikrát častěji než ženy…

Každou z cílových skupin je tedy nutné oslovovat jinak. Stejně tak je nutné přistupovat i k ochraně osobních nebo firemních informací. Ne nadarmo se říká, že nejslabší článek mezi židlí a klávesnicí je člověk. Sociální inženýrství tento nejslabší článek jen využívá.