Sociálne inžinierstvo je jedným z najnebezpečnejších útokov v kybernetickom priestore. Čo to ale je a ako funguje?
Sociálne inžinierstvo je jeden z najpopulárnejších spôsobov útokov podvodníkov. Nepotrebujú naň totiž často žiadne hackerské znalosti, stačí im zneužiť ľudskú dôverčivosť.
Internet je plný podvodov, preto je dôležité budovať si proti nim ochranu. Zabudnite však na hackerov v mikinách, podvodníci vás dnes zmanipulujú do toho, aby ste im dali peniaze dobrovoľne. Používajú k tomu sériu praktík, ktoré sa jednotne nazývajú sociálne inžinierstvo.
Čo je to sociálne inžinierstvo?
Sociálne inžinierstvo je spôsob manipulácie ľudí za účelom vykonania útočníkom želanej akcie. Cieľom útočníkov je vždy zisk, ktorý si od obetí získavajú priamo, alebo nepriamo prostredníctvom osobných údajov.
Základná vec, ktorú útočníci potrebujú od obete získať, je ale predovšetkým dôvera. Práve vďaka nej dokážu svoju obeť oklamať. Používajú na to voľne dohľadateľné informácie na internete, ktorých je už o takmer každom z nás dosť na vytvorenie akéhosi uveriteľného príbehu. Útočníci potom zneužijú prirodzených ľudských vlastností, ako súcitu, a ich neznalostí o podobných útokoch na internete.
Pri tomto type útoku často hackeri či podvodníci predstierajú, že sú vaši známi. Môžu vám napríklad písať z hackenutého účtu vášho priateľa a predstierať, že s ním komunikujete. Častokrát, keď útočník si myslí, že získal dôveru, tak začne od vás vábiť údaje, ktoré potrebuje. Napríklad, v minulosti sme upozorňovali na podvody, kedy útočník predstieral, že je synom či dcérou rodičov, ktorým písal, pričom sa ich snažil uviesť v omyl, že je v krízovej situácii a potrebuje peniaze. Samozrejme, rodičia v strachu, že ich dieťa potrebuje akútne pomoc, neváhali mu ich poslať. No v skutočnosti ich poslali podvodníkovi.
Prípadne, vám môžu písať z ukradnutého účtu, aby ste im spravili nejakú láskavosť, napríklad zahlasovali za nich v nejakej súťaži pomocou kódu, ktorý vám príde na e-mail či do správy. Človek, ktorému príde takáto správa od priateľa, je častokrát menej ostražitý a automaticky spraví, o čo ho požiadala osoba na druhej strane. No môže ísť napríklad o heslo na autorizáciu platby či heslo na obnovenie prihlasovacích údajov k vášmu profilu na sociálnej sieti a podobne.
Neprehliadnite
Základom preto je, aby sme si overovali informácie, ktoré nám osoba na druhej strane hovorí a to aj v prípade, ak ide o člena rodiny či dobrého priateľa.
Ako môže útočník nadviazať s vami komunikáciu? Toto sú najčastejšie spôsoby, ako to robia
Phishing
Najčastejšou formou sociálneho inžinierstva je phishing. Cieľom phishingu je jednoducho vylákať od obete jej osobné údaje, ako heslá či platobné údaje. Používajú sa na to rôzne metódy, ako falošné bankové stránky, telefonáty s falošným hlasom, podvodné linky v e-mailových správach a podobne. Základom je fakt, že útočníci sa vždy vydávajú za nejakú dôveryhodnú organizáciu alebo osobu. Na našom portáli sa venujeme prevencii, i krokom potom, ako ste sa stali obeťou phishingu.
Cielené útoky
Cielené útoky používajúce metódy sociálneho inžinierstva, tiež nazvaný ako Spear phishing, útočia na veľké ryby. Časti ide o ľudí, ktorí majú prístup k citlivým databázam firiem, čo predstavuje pre útočníkov vyšší potencionálny zisk. Na druhú stranu sú však tieto útoky oveľa prepracovanejšie a personalizovanejšie. Vydávajú sa za priateľov, alebo kolegov, ktorí sú verejne dohľadateľní a venujú sa často témam, ktoré sú pre obeť aktuálne, čo zas zistia vďaka jej aktivite na sociálnych sieťach.
Baiting
Baiting, teda vylákanie obete, je metóda, pri ktorej si obeť nevedomky stiahne do svojho zariadenia vírus. Fyzický baiting môžu byť napríklad voľne položené USB kľúče alebo disky, ktoré pôsobia ako firemné údaje. V online priestore sú obete lákané do podvodov cez vyskakovacie reklamy imitujúce systémové upozornenia alebo bezplatné Wi-Fi siete.
Romantické podvody
Ojedinelé prípady sociálneho inžinierstva útočia na najsilnejšiu ľudskú emóciu – na lásku. Útočníci si vytvoria falošný profil na internete a snažia sa pod falošnou identitou nadviazať dôveru, ideálne i romantické cítenie so svojou obeťou. Od svojej obete následne vylákajú niečo cenné, buď sú to rovno peniaze, osobné údaje, alebo citlivé fotografie, ktorými sa následne obeti vyhrážajú. Keď príde na lámanie chleba, útočník ukončí komunikáciu.
Angler phishing
Angler phishing je forma útoku na sociálnych sieťach. Útočníci si založia falošný profil, cez ktorý predstierajú, že sú pracovníci linky podpory akejsi firmy. Na sociálnych sieťach vyhľadajú ľudí, ktorí sa tam sťažujú na danú firmu a následne ju kontaktujú. V zámienke, že sú to pracovníci danej podpory, vyzvú svoje obete, aby útočníkovi kvôli ďalšiemu postupu poslali svoje identifikačné údaje, zaplatili predbežnú platbu, alebo klikli na nejaký link. Daný link môže potom sledovať presnú aktivitu používateľov, alebo vykonávať inú nekalú činnosť v prospech útočníka.
Reverzné sociálne inžinierstvo
Najefektívnejšie sociálne inžinierstvo je také, v ktorom nie útočník vyhľadá obeť, alebo obeť vyhľadá útočníka. Ako? Stačí, keď sa útočník prezentuje ako akýsi mentor, alebo poskytovateľ služby, ktorý vie obeti pomôcť a verejne poskytuje svoje služby. U takéhoto človeka teda nebude pochýb, že platby, za ktoré platíte a linky na ktoré klikáte, súvisia so službou, ktorú vám útočník poskytuje.
Ako zastaviť sociálne inžinierstvo?
Proti známym škodlivým programom dokáže zasiahnuť v počítači aj antivírus. Nové vírusy však zastaviť nedokáže, a už vôbec nie prípady, kedy obete samy od seba poskytnú svoje údaje, či dokonca peniaze útočníkovi.
Základnou zbraňou proti sociálnemu inžinierstvu je teda vzdelávanie a kritické myslenie.
Zvlášť dôležité je vzdelávanie aj v rámci firiem, ktoré sú na útoky sociálnych inžinierov citlivé, preto musia zanalyzovať svoje kritické miesta a na základe toho vykonať opatrenia voči zlyhaniu ľudského faktoru.
No nemenej dôležité je zdieľať čo najmenej informácií o nás samých na internete. Šikovný útočník ich totiž vie zneužiť, napríklad zistiť, ktoré témy nás zaujímajú a pomocou nich s nami nadviazať komunikáciu. Prípadne, sa môže vydávať z nás a snažiť sa oklamať našich priateľov či rodinných príslušníkov.
Komentáre