Sociální inženýrství

Sociální inženýrství (bezpečnost)

Sociální inženýrství je způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace (na rozdíl od pojetí Sociální inženýrství z hlediska společenské vědy, viz heslo Sociální inženýrství (společenská věda). Termín je běžně používán ve významu podvodu nebo podvodného jednání za účelem získání utajených informací organizace nebo přístup do informačního systému firmy. Ve většině případů útočník nepřichází do osobního kontaktu s obětí.

Techniky sociálního inženýrství
Všechny techniky sociálního inženýrství jsou založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku.Tyto chyby úsudku založené na nedokonalosti lidského mozku jsou využívány mnoha způsoby a některé z nejvýznamnějších jsou vyjmenovány zde:

Pretexting
Pretexting je utváření a využívání vymyšleného scénáře s cílem přesvědčit oběť k učinění potřebné akce nebo k získání potřebné informace. Jedná se o skloubení lži s kouskem pravdivé informace získané dříve. Může se jednat například o datum narození, rodné číslo, velikost posledního účtu, jméno nadřízeného atd. Cílem je přesvědčit oběť o legitimnosti akce, která je po ní požadována.

Tato technika je často používána například soukromými detektivy k získání soukromých informací z firmy jako jsou výpisy telefonních hovorů, výpisy bankovních účtů aj. od běžných zaměstnanců. Tyto informace mohou být následně použity při pokročilé komunikaci s vedoucími zaměstnanci jako jsou změny účtů, příkazy k převodu peněz atp.

Velké množství firem stále ověřuje totožnost klienta podle rodného čísla, rodného jména matky či jiných relativně snadno dostupných informací, čímž usnadňují aplikování tohoto typu sociálního inženýrství.

Pretexting lze také použít při vydávání se za kolegu z práce, policejního vyšetřovatele, bankovního úředníka, zaměstnance finančního úřadu či jiného zaměstnance státní správy, který by mohl mít právo na dotazování dané oběti. Útočníkovi stačí být přichystán na možné kontrolní otázky oběti, ale někdy stačí pouze autoritativní a seriózní tón hlasu a dostatečně přesvědčivý obsah konverzace.

Phishing

Podrobnější informace naleznete v článku Phishing.
Phishing je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.

IVR neboli telefonní phishing
Tato technika využívá falešného hlasového automatu (IVR) s podobnou strukturou jako má originální bankovní automat ("Pro změnu hesla stiskněte 1, pro spojení s bankovním poradcem stiskněte 2"). Oběť je většinou vyzvána emailem k zavolání do banky za účelem ověření informace. Zde je pak požadováno přihlášení za pomoci PINu nebo hesla. Některé automaty následně přenesou oběť do kontaktu s útočníkem vystupujícího v roli telefonního bankovního poradce, což mu umožňuje další možnosti otázek.

Baiting
Baiting může být považován za trojského koně v reálném světě.

Při tomto způsobu útoku útočník nechá infikované CD, flashdisk nebo jiné paměťové médium na místě, kde jej oběť s velkou pravděpodobností nalezne, například v koupelně, ve výtahu, na parkovišti. Poté již nechá pracovat zvědavost, se kterou oběť dříve či později vloží toto médium do svého počítače. Tím dojde k instalaci viru, za pomoci kterého získá útočník přístup k počítači nebo celé firemní počítačové síti.

Quid pro quo aneb něco za něco
Něco za něco znamená náhodné vytáčení čísel společnosti a představení se jako pracovník technické podpory. Existuje šance, že útočník nalezne nespokojeného zaměstnance s problémem, kterému se pokusí po telefonu pomoci. Na oplátku požádá oběť o instalaci infikovaného programu nebo zvolenou akci ve firemním informačním systému.

Další možnosti
Přestože útočník postrádá programovací vlohy, běžné se jako sociální inženýrství označují i další útoky obsahující prvky přesvědčování a manipulace. Kromě cílení na přesnou organizaci může jít například i o cílení na lidi s běžnými emailovými adresami za účelem získání údajů o jejich kreditních kartách.

Významní sociální inženýři
Kevin Mitnick
Bratři Ramy, Muzher a Shadde Badirové
Frank Abagnale
Dave Buchwald
David "Race" Bannon
Peter Foster
Will Ronco
Razi Shaban
Steven Jay Russell

Pojem sociální inženýrství se používá ve dvou významech. Ten první je praktickou společenskovědní disciplínou, která na základě vědeckých poznatků vytváří pravidla pro dosažení společenských změn. V tomto článku se však zaměříme na ten druhý význam, o kterém se často píše ve spojitosti s kybernetickou bezpečností.

Nemusí se vždy jednat jen o hackery, ale obecně o podvodníky, kteří se snaží poškodit jinou osobu či organizaci nejčastěji s cílem vlastního obohacení. Definovat pojem sociální inženýrství je však poněkud složitější. Například při rozlišení, co už je jen obyčejný podvod, nebo při chybné záměně s pojmem sociotechnika, který však se sociálním inženýrstvím úzce souvisí. Nejedná se přitom o žádnou novinku, o sociálním inženýrství bylo sepsáno již mnoho článků, vědeckých prací, publikací i knih. Uvádíme tedy souhrn poznatků, které mají za úkol co nejjednodušeji seznámit veřejnost s tímto tématem.

O CO TEDY JDE
Všechny techniky sociálního inženýrství jsou založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku. Tyto chyby úsudku, založené na nedokonalosti lidského mozku, jsou využívány mnoha způsoby. Jednoduše řečeno, hacker útočí na nejslabší článek zabezpečení jakéhokoliv systému – na člověka. Proč je člověk tou největší slabinou? Protože není strojem, který lze bezpečně naprogramovat, ale živým jedincem, který jedná na základě svých zkušeností, znalostí a emocí. Útočník tak může pomocí specifické přípravy a psychologické manipulace ovlivnit některá rozhodnutí člověka tak, že provede určitou konkrétní činnost, které by se za jiných okolností nedopustil. Takto oklamaný člověk pak může mylně důvěřovat v informaci, která mu byla podána (e-mail, SMS, telefonát) a jednat podle sdělených instrukcí (klikne na odkaz, otevře přílohu e-mailu, prozradí jinou důležitou informaci). To, jakou chybu udělal, se zpravidla dozví mnohem později na základě škod, které jeho jednáním vznikly (infikovaný počítač, prázdný bankovní účet, ztráta kontroly nad firemními systémy, atd.). Nejznámějším průkopníkem sociálního inženýrství se stal hacker Kevin Mitnick, který ve své knize Umění klamu píše o tom, že nejjednodušší způsob, jak se někam dostat, je říct si o heslo.

PŘÍKLAD - PHISHING
Typickým a velmi rozšířeným způsobem jak pomocí sociálního inženýrství poškodit určitý subjekt je tzv. Phishing. Důvěryhodně vypadající e-mailová zpráva upozorňuje na nějaký problém, který vyřešíte zadáním osobních nebo přístupových údajů do stejně důvěryhodně vypadajícího formuláře známé instituce. Že se jedná o zdařilý podvrh, se dá rozpoznat nepoučenou osobou velice obtížně.

PŘÍKLAD – NIGERIJSKÉ DOPISY
Dalším příkladem je tzv. Nigerijský scam. Jde o dopis či e-mail, jehož pisatel tvrdí, že disponuje majetkem ve výši několika miliónů dolarů a potřebuje pomoc při jeho převodu ze země. Za to slibuje jako odměnu poměrnou část z celkové částky. Princip podvodu spočívá v tom, že oběť musí neustále platit nečekané administrativní poplatky a převod majetku se stále oddaluje.

Mezi další techniky sociálního inženýrství patří Pretexting, Baiting, Telefonní phishing (Techie Talk, Catch me a Vish), Sex sells, Whale of an Attack, Catch me a Phish, NLH, Piggyback Rides a mnohé další, o kterých se dočtete zde.

JAK SE BRÁNIT
Především je třeba zachovat chladnou hlavu. Důležité je vědět, jaká rizika mohou nést neočekávané nevinně vypadající zprávy. Dalšími faktory, které mohou ovlivnit, zda se konkrétně vy stanete terčem sociálního inženýrství, jsou důležitost vaší pozice v organizaci či firmě a velikost vašeho bankovního konta. Neexistuje žádný zaručeně spolehlivý způsob jak se chránit, protože oklamat lidskou mysl je poměrně jednoduché. Abyste však co nejvíce eliminovali tato rizika, je vhodné se řídit zdravým rozumem a minimálně těmito radami:

Poučit se z cizích (případně vlastních) chyb – na internetu se píše o lidech, kteří přišli o finanční prostředky díky vlastní chybě. Podobné příběhy by vás měly držet ve střehu.
Důvěřuj, ale prověřuj – pokud se vám cokoliv na příchozí zprávě nezdá, raději se zeptejte přímo odesílatele (třeba telefonicky), nebo zkušenějších kolegů. Nic tím nezkazíte.
Nedat se zastrašit - u podezřelých telefonátů, pokud si nejste jisti, zda vám skutečně volají například z vaší banky, zavěste a pokuste se ověřit autenticitu hovoru na telefonním čísle, které má vaše banka uvedeno na webových stránkách. Pokud vám volá například technická podpora nebo kdokoliv, kdo vystupuje v roli autority (úřad, nadřízený), nebojte se v případě pochybností vše ověřit.
Nespěchat - útočníci rádi pracují s časovou tísní (časově omezená nabídka, teď hned je třeba něco vykonat). Klid, škoda z prodlení bývá menší, než důsledky neuvážených činů.
Nebýt líný – jedno krátké a dobře zapamatovatelné heslo k několika účtům a službám je ideální způsob, jak přijít o všechno najednou.
Nebýt zbytečně zvědavý – každá zajímavá příloha, odkaz mohou být pastí. Opravdu například potřebujete vidět tohle? Nepotřebujete. To samé se týká i nalezených paměťových karet či jiných datových nosičů.
Nebýt zbytečně sdílný – vše, co na sebe prozradíte na internetu (diskusní fóra, webové stránky, sociální sítě) mohou útočníci využít proti vám. Schválně si zkuste zadat do vyhledávače Google vaše jméno.
Nikdo vám nic nedá zadarmo – rozhodně ne velké finanční obnosy.