5. Techniky sociálního inženýrství
Co je to phishing a co obecně obnáší techniky sociálního inženýrství? Jak dlouho odolá tvoje heslo proti útoku?
Úspěšně jsi prošel všechny kapitoly a tak teď znáš základy bezpečného pohybu v kyberprostoru – gratulujeme! Jako bonus se nyní můžeš dozvědět něco o technikách sociálního inženýrství, které jsou bohužel nedílnou součástí kyberprostoru…
Techniky sociálního inženýrství
Techniky sociálního inženýrství jsou bohužel nedílnou součástí kyberprostoru. Skrze ně využívají útočníci jednu z nejcitlivějších metod – psychologickou manipulaci, a to skrze naše přirozené lidské Achillovy paty, tedy například zvědavost, strach či nepozornost. Skrze tento typ manipulace dokáže útočník svou oběť dokonale oklamat, ta se může následně dopustit bezpečnostní chyby a poskytnout tak útočníkovi informace v podobě citlivých údajů a přístupových práv, nebo rovnou peněžních částek. Některé techniky využívají částečně i offline svět - například takový trashing, kdy útočník účelově prohledává odpadkové koše a doufá v nalezení citlivých materiálů. Pokud uspěje, může s nimi libovolně nakládat.
A ve vší stručnosti, jak se těmto typům útoků bránit?
- Vždy ověřuj adresu odesílatele zprávy (kdo ti e-mail s přílohou poslal a proč? Byl to někdo cizí? Možná bys raději neměl přílohu vůbec otevírat a na e-mail odpovídat) a adresní řádek na webu (někdy stačí prohozené písmeno a problém je na světě).
- Jak jsme v kapitolách opakovali již několikrát – udržuj svůj instalovaný antivirový program i další programy ve svém zařízení vždy aktualizované.
- Nikdy nezapojuj a nevkládej externí nosiče, u kterých si nejsi jistý původem a obsahem, do svých zařízení. Někteří útočníci využívají takzvanou metodu Baiting - nechají nosič (flashdisk, CD, SD kartu…) volně ležet, aby jej někdo našel. Zapracuje zvědavost, oběť nosič zapojí a ihned infikuje své zařízení, aniž by o tom věděl.
- Minimalizuj manipulaci se svými citlivými údaji na veřejných místech.
Přihlašuješ se často na sociální sítě či do e-mailu v knihovně, v počítačové učebně ve škole nebo přes Wi-Fi v obchoďáku? Raději to nech na doma, pokud to není nezbytně nutné. Nejedná se pouze o zmiňovaná rizika on-line prostředí v předchozích kapitolách, někdo může i úplně obyčejně okoukat, jaké a kam zadáváš přihlašovací údaje.
Phishing a jeho NEJ
Phishing je jednou z nejčetnějších technik sociálního inženýrství, proto má také spoustu svých NEJ. O co jde? Útočníci falšují (nejčastěji) webové stránky a “loví” skrze ně různé údaje. Nejčastější typy phishingových zpráv bývají informace o neprovedení platby, výzva k aktualizaci bezpečnostních údajů nebo výzkum klientské spokojenosti. Nejtypičtěji útočníci cílí na emoce jako strach, důvěra, autorita.
Tip: Phishing
Co přesně je phishing a jak se nechytit na pomyslnou udičku?
Koblihy pro FBI: kdo je pravděpodobně nejznámější sociální inženýr?
Kevin Mitnick patří mezi nejslavnější útočníky, kteří využívali techniky sociálního inženýrství. V průběhu 80. a 90. let se díky nápadité výmluvnosti dostal od odposlechu telefonních linek až do vládních systémů. Tři roky se skrýval před FBI a jelikož lidi a společnosti neokrádal, hackování pro něj byla výzva, nabyl popularity napříč společností. Kevin je autorem několika knih a nyní pracuje jako expert bezpečnosti firemních systémů. Přečti si o něm například zde (a dozvíš se o koblihách).
Otázka: Jak dlouho odolá tvé heslo proti útoku?
Za celou lekci jsme tě nepřesvědčili a petr1984 pořád považuješ za obstojné heslo? Vyzkoušejte si sílu vašeho hesla na LastPass kontrolní stránce (doporučujeme zadat heslo pouze podobné tomu tvému, namísto petr1984 by to byla třeba monika1876). Neuškodí si také udržovat přehled: po bezplatné registraci (Jak na to?) ve službě HaveIbeenPwned.com se při narušení bezpečnosti účtů spojených s tvou e-mailovou adresou odešle služba upozornění a zavčasu tak můžeš změnit problémová hesla.
Může se například phishing týkat i Masarykovy univerzity nebo tvé školy?
Samozřejmě! Jen v roce 2019 se kyberbezpečnostní tým MAsarykovy univerzity zabýval například vlnou vydíracích e-mailů, kdy útočník požadoval konkrétní částky za nezveřejnění určitých dat. Řešil také falešnou výzvu k přihlašování do klíčových účtů, která byla přímo cílená na české vysoké školy. Došlo i k e-mailovým výzvám pro fakultní přihlašovací údaje. Vidíš tedy, že útočníci nenechávají nikoho napokoji, dokonce třeba ani nemocnice.
Ramsomware: škodlivý kód šifrující data
Do zařízení se dostane často právě za využití technik sociálního inženýrství, třeba otevřením neznámé přílohy v e-mailu (například .exe), nebo skrze jiný infikovaný stroj v síti (jako když si z čekárny od doktora, kam jsi musel na běžnou kontrolu, odneseš pořádnou chřipku). Zařízení nahlásí potřebu opravy a kontroly disku, jakmile ji ale potvrdíš, zašifrují se data a vyskočí požadavek na výkupné. Doporučíme jej neplatit a počítač (už při podezření) vytáhnout ze sítě, vypnout a zavolat odbornou IT pomoc. Z preventivních opatření zopakujeme: pravidelné aktualizace (hlavně antiviru) a zálohování dat.