Sociální inženýrství a phishing – jak se můžete bránit?

„V životě bych ti neposlal e-mail s odkazem na 10 tipů, jak zaručeně zhubnout,“ ohrazuje se nasupeně kolega na váš dotaz – jenže už je pozdě. Na odkaz jste klikli, protože adresa odesílatele skutečně odpovídala e-mailu vašeho kolegy a vy jste se tak stali čerstvou obětí sociálního inženýrství prostřednictvím phishingového útoku. Jak takovým situacím předcházet se dočtete na následujících řádcích.
Sociální inženýrství a phishing – jak se můžete bránit?

Sociální inženýrství je pojem, který nevnímáme příliš pozitivně a hezky ilustruje rčení, že cesta do pekel je dlážděna dobrými úmysly. Jako první s ním v roce 1894 přišel holandský podnikatel v oblasti průmyslu. Dospěl k názoru, že stejně jako zaměstnavatelé potřebují pomoc specialistů (klasických inženýrů) při řešení technických problémů, potřebují stejně tak pomoc i „sociálních inženýrů“, aby se vypořádali s lidskými výzvami. Začátkem 20. století se sociální inženýrství začalo odkazovat na přístup, kdy se sociální vztahy považují za „stroje“ a pohlíží se na ně způsobem technického inženýra.

Z hlediska společenských věd se sociální inženýrství formovalo jako disciplína, která na základě vědeckých poznatků a metod (sběr a analýza statistických dat) vytváří doporučení k dosažení společenských změn, resp. změn v chování skupin lidí – ideálně za účelem udržitelné společnosti a optimální správy veřejných zdrojů. Úmysl jistě dobrý, nicméně v podání totalitních států – jako byl Sovětský svaz, Kambodža nebo Čína – se intenzivní sociální inženýrství zvrhlo na systematickou manipulaci lidí za účelem dosažení vnitřní stability. Výsledkem byl nespočet zmařených životů a desítky let přetrvávající společenské důsledky. Proto tedy výše zmíněná cesta do pekel – a v kontextu s kybernetickou bezpečností tomu bohužel není jinak.

 

Sociální inženýrství a kybernetická bezpečnost

Z hlediska informační a kybernetické bezpečnosti pojem sociální inženýrství definujeme jako metody manipulace lidí za účelem provedení určité akce nebo získání určité informace. V praxi se jedná o podvodné praktiky usilující o získání dat, osobních údajů nebo přístupů do informačních a bankovních systémů.

Od klasických podvodů, kde útočník mj. může navazovat s obětí osobní styk, se liší tím, že zde žádný přímý kontakt není a samotné sociální inženýrství je pouze jedním z moha procesů v komplexním podvodném schématu.

Metody sociálního inženýrství mohou mít v kontextu kybernetické bezpečnosti kupodivu i legitimní a přínosné využití – a sice ve formě penetračních testů. V takovém případě nehrozí ztráta firemních dat či odcizení osobních nebo bankovních údajů, ale naopak získáte přehled o firemních zranitelnostech.

→ Tip: Přečtěte si více o testování kybernetické bezpečnosti pomocí penetračních testů metodou sociálního inženýrství.

 

Metody sociálního inženýrství

Níže uvedené techniky vycházejí ze znalostí lidské psychologie, zejména na zneužívání kognitivní chyby úsudku. Do hry vstupují faktory jako důvěra, přirozený respekt k autoritám nebo snaha se vyhnout problémům a stresu. Obětí sociálního inženýrství se tak může stát i zkušený expert na kybernetickou bezpečnost, stačí, když bude ve stresu, nevyspalý nebo nemocný – celkově tedy méně obezřetný. S čím se může setkat – nejen on, ale kdokoliv z nás?

Phishingové útoky

Divné, ale stále skloňovanější slovo phishing – co to je? Bohužel stále rozšířenější metoda podvodných e-mailů nebo chatových zpráv, které na první pohled působí jako autentická oficiální zpráva z nějaké instituce (např. banky). Společných rysem je odkazování na (opět autenticky působící, nicméně podvodnou) webovou stránku, kde je uživatel vybízený k vyplnění osobních údajů – pokud bychom pokračovali v příkladu s bankou, může jít o falešné internetové bankovnictví, kam zadáte své přihlašovací údaje. Tím je naservírujete rovnou do rukou (či spíše harddisků) podvodníků.

Phishing má mnoho variant, může probíhat i přes telefonní hovory (tzv. vishning, voice phishing) nebo může jít o velmi záludné varianty, jako je spear phishing, který se zaměřuje přímo na předem vytipované jedince z firemního prostředí. Podrobněji jsme se o phishingu a jeho formách rozepsali v obsáhlém článku Digitální sebeobrana aneb stručná příručka kybernetické bezpečnosti. Najdete v něm – stejně jako níže v tomto textu – i praktické tipy, jak se phishingu bránit.

→ Tip: Inspiraci najdete i v článku Phishing – co to je a jak se nenechat přelstít.

Pretexting

Spočívá v naplánování a realizování sofistikovaného scénáře, jehož smyslem je přesvědčit oběť k vyzrazení požadované informace. Útočníci využívají autoritativní tón a přesvědčivý obsah konverzace, který promyšleně kombinuje lži s pravdivými informacemi získanými dříve (odtud název metody). Může jít např. o veřejně dostupné informace či údaje získané od běžných pracovníků, kterými pak podvodník konfrontuje vedoucí zaměstnance.

„Něco za něco“

Jde v zásadě o vydávání se za pracovníka technické podpory či service desku. Podvodník takto kontaktuje náhodné či předem vytipované pracovníky s dotazem, zda nepotřebují vyřešit problém s počítačem. Pokud oběť svolí, na oplátku za řešení podvodník požaduje instalaci malwaru nebo vyzrazení informací z firemního systému.

Baiting nebo též USB dropping

Poměrně jednoduchá, ale bohužel překvapivě účinná metoda, kdy se ponechá flash disk, paměťová karta nebo jiné paměťové médium na specifickém místě, kde ji oběť pravděpodobně nalezne. Útočníci vycházejí z předpokladu, že oběť nakonec podlehne zvědavosti a nalezené médium nakonec vloží do počítače. Paměťové médium je ovšem infikované malwarem, který útočníkům tajně otevře zadní vrátka do počítače.

→ Tip: Mohlo by vás zajímat, co je malware a jak se proti němu bránit.

Sociální inženýrství a phishing, jak se bránit?

Nejlepší způsob, jak se bránit metodám sociálního inženýrství a phishingovým útokům, je poskytnout důkladnou osvětu, o což se pokouší i tento text. Ideálním způsobem jsou však pravidelná školení odborníky na kybernetickou bezpečnost, kde se klade důraz na informování o různých technikách sociálního inženýrství, které útočníci používají, a o tom, jak je rozpoznat.

→ Tip: Přečtěte si více v článku Proškolení zaměstnanci – základ kybernetické bezpečnosti.

Ruku v ruce s osvětou by mělo probíhat používání technických nástrojů, které mohou pomoci chránit firmu před phishingovými útoky. Jde především o antispamové a antivirové programy nebo bezpečnostní služby poskytované dohledovými centry.

Praktické tipy, jak se bránit

Následující tipy byste si měli osvojit a držet se jich za všech okolností:

  • Neklikejte na odkazy v e-mailech od neznámých odesílatelů. Pokud si nejste jistí, zda je e-mail legitimní, nejprve kontaktujte odesílatele telefonicky nebo osobně. Pozor, v některých případech umí útočníci napodobit i e-mailovou adresu odesílatele (viz úvod článku), pokud tedy nějaký e-mail obsahuje přílohu, věnujte mu vždy zvýšenou pozornost.
  • Nepřihlašujte se do svých účtů pomocí odkazů v e-mailech. Přihlašujte se vždy na webovou stránku společnosti přímo.
  • Nikdy v e-mailech nesdělujte své osobní údaje. Osobní údaje, jako jsou hesla, čísla účtů nebo čísla kreditních karet, byste měli sdělovat pouze důvěryhodným a ověřeným osobám.
  • Buďte opatrní s informacemi, které sdílíte na sociálních sítích. Útočníci mohou tyto informace použít k cílení phishingových útoků (spear phishing) přímo na vaši osobu.
  • Nikdy nepřipojujte k počítači neznámé USB disky nebo jiná paměťová média. Vždy si ověřte jejich zdroje a bezpečnost (např. na virtuálním stroji).
  • Udržujte svůj operační systém aktualizovaný a aktivujte všechny dostupné ochrany, které nabízí (ochrana před phishingem, blokování potenciálně nežádoucích aplikací atd.). Vezměte na vědomí, že jakkoliv jsou výzvy k aktualizaci a restartu systému otravné, neslouží k tomu, aby vás zdržovaly od práce, nýbrž aby posílily kybernetickou bezpečnost vašeho počítače.

→ Tip: Mohlo by vás zajímat více o kybernetické bezpečnosti koncových zařízení.

Hodný, zlý a ošklivý

Podvodníci a zloději jsou zlí, aktualizace a vynucování bezpečnostních politik ošklivé (protože zdržují a omezují), ale naštěstí jsou tu ještě ti hodní, kteří stojí na vaší straně. Kontaktujte nás – rádi vám vytvoříme školení kybernetické bezpečnosti na míru, ověříme pentesty zaměstnance na odolnost vůči sociálnímu inženýrství nebo provedeme celkový bezpečnostní audit. S námi vám už nikdo neohrozí data ani osobní údaje.

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Vzdálená podpora:

get.teamviewer.com/
totalservice