Názory

Kdy na vás naposledy někdo zkoušel sociální inženýrství?

Byron Acohido, 2. srpna 2019

Intenzita phishingových útoků nepolevuje a tvůrci hrozeb se i nadále snaží zneužívat našich slabých stránek k získání neoprávněného přístupu do domácností a firem.

Na jaře to bylo 20 let, co se objevil a po celém světě rozšířil e-mailový virus Melissa, který předznamenal příchod sociálního inženýrství, jak ho známe dnes.

Malware Melissa se šířil prostřednictvím Wordu v příloze e-mailové zprávy s vábivým sdělením „Posílám vám požadovaný dokument . . . nikomu jinému ho neukazujte;-).“ Po otevření dotyčného dokumentu se aktivovalo makro, které phishingový e-mail včetně další infikované přílohy rozeslalo prvním 50 kontaktům v uživatelově Outlooku.

K čemu došlo po Melisse? Navzdory neustálému pokroku ve vývoji systémů na detekci malwaru a ochranu před narušením a ohromnému úsilí, které zaměstnavatelé věnují školení zaměstnanců, bohužel zůstává sociální inženýrství (často v podobě phishingu nebo spear-phishingu) vysoce efektivním nástrojem při různých druzích hackerských útoků.

Nezvratné důkazy pocházejí od Microsoftu. Vlajkové produkty Microsoftu, operační systém Windows a kancelářská sada Office, jsou už více než 20 let hlavním cílem kybernetických útočníků. A sám softwarový gigant investoval do zabezpečení svých produktů nemalé prostředky. Zároveň se zachoval příkladně a veškeré cenné informace o kybernetických hrozbách, které posbíral, si nenechal jen pro sebe.

Tvůrci hrozeb dokonale chápou, že slabým článkem každé digitální sítě bude vždy lidský faktor. Sociální inženýrství jim otevírá dveře, ať už do chytrých domácností, nebo do firemních sítí.

Způsoby útoků

Běžné útoky obvykle vypadají jako ten Melissin. Útočníci do všech stran rozesílají ohromné počty e-mailů s věrohodným předmětem, které se tváří, jako by byly od nějaké známé firmy – třeba od kurýrní společnosti, online obchodu, nebo dokonce vaší banky.

Mezi nejběžnější takové zprávy patří předvolání k soudu, informace o vrácení přeplatku na daních, nabídky práce z CareerBuilderu, oznámení o zásilkách od FedExu nebo UPS, oznámení o nasdílených odkazech z Dropboxu, bezpečnostní upozornění od Applu nebo oznámení o zprávách na Facebooku.

Pravidelným tématem phishingových zpráv bývají i úmrtí celebrit, velké sportovní události nebo významné svátky. Když zemřel Robin Williams, někdo rychle na Facebooku rozšířil podbízivý odkaz na údajné video s posledním hercovým telefonátem. Uživatelé, kteří na něj kliknuli, ale byli přesměrováni na reklamní stránku, která útočníkovi vydělávala peníze.

Závažnějším problémem je, že podobné triky vůči lidem lze zneužívat k mnohem zákeřnějším účelům, jako je aktivace telefonních služeb s prémiovými sazbami, instalace spywaru nebo šíření ransomwaru.

Online podvody

A dále je tu spear-phishing. Původci těchto útoků sbírají informace o vysoce postaveném zaměstnanci konkrétní firmy, aby na jejich základě mohli vytvořit cílenou phishingovou zprávu. Takzvané útoky business email compromise (BEC) možná představují nejsofistikovanější spear-phishing.

Při útocích BEC se pachatel vydává za vedoucího pracovníka a snaží se přimět podřízeného, aby převedl firemní finanční prostředky na účet pod kontrolou útočníka. A teď si představte, že ztráty v důsledku podvodů BEC dosáhly v roce 2018 závratné 1,3 miliardy USD, tedy dvojnásobku toho, co FBI evidovala v roce 2017, jak píše ve své výroční zprávě o kriminalitě na internetu. Toto číslo je nejspíše podhodnocené, neboť FBI eviduje jen zločiny, které jí nahlásily americké firmy.

Odrazovým můstkem útoků BEC se často stávají kompromitované e-mailové účty jiných zaměstnanců. Útočník může díky nim sledovat fungování firmy, sbírat informace o fakturách nebo obchodních smlouvách a připravovat podvodné dokumenty. Bez trpělivosti se každopádně neobejde. A ve vhodnou chvíli, až bude vedoucí pracovník, kterého má v hledáčku, někde pryč, svůj dobře naplánovaný podvod zrealizuje.

Osobní odpovědnost

Proč je sociální inženýrství pořád hrozbou a proč v našich každodenních životech hraje ještě větší roli? Jak se čím dál více spoléháme na cloudové služby a nástroje pro spolupráci od třetích stran, útočníci mají své úsilí o manipulaci s lidmi čím dál snazší. Do toho existuje řada dalších cest, jak obcházet ověřovací mechanismy. Útočníkům mohou pomoci spousty ukradených uživatelských jmen a hesel, které kolují na internetu, případně nevhodně zvolená hesla.

V dohledné budoucnosti bude boj se sociálním inženýrstvím i nadále na bedrech firem a jednotlivců. Firmy musí průběžně zavádět nová a účinná školení a testování, aby byli zaměstnanci s to odhalit cílené útoky založené na sociálním inženýrství. Dalším rysem lidského chování je náš sklon vracet se k zažitým zvyklostem, takže jsme náchylní k tomu, aby nás někdo znovu napálil.

Každý z nás musí chránit svou digitální stopu, kterou za sebou necháváme na internetu. Proto byste si měli osvojit následující návyky:

  • E-maily otevírejte rozvážně.
  • Nikdy neotvírejte žádné přílohy ani odkazy, které se vám zdají být podezřelé.
  • Své prohlížeče i programy, které nejčastěji používáte, udržujte aktualizované.
  • Na všech svých zařízeních používejte důvěryhodný antivirus.

S ohledem na naši odolnost vůči hrozbám se toho od dob Melissy moc nezměnilo. A za své bezpečí nyní ještě více odpovídáme sami. Více na toto téma příště.