Názory

Sociální inženýrství – to není jen phishing

Kevin Townsend, 2. června 2019

Když se podvod použije k hacknutí vaší mysli

Co znamená sociální inženýrství?

Výraz „sociální inženýrství“ může znít tajemně a hrůzostrašně a v určitém slova smyslu takový je. Většina z nás se už setkala s nějakou formou sociálního inženýrství na internetu, v e-mailech, v novinách nebo časopisech. Určitě si ještě pamatujete na e-maily od nigerijského prince, které vyžadovaly platbu předem. Šlo o podvod, o jednu z forem sociálního inženýrství – oklamat oběť tak, aby uvěřila, že může něco získat.

Phishingové e-maily jsou také formou sociálního inženýrství. Skrývají se za důvěryhodnou organizaci, kamaráda nebo kolegu, aby nás mohly zmanipulovat a vylákat z nás informace. Není to ovšem tak jednoduché, aby se dalo napsat „sociální inženýrství = podvod“. Podvod nebo zneužití důvěry sice využívá techniku sociálního inženýrství, ale sociální inženýrství je často mnohem složitější. Způsob, jakým mohou útočníci oklamat lidi, zmanipulovat je a vyvinout na ně tlak, je šokující a často zákeřný.

Ve své knize How to Hack a Human: Cybersecurity for the Mind uvádí bezpečnostní expert Raef Meeuwisse tuto definici: „...budování vztahů, přátelství nebo jiných lidských interakcí za účelem povzbuzení příjemce k tomu, aby provedl škodlivou akci nebo odhalil tajné informace.“ V kybernetické bezpečnosti to znamená zneužití našich citových reakcí tak, abychom dobrovolně ohrozili naši vlastní bezpečnost.

Sociální inženýrství však existuje všude ve zcela legální formě, přestože poněkud morálně sporné. Marketing využívá techniky sociálního inženýrství ke zlepšení prodeje. Možná jste se setkali s webovou stránkou, která nabízí speciální a očividně výraznou slevu prostřednictvím odpočtu: „Akce končí za 00:05:00.“ Ve skutečnosti to není žádná sleva a „akce“ nekončí, ale jde o efektivní marketingovou strategii. Iluze, že je třeba rychle se rozhodnout, a dojem dobré ceny tlačí na uživatele, aby provedli nákup, který by normálně neudělali.

Politici a lobbisté také neustále využívají techniky sociálního inženýrství k tomu, aby získali naši podporu.

Příklady sociálního inženýrství na internetu

Hack v novinách

Investigativní článek o sociálním inženýrství z roku 2014 je stále jednou z nejlepších ilustrací toho, jak mohou útočníci získat rozsáhlé informace o svých obětech a využít je k útokům. Novinářka Sophie Curtisová z deníku The Telegraph souhlasila s tím, že nechá etického hackera Johna Yeoa, aby se na ni pokusil zaútočit formou sociálního inženýrství. Tým Johna Yeoa dokázal za pomoci informací ze sociálních sítí a zručných počítačových technik Sophii oklamat a přimět ji k tomu, aby si do počítače stáhla trojského koně pro vzdálený přístup a aktivovala jej.

Povedlo se to navzdory tomu, že Sophie věděla, že se ji tým bude snažit hacknout a že jí soubor s trojským koněm připadal podezřelý. Tým Johna Yeoa vytvořil situaci, ve které Sophie Curtisová uvěřila, že nemůže zavrhnout možnost, že by soubor mohl být užitečný pro její novinářskou práci. Ukazuje to, jak mohou být útoky sociálního inženýrství stále účinné, i když věříme, že se proti nim chráníme.

Ministerstvo spravedlnosti USA

Jedním z největších skutečných příkladů sociálního inženýrství je únik dat Ministerstva spravedlnosti Spojených států v roce 2016. Ze záznamů Ministerstva spravedlnosti uniklo 200 GB dat, protože se hacker úspěšně vydával za jednoho ze zaměstnanců. Kombinace interní e-mailové adresy s narušeným zabezpečením a několika základními triky umožnila útočníkovi přesvědčit ostatní zaměstnance, aby mu poskytli plný přístup k interním souborům. To je ukázkový příklad toho, jak rozsáhlý dopad mohou mít i ty nejzákladnější techniky sociálního inženýrství.

Masakr v Christchurch

V nedávné době ukázal masakr v Christchurch na Novém Zélandu rychlost a bezohlednost sociálních inženýrů. Do týdne po incidentu začali útočníci jednat, aby využili zármutku a zmatku mezi přáteli a rodinami obětí. Začaly se šířit phishingové e-maily s žádostí o podporu nebo pomoc. Tyto e-maily nasměrovaly uživatele na falešné bankovní stránky nebo škodlivé formuláře, na kterých mohli útočníci sbírat osobní údaje a prostředky.

Motivy sociálního inženýrství

Krádež dat

Největším a nejběžnějším motivem útoků online sociálního inženýrství je získání přístupu k citlivým datům oběti. Osobní údaje jsou jednou z nejcennějších komodit na internetu – prodávají se mezi firmami i na černém trhu. Osobní informace také umožňují útočníkům provádět přesvědčivější a účinnější útoky sociálního inženýrství. Pokud se chce útočník dostat k vašim bankovním údajům, může se nejprve pokusit získat vaši adresu a telefonní číslo – třeba tím, že se bude vydávat za charitu. Jakmile je bude mít, může se vydávat za vaši banku a využít informace, které už má, aby zvýšil svoji šance vás oklamat.

Šíření malwaru

Pokud vás útočník dokáže přesvědčit, že je odkaz bezpečný, může vás poslat prakticky kamkoli a přimět vás stáhnout prakticky cokoli. Obrovské množství ransomwaru se šíří prostřednictvím phishingových e-mailů. 93 % takových e-mailů se nyní používá k infikování počítače oběti. Tímto způsobem se šíří také trojské koně pro vzdálený přístup, keyloggery a botnety cryptojackingu. Nedávno se začaly šířit e-maily, které se vydávají za informace o Brexitu, ale ve skutečnosti obsahují trojského koně Ursnif, což je agresivní malware sbírající data.

Politické důvody

Sociální inženýrství v politickém kontextu je často považováno za koncept odlišný od sociálního inženýrství v kybernetické bezpečnosti. Mezi oběma oblastmi ale dochází k významnému překrývání. Skandál Cambridge Analytica může být jedním z nejlepších příkladů toho, kdy byly osobní informace uživatelů Facebooku použity k ovlivnění veřejného mínění před volbami ve Spojených státech v roce 2016.

Vzestup fake news a způsob, jakým lze fakta překroutit, aby vyhovovala konkrétní politické agendě, ale zároveň nebyla přímo lží, je příkladem sociálního inženýrství. Šíření fake news prostřednictvím organizovaných skupin na Twitteru a Facebooku je další formou sociálního inženýrství. Ruská agentura pro výzkum internetu (IRA) se pokoušela sociálním inženýrstvím ovlivnit celou americkou veřejnost a následně prezidentské volby v roce 2016.

souhrnu Muellerovy zprávy uvedl generální prokurátor, že cílem IRA bylo „provádět dezinformační operace a operace na sociálních sítích ve Spojených státech s cílem vytvořit neshody, případně zasahovat do voleb.“ To je sociální inženýrství ve velkém měřítku.

Ochrana proti sociálnímu inženýrství

Boj proti sociálnímu inženýrství není tak zřejmý jako v jiných oblastech kybernetické bezpečnosti. U tradičních hacků je bezpečnost černobílá. Útočníci využívají chyby a zranitelné oblasti, které ale jde zmírnit nebo opravit. U sociálního inženýrství jsou tyto chyby v našich myšlenkových procesech a citových reakcích. Nemůžeme si stáhnout záplatu pro náš pocit strachu, chamtivosti nebo soucitu. Něco však udělat můžeme. Další informace naleznete v podrobných radách od společnosti Avast týkajících se ochrany phishingovými podvody.

Omezte, co sdílíte

Cílené sociální inženýrství je dnes největším lidských bezpečnostním rizikem. Čím více informací o sobě dáme na internet, tím více prostředků poskytujeme podvodníkům a sociálním inženýrům. Nejedná se pouze o osobní údaje, jako jsou adresy a telefonní čísla. Patří sem naše návyky a zažité postupy, zájmy, zdravotní problémy a upřednostňované služby, kterých mohou sociální inženýři zneužít.

Je také důležité si uvědomit, že hackeři mají přístup k velkému množství dat o nás, i když jim je neposkytneme. Možná si myslíme, že jsou naše osobní údaje chráněny; odhodlaný útočník ale může najít nápaditý a překvapivý způsob, jak tato data získat. Když se John Yeo pokoušel hacknout Sophii Curtisovou, zašel dokonce tak daleko, že použil webové stránky o rodinné historii, aby si ověřil a rozšířil informace, které mohl použít. I když vás někdo kontaktuje s informacemi, které jste mohli poskytnout jen věrohodné organizaci, může se jednat o podvodníka, který se k nim nějakým způsobem dostal.

Nikdy nereagujte na nevyžádané žádosti o informace bez ohledu na to, kolik už žadatel ví.

Uvědomte si způsoby, kterými vás mohou zmanipulovat

Existuje příliš mnoho technik a variací v sociálním inženýrství na to, abychom mohli uvést vyčerpávající seznam. Můžeme se ale zaměřit na e-mailové sociální inženýrství. Nejdůležitější věci, na které byste si měli dávat pozor:

  • Časový nátlak: Všechny útoky sociálního inženýrství mají větší úspěch, pokud se cíl domnívá, že je nezbytné rychle se rozhodnout.
  • Strach z propásnutí: Fenomén strachu z propásnutí (angl. FOMO) stojí za úspěchem sociálních sítí. Stává se z něj ale také účinná manipulační taktika, pokud uvěříme, že naše nečinnost (třeba odmítnutí sdělení osobních informací) bude vést k osobní ztrátě.
  • Oklamání: Ne všechny techniky sociálního inženýrství jsou čistě psychologické. Útočník může použít chyby zabezpečení na webových stránkách a přesměrovat vás na nebezpečnou stránku v naději, že zadáte osobní nebo finanční informace. Podívejte se na stránky o XSS nebo napadení prohlížeče, najdete tam podrobnější příklady.
  • Falešné recenze: Netýká se to pouze společností, které platí za recenze aplikací v obchodech, aby byl jejich produkt přitažlivější. Falešné recenze lze použít i k tomu, aby webové stránky nebo služby vypadaly důvěryhodněji a povzbuzovaly vás k zadání osobních údajů.
  • Falešná identita: To je základní prvek všech phishingových podvodů. Útočníci se prezentují jako důvěryhodná organizace nebo jednotlivec, abyste se cítili bezpečně a uvedli citlivé informace.
  • Neúplné informace: Aby byli hackeři přesvědčivější, často používají veřejné nebo snadno dostupné informace, aby vás povzbudili k tomu, abyste jim toho vyzradili ještě více. Například podvodníci s vaší adresou, telefonním číslem a posledními čtyřmi číslicemi kreditní karty se mohou vydávat za online obchodníka. Mohou vás požádat, abyste si „aktualizovali“ své platební údaje ke kartě, která končí těmito čtyřmi čísly.

Shrnutí

Jedna věc, kterou jsme se v tomto článku snažili zdůraznit, je to, že sociální inženýrství je všude kolem nás. Každý, kdo se nám snaží něco prodat (ať už je to značka jídla, politická myšlenka, nové auto nebo internetový podvod), využívá do určité míry sociální inženýrství. Existuje riziko, že to přestaneme vnímat. Jsme na to tak zvyklí, že si toho ani nevšímáme, a to je obrovská výhoda pro zločince, kteří používají sociální inženýrství.

Naší nejlepší obranou je vnímavost. Útok online sociálního inženýrství selže, pokud se do něj odmítneme zapojit. Já vím, snadno se to řekne.

Navíc neustálá podezřívavost, obezřetnost a nedůvěra ke všemu kolem nás je emocionálně a psychicky vyčerpávající. Nikdo by se neměl považovat za imunního vůči sociálnímu inženýrství. To je samo o sobě to nejdůležitější, co je třeba si zapamatovat.