Nejčastější typy sociálního inženýrství

Sociální inženýrství jako netechnická forma útoku využívá slabiny lidské psychiky. Existuje přitom mnoho metod, které se pod tento termín dají zařadit - od triků postavených na nepozornosti uživatele přes manipulace až po využívání lidské důvěřivosti. Tento článek rozkrývá nejčastější typy sociálního inženýrství a nabízí strategie, jak se jim účinně bránit. 

Co je to sociální inženýrství?

Sociální inženýrství (social engineering) je forma útoku, který míří na ten nejslabší článek v řetězci jakéhokoli zabezpečení – člověka. A protože jednání lidí je ve velké míře ovlivňováno jejich emocemi, tento útok se snaží v oběti vzbudit právě pozitivní nebo negativní pocity. Nejčastěji jde o soucit, zvědavost, stud nebo strach. Útočníci poté spoléhají na to, že pod návalem takových emocí u jejich obětí dojde k chybě v úsudku, která je přinutí provést určitou konkrétní činnost, kterou by za normálních okolností neudělali.

Ve zkratce proto můžeme sociální inženýrství definovat jako podvod založený na psychologické manipulaci, jehož hlavním cílem je vylákat z uživatele citlivé osobní či platební informace. Je totiž mnohem snazší oklamat samotného uživatele a získat tak přístupové údaje, než složitě obcházet zabezpečení počítače.

V praxi to pak vypadá tak, že oklamaný člověk důvěřuje falešné informaci, která mu byla podána prostřednictvím e-mailu, hovoru nebo SMS zprávy, a kvůli tomu poté začne jednat podle předem promyšlených instrukcí, které mu útočník při tomto kontaktu sdělí. Tyto instrukce nejčastěji zahrnují kliknutí na odkaz, stažení přílohy nebo softwaru do počítače či přímý převod určitého finančního obnosu.

důsledky sociálního inženýrství

Představte si situaci, kdy pracujete u počítače, když vám přijde žádost o videohovor od vašeho nadřízeného. Následně jej skutečně uvidíte na obrazovce, kde vám šéf představí právníka, který na vás má pár požadavků. Ten začne zjišťovat určitou citlivou informaci o firmě.

Tento případ se skutečně stal - s pomocí deep fake technologie se za majitele GymBeam vydával podvodník. Záchranou v tu chvíli bylo, že falešný nadřízený prohlásil, že je na dovolené, i když ten skutečný byl v kancelářích firmy. Díky tomu zaměstnanec pochopil, že něco nesedí a rovnou kontaktoval šéfa přes jiný kanál, aby zjistil, co to má znamenat.

Hlavní riziko spočívá v tom, že v technikách sociálního inženýrství hraje vždy hlavní roli lidský faktor. Firmy sice mohou investovat množství peněz do IT zabezpečení, to ale bude vždy jen tak silné jako jeho nejslabší článek, kterým jsou bezpochyby zaměstnanci. Jejich chyby je totiž mnohem náročnější předvídat a předcházet jim.

Pokud k nim opravdu dojde, navazují na to další závažná rizika v závislosti na cílech konkrétního útočníka. V takovýchto chvílích nejčastěji hrozí:

• neoprávněný přístup do vnitřní infrastruktury firmy,
• nainstalování malware do firemního počítače (jak poznat a opravit zavirovaný počítač),
• neoprávněný vstup útočníka na pracoviště po vpuštění oklamaným zaměstnancem,
• vylákání citlivých přístupových, osobních či platebních informací,
• shromažďování citlivých informací za účelem spuštění dalších fází útoku,
• přímý převod finančních prostředků podvedenou osobou.

Z toho si můžete snadno odvodit, že pozdější důsledky pro jednotlivce i organizace mohou být zdrcující. Jako příklad můžeme uvést ztrátu kontroly nad firemními systémy, zavirované počítače, prázdné bankovní účty, zašifrování důležitých firemních dat nebo jejich úplnou ztrátu.

Ze Zprávy o stavu kybernetické bezpečnosti ČR za rok 2022 od NÚKIB vyplývá, že sociální inženýrství je všudypřítomnou a narůstající hrozbou. Mezi nejčastější typy kybernetických útoků za rok 2022 totiž patřil phishing, spear phishing, vishing a podvodné e-maily, což jsou vesměs různé techniky sociálního inženýrství. Ze zprávy je také patrné, že nejčastěji útočníci cílili na veřejný sektor, zdravotnictví a soukromý sektor.

Národní index kybernetické bezpečnosti, který měří připravenost různých zemí předcházet kybernetickým hrozbám i jejich schopnost zvládat již vzniklé kybernetické incidenty, je sice pro Česko velmi lichotivý, jelikož jsme se skóre 98.33 aktuálně nejbezpečnější ze všech měřených zemí, přesto ale musíme být na reálnou hrozbu v podobě sociálního inženýrství připraveni a chovat se ostražitě. Nejdůležitější je v tomto případě informovanost, proto se teď na ty nejčastější nekalé techniky podíváme detailněji.

techniky sociálního inženýrství

Nejrozšířenější a nejpoužívanější technikou sociálního inženýrství je jednoznačně phishing a jeho odnože v podobě spear phishingu, vishingu, smishingu, page hijackingu či poměrně nově také quishingu (v tomto případě obsahuje e-mail podvodný QR kód, který vás přesměruje na podvrženou stránku). Jelikož jsme se však tématu phishingu a jeho rozpoznávání i prevence dopodrobna věnovali už v minulosti, v tomto článku přejdeme rovnou na ostatní techniky sociálního inženýrství, které jsou mezi útočníky velmi oblíbené.

Blagging

Mezi technikou blaggingu a phishingu najdeme určité podobnosti. Pokud bychom tyto 2 různé techniky sociálního inženýrství chtěli odlišit, pak je pro blagging typické vydávání se za někoho jiného. Phishing tento postup může, ale nutně nemusí zahrnovat.

Blagging může probíhat prostřednictvím nejrůznějších kanálů – například e-mailem, SMS zprávou či dokonce osobně. V online prostředí je jeho typickým prvkem snaha o zmanipulování oběti pomocí vykonstruovaného, poutavého a naléhavého příběhu.

Nejčastějším požadavkem podvodníků v těchto zprávách bývá požadavek na převod určité finanční částky, cílem blaggingového útoku ale může být také vyzrazení citlivých informací. V praxi to může vypadat tak, že vám od zdánlivé blízké osoby, kolegy či kamaráda přijde e-mail s naléhavou žádostí o finanční pomoc, protože pisatel zprávy se ocitl v nesnázích.

Ve firemním prostředí pak blaggingové zprávy nejčastěji cílí na zaměstnance spravující finanční prostředky a platební transakce organizace. Pocházejí od zdánlivého nadřízeného či firemního partnera a požadují provedení určité platební transakce.

Blagging při osobním kontaktu by ale logicky tímto způsobem nefungoval. V takovém případě proto podvod probíhá jinak – osoba se může vydávat za doručovatele nebo opraváře, přičemž účelem takového jednání je fyzicky se dostat na pracoviště nebo získat informace po telefonu. Blagging tedy může mít mnoho podob, a proto je tak nebezpečný.

Jak se bránit

• Při žádostech o finanční pomoc od blízkých osob vždy důkladně zkontrolujte adresu a bankovní účet odesílatele. Ve firemním prostředí se zaměřte na to, zda adresa souhlasí s formátem adres vašeho pracoviště.
• Při sebemenším podezření kontaktujte odesílatele zprávy přes jiný komunikační kanál, ideálně telefonicky, a ověřte si pravost zprávy.
• Při zjištění, že jde o podvod, o incidentu informujte kompetentní osoby či instituce.

Baiting

Baiting je formou podvodu, při které se útočníci zaměřují na lidskou přirozenost a zvědavost. Podvodná zpráva často obsahuje lákavou nabídku, odměnu, nebo něco zdarma. Jako velmi známý příklad může posloužit nabízení bezplatného softwaru, se kterým se do počítače dostane i malware, nabídka nečekané výhry či zisku nebo třeba nabídka zaručeně skvělého produktu, který je za velmi nízkou cenu nabízený pouze v této chvíli, protože jeho zásoby jsou omezené.

Kliknutím na odkaz nebo stažením přílohy či softwaru pak otevřete malwaru dveře do vašeho počítače. Cílem bývá získání přístupu do sítě či k citlivým informacím, případně přímý finanční zisk.

Baitingový útok ale může probíhat i jinak – pomocí flash disků. Zde útočníci zkouší čistě lidskou zvědavost. V okolí firmy či jiné instituce mohou pohodit flash disky s lákavými popisky, a pokud jen jediný zaměstnanec nalezený flash disk připojí k počítači, vnese si do něj malware.

Tento trik může být podle sociálního experimentu provedeného na univerzitě v Illinois až překvapivě účinný. V tomto případě rozházeli výzkumníci po kampusu této univerzity 297 flash disků s neškodným virem, který by je pouze informoval o tom, pokud by nalezený disk někdo připojil k počítači. Nalezeno bylo 98 % flash disků, přičemž až 48 % z nich bylo připojeno k počítači.

Jak se bránit

• Antivirový program nainstalovaný na počítačích mějte vždy aktualizován.
• Nevěřte lákavým nabídkám, které vypadají až příliš dobře na to, aby byly pravdivé.
• K počítači nikdy nepřipojujte neznámý flash disk, SD kartu či CD/DVD nosič, u kterého si nejste jisti jeho původem.
• Do firmy implementujte pravidelné simulace baitingových útoků a zaměstnance v tomto ohledu cvičte.

Shoulder surfing

Shoulder surfing je technika sociálního inženýrství, při které se útočník snaží ukrást citlivé údaje jejich odpozorováním přes rameno oběti, která používá mobil, telefon či tablet na veřejnosti. Docházet k němu může tedy kdykoli a kdekoli – například v kavárně, v knihovně, v autobusu nebo ve vlaku. Tímto způsobem mohou být odcizeny údaje například o kreditních kartách, hesla k účtům či PIN kódy kreditních karet.

Tato jednoduchá metoda tak může oběti přivodit závažné důsledky od vyprázdnění bankovního účtu přes neoprávněný přístup k jejím uživatelským účtům až po krádež identity.

Jak se bránit

• Používejte silná, dlouhá a unikátní hesla, která je velmi těžké odpozorovat.
• Používejte správce hesel, který zadá heslo na počítači sám bez nutnosti psát na klávesnici.
• Minimalizujte zadávání citlivých údajů do přenosných zařízení na veřejných místech.
• Pokud nelze jinak, zadávání citlivých údajů na veřejnosti se snažte alespoň zastínit tělem nebo rukou. Pokud máte notebook od HP, používejte na veřejnosti funkci HP Sure View.
• Pokud je to možné, používejte k přihlašování dvoufaktorové ověřování.

Tailgating

Při tailgatingu podvodníci neútočí online, nýbrž přímo fyzicky. Tato metoda se spoléhá na to, že ve velkých firmách se často zaměstnanci mezi sebou navzájem neznají. Při vstupu zaměstnance na pracoviště s omezeným přístupem pak útočník postupuje přímo za ním a snaží se dostat dovnitř – využít může buď zavírající se dveře nebo základní slušnost zaměstnance a podržení dveří, případně se může vydávat za kurýra nebo jinou osobu, která vypadá důvěryhodně. Jakmile podvod vyjde, na pracovišti s omezeným přístupem může útočník napáchat mnoho škod – může například instalovat malware do počítačů nebo krást data z nezabezpečených disků.

Jak se bránit

• Neznámé osoby nikdy nepouštějte na pracoviště. Jejich identitu a účel vstupu si vždy nejdříve prověřte.
• Identifikační karty či přístupové klíče pro pracoviště s omezeným přístupem nikdy nikomu nepůjčujte, a to ani vašim kolegům.
• Při ukládání citlivých dat vždy používejte šifrování disků.
• Zabezpečení citlivých dat v počítačích zvyšte zaheslováním složek i jednotlivých souborů.
• Pokud do vaší firmy vede množství různých vstupů, instalujte k nim kamerový systém.

Watering hole

Útok typu watering hole bývá důkladně promyšlený, připravovaný delší dobu a vysoce cílený. Běžný uživatel se s ním proto pravděpodobně vůbec nesetká, pro úplnost jej ale uvádíme také. V praxi jde o to, že útočník sbírá data o své oběti a snaží se zjistit, jaké stránky často navštěvuje. Poté malwarem infikuje samotné stránky a čeká na to, až je oběť navštíví.

Čekání si útočníci mohou zkrátit tím, že oběti zašlou e-mailové výzvy k nalákání na infikovaný web. Jakmile k návštěvě stránek dojde, malware ze stránek se dostane do počítače napadeného uživatele. Obrana před tímto typem útoků je velmi náročná. Vyžaduje pokročilá řešení pro ochranu před cílenými útoky i analýzu malware. Nastavené procesy pro kybernetickou bezpečnost pak musí být ve firmě pravidelně kontrolovány. Pokud monitoring zachytí průnik do systémů firmy, nejdůležitější je pak co nejrychlejší reakční čas a minimalizace škod.

Scareware

Scareware je forma útoku, která současně využívá strachu i naléhavosti. Nejčastěji se spouští návštěvou již infikovaných webových stránek. Cílem je zmanipulovat uživatele k tomu, aby malware do počítače sám stáhl.

V naprosté většině případů má tento útok podobu vyskakovacích oken či reklam, které zobrazují naléhavá varování o tom, že počítač uživatele byl infikován škodlivými viry. Zároveň nabízí velmi snadné a dostupné řešení - instalaci falešného antivirového programu.

Malware se ale nachází právě v něm a pokud tento software stáhnete, sami si ho nainstalujete do počítače. Typickou vlastností vyskakovacích oken obsahujících scareware je fakt, že nejdou snadno uzavřít a spouští se stále dokola.

Jak se bránit

• Používejte jen jeden pravidelně aktualizovaný antivirový program, a to od prověřených a známých poskytovatelů (více antivirů by vám jen zpomalovalo počítač).
• Neklikejte na podezřelé URL adresy ani na vyskakovací okna. Neznámé výzvy a reklamy zcela ignorujte.
• Pokud se přece otevřou, do vyskakovacích oken se scareware raději neklikejte a zavřete je vynuceným ukončením skrze Správce úloh.
• Po zavření spusťte kontrolu pomocí vašeho antiviru.

Trashing

Podvodníci se neštítí ničeho, proto jsou schopní získat informace i z vyhozeného smetí. Jedná se o techniku trashing. Tímto způsobem mohou získat nejčastěji osobní údaje. Zde je naštěstí obrana jednoduchá a spočívá v prevenci. Fyzické dokumenty s citlivými údaji před vyhozením ale nestačí pouze ručně roztrhat, musíte je skartovat. Z disků jsou pak třeba bezpečně smazat všechna data.

Další bezpečnostní zásady

Jak se mohou jednotlivci i organizace účinně bránit před jednotlivými metodami sociálního inženýrství jsme již popsali, na závěr ale ještě připojujeme pár obecných zásad, které by v tomto ohledu měla učinit každá firma:

• Pravidelně provádějte školení kybernetické bezpečnosti u všech vašich zaměstnanců.
• Používejte silná a dlouhá hesla.
• Zvažte implementaci vícefaktorového ověřování pro přístup k firemním účtům.
• Používejte bezpečnostní technologie, které včas zachytí phishingové zprávy a spam.
• Vytvořte srozumitelné návody pro všechny případy útoků, aby každý zaměstnanec věděl, jak má při setkání s konkrétním kybernetickým útokem postupovat.
• Zvažte implementaci komplexních bezpečnostních řešení a nástrojů pro správu k ochraně firemní Wi-Fi sítě i všech koncových zařízení (např. zabezpečení tiskáren).

Závěr

Kybernetický útok založený na sociálním inženýrství může přijít kdykoli a odkudkoli, proto musíte být obezřetní za všech okolností. Nejdůležitější je informovanost a prevence. Pokud si budete udržovat dobrý přehled o aktuálních hrozbách, dokážete je také včas rozpoznat. V opačném případě by následky pro firmy i jednotlivce mohly být zdrcující.