Jak Gymnázium Stříbro vyřešilo tisk
Gymnázium se rozhodlo podívat na tisk jinak. Místo pořizovací ceny zařízení se zaměřilo na celkové náklady provozu, bezpečnost dokumentů a jednoduchost správy. Číst celý článek
Sociální inženýrství jako netechnická forma útoku využívá slabiny lidské psychiky. Existuje přitom mnoho metod, které se pod tento termín dají zařadit - od triků postavených na nepozornosti uživatele přes manipulace až po využívání lidské důvěřivosti. Tento článek rozkrývá nejčastější typy sociálního inženýrství a nabízí strategie, jak se jim účinně bránit.
Sociální inženýrství (social engineering) je forma útoku, který míří na ten nejslabší článek v řetězci jakéhokoli zabezpečení – člověka. A protože jednání lidí je ve velké míře ovlivňováno jejich emocemi, tento útok se snaží v oběti vzbudit právě pozitivní nebo negativní pocity. Nejčastěji jde o soucit, zvědavost, stud nebo strach. Útočníci poté spoléhají na to, že pod návalem takových emocí u jejich obětí dojde k chybě v úsudku, která je přinutí provést určitou konkrétní činnost, kterou by za normálních okolností neudělali.
Ve zkratce proto můžeme sociální inženýrství definovat jako podvod založený na psychologické manipulaci, jehož hlavním cílem je vylákat z uživatele citlivé osobní či platební informace. Je totiž mnohem snazší oklamat samotného uživatele a získat tak přístupové údaje, než složitě obcházet zabezpečení počítače.
V praxi to pak vypadá tak, že oklamaný člověk důvěřuje falešné informaci, která mu byla podána prostřednictvím e-mailu, hovoru nebo SMS zprávy, a kvůli tomu poté začne jednat podle předem promyšlených instrukcí, které mu útočník při tomto kontaktu sdělí. Tyto instrukce nejčastěji zahrnují kliknutí na odkaz, stažení přílohy nebo softwaru do počítače či přímý převod určitého finančního obnosu.
Představte si situaci, kdy pracujete u počítače, když vám přijde žádost o videohovor od vašeho nadřízeného. Následně jej skutečně uvidíte na obrazovce, kde vám šéf představí právníka, který na vás má pár požadavků. Ten začne zjišťovat určitou citlivou informaci o firmě.
Tento případ se skutečně stal - s pomocí deep fake technologie se za majitele GymBeam vydával podvodník. Záchranou v tu chvíli bylo, že falešný nadřízený prohlásil, že je na dovolené, i když ten skutečný byl v kancelářích firmy. Díky tomu zaměstnanec pochopil, že něco nesedí a rovnou kontaktoval šéfa přes jiný kanál, aby zjistil, co to má znamenat.
Hlavní riziko spočívá v tom, že v technikách sociálního inženýrství hraje vždy hlavní roli lidský faktor. Firmy sice mohou investovat množství peněz do IT zabezpečení, to ale bude vždy jen tak silné jako jeho nejslabší článek, kterým jsou bezpochyby zaměstnanci. Jejich chyby je totiž mnohem náročnější předvídat a předcházet jim.
Pokud k nim opravdu dojde, navazují na to další závažná rizika v závislosti na cílech konkrétního útočníka. V takovýchto chvílích nejčastěji hrozí:
Z toho si můžete snadno odvodit, že pozdější důsledky pro jednotlivce i organizace mohou být zdrcující. Jako příklad můžeme uvést ztrátu kontroly nad firemními systémy, zavirované počítače, prázdné bankovní účty, zašifrování důležitých firemních dat nebo jejich úplnou ztrátu.
Firemní údaje citlivé povahy jsou pro útočníky velmi cenným artiklem. Jako prevenci jejich ztráty byste proto neměli opomenout pečlivé zálohování všech dat.
Ze Zprávy o stavu kybernetické bezpečnosti ČR za rok 2022 od NÚKIB vyplývá, že sociální inženýrství je všudypřítomnou a narůstající hrozbou. Mezi nejčastější typy kybernetických útoků za rok 2022 totiž patřil phishing, spear phishing, vishing a podvodné e-maily, což jsou vesměs různé techniky sociálního inženýrství. Ze zprávy je také patrné, že nejčastěji útočníci cílili na veřejný sektor, zdravotnictví a soukromý sektor.
Národní index kybernetické bezpečnosti, který měří připravenost různých zemí předcházet kybernetickým hrozbám i jejich schopnost zvládat již vzniklé kybernetické incidenty, je sice pro Česko velmi lichotivý, jelikož jsme se skóre 98.33 aktuálně nejbezpečnější ze všech měřených zemí, přesto ale musíme být na reálnou hrozbu v podobě sociálního inženýrství připraveni a chovat se ostražitě. Nejdůležitější je v tomto případě informovanost, proto se teď na ty nejčastější nekalé techniky podíváme detailněji.
Nejrozšířenější a nejpoužívanější technikou sociálního inženýrství je jednoznačně phishing a jeho odnože v podobě spear phishingu, vishingu, smishingu, page hijackingu či poměrně nově také quishingu (v tomto případě obsahuje e-mail podvodný QR kód, který vás přesměruje na podvrženou stránku). Jelikož jsme se však tématu phishingu a jeho rozpoznávání i prevence dopodrobna věnovali už v minulosti, v tomto článku přejdeme rovnou na ostatní techniky sociálního inženýrství, které jsou mezi útočníky velmi oblíbené.
Mezi technikou blaggingu a phishingu najdeme určité podobnosti. Pokud bychom tyto 2 různé techniky sociálního inženýrství chtěli odlišit, pak je pro blagging typické vydávání se za někoho jiného. Phishing tento postup může, ale nutně nemusí zahrnovat.
Blagging může probíhat prostřednictvím nejrůznějších kanálů – například e-mailem, SMS zprávou či dokonce osobně. V online prostředí je jeho typickým prvkem snaha o zmanipulování oběti pomocí vykonstruovaného, poutavého a naléhavého příběhu.
Nejčastějším požadavkem podvodníků v těchto zprávách bývá požadavek na převod určité finanční částky, cílem blaggingového útoku ale může být také vyzrazení citlivých informací. V praxi to může vypadat tak, že vám od zdánlivé blízké osoby, kolegy či kamaráda přijde e-mail s naléhavou žádostí o finanční pomoc, protože pisatel zprávy se ocitl v nesnázích.
Ve firemním prostředí pak blaggingové zprávy nejčastěji cílí na zaměstnance spravující finanční prostředky a platební transakce organizace. Pocházejí od zdánlivého nadřízeného či firemního partnera a požadují provedení určité platební transakce.
Blagging při osobním kontaktu by ale logicky tímto způsobem nefungoval. V takovém případě proto podvod probíhá jinak – osoba se může vydávat za doručovatele nebo opraváře, přičemž účelem takového jednání je fyzicky se dostat na pracoviště nebo získat informace po telefonu. Blagging tedy může mít mnoho podob, a proto je tak nebezpečný.
Baiting je formou podvodu, při které se útočníci zaměřují na lidskou přirozenost a zvědavost. Podvodná zpráva často obsahuje lákavou nabídku, odměnu, nebo něco zdarma. Jako velmi známý příklad může posloužit nabízení bezplatného softwaru, se kterým se do počítače dostane i malware, nabídka nečekané výhry či zisku nebo třeba nabídka zaručeně skvělého produktu, který je za velmi nízkou cenu nabízený pouze v této chvíli, protože jeho zásoby jsou omezené.
Kliknutím na odkaz nebo stažením přílohy či softwaru pak otevřete malwaru dveře do vašeho počítače. Cílem bývá získání přístupu do sítě či k citlivým informacím, případně přímý finanční zisk.
Baitingový útok ale může probíhat i jinak – pomocí flash disků. Zde útočníci zkouší čistě lidskou zvědavost. V okolí firmy či jiné instituce mohou pohodit flash disky s lákavými popisky, a pokud jen jediný zaměstnanec nalezený flash disk připojí k počítači, vnese si do něj malware.
Tento trik může být podle sociálního experimentu provedeného na univerzitě v Illinois až překvapivě účinný. V tomto případě rozházeli výzkumníci po kampusu této univerzity 297 flash disků s neškodným virem, který by je pouze informoval o tom, pokud by nalezený disk někdo připojil k počítači. Nalezeno bylo 98 % flash disků, přičemž až 48 % z nich bylo připojeno k počítači.
Shoulder surfing je technika sociálního inženýrství, při které se útočník snaží ukrást citlivé údaje jejich odpozorováním přes rameno oběti, která používá mobil, telefon či tablet na veřejnosti. Docházet k němu může tedy kdykoli a kdekoli – například v kavárně, v knihovně, v autobusu nebo ve vlaku. Tímto způsobem mohou být odcizeny údaje například o kreditních kartách, hesla k účtům či PIN kódy kreditních karet.
Tato jednoduchá metoda tak může oběti přivodit závažné důsledky od vyprázdnění bankovního účtu přes neoprávněný přístup k jejím uživatelským účtům až po krádež identity.
Při tailgatingu podvodníci neútočí online, nýbrž přímo fyzicky. Tato metoda se spoléhá na to, že ve velkých firmách se často zaměstnanci mezi sebou navzájem neznají. Při vstupu zaměstnance na pracoviště s omezeným přístupem pak útočník postupuje přímo za ním a snaží se dostat dovnitř – využít může buď zavírající se dveře nebo základní slušnost zaměstnance a podržení dveří, případně se může vydávat za kurýra nebo jinou osobu, která vypadá důvěryhodně. Jakmile podvod vyjde, na pracovišti s omezeným přístupem může útočník napáchat mnoho škod – může například instalovat malware do počítačů nebo krást data z nezabezpečených disků.
Útok typu watering hole bývá důkladně promyšlený, připravovaný delší dobu a vysoce cílený. Běžný uživatel se s ním proto pravděpodobně vůbec nesetká, pro úplnost jej ale uvádíme také. V praxi jde o to, že útočník sbírá data o své oběti a snaží se zjistit, jaké stránky často navštěvuje. Poté malwarem infikuje samotné stránky a čeká na to, až je oběť navštíví.
Čekání si útočníci mohou zkrátit tím, že oběti zašlou e-mailové výzvy k nalákání na infikovaný web. Jakmile k návštěvě stránek dojde, malware ze stránek se dostane do počítače napadeného uživatele. Obrana před tímto typem útoků je velmi náročná. Vyžaduje pokročilá řešení pro ochranu před cílenými útoky i analýzu malware. Nastavené procesy pro kybernetickou bezpečnost pak musí být ve firmě pravidelně kontrolovány. Pokud monitoring zachytí průnik do systémů firmy, nejdůležitější je pak co nejrychlejší reakční čas a minimalizace škod.
Scareware je forma útoku, která současně využívá strachu i naléhavosti. Nejčastěji se spouští návštěvou již infikovaných webových stránek. Cílem je zmanipulovat uživatele k tomu, aby malware do počítače sám stáhl.
V naprosté většině případů má tento útok podobu vyskakovacích oken či reklam, které zobrazují naléhavá varování o tom, že počítač uživatele byl infikován škodlivými viry. Typickou vlastností takových oken obsahujících scareware je fakt, že nejdou snadno uzavřít a spouští se stále dokola.
Zároveň nabízí velmi snadné a dostupné řešení - instalaci falešného antivirového programu. Malware se ale nachází právě v něm a pokud tento software stáhnete, sami si ho nainstalujete do počítače. Případně se Vám ozve někdo z údajné technické podpory s tím, že vás přes vzdálenou plochu viru zbaví (ve skutečnosti vám ho tam nainstaluje).
Podvodníci se neštítí ničeho, proto jsou schopní získat informace i z vyhozeného smetí. Jedná se o techniku trashing. Tímto způsobem mohou získat nejčastěji osobní údaje. Zde je naštěstí obrana jednoduchá a spočívá v prevenci. Fyzické dokumenty s citlivými údaji před vyhozením ale nestačí pouze ručně roztrhat, musíte je skartovat. Z disků jsou pak třeba bezpečně smazat všechna data.
Jak se mohou jednotlivci i organizace účinně bránit před jednotlivými metodami sociálního inženýrství jsme již popsali, na závěr ale ještě připojujeme pár obecných zásad, které by v tomto ohledu měla učinit každá firma:
Kybernetický útok založený na sociálním inženýrství může přijít kdykoli a odkudkoli, proto musíte být obezřetní za všech okolností. Nejdůležitější je informovanost a prevence. Pokud si budete udržovat dobrý přehled o aktuálních hrozbách, dokážete je také včas rozpoznat. V opačném případě by následky pro firmy i jednotlivce mohly být zdrcující.
Autor článku
Vystudoval Informační management na VUT v Brně a v současnosti pokračuje ve vzdělávání studiem MBA programu Management a kybernetická bezpečnost na CEVRO univerzitě. Baví ho technologie, modernizace a to, že může být součástí projektů, které firmu posouvají dál.
Gymnázium se rozhodlo podívat na tisk jinak. Místo pořizovací ceny zařízení se zaměřilo na celkové náklady provozu, bezpečnost dokumentů a jednoduchost správy. Číst celý článek
Sestavení vlastního počítače vám dává možnost přizpůsobit výkon, výbavu i rozpočet přesně vašim potřebám. Přestože může montáž jednotlivých komponent na první pohled působit složitě, při dodržení správného postupu ji zvládne i začátečník. Číst celý článek
Fotografie, dokumenty, hesla i firemní komunikace dnes ukládáme do počítačů, telefonů a cloudových služeb. Jak ale zajistit, aby se k citlivým datům nedostal nikdo nepovolaný, ani když zařízení ztratíte nebo dojde k úniku dat? Řešením je šifrování. Číst celý článek
VPN připojení dnes patří mezi základní nástroje kybernetické bezpečnosti. Umožňuje bezpečně přistupovat k firemním systémům na dálku, chrání citlivá data při práci mimo kancelář a snižuje rizika spojená s používáním veřejných či nedostatečně zabezpečených sítí. Číst celý článek
Barvy, kontrast i jemné detaily mohou na různých monitorech vypadat překvapivě odlišně. Zatímco běžný displej často stačí pro kancelářskou práci nebo sledování videí, při úpravě fotografií, grafice či tvorbě tiskových podkladů už nedostačuje. Číst celý článek
Celní orgány v České republice v průběhu let 2025 a 2026 zabavily přibližně 7 200 padělaných tonerových kazet pro laserové tiskárny HP. Kazety mířily na evropský trh a mohly skončit i ve vaší tiskárně. Jak se to stalo, proč je to nebezpečné a jak se chránit? Číst celý článek