Co je to Sociální inženýrství? 11 příkladů, na které si dát pozor
Obsah
Co je vlastně sociální inženýrství?
Sociální inženýrství označuje akt manipulace s lidmi za účelem získání jejich důvěrných informací. Druh informací, které zločinci hledají, se může lišit. Obvykle jsou jednotlivci zaměřeni na své bankovní údaje nebo hesla k účtům. Zločinci se také pokoušejí získat přístup k počítači oběti, aby si nainstalovali škodlivý software. Tento software jim pak pomáhá extrahovat jakékoli informace, které mohou potřebovat.
Zločinci používají taktiku sociálního inženýrství, protože je často snadné zneužít osobu tím, že si získá jejich důvěru a přesvědčí ji, aby se vzdala svých osobních údajů. Je to pohodlnější způsob, než se přímo nabourat do něčího počítače bez jeho vědomí.
Příklady sociálního inženýrství
Budete se moci lépe chránit tím, že budete informováni o různých způsobech, kterými se sociální inženýrství provádí.
1. Předmluva
Pretexting se používá, když zločinec chce získat přístup k citlivým informacím od oběti pro provedení kritického úkolu. Útočník se snaží získat informace prostřednictvím několika pečlivě vytvořených lží.
Zločinec začíná tím, že si s obětí naváže důvěru. Toho lze dosáhnout vydáváním se za své přátele, kolegy, bankovní úředníky, policii nebo jiné orgány, které mohou žádat o takové citlivé informace. Útočník jim pokládá řadu otázek pod záminkou potvrzení jejich identity a v tomto procesu shromažďuje osobní údaje.
Tato metoda se používá k extrahování všech druhů osobních a úředních údajů od osoby. Tyto informace mohou zahrnovat osobní adresy, čísla sociálního zabezpečení, telefonní čísla, telefonní záznamy, bankovní údaje, data dovolené zaměstnanců, bezpečnostní informace týkající se podniků a tak dále.
2. Diverzní krádež
Jedná se o typ podvodu, který je obecně zaměřen na kurýrní a přepravní společnosti. Zločinec se snaží oklamat cílovou společnost tím, že ji přiměje poskytnout zásilku na jiné místo doručení, než bylo původně zamýšleno. Tato technika se používá ke krádeži cenného zboží, které je doručováno poštou.
Tento podvod může být proveden offline i online. Personál přenášející balíčky může být osloven a může být přesvědčen, aby dodávku odevzdal na jiném místě. Útočníci mohou také získat přístup k online doručovacímu systému. Poté mohou zachytit harmonogram dodávek a provést v něm změny.
3. Phishing
Phishing je jednou z nejpopulárnějších forem sociálního inženýrství. Phishingové podvody zahrnují e-mailové a textové zprávy, které mohou v obětech vyvolat pocit zvědavosti, strachu nebo naléhavosti. Text nebo e-mail je podněcuje ke kliknutí na odkazy, které by vedly na škodlivé webové stránky nebo přílohy, které by do jejich zařízení nainstalovaly malware.
Uživatelé online služby mohou například obdržet e-mail s prohlášením, že došlo ke změně zásad, která po nich vyžaduje okamžitou změnu hesla. E-mail bude obsahovat odkaz na nelegální webovou stránku, která je identická s původní webovou stránkou. Uživatel poté vloží své přihlašovací údaje k účtu na tento web, který bude považovat za legitimní. Po předložení jejich údajů budou informace přístupné zločinci.
4. Spear Phishing
Jedná se o typ phishingového podvodu, který je více zaměřen na konkrétního jednotlivce nebo organizaci. Útočník přizpůsobuje jejich zprávy na základě pracovních pozic, charakteristik a smluv souvisejících s obětí, takže mohou působit opravdověji. Spear phishing vyžaduje více úsilí ze strany zločince a může zabrat mnohem více času než běžný phishing. Jsou však hůře identifikovatelné a mají lepší úspěšnost.
Útočník, který se například pokusí o spear phishing na organizaci, odešle e-mail zaměstnanci, který se vydává za IT konzultanta firmy. E-mail bude orámován způsobem, který je přesně podobný tomu, jak to dělá konzultant. Bude působit dostatečně autenticky, aby příjemce oklamal. E-mail vyzve zaměstnance ke změně hesla tím, že mu poskytne odkaz na škodlivou webovou stránku, která zaznamená jeho informace a odešle je útočníkovi.
5. Vodní děrování
Podvod využívá důvěryhodné webové stránky, které pravidelně navštěvuje mnoho lidí. Zločinec bude shromažďovat informace o cílové skupině lidí, aby zjistil, které webové stránky často navštěvují. Tyto webové stránky budou poté testovány na zranitelnost. Postupem času se jeden nebo více členů této skupiny nakazí. Útočník pak bude mít přístup k zabezpečenému systému těchto infikovaných uživatelů.
Název pochází z analogie, jak zvířata pijí vodu tím, že se shromažďují na svých důvěryhodných místech, když mají žízeň. O preventivních opatřeních nepřemýšlejí. Predátoři si to uvědomují, a tak čekají poblíž, připraveni na ně zaútočit, až bude jejich stráž dole. Zahánění v digitální krajině lze využít k provedení některých z nejničivějších útoků na skupinu zranitelných uživatelů současně.
6. Vnadění
Jak je zřejmé z názvu, návnada zahrnuje použití falešného slibu k vyvolání zvědavosti nebo chamtivosti oběti. Oběť je nalákána do digitální pasti, která zločinci pomůže ukrást jejich osobní údaje nebo nainstalovat malware do jejich systémů.
Návnada může probíhat prostřednictvím online i offline médií. Jako offline příklad může zločinec zanechat návnadu ve formě flash disku, který byl infikován malwarem na viditelných místech. Může to být výtah, koupelna, parkoviště atd. cílové společnosti. Flash disk bude mít autentický vzhled, díky čemuž jej oběť vezme a vloží do svého pracovního nebo domácího počítače. Flash disk pak automaticky exportuje malware do systému.
Online formy návnady mohou mít podobu atraktivních a lákavých reklam, které povzbudí oběti, aby na ně klikly. Odkaz může stáhnout škodlivé programy, které pak infikují jejich počítač malwarem.
7. Quid Pro Quo
Útok quid pro quo znamená útok „něco za něco“. Je to variace techniky vnadění. Namísto návnady obětí příslibem výhody slibuje útok quid pro quo službu, pokud byla provedena konkrétní akce. Útočník nabízí oběti falešnou výhodu výměnou za přístup nebo informace.
Nejběžnější formou tohoto útoku je, když se zločinec vydává za IT pracovníky společnosti. Zločinec pak kontaktuje zaměstnance firmy a nabídne jim nový software nebo upgrade systému. Zaměstnanec bude poté požádán, aby deaktivoval svůj antivirový software nebo nainstaloval škodlivý software, pokud bude chtít upgrade.
8. Tailgating
Útok tailgating je také nazýván piggybacking. Zahrnuje zločince, který usiluje o vstup do omezeného místa, které nemá řádná autentizační opatření. Zločinec může získat přístup tak, že vejde za jinou osobou, která má oprávnění vstoupit do oblasti.
Zločinec se může například vydávat za řidiče dodávky, který má plné ruce balíků. Čeká, až do dveří vstoupí pověřený pracovník. Podvodný doručovatel pak požádá zaměstnance, aby mu podržel dveře, čímž mu umožní přístup bez jakéhokoli oprávnění.
9. Past na med
Tento trik spočívá v tom, že zločinec předstírá online atraktivní osobu. Osoba se spřátelí se svými cíli a předstírá s nimi online vztah. Zločinec pak využívá tohoto vztahu k získávání osobních údajů svých obětí, půjčování peněz od nich nebo k instalaci malwaru do jejich počítačů.
Název 'honeytrap' pochází ze staré špionážní taktiky, kdy byly ženy používány k cílení na muže.
10. Darebák
Nepoctivý software se může objevit ve formě nepoctivého anti-malwaru, nepoctivého skeneru, nepoctivého scarewaru, anti-spywaru a tak dále. Tento typ počítačového malwaru klame uživatele, aby zaplatili za simulovaný nebo falešný software, který sliboval odstranění malwaru. Rogue bezpečnostní software se v posledních letech stává stále větším problémem. Nic netušící uživatel se může snadno stát obětí takového softwaru, kterého je k dispozici spousta.
11. Malware
Cílem malwarového útoku je přimět oběť k instalaci malwaru do jejich systémů. Útočník manipuluje s lidskými emocemi tak, aby oběť vpustila malware do svých počítačů. Tato technika zahrnuje použití rychlých zpráv, textových zpráv, sociálních médií, e-mailu atd. k odesílání phishingových zpráv. Tyto zprávy přimějí oběť, aby klikla na odkaz, který otevře webovou stránku obsahující malware.
Pro zprávy se často používají strašící taktiky. Mohli by říci, že s vaším účtem není něco v pořádku a že musíte okamžitě kliknout na uvedený odkaz a přihlásit se ke svému účtu. Odkaz vás pak přiměje stáhnout si soubor, jehož prostřednictvím se malware nainstaluje do vašeho počítače.
Buďte opatrní, zůstaňte v bezpečí
Udržovat si informace je prvním krokem k ochraně před útoky sociálního inženýrství. Základním tipem je ignorovat všechny zprávy požadující vaše heslo nebo finanční údaje. K označení takových e-mailů můžete použít spamové filtry, které jsou součástí vašich e-mailových služeb. Získání důvěryhodného antivirového softwaru také pomůže dále zabezpečit váš systém.
