Sociálne inžinierstvo: crackeri v oblekoch

Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt...

Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt.

Usadili ho v konferenčnej miestnosti a priviedli projektantov aj manažérov. Spoločnosť v tom čase už 14 mesiacov pracovala na jedinečnom projekte a ich najväčší konkurent výrazne zaostával. Konzultant vzal do ruky projekty výrobku a so slovami: „Budem v najbližších dňoch trocha pracovať doma“, si ich zasunul do kufríka. Ekonómov sa opýtal, koľko bude stáť výroba a kto dodá potrebné komponenty, od ľudí z marketingu zistil, kedy má byť produkt uvedený na trh a ako bude vyzerať. Po pár hodinách všetkým srdečne potriasol rukami, poďakoval sa a vyšiel z budovy. O pár dní neskôr spoločnosť zistila, že „konzultanta“ si najal ich najväčší konkurent. Konkurent priniesol výrobok na trh ako prvý.

Skutočná udalosť, o ktorej informoval internetový mesačník Computer Security Alert, je typickým príkladom sociálneho inžinierstva – metódy prieniku do systémov s využitím psychologických trikov namiesto technických prostriedkov.

Lacný prienik do drahých systémov

Ciele „sociálnych inžinierov“ sú rovnaké, ako ciele crackerov, ktorí pracujú technickými prostriedkami: získanie prístupu k cudziemu systému, priemyselná špionáž, finančný podvod alebo krádež identity s cieľom získať možnosť vystupovať v mene niekoho iného.

Obeťou sociálneho inžinierstva nemusí byť len firma, ktorá omylom odoslala svoje dokumenty konkurencii, ale aj bežný občan, ktorý prišiel o financie, pretože pri vyberaní peňazí z bankomatu niekto odpozeral jeho PIN.

Elegancia sociálneho inžinierstva spočíva práve v jednoduchosti jeho techník – namiesto hľadania bezpečnostnej diery v počítačovom systéme stačí v mnohých firmách jednoducho vojsť do budovy, na vrátnici nahlásiť falošné meno, prejsť sa kanceláriami a prečítať si vstupné heslo do systému z lístočkov, ktoré si zamestnanci s obľubou nalepujú priamo na monitory.

Výhodou je, že kým na prienik do systému „tradičnou“ technickou metódou je zväčša nutné, aby administrátor systému zanedbal svoje povinnosti, na začiatok úspešného prieniku sociálnym inžinierstvom stačí, ak nie je v strehu ktorýkoľvek radový zamestnanec. Pochopiteľne, obe metódy sa často kombinujú: sociálnym inžinierstvom sa získa základný prístup do počítačovej siete a dielo je potom dokonané z bezpečia domova cez internet.

Útočník je sexy

Sociálne inžinierstvo vyžaduje od útočníka najmä odvahu, empatiu, herecké schopnosti a schopnosť využiť tradičné ľudské vlastnosti vo svoj prospech. Typicky ide najmä o márnomyseľnosť, radosť z možnosti pomôcť iným a zároveň tendenciu dôverovať kolegom a snahu nadbiehať nadriadeným.

Sociálne inžinierstvo prebieha najčastejšie cez telefón, kde je najjednoduchšie prebrať na seba zvolenú úlohou. Najpoužívanejšou rolou crackera je „autorita“ alebo „zamestnanec dôveryhodnej partnerskej firmy“. „Tu je Milan Petráš, marketingový riaditeľ. Kolega, potrebujem od vás jednu láskavosť: technici odišli na obed a ja sa neviem dostať do svojho počítača…“ Alebo iný variant: „Tu je Zuzana Andrejčáková, asistentka generálneho riaditeľa,“ predstaví sa útočníčka skutočným menom asistentky vášho šéfa. „Sme práve na dôležitom rokovaní mimo Bratislavy a ja som zabudla v kancelárii finančný plán – mohli by ste mi ho, prosím, odfaxovať…“

V prípade osobného kontaktu určite nebude crackerom vychudnutý čudák s hrubým rámom okuliarov, ale skôr vysoká blondínka s koketným hlasom a poodhaleným poprsím. „Len včera som nastúpila a neviem, kde mám nájsť všetky tie dokumenty…“

Okrem „hlúpeho používateľa v problémoch“ je obľúbenou rolou aj opravár či pracovník technickej podpory alebo konzultant z renomovanej spoločnosti.

Nedôveruj a preveruj

Proti sociálnemu inžinierstvu neexistuje jednoduchá obrana. Bez dôvery medzi zamestnancami by totiž nemohli podniky fungovať a s kolegami, ktorí vám nikdy nie sú ochotní pomôcť, by bola práca v kancelárii neznesiteľná. Sociálny inžinier od vás nikdy nežiada priveľa informácií naraz, mozaiku o vašej firme si skladá po častiach, z drobných informácií získaných od rôznych ľudí. Prezradiť ho však môžu detaily – napríklad keď nazve vášho dovolenkujúceho kolegu Jozef, hoci všetci známi ho volajú Dodo. Jediným spôsobom, ako predchádzať sociálnym útokom, je systematické vzdelávanie a informovanie zamestnancov o takýchto hrozbách.

Ak ste vedúci pracovník a zaujímalo by vás, ako je vaša firma náchylná podľahnúť útoku sociálnych inžinierov, je dobré položiť si aj takúto otázku: „Ak by mi podriadený, ktorého osobne nepoznám, cez telefón odmietol prezradiť dôležitú informáciu, ktorú naliehavo potrebujem – potrestal by som ho alebo pochválil?“

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

EKONOMIKA

Fico pridáva zamestnancom, zaplatia to firmy. Pozrite sa, aké výhody majú ľudia získať

Príplatky za cestovanie za prácou či vyššia minimálna mzda.

DOMOV

Hladiny riek stúpajú, problémy majú na Kysuciach aj v Liptove

Tretí povodňový stupeň platí vo viacerých obciach.

Neprehliadnite tiež

Vypočítali, ako sa dá cestovať v čase, ale stroj postaviť nevedia

Nový výskum navrhuje matematický model, ktorý umožňuje cestovanie v čase.

Na Marse by ľudia mohli bývať v domčekoch z červených tehál

Inžinieri našli spôsob, ako z červenej pôdy Marsu vyrábať odolné tehly.

Dnes nie miláčik, som mŕtva. Keď sa vážky nechcú páriť, predstierajú smrť

Aeshna juncea sa v čase kladenia vajíčok musia brániť pred otravnými samčekmi.

TECH_FM

Húsenicu naučili žrať plast, môže to priniesť revolúciu

Vedci náhodou našli húsenicu, ktorá sa dokáže živiť polyetylénom.

Inzercia - Tlačové správy


  1. Ako sa menila obľúbená bratislavská štvrť
  2. Najvyššie ocenenie štvrtýkrát pre Martinus
  3. Šokujúce: ako sa každý Slovák dokáže ľahko naučiť po anglicky
  4. Last minute tipy na Kapverdské ostrovy
  5. Voda, kotol, vymknutie: Čo stoja najčastejšie domáce katastrofy?
  6. Žijú, lebo sa nevzdali. Príbehy ľudí bojujúcich za svoje zdravie
  7. Nový Volkswagen Arteon sa predstaví na bratislavskom autosalóne
  8. Last minute dovolenka sa dá kupiť výhodne už teraz
  9. Legendárna Štefánka opäť ožíva pod sieťou Pulitzer family
  10. Päť tipov, kam na predĺžený víkend v máji
  1. Ako efektívne využiť podlahové kúrenie?
  2. Samsung Galaxy S8: smartfón s výnimočným displejom
  3. Túžite byť matkou, ale nedarí sa? Poďme hľadať dôvody!
  4. Last minute tipy na Kapverdské ostrovy
  5. Ako sa menila obľúbená bratislavská štvrť
  6. Podľa M. Borguľu je práca mestskej polície slabá a nedôsledná
  7. Znížená sadzba pri pôžičke v mBank už len štyri dni
  8. Odborníci poradia, komu sa oplatí využívať obnoviteľné zdroje
  9. Katarína (28): Z bývania na Nobelovej mám dobrý pocit
  10. Šokujúce: ako sa každý Slovák dokáže ľahko naučiť po anglicky
  1. Žijú, lebo sa nevzdali. Príbehy ľudí bojujúcich za svoje zdravie 7 539
  2. Šokujúce: ako sa každý Slovák dokáže ľahko naučiť po anglicky 6 303
  3. Last minute dovolenka sa dá kupiť výhodne už teraz 6 215
  4. Päť tipov, kam na predĺžený víkend v máji 6 136
  5. Nový Volkswagen Arteon sa predstaví na bratislavskom autosalóne 6 034
  6. Legendárna Štefánka opäť ožíva pod sieťou Pulitzer family 5 621
  7. Voda, kotol, vymknutie: Čo stoja najčastejšie domáce katastrofy? 4 682
  8. 5 krokov k vlastnému bývaniu 4 192
  9. Last minute tipy na Kapverdské ostrovy 3 759
  10. Nové auto alebo radšej jazdenka? 9 rád pre správne rozhodnutie 2 799

Už ste čítali?

Domov NajnovšieNajčítanejšieDesktop