Sociálne inžinierstvo: crackeri v oblekoch

Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt...

Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt.

Usadili ho v konferenčnej miestnosti a priviedli projektantov aj manažérov. Spoločnosť v tom čase už 14 mesiacov pracovala na jedinečnom projekte a ich najväčší konkurent výrazne zaostával. Konzultant vzal do ruky projekty výrobku a so slovami: „Budem v najbližších dňoch trocha pracovať doma“, si ich zasunul do kufríka. Ekonómov sa opýtal, koľko bude stáť výroba a kto dodá potrebné komponenty, od ľudí z marketingu zistil, kedy má byť produkt uvedený na trh a ako bude vyzerať. Po pár hodinách všetkým srdečne potriasol rukami, poďakoval sa a vyšiel z budovy. O pár dní neskôr spoločnosť zistila, že „konzultanta“ si najal ich najväčší konkurent. Konkurent priniesol výrobok na trh ako prvý.

Skutočná udalosť, o ktorej informoval internetový mesačník Computer Security Alert, je typickým príkladom sociálneho inžinierstva – metódy prieniku do systémov s využitím psychologických trikov namiesto technických prostriedkov.

Lacný prienik do drahých systémov

Ciele „sociálnych inžinierov“ sú rovnaké, ako ciele crackerov, ktorí pracujú technickými prostriedkami: získanie prístupu k cudziemu systému, priemyselná špionáž, finančný podvod alebo krádež identity s cieľom získať možnosť vystupovať v mene niekoho iného.

Obeťou sociálneho inžinierstva nemusí byť len firma, ktorá omylom odoslala svoje dokumenty konkurencii, ale aj bežný občan, ktorý prišiel o financie, pretože pri vyberaní peňazí z bankomatu niekto odpozeral jeho PIN.

Elegancia sociálneho inžinierstva spočíva práve v jednoduchosti jeho techník – namiesto hľadania bezpečnostnej diery v počítačovom systéme stačí v mnohých firmách jednoducho vojsť do budovy, na vrátnici nahlásiť falošné meno, prejsť sa kanceláriami a prečítať si vstupné heslo do systému z lístočkov, ktoré si zamestnanci s obľubou nalepujú priamo na monitory.

Výhodou je, že kým na prienik do systému „tradičnou“ technickou metódou je zväčša nutné, aby administrátor systému zanedbal svoje povinnosti, na začiatok úspešného prieniku sociálnym inžinierstvom stačí, ak nie je v strehu ktorýkoľvek radový zamestnanec. Pochopiteľne, obe metódy sa často kombinujú: sociálnym inžinierstvom sa získa základný prístup do počítačovej siete a dielo je potom dokonané z bezpečia domova cez internet.

Útočník je sexy

Sociálne inžinierstvo vyžaduje od útočníka najmä odvahu, empatiu, herecké schopnosti a schopnosť využiť tradičné ľudské vlastnosti vo svoj prospech. Typicky ide najmä o márnomyseľnosť, radosť z možnosti pomôcť iným a zároveň tendenciu dôverovať kolegom a snahu nadbiehať nadriadeným.

Sociálne inžinierstvo prebieha najčastejšie cez telefón, kde je najjednoduchšie prebrať na seba zvolenú úlohou. Najpoužívanejšou rolou crackera je „autorita“ alebo „zamestnanec dôveryhodnej partnerskej firmy“. „Tu je Milan Petráš, marketingový riaditeľ. Kolega, potrebujem od vás jednu láskavosť: technici odišli na obed a ja sa neviem dostať do svojho počítača…“ Alebo iný variant: „Tu je Zuzana Andrejčáková, asistentka generálneho riaditeľa,“ predstaví sa útočníčka skutočným menom asistentky vášho šéfa. „Sme práve na dôležitom rokovaní mimo Bratislavy a ja som zabudla v kancelárii finančný plán – mohli by ste mi ho, prosím, odfaxovať…“

V prípade osobného kontaktu určite nebude crackerom vychudnutý čudák s hrubým rámom okuliarov, ale skôr vysoká blondínka s koketným hlasom a poodhaleným poprsím. „Len včera som nastúpila a neviem, kde mám nájsť všetky tie dokumenty…“

Okrem „hlúpeho používateľa v problémoch“ je obľúbenou rolou aj opravár či pracovník technickej podpory alebo konzultant z renomovanej spoločnosti.

Nedôveruj a preveruj

Proti sociálnemu inžinierstvu neexistuje jednoduchá obrana. Bez dôvery medzi zamestnancami by totiž nemohli podniky fungovať a s kolegami, ktorí vám nikdy nie sú ochotní pomôcť, by bola práca v kancelárii neznesiteľná. Sociálny inžinier od vás nikdy nežiada priveľa informácií naraz, mozaiku o vašej firme si skladá po častiach, z drobných informácií získaných od rôznych ľudí. Prezradiť ho však môžu detaily – napríklad keď nazve vášho dovolenkujúceho kolegu Jozef, hoci všetci známi ho volajú Dodo. Jediným spôsobom, ako predchádzať sociálnym útokom, je systematické vzdelávanie a informovanie zamestnancov o takýchto hrozbách.

Ak ste vedúci pracovník a zaujímalo by vás, ako je vaša firma náchylná podľahnúť útoku sociálnych inžinierov, je dobré položiť si aj takúto otázku: „Ak by mi podriadený, ktorého osobne nepoznám, cez telefón odmietol prezradiť dôležitú informáciu, ktorú naliehavo potrebujem – potrestal by som ho alebo pochválil?“

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

SVET

Vitajte vo Wakaliwoode. Afrika má Chucka Norrisa a točí filmy, ako nik iný

Ugandský režisér točí legendárne kung-fu komédie. V Afrike a takmer zadarmo.

AUTO

Čo robiť, keď zastanete v kolóne na diaľnici

Nevystupujte z auta a nezaťahujte ručnú brzdu.

Neprehliadnite tiež

Test: Vyskúšali sme Nokie s Androidom, zaujmú hlavne cenou

Znovuzrodená značka začína opatrne, modely Nokia 3 a 5 patria do rúk menej náročným.

Google ponúkne v mobilnom vyhľadávači obsah, zahrá sa na Facebook

Ak si chcete čosi prečítať, nemusíte hľadať. Google sa pozrie do histórie vašich záujmov.

Banky začnú v mobiloch snímať dúhovky

Pozriete sa do mobilu a máte prístup k účtu. Biometria nahradí zdĺhavé heslá a kódy.

Inzercia - Tlačové správy


  1. Dobrý internet v meste i na vidieku. Dostupný je takmer všade
  2. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku
  3. Volkswagen Golf: Odpoveď na takmer všetky otázky
  4. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou
  5. Investícia do dlhopisov s fixným výnosom 6,25 - 7,25 % p.a.
  6. I cez prázdniny testujte elektrobicykle
  7. 5 dôvodov, prečo sa prihlásiť na konferenciu ENERGOFÓRUM®
  8. V meste či mimo mesta, stále s kvalitným internetom
  9. Máte už vybranú dovolenku na júl?
  10. Chcete vedieť všetko o vašej krvi? Čaká vás 6000 typov vyšetrení
  1. Funguje predaj realít aj bez maklérov?
  2. BILLA a ÚNSS skontrolovali zrak 10 380 slovenským deťom
  3. Dobrý internet v meste i na vidieku. Dostupný je takmer všade
  4. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku
  5. Borguľa žiada vyrúbenie dane pre americkú ambasádu
  6. Stanovisko Klubu pre BA k mimoriadnemu rokovaniu zastupiteľstva
  7. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou
  8. Volkswagen Golf: Odpoveď na takmer všetky otázky
  9. Investícia do dlhopisov s fixným výnosom 6,25 - 7,25 % p.a.
  10. Ako zariadiť malú kúpeľňu?
  1. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou 9 149
  2. Volkswagen Golf: Odpoveď na takmer všetky otázky 8 044
  3. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku 2 829
  4. Dobrý internet v meste i na vidieku. Dostupný je takmer všade 2 625
  5. Chcete vedieť všetko o vašej krvi? Čaká vás 6000 typov vyšetrení 2 479
  6. I cez prázdniny testujte elektrobicykle 2 237
  7. Máte už vybranú dovolenku na júl? 1 693
  8. V meste či mimo mesta, stále s kvalitným internetom 1 262
  9. Zvládnete tento test o jablkách a cideroch? Otestujte sa 1 122
  10. Cestujte intenzívnejšie s poznávacími zájazdmi 1 009