SME
Nedeľa, 25. október, 2020 | Meniny má AurelKrížovkyKrížovky

Sociálne inžinierstvo: crackeri v oblekoch

Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt...

Do menšej americkej strojárenskej firmy vošiel jedno krásne ráno súkromný konzultant. Na stôl pred seba vyložil drahý kufrík, rozdal vizitky a všetkých informoval, že ho najal generálny riaditeľ, aby počas jeho dovolenky analyzoval dôležitý projekt.

Usadili ho v konferenčnej miestnosti a priviedli projektantov aj manažérov. Spoločnosť v tom čase už 14 mesiacov pracovala na jedinečnom projekte a ich najväčší konkurent výrazne zaostával. Konzultant vzal do ruky projekty výrobku a so slovami: „Budem v najbližších dňoch trocha pracovať doma“, si ich zasunul do kufríka. Ekonómov sa opýtal, koľko bude stáť výroba a kto dodá potrebné komponenty, od ľudí z marketingu zistil, kedy má byť produkt uvedený na trh a ako bude vyzerať. Po pár hodinách všetkým srdečne potriasol rukami, poďakoval sa a vyšiel z budovy. O pár dní neskôr spoločnosť zistila, že „konzultanta“ si najal ich najväčší konkurent. Konkurent priniesol výrobok na trh ako prvý.

Skryť Vypnúť reklamu

Skutočná udalosť, o ktorej informoval internetový mesačník Computer Security Alert, je typickým príkladom sociálneho inžinierstva – metódy prieniku do systémov s využitím psychologických trikov namiesto technických prostriedkov.

Lacný prienik do drahých systémov

Ciele „sociálnych inžinierov“ sú rovnaké, ako ciele crackerov, ktorí pracujú technickými prostriedkami: získanie prístupu k cudziemu systému, priemyselná špionáž, finančný podvod alebo krádež identity s cieľom získať možnosť vystupovať v mene niekoho iného.

Obeťou sociálneho inžinierstva nemusí byť len firma, ktorá omylom odoslala svoje dokumenty konkurencii, ale aj bežný občan, ktorý prišiel o financie, pretože pri vyberaní peňazí z bankomatu niekto odpozeral jeho PIN.

Elegancia sociálneho inžinierstva spočíva práve v jednoduchosti jeho techník – namiesto hľadania bezpečnostnej diery v počítačovom systéme stačí v mnohých firmách jednoducho vojsť do budovy, na vrátnici nahlásiť falošné meno, prejsť sa kanceláriami a prečítať si vstupné heslo do systému z lístočkov, ktoré si zamestnanci s obľubou nalepujú priamo na monitory.

Skryť Vypnúť reklamu

Výhodou je, že kým na prienik do systému „tradičnou“ technickou metódou je zväčša nutné, aby administrátor systému zanedbal svoje povinnosti, na začiatok úspešného prieniku sociálnym inžinierstvom stačí, ak nie je v strehu ktorýkoľvek radový zamestnanec. Pochopiteľne, obe metódy sa často kombinujú: sociálnym inžinierstvom sa získa základný prístup do počítačovej siete a dielo je potom dokonané z bezpečia domova cez internet.

Útočník je sexy

Sociálne inžinierstvo vyžaduje od útočníka najmä odvahu, empatiu, herecké schopnosti a schopnosť využiť tradičné ľudské vlastnosti vo svoj prospech. Typicky ide najmä o márnomyseľnosť, radosť z možnosti pomôcť iným a zároveň tendenciu dôverovať kolegom a snahu nadbiehať nadriadeným.

Sociálne inžinierstvo prebieha najčastejšie cez telefón, kde je najjednoduchšie prebrať na seba zvolenú úlohou. Najpoužívanejšou rolou crackera je „autorita“ alebo „zamestnanec dôveryhodnej partnerskej firmy“. „Tu je Milan Petráš, marketingový riaditeľ. Kolega, potrebujem od vás jednu láskavosť: technici odišli na obed a ja sa neviem dostať do svojho počítača…“ Alebo iný variant: „Tu je Zuzana Andrejčáková, asistentka generálneho riaditeľa,“ predstaví sa útočníčka skutočným menom asistentky vášho šéfa. „Sme práve na dôležitom rokovaní mimo Bratislavy a ja som zabudla v kancelárii finančný plán – mohli by ste mi ho, prosím, odfaxovať…“

Skryť Vypnúť reklamu

V prípade osobného kontaktu určite nebude crackerom vychudnutý čudák s hrubým rámom okuliarov, ale skôr vysoká blondínka s koketným hlasom a poodhaleným poprsím. „Len včera som nastúpila a neviem, kde mám nájsť všetky tie dokumenty…“

Okrem „hlúpeho používateľa v problémoch“ je obľúbenou rolou aj opravár či pracovník technickej podpory alebo konzultant z renomovanej spoločnosti.

Nedôveruj a preveruj

Proti sociálnemu inžinierstvu neexistuje jednoduchá obrana. Bez dôvery medzi zamestnancami by totiž nemohli podniky fungovať a s kolegami, ktorí vám nikdy nie sú ochotní pomôcť, by bola práca v kancelárii neznesiteľná. Sociálny inžinier od vás nikdy nežiada priveľa informácií naraz, mozaiku o vašej firme si skladá po častiach, z drobných informácií získaných od rôznych ľudí. Prezradiť ho však môžu detaily – napríklad keď nazve vášho dovolenkujúceho kolegu Jozef, hoci všetci známi ho volajú Dodo. Jediným spôsobom, ako predchádzať sociálnym útokom, je systematické vzdelávanie a informovanie zamestnancov o takýchto hrozbách.

Skryť Vypnúť reklamu

Ak ste vedúci pracovník a zaujímalo by vás, ako je vaša firma náchylná podľahnúť útoku sociálnych inžinierov, je dobré položiť si aj takúto otázku: „Ak by mi podriadený, ktorého osobne nepoznám, cez telefón odmietol prezradiť dôležitú informáciu, ktorú naliehavo potrebujem – potrestal by som ho alebo pochválil?“

Skryť Vypnúť reklamu

Najčítanejšie na SME Tech

Skryť Vypnúť reklamu
Skryť Vypnúť reklamu
Skryť Vypnúť reklamu
Skryť Vypnúť reklamu

Hlavné správy zo Sme.sk

Koronavírus na Slovensku: Občania boli veľmi zodpovední, hodnotí Naď. Spokojný je aj Matovič (minúta po minúte)

Celkový počet nakazených na Slovensku dosiahol číslo 43 843. Pandémia Covid-19 si doteraz vyžiadala 165 obetí.

Minister obrany Jaroslav Naď.
Komentár Tomáša Prokopčáka

Prevrat na STU

Na Slovenskej technickej univerzite sa pokúsia odvolať rektora.

Tomáš Prokopčák.
Zdravotníci v nemocnici v Kyjove.
S prvou republikou sa nám spája doba elegancie, prosperity a pohody. Nie vždy to bola pravda.

Neprehliadnite tiež

Najlepší lacný mobil do dvesto eur (jeseň 2020)

Je lepšie Lenovo, Huawei alebo Xiaomi?

Sonda OSIRIS-REx nabrala vzorky z asteroidu, ale stráca ich

Uzatvárací mechanizmus zablokovali kamene.

Na snímke z 11. augusta 2020 robotické rameno kozmickej lode amerického Národného úradu pre letectvo a vesmír (NASA) Osiris-Rex počas skúšky odberu vzoriek z asteroidu Bennu.
Podcast Klik

Klik: Je Google monopol?

Komentovaný prehľad technologických správ.

Podcast Klik

Inzercia - Tlačové správy

  1. O levočský „nanozázrak“ sa zaujíma európsky trh
  2. Pracujete v IT? Táto slovenská firma neustále prijíma ľudí
  3. LEN DNES: Zľava viac ako 50% na ročné predplatné týždenníkov MY
  4. NAŽIVO: Čo čaká ekonomiku? Sledujte #akonato konferenciu
  5. NAŽIVO: Ako na koronu reagujú úspešné firmy? Sledujte #akonato
  6. Kupujte originálne tonerové kazety HP
  7. Investície s fixným ročným výnosom od 6 % do 8 %
  8. Zaplatiť za kávu či obed pomocou správy v čete? Už čoskoro
  9. Covid a post-Covid: Ako sa chrániť pred kybernetickými útokmi?
  10. Zelená Bratislava
  1. Kvalitné sporenie si dokážete vybaviť z pohodlia domova
  2. Tesco prináša zákazníkom potraviny za každých okolností
  3. Vedeli ste, že jablká majú svoj medzinárodný deň?
  4. Zostáva už len 7 dní na predloženie žiadosti o grant
  5. Svet môžeme zlepšiť dobrými skutkami
  6. O levočský „nanozázrak“ sa zaujíma európsky trh
  7. Najnovšie technológie a inovácie na Gemeri? Normálka
  8. Zlaďte vaše šperky s jeseňou
  9. Nové laboratórium ekonomického experimentálneho výskumu na EUBA
  10. Pracujete v IT? Táto slovenská firma neustále prijíma ľudí
  1. Vyučujú školy informatiku dobre? Tieto patria medzi ukážkové 20 333
  2. Pracujete v IT? Táto slovenská firma neustále prijíma ľudí 18 266
  3. O levočský „nanozázrak“ sa zaujíma európsky trh 13 508
  4. Na Slovensku pribúdajú nové bankomaty. Viete čo v nich vybavíte? 13 312
  5. Pravá strana Dunaja môže vďaka Inchebe získať novú tvár 12 627
  6. Toto sú povolania budúcnosti. Niektoré prekvapili 11 192
  7. Ako pracujú horskí nosiči? Vstávajú ráno o štvrtej 10 488
  8. LEN DNES: Zľava viac ako 50% na ročné predplatné týždenníkov MY 10 300
  9. Kam sa vybrať za jesennými výhľadmi? 10 272
  10. Ako vidia budúcnosť deti zo základných škôl? Budete prekvapení 10 153