Na internete nemusíte hackovať, stačí vedieť klamať

Nie všetky útoky na internete sú technologicky náročné. Problémy spôsobuje aj sociálne inžinierstvo.

(Zdroj: ILUSTRAČNÉ - WIKIMEDIA)

Je ráno a Petra ide do práce niekde v centrále väčšej firmy. Pri jej parkovacom mieste leží na zemi USB kľúč. V okolí nie je nik, kto by ho hľadal, jeho pôvodný majiteľ je zrejme preč. Petra ho zdvihne a v kancelárií vloží do počítača.

Kľúč je takmer plný, obsahuje množstvo pre ňu neznámych súborov a pár fotiek. Kým si ich prezerá v počítači, škodlivý kód už beží: Petra a jej zamestnávateľ sa práve stali obeťami sociálneho inžinierstva.

Podvod a manipulácia

V oblasti informačnej bezpečnosti považujeme sociálne inžinierstvo za spôsob, ktorým donútiť obete útoku vykonať niečo, čo naruší bezpečnosť dôverných informácií. Ak to zjednodušíme, ide o podvod, ktorým manipulujeme iných ľudí.

Keď vidíte Jamesa Bonda, ako zvádza recepčnú hotela, aby mu vyzradila číslo izby známeho teroristu, je to práve sociálne inžinierstvo.

Postupy sociálneho inžinierstva sú rozšírené najmä v priemyselnej špionáži. Určite by ste neprezradili informácie o vašom dôležitom produkte len tak niekomu po telefóne. Ak však zavolá „redaktor známeho magazínu", pochválite sa aj s tým, čo ste nemali povedať.

Najmä veľké firmy si uvedomujú hrozby tohto útoku a často sa nechávajú auditovať metódami sociálneho inžinierstva. V takom prípade je podvodník najatý samotným vedením firmy, aby zistil, ako sa správajú ich zamestnanci.

Čudovali by ste sa, koľko informácií o zamestnancoch spoločnosti, ich kontaktoch a firemnom žargóne sa dá získať napríklad prehľadaním odpadkových košov.

Prezradí dobrovoľne

Sociálne inžinierstvo dokáže zbúrať všetky vrstvy informačnej bezpečnosti. Kevin Mitnick, ktorý bol v USA ako prvý odsúdený za hacking, hovorieval, že technologické hackovanie je zbytočne nákladné a náročné.

Načo prácne získavať informácie, keď vám ich obeť môže prezradiť dobrovoľne, napríklad za cenu miestneho hovoru.

Útoky a ochrana proti nim:

1. Zrejme najpoužívanejšou metódou sociálneho inžinierstva je phishing. Útočník donúti obeť zadať svoje prihlasovacie údaje do falošnej stránky, ktorá je takmer identická so skutočnou.

Takýmto útokom sú denne vystavované tisíce ľudí. Do schránky vám príde email, ktorý oznamuje napríklad prekročenie kvóty vášho konta. Správa v skutočnosti nepochádza od vášho administrátora, ale jej účelom je, aby ste si to mysleli.

Ak kliknete na odkaz pre zvýšenie kvóty a na zobrazenej stránke zadáte svoje heslo, stali ste sa obeťou. Podobným spôsobom môže útočník získať heslo na váš Facebook, Twitter či internet banking.

OCHRANA: Rozmýšľajte nad obsahom emailov, skotrolujte si vždy odosielateľa. Ak zadávate prihlasovacie údaje dobre si všimnite, či ste na správnej stránke so správnou adresou.

2. Útok quid pro quo je útokom zvaným „niečo za niečo". Sociálny inžinier sa vydáva za niekoho, kto vám chce pomôcť. Všimne si, že na vašej firemnej stránke niečo nefunguje, zavolá vám a vydáva sa za podporu hostingu.

Útočník môže prísť aj osobne a vydávať sa za servisného technika pre vaše počítače. Všetci ľudia, ktorí sa očividne snažia pomôcť, vzbudzujú dôveru. Práve túto vlastnosť útočník dokáže zneužiť.

OCHRANA: Uistite sa, že hovoríte naozaj s človekom alebo firmou, za ktorú sa vydáva. Uniforma servisného technika ešte o ničom nesvedčí. Stačí jeden telefonát na známe číslo firmy.

3. K narušeniu fyzickej bezpečnosti sa často používa technika zvaná tailgating - zavesenie sa na niečí „chvost".

Váš panelák alebo firma môžu byť zabezpečené na kľúč. Pri odomykaní by ste logicky nepustili cudzieho človeka dnu. Ak sa do vchodu spolu s vami snaží dostať žena s tehotenským bruškom, ktorá nesie v náručí veľkú ťažkú krabicu, neudriete jej dverami do tváre.

OCHRANA: Podržať niekomu dvere je síce džentlmenské, uistite sa však, že daný človek sa naozaj má dostať dnu. Ak vám vysvetlí dôvod, overte si ho. Alebo kráčajte s ním až kým nedorazí do cieľa.

4. Najväčšia škála útokov patrí pod takzvané scenárové útoky. Sociálny inžinier si pripraví scenáre, podľa ktorých sa bude chovať jeho obeť.

Útočník sa vydáva po telefóne alebo osobne za autoritu (napríklad nadriadený) a snaží sa získavať informácie. Robí to nenápadne, niekedy vytvorí neštandardnú situáciu a niekedy nátlak.

Takýmito útokmi trpia najmä veľké spoločnosti, kde sa zamestnanci medzi sebou nepoznajú. Predstavte si, že vám zavolá nepriamy nadriadený. Tvrdí, že na jeho počítači nefunguje interný systém alebo že pracuje z domu. Povie vám, že váš najvyšší šéf chce po ňom správu a jemu chýbajú údaje o vašich najlepších klientoch. Odmietli by ste mu ich povedať?

OCHRANA: Vždy sa uistite, že hovoríte naozaj s človekom, za ktorého sa vydáva. Ak vyzrádzate citlivé informácie (obchodné tajomstvo, osobné udaje) zastavte sa a ešte raz si preverte všetky okolnosti.

Matej Kvocera

Autor je odborník na internetovú bezpečnosť, pracuje v spoločnosti Digmia.

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Táto dvojica stojí za zrodom slovenského internetu. Ako začínal?
  2. 14 tipov na exotickú dovolenku, ktorú si môžete dovoliť (aj vy)
  3. Štatutári, máte už prístup k elektronickej schránke?
  4. Zabudnite na nové a neekologické PC. Je tu Refurbished!
  5. Volkswagen Arteon je výkladná skriňa technológií
  6. Yeme chce byť výnimočný obchod aj vďaka výnimočným zamestnancom
  7. Lepšie bývať na vidieku, alebo v meste? Hľadali sme výhody
  8. Poznáte pôvod slovenských slov? Otestujte sa
  9. Plavba po Karibiku na luxusnej lodi
  10. Hyundai H350 je dokonale spoľahlivým partnerom pre biznis
  1. Táto dvojica stojí za zrodom slovenského internetu. Ako začínal?
  2. Aj vy môžete mať pekný trávnik, poradí vám expert
  3. Výrobky, ktoré chutia a voňajú ako z domácej zabíjačky
  4. 14 tipov na exotickú dovolenku, ktorú si môžete dovoliť (aj vy)
  5. Profesionálne sa predaj nehnuteľností dá robiť jedine exkluzívne
  6. HÝBSA Slovensko odštartovalo turné po Slovensku. Buďte pri tom!
  7. Každý štvrtý 70-tnik na Slovensku má cukrovku, pribúdajú mladší
  8. 5 hviezdičkové apartmány priamo na pobreží - Dubrovník
  9. Stavba domu na kľúč – úspora času aj financií
  10. Štatutári, máte už prístup k elektronickej schránke?
  1. Poznáte pôvod slovenských slov? Otestujte sa 17 240
  2. Táto dvojica stojí za zrodom slovenského internetu. Ako začínal? 15 590
  3. 14 tipov na exotickú dovolenku, ktorú si môžete dovoliť (aj vy) 13 959
  4. Lepšie bývať na vidieku, alebo v meste? Hľadali sme výhody 12 077
  5. Volkswagen Arteon je výkladná skriňa technológií 7 790
  6. Yeme chce byť výnimočný obchod aj vďaka výnimočným zamestnancom 6 878
  7. Čím všetkým som si prešla, aby som sa naučila po anglicky 6 410
  8. Zabudnite na nové a neekologické PC. Je tu Refurbished! 5 936
  9. Hyundai H350 je dokonale spoľahlivým partnerom pre biznis 3 432
  10. Štatutári, máte už prístup k elektronickej schránke? 3 302

Hlavné správy zo Sme.sk

PLUS

Američania spozorneli. Slovenský princ je hodný Oscara

Veľký šľachtiteľský príbeh sa začal celkom nenápadne.

PRIMÁR

Od štyridsatky po sedemdesiatku. Ako sa mení sexualita?

Kvalita závisí od psychiky milencov.

Neprehliadnite tiež

Kolíska ľudstva nie je v Afrike ale na Balkáne, naznačuje starodávny zub

Ak by sa potvrdili výsledky nemeckých vedcov, znamenalo by to, že ľudia sa od opíc vývojovo oddelili v Európe.

Zástera z ľudských kostí či Everest zo vzduchu. Briti ukázali prvé zábery tibetskej kultúry

Niektoré zábery boli sto rokov ukryté pred verejnosťou. Najväčšia zbierka sa teraz dostáva na internet.

Drobné prepeličky môžu pomáhať v boji proti rakovine

Vedecký výskum na zvieratách vždy bol a aj bude otázkou rôznych názorov. Výskum na vtáčích vajciach a embryách však prináša nové rozmery.

Vedci sú na stope tajomstvu DNA

Vďaka úžasnému technologickému vývoju vznikajú nové vedné odbory. Jedným z nich je aj bioinformatika.