SME

Na internete nemusíte hackovať, stačí vedieť klamať

Nie všetky útoky na internete sú technologicky náročné. Problémy spôsobuje aj sociálne inžinierstvo.

(Zdroj: ILUSTRAČNÉ - WIKIMEDIA)

Je ráno a Petra ide do práce niekde v centrále väčšej firmy. Pri jej parkovacom mieste leží na zemi USB kľúč. V okolí nie je nik, kto by ho hľadal, jeho pôvodný majiteľ je zrejme preč. Petra ho zdvihne a v kancelárií vloží do počítača.

Kľúč je takmer plný, obsahuje množstvo pre ňu neznámych súborov a pár fotiek. Kým si ich prezerá v počítači, škodlivý kód už beží: Petra a jej zamestnávateľ sa práve stali obeťami sociálneho inžinierstva.

Podvod a manipulácia

V oblasti informačnej bezpečnosti považujeme sociálne inžinierstvo za spôsob, ktorým donútiť obete útoku vykonať niečo, čo naruší bezpečnosť dôverných informácií. Ak to zjednodušíme, ide o podvod, ktorým manipulujeme iných ľudí.

Keď vidíte Jamesa Bonda, ako zvádza recepčnú hotela, aby mu vyzradila číslo izby známeho teroristu, je to práve sociálne inžinierstvo.

Postupy sociálneho inžinierstva sú rozšírené najmä v priemyselnej špionáži. Určite by ste neprezradili informácie o vašom dôležitom produkte len tak niekomu po telefóne. Ak však zavolá „redaktor známeho magazínu", pochválite sa aj s tým, čo ste nemali povedať.

Najmä veľké firmy si uvedomujú hrozby tohto útoku a často sa nechávajú auditovať metódami sociálneho inžinierstva. V takom prípade je podvodník najatý samotným vedením firmy, aby zistil, ako sa správajú ich zamestnanci.

Čudovali by ste sa, koľko informácií o zamestnancoch spoločnosti, ich kontaktoch a firemnom žargóne sa dá získať napríklad prehľadaním odpadkových košov.

Prezradí dobrovoľne

Sociálne inžinierstvo dokáže zbúrať všetky vrstvy informačnej bezpečnosti. Kevin Mitnick, ktorý bol v USA ako prvý odsúdený za hacking, hovorieval, že technologické hackovanie je zbytočne nákladné a náročné.

Načo prácne získavať informácie, keď vám ich obeť môže prezradiť dobrovoľne, napríklad za cenu miestneho hovoru.

Útoky a ochrana proti nim:

1. Zrejme najpoužívanejšou metódou sociálneho inžinierstva je phishing. Útočník donúti obeť zadať svoje prihlasovacie údaje do falošnej stránky, ktorá je takmer identická so skutočnou.

Takýmto útokom sú denne vystavované tisíce ľudí. Do schránky vám príde email, ktorý oznamuje napríklad prekročenie kvóty vášho konta. Správa v skutočnosti nepochádza od vášho administrátora, ale jej účelom je, aby ste si to mysleli.

Ak kliknete na odkaz pre zvýšenie kvóty a na zobrazenej stránke zadáte svoje heslo, stali ste sa obeťou. Podobným spôsobom môže útočník získať heslo na váš Facebook, Twitter či internet banking.

OCHRANA: Rozmýšľajte nad obsahom emailov, skotrolujte si vždy odosielateľa. Ak zadávate prihlasovacie údaje dobre si všimnite, či ste na správnej stránke so správnou adresou.

2. Útok quid pro quo je útokom zvaným „niečo za niečo". Sociálny inžinier sa vydáva za niekoho, kto vám chce pomôcť. Všimne si, že na vašej firemnej stránke niečo nefunguje, zavolá vám a vydáva sa za podporu hostingu.

Útočník môže prísť aj osobne a vydávať sa za servisného technika pre vaše počítače. Všetci ľudia, ktorí sa očividne snažia pomôcť, vzbudzujú dôveru. Práve túto vlastnosť útočník dokáže zneužiť.

OCHRANA: Uistite sa, že hovoríte naozaj s človekom alebo firmou, za ktorú sa vydáva. Uniforma servisného technika ešte o ničom nesvedčí. Stačí jeden telefonát na známe číslo firmy.

3. K narušeniu fyzickej bezpečnosti sa často používa technika zvaná tailgating - zavesenie sa na niečí „chvost".

Váš panelák alebo firma môžu byť zabezpečené na kľúč. Pri odomykaní by ste logicky nepustili cudzieho človeka dnu. Ak sa do vchodu spolu s vami snaží dostať žena s tehotenským bruškom, ktorá nesie v náručí veľkú ťažkú krabicu, neudriete jej dverami do tváre.

OCHRANA: Podržať niekomu dvere je síce džentlmenské, uistite sa však, že daný človek sa naozaj má dostať dnu. Ak vám vysvetlí dôvod, overte si ho. Alebo kráčajte s ním až kým nedorazí do cieľa.

4. Najväčšia škála útokov patrí pod takzvané scenárové útoky. Sociálny inžinier si pripraví scenáre, podľa ktorých sa bude chovať jeho obeť.

Útočník sa vydáva po telefóne alebo osobne za autoritu (napríklad nadriadený) a snaží sa získavať informácie. Robí to nenápadne, niekedy vytvorí neštandardnú situáciu a niekedy nátlak.

Takýmito útokmi trpia najmä veľké spoločnosti, kde sa zamestnanci medzi sebou nepoznajú. Predstavte si, že vám zavolá nepriamy nadriadený. Tvrdí, že na jeho počítači nefunguje interný systém alebo že pracuje z domu. Povie vám, že váš najvyšší šéf chce po ňom správu a jemu chýbajú údaje o vašich najlepších klientoch. Odmietli by ste mu ich povedať?

OCHRANA: Vždy sa uistite, že hovoríte naozaj s človekom, za ktorého sa vydáva. Ak vyzrádzate citlivé informácie (obchodné tajomstvo, osobné udaje) zastavte sa a ešte raz si preverte všetky okolnosti.

Matej Kvocera

Autor je odborník na internetovú bezpečnosť, pracuje v spoločnosti Digmia.

Autor: Matej Kvocera

SkryťVypnúť reklamu

Najčítanejšie na SME Tech

SkryťVypnúť reklamu
SkryťVypnúť reklamu
SkryťVypnúť reklamu
SkryťVypnúť reklamu

Neprehliadnite tiež

Ilustračná fotografia.

Skúmali 40-tisíc ľudí.


a 1 ďalší
Reálna tvar muža a jeho deformovaná tvár, tak ako ju videl pacient so vzácnou poruchou zrakového systému.

Viktor Sharrah si myslel, že sa zbláznil.


Ilustračná fotografia.

Vaše telo sa ochladzuje, nie zohrieva - a vy to necítite.


a 1 ďalší
Ilustračné foto.

Nález baktérie vedci označili za mimoriadne vzácny objav.


TASR
SkryťZatvoriť reklamu