Na internete nemusíte hackovať, stačí vedieť klamať

Nie všetky útoky na internete sú technologicky náročné. Problémy spôsobuje aj sociálne inžinierstvo.

(Zdroj: ILUSTRAČNÉ - WIKIMEDIA)

Je ráno a Petra ide do práce niekde v centrále väčšej firmy. Pri jej parkovacom mieste leží na zemi USB kľúč. V okolí nie je nik, kto by ho hľadal, jeho pôvodný majiteľ je zrejme preč. Petra ho zdvihne a v kancelárií vloží do počítača.

Kľúč je takmer plný, obsahuje množstvo pre ňu neznámych súborov a pár fotiek. Kým si ich prezerá v počítači, škodlivý kód už beží: Petra a jej zamestnávateľ sa práve stali obeťami sociálneho inžinierstva.

Podvod a manipulácia

V oblasti informačnej bezpečnosti považujeme sociálne inžinierstvo za spôsob, ktorým donútiť obete útoku vykonať niečo, čo naruší bezpečnosť dôverných informácií. Ak to zjednodušíme, ide o podvod, ktorým manipulujeme iných ľudí.

Keď vidíte Jamesa Bonda, ako zvádza recepčnú hotela, aby mu vyzradila číslo izby známeho teroristu, je to práve sociálne inžinierstvo.

Postupy sociálneho inžinierstva sú rozšírené najmä v priemyselnej špionáži. Určite by ste neprezradili informácie o vašom dôležitom produkte len tak niekomu po telefóne. Ak však zavolá „redaktor známeho magazínu", pochválite sa aj s tým, čo ste nemali povedať.

Najmä veľké firmy si uvedomujú hrozby tohto útoku a často sa nechávajú auditovať metódami sociálneho inžinierstva. V takom prípade je podvodník najatý samotným vedením firmy, aby zistil, ako sa správajú ich zamestnanci.

Čudovali by ste sa, koľko informácií o zamestnancoch spoločnosti, ich kontaktoch a firemnom žargóne sa dá získať napríklad prehľadaním odpadkových košov.

Prezradí dobrovoľne

Sociálne inžinierstvo dokáže zbúrať všetky vrstvy informačnej bezpečnosti. Kevin Mitnick, ktorý bol v USA ako prvý odsúdený za hacking, hovorieval, že technologické hackovanie je zbytočne nákladné a náročné.

Načo prácne získavať informácie, keď vám ich obeť môže prezradiť dobrovoľne, napríklad za cenu miestneho hovoru.

Útoky a ochrana proti nim:

1. Zrejme najpoužívanejšou metódou sociálneho inžinierstva je phishing. Útočník donúti obeť zadať svoje prihlasovacie údaje do falošnej stránky, ktorá je takmer identická so skutočnou.

Takýmto útokom sú denne vystavované tisíce ľudí. Do schránky vám príde email, ktorý oznamuje napríklad prekročenie kvóty vášho konta. Správa v skutočnosti nepochádza od vášho administrátora, ale jej účelom je, aby ste si to mysleli.

Ak kliknete na odkaz pre zvýšenie kvóty a na zobrazenej stránke zadáte svoje heslo, stali ste sa obeťou. Podobným spôsobom môže útočník získať heslo na váš Facebook, Twitter či internet banking.

OCHRANA: Rozmýšľajte nad obsahom emailov, skotrolujte si vždy odosielateľa. Ak zadávate prihlasovacie údaje dobre si všimnite, či ste na správnej stránke so správnou adresou.

2. Útok quid pro quo je útokom zvaným „niečo za niečo". Sociálny inžinier sa vydáva za niekoho, kto vám chce pomôcť. Všimne si, že na vašej firemnej stránke niečo nefunguje, zavolá vám a vydáva sa za podporu hostingu.

Útočník môže prísť aj osobne a vydávať sa za servisného technika pre vaše počítače. Všetci ľudia, ktorí sa očividne snažia pomôcť, vzbudzujú dôveru. Práve túto vlastnosť útočník dokáže zneužiť.

OCHRANA: Uistite sa, že hovoríte naozaj s človekom alebo firmou, za ktorú sa vydáva. Uniforma servisného technika ešte o ničom nesvedčí. Stačí jeden telefonát na známe číslo firmy.

3. K narušeniu fyzickej bezpečnosti sa často používa technika zvaná tailgating - zavesenie sa na niečí „chvost".

Váš panelák alebo firma môžu byť zabezpečené na kľúč. Pri odomykaní by ste logicky nepustili cudzieho človeka dnu. Ak sa do vchodu spolu s vami snaží dostať žena s tehotenským bruškom, ktorá nesie v náručí veľkú ťažkú krabicu, neudriete jej dverami do tváre.

OCHRANA: Podržať niekomu dvere je síce džentlmenské, uistite sa však, že daný človek sa naozaj má dostať dnu. Ak vám vysvetlí dôvod, overte si ho. Alebo kráčajte s ním až kým nedorazí do cieľa.

4. Najväčšia škála útokov patrí pod takzvané scenárové útoky. Sociálny inžinier si pripraví scenáre, podľa ktorých sa bude chovať jeho obeť.

Útočník sa vydáva po telefóne alebo osobne za autoritu (napríklad nadriadený) a snaží sa získavať informácie. Robí to nenápadne, niekedy vytvorí neštandardnú situáciu a niekedy nátlak.

Takýmito útokmi trpia najmä veľké spoločnosti, kde sa zamestnanci medzi sebou nepoznajú. Predstavte si, že vám zavolá nepriamy nadriadený. Tvrdí, že na jeho počítači nefunguje interný systém alebo že pracuje z domu. Povie vám, že váš najvyšší šéf chce po ňom správu a jemu chýbajú údaje o vašich najlepších klientoch. Odmietli by ste mu ich povedať?

OCHRANA: Vždy sa uistite, že hovoríte naozaj s človekom, za ktorého sa vydáva. Ak vyzrádzate citlivé informácie (obchodné tajomstvo, osobné udaje) zastavte sa a ešte raz si preverte všetky okolnosti.

Matej Kvocera

Autor je odborník na internetovú bezpečnosť, pracuje v spoločnosti Digmia.

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Pivný bar Senica: Miesto, kde objavíte, ako má chutiť pivo
  2. Volkswagen Golf: Viac, než facelift
  3. Plavba východným Stredomorím so slovenským sprievodcom
  4. Hotovosť, internet či karta? Najbezpečnejšie je platenie mobilom
  5. Už ste niekedy jedli v garáži? Tá v Trenčíne stojí za to
  6. Staré Dobré Mexiko: Už vieme prečo východniari chvália Šariš
  7. Objavte netušené možnosti nových firemných kreditných kariet
  8. Najväčšie first moment zľavy končia vo februári
  9. Boj s podvodníkmi stáčajúcimi odometre stojí bazáre státisíce
  10. Bezpečné a prestížne bývanie v Bratislave s novým symbolom mesta
  1. Pivný bar Senica: Miesto, kde objavíte, ako má chutiť pivo
  2. Projekt "Zvýšenie odborných kapacít v oblasti práce s mládežou"
  3. Malé knedličky, veľké dojmy
  4. Volkswagen Golf: Viac, než facelift
  5. Plavba východným Stredomorím so slovenským sprievodcom
  6. Projekt First Lego League podporila Nadácia Pontis
  7. Klienti majú často pocit, že potrebujú spracovať len projekt
  8. Na bolesti chrbta pomôžu kúpele
  9. Na bolesti chrbta pomôžu kúpele
  10. 3 úlohy, ktoré vyrieši minerálna vlna najlepšie
  1. Už ste niekedy jedli v garáži? Tá v Trenčíne stojí za to 11 780
  2. Hotovosť, internet či karta? Najbezpečnejšie je platenie mobilom 11 389
  3. Plavba východným Stredomorím so slovenským sprievodcom 7 345
  4. Staré Dobré Mexiko: Už vieme prečo východniari chvália Šariš 6 980
  5. Boj s podvodníkmi stáčajúcimi odometre stojí bazáre státisíce 5 984
  6. Prečo majú Slováci stále radšej hypotéku ako prenájom? 3 818
  7. Najväčšie first moment zľavy končia vo februári 3 633
  8. Bezpečné a prestížne bývanie v Bratislave s novým symbolom mesta 3 487
  9. Volkswagen Golf: Viac, než facelift 2 471
  10. Mäsovýroba Gašparík získala ocenenie Danubius Gastro 2017 2 462

Hlavné správy zo Sme.sk

ŠPORT

Sagan začal sezónu klasík druhým miestom, opäť ho zdolal van Avermaet

Belgičan porazil slovenského cyklistu na belgickej klasike Omloop Het Nieuswblad aj minulý rok.

PLUS

Ako pred sto rokmi vysvetľovali príchod tabaku do Európy

Ako sa tabak (dohán) dostal do Európy a ako sa ujalo fajčenie?

BRATISLAVA

Bol priekopník – utečenec. Jeho meno zmizlo z novín aj z histórie

Václav Nedomanský má zo svetových šampionátov deväť medailí.

Neprehliadnite tiež

Civilizáciu Aztékov zničila európska zbraň, nevedeli proti nej bojovať

Za kolapsom rozvinutej juhoamerickej civilizácie môže byť aj pandémia paratýfusu.

Voda na Zemi aj vo vesmíre. Pozrite si najkrajšie zábery z kozmu za tento týždeň

Vedci predstavili tri mimozemské svety, kde by mohla byť voda aj život.

Pluto a jeho mesiace budú oficiálne ríšou mŕtvych

Nové názvoslovie pre systém trpasličej planéty sa inšpiruje aj mytológiou.

TECH_FM

NASA oznámila obrovský objav, prečo sú vedci takí nadšení

Veď je to „len“ ďalšia hviezdna sústava. Tak prečo toľko kriku? Vysvetľuje podcast TECH_FM.


Už ste čítali?

Domov NajnovšieNajčítanejšieDesktop