Na internete nemusíte hackovať, stačí vedieť klamať

Nie všetky útoky na internete sú technologicky náročné. Problémy spôsobuje aj sociálne inžinierstvo.

(Zdroj: ILUSTRAČNÉ - WIKIMEDIA)

Je ráno a Petra ide do práce niekde v centrále väčšej firmy. Pri jej parkovacom mieste leží na zemi USB kľúč. V okolí nie je nik, kto by ho hľadal, jeho pôvodný majiteľ je zrejme preč. Petra ho zdvihne a v kancelárií vloží do počítača.

Kľúč je takmer plný, obsahuje množstvo pre ňu neznámych súborov a pár fotiek. Kým si ich prezerá v počítači, škodlivý kód už beží: Petra a jej zamestnávateľ sa práve stali obeťami sociálneho inžinierstva.

Podvod a manipulácia

V oblasti informačnej bezpečnosti považujeme sociálne inžinierstvo za spôsob, ktorým donútiť obete útoku vykonať niečo, čo naruší bezpečnosť dôverných informácií. Ak to zjednodušíme, ide o podvod, ktorým manipulujeme iných ľudí.

Keď vidíte Jamesa Bonda, ako zvádza recepčnú hotela, aby mu vyzradila číslo izby známeho teroristu, je to práve sociálne inžinierstvo.

Postupy sociálneho inžinierstva sú rozšírené najmä v priemyselnej špionáži. Určite by ste neprezradili informácie o vašom dôležitom produkte len tak niekomu po telefóne. Ak však zavolá „redaktor známeho magazínu", pochválite sa aj s tým, čo ste nemali povedať.

Najmä veľké firmy si uvedomujú hrozby tohto útoku a často sa nechávajú auditovať metódami sociálneho inžinierstva. V takom prípade je podvodník najatý samotným vedením firmy, aby zistil, ako sa správajú ich zamestnanci.

Čudovali by ste sa, koľko informácií o zamestnancoch spoločnosti, ich kontaktoch a firemnom žargóne sa dá získať napríklad prehľadaním odpadkových košov.

Prezradí dobrovoľne

Sociálne inžinierstvo dokáže zbúrať všetky vrstvy informačnej bezpečnosti. Kevin Mitnick, ktorý bol v USA ako prvý odsúdený za hacking, hovorieval, že technologické hackovanie je zbytočne nákladné a náročné.

Načo prácne získavať informácie, keď vám ich obeť môže prezradiť dobrovoľne, napríklad za cenu miestneho hovoru.

Útoky a ochrana proti nim:

1. Zrejme najpoužívanejšou metódou sociálneho inžinierstva je phishing. Útočník donúti obeť zadať svoje prihlasovacie údaje do falošnej stránky, ktorá je takmer identická so skutočnou.

Takýmto útokom sú denne vystavované tisíce ľudí. Do schránky vám príde email, ktorý oznamuje napríklad prekročenie kvóty vášho konta. Správa v skutočnosti nepochádza od vášho administrátora, ale jej účelom je, aby ste si to mysleli.

Ak kliknete na odkaz pre zvýšenie kvóty a na zobrazenej stránke zadáte svoje heslo, stali ste sa obeťou. Podobným spôsobom môže útočník získať heslo na váš Facebook, Twitter či internet banking.

OCHRANA: Rozmýšľajte nad obsahom emailov, skotrolujte si vždy odosielateľa. Ak zadávate prihlasovacie údaje dobre si všimnite, či ste na správnej stránke so správnou adresou.

2. Útok quid pro quo je útokom zvaným „niečo za niečo". Sociálny inžinier sa vydáva za niekoho, kto vám chce pomôcť. Všimne si, že na vašej firemnej stránke niečo nefunguje, zavolá vám a vydáva sa za podporu hostingu.

Útočník môže prísť aj osobne a vydávať sa za servisného technika pre vaše počítače. Všetci ľudia, ktorí sa očividne snažia pomôcť, vzbudzujú dôveru. Práve túto vlastnosť útočník dokáže zneužiť.

OCHRANA: Uistite sa, že hovoríte naozaj s človekom alebo firmou, za ktorú sa vydáva. Uniforma servisného technika ešte o ničom nesvedčí. Stačí jeden telefonát na známe číslo firmy.

3. K narušeniu fyzickej bezpečnosti sa často používa technika zvaná tailgating - zavesenie sa na niečí „chvost".

Váš panelák alebo firma môžu byť zabezpečené na kľúč. Pri odomykaní by ste logicky nepustili cudzieho človeka dnu. Ak sa do vchodu spolu s vami snaží dostať žena s tehotenským bruškom, ktorá nesie v náručí veľkú ťažkú krabicu, neudriete jej dverami do tváre.

OCHRANA: Podržať niekomu dvere je síce džentlmenské, uistite sa však, že daný človek sa naozaj má dostať dnu. Ak vám vysvetlí dôvod, overte si ho. Alebo kráčajte s ním až kým nedorazí do cieľa.

4. Najväčšia škála útokov patrí pod takzvané scenárové útoky. Sociálny inžinier si pripraví scenáre, podľa ktorých sa bude chovať jeho obeť.

Útočník sa vydáva po telefóne alebo osobne za autoritu (napríklad nadriadený) a snaží sa získavať informácie. Robí to nenápadne, niekedy vytvorí neštandardnú situáciu a niekedy nátlak.

Takýmito útokmi trpia najmä veľké spoločnosti, kde sa zamestnanci medzi sebou nepoznajú. Predstavte si, že vám zavolá nepriamy nadriadený. Tvrdí, že na jeho počítači nefunguje interný systém alebo že pracuje z domu. Povie vám, že váš najvyšší šéf chce po ňom správu a jemu chýbajú údaje o vašich najlepších klientoch. Odmietli by ste mu ich povedať?

OCHRANA: Vždy sa uistite, že hovoríte naozaj s človekom, za ktorého sa vydáva. Ak vyzrádzate citlivé informácie (obchodné tajomstvo, osobné udaje) zastavte sa a ešte raz si preverte všetky okolnosti.

Matej Kvocera

Autor je odborník na internetovú bezpečnosť, pracuje v spoločnosti Digmia.

Najčítanejšie na SME Tech


Inzercia - Tlačové správy


  1. Kedy sa refinancovanie oplatí?
  2. Intímna hygiena – celoročná záležitosť
  3. Rastie nám pokrivená generácia?
  4. Zanzibar je plný lákadiel na dokonalú exotickú dovolenku
  5. Pivovar Šariš podporí cestovný ruch v Prešovskom kraji
  6. 3 mýty, ktorým ste možno uverili. Ale ako je to naozaj?
  7. Novinka v realitnom biznise! Zatiaľ dostupné len v Grand Koliba
  8. FemFest 2017 ponúkne beh na opätkoch i koncert známej speváčky
  9. Plug-in, hybrid alebo elektromobil? Poradíme, ako správne vybrať
  10. Bývajte v budove, po ktorej sa prechádzal Schöne Náci
  1. Detské zúbky sú veda
  2. Štartujú jesenné módne dni v Poluse
  3. Zanzibar je plný lákadiel na dokonalú exotickú dovolenku
  4. Rastie nám pokrivená generácia?
  5. Intímna hygiena – celoročná záležitosť
  6. Pivovar Šariš podporí cestovný ruch v Prešovskom kraji
  7. AAA AUTO za päť rokov predalo 320 tisíc vozidiel
  8. Novinka v realitnom biznise! Zatiaľ dostupné len v Grand Koliba
  9. 3 mýty, ktorým ste možno uverili. Ale ako je to naozaj?
  10. FemFest 2017 ponúkne beh na opätkoch i koncert známej speváčky
  1. 3 mýty, ktorým ste možno uverili. Ale ako je to naozaj? 21 423
  2. Rastie nám pokrivená generácia? 9 064
  3. Zanzibar je plný lákadiel na dokonalú exotickú dovolenku 8 862
  4. Plug-in, hybrid alebo elektromobil? Poradíme, ako správne vybrať 4 700
  5. Novinka v realitnom biznise! Zatiaľ dostupné len v Grand Koliba 1 958
  6. Kedy sa refinancovanie oplatí? 1 809
  7. Intímna hygiena – celoročná záležitosť 1 694
  8. Bývajte v budove, po ktorej sa prechádzal Schöne Náci 1 674
  9. Poistenci VšZP už nebudú platiť 17 centov v lekárňach za recepty 1 411
  10. Trenčania to chcú mať všade blízko. Kde kupujú byty? 1 375

Hlavné správy zo Sme.sk

DOMOV

Šéf protikorupčného úradu Kovařík: O Ficovom hlase sme viedli polemiky

Policajti pri citlivých kauzách nemôžu zisťovať všetko, musia brať ohľad aj na česť politika, tvrdí Ficov šéf boja proti korupcii.

DOMOV

Zo Smeru odišiel celý regionálny klub, nechce povedať prečo

Sarosta obce Rišňovce sa sťažuje na ignoráciu zo strany vedenia Smeru.

Neprehliadnite tiež

Astronautka z NASA: Vieme, že sa niečo pokazí

Astronautka Dorothy Metcalf-Lindenburgerová hovorí, ako vyzerá tréning v NASA a ako sa astronauti pripravujú na zlyhania.

Rozšírená realita je zábavná aj užitočná. Skúste tieto aplikácie pre iPhone a iPad

Nová aktualizácia iOS 11 pre mobilné zariadenia od Apple priniesla aj ARKit. V ponuke sú prvé aplikácie a je s nimi zábava.

TECH_FM

Kontroverzný objav naznačuje, že praľudia sa mohli vyvinúť v Európe

Stopy dávneho tvora mätú vedcov. Odborníci sa sporia, komu patrili.

Strašia vás baktérie na mobile? Vymysleli "umývačku"

Nová nabíjačka dezinfikuje mobily, používa na to ultrafialové žiarenie.