Co je sociální inženýrství?

V počítačové bezpečnosti dochází k mnoha problémům navzdory maximálnímu úsilí uživatele. Malware z malwaru můžete například kdykoli zasáhnout, je to opravdu smůla. Existují kroky, které můžete podniknout k minimalizaci rizika, jako je použití blokovače reklam. Ale být takto zasažen není chyba uživatele. Jiné útoky se však zaměřují na oklamání uživatele, aby něco udělal. Tyto typy útoků spadají pod široký prapor útoků sociálního inženýrství.

Sociální inženýrství zahrnuje použití analýzy a porozumění tomu, jak lidé zvládají určité situace, aby manipulovali s výsledkem. Sociální inženýrství lze provádět proti velkým skupinám lidí. Z hlediska počítačové bezpečnosti se však obvykle používá proti jednotlivcům, i když potenciálně jako součást velké kampaně.

Příkladem sociálního inženýrství proti skupině lidí mohou být pokusy vyvolat paniku jako rozptýlení. Například armáda provádí operaci pod falešnou vlajkou nebo někdo křičí „palte“ na rušném místě a pak v chaosu krade. Na určité úrovni jsou technikami sociálního inženýrství také jednoduchá propaganda, hazardní hry a reklama.

V počítačové bezpečnosti však bývají akce více individuální. Phishing se snaží přesvědčit uživatele, aby klikli na odkaz a zadali podrobnosti. Mnoho podvodníků se snaží manipulovat na základě strachu nebo chamtivosti. Útoky sociálního inženýrství v počítačové bezpečnosti se mohou dokonce dostat do skutečného světa, jako je pokus o neoprávněný přístup do serverové místnosti. Je zajímavé, že ve světě kybernetické bezpečnosti se tento poslední scénář a podobné scénáře obvykle míní, když se mluví o útocích sociálního inženýrství.

Širší sociální inženýrství – online

Phishing je druh útoku, který se pokouší přimět oběť, aby poskytla podrobnosti útočníkovi. Phishingové útoky jsou obvykle dodávány v externím systému, například prostřednictvím e-mailu, a mají tedy dva odlišné body sociálního inženýrství. Nejprve musí oběť přesvědčit, že zpráva je legitimní, a přimět ji, aby na odkaz klikla. Tím se načte phishingová stránka, kde bude uživatel následně vyzván k zadání podrobností. Obvykle to bude jejich uživatelské jméno a heslo. To závisí na tom, že počáteční e-mail a phishingová stránka vypadají dostatečně přesvědčivě na to, aby jim sociální inženýrství dalo důvěru.

Mnoho podvodů se snaží své oběti sociálním inženýrstvím přimět k předání peněz. Klasický podvod s „nigerijským princem“ slibuje velkou výplatu, pokud oběť může zaplatit malý poplatek předem. Samozřejmě, že jakmile oběť zaplatí „poplatek“, žádná výplata se nikdy nedočká. Jiné typy podvodných útoků fungují na podobných principech. Přesvědčte oběť, aby něco udělala, obvykle předala peníze nebo nainstalovala malware. Ransomware je toho příkladem. Oběť musí předat peníze, jinak riskuje ztrátu přístupu k jakýmkoli zašifrovaným datům.

Osobní sociální inženýrství

Když se ve světě kybernetické bezpečnosti mluví o sociálním inženýrství, obvykle se to týká akcí v reálném světě. Příkladů scénářů je spousta. Jeden z nejzákladnějších se nazývá tail-gating. To se vznáší dostatečně blízko za někým, že drží otevřené dveře s kontrolovaným přístupem, aby vás nechal projít. Tail-gating lze zlepšit nastavením scénáře, ve kterém vám oběť může pomoci. Jednou z metod je poflakovat se s kuřáky venku na kouřové přestávce a pak se vrátit se skupinou dovnitř. Další metodou je vidět, že nese něco nepohodlného. Tato technika má ještě větší šanci na úspěch, pokud to, co nesete, může být pro ostatní. Pokud například máte pro „svůj tým“ tác s hrnky na kávu, existuje společenský tlak na to, aby vám někdo podržel dveře otevřené.

Velká část osobního sociálního inženýrství se spoléhá na nastavení scénáře a následné sebevědomí v jeho rámci. Například sociální inženýr se může vydávat za nějakého stavebního dělníka nebo uklízeče, který může být obecně přehlížen. Vystupování jako dobrý Samaritán a odevzdání „ztraceného“ USB flash disku může vést k tomu, že jej zaměstnanec připojí. Záměrem by bylo zjistit, komu patří, ale pak by to mohlo infikovat systém malwarem.

Tyto typy osobních útoků sociálního inženýrství mohou být velmi úspěšné, protože nikdo opravdu neočekává, že bude takto oklamán. Nesou však velké riziko pro útočníka, který má velmi reálnou šanci, že bude přistižen při činu.

Závěr

Sociální inženýrství je koncept manipulace lidí k dosažení cíleného cíle. Jedním ze způsobů je vytvořit reálně vypadající situaci, jak přimět oběť, aby jí uvěřila. Můžete také vytvořit scénář, ve kterém existuje společenský tlak nebo očekávání, že oběť bude jednat v rozporu se standardními bezpečnostními radami. Všechny útoky sociálního inženýrství však spoléhají na oklamání jedné nebo více obětí, aby provedly akci, kterou po nich útočník chce.