Sociální inženýrství
Co je sociální inženýrství?
Sociální inženýrství označuje různé netechnické formy útoku, pomocí kterých dokáží kybernetičtí zločinci zmanipulovat uživatele k tomu, aby ignorovali bezpečnostní nebo jiné (firemní) postupy a předali útočníkovi citlivé informace nebo mu umožnili přístup k financím.
Jak funguje sociální inženýrství?
Útočník se zpravidla vydává za nějakou autoritu nebo za zástupce známé instituce. V oběti se pokusí vyvolat nějakou emoci (radost, strach nebo často stud) pomocí lživé informace. Typický je také tlak na to, aby uživatel reagoval co nejrychleji. Útočníci se takto snaží z uživatele vylákat citlivé informace, data či peníze.
Většina technik sociálního inženýrství nevyžaduje od útočníka žádné technické znalosti. Proto se může stát útočníkem téměř kdokoli: od drobných zlodějů až po ty nejsofistikovanější útočníky.
Řada dalších kybernetických útoků techniky sociálního inženýrství zneužívá, mezi nejznámější patří spam a phishing.
Postupy sociálního inženýrství zneužívají také tyto útoky a hrozby:
- Spear phishing je cílená forma phishingu, kdy útočník odesílá vysoce přizpůsobené zprávy omezené skupině lidí nebo jednotlivci s cílem získat jejich citlivá data nebo je zmanipulovat k provedení škodlivé akce.
- Vishing a Smishing jsou techniky sociálního inženýrství podobné phishingu, ale prováděné jinými prostředky než e-mailem. Vishing (hlasový phishing) používá podvodné telefonní hovory, zatímco smishing (SMS phishing) textové zprávy SMS obsahující škodlivé odkazy nebo obsah.
- Zosobnění (impersonace) má v kybernetické bezpečnosti podobný význam jako jeho ekvivalent v reálném světě. Kybernetičtí zločinci jednají pod falešnou identitou ve jménu důvěryhodné osoby a snaží se navést oběti k činům, které poškozují danou osobu nebo její organizaci. Typickým příkladem je útočník, který se vydává za generálního ředitele společnosti v době jeho nepřítomnosti a objednává a schvaluje podvodné transakce.
- Whaling (lov velryb) je útok, při kterém útočníci cílí na „velké ryby“, tedy na konkrétní, většinou vysoce postavené osoby, např. vrcholové manažery nebo majitele firem.
- Falešná technická podpora obvykle zahrnuje podvodné telefonáty nebo webové reklamy, v rámci kterých útočníci nabízejí obětem nevyžádané služby technické podpory. Ve skutečnosti se kybernetičtí zločinci snaží vydělat peníze prodejem falešných služeb a řešením neexistujících problémů.
- Scareware je software, který se snaží vyvolat strach a úzkost a zmanipulovat oběť k instalaci škodlivého kódu na vlastní zařízení. Obvykle útočník inkasuje za nefunkční či dokonce škodlivý software finanční prostředky. Typickým příkladem je nabídka instalace falešného antivirového programu jako řešení údajného napadení zařízení uživatele.
- Sextorze zpravidla začíná e-mailem, který se snaží oběť vydírat smyšlenou lechtivou nahrávkou oběti. Vyděrač obvykle tvrdí, že už nějaký čas uživatele sleduje přes webkameru, a dokonce má nahrávku, na které je oběť vidět při sledování pornografie. Vyhrožuje, že pokud oběť nezaplatí výkupné, nahrávku zveřejní a zcela zničí pověst oběti.
Přiručka o sociálním inženýrství
Stáhněte si zdarma náš e-book, kde zjistíte, jak poznat podvodnou zprávu nebo telefonát. Odhalte techniky sociálního inženýrství.
Jak poznat sociální inženýrství?
Na rozdíl od většiny ostatních typů kybernetických útoků se sociální inženýrství spoléhá spíše na slabiny v lidské psychice než na mezery v technologických řešeních. Využívá důvěry, strachu nebo nepozornosti lidí.
Podezření na útok by ve vás měla vyvolat přílišná naléhavost sdělení, která se snaží donutit příjemce jednat bez rozmyslu, nebo nestandardní žádost o citlivá data. Renomované společnosti nikdy nepožadují hesla ani osobní údaje prostřednictvím e-mailů nebo po telefonu.
Více o tom, jak sociální inženýrství poznat, se dozvíte v Příručce o sociálním inženýrství.
5 způsobů, jak vaši organizaci ochránit
- Pravidelné školení kybernetické bezpečnosti všech zaměstnanců, včetně vrcholového managementu a zaměstnanců IT. Pamatujte, že takové školení by mělo ukázat nebo simulovat scénáře z reálného života. Techniky sociálního inženýrství spoléhají u svých cílů na jejich nízkou úroveň znalostí z kybernetické bezpečnosti.
- Vyvarujte se slabých hesel, která se mohou stát pro útočníky otevřenými dveřmi do sítě vaší organizace. Kromě hesla chraňte účty pomocí vícefaktorového ověřování.
- Implementujte technologie na boj proti podvodné komunikaci, které zachytí spam a phishingové zprávy, umístí je do karantény, neutralizují a odstraní. Některá z těchto opatření nebo všechny najednou pokrývají ucelená bezpečnostní řešení na trhu včetně mnoha produktů ESET.
- Vytvořte srozumitelné bezpečnostní politiky, kterým zaměstnanci porozumí a dokáží je použít v případě, že se setkají s kybernetickým útokem.
- Používejte bezpečnostní řešení a nástroje pro správu, jako například ESET PROTECT Cloud, na ochranu koncových zařízení a sítí ve vaší firmě. Správci tak budou mít přehled o všem a dokáží zachytit a minimalizovat potenciální hrozby v síti.