Ako funguje sociálne inžinierstvo?
Väčšina techník sociálneho inžinierstva nevyžaduje žiadnu odbornú zručnosť zo strany útočníka. Preto sa o takýto útok môže pokúsiť naozaj každý – od drobných zlodejov až po tých najrafinovanejších útočníkov.
V oblasti kybernetickej bezpečnosti existuje mnoho techník, ktoré spadajú pod sociálne inžinierstvo. Medzi najznámejšie patrí spam a phishing.
Spam je každá forma nevyžiadanej komunikácie odoslaná hromadne. Najčastejšie ide o e‑mail odoslaný čo najväčšiemu počtu používateľov. Spam však môže byť doručený aj prostredníctvom rôznych elektornických správ, SMS a sociálnych médií. Spam samotný nie je technikou sociálneho inžinierstva, ale niektoré z jeho kampaní takéto techniky využívajú, napríklad phishing, spearphishing, vishing, smishing alebo šírenie škodlivých príloh či odkazov.
Phishing je forma kybernetického útoku, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie. Tieto typy podvodu sa zvyčajne snažia vyvolať dojem naliehavosti, prípadne využívajú zastrašovaciu taktiku, aby obeť prinútili vyhovieť útočníkovým požiadavkám. Phishingové kampane môžu byť zacielené na veľké množstvo anonymných používateľov alebo na konkrétnu osobu či osoby.
Takýchto techník je však oveľa viac. Dávajte si pozor aj na tieto:
Spearphishing je cielená forma phishingu, pri ktorej útočník odošle vysoko prispôsobené správy malej skupine osôb, či dokonca jednotlivcom s cieľom získať ich údaje alebo ich zmanipulovať k škodlivému konaniu.
Vishing a smishing sú techniky sociálneho inžinierstva podobné phishingu. Namiesto e‑mailu však využívajú iné prostriedky. Pri vishingu (hlasovom phishingu) ide o podvodné telefonáty a pri smishingu (SMS phishingu) o SMS správy so škodlivými odkazmi alebo obsahom.
Zosobnenie (Impersonation) má v oblasti kybernetickej bezpečnosti podobný význam ako v skutočnom svete. Kybernetickí zločinci vystupujú v mene dôveryhodnej osoby s cieľom naviesť svoje obete na také konanie, ktoré môže poškodiť ich alebo firmu, v ktorej pracujú. Typickým príkladom je útočník, ktorý sa v neprítomnosti výkonného riaditeľa spoločnosti vydáva za neho a žiada alebo schvaľuje podvodné transakcie.
Falošná technická podpora zvyčajne zahŕňa podvodné telefonáty alebo webové reklamy, v rámci ktorých útočníci ponúkajú obetiam nevyžiadané služby technickej podpory. V skutočnosti sa kybernetickí zločinci snažia zarobiť peniaze predajom falošných služieb a riešením neexistujúcich problémov.
Scareware je softvér, ktorý využíva rôzne zastrašujúce techniky s cieľom zmanipulovať obete k inštalácii ďalšieho škodlivého kódu na ich zariadenia. Zvyčajne pritom požaduje platby za nefunkčný alebo vyslovene nebezpečný softvér. Typickým príkladom je falošný antivírusový produkt navrhnutý tak, aby používateľov oklamal, že ich zariadenia sú ohrozené, a ak chcú problém odstrániť, musia si nainštalovať konkrétny (zvyčajne škodlivý) softvér.
Kybernetické podvody sú podvodné schémy, ktoré často využívajú jednu alebo viacero techník sociálneho inžinierstva popísaných v tejto sekcii.
Prečo by sa malé a stredné firmy mali zaoberať sociálnym inžinierstvom?
Podľa prieskumu, ktorý v roku 2019 uskutočnila spoločnosť Zogby Analytics pre americkú Národnú alianciu pre kybernetickú bezpečnosť (National Cyber Security Alliance), si malé a stredné firmy čoraz viac uvedomujú, že sú terčom kybernetických útokov. Takmer polovica (44 %) firiem s 251 až 500 zamestnancami uviedla, že za posledných 12 mesiacov u nich došlo k oficiálnemu úniku údajov. Prieskum ukázal, že 88 % malých firiem sa považuje za aspoň „trochu pravdepodobný“ cieľ kybernetických útokov, pričom takmer polovica (46 %) si myslí, že sú „veľmi pravdepodobným“ terčom.
Škoda je reálna a rozsiahla, o čom svedčí aj výročná správa Centra FBI pre internetové zločiny (IC3). Podľa odhadov FBI prišli americké spoločnosti len v roku 2018 v dôsledku kybernetických útokov o viac než 2,7 miliardy dolárov. Z toho sa strata 1,2 miliardy dolárov pripisuje útokom zameraným na kompromitáciu firemných e‑mailov (BEC, business email compromise) alebo e‑mailových účtov (EAC, email account compromise), ktoré boli zneužité na schválenie neoprávnených prevodov finančných prostriedkov.
Ako rozpoznať útok pomocou sociálneho inžinierstva?
Existuje niekoľko varovných signálov, ktoré môžu byť predzvesťou útoku pomocou sociálneho inžinierstva. Jedným z nich je zlá gramatika a pravopis. Ďalším je zvýšený pocit naliehavosti, ktorý má prinútiť príjemcu, aby slepo konal. Každá žiadosť o poskytnutie citlivých údajov by mala okamžite vzbudiť pozornosť, keďže renomované spoločnosti sa zvyčajne nepýtajú na heslá či osobné údaje cez e‑maily alebo SMS správy.
Medzi varovné signály, ktoré poukazujú na sociálne inžinierstvo, patria:
1. Nedostatočné jazykové znalosti a všeobecné formulácie
Útočníci zvyčajne nevenujú príliš veľkú pozornosť detailom. Ich správy preto môžu obsahovať veľa preklepov a gramatických chýb alebo sú v nich vynechané slová. Ďalším jazykovým prvkom, ktorý môže signalizovať pokus o útok, je všeobecný pozdrav a formulácie. Ak sa e‑mail začína oslovením „Milý príjemca“ alebo „Milý používateľ“, zbystrite pozornosť.
2. Zvláštna e‑mailová adresa odosielateľa
Väčšina tvorcov spamu sa nesnaží sfalšovať názov alebo doménu odosielateľa tak, aby pôsobili dôveryhodne. Ak teda e‑mail prichádza z adresy, ktorá je kombináciou náhodných čísel a znakov alebo ktorú prijímateľ nepozná, mal by skončiť rovno v spamovom priečinku a byť nahlásený IT oddeleniu.
3. Dojem naliehavosti
Zločinci stojaci za útokmi využívajúcimi techniky sociálneho inžinierstva sa často snažia vystrašiť a zmanipulovať svoje obete pomocou fráz, ktoré vyvolávajú pocit úzkosti, napríklad „ihneď nám pošlite svoje údaje, inak bude váš balík vyhodený“ alebo „ak si okamžite neaktualizujete profil, váš účet zrušíme“. Banky, zásielkové spoločnosti, verejné inštitúcie, a dokonca aj interné oddelenia firiem zvyčajne komunikujú neutrálnym a faktickým spôsobom. Ak teda správa tlačí na prijímateľa, aby konal rýchlo, ide pravdepodobne o škodlivý a potenciálne nebezpečný podvod.
4. Žiadosť o poskytnutie citlivých informácií
Inštitúcie, a dokonca ani firemné oddelenia zvyčajne nežiadajú od zamestnancov citlivé informácie e‑mailom alebo telefonicky (ak kontakt nebol iniciovaný samotným zamestnancom).
5. Ak niečo znie až príliš dobre na to, aby to bola pravda, pravdepodobne ide o podvod
To platí pre nevyžiadané dary na sociálnych sieťach, ako aj pre tú „vynikajúcu, no časovo obmedzenú obchodnú príležitosť“, ktorá vám práve pristála v doručenej pošte.
Päť spôsobov, ako chrániť organizáciu pred útokmi pomocou sociálneho inžinierstva
1. Organizujte pravidelné školenia o kybernetickej bezpečnosti pre VŠETKÝCH zamestnancov vrátane vrcholového manažmentu a IT pracovníkov. Nezabudnite, že takéto školenie by malo obsahovať názorné ukážky alebo simulácie scenárov zo skutočného života. Jednotlivé body prezentované na školení musia byť uskutočniteľné a predovšetkým aktívne odskúšané v praxi: techniky sociálneho inžinierstva sa spoliehajú na nízke povedomie obetí o kybernetickej bezpečnosti.
2. Kontrolujte používanie slabých hesiel, ktoré by mohli útočníkom otvoriť pomyselné dvere do vašej firemnej siete. Okrem toho chráňte heslá pomocou ďalšej vrstvy zabezpečenia a implementujte viacfaktorovú autentifikáciu.
3. Zavádzajte technické riešenia na boj proti podvodnej komunikácii, ktoré zachytia spam a phishingové správy, umiestnia ich do karantény, neutralizujú a odstránia. Niektoré z týchto opatrení alebo aj všetky dokážu zabezpečiť práve bezpečnostné riešenia vrátane mnohých produktov ESET.
4. Vytvárajte zrozumiteľné bezpečnostné politiky, ktoré zamestnanci dokážu aplikovať v praxi a podľa ktorých budú vedieť, čo majú robiť pri útoku využívajúcom techniky sociálneho inžinierstva.
5. Používajte bezpečnostné riešenia a nástroje na správu, ako napríklad ESET Cloud Administrator, na ochranu koncových zariadení a sietí vo vašej firme. Správcovia tak budú mať o všetkom prehľad a dokážu zachytiť a minimalizovať potenciálne hrozby v sieti.
Bojujte proti sociálnemu inžinierstvu
ESET PROTECT
Advanced
Chráňte svoju firmu pred sociálnym inžinierstvom pomocou viacvrstvového zabezpečenia koncových zariadení od spoločnosti ESET, ktoré zahŕňa cloudový systém LiveGrid®, ochranu pred sieťovými útokmi a cloudovú konzolu ESET PROTECT. Vďaka tomu budú mať správcovia úplný, podrobný a neustály prehľad o sieti.