Ako funguje sociálne inžinierstvo?
Väčšina techník sociálneho inžinierstva nevyžaduje žiadnu odbornú zručnosť zo strany útočníka. Preto sa o takýto útok môže pokúsiť naozaj každý – od drobných zlodejov až po tých najrafinovanejších útočníkov.
V oblasti kybernetickej bezpečnosti existuje mnoho techník, ktoré spadajú pod sociálne inžinierstvo. Medzi najznámejšie patrí spam a phishing.
Spam je každá forma nevyžiadanej komunikácie odoslaná hromadne. Najčastejšie ide o e‑mail odoslaný čo najväčšiemu počtu používateľov. Spam však môže byť doručený aj prostredníctvom rôznych elektornických správ, SMS a sociálnych médií. Spam samotný nie je technikou sociálneho inžinierstva, ale niektoré z jeho kampaní takéto techniky využívajú, napríklad phishing, spearphishing, vishing, smishing alebo šírenie škodlivých príloh či odkazov.
Phishing je forma kybernetického útoku, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie. Tieto typy podvodu sa zvyčajne snažia vyvolať dojem naliehavosti, prípadne využívajú zastrašovaciu taktiku, aby obeť prinútili vyhovieť útočníkovým požiadavkám. Phishingové kampane môžu byť zacielené na veľké množstvo anonymných používateľov alebo na konkrétnu osobu či osoby.
Takýchto techník je však oveľa viac. Dávajte si pozor aj na tieto:
Prečo by sa malé a stredné firmy mali zaoberať sociálnym inžinierstvom?
Podľa prieskumu, ktorý v roku 2019 uskutočnila spoločnosť Zogby Analytics pre americkú Národnú alianciu pre kybernetickú bezpečnosť (National Cyber Security Alliance), si malé a stredné firmy čoraz viac uvedomujú, že sú terčom kybernetických útokov. Takmer polovica (44 %) firiem s 251 až 500 zamestnancami uviedla, že za posledných 12 mesiacov u nich došlo k oficiálnemu úniku údajov. Prieskum ukázal, že 88 % malých firiem sa považuje za aspoň „trochu pravdepodobný“ cieľ kybernetických útokov, pričom takmer polovica (46 %) si myslí, že sú „veľmi pravdepodobným“ terčom.
Škoda je reálna a rozsiahla, o čom svedčí aj výročná správa Centra FBI pre internetové zločiny (IC3). Podľa odhadov FBI prišli americké spoločnosti len v roku 2018 v dôsledku kybernetických útokov o viac než 2,7 miliardy dolárov. Z toho sa strata 1,2 miliardy dolárov pripisuje útokom zameraným na kompromitáciu firemných e‑mailov (BEC, business email compromise) alebo e‑mailových účtov (EAC, email account compromise), ktoré boli zneužité na schválenie neoprávnených prevodov finančných prostriedkov.
Ako rozpoznať útok pomocou sociálneho inžinierstva?
Existuje niekoľko varovných signálov, ktoré môžu byť predzvesťou útoku pomocou sociálneho inžinierstva. Jedným z nich je zlá gramatika a pravopis. Ďalším je zvýšený pocit naliehavosti, ktorý má prinútiť príjemcu, aby slepo konal. Každá žiadosť o poskytnutie citlivých údajov by mala okamžite vzbudiť pozornosť, keďže renomované spoločnosti sa zvyčajne nepýtajú na heslá či osobné údaje cez e‑maily alebo SMS správy.
Medzi varovné signály, ktoré poukazujú na sociálne inžinierstvo, patria:
1. Nedostatočné jazykové znalosti a všeobecné formulácie
2. Zvláštna e‑mailová adresa odosielateľa
3. Dojem naliehavosti
4. Žiadosť o poskytnutie citlivých informácií
5. Ak niečo znie až príliš dobre na to, aby to bola pravda, pravdepodobne ide o podvod
Päť spôsobov, ako chrániť organizáciu pred útokmi pomocou sociálneho inžinierstva
1. Organizujte pravidelné školenia o kybernetickej bezpečnosti pre VŠETKÝCH zamestnancov vrátane vrcholového manažmentu a IT pracovníkov. Nezabudnite, že takéto školenie by malo obsahovať názorné ukážky alebo simulácie scenárov zo skutočného života. Jednotlivé body prezentované na školení musia byť uskutočniteľné a predovšetkým aktívne odskúšané v praxi: techniky sociálneho inžinierstva sa spoliehajú na nízke povedomie obetí o kybernetickej bezpečnosti.
2. Kontrolujte používanie slabých hesiel, ktoré by mohli útočníkom otvoriť pomyselné dvere do vašej firemnej siete. Okrem toho chráňte heslá pomocou ďalšej vrstvy zabezpečenia a implementujte viacfaktorovú autentifikáciu.
3. Zavádzajte technické riešenia na boj proti podvodnej komunikácii, ktoré zachytia spam a phishingové správy, umiestnia ich do karantény, neutralizujú a odstránia. Niektoré z týchto opatrení alebo aj všetky dokážu zabezpečiť práve bezpečnostné riešenia vrátane mnohých produktov ESET.
4. Vytvárajte zrozumiteľné bezpečnostné politiky, ktoré zamestnanci dokážu aplikovať v praxi a podľa ktorých budú vedieť, čo majú robiť pri útoku využívajúcom techniky sociálneho inžinierstva.
5. Používajte bezpečnostné riešenia a nástroje na správu, ako napríklad ESET Cloud Administrator, na ochranu koncových zariadení a sietí vo vašej firme. Správcovia tak budú mať o všetkom prehľad a dokážu zachytiť a minimalizovať potenciálne hrozby v sieti.
Bojujte proti sociálnemu inžinierstvu
ESET PROTECT
Advanced
Chráňte svoju firmu pred sociálnym inžinierstvom pomocou viacvrstvového zabezpečenia koncových zariadení od spoločnosti ESET, ktoré zahŕňa cloudový systém LiveGrid®, ochranu pred sieťovými útokmi a cloudovú konzolu ESET PROTECT. Vďaka tomu budú mať správcovia úplný, podrobný a neustály prehľad o sieti.
