Středa , 20 Červen 2018
Domů / Internet / Bezpečnost / Sociální inženýrství : „hackování mozku“
Sociální inženýrství

Sociální inženýrství : „hackování mozku“

Sociální inženýrství je umění manipulovat s lidmi, aby se vzdali důvěrných informací. Informace, které zločinci hledají jsou různé, obvykle se pomocí klamu snaží získat hesla, bankovní informace, případně proniknout do počítače a tajně nainstalovat škodlivý software, který jim umožní přístup k heslům a bankovním informacím a také kontrolu nad počítačem.

Sociální inženýrství je v dnešní době využíváno hlavně pro jednoduchost. Je mnohem snazší využívat lidskou náklonost k důvěře, než programovat škodlivý kód. Je mnohem jednoduší někoho oklamat a vylákat z něj heslo, než zkoušet heslo prolomit. Pokud se nejedná o opravdu snadné heslo typu „heslo“, „qwertz“, „123456“ apod.

Princip bezpečnosti je jen o tom, komu a čemu věřit. Vědět, že osoba s níž komunikujeme je opravdu ta osoba, za kterou se vydává. Že osoba se kterou mluvíme po telefonu, je skutečně osoba o které si myslíme, že s ní hovoříme, nebo je oprávněná s námi jednat. Vždy musíme vědět komu citlivé informace poskytujeme. Jediný náznak pochybnosti by nás měl přimět žádné informace nesdělovat.

Nejslabším článkem v bezpečnostním řetězci je vždy člověk. Nezáleží na tom kolik zámků máme na dveřích a oknech, pokud si do domu pustíme cizího člověka. Osoba vydávající se za technika nemusí být technik jen proto, že tak vypadá a tvrdí to o sobě.

Příklady sociálního inženýrství

Existují různé triky sociálního inženýrství. Hlavní problém je ten, že ho může provádět každý kdo má přístup na internet, základní IT znalosti a nehoráznou „drzost“.

Email a vzkaz od přítele

Jestliže se podaří útočníkovi zjistit přes sociální inženýrství heslo k emailové schránce, získá přístup k veškerým kontaktům. A protože většina lidí používá stejné heslo k více účtům, pravděpodobně má útočník heslo i k sociálním sítím. Jakmile má k dispozici tyto přístupy, rozešlete emaily na všechny kontakty a pošle zprávy na všechny okruhy přátel na sociálních sítích. Taková zpráva v nás vyvolá důvěru a zájem.

Zpráva bude obsahovat zajímavý odkaz, obrázek, hudbu, film, dokument apod. Cokoliv co nás donutí na odkaz kliknout. A protože pochází od důvěryhodného přítele a jsme zvědaví, stáhneme ho.  Můžeme si pogratulovat. Právě jsme si nevědomě nainstalovali do počítače škodlivý obsah a útočník získal kontrolu nad našimi emailovými účty a sociálními médii. Tím bude škodklivý obsah šířit dál a dál.

Typické příklady podvodných emailů obsahují přesvědčivý text, nebo záminku typu :

Naléhavě žádám o pomoc, váš přítel byl zbit (okraden, v nebezpečí, uvíznul, v nemocnici apod.) Pošlete peníze aby se dostal domů.

Na takové zprávy je nejlepší nereagovat, neodpovídat a kontaktovat fyzicky vlastníka napadeného účtu o skutečnosti, že byly jeho hesla prolomena a je potřeba sjednat nápravu. Změnit hesla nepomůže, pokud je napadený počítač. Útočník by k nim měl znova přístup. Napaden může být zrovna tak smartphone, tablet či notebook. Je potřeba všechna zařízení zkontrolovat, popřípadě přeinstalovat.

Pokusy o phishing

Phising je obecně snaha útočníka přesměrovat nás na podvodnou stránku, která se tváří jako skutečná. Jedná se však o její zdařilou kopii, takže obět nemusí poznat rozdíl. Princip je jednoduchý. Nalákat vás na podvodnou stránku, kde :

  • Zadáte přihlašovací jméno a heslo
  • Zadáte číslo platební karty včetně tajného kódu v domění, že něco perfektního kupujeme (tabletky na erekci apod.)
  • Zadáte heslo došlé na váš email, nebo mobilní telefon

Ve všech případech se údaje odešlou útočníkovi. Ten je snadno zneužije k platbě platební kartou, sociálnímu inženýrství apod.

Typicky phisher pošle email, IM, Chat, SMS zprávu která vypadá, že pochází z legitimní důvěryhodné společnosti. Banka, Škola, Instituce apod. Vždy mají společný scenář:

  • Popisují vznik nějakého problému, který lze vyřešit ověřením našich údajů kliknutím na odkaz a potvrzením formuláře. Celá zpráva se bude zdát velmi důvěryhodná. Bude vypadat stejně a obsahovat stejná loga. Útočník ve zkutečnosti zkopíroval tento obsah i celý web, na který se nás snaží nasměrovat pomocí maskovaného odkazu. Zprávy často obsahují upozornění na strašné následky, pokud nebudeme okamžitě jednat.
  • Další scénář může vypadat takto: Zpráva tvrdí, že jsme vítězem loterie, lubilejním návštěvníkem, dědicem po zesnulém strýčkovi, nebo nám byla zaslána platba v bitcoinech a peníze obdržíme pouze a tehdy, klikneme li na přiložený odkaz. Snaží se z nás získat informace o účtu, telefonní číslo, heslo apod.

Jak poznat phishing stránku?

Jedná se o podvodnou stránku, která pouze vypadá jako skutečná. Ale nikdy nepoběží na opravdové adrese. Adresní řádek webového prohlížeče bude vždy obsahovat jinou adresu.

Podvodná stránka Facebook. Zdroj:Yun56.co
Podvodná stránka icloud.com. Zdroj: www.express.co.uk

Existuje doslova tisíce variant sociálních útoků. Jediné omezení útočníků je jejich vlastní nápaditost. Stačí se stát jeden jedinkrát obětí a už nejste nikdy v bezpečí. Útočníci totiž tyto osobní údaje následně prodávají dál. Jediný člověk se tak může stát oběti několika různých útočníků.

Nestát se obětí

  • Zpomalte. Myslete. SPAMMEři často chtějí, aby jste nejdřív jednali a pak mysleli. Nenechte se vtáhnout do jejich hry. Ignorujte naléhavé žádosti i potencionální urgence, nebo jiné finanční penalizace. Čas tady hraje velikou roli. Pokud budete vyzvání k odpovězení na zprávu obsahující citlivé údaje, jedná se o podvod.
  • Nebojte se odmítnout pomoc. Žádost od charity, kterou neznáte. Podvod. Buďte podezíraví. Banka ani žádná velká instituce Vás nebude žádat o pomoc, pokud jste si o ní sami nezažádali první. Přítel v nesnázích či v ohrožení života nebude žádat emailem o finanční pomoc vás, ale logicky by prvně volal ambulanci.
  • Pokud kliknete na nějaký odkaz, ujistěte se, že vás přesměroval přesně tam, kde chcete být. URL adresa v řádku prohlížeče se musí shodovat s cílovou stránkou.
  • Dávejte si pozor na data, která stahujete. Neotvírejte neznáme přílohy a soubory, které jste si sami nevyžádali.
  • Emaily ze zahraničí? Zahraniční loterie, žádost o peníze od příbuzného, žádost o převod peněž apod, vždy se jedná o podvod.
  • Zabepečte svá zařízení. Používejte antivirový software, bránu firewall a spamový filtr. Nastavte automatickou aktualizaci PC, tabletu, notebooku i smartphonu.

Lidé často podcenují význam silného hesla. Někteří se dokonce nebojí prolomení hesla, neboť jsou přesvědčeni, že žádné citlivé údaje v emailové schránce nemají a nedají se zneužít. Neuvědomují si ale, že se tak stávají nástrojem (prostředníkem) útoku. V potencionálním ohrožení jsou lidé okolo, přátelé a rodina. neboť právě jim přijdou podvodné zprávy od důvěryhodného člověka. O to snáz se mohou stát oběti phishingu a přijít o své životní úspory. Vše jen díky slabému heslu emailu.

Pamatovat si silná hesla pro všechny své účty není možné. Existují ale nástroje, které jsou šifrované a pamatují si naše hesla za nás. Mít silné heslo samo o sobě nestačí. Důležité je i hesla pravidelně měnit. Což se správcem hesel není žádný problém, navíc heslo sám vygeneruje.

Napsal Stanislav Král

Bloguje pro normální lidi zajímající se o webové stránky a e-shopy. Snaží se odpovědět na otázku jak založit e-shop, vybudovat web a nastartovat podnikání. Rád nahlíží za oponu internetu a hledá souvislosti mezi jednotlivými kusy kódu. Kryptografie a kryptoměny jsou jeho koníčkem, protože bezpečí a anonymita bude hrát klíčovou roli v budoucím světě.

Tohle checkuj

Google robot captcha

Co je Captcha a jak pozná, že nejsem robot?

Captcha, reCaptcha a NoCaptcha. To jsou nejznámější bezpečnostní prvky proti automatickému odesílání formulářů na webových …

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *