Čo je to sociálne inžinierstvo a ako sa tomu môžete vyhnúť?
Škodlivý softvér nie je jedinou online hrozbou, pre ktorú sa obávate. Sociálne inžinierstvo je obrovská hrozba a môže vás zasiahnuť na ľubovoľnom operačnom systéme. Sociálne inžinierstvo sa v skutočnosti môže vyskytnúť aj telefonicky a v situáciách tvárou v tvár.
Je dôležité si uvedomiť sociálne inžinierstvo a byť na pozore. Bezpečnostné programy vás nebránia pred väčšinou hrozieb sociálneho inžinierstva, takže sa musíte chrániť.
Spracovanie sociálneho inžinierstva
Tradičné útoky na počítačoch často závisia od nájdenia zraniteľnosti v kóde počítača. Napríklad, ak používate zastaralú verziu Adobe Flash - alebo, bože zakázať, Java, čo bolo príčinou 91% útokov v roku 2013 podľa Cisco - môžete navštíviť škodlivú webovú stránku a webovú stránku by zneužil zraniteľnosť vo vašom softvéri, aby získal prístup k vášmu počítaču. Útočník manipuluje s chybami v softvéri, aby získal prístup a zhromažďoval súkromné informácie, možno s keyloggerom, ktorý inštalujú.
Triky sociálneho inžinierstva sú odlišné, pretože namiesto toho zahŕňajú psychickú manipuláciu. Inými slovami, využívajú ľudí, nie softvér.
Pravdepodobne ste už počuli o phishingu, čo je forma sociálneho inžinierstva. Môžete dostať e-mail s tvrdením, že pochádza od vašej banky, spoločnosti kreditnej karty alebo inej dôveryhodnej firmy. Môžu vás nasmerovať na falošnú webovú stránku maskovanú, aby vyzerala ako skutočná stránka, alebo vás požiada o prevzatie a inštaláciu škodlivého programu. Také sociálno-technické triky však nemusia obsahovať falošné webové stránky alebo škodlivý softvér. Phishingový e-mail vám môže jednoducho požiadať, aby ste poslali e-mailovú odpoveď so súkromnými informáciami. Namiesto toho, aby sa snažili zneužiť chybu v softvéri, pokúšajú sa využívať normálne ľudské interakcie. Spear phishing môže byť ešte nebezpečnejší, pretože je to forma phishingu určená na zacielenie na konkrétnych jednotlivcov.
Príklady sociálneho inžinierstva
Jeden populárny trik v chatových službách a online hrách je zaregistrovať účet s menom ako "Administrator" a posielať ľuďom desivé správy ako "UPOZORNENIE: Zistili sme, že niekto môže hackovať váš účet a odpovedať s vaším heslom, aby ste sa overili." Ak cieľ odpovedá svojím heslom, padol za trik a útočník má teraz heslo svojho účtu.
Ak má niekto na vás osobné informácie, mohli by ho použiť na získanie prístupu k vašim účtom. Napríklad informácie, ako je dátum narodenia, číslo sociálneho poistenia a číslo kreditnej karty, sa často používajú na identifikáciu vás. Ak niekto má tieto informácie, môže kontaktovať firmu a predstierať, že ste vy. Tento trik bol slávne používaný útočníkom, aby získal prístup k Yahoo! Sarah Palinovej Poštový účet v roku 2008, odoslanie dostatok osobných údajov, aby ste získali prístup k účtu prostredníctvom formulára obnovenia hesla Yahoo !. Rovnaká metóda by sa dala použiť aj na telefón, ak máte osobné informácie, ktoré podnik vyžaduje, aby vás overil. Útočník s určitými informáciami o cieli môže predstierať, že je on a získať prístup k viacerým veciam.
Sociálne inžinierstvo by sa mohlo použiť aj osobne. Útočník by mohol chodiť do podniku, informovať tajomníka o tom, že sú opravárom, novým zamestnancom alebo požiarnym inšpektorom autoritatívnym a presvedčivým tónom, a potom túlať po chodbách a potenciálne ukradnúť dôverné údaje alebo chyby pri výkone firemnej špionáže. Tento trik závisí od útočníka, ktorý sa prezentuje ako niekto iný. Ak sekretárka, vrátnik alebo ktokoľvek iný je zodpovedný, nevyžaduje príliš veľa otázok alebo sa nezaoberá príliš úzko, trik bude úspešný.
Sociálno-inžinierske útoky sa dotýkajú množstva falošných webových stránok, podvodných e-mailov a hanebných chatových správ až po zosobnenie niekoho na telefóne alebo osobne. Tieto útoky prichádzajú v širokej škále foriem, ale všetci majú jednu spoločnú vec - závisia od psychologických trikov. Sociálne inžinierstvo sa nazýva umenie psychologickej manipulácie. Je to jeden z hlavných spôsobov, ako "hackeri" skutočne "hackujú" účty online.
Ako zabrániť sociálnemu inžinierstvu
Poznanie sociálneho inžinierstva vám môže pomôcť bojovať proti nemu. Buďte podozriví z nevyžiadaných e-mailov, chatových správ a telefonických hovorov, ktoré vyžadujú súkromné informácie. Nikdy nezverejňujte prostredníctvom emailu finančné informácie ani dôležité osobné informácie. Neťahajte potenciálne nebezpečné prílohy e-mailov a spustite ich, dokonca aj vtedy, keď e-maily tvrdia, že sú dôležité.
Nesmiete tiež sledovať odkazy v e-maile na citlivé webové stránky. Neklikajte napríklad na odkaz v e-maile, ktorý sa zdá byť z vašej banky a prihláste sa. Môže sa dostať na falošné stránky neoprávneného získavania údajov, ktoré sa skryjú tak, aby vyzerali ako stránky vašej banky, ale s jemne odlišnou adresou URL. Navštívte webovú stránku priamo.
Ak dostanete podozrivú požiadavku - napríklad telefonický hovor od vašej banky vyžaduje osobné informácie - kontaktujte priamo zdroj žiadosti a požiadajte o potvrdenie. V tomto príklade by ste volať svoju banku a opýtať sa, čo chcú, skôr ako zverejniť informácie na niekoho, kto tvrdí, že je vaša banka.
Programy na odosielanie e-mailov, webové prehliadače a zabezpečovacie súpravy majú zvyčajne filtre typu phishing, ktoré vás varujú pri návšteve známeho phishingového webu. Jediné, čo môžu urobiť, je upozorniť vás na návštevu známeho phishingového webu alebo na získanie známeho phishingového e-mailu a nevedia o všetkých phishingových stránkach alebo e-mailech. Z väčšej časti je na vás, aby ste sa ochránili - bezpečnostné programy môžu pomôcť len trochu.
Je to dobrý nápad uplatniť zdravé podozrenie pri riešení žiadostí o súkromné údaje a čokoľvek iného, čo by mohlo byť útokom sociálneho inžinierstva. Podozrenie a opatrnosť vám pomôžu ochrániť vás, on-line aj offline.
Image Credit: Jeff Turnet na Flickr