Čo je sociálne inžinierstvo? Komplexný pohľad

Sociálne inžinierstvo je rozsiahla téma, ktorá sa dotýka kybernetickej bezpečnosti, ale aj bežného života. V jednoduchosti ho môžeme definovať ako premyslený postup, založený na klamstve, manipulácii alebo nátlaku, ktorým sa útočník snaží dosiahnuť svoj cieľ. Cieľom je získať citlivé informácie, prístup k systémom alebo prinútiť obeť vykonať činnosť, ktorá je v prospech útočníka. Hoci sa často spája s kybernetickými útokmi, jeho princípy sa dajú pozorovať aj v iných oblastiach, napríklad v obchode.

Ako funguje sociálne inžinierstvo?

Väčšina techník sociálneho inžinierstva nevyžaduje žiadne odborné zručnosti zo strany útočníka. Preto sa o takýto útok môže pokúsiť naozaj každý - od drobných zlodejov až po tých najrafinovanejších útočníkov. Dôležitým prvkom je dôvera, ktorú sa útočník snaží u obete vybudovať.

Techniky sociálneho inžinierstva v kybernetickej bezpečnosti

V oblasti kybernetickej bezpečnosti existuje mnoho techník, ktoré spadajú pod sociálne inžinierstvo. Medzi najznámejšie patria:

  • Spam: Je každá forma nevyžiadanej komunikácie odoslaná hromadne. Spam však môže byť doručený aj prostredníctvom rôznych elektornických správ, SMS a sociálnych médií. Spam samotný nie je technikou sociálneho inžinierstva, ale niektoré z jeho kampaní takéto techniky využívajú, napríklad phishing, spearphishing, vishing, smishing alebo šírenie škodlivých príloh či odkazov.
  • Phishing: Je forma kybernetického útoku, pri ktorom sa zločinec vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie. Tieto typy podvodu sa zvyčajne snažia vyvolať dojem naliehavosti, prípadne využívajú zastrašovaciu taktiku, aby obeť prinútili vyhovieť útočníkovým požiadavkám. Phishingové kampane môžu byť zacielené na veľké množstvo anonymných používateľov alebo na konkrétnu osobu či osoby.
  • Spearphishing: Je cielená forma phishingu, pri ktorej útočník odošle vysoko prispôsobené správy malej skupine osôb, či dokonca jednotlivcom s cieľom získať ich údaje alebo ich zmanipulovať k škodlivému konaniu.
  • Vishing a Smishing: Sú techniky sociálneho inžinierstva podobné phishingu. Pri vishingu (hlasovom phishingu) ide o podvodné telefonáty a pri smishingu (SMS phishingu) o SMS správy so škodlivými odkazmi alebo obsahom.
  • Zosobnenie (Impersonation): Má v oblasti kybernetickej bezpečnosti podobný význam ako v skutočnom svete. Kybernetickí zločinci vystupujú v mene dôveryhodnej osoby s cieľom naviesť svoje obete na také konanie, ktoré môže poškodiť ich alebo firmu, v ktorej pracujú. Typickým príkladom je útočník, ktorý sa v neprítomnosti výkonného riaditeľa spoločnosti vydáva za neho a žiada alebo schvaľuje podvodné transakcie.
  • Falošná technická podpora: Zvyčajne zahŕňa podvodné telefonáty alebo webové reklamy, v rámci ktorých útočníci ponúkajú obetiam nevyžiadané služby technickej podpory. V skutočnosti sa kybernetickí zločinci snažia zarobiť peniaze predajom falošných služieb a riešením neexistujúcich problémov.
  • Scareware: Je softvér, ktorý využíva rôzne zastrašujúce techniky s cieľom zmanipulovať obete k inštalácii ďalšieho škodlivého kódu na ich zariadenia. Zvyčajne pritom požaduje platby za nefunkčný alebo vyslovene nebezpečný softvér. Typickým príkladom je falošný antivírusový produkt navrhnutý tak, aby používateľov oklamal, že ich zariadenia sú ohrozené, a ak chcú problém odstrániť, musia si nainštalovať konkrétny (zvyčajne škodlivý) softvér.
  • Kybernetické podvody: Sú podvodné schémy, ktoré často využívajú jednu alebo viacero techník sociálneho inžinierstva.
  • Baiting: Útočník nastraží infikované fyzické dátové médium (napr. USB kľúč, DVD alebo iné) na mieste, kde ho obeť určite nájde. Variáciou je baiting prostredníctvom online reklamy a webových stránok, ktoré ponúkajú niečo príliš dobré na to, aby to bola pravda. Ďalšou formou sú bezplatné wifi siete.
  • Watering hole: Útoky využívajú dôveryhodné webové stránky na infikáciu počítača obete. Útočník zneužije zraniteľnosti týchto stránok a vloží do nich kód, ktorý umožní stiahnutie malvéru do počítača obete.
  • Pretexting: Vytvorenie falošnej identity alebo scenára na získanie dôverných informácií.
  • Quid Pro Quo: Ponuka služby alebo protislužby výmenou za informácie.
  • Reverzné sociálne inžinierstvo: Útočník vytvorí situáciu, pri ktorej obeť sama príde za útočníkom.

Sociálne inžinierstvo v reálnom svete

Princípy sociálneho inžinierstva sa dajú aplikovať aj mimo kybernetického priestoru. Napríklad, v bazároch s ojazdenými autami sa predajca môže najskôr zaujímať o vás osobne, prehodí pár zdvorilostných viet, spýta sa, či ste ženatý, či máte deti, kde pracujete, kde ste boli na dovolenke. Prišli ste si kúpiť praktické SUV, ale predajcovi ste povedali, že ste slobodný, nemáte deti, na dovolenke ste boli v Taliansku, a zrazu stojíte pri športovom aute. Predajca v tej chvíli využije všetky informácie, ktoré od vás získal na to, aby predal auto, ktoré ste nechceli, a za ktoré získa väčšiu províziu.

V bežnom svete, kde ste s ľuďmi v osobnom kontakte, je jednoduchšie odhaliť klamstvo, zavádzanie alebo praktiky sociálneho inžinierstva. No vo virtuálnom svete internetu je to podstatne zložitejšie.

Prečítajte si tiež: Prehľad reklám, ktoré neboli zakázané

Psychologické princípy v pozadí sociálneho inžinierstva

Pri snahe pochopiť, ako útočníci podrobujú svoje obete, je potrebné načrieť do oblasti marketingu, kde fenomén presviedčania hrá hlavnú rolu. Americký profesor Robert Cialdini identifikoval šesť princípov, ktorými spoločnosti ovplyvňujú ľudí:

  1. Autorita: Ľudia sa učia, aby neodporovali autoritám a nasledovali ich. Útočník sa snaží navodiť dojem, že je autoritou.

  2. Náklonnosť: Ľudia majú tendenciu dôverovať svojim blízkym známym a nechať sa nimi ovplyvniť. Útočník sa vydáva za osobu z okolia obete.

  3. Spoločenské schválenie: Človek sa radšej podrobí názoru alebo konaniu väčšiny, než aby použil vlastnú hlavu. Útočníci využívajú falošné správy, prieskumy, petície a iné záležitosti, do ktorých sa zapája väčšie množstvo ľudí.

  4. ** reciprocity (vzájemnost):** Keď vám niekto urobí láskavosť, vy mu ju chcete vrátiť. Útočníci rozosielajú poukážky na nákup alebo zľavu a požadujú registráciu na priloženom linku, kde vyplníte svoje meno a kontaktné údaje.

    Prečítajte si tiež: Všetko o nemocenských dávkach

  5. Nedostatok (Scarcity): Keď vás niekto vystaví do časovej tiesne, chcete vyriešiť danú situáciu čo najskôr, a preto budete konať skôr unáhlene. Útočník nariadi obeti vykonať nejakú platbu okamžite.

  6. Konzistencia: Akákoľvek pozitívna vlastnosť, ktorá vyvoláva pocit konzistentnosti a stability, je žiadúca. Útočníci si vopred zistia, o čo sa zaujímate, a následne vám zašlú správu s ponukou na danú vec.

Prečo by sa malé a stredné firmy mali zaoberať sociálnym inžinierstvom?

Škoda spôsobená útokmi sociálneho inžinierstva je reálna a rozsiahla. Podľa odhadov FBI prišli americké spoločnosti len v roku 2018 v dôsledku kybernetických útokov o viac než 2,7 miliardy dolárov.

Ako rozpoznať útok pomocou sociálneho inžinierstva?

Existuje niekoľko varovných signálov, ktoré môžu byť predzvesťou útoku pomocou sociálneho inžinierstva.

  • Zlá gramatika a pravopis: Útočníci zvyčajne nevenujú príliš veľkú pozornosť detailom. Ich správy preto môžu obsahovať veľa preklepov a gramatických chýb alebo sú v nich vynechané slová.
  • Zvýšený pocit naliehavosti: Útočník sa snaží prinútiť príjemcu, aby slepo konal.
  • Všeobecný pozdrav a formulácie: Zločinci stojaci za útokmi využívajúcimi techniky sociálneho inžinierstva sa často snažia vystrašiť a zmanipulovať svoje obete pomocou fráz, ktoré vyvolávajú pocit úzkosti.
  • Nezvyčajný spôsob komunikácie: Banky, zásielkové spoločnosti, verejné inštitúcie, a dokonca aj interné oddelenia firiem zvyčajne komunikujú neutrálnym a faktickým spôsobom.

Päť spôsobov, ako chrániť organizáciu pred útokmi pomocou sociálneho inžinierstva

  1. Organizujte pravidelné školenia o kybernetickej bezpečnosti pre VŠETKÝCH zamestnancov vrátane vrcholového manažmentu a IT pracovníkov. Nezabudnite, že takéto školenie by malo obsahovať názorné ukážky alebo simulácie scenárov zo skutočného života. Jednotlivé body prezentované na školení musia byť uskutočniteľné a predovšetkým aktívne odskúšané v praxi: techniky sociálneho inžinierstva sa spoliehajú na nízke povedomie obetí o kybernetickej bezpečnosti.
  2. Kontrolujte používanie slabých hesiel, ktoré by mohli útočníkom otvoriť pomyselné dvere do vašej firemnej siete. Okrem toho chráňte heslá pomocou ďalšej vrstvy zabezpečenia a implementujte viacfaktorovú autentifikáciu.
  3. Zavádzajte technické riešenia na boj proti podvodnej komunikácii, ktoré zachytia spam a phishingové správy, umiestnia ich do karantény, neutralizujú a odstránia. Niektoré z týchto opatrení alebo aj všetky dokážu zabezpečiť práve bezpečnostné riešenia vrátane mnohých produktov ESET.
  4. Vytvárajte zrozumiteľné bezpečnostné politiky, ktoré zamestnanci dokážu aplikovať v praxi a podľa ktorých budú vedieť, čo majú robiť pri útoku využívajúcom techniky sociálneho inžinierstva.
  5. Používajte bezpečnostné riešenia a nástroje na správu, ako napríklad ESET Cloud Administrator, na ochranu koncových zariadení a sietí vo vašej firme. Správcovia tak budú mať o všetkom prehľad a dokážu zachytiť a minimalizovať potenciálne hrozby v sieti.

Ďalšie odporúčania pre komplexnú ochranu

  • Analýza rizík: Vykonajte detailnú analýzu rizík na identifikáciu kritických aktív a informácií.
  • Vzdelávací program: Predstavte zamestnancom spôsoby, ktorými sa sociálni inžinieri budú snažiť získať informácie.
  • Ochrana osobných údajov: Naučte zamestnancov, aby zbytočne nezverejňovali informácie o sebe a o organizácii na sociálnych sieťach.
  • Verifikácia: Zamestnanci by mali vedieť, že nesmú poskytnúť citlivé informácie niekomu len na základe toho, čo hovorí v telefóne.
  • Bezpečnostné politiky a smernice: Vytvorte a implementujte bezpečnostné politiky a smernice o sprístupňovaní informácií.
  • Klasifikácia informácií: Implementujte schému pre klasifikáciu informácií a všetky informácie zreteľne označovať klasifikačnými stupňami.
  • Fyzická bezpečnosť: Všetci zamestnanci by mali viditeľne nosiť identifikačné menovky a v prípade, že v priestoroch organizácie spozorujú niekoho neznámeho, tak konať.

Testovanie sociálnym inžinierstvom

Testovanie sociálnym inžinierstvom môže byť realizované s rôznymi úrovňami znalostí o internom prostredí organizácie. V závislosti od požiadaviek organizácie a úrovne znalostí o internom prostredí môže testovanie sociálnym inžinierstvom simulovať rôzne situácie z reálneho života - útok neznámeho útočníka (bez znalostí interného prostredia), útok bývalého zamestnanca alebo pracovníka dodávateľa (s čiastočnými poznatkami), až po simuláciu útoku súčasného zamestnanca (ktorý disponuje istou úrovňou fyzického a logického prístupu k aktívam organizácie).

Prečítajte si tiež: Práva živnostníkov pri nevyplatení nemocenských

Spôsoby vykonania testu sociálnym inžinierstvom

  • Phishingový test
  • Telefonický test
  • Test s prenosnými médiami
  • Fyzický prienik do priestoru organizácie
  • Prehľadávanie odpadkov
  • Preverenie zverejnených informácií

Reakciou na výsledky z vykonaných testov by mala byť hlavne správna analýza a vyhodnotenie identifikovaných zistení. Cieľom realizovaných testov nie je poukázať na zlyhanie jednotlivcov, ale poukázanie na prípadnú nefunkčnosť častí systému riadenia informačnej bezpečnosti. Zároveň, reálna skúsenosť zamestnancov s testovaním ich môže naučiť správne reagovať v prípade ozajstného útoku.

Implementácia opatrení v reakcii na identifikované zistenia

Opatrenia zavedené v reakcii na zistenia z vykonaných testov by mali byť v organizácii implementované systematicky a komplexne. Mali by byť zakomponované do systému riadenia informačnej bezpečnosti a premietnuté do nasledujúcich oblastí:

  • Riadenie rizík - riziká identifikované z výsledkov testovania by mali byť zapracované do systému riadenia rizík v organizácii.
  • Definovanie a revízia interných bezpečnostných pravidiel - v reakcii na výsledky testu môžu byť definované bezpečnostné pravidlá vo forme smerníc alebo interných predpisov.
  • Zvyšovanie bezpečnostného povedomia - opatrenia by mali byť zamerané na zvyšovanie povedomia v oblasti informačnej bezpečnosti prostredníctvom pravidelných školení alebo inou formou internej komunikácie.
  • Implementácia opatrení fyzickej bezpečnosti

tags: #čo #je #sociálne #inžinierstvo

Ďalšie články