Je to tak, první tip nového roku, 365 tipů hotovo, vše pokračuje dál. A protože se říká “Jak na Nový rok tak po celý rok”, tak je čas napsat nový tip. Ve kterém se vysvětlí termín, se kterým se často můžete setkat. Sociální inženýrství, po anglicku social engineering. A kupodivu to není jenom počítačový termín, ale bude nás zajímat hlavně v souvislosti s bezpečnosti. Počítačovou, osobní, soukromím.
Sociální inženýrství je nástroj kterým někoho zmanipulujete tak, aby udělal něco co za normálních okolností neudělá. Cílem je zpravidla získat informace, ale také to, že cíl sociálního inženýrství vykoná nějakou aktivitu, kterou by normálně neudělal.
Typickou ukázkou sociálního inženýrství jsou různé podvodné e-maily vydávající se za zprávu z banky. Oběť pak většinou nepochopitelně kdesi vyplní své přístupové údaje do bankovnictví (aktivity označované jako phishing, rhybaření) či spear phishing. Pokročilejší forma, velmi častá, je přesvědčení oběti aby autorizovala posílání zpoplatněných SMS.
Podstatně méně primitivní metody sociálního inženýrství vytvoří kompletní smyšlenou situaci, která oběť uvede v omyl natolik, že poskytne informace či udělá něco co by za normálních okolností neudělala. Zásadním nástrojem je to, že útočník má nějaké pravdivé, platné, informace a s jejich pomocí získá informace další. Nejčastěji osobní údaje, ale také třeba nějaké interní informace ze společnosti pro kterou cíl útoku pracuje. Běžnou součástí je to, že se útočník vydává za někoho jiného, včetně samotného cíle útoku.
TIP: V Social Engineering from Kevin Mitnick se můžete podívat, jak to fungovalo, když Kevin Mitnick (a neříkejte, že tohle jméno neznáte) právě sociálním inženýrstvím zjišťoval a získával nezjistitelné.
Sociální inženýrství je poměrně zásadní nástroj tam, kde někdo potřebuje do počítače (mobilu, tabletu) dostat nějaký program, který poté dále použije. Je používán hackery, tajnými službami ale i policejními vyšetřovateli. Cíl je často přesvědčen k návštěvě určité konkrétní stránky, která obsahuje útočný kód. Stejným způsobem jsou lidé přesvědčování blikajícími a vyskakujícími okny s “Váš počítač obsahuje virus” k instalaci falešných antivirů.
Poměrně zásadním prvkem sociálního inženýrství v počítačovém prostředí je to, že většina uživatelů nemá dostatečně znalosti k tomu, aby dokázala rozeznat nebezpečí. V reálném prostředí je naopak zásadní to, že lidé velmi často usuzují chybně a tzv. kognitivní chyba úsudku je dobře zneužitelná. Stačí vhodně podpořit to správné rozhodnutí.
Sociální inženýrství je i tolik oblíbené “podnikání” v podobě rozesílání falešných faktur či výzev k zaplacení (viz například Nenaleťte České databázi společností, Český telefonní seznam se vrací), byť jde o nesmírně primitivní metodu nevyžadující nic jiného než dostatečně masivni rozesílku.
Důležitou součástí sociálního inženýrství je to, že se útočník vydává za někoho či něco jiného, ale také třeba to, že vyvolá stresovou nebo nebezpečnou situaci, tak aby předmět útoku byl nucen věci řešit rychle a pod tlakem.
Někdy to ale není nutné, stačí vyvolat důvěru – sem patří i nesmírně nebezpečné aktivity pedofilů a sexuálních deviantů, kteří dnes na sociálních sítích loví děti právě přes sociální inženýrství. Ale nenechte se mýlit, i na dospělé se v tomto ohledu pamatuje, dokáže spolehlivě naletět na něco co vyústí v revenge porn.
TIP: Zdejší ‣ Průvodce bezpečným Internetem, který bezpečný být nemůže a ‣ Průvodce soukromím na Facebooku mohou být dost hodně užitečným zdrojem informací týkajících se bezpečnosti, ochrany soukromí a vůbec všech s tím souvisejících věcí.
Dalším častým nástrojem sociálního inženýrství je prostě to, že lidé jsou zvědaví. Pokud jim nabídnete ke kliknutí odkaz na který ze zvědavosti budou chtít kliknout, tak to prostě udělají. Bez toho aniž by řešili možné následky. Stejně tak jako ochotně naletí v okamžiku, kdy jim nabídnete výhru, na sociálních sítích další běžný případ v podobě záplavy “vyhraj iPad/iPhone zdarma”.
Bohatě stačí nabídnout něco za mimořádně nízkou cenu a lidé pak ochotně kupují místo telefonu jenom balíček s několika kameny. Sociální inženýrství je desítky let nástrojem i tzv. nigerijských spammerů, kdy oběť je oslovena s nabídkou získat značnou sumu peněz pocházejí z dědictví či z jiných zdrojů. Na sociální inženýrství a podvodníka nakonec v roce 2015 naletěl i komunistický poslanec Ransdorf. Aby na další sociální inženýrství, falešný účet na Twitteru, naletěla česká média.
Co je to nigerijský spam? Proč mi někdo píše, že jsem zdědil miliony? je vhodné připomenout když už je o něm řeč.
Sociální inženýrství je mimochodem i klasické Jak zjistím kdo si prohlížel můj profil na Facebooku? Tedy něco co zásadně řadu lidí zajímavé, včetně toho, že chtějí vědět co je na profilu jejich partnera a s kým jejich partner komunikuje. V takovýchto případech sociální inženýrství využije nekonečnou touhu a vede k zavirování počítačů, krádežím osobních údajů ale i peněžitým ztrátám.
A tím pro dnešek končíme. Tedy, ještě, pokud chcete, si můžete prohlédnout infografiku na téma sociálního inženýrství.