Co je sociální inženýrství a proč je hrozbou?

Technika nechybuje, člověk ano. I tak by se dalo shrnout, proč existuje, funguje a pořád s námi zůstává sociální inženýrství. To spoléhá na naši zvědavost, chamtivost, strach nebo závist. Podvodníci se tak snaží upoutat naši pozornost a donutit nás, abychom jim sami sdělili soukromé informace nebo nainstalovali vir.



Techniky sociálního inženýrství


Jednou z technik sociálního inženýrství je takzvaný baiting. Útočník nechá infikované CD, flashdisk, nebo jiné paměťové médium na místě, kde jej oběť s velkou pravděpodobností nalezne. To může být třeba stůl v kanceláři, parkoviště nebo jiné veřejné místo. V této chvíli zapůsobí lidská zvědavost a člověk médium vloží do svého počítače, aby zjistil, co se v něm nachází. Infikovaným médiem se do počítače nainstaluje vir, který získá přístup k počítači, firemní počítačové síti, nebo dalším údajům.

Zcela nejrozšířenější technikou je phishing. Pomocí podvodných emailů jsou z lidí lákány osobní údaje. Mezi těmi často bývají důležitá hesla nebo čísla kreditních karet. Emaily vyzývají ke změně přihlašovacích údajů a tváří se jako oficiální žádost banky či jiné podobné instituce. Ve chvíli, kdy někdo email rozklikne a do stránky, která napodobuje oficiální, zadá své údaje, prozradí je útočníkům a ti poté mohou oběti třeba vykrást peníze z účtu. Podobně funguje i telefonní phishing. Hlasový automat nebo na tyto účely vyškolený člověk se snaží v oběti vyvolat dojem, že se jedná o oficiální organizaci a snaží se ji přimět ke sdělení osobních údajů.

Scareware je zase technika, kdy se vám na počítači zobrací upozornění na napadení škodlivým systémem. Toto upozornění vás dále nabádá k tomu, abyste instalovali antivir a ochránili tak svůj počítač. Problémem ale je, že ve chvíli, kdy na odkaz kliknete a chcete antivir nainstalovat, ve skutečnosti do počítače nainstalujete vir, který infikuje váš počítač.

Další známou technikou je pretexting. Protistrana, v tomto případě útočník, se vydává za někoho jiného, s cílem získat přístup k utajeným informacím. Útočník se může vydávat za kolegu z práce, policejního vyšetřovatele, bankovního úředníka, zaměstnance finančního úřadu či jiného zaměstnance státní správy, který by mohl mít právo na dotazování dané oběti. Útočník bývá dobře přichystán a má předem vymyšlený scénář, často ale stačí pouze autoritativní tón hlasu a přesvědčivý obsah konverzace. Tímto způsobem se může útočník dostat k datumu narození, rodnému číslu, ale v případě firmy i citlivým informacím v byznysu.


Jak se chránit před sociálním inženýrstvím?


Dejte si pozor na jakékoliv nevyžádané rady nebo pomoc, zvláště pokud od vás někdo vyžaduje nějakou činnost, například kliknutí na odkaz nebo stažení souboru. Ostražití buďte především ve chvíli, kdy po vás chce někdo osobní informace nebo heslo. Oficiální organizace by vás pravděpodobně přes email nikdy podobné informace nežádali.

Podezřelý je také telefonát od někoho, kdo tvrdí, že je z technické podpory. Lidé na technické podpoře bývají velmi zaneprázdnění, a tak je skutečně velmi nepravděpodobné, že by sami vyhledávali nové problémy a přidělávali by si práci.

Nevěřte ani nikomu, kdo se ve vás snaží vyvolat pocit naléhavosti nebo na vás vyvíjí jiné formy psychického nátlaku. Tímto způsobem se vás jen snaží přinutit, abyste nepoužívali zdravý úsudek a podlehli nátlaku. Většina oficiálních institucí by si nic podobného ke svým zákazníkům nedovolila.

Pomoci vám také může, když budete důkladně kontrolovat, jaké číslo vám volá a jaká je emailová adresa odesílatele. Pokud se vám zdá něco v nepořádku neklikejte na odkazy, nerozklinkávejte email a nezvedejte číslo. Sociální inženýrství tu s námi pravděpodobně bude ještě hodně dlouho, proto nezapomínejte kriticky myslet, často měnit hesla, používat dobrý antivir a zapnout blokovaní reklam.


13 zobrazení0 komentářů

Nejnovější příspěvky

Zobrazit vše