Je metoda, jež vede legitimní počítačové uživatele k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Ve většině případů útočník nepřichází do osobního kontaktu s obětí.
Všechny techniky sociálního inženýrství jsou založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku. Tyto chyby úsudku založené na nedokonalosti lidského mozku jsou využívány mnoha způsoby a některé z nejvýznamnějších jsou vyjmenovány zde:
Metody útoku
Jak už to tak bývá, nejjednodušší metody bývají nejspolehlivější.
- Přímý přístup
Útočník bez okolků přímo požádá oběť (například recepční) o její uživatelské jméno a heslo. I tato metoda může mít někdy nárok na úspěch. - Důležitý uživatel
Útočník předstírá, že je někým z vedení firmy, má problémy, které velice rychle potřebuje vyřešit a požádá o informace typu: typ používaného software pro vzdálený přístup, jeho konfiguraci, telefonní čísla k vytáčení, další informace nutné k přilogování se k serveru. Pracovník technické podpory samozřejmě "nadřízenému" rád pomůže (nerad by měl konflikty a nerad by přišel o práci). - Bezmocný uživatel
Útočník si vybere identitu například nového zaměstnance (nebo zaměstnance nepříliš zručného v ovládání počítače), který má potíže s prvním přihlášením do firemní sítě (popřípadě zapomněl heslo a nutně potřebuje pracovat na svém projektu). Skutečný zaměstnanec-oběť se snaží dotyčnému pomoci (pracujeme přeci v jedné firmě, v jednom týmu, tak proč nepomoci), například tím, že dočasně poskytne útočníkovi své uživatelské jméno a heslo, v případě administrátora pak tím, že například vygeneruje pro daný účet nové heslo. - Pracovník technické podpory
Útočník předstírá, že patří do firemního oddělení informatiky. Tímto způsobem lze získat zaručeně pravdivé informace od běžných uživatelů. Typicky může jít o zaslání e-mailu, který se tváří, že je od administrátora a požaduje s jakýmkoli odůvodněním znovupotvrzení loginu a hesla. Řadoví zaměstnanci, kteří nejsou školeni, samozřejmě nemají ani ponětí o tom, že hlavička Odesílatel vůbec nemusí obsahovat pravdivé informace. - Obrácená sociotechnika
Situace se obrátí. Útočník obvykle zaranžuje události tak, aby se na něj s prosbou o pomoc obrátila samotná oběť.
Techniky sociálního inženýrství
- Pretexting:
je utváření a využívání vymyšleného scénáře s cílem přesvědčit oběť k učinění potřebné akce nebo k získání potřebné informace. Jedná se o skloubení lži s kouskem pravdivé informace získané dříve. Může se jednat například o datum narození, rodné číslo, velikost posledního účtu, jméno nadřízeného atd. Cílem je přesvědčit oběť o legitimnosti akce, která je po ní požadována. - Phishing:
je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze. - IVR neboli telefonní phishing:
tato technika využívá falešného hlasového automatu (IVR) s podobnou strukturou jako má originální bankovní automat ("Pro změnu hesla stiskněte 1, pro spojení s bankovním poradcem stiskněte 2"). Oběť je většinou vyzvána emailem k zavolání do banky za účelem ověření informace. Zde je pak požadováno přihlášení za pomoci PINu nebo hesla. Některé automaty následně přenesou oběť do kontaktu s útočníkem vystupujícího v roli telefonního bankovního poradce, což mu umožňuje další možnosti otázek. - Baiting:
může být považován za trojského koně v reálném světě. - Quid pro quo aneb něco za něco:
něco za něco znamená náhodné vytáčení čísel společnosti a představení se jako pracovník technické podpory. Existuje šance, že útočník nalezne nespokojeného zaměstnance s problémem, kterému se pokusí po telefonu pomoci. Na oplátku požádá oběť o instalaci infikovaného programu nebo zvolenou akci ve firemním informačním systému. - Další možnosti:
přestože útočník postrádá programovací vlohy, běžné se jako sociální inženýrství označují i další útoky obsahující prvky přesvědčování a manipulace. Kromě cílení na přesnou organizaci může jít například i o cílení na lidi s běžnými emailovými adresami za účelem získání údajů o jejich kreditních kartách.