Social engineering

Je metoda, jež vede legitimní počítačové uživatele k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Ve většině případů útočník nepřichází do osobního kontaktu s obětí.

Všechny techniky sociálního inženýrství jsou založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku. Tyto chyby úsudku založené na nedokonalosti lidského mozku jsou využívány mnoha způsoby a některé z nejvýznamnějších jsou vyjmenovány zde:

Metody útoku

Jak už to tak bývá, nejjednodušší metody bývají nejspolehlivější. 

  • Přímý přístup
    Útočník bez okolků přímo požádá oběť (například recepční) o její uživatelské jméno a heslo. I tato metoda může mít někdy nárok na úspěch.
  • Důležitý uživatel
    Útočník předstírá, že je někým z vedení firmy, má problémy, které velice rychle potřebuje vyřešit a požádá o informace typu: typ používaného software pro vzdálený přístup, jeho konfiguraci, telefonní čísla k vytáčení, další informace nutné k přilogování se k serveru. Pracovník technické podpory samozřejmě "nadřízenému" rád pomůže (nerad by měl konflikty a nerad by přišel o práci).
  • Bezmocný uživatel
    Útočník si vybere identitu například nového zaměstnance (nebo zaměstnance nepříliš zručného v ovládání počítače), který má potíže s prvním přihlášením do firemní sítě (popřípadě zapomněl heslo a nutně potřebuje pracovat na svém projektu). Skutečný zaměstnanec-oběť se snaží dotyčnému pomoci (pracujeme přeci v jedné firmě, v jednom týmu, tak proč nepomoci), například tím, že dočasně poskytne útočníkovi své uživatelské jméno a heslo, v případě administrátora pak tím, že například vygeneruje pro daný účet nové heslo.
  • Pracovník technické podpory
    Útočník předstírá, že patří do firemního oddělení informatiky. Tímto způsobem lze získat zaručeně pravdivé informace od běžných uživatelů. Typicky může jít o zaslání e-mailu, který se tváří, že je od administrátora a požaduje s jakýmkoli odůvodněním znovupotvrzení loginu a hesla. Řadoví zaměstnanci, kteří nejsou školeni, samozřejmě nemají ani ponětí o tom, že hlavička Odesílatel vůbec nemusí obsahovat pravdivé informace.
  • Obrácená sociotechnika
    Situace se obrátí. Útočník obvykle zaranžuje události tak, aby se na něj s prosbou o pomoc obrátila samotná oběť.
Techniky sociálního inženýrství
  • Pretexting:
    je utváření a využívání vymyšleného scénáře s cílem přesvědčit oběť k učinění potřebné akce nebo k získání potřebné informace. Jedná se o skloubení lži s kouskem pravdivé informace získané dříve. Může se jednat například o datum narození, rodné číslo, velikost posledního účtu, jméno nadřízeného atd. Cílem je přesvědčit oběť o legitimnosti akce, která je po ní požadována.
  • Phishing: 
    je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.
  • IVR neboli telefonní phishing: 
    tato technika využívá falešného hlasového automatu (IVR) s podobnou strukturou jako má originální bankovní automat ("Pro změnu hesla stiskněte 1, pro spojení s bankovním poradcem stiskněte 2"). Oběť je většinou vyzvána emailem k zavolání do banky za účelem ověření informace. Zde je pak požadováno přihlášení za pomoci PINu nebo hesla. Některé automaty následně přenesou oběť do kontaktu s útočníkem vystupujícího v roli telefonního bankovního poradce, což mu umožňuje další možnosti otázek.
  • Baiting: 
    může být považován za trojského koně v reálném světě.
  • Quid pro quo aneb něco za něco: 
    něco za něco znamená náhodné vytáčení čísel společnosti a představení se jako pracovník technické podpory. Existuje šance, že útočník nalezne nespokojeného zaměstnance s problémem, kterému se pokusí po telefonu pomoci. Na oplátku požádá oběť o instalaci infikovaného programu nebo zvolenou akci ve firemním informačním systému.
  • Další možnosti: 
    přestože útočník postrádá programovací vlohy, běžné se jako sociální inženýrství označují i další útoky obsahující prvky přesvědčování a manipulace. Kromě cílení na přesnou organizaci může jít například i o cílení na lidi s běžnými emailovými adresami za účelem získání údajů o jejich kreditních kartách.

 

+420 775 490 771
info@alwfirm.cz