Co je sociální inženýrství, a jak se jí můžete vyhnout?
Malware není jedinou online hrozbou, kvůli které máte obavy. Sociální inženýrství je obrovská hrozba a může vás zasáhnout na libovolném operačním systému. Sociální inženýrství se ve skutečnosti může objevit také telefonicky a v situacích tváří v tvář.
Je důležité si uvědomovat sociální inženýrství a být na pozoru. Bezpečnostní programy vás nebudou chránit před větším ohrožením sociálního inženýrství, takže se musíte chránit.
Sociální inženýrství vysvětleno
Tradiční útoky na počítači často závisí na zjištění zranitelnosti v kódu počítače. Například pokud používáte zastaralou verzi aplikace Adobe Flash - nebo zakázat jódu Java, což bylo příčinou 91% útoků v roce 2013 podle společnosti Cisco - můžete navštívit škodlivou webovou stránku a webovou stránku zneužijete zranitelnost ve vašem softwaru, abyste získali přístup k počítači. Útočník manipuluje s chybami v softwaru, aby získal přístup a shromáždil soukromé informace, třeba s keyloggerem, který instalují.
Triky sociálního inženýrství jsou různé, protože místo toho zahrnují psychologickou manipulaci. Jinými slovy, využívají lidi, ne jejich software.
Pravděpodobně jste už slyšeli o phishingu, což je forma sociálního inženýrství. Můžete obdržet e-mail s tvrzením, že pochází od vaší banky, společnosti platební karty nebo jiné důvěryhodné firmy. Mohou vás nasměrovat na falešnou webovou stránku, maskovanou, aby vypadala skutečně, nebo vás požádat o stažení a instalaci škodlivého programu. Takové sociálně-technické triky však nemusí obsahovat falešné webové stránky ani malware. Phishingový e-mail vám může jednoduše požádat o zaslání e-mailové odpovědi se soukromými informacemi. Spíše než pokusit se zneužít chybu v softwaru, snaží se využít normální lidské interakce. Spear phishing může být ještě nebezpečnější, protože je to forma phishingu navržená tak, aby se zaměřovala na konkrétní jedince.
Příklady sociálního inženýrství
Jeden oblíbený trik v chatových službách a online hrách je registrovat účet s jménem "Administrator" a posílat lidem děsivé zprávy jako "Upozornění: Zjistili jsme, že někdo může hackovat váš účet a odpovědět heslem k ověření sebe sama." Pokud cíl reaguje svým heslem, padli za trik a útočník má nyní heslo svého účtu.
Pokud má někdo na vás osobní informace, mohl by jej použít k získání přístupu k vašim účtům. Například informace, jako je datum narození, číslo sociálního pojištění a číslo kreditní karty, se často používají k identifikaci vás. Pokud někdo má tyto informace, mohou kontaktovat firmu a předstírat, že jste vy. Tento trik byl skvěle používán útočníkem, aby získal přístup k Yahoo Sarah Palin je Poštovní účet v roce 2008, odeslat dostatek osobních údajů pro přístup k účtu prostřednictvím formuláře obnovení hesla Yahoo !. Stejnou metodu lze použít i přes telefon, pokud máte osobní údaje, které podnik vyžaduje, aby vás ověřil. Útočník s některými informacemi o cíli může předstírat, že je je a získá přístup k více věcem.
Sociální inženýrství by mohlo být také používáno osobně. Útočník by mohl chodit do obchodu, informovat sekretáře, že jsou opravářem, novým zaměstnancem nebo inspektem požáru v autoritativním a přesvědčivém tónu, a pak potulovat chodby a potenciálně ukrást důvěrné údaje nebo chyby při spáchání firemních špionů. Tento trik závisí na útočníkovi, který se prezentuje jako na někoho, koho nejsou. Pokud je sekretářka, vrátný nebo kdo je pověřen, nevyžaduje příliš mnoho otázek nebo se příliš podívá, trik bude úspěšný.
Sociálně-inženýrské útoky pokrývají celou řadu falešných webů, podvodné e-maily a hanebné zprávy v chatu, až se vydávají za někoho v telefonu nebo osobně. Tyto útoky přicházejí v nejrůznějších formách, ale všichni mají jednu společnou věc - závisí na psychickém triku. Sociální inženýrství se nazývá umění psychologické manipulace. Je to jeden z hlavních způsobů, jak "hackeři" skutečně "hackují" účty online.
Jak se vyhnout sociálnímu inženýrství
Poznání sociálního inženýrství vám pomůže bojovat. Buďte podezřelí z nevyžádaných e-mailů, chatových zpráv a telefonních hovorů, které vyžadují soukromé informace. Nikdy neposkytujte finanční informace ani důležité osobní informace prostřednictvím e-mailu. Nevytahujte potenciálně nebezpečné přílohy e-mailů a spusťte je, a to iv případě, že e-mail tvrdí, že jsou důležité.
Také byste neměli sledovat odkazy v e-mailu na citlivé webové stránky. Neklikněte například na odkaz v e-mailu, který vypadá, že pochází z vaší banky, a přihlaste se. Může vás přivést k falešnému phishingovému webu, který se bude skrývat jako stránka vaší banky, ale s jemně odlišnou adresou URL. Navštivte webové stránky přímo.
Pokud obdržíte podezřelou žádost - například telefonní hovor od vaší banky požádá o osobní informace - kontaktujte přímo zdroj žádosti a požádejte o potvrzení. V tomto příkladu zavoláte vaší bance a zeptáte se, co chtějí, spíše než zveřejnit informace někomu, kdo tvrdí, že je vaší bankou.
E-mailové programy, webové prohlížeče a bezpečnostní sady obvykle obsahují filtry phishingu, které vás varují při návštěvě známého phishingového webu. Jediné, co mohou udělat, je upozornit vás, když navštívíte známou lokalitu phishingu nebo obdržíte známý phishingový e-mail a nevíte o všech phishingových stránkách nebo e-mailech. Z větší části je na vás, abyste se chránili - bezpečnostní programy mohou pomoci jen trochu.
Je to dobrý nápad vykonávat zdravé podezření, když se zabýváte žádostmi o soukromá data a cokoliv jiného, co by mohlo být sociálně-inženýrským útokem. Podezření a obezřetnost vám pomůže ochránit vás, a to jak online, tak offline.
Image Credit: Jeff Turnet na Flickru