V dnešnej dobe, ktorú môžeme nazvať aj digitálnou, sme neustále obklopení technologickými vynálezmi a inováciami. V súčasnosti už asi každý z nás používa mobilný telefón či osobný počítač. Len málokto však dbá na kybernetickú bezpečnosť. V pravidelnom seriáli na stránkach Podbrezovana vám postupne prinášame rôzne témy z tejto oblasti a dávame vám aj tipy, ako sa chrániť v kybernetickom priestore. V štvrtej časti sa venujeme sociálnemu inžinierstvu.
Sociálne inžinierstvo je technika, pri ktorej útočník využíva manipuláciu a klamstvo na získanie citlivých informácií alebo na vykonanie nežiadúcej akcie. Na rozdiel od hackerských útokov, ktoré využívajú technické zraniteľnosti, sociálne inžinierstvo cieli priamo na ľudí – najzraniteľnejší článok bezpečnostného reťazca.
Prečo je sociálne inžinierstvo také efektívne?
Hlavným dôvodom je psychológia. Ľudia sú prirodzene dôverčiví a ochotní pomáhať, čo útočníci šikovne zneužívajú. Niektoré kľúčové faktory úspešnosti sociálneho inžinierstva zahŕňajú nasledovné body.
- Autorita – ak niekto predstiera, že je vysokopostavený zamestnanec, technická podpora alebo dokonca policajt, obeť je náchylnejšia poslúchnuť.
- Strach a nátlak – útočníci často využívajú paniku, aby obeť konala impulzívne (napríklad „Váš účet bol napadnutý, okamžite zmeňte heslo tu!“).
- Zvedavosť – ponúkanie „zaujímavého“ obsahu (napríklad infikovaného USB kľúča označeného ako „Platy zamestnancov“).
- Sociálna zhoda – ak ľudia vidia, že iní niečo robia, majú tendenciu nasledovať ich (napríklad falošné recenzie alebo podvodné podporné správy).
Najčastejšie techniky sociálneho inžinierstva
Phishing je najrozšírenejšia forma podvodu, pri ktorej útočník posiela falošné e-maily alebo správy, ktoré sa tvária ako dôveryhodné (banka, kolega, štátna inštitúcia). Cieľom je vylákať heslá, platobné údaje alebo stiahnuť škodlivý súbor. Môže to byť napríklad e-mail s predmetom „Bezpečnostná aktualizácia účtu“ obsahujúci odkaz na falošnú prihlasovaciu stránku.
Pretexting je technika, kde si útočník vytvorí presvedčivý scenár na získanie informácií. Často sa vydáva za zamestnanca firmy, technickú podporu alebo štátneho úradníka. Najčastejšie volajúci predstiera, že je z IT oddelenia a potrebuje heslo na „overenie účtu“.
Využívaný je tiež Baiting. Podvodník ponúkne niečo lákavé, aby obeť vykonala požadovanú akciu. Najčastejšie ide o infikované USB kľúče alebo falošné sťahovania softvéru. Môže to byť napríklad USB kľúč označený „Dôležité dokumenty“, ktorý je ponechaný na verejnom mieste.
Tailgating a Piggybacking – útočník sa fyzicky dostane do chránených priestorov bez oprávnenia. V prípade tailgatingu nasleduje zamestnanca do budovy bez vlastnej karty. Pri piggybackingu mu niekto úmyselne umožní vstup („zabudol som kartu, podržíte mi dvere?“).
Vishing a Smishing – Vishing zahŕňa podvodné telefonáty, kde útočník vydávajúci sa za autoritu žiada osobné údaje. Smishing využíva podvodné SMS správy s odkazmi na falošné stránky. Podvodná SMS môže vyzerať napríklad takto: „Vaša zásielka nebola doručená, aktualizujte adresu tu: [odkaz]“.
Príklady skutočných útokov
Sociálne inžinierstvo bolo použité v mnohých známych kybernetických útokoch. Nižšie uvádzame niektoré z najznámejších prípadov.
- Twitter hack (2020)
Útočníci použili vishing (hlasový phishing) na oklamanie zamestnancov Twitteru, aby im poskytli prístup k interným systémom. Potom prevzali účty známych osobností, ako Elon Musk či Barack Obama, a zverejnili podvodné správy s falošnými investičnými ponukami na kryptomeny. Výsledkom boli finančné straty v stovkách tisíc dolárov.
- CEO fraud a podvod s faktúrami (Google a Facebook, 2013 – 2015)
Útočník sa vydával za dodávateľa a zasielal falošné faktúry dvom technologickým gigantom – Google a Facebooku. Keďže e-maily vyzerali dôveryhodne, firmy neoverili platby a celkovo tak prišli o viac ako 100 miliónov dolárov. Tento typ útoku je známy ako Business Email Compromise (BEC).
- Falošný IT technik a vniknutie do firmy (2015)
V jednej veľkej spoločnosti sa útočník vydával za technického pracovníka. Prišiel do kancelárie s falošnou identifikáciou a tvrdil, že vykonáva údržbu počítačov. Následne požiadal zamestnancov, aby mu umožnili prístup do systému. Výsledkom bolo infikovanie firemnej siete škodlivým softvérom.
- Napadnutie RSA Security (2011)
Jedna z najväčších kybernetických špionážnych operácií začala obyčajným phishingovým e-mailom. Zamestnanci RSA (známej firmy poskytujúcej bezpečnostné riešenia) dostali e-mail s predmetom „2011 Recruitment Plan“, ktorý obsahoval škodlivý súbor Excelu. Po jeho otvorení útočníci získali prístup k citlivým údajom a oslabili bezpečnosť mnohých veľkých firiem.
- USB baiting v Pentagone (2008)
Americké ministerstvo obrany sa stalo obeťou jednoduchého, no účinného útoku. Útočníci nechali infikované USB kľúče na parkovisku pri Pentagone. Keď si ich zamestnanci vzali a pripojili k firemným počítačom, vírus sa okamžite rozšíril do vojenskej siete. Tento incident prinútil armádu zakázať používanie externých USB zariadení.
Tieto prípady jasne ukazujú, že sociálne inžinierstvo môže byť rovnako ničivé ako technické hacky. Aj tie najväčšie spoločnosti a organizácie môžu byť zraniteľné, ak ich zamestnanci nepoužívajú kritické myslenie a dostatočne si neoverujú informácie.
Ako sa chrániť pred sociálnym inžinierstvom?
Keďže sociálne inžinierstvo cieli na ľudskú dôverčivosť a emócie, technické opatrenia často nestačia. Najdôležitejšia je osveta, kritické myslenie a dôsledná opatrnosť. Tu sú kľúčové opatrenia, ktoré vám môžu pomôcť.
- Overovanie identity a informácií. Nikdy nedôverujte nečakaným e-mailom, hovorom alebo správam žiadajúcim osobné údaje alebo heslá. Ak vám niekto zavolá a tvrdí, že je z banky, IT oddelenia alebo polície, overte si to priamo u danej inštitúcie cez oficiálny kontakt. Ak dostanete podozrivý e-mail, pozrite sa na odosielateľovu adresu – útočníci často používajú podobné domény, v ktorých iba prehodia alebo vynechajú jedno z písmen.
- Neposkytujte citlivé údaje bez dôkladného overenia. Žiadna banka ani seriózna firma nikdy nežiada heslo cez e-mail alebo telefón. Pri podozrivých žiadostiach o platby alebo prístup k systémom vždy skontrolujte informácie u nadriadeného alebo inej dôveryhodnej osoby. Nezverejňujte príliš veľa osobných informácií na sociálnych sieťach – útočníci môžu tieto údaje využiť na vytvorenie dôveryhodného pretextingu.
- Používanie viacfaktorovej autentifikácie (MFA). Aj keď útočník získa vaše heslo, MFA mu môže zabrániť v prihlásení, pretože potrebuje ďalší overovací kód. Používajte silné, unikátne heslá pre každý účet.
- Dávajte si pozor na „príliš dobré“ ponuky. Ak vám niekto ponúka niečo zadarmo alebo tvrdí, že ste vyhrali lotériu, buďte skeptickí. Nikdy neotvárajte prílohy ani neklikajte na odkazy v nevyžiadaných e-mailoch, SMS správach alebo na sociálnych sieťach.
- Fyzická bezpečnosť a ochrana zariadení. Nenechávajte USB kľúče alebo iné externé zariadenia bez dozoru a nepripájajte cudzie USB do svojho počítača.
Nepúšťajte neznáme osoby do kancelárskych priestorov len preto, že tvrdia, že „zabudli kartu“. Zamykajte obrazovku svojho počítača vždy, keď odídete od pracovného stola. Najlepšou obranou proti sociálnemu inžinierstvu je kombinácia technických opatrení a obozretnosti. Ak si nie ste istí, či je nejaká požiadavka legitímna, radšej sa spýtajte, overte si informácie a nebuďte pod tlakom. Pamätajte, že v kybernetickej bezpečnosti neexistuje stopercentná ochrana, ale čím viac budete informovaní a opatrní, tým menšiu šancu dávate útočníkom na úspech.
