Sociální inženýrství a kybernetická bezpečnost

Sociální inženýrství označuje různé netechnické formy útoku, pomocí kterých dokáží kybernetičtí zločinci zmanipulovat uživatele k tomu, aby ignorovali bezpečnostní nebo jiné firemní protokoly, způsobili škodu či předali útočníkovi citlivé informace.

Reading time icon

5 min. čtení

Reading time icon

5 min. čtení

Jak funguje sociální inženýrství?

Zpravidla se útočník vydává za nějakou autoritu nebo za zástupce známé instituce. V oběti se pokusí vyvolat nějakou emoci (radost, strach nebo často stud) pomocí lživé informace. Typický je také tlak na to, aby uživatel reagoval co nejrychleji. Útočníci se takto snaží z uživatele vylákat citlivé informace, data či peníze.

Většina technik sociálního inženýrství nevyžaduje od útočníka žádné technické znalosti. Proto se může stát útočníkem téměř kdokoli: od drobných zlodějů až po ty nejsofistikovanější útočníky.

Řada dalších kybernetických útoků techniky sociálního inženýrství zneužívá, mezi nejznámější patří spam a phishing.

sociální inženýrství a krádež identity

Postupy sociálního inženýrství zneužívají také tyto útoky a hrozby:

Spearphishing je cílená forma phishingu, kdy útočník odesílá vysoce přizpůsobené zprávy omezené skupině lidí nebo jednotlivci s cílem získat jejich citlivá data nebo je zmanipulovat k provedení škodlivé akce.

Vishing a Smishing jsou techniky sociálního inženýrství podobné phishingu, ale prováděné jinými prostředky než e-mailem. Vishing (phishing hlasu) používá podvodné telefonní hovory, zatímco smishing (phishing SMS) textové zprávy SMS obsahující škodlivé odkazy nebo obsah.

Zosobnění (impersonace) má v kybernetické bezpečnosti podobný význam jako jeho ekvivalent v reálném světě. Kybernetičtí zločinci jednají pod falešnou identitou ve jménu důvěryhodné osoby a snaží se přivést oběti k činům, které poškozují danou osobu nebo její organizaci. Typickým příkladem je útočník, který se vydává za generálního ředitele společnosti v době jeho nepřítomnosti a objednává a schvaluje podvodné transakce.

Falešná technická podpora obvykle zahrnuje podvodné telefonáty nebo webové reklamy, v rámci kterých útočníci nabízejí obětem nevyžádané služby technické podpory. Ve skutečnosti se kybernetičtí zločinci snaží vydělat peníze prodejem falešných služeb a řešením neexistujících problémů.

Scareware je software, který se snaží vyvolat strach a úzkost a zmanipulovat oběť k instalací škodlivého kódu na vlastní zařízení. Obvykle útočník inkasuje za nefunkční či dokonce škodlivý software finanční prostředky. Typickým příkladem je nabídka instalace falešného antivirového programu jako řešení údajného napadení zařízení uživatele.

Kybernetické podvody jsou podvodná schémata, která využívají jednu nebo více technik sociálního inženýrství popsaných výše.

Proč by se malé a středně velké firmy měly před sociálním inženýstvím chránit?

Některé firmy se domnívají, že jsou příliš malé, aby byly pro útočníky zajímavým terčem. Opak je pravdou. 

Podle průzkumu, který provedla společnost Zogby Analytics v roce 2019, téměř polovina (44 %) společností s 251–500 zaměstnanci uvedla, že za posledních 12 měsíců u nich došlo k oficiálnímu úniku dat. Průzkum zjistil, že 88 % malých podniků se domnívá, že jsou pro kyberzločince alespoň „trochu pravděpodobným“ cílem. Téměř polovina (46 %) se považuje za „velmi pravděpodobný“ cíl.

Škody bývají rozsáhlé. FBI ve výroční zprávě Internet Crime Center (IC3) odhaduje , že jen za rok 2018 americké společnosti tratily více než 2,7 miliardy dolarů vlivem kybernetických útoků. Další škody ve výši 1,2 miliardy dolarů způsobilo zneužití obchodních e-mailů a kompromitace e-mailových účtů, které umožnily neoprávněné převody finančních prostředků.

útoky sociálního inženýrství využívají e-mail

Jak poznat sociální inženýrství?

Existuje několik varovných signálů. Podezření by měla vyvolat přílišná naléhavost sdělení, která se snaží donutit příjemce jednat bez rozmyslu, nebo nestandardní žádost o citlivá data. Renomované společnosti nikdy nepožadují hesla ani osobní údaje prostřednictvím e-mailů nebo po telefonu.

Se sociálním inženýrstvím se nejčastěji setkáváme v e-mailech. Níže uvádíme nejčastější varovné signály, které ukazují na sociální inženýrství:

1. Špatná gramatika a pravopisné chyby

Útočníci v některých příapdech nevěnují pozornost detailům, posílají strojové překlady zpráv plné překlepů a špatné gramatiky. Pozor i jazyková úroveň útočníků se ale zlepšuje. Obzvláště cílené útoky mívají vynikající překlad.
Dalším jazykovým prvkem, který vás může varovat, je obecný pozdrav. Pokud tedy e-mail začíná slovy „Vážený příjemce“ nebo „Vážený uživateli“, buďte opatrní.

2. Podezřelá adresa odesílatele

Většina spammerů nevěnuje energii na falšování jména odesílatele nebo domény. Podvodnou zprávu tak můžete snadno odhalit. Pokud e-mail přichází z adresy, která je kombinací náhodných číslic a znaků nebo je příjemci zcela neznámá, měl by ji označit jako spam a nahlásit IT oddělení.

3. Pocit naléhavosti a nátlaku

Útočníci se pokoušejí vyděsit oběti pomocí frází vyvolávajících pocity úzkosti. Používají slovní obraty typu „okamžitě nám pošlete své údaje, jinak nebude váš balík doručen“ nebo „pokud nyní svůj profil neaktualizujete, zrušíme Váš účet". Veřejné instituce, banky, přepravní společnosti, pošty a další firmy obvykle komunikují neutrálně a věcně. Pokud se tedy zpráva snaží donutit příjemce k rychlému jednání, je s velkou pravděpodobnostní podvodná a doporučujeme ji důsledně ověřit.

4. Žádost o citlivé informace

Instituce ani interní oddělení firmy obvykle nepožadují citlivé informace prostřednictvím e-mailu nebo telefonu. Výměna informací probíhá většinou pouze na základě prvotního kontaktu ze strany samotného zaměstnance a důkladného ověření příjemce.

5. Pokud něco zní až příliš dobře na to, aby to byla pravda, pravděpodobně jde o podvod

To platí stejně tak pro nevyžádané dárky na sociálních sítích nebo pro „neodolatelnou, ale časově omezenou obchodní příležitost“, která právě dorazila do vaší doručené pošty.

5 způsobů, jak vaši organizaci ochránit

1. Pravidelné školení kybernetické bezpečnosti VŠECH zaměstnanců, včetně vrcholového managementu a zaměstnanců IT. Pamatujte, že takové školení by mělo ukázat nebo simulovat scénáře z reálného života. Učební látka musí být praktická a především aktivně testovaná i mimo školící místnost. Techniky sociálního inženýrství spoléhají u svých cílů na jejich nízkou úroveň znalostí z kybernetické bezpečnosti.

2. Vyvarujte se slabých hesel, která se mohou stát pro útočníky otevřenými dveřmi do sítě vaší organizace. Kromě hesla chraňte účty pomocí vícefaktorového ověřování.

3. Implementujte technologie na boj proti podvodné komunikaci, které zachytí spam a phishingové zprávy, umístí je do karantény, neutralizují a odstraní. Některá z těchto opatření nebo všechny najednou pokrývají ucelená bezpečnostní řešení na trhu včetně mnoha produktů ESET.

4. Vytvořte srozumitelné bezpečnostní politiky, kterým zaměstnanci porozumí a dokáží je použít v případě, že se setkají s kybernetickým útokem.

5. Používejte bezpečnostní řešení a nástroje pro správu, jako například ESET PROTECT Cloud, na ochranu koncových zařízení a sítí ve vaší firmě. Správci tak budou mít přehled o všem a dokáží zachytit a minimalizovat potenciální hrozby v síti.

Bojujte proti sociálnímu inženýrství

ESET PROTECT
Advanced

Chraňte firmu před sociálním inženýrstvím pomocí vícevrstvého zabezpečení koncových zařízení od společnosti ESET, které zahrnuje cloudový systém LiveGrid®, ochranu před síťovými útoky a cloudovou konzoli ESET PROTECT. Díky tomu budou mít správci úplný, podrobný a neustálý přehled o síti.