Sociálne inžinierstvo-necháte sa nachytať?

Sociálne inžinierstvo-necháte sa nachytať?

Sociálne inžinierstvo – necháte sa nachytať?

 

„Nad ľudskou hlúposťou nezvíťazíme. Ale nikdy nesmieme proti nej prestať bojovať.“ Jan Werich

 

Možno si práve hovoríte, že ste sa s pojmom sociálne inžinierstvo ešte nestretli, no opak je pravdou. Ľudská hlúposť, neopatrnosť a nevedomosť nás už od nepamäti sprevádzajú na každom kroku a tak bolo len otázkou času, kedy sa medzi ľuďmi nájdu tí, ktorí tieto chyby v správaní dokážu zneužiť.

So sociálnym inžinierstvom sa v našich životoch stretávame dennodenne, či už je to v mestskej hromadnej doprave, v práci alebo pri surfovaní na webe. Sociálni inžinieri útočia na naše najcitlivejšie miesta a snažia sa získať si našu dôveru alebo súcit. Určite ste už niekoľko krát videli ľudí bez nôh ako žobrú o pár centov na jedlo (často krát sa však stáva, že majú len nohy zložené pod sebou, aby ich nebolo vidno) a vy ste im tých pár centov dali, pretože vám ich bolo ľúto. Súcit a ľútosť patria medzi vlastnosti ľudí, ktoré dokážu sociálny inžinieri zneužiť a dostať sa tak k hmotným (napr. spomínané centy) ale i nehmotným veciam (prístupové kódy, citlivé osobné údaje atď.)

Sociálneho inžiniera alebo tiež sociálneho hackera môžeme definovať ako človeka, ktorý využíva rôzne manipulačné techniky voči ľudom a snaží sa tak získať prístup k informačným systémom, citlivým údajom a pod. V dobe, kedy je internet každodennou súčasťou života, ľudia sami uľahčujú prácu sociálnych inžinierov. Internet poskytuje ľudom falošný pocit anonymity, nevystopovateľnosti. Strácame úctu k súkromiu iných a zabúdame chrániť to svoje – dobrovoľne zverejňujeme osobné (často krát intímne) informácie na rôznych sociálnych sieťach bez toho, aby sme sa zamysleli ako to bude vyzerať o rok, dva, desať. To čo dnes uverejníte na sociálnej sieti môže ktokoľvek nájsť a zneužiť aj o 10 rokov.

 

Kevin Mitnick – najhľadanejší kyber-zločinec minulosti


kevin mitnickAsi najznámejším sociálnym inžinierom bol (a aj je) Kevin Mitnick. V minulosti bol označený ako najhľadanejší človek kyber sveta. Ako vidíte, píšem v minulosti – v pozdných osemdesiatych a skorých deväťdesiatych rokoch ešte internet nebol tak rozšírený ako v dnešnej dobe. A predsa dokázal Mitnick získať prístup do mnohých systémov. Využíval pri tom rôzne techniky sociálneho inžinierstva a prakticky dokázal presvedčiť zamestnancov firiem aby mu sami dali prístup do informačných systémov. V dnešnej dobe Mitnick presadlal na stranu „tých dobrých“ a pracuje ako bezpečnostný konzultant. Viac o ňom a jeho spoločnosti nájdete na jeho oficiálnych stránkach.

 

Práca sociálneho inžiniera na plný úväzok


Základným kameňom sociálneho inžinierstva je zneužívanie chýb v ľudskom úsudku.

V spoločnosti uznávané – dogmaticky označované ako „dobré“ vlastnosti ľudí, dokážu sociálny inžinieri zneužiť a obrátiť ich vo svoj prospech bez toho, aby ste si to uvedomili.

Patria medzi ne napr.:

  • Dôvernosť
  • Ľútosť
  • Láskavosť
  • Zvedavosť
  • Ochota pomáhať

K práci sociálnych hackerov tiež napomáha skutočnosť, že čoraz viac ľudí žije pod veľkým tlakom – stresom.  Dôverujeme technologickým novinkám a máme pocit anonymity pri ich využívaní.

Sociálny inžinier spočiatku zhromažďuje informácie o svojej obeti. Informácie aké útočník potrebuje môžeme rozdeliť do niekoľkých kategórií, ktoré môžete nájsť v nasledujúcej infografike.

infografika_inžinierstvo_1

Po tom, ako má útočník dostatočný počet pravdivých a overených skutočností zo života človeka alebo firmy, nasleduje osobná, telefonická alebo iná konfrontácia so svojou obeťou.

Sociálny inžinier si najskôr získa dôveru obete tým, že jej podá dôveryhodné a pravdivé informácie, na základe ktorých si obeť vytvorí k útočníkovi akýsi dôverný vzťah a následne jej podvrhne klamlivé informácie, ktoré mu obeť uverí a sprístupní mu údaje, ku ktorým by inak nemal prístup.

Hlavným dôvodom prečo sa môžete stať obeťou sociálneho inžiniera nie len získanie prístupu k informačnému systému spoločnosti, ale tiež jeho potreba získania ďalších „pravdivých“ skutočností o nejakej inej osobe/spoločnosti. Obeť by sa teda opäť dostala do začarovaného kruhu pravda-dôvera-lož. S touto témou súvisí tiež krádež identity, kedy sa útočník vydáva za niekoho iného, aby vás dokázal presvedčiť o „jeho“ pravde. Viac o téme krádeže identity nájdete v článku Krádež identity.

Stručne vám vymenujem techniky sociálneho inžinierstva, avšak ich podstata bude náplňou pre môj nasledujúci článok (doplnené 8.9.2013 – Techniky sociálneho inžinierstva II.). Sú to teda tieto:

  • Trashing
  • Fishing
  • Pharming
  • Vishing
  • HOAX a SPAM (viac o tejto téme v článku SPAM vs. EMAIL)
  • Rôzne internetové lotérie

 one_two_three

Nečakajte quasimoda


Pokiaľ k vám pristúpi neznámy človek, ktorý má mastné vlasy, je neupravený, má špinavé a zničené šaty a začne sa vás vypytovať rôzne veci, ktoré by ste inak nepovedali hocikomu, ako zareagujete? Pravdepodobne ho pošlete preč so spŕškou vulgarizmov a známym sa posťažujete že vás niekto takýto obťažoval.

Ak by k vám však pristúpil mladý, dobre vyzerajúci pán v obleku, ktorý vás vrúcne prosí o pomoc, pretože stratil peňaženku v ktorej mal autorizačnú kartu (napr. pre prístup do budovy) a žiada od vás, aby ste mu otvorili dvere, zrejme to urobíte.

Dnešná materiálna doba v nás zakotvila určité predsudky voči ľudom, ktorí sa neobliekajú podľa najnovšej módy, majú tetovanie alebo výstredný účes. Práve tento defekt v správaní ľudí využívajú sociálni inžinieri pri manipulácii ľudí. Ako som spomenul vyššie, pocit dôvery voči cudziemu človeku nadobudnete skôr, pokiaľ bude dobre vyzerať, voňať alebo čokoľvek tomu podobné. Preto sociálnych inžinierov môžeme označiť aj ako hackerov v oblekoch.

Dôveruj, ale preveruj!


Samozrejme, môže sa stať že naozaj nejaký z vašich kolegov stratí identifikačnú kartu alebo zabudne heslo do systému. Jeho totožnosť si však overte aj 10x pred tým, ako mu sprístupníte nejaké dôležité údaje, prístupy a pod… Opýtajte sa ho na veci, ktoré by mal naozaj vedieť iba súčasný zamestnanec a snažte sa mu čo najviac sťažiť prístup k čomukoľvek. Sociálny inžinieri využívajú najslabší článok spoločnosti-firmy a to zamestnanca-človeka.

Môžete mať najlepšie bezpečnostné systémy na trhu, no pokiaľ nemáte dostatočne vzdelaných zamestnancov (v oblasti informačnej bezpečnosti) nepomôže vám to. Sťaží to cestu sociálnych hackerov, no nezabráni im to v tom, aby získali prístup kamkoľvek. Preto by mal mať každý zamestnanec, študent, technik – človek milión v hlave zakotvené známe heslo – dôveruj ale preveruj.

 

Tomáš Paulus

Napísať odpoveď pre J. Oster Zrušiť odpoveď