Sociotechniky

Hoax

Hoax je označení pro řetězové zprávy (řetězově rozesílané zprávy typu: „pošli to dál“, „pokud to nepošleš 20 dalším lidem, tak se stane…“ aj.), které uvádějí zkreslené, nepravdivé, zavádějící či jiné falešné informace. Hoax obsahuje často varování před útoky, popisy nebezpečí, prosby o pomoc, výzvy, petice, prohlášení slavných, řetězové dopisy štěstí, žertovné zprávy, obrázky a videa v prezentacích, hrající si kočičky a jiná zvířátka atd.

Fake News

Fake news (česky „podvržené zprávy“) jsou žánr tzv. žluté žurnalistiky (bulvární či neetické novinařiny) úmyslně šířící dezinformace či hoaxy za účelem ovlivnit a zmanipulovat příjemce. Doménou fake news v současné době bývají dezinformační weby, sociální sítě, šířeny ale mohou být prostřednictvím všech mediálních platforem.

Sociální inženýrství

„Amatéři hackují systémy, profesionálové lidi.“

Bruce Schneier.

Sociální inženýrství nelze za každých okolností považovat přímo za kybernetický útok, nicméně je předpokladem pro to, aby byla řada kybernetických útoků úspěšná. Pokud bychom chtěli definovat pojem sociální inženýrství, bylo by možné říci, že jde o ovlivňování, přesvědčování či manipulaci s lidmi s cílem je donutit provést určitou akci, či od nich získat informace, které by jinak neposkytli. Smyslem je v oběti navodit dojem, že situace, v níž se nachází, je jiná, než ve skutečnosti je. Zjednodušeněji by se dalo říci, že se jedná o „umění klamu“.

Nejslabším článkem bezpečnostního systému je a vždy bude člověk (uživatel). Právě jednoduchost útoku zacíleného na nejslabší článek celého systému z něj zpravidla činí tu nejúčinnější formu.

Socialní inženýrství se do popředí dostalo s kauzou Kevina Mitnicka, který je mnohými považován za hackera, avšak sám se spíše považuje za sociotechnika.

Doporučuji přečíst knihu: MITNICK, Kevin D. a William L. SIMON. Umění klamu. Gliwice: Helion, 2003. ISBN 83-7361-210-6.

Pro sociální inženýrství je jedním z klíčových faktorů zisk co největšího množství informací o cíli útoku (ať již počítačovém systému, právnické či fyzické osobě). Mnohdy dochází k dlouhodobému působení na klíčovou osobu a budování „důvěry“ mezi útočníkem a obětí před vlastním útokem, přičemž útočník typicky využívá lidské neopatrnosti, důvěřivosti, ochoty pomoci jiným, lenosti, slabosti, strachu (např. aby se osoba nedostala do problémů), neodpovědnosti, hlouposti aj.

Útoky sociálního inženýrství jsou zpravidla vedeny třemi způsoby, přičemž tyto způsoby jsou navzájem kombinovány:

  • Sběr volně (veřejně) dostupných dat o cíli útoku

  • Fyzický útok (útočník se například vydává za pracovníka servisní agentury – např. servis tiskáren, pracovník údržby aj.), při kterém se útočník snaží získat co nejvíce informací „zevnitř“ společnosti, případně citlivé informace o jednotlivých pracovnících (včetně např. prohledávání odpadků aj.)

  • Psychologický útok

Typy útoku sociálního inženýrství

Pretexting

Útočník zavolá jednotlivce a lží se pokouší získat přístup k privilegovaným datům. Například předstírá, že potřebuje osobní nebo finanční údaje, aby potvrdil totožnost příjemce.

Něco za něco (Quid pro quo)

Útočník požaduje osobní informace od strany výměnou za něco, jako dárek.

Metody útoku sociálního inženýrství

  • Podvodný e-mail či falešná webová stránka

  • Telefonický hovor

  • Útok „tváří v tvář“

  • Prohledávání odpadků

  • Prohledávání webu, sociálních sítí aj.

    • Veřejné informace dostupné online

    • Výroční zprávy a jiné veřejně dostupné informace o společnosti

  • Doručení reklamních či jiných materiálů na CD, DVD či jiném paměťovém nosiči

  • Ponechání paměťového média (USB aj.) v zájmové oblasti

  • Nabídka vyzkoušení služby online

  • Dodávka či nalezení zařízení

  • Falešný servisní technik

  • Jiné

Cíle útoku sociálního inženýrství

  • řídící pozice,

  • IT oddělení,

  • pracovníci help desků,

  • recepční (sekretariáty),

  • bezpečnostní pracovníci,

  • správa budov,

  • úklid aj.

Obrana proti sociálnímu inženýrství

K redukci rizik sociálního inženýrství je nezbytné zvyšovat povědomí o možných hrozbách nejen v rámci organizace, ale v rámci celé společnosti.

„Důvěřuj, ale prověřuj.“ Ronald Regan

"Přežije jen paranoik.“ Andrew S. Growe

Použité zdroje

  • KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-31-7.

  • DOUCEK, Petr, Martin KONEČNÝ a Luděk NOVÁK. Řízení kybernetické bezpečnosti a bezpečnosti informací. Praha: Professional Publishing, 2019. ISBN 978-80-88260-39-4.

  • Sbírka zákonů č. 82 / 2018 Vyhláška o kybernetické bezpečnosti