Čo je sociálne inžinierstvo?

V počítačovej bezpečnosti sa napriek maximálnemu úsiliu používateľa vyskytuje veľa problémov. Napríklad, malvér môže byť zasiahnutý malvérom v ktoromkoľvek bode, je to naozaj smola. Existujú kroky, ktoré môžete podniknúť na minimalizáciu rizika, ako je napríklad použitie blokovania reklám. Ale byť takto zasiahnutý nie je chyba používateľa. Iné útoky sa však zameriavajú na oklamanie používateľa, aby niečo urobil. Tieto typy útokov spadajú pod širokú zástavu útokov sociálneho inžinierstva.

Sociálne inžinierstvo zahŕňa použitie analýzy a pochopenia toho, ako ľudia zvládajú určité situácie na manipuláciu výsledku. Sociálne inžinierstvo možno vykonávať proti veľkým skupinám ľudí. Z hľadiska počítačovej bezpečnosti sa však zvyčajne používa proti jednotlivcom, hoci potenciálne ako súčasť veľkej kampane.

Príkladom sociálneho inžinierstva proti skupine ľudí môžu byť pokusy vyvolať paniku ako rozptýlenie. Napríklad armáda vykonávajúca operáciu pod falošnou vlajkou alebo niekto, kto na rušnom mieste kričí „palte“ a potom v chaose kradne. Na určitej úrovni sú technikami sociálneho inžinierstva aj jednoduchá propaganda, hazardné hry a reklama.

V počítačovej bezpečnosti sú však akcie individuálnejšie. Phishing sa snaží presvedčiť používateľov, aby klikli, odkazovali a zadávali podrobnosti. Mnoho podvodníkov sa pokúša manipulovať na základe strachu alebo chamtivosti. Útoky sociálneho inžinierstva v oblasti počítačovej bezpečnosti sa môžu dokonca dostať do skutočného sveta, ako napríklad pokus o získanie neoprávneného prístupu do serverovej miestnosti. Je zaujímavé, že vo svete kybernetickej bezpečnosti sa tento posledný scenár a podobné scenáre zvyčajne myslia, keď sa hovorí o útokoch sociálneho inžinierstva.

Širšie sociálne inžinierstvo – online

Phishing je typ útoku, ktorý sa pokúša prinútiť obeť, aby poskytla podrobnosti útočníkovi. Phishingové útoky sa zvyčajne doručujú v externom systéme, napríklad prostredníctvom e-mailu, a preto majú dva odlišné body sociálneho inžinierstva. Najprv musia obeť presvedčiť, že správa je legitímna, a prinútiť ju kliknúť na odkaz. Potom sa načíta phishingová stránka, kde bude používateľ následne vyzvaný na zadanie podrobností. Zvyčajne to bude ich používateľské meno a heslo. To závisí od počiatočného e-mailu a phishingovej stránky, ktoré vyzerajú dostatočne presvedčivo na to, aby im sociálne inžinierstvo dalo dôveru.

Mnohé podvody sa snažia sociálne inžiniermi prinútiť svoje obete, aby im odovzdali peniaze. Klasický podvod „nigérijského princa“ sľubuje veľkú výplatu, ak obeť zaplatí malý poplatok vopred. Samozrejme, keď obeť zaplatí „poplatok“, nedostane žiadnu výplatu. Iné typy podvodných útokov fungujú na podobných princípoch. Presvedčte obeť, aby niečo urobila, zvyčajne odovzdala peniaze alebo nainštalovala malvér. Ransomware je toho príkladom. Obeť musí odovzdať peniaze, inak riskuje stratu prístupu ku všetkým zašifrovaným údajom.

Osobné sociálne inžinierstvo

Keď sa vo svete kybernetickej bezpečnosti hovorí o sociálnom inžinierstve, zvyčajne sa to týka akcií v reálnom svete. Príkladov scenárov je veľa. Jeden z najzákladnejších sa nazýva tail-gating. Toto sa vznáša dostatočne blízko za niekým, že podrží otvorené dvere s kontrolovaným prístupom, aby ste mohli prejsť. Chvostové vrátanie možno zlepšiť nastavením scenára, v ktorom vám obeť môže pomôcť. Jednou z metód je stretnúť sa s fajčiarmi vonku na prestávke na dym a potom sa so skupinou vrátiť dovnútra. Ďalšou metódou je, že nesiete niečo nepríjemné. Táto technika má ešte väčšiu šancu na úspech, ak to, čo nosíte, môže byť pre ostatných. Napríklad, ak máte podnos s hrnčekmi na kávu pre „váš tím“, existuje spoločenský tlak, aby vám niekto podržal otvorené dvere.

Veľká časť osobného sociálneho inžinierstva sa spolieha na vytvorenie scenára a následné sebavedomie v ňom. Napríklad sociálny inžinier sa môže vydávať za nejakého stavebného robotníka alebo upratovača, ktorý môže byť všeobecne prehliadaný. Odovzdanie „strateného“ USB kľúča môže viesť k tomu, že sa vydáva za dobrého Samaritána a zamestnanec ho pripojí. Cieľom by bolo zistiť, komu patrí, ale potom by to mohlo infikovať systém škodlivým softvérom.

Tieto typy osobných útokov sociálneho inžinierstva môžu byť veľmi úspešné, pretože nikto skutočne neočakáva, že bude takto oklamaný. Predstavujú však veľké riziko pre útočníka, ktorý má veľmi reálnu šancu, že bude prichytený pri čine.

Záver

Sociálne inžinierstvo je koncept manipulácie ľudí s cieľom dosiahnuť cielený cieľ. Jedným zo spôsobov je vytvorenie skutočne vyzerajúcej situácie, aby obeť oklamala, aby tomu uverila. Môžete tiež vytvoriť scenár, v ktorom existuje spoločenský tlak alebo očakávanie, že obeť bude konať v rozpore so štandardnými bezpečnostnými radami. Všetky útoky sociálneho inžinierstva sa však spoliehajú na oklamanie jednej alebo viacerých obetí, aby vykonali akciu, ktorú od nich útočník chce.