O2 Modrý blog

Sociální inženýrství a kyberprostor

Sociální inženýrství jako mnohdy tajuplný leč běžný jev. V legální a jednoduché formě se s ním setkáváme již jako děti, když nás rodiče přesvědčují, abychom plnili jejich příkazy nebo pokud lékař potřebuje získat důležité informace k určení správné diagnózy pacienta. Jako spotřebitelé se s technikami sociálního inženýrství setkáváme v marketingu. Pravděpodobně jste narazili na akční nabídku, která vyprší za deset minut. Nebo na to, že prohlíženého zboží zbývají poslední tři kusy, přičemž se o něj zajímá současně s vámi dalších patnáct zákazníků.

Promyšlená marketingová strategie tak uměle vytváří pocit nutnosti rychlého rozhodnutí, časově omezené výhody nebo zneužívá postavení autority k tomu, aby uživatele či zákazníka podnítila k rychlé akci, kterou by za normálních okolností možná ani neudělal.

Na tyto praktiky jsme si v podstatě zvykli a nepovažujeme je za něco, před čím bychom se měli mít na pozoru. To poskytuje kyberzločincům velkou výhodu. Sociální inženýrství v rukou útočníka se tak stává mocným nástrojem k zisku informací. Nemusí překonávat žádné bezpečnostní mechanismy, stačí, když využije nejzranitelnější část systému – uživatele. Používá k tomu starých a často velmi jednoduchých taktik manipulace a nátlaku, kterými přesvědčí oběť, že může něco získat, něčemu prospět nebo že je požadované informace dokonce povinna sdělit.

Sociální inženýrství je tedy způsob manipulace lidí za účelem provedení určité akce nebo získání informací. Termín je běžně používán ve významu podvodu, jehož cílem je získání citlivých osobních či firemních informací, hesel, bankovních přístupů nebo přístupů do informačního systému firmy. Ve většině případů útočník nepřichází do osobního kontaktu s obětí a nemusí složitě obcházet zabezpečení počítače či firemní sítě.

Spíše než tvrdých hackerských technik využívají sociální inženýři znalostí psychologie a vlastností, které jsou v lidských dějinách zneužívány stále dokola – lidské hlouposti, naivity, důvěry. A také sklonu k nepozornosti, který se mnohdy projevuje v takzvané provozní slepotě, a kterému se v době, kdy se spousta zaměstnanců snaží skloubit práci z domova s home-schoolingem a provozem domácnosti, upřímně není co divit. V konečném důsledku si oběť většinou ani neuvědomuje, že se obětí stala a vyzradila informace, které neměla nebo nechtěla.

Právě zaměstnance označují odborníci za nejrizikovější faktor úniku dat, který způsobí až 90 % případů těchto bezpečnostních incidentů.

Více o tomto tématu jsme se rozepsali v článku Nejčastější kyberprohřešky zaměstnanců. Kromě typů útoků, které mohou aktuálně na vaše zaměstnance směřovat, se v něm dozvíte i tipy, jak se proti nim účinně bránit.

Sociální inženýrství jako nebezpečí pro vaše zaměstnance

Nejen díky aktuální pandemické situaci sledujeme dramatický nárůst každodenního používání digitálních zařízení a využití technologií k nejrůznější firemní i osobní agendě. S tím samozřejmě souvisí nárůst internetového provozu včetně přesunu cenných informací do digitálního prostoru. Tak rychlé změny nedokážou jednotlivé informační systémy dostatečně reflektovat a mnohdy jsou tak informace i samotné systémy chráněny nedostatečně.

Sociální inženýrství je jedním z vektorů kybernetického útoku. Na rozdíl od dalších, převážně technických útoků zde nezáleží do takové míry na technické úrovni organizace, robustnosti jejího firewallu, kvalitě šifrování, systémech detekce útoků a ověření uživatelů. Jsou zaměřeny na nejslabší článek bezpečnosti, člověka samotného. Odhaluje se tak rozdíl mezi strojem a člověkem. Lidé druhým více důvěřují, řídí se emocemi a pocity. Útokům sociálního inženýrství tak nejde plně zabránit žádným softwarovým nebo hardwarovým řešením. Útoky lze ale detekovat a omezit, přičemž základem je schopnost naučit své zaměstnance takové útoky rozpoznat a informace o nich v rámci firmy sdílet.

Pár příkladů, jak takové útoky mohou vypadat:

  • Útočník může začít prostým prohledáním odpadků a nalezením vyhozených dokumentů či poznámek.
  • Mnohdy mu stačí šikovně nahlédnout přes rameno oběti v kanceláři či kavárně a odpozorovat její heslo.
  • Útočník se také může do budovy dostat jako poslíček doručující oběd pro zaměstnance.
  • Po veřejných místech budovy nebo jejím okolí může volně rozhodit USB disky, případně je vložit do obálky nadepsané ”Odměny za tento rok“ a pak jen čekat, kdo se bude radovat ze zdarma získaného USB disku nebo koho přemůže zvědavost.
  • Útočník se také nebojí využít psychologie během telefonního rozhovoru a přesvědčit vašeho zaměstnance k vykonání určité akce nebo prozrazení informací, když se například vydává za pracovníka IT oddělení, který nutně potřebuje aktualizovat uživatelův počítač.

Útočníci jsou v dnešní době schopni využít všechny komunikační kanály včetně telefonní, e-mailové a osobní komunikace, a také chatovacích aplikací a sociálních sítí.

Lidská chyba je zodpovědná až za 90 % kybernetických incidentů. Ukazuje se tak, že i když firmy mohou mít ty nejlepší technologie a systémy, a dokonale vypracované bezpečnostní postupy, bezpečnostní riziko spojené s útoky sociálního inženýrství dokážou pouze minimalizovat a detekovat, nikoli plně zastavit a odstranit. Často totiž útočník rozešle phishingový e-mail plošně na většinu zaměstnanců klidně i několika firem najednou. A téměř vždy se v tom množství najde někdo, kdo na něj z výše uvedených důvodů klikne a infikovanou webovou stránku nebo přílohu otevře. Je proto nanejvýš důležité, aby byli zaměstnanci o podobě případných útoků pravidelně informováni, a případná podezření sdíleli mezi sebou i s odpovědným pracovníkem IT.

Techniky sociálního inženýrství z pohledu IT můžeme rozdělit na dvě skupiny:

  • Využití psychologické manipulace k získání přístupu do IT systému, který je i skutečným cílem útočníka. Útočník se například vydává za potenciálně bonitního klienta a prostřednictvím telefonního hovoru se snaží cíl přesvědčit k otevření škodlivého webu, který následně infikuje jeho počítač a rozšíří se do celé podnikové sítě. Nebo se vydává za administrátora potřebujícího kooperaci zaměstnance při ověření nové funkce systému. Proto vyžaduje heslo zaměstnance nebo nějakou jinou citlivou informaci.
  • Využívá IT technologie s podporou psychologické manipulace k dosažení cíle mimo IT. Například se prostřednictvím phishingového e-mailu snaží získat přístupové údaje k bankovnímu účtu a ty poté zneužije k okradení cíle.

Bezpečnost tak není jen o zařízeních a analytických nástrojích, ale o celém procesu, na jehož konci bude vždy člověk. Tento fakt si útočníci dobře uvědomují, a proto se začínají stále více zaměřovat právě na uživatele. Jejich oklamaní je často mnohem jednodušší, rychlejší, s prakticky nulovými náklady při výrazně nižším riziku. A často také úspěšnější. Uživatel může neúmyslně velmi snadno degradovat celou technologicky orientovanou ochranu celé organizace. Ve většině případů je totiž snazší podvodně vylákat z uživatele jeho přihlašovací údaje, než sofistikovaně překonávat několik vrstev zabezpečení sítě a koncového zařízení.

Každoročně sbírané statistiky označují útoky sociálního inženýrství za druhý nejčastější typ útoků, s nimiž se společnosti setkávají. Pouze veřejně přiznané ztráty dosahují ročně několika miliard dolarů. Sociální inženýrství tak můžeme aktuálně považovat za jednu z největších hrozeb v oblasti kybernetické bezpečnosti, které čelí většina organizací.

Prakticky jedinou ochranou před těmito útoky je kontinuální budování povědomí o kybernetické bezpečnosti uživatelů a pravidelné vzdělávání o aktuálních hrozbách a technikách útočníků. Vysvětlování, co může průnik do firemní struktury znamenat. Uživatel se musí naučit, komu může důvěřovat. Jak rozeznat, jestli je adresát opravdu tím, za koho se vydává. Jaké internetové stránky může považovat za bezpečné, a kde je třeba si dát pozor. Jaké bezpečnostní nástroje mu můžou pomoct. Obeznámený zaměstnanec může riziko ohrožení významně snížit.

K digitální bezpečnosti přistupujeme komplexně. Našim zákazníkům proto nabízíme i různé edukační platformy pro vždělávání v oblasti kyberbezpečnosti. Pomáhají šířit mezi zaměstnanci povědomí o aktuálních kyberhrozbách a metodách sociálního inženýringu, a doplňují tak bezpečnostní politiku firem o další úroveň zabezpečení.

Připomeňte svým zaměstnancům základní pravidla pro bezpečnost v online prostředí i vaší firemní síti:

  • Neotevírejte emaily z neznámých adres ani jejich přílohy, u podezřelých e-mailů si zkontrolujte adresáta včetně domény
  • Při podezření na phishingový útok informujte zodpovědného pracovníka IT
  • K přihlašování do firemních účtů a aplikací používejte silná hesla
  • Firemní a citlivá data nekopírujte na soukromé flash disky i jiná nezaheslovaná úložiště

Fáze útoku sociálního inženýrství

Jednotlivé útoky sociálního inženýrství se navzájem liší, přesto v nich můžeme pozorovat charakteristický vzorec, tvořící standardní fáze útoku. Útočníci používají připravené manipulační scénáře, případně je kombinují s technickými prostředky:

  • Shromažďování informací – tato fáze poskytuje útočníkovi důvěryhodnost při jednání s obětí. Slouží k vytipování slabin, informací, vzorců chování a cest, které mohou pomoc v útoku. Jestliže například pravidelně hradíte nájem nebo operativní leasing za hardware, hacker tento vzorec dokáže vypozorovat a následně vystavět email, který se tváří identicky jako výzva k platbě, pouze s falešným bankovním účtem. A útok je na světě.
  • Budování vztahů a důvěry – na základě připraveného scénáře situací a otázek. Pokud je to možné, tak jako oběť volí osobu, která si neuvědomuje důležitost informací, se kterými pracuje.
  • Zneužití důvěry – útočník zneužije získanou důvěru a vztah k tomu, aby oběť poskytla citlivé informace nebo provedla bezpečnostní incident.
  • Využití informace – útočník obdrží požadované informace a využije je tak, aby dosáhl požadovaného výsledku, aniž by zanechal jakýkoli důkaz.

Obrázek 1 Schéma cyklu útoku sociálního inženýrství

Díky znalosti jednotlivých fází útoku může společnost v rámci hodnocení rizik identifikovat své slabé stránky a rizika, kterým je nutné se v rámci bezpečnosti organizace věnovat tak, aby došlo k správné a maximálně možné ochraně proti sociálnímu inženýrství.

Kromě zmiňované edukace zaměstnanců je primárním nástrojem v boji proti sociálnímu inženýringu ochrana e-mailu pomocí služby O2 Antispam. Jde o ochranu koncového uživatele, ke kterému se phishingový e-mail ani nedostane. Ideální je kombinace proti pokročilým hrozbám v podobě sandboxingu.

Dále je vhodné zajistit ochranu serverové infrastruktury a tím zamezit či zmenšovat dopadovou plochu případného útoku. Vhodným nástrojem není jen sofistikovaný antispamový engine, ale i zajištění perimetru sítě v podobě O2 NGFW Firewallu, který následně kontroluje provoz a spojení „do“, ale i „ze“ sítě. Firewall s „Next generation funkcionalitami“ je pak schopen zamezit nežádoucím spojením, které by jinak mohli navázat další nežádoucí spojení a fáze kybernetického útoku.

 

 

Ing. Jonáš Jandák, ICT Security Specialista

Pracuje v O2 druhým rokem a zaměřuje se na rozvoj bezpečnostních služeb. Předtím působil v prostředí automotive, kde řešil podnikové IT včetně zabezpečení v souladu se standardy a legislativou. Vystudoval fakultu Informatiky a statistiky VŠE se zaměřením na Security management v rámci informačních systémů a technologií. Při řešení problémů nezapomíná na své počátky, které provázela záliba ve zkoumání a „hraní“ si se vším, co se pojí k moderním technologiím, což přináší někdy nečekané ale funkční a inovativní pohledy s cílem co nejlépe pomoct zákazníkovi.

Bude Vás zajímat

Související článek Obránci v digitální éře. S čím firmám pomáhají etičtí hackeři?
Kam pokračovat? Mohlo by vás zajímat
VŠECHNY
Nahoru