RSS
| Sociální inženýrství z pohledu útočníka |
 |
 |
 |
|
Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity Technika sociálního inženýrství je obecně považováno za útok „cestou nejmenšího odporu“. Proč tomu tak je – a jak vlastně uvažují útočníci? Nejzranitelnější místo Sociální inženýrství je umění klamu. Jeho cílem je vytvořit v člověku nějakým způsobem dojem, že situace je jiná, než ve skutečnosti je. Jinými slovy: člověk nepozná, že mu telefonuje nebo e-mailuje nebo ho jinak oslovuje podvodník, ale na základě některých uměle vytvořených indicií se domnívá, že komunikuje s někým úplně jiným (důvěryhodným). Sociální inženýrství má ostatně kořeny i v klasických podvodech reálného světa: falešní výběrčí doplatků za vodu, plyn či elektřinu jsou velmi jasným příkladem. Přitom v kybernetickém prostoru je sociální inženýrství zneužíváno více než kde jinde – díky standardizované komunikaci a díky nesmírně jednoduchému ústupu i špatnému zajišťování stop v globálním médiu, jakým je internet. Typickým příkladem využití sociálního inženýrství jsou e-mailové výzvy. V zásadě ale není podstatné, jakým způsobem je sociální inženýrství prováděno, mnohem důležitější je určit, kam směřuje. Tento směr nám následně dá nápovědu o tom, jak se chránit a bránit. Široké možnosti Sociální inženýrství používá velmi širokou paletu triků a úskoků, které bychom ale mohli zařadit do několika základních kategorií. Mezi ně patří: • Stres – člověk pod tlakem reaguje jinak než člověk v pohodě, který má čas nad věcmi přemýšlet. Zvláště ve velké firmě platí, že ne každý zná každého, a když zazvoní telefon, že je potřeba vykonat tu a tu činnost či sdělit takovou informaci, aby se zabránilo velkému průšvihu (ztráta významného zákazníka apod.), asi jen málokdo zaváhá. • Nebezpečí – nejčastěji je používána metoda „Vaší peněžence hrozí nebezpečí. Když nechcete, nic nedělejte. Ale kdybyste se přece jen rozhodli něco udělat… • Vydávání se za někoho/něco známého – opravdu je osoba v e-mailu nebo na telefonu skutečně tím, za koho se vydává? Zvláště v armádě se hierarchie hodností dodržuje více než důsledně. Ale i v civilu platí, že když zavolá nová asistentka generálního ředitele, asi jen největší odvážlivec by jí odmítl sdělit požadovanou informace. Přitom třeba v kybernetickém světě není nic jednoduššího, než si změnit identitu. • Důvěryhodná činnost – útoky není potřeba provádět pouze vzdáleně. Člověk s brašnou a v montérkách propluje hlavně do objektu velké firmy zpravidla bez větších potíží. A když se předtím ještě třeba telefonicky objednal, má zpravidla dveře otevřené prakticky všude… • Lákavá činnost – lidé zpravidla nejsou složitými osobnostmi, alespoň ne v základních potřebách. A tak není divu, že třeba e-mailoví červi vydávající se za soubory s lechtivým obsahem dosahují větší úspěšnosti než jejich „serióznější“ kolegové. • Tajemství – na chodbě firmy leží CD a na něm nápis „Mzdy třetí kvartál“. Dříve či později ho někdo zvedne a je velká pravděpodobnost (skoro až jistota), že i vloží do počítače. Zvědavost vítězí. Samozřejmě, že jediný program následně i spustí – a zároveň s tím si v příslušném okamžiku nainstaluje do počítače nějaký nástroj pro útočníka. Proti všem útokům Těžko budeme vytvářet nějaké obecně platné scénáře protiopatření, protože sociální inženýrství ctí tři zákonitosti. Jednak útok může přijít odkudkoliv. Jednak bývá útočník velmi dobře připravený. A jednak je útok „šitý na míru“. Jinak by se také dalo říci, že to, co bude platit na pracovníka A, nebude platit na pracovníka B. A naopak. Opět názorný příklad: statisticky je dokázáno, že muži klikají na přílohu u e-mailů s nabídkou pikantních fotografií několikrát častěji, než ženy. Každou z těchto cílových skupin je tak zapotřebí oslovovat jinak... Z čehož samozřejmě nevyplývá, že je zapotřebí vypracovávat pro každou osobu speciální plán ochrany před sociálním inženýrstvím. To se ani nemůže podařit, neb není možné ošetřit všechny případné varianty útoku. Je zapotřebí vypracovat systém, který bude maximálně odolný proti jakémukoliv útoku. |
