Je dôležité si uvedomiť sociálne inžinierstvo a byť na pozore. Bezpečnostné programy vás nebudú chrániť pred väčšinou hrozieb sociálneho inžinierstva, takže sa musíte chrániť.
Sociálne inžinierstvo vysvetlené
Tradičné počítačové útoky často závisia od nájdenia chyby v kóde počítača. Napríklad, ak používate zastaralú verziu Adobe Flash - alebo zakazujte Java, čo bolo príčinou 91% útokov v roku 2013 podľa Cisco - môžete navštíviť škodlivú webovú stránku a webovú stránku by zneužil zraniteľnosť vo vašom softvéri, aby získal prístup k vášmu počítaču. Útočník manipuluje s chybami v softvéri, aby získal prístup a zhromaždil súkromné informácie, možno s keyloggerom, ktorý inštalujú.
Triky sociálneho inžinierstva sú odlišné, pretože namiesto toho zahŕňajú psychickú manipuláciu. Inými slovami, využívajú ľudí, nie softvér.
Pravdepodobne ste už počuli o phishingu, čo je forma sociálneho inžinierstva. Môžete dostať e-mail s tvrdením, že pochádza od vašej banky, spoločnosti kreditnej karty alebo inej dôveryhodnej firmy. Môžu vás nasmerovať na falošnú webovú stránku maskovanú, aby vyzerala ako skutočná stránka, alebo vás požiada o prevzatie a inštaláciu škodlivého programu. Také sociálno-technické triky však nemusia obsahovať falošné webové stránky alebo škodlivý softvér. Phishingový e-mail vám môže jednoducho požiadať, aby ste poslali e-mailovú odpoveď so súkromnými informáciami. Namiesto toho, aby sa pokúšali zneužiť chybu v softvéri, pokúšajú sa využívať normálne ľudské interakcie. Spear phishing môže byť ešte nebezpečnejší, pretože je to forma phishingu určená na zacielenie na konkrétnych jednotlivcov.
Príklady sociálneho inžinierstva
Jeden populárny trik v chatových službách a online hrách bol zaregistrovať účet s menom ako "Administrator" a posielať ľuďom desivé správy ako "UPOZORNENIE: Zistili sme, že niekto môže hackovať váš účet a odpovedať na vaše heslo, aby ste sa otestovali." Ak cieľ odpovedá svojím heslom, padol za trik a útočník má teraz heslo svojho účtu.
Ak má niekto na vás osobné informácie, mohol by ho použiť na získanie prístupu k vašim účtom. Napríklad informácie, ako je dátum narodenia, číslo sociálneho poistenia a číslo kreditnej karty, sa často používajú na identifikáciu vás. Ak niekto má tieto informácie, mohli by kontaktovať firmu a predstierať, že ste vy. Tento trik bol skvele využívaný útočníkom na získanie prístupu k Yahoo! Sarah Palinovej Poštový účet v roku 2008, odoslaním dostatok osobných údajov na prístup k účtu prostredníctvom formulára obnovenia hesla Yahoo !. Rovnaká metóda by sa dala použiť aj po telefóne, ak máte osobné informácie, ktoré podnik vyžaduje, aby vás overil. Útočník s určitými informáciami o cieli môže predstierať, že je on a získať prístup k viacerým veciam.
Sociálne inžinierstvo by sa mohlo použiť aj osobne. Útočník by mohol chodiť do podniku, informovať tajomníka o tom, že je opravárom, novým zamestnancom alebo požiarnym inšpektorom v autoritatívnom a presvedčivom tóne, a potom sa potuluje sálmi a potenciálne ukradne dôverné údaje alebo chyby pri výkone podnikovej špionáže. Tento trik závisí od útočníka, ktorý sa prezentuje ako niekoho, koho nie sú. Ak sekretárka, vrátnik alebo ktokoľvek iný je zodpovedný, nevyžaduje príliš veľa otázok alebo sa nezaoberá príliš úzko, trik bude úspešný.
Sociálno-inžinierske útoky sa dotýkajú množstva falošných webových stránok, podvodných e-mailov a hanebných chatových správ až po zosobnenie niekoho na telefóne alebo osobne. Tieto útoky prichádzajú v širokej škále foriem, ale všetci majú jednu spoločnú vec - závisia od psychologického triku. Sociálne inžinierstvo sa nazýva umenie psychologickej manipulácie. Je to jeden z hlavných spôsobov, ako "hackeri" vlastne "hackujú" účty online.
Ako zabrániť sociálnemu inžinierstvu
Poznanie sociálneho inžinierstva vám môže pomôcť bojovať proti nemu. Buďte podozriví z nevyžiadaných e-mailov, chatových správ a telefonických hovorov, ktoré vyžadujú súkromné informácie. Nikdy neposkytujte e-mailom finančné informácie ani dôležité osobné informácie. Neťahajte potenciálne nebezpečné prílohy e-mailov a spustite ich, aj keď e-mail prehlasuje, že sú dôležité.
Nesmiete tiež sledovať odkazy v e-maile na citlivé webové stránky. Napríklad nekliknite na odkaz v e-maile, ktorý sa zdá byť z vašej banky a prihláste sa. Môže sa dostať do falošného phishingového webu, ktorý je skrytý tak, aby vyzeral ako stránka vašej banky, ale s jemne odlišnou adresou URL. Navštívte webovú stránku priamo.
Ak dostanete podozrivú žiadosť - napríklad telefonický hovor od vašej banky vyžaduje osobné informácie - kontaktujte priamo zdroj žiadosti a požiadajte o potvrdenie. V tomto príklade by ste volať svoju banku a opýtajte sa, čo chcú, skôr ako zverejniť informácie na niekoho, kto tvrdí, že je vašou bankou.
Programy na odosielanie e-mailov, webové prehliadače a zabezpečovacie súpravy majú zvyčajne filtre typu phishing, ktoré vás varujú pri návšteve známeho phishingového webu.Jediné, čo môžu urobiť, je upozorniť vás na návštevu známeho phishingového webu alebo na získanie známeho phishingového e-mailu a nevie o všetkých phishingových stránkach alebo e-mailech. Z väčšej časti je na vás, aby ste sa chránili - bezpečnostné programy môžu pomôcť len trochu.
Je to dobrý nápad vykonávať zdravé podozrenie pri riešení žiadostí o súkromné údaje a čokoľvek iného, čo by mohlo byť útokom sociálneho inžinierstva. Podozrenie a opatrnosť vám pomôžu ochrániť vás, on-line, aj offline.
