Co je to sociální inženýrství a jak se mu můžete vyhnout

Co je to sociální inženýrství a jak se mu můžete vyhnout

Viry nejsou jedinou hrozbou, o kterou byste si měli dělat starosti, když jste online. Mnohem horší je sociální inženýrství, které vás může postihnout na jakémkoliv operačním systému. Vlastně k němu totiž může dojít i přes telefon nebo naživo. Proto je tak důležité být si vědom toho, co to vlastně je. Tady nepomohou žádné bezpečnostní programy, musíte se chránit sami.

Co to je?

Tradiční útoky na váš počítač jsou obvykle založené na nalezení nějaké bezpečnostní díry v kódu. Například pokud používáte zastaralou verzi Adobe Flash nebo nedej bože Javy, která byla podle Cisca v roce 2013 příčinou 91 % útoků, je to pak velmi jednoduché. Navštívíte nějaké škodlivé webové stránky a tyto stránky chybu v zabezpečení softwaru využijí k získání přístupu do vašeho počítače. Útočník s chybou v softwaru manipuluje, aby mohl shromažďovat vaše osobní data nebo třeba i nainstalovat keylogger.

Triky sociálního inženýrství se liší, protože s vámi manipulují psychicky. Využívají lidi, ne software strojů.

Pravděpodobně jste již něco slyšeli o phishingu, který je formou sociálního inženýrství. Můžete například obdržet email od své banky nebo jiné důvěryhodné firmy. Ten vás nasměruje na falešný web, který se tváří, jako že je skutečný, a požádá vás o stažení a instalaci škodlivého programu.

TwitterPhishing21

Falešný web Twitteru, který má podezřelou URL adresu. Prohlížeč navíc upozorňuje, že je zřejmě falešný.

Ale triky sociálního inženýrství nemusí zahrnovat pouze falešné weby nebo malware. Phishingový email vás může jednoduše požádat o to, abyste v odpovědi poslali soukromé informace. Spíše než chyb v programech se snaží využít běžných lidských reakcí na určité věci.

Příklady

Jeden z oblíbených triků je zaregistrovat se na nějaké chatovací službě nebo online hře pod přezdívkou „Administrator“ a posílat lidem děsivé zprávy jako například:

„VAROVÁNÍ: Zjistili jsme, že váš účet byl zřejmě hacknutý a potřebujeme ověřit vaše heslo.“

Většina lidí samozřejmě reaguje tak, že heslo pošle, a útočník pak získá přístup k jejich účtu.

Pokud o vás někdo zjistí osobní informace, může je použít k získání přístupu k vašim účtům. Takové běžně zjistitelné informace, jako je datum narození nebo číslo kreditní karty, se často používají k identifikaci. Když je někdo získá, může se za vás vydávat. Skvěle byl tento trik použit například k získání přístupu na Yahoo! Mail americké političky Sarah Palinové.

phishing-ceska-sporitelna

Koncem roku 2011 se u nás například šířil email, který po vás žádal osobní informace.

A sociální inženýrství se nezaměřuje jen na virtuální svět. Útočník může přijít k vám do firmy, přesvědčivě se vydávat za opraváře, nového zaměstnance nebo požárního inspektora a pak se toulat po chodbách a krást důvěrná data. Jednoduše se může prezentovat jako někdo, kdo ve skutečnosti není. Pokud se ho sekretářka, vrátný nebo někdo jiný nezeptá na příliš mnoho otázek, na které nebude znát odpovědi, zřejmě mu trik i vyjde.

Útoky sociálního inženýrství pokrývají široké spektrum činností od falešných webových stránek, přes podvodné emaily a nepravdivé zprávy v chatu až k vydávání se za někoho osobně. Přichází v nejrůznějších podobách, ale všechny mají jedno společné – jsou závislé na psychologických tricích. Proto bývá sociální inženýrství někdy nazýváno i uměním psychické manipulace. Je to jeden ze způsobů, jak hackeři hackují vaše účty.

Jak se tomu vyhnout?

Pomoci vám může dostatečná znalost sociálního inženýrství. Buďte podezřívaví ohledně nevyžádaných emailů, zpráv na chatu a telefonních hovorů, které žádají soukromé informace. Nikdy neposílejte finanční nebo jiné osobní věci emailem. Nestahujte potenciálně nebezpečné emailové přílohy a rozhodně je nespouštějte, i kdyby email tvrdil, že jsou strašně důležité.

Neměli byste ani klikat na kdejaký odkaz. Vyhněte se třeba stránkám, které vypadají, jako by byly vaší banky, ale mají jinou URL adresu. Místo toho jděte přímo na stránky banky.

Když obdržíte podezřelou žádost o osobní informace, kontaktujte přímo zdroj žádosti a žádejte o potvrzení, že je opravdu potřebují. Měli byste tedy například zavolat své bance a ne ihned vyzradit informace někomu, kdo se vydává za zaměstnance vaší banky.

Emailové programy i internetové prohlížeče často mají filtry proti phishingu, které vás budou informovat, když navštívíte nějakou známou phishingovou stránku. Ale programy v této záležitosti nejsou stoprocentní. Musíte myslet hlavně sami a nenechat se psychologicky ovlivnit. Opatrnost vás ochrání jak online, tak i offline.

Zdroj: How To Geek, obrázky: bankovnipoplatky.com, hallaminternet.com, csmres.co.uk

Komentáře

Nahoru