SOCIAL ENGINEERING
Matej Piški
Abstract
The aim of the article is to introduce social engineering. What are its elements and why is it dangerous for us as individuals, but also for organizations.
Key words: social engineering, security
Abstrakt
Cieľom článku je predstaviť sociálne inžinierstvo. Aké sú jeho prvky a prečo je nebezpečný pre nás ako jednotlivcov, ale aj pre organizácie.
Kľúčové slová: sociálne inžinierstvo, bezpečnosť
Úvod
Ľudská hlúposť, neopatrnosť a nevedomosť nás už od nepamäti sprevádzajú na každom kroku a tak bolo len otázkou času, kedy sa medzi ľuďmi nájdu tí, ktorí tieto chyby v správaní dokážu zneužiť. Narušenie bezpečnosti počítačových systémov, nie je čisto technická záležitosť vznikajúca následkom dier v systéme, ktoré je útočník schopný využiť, keďže jedným z najslabších článkov týchto systémov môže byť človek.[5]
Sociálne inžinierstvo
So sociálnym inžinierstvom sa v našich životoch stretávame dennodenne, najčastejšie je to pri surfovaní na webe. Sociálni inžinieri útočia na naše najcitlivejšie miesta a snažia sa získať si našu dôveru[2]. Taktiež súcit a ľútosť patria medzi vlastnosti ľudí, ktoré dokážu sociálni inžinieri zneužiť a dostať sa tak k hmotným, ale i nehmotným veciam ako napríklad prístupové kódy alebo osobné údaje.[4]
Sociálne inžinierstvo umožňuje psychologickú manipuláciu s cieľom získať od nich dôverne informácie alebo prinútiť ich k vykonaniu nechcenej akcie. Správanie ľudí je jedna z najslabších článkov čo sa týka počítačovej bezpečnosti.[3]
Sociálny inžinier je osoba, ktorá používa metódy a praktiky sociálneho inžinierstva nato, aby dosiahla požadované informácie pre svoj osobný prospech alebo prospech niekoho iného. Svojimi metódami a praktikami sa snažia využívať faktory, ktoré ovplyvňujú ľudské správanie a rozhodovanie. Vďaka týmto praktikám môže byť človek ovplyvňovaný (napr. dôvera, sympatie, stres).[3]
Sociálne inžinierstvo v organizácii
Najzraniteľnejšia časť organizácie z pohľadu sociálneho inžinierstva sú zamestnanci danej organizácie. Vo všeobecnosti tvorí veľkú časť bezpečnostných rizík identifikovaných v rámci organizácie ľudské správanie. Väčšinou ide o nepozornosť, chybu, nedbalosť alebo nevedomosť. Toto tvrdenie podporuje aj prieskum spoločnosti ESET, ktorá sa zaoberala informačnou bezpečnosťou v organizáciách na Slovensku z roku 2011.[3]
Graf 1 Dôvody výskytu bezpečnostného incidentu v organizáciách. Zdroj: https://www.eset.com/sk/firemna-it-bezpecnost/bezpecnostne-sluzby/services/clanky/socialne-inzinierstvo-ib/
Z prieskumu vyplýva, že 63% organizácií označilo za príčinu bezpečnostného incidentu v organizáciách správanie respektíve konanie zamestnancov.
Graf 2 Graf 2 – Budovanie bezpečnostného povedomia prostredníctvom školení o informačnej bezpečnosti. Zdroj: https://www.eset.com/sk/firemna-it-bezpecnost/bezpecnostne-sluzby/services/clanky/socialne-inzinierstvo-ib/
Na druhom grafe môžeme vidieť ako organizácie pristupujú ku vzdelávaniu zamestnancov ohľadom informačnej bezpečnosti. Z prieskumu vyplýva že len 25% organizácií organizuje pravidelne školenia v oblasti informačnej bezpečnosti. Ostatných 75% organizácií vzdeláva svojich zamestnancov v oblasti bezpečnosti iba jednorazovo alebo vôbec. Tu môžeme vidieť problém, ktorý by mohol v budúcnosti sociálny technik zneužiť, keďže väčšina firiem nevzdeláva svojich zamestnancov ako sa voči týmto útokom brániť.[3]
Spôsoby vykonania sociálneho inžinierstva
Najúčinnejším spôsobom na preverenie bezpečnostného povedomia u zamestnancov organizácie je práve simulácia potenciálneho útoku technikou sociálneho inžinierstva. Testovanie sociálnym inžinierstvom môže byť realizované za rôznych podmienok:[3]
- Phishingový test
- Telefonický test
- Preverenie zverejnených informácií
Jednotlivé spôsoby testovania môžu byť podporené kombináciou ďalších komunikačných kanálov. Čím ďalej sa zintenzívňujú útoky na podniky a aj na jednotlivých používateľov počítačov, pričom sa spoliehajú pri získavaní osobných alebo finančných informácií viac na sociálne inžinierstvo, kde využívajú klamanie alebo manipuláciu, často e-mailom, ale aj telefonickým hovorom. Pri útoku na podnik sú údaje o zákazníkoch a dodávateľoch v ohrození.[6]
Telefonický podvod
Podľa The New York Times útočník zavolal Nancy Butlerovej a tvrdil o sebe, že pracuje ako informační technik, vyzeralo to, že išlo len o rutinnú kontrolu legitímnym zamestnancom. Tak ako to už mnohokrát počas takýchto hovorov urobila, požiadala volajúceho, aby potvrdil číslo jej účtu a ďalšie informácie, aby si mohla byť istá, že je tým, za koho sa vydáva. Keď sa všetko potvrdilo, pustila ho do svojho počítača, lenže hneď nato zistila, že jej zablokoval počítač a následne získali prístup k bankového účtu a kreditnej karte.[6]
Phishingové podvody
Phishingové podvody často využívajú sociálne inžinierstvo. Podvody sú zvyčajne maskované v realisticky vyzerajúcich e-mailoch, ktoré povzbudzujú príjemcu kliknúť na odkaz alebo prílohu; toto kliknutie stiahne škodlivý softvér známy ako malware, ktorý dokáže zachytiť informácie a odoslať ich späť zločincovi. E-maily môžu vyzerať ako pochádzajúce z banky spoločnosti alebo z iného podniku. Hacker môže zavolať do podniku, povedať niečo v zmysle pracujem pre vášho hostiteľa webu, a pridať skutočné meno hostiteľa, aby dodal hovoru dôveryhodnosť. Hackeri môžu získať informácie o webových stránkach a ich hostiteľskej spoločnosti z online adresárov, kde potom, ak sú schopní manipulovať zamestnanca, aby sa vzdal hesla, môžu vstúpiť na web, ukradnúť informácie a poškodiť alebo deaktivovať.[6]
Podvodníci neustále hľadajú spôsoby, ako môžu zneužiť dobré meno veľkých a dôveryhodných spoločností. Nie tak dávno sa hackeri, snažili vytvoriť falošnú stránku pomocou ktorej chceli získať peniaze od majiteľov internetových domén. Falošnú stránku rozoslali e-mail majiteľom stránok, že je potrebné predĺžiť platnosť ich domény. Stránka, prostredníctvom ktorej malo následne dôjsť k predĺženiu, hoci vyzeral ako originálna stránka danej spoločnosti, tak bol len dobre spracovaným podvrhom.[1]
Takýto typ útoku je čoraz bežnejším a to nie len vo svete, ale aj v našich končinách. V poslednom čase sa stretávame s e-mailmi, ktoré sa tvária, ako od Slovenskej pošty. Ako môžete nižšie na obrázku 1 vidieť, tak e-mail pôsobí celkom dôveryhodne. Môžeme na ňom vidieť logo spoločnosti, ktoré vyzerá ako originál, či stručný text, ktorý je typickým pre tento typ správ. Okrem iného správa obsahuje aj číslo balíka vrátane malého a zanedbateľného poplatku, ktorý je potrebné uhradiť, aby vám bol balík doručený.
Použitá literatúra
Obrázok 1 Podvodný e-mail. Zdroj: https://vosveteit.sk/wp-content/uploads/2021/01/podvodny-e-mail-ktory-sa-tvari-ako-od-slovenskej-posty.jpg
Ako už môžeme vidieť ide o ďalší podvrh z dielne sociálneho inžinierstva. V podstate sa nám to môže zdať ako malý poplatok, lenže pri platení nás to presmeruje na ich podvrhnutú stránku, kde zadáme číslo našej karty a suma o ktorú môžeme následne prísť nemusí byť len 1,17€ ale omnoho viac.
Záver
V dnešnom svete plnom technológií je dobre sa vyznať v tom čo môže byť pre nás alebo pre organizáciu hrozba. Preto by sme nemali hneď všetkému veriť a radšej sa čo najviac si preverovať informácie a snažiť sa čo najviac vyvarovať takýmto chybám. Sociálne inžinierstvo je vo väčšine prípadov ten najlacnejší, a pre znalého človeka aj najjednoduchší spôsob, ako narušiť bezpečnosť aj veľmi robustných systémov. Organizácia alebo jednotlivec sa môže stať obeťou aj nepriamo, aby niekto ukradol informácie alebo peniaze, nemusí byť napadnutý ich vlastný systém stačí, že využije správne techniky sociálneho inžinierstva a vie sa dostať k údajom, ktoré potrebuje.
Použitá literatúra
- [1] BORKO, M. [online]. 2019. [cit. 2020-12-01]. Dostupné na internete: <https://vosveteit.sk/pozor-na-tento-e-mail-podvodnici-sa-snazia-zneuzit-dobre-meno-slovenskej-posty-takto-rozoznate-ze-ide-o-podvod/>.
- [2] MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
- [3] NETOLICKÁ, B. Sociálne inžinierstvo v kontexte informačnej bezpečnosti v organizácii. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.eset.com/sk/firemna-it-bezpecnost/bezpecnostne-sluzby/services/clanky/socialne-inzinierstvo-ib/>.
- [4] PAULUS, T. [online]. [cit. 2020-12-01]. Dostupné na internete: <https://preventista.sk/info/socialne-inzinierstvo-nechate-sa-nachytat-2/>.
- [5] PORADA, V. et al. Kybernetická bezpečnost. 6. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 160–182. ISBN 978-80-7380-758-0.
- [6] ROSENBERG, J. Cybercriminals Manipulate Their Way Into Company Computers. In The New York Times [online]. 2019. [cit. 2020-12-01]. . Dostupné na internete: <https://www.nytimes.com/aponline/2019/09/04/business/ap-us-smallbiz-small-talk-cybersecurity.html>.
Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2
Indexed : GOOGLE SCHOLAR