Skip to content
ManažérskaInformatika.sk

ManažérskaInformatika.sk

vedecký časopis o informatike

Menu
  • Domov
  • O nás
    • O nás
    • O časopise
    • Redakčná rada
    • Indexovanie časopisu
    • Zásady ochrany osobných údajov
  • Časopis MI
    • Časopis MI
      • Ročník 1, 2020, číslo 1
      • Ročník 1, 2020, číslo 2
    • Študentský článok
    • Recenzovaný článok
    • Článok
    • Recenzia
  • Pre autorov
    • Pre autorov
    • Návody a šablóny
    • Publikačná etika
    • Odoslanie príspevku
  • Newsletter
    • Newsletter
    • RSS
  • Kontakt
Menu

SOCIÁLNE INŽINIERSTVO

Posted on 31 decembra, 202022 apríla, 2021 by PeterVe

SOCIAL ENGINEERING

Matej Piški

Abstract

   The aim of the article is to introduce social engineering. What are its elements and why is it dangerous for us as individuals, but also for organizations.

Key words: social engineering, security

Abstrakt

   Cieľom článku je predstaviť sociálne inžinierstvo. Aké sú jeho prvky a prečo je nebezpečný pre nás ako jednotlivcov, ale aj pre organizácie.

Kľúčové slová: sociálne inžinierstvo, bezpečnosť

Úvod

   Ľudská hlúposť, neopatrnosť a nevedomosť nás už od nepamäti sprevádzajú na každom kroku a tak bolo len otázkou času, kedy sa medzi ľuďmi nájdu tí, ktorí tieto chyby v správaní dokážu zneužiť. Narušenie bezpečnosti počítačových systémov, nie je čisto technická záležitosť vznikajúca následkom dier v systéme, ktoré je útočník schopný využiť, keďže jedným z najslabších článkov týchto systémov môže byť človek.[5]

Sociálne inžinierstvo

   So sociálnym inžinierstvom sa v našich životoch stretávame dennodenne, najčastejšie je to pri surfovaní na webe. Sociálni inžinieri útočia na naše najcitlivejšie miesta a snažia sa získať si našu dôveru[2]. Taktiež súcit a ľútosť patria medzi vlastnosti ľudí, ktoré dokážu sociálni inžinieri zneužiť a dostať sa tak k hmotným, ale i nehmotným veciam ako napríklad prístupové kódy alebo osobné údaje.[4]

Sociálne inžinierstvo umožňuje psychologickú manipuláciu s cieľom získať od nich dôverne informácie alebo prinútiť ich k vykonaniu nechcenej akcie. Správanie ľudí je jedna z najslabších článkov čo sa týka počítačovej bezpečnosti.[3]

   Sociálny inžinier je osoba, ktorá používa metódy a praktiky sociálneho inžinierstva nato, aby dosiahla požadované informácie pre svoj osobný prospech alebo prospech niekoho iného. Svojimi metódami a praktikami sa snažia využívať faktory, ktoré ovplyvňujú ľudské správanie a rozhodovanie. Vďaka týmto praktikám môže byť človek ovplyvňovaný (napr. dôvera, sympatie, stres).[3]

Sociálne inžinierstvo v organizácii

   Najzraniteľnejšia časť organizácie z pohľadu sociálneho inžinierstva sú zamestnanci danej organizácie. Vo všeobecnosti tvorí veľkú časť bezpečnostných rizík identifikovaných v rámci organizácie ľudské správanie. Väčšinou ide o nepozornosť, chybu, nedbalosť alebo nevedomosť. Toto tvrdenie podporuje aj prieskum spoločnosti ESET, ktorá sa zaoberala informačnou bezpečnosťou v organizáciách na Slovensku z roku 2011.[3]

Graf  1 Dôvody výskytu bezpečnostného incidentu v organizáciách. Zdroj: https://www.eset.com/sk/firemna-it-bezpecnost/bezpecnostne-sluzby/services/clanky/socialne-inzinierstvo-ib/

   Z prieskumu vyplýva, že 63% organizácií označilo za príčinu bezpečnostného incidentu v organizáciách správanie respektíve konanie zamestnancov.

Graf  2 Graf 2 – Budovanie bezpečnostného povedomia prostredníctvom školení o informačnej bezpečnosti. Zdroj: https://www.eset.com/sk/firemna-it-bezpecnost/bezpecnostne-sluzby/services/clanky/socialne-inzinierstvo-ib/

   Na druhom grafe môžeme vidieť ako organizácie pristupujú ku vzdelávaniu zamestnancov ohľadom informačnej bezpečnosti. Z prieskumu vyplýva že len 25% organizácií organizuje pravidelne školenia v oblasti informačnej bezpečnosti. Ostatných 75% organizácií vzdeláva svojich zamestnancov v oblasti bezpečnosti iba jednorazovo alebo vôbec. Tu môžeme vidieť problém, ktorý by mohol v budúcnosti sociálny technik zneužiť, keďže väčšina firiem nevzdeláva svojich zamestnancov ako sa voči týmto útokom brániť.[3]

Spôsoby vykonania sociálneho inžinierstva

   Najúčinnejším spôsobom na preverenie bezpečnostného povedomia u zamestnancov organizácie je práve simulácia potenciálneho útoku technikou sociálneho inžinierstva. Testovanie sociálnym inžinierstvom môže byť realizované za rôznych podmienok:[3]

  • Phishingový test
  • Telefonický test
  • Preverenie zverejnených informácií

   Jednotlivé spôsoby testovania môžu byť podporené kombináciou ďalších komunikačných kanálov. Čím ďalej sa zintenzívňujú útoky na podniky a aj na jednotlivých používateľov počítačov, pričom sa spoliehajú pri získavaní osobných alebo finančných informácií viac na sociálne inžinierstvo, kde využívajú klamanie alebo manipuláciu, často e-mailom, ale aj telefonickým hovorom. Pri útoku na podnik sú údaje o zákazníkoch a dodávateľoch v ohrození.[6]

Telefonický podvod

   Podľa The New York Times útočník zavolal Nancy Butlerovej a tvrdil o sebe, že pracuje ako informační technik, vyzeralo to, že išlo len o rutinnú kontrolu legitímnym zamestnancom. Tak ako to už mnohokrát počas takýchto hovorov urobila, požiadala volajúceho, aby potvrdil číslo jej účtu a ďalšie informácie, aby si mohla byť istá, že je tým, za koho sa vydáva. Keď sa všetko potvrdilo, pustila ho do svojho počítača, lenže hneď nato zistila, že jej zablokoval počítač a následne získali prístup k bankového účtu a kreditnej karte.[6]

Phishingové podvody

   Phishingové podvody často využívajú sociálne inžinierstvo. Podvody sú zvyčajne maskované v realisticky vyzerajúcich e-mailoch, ktoré povzbudzujú príjemcu kliknúť na odkaz alebo prílohu; toto kliknutie stiahne škodlivý softvér známy ako malware, ktorý dokáže zachytiť informácie a odoslať ich späť zločincovi. E-maily môžu vyzerať ako pochádzajúce z banky spoločnosti alebo z iného podniku. Hacker môže zavolať do podniku, povedať niečo v zmysle pracujem pre vášho hostiteľa webu, a pridať skutočné meno hostiteľa, aby dodal hovoru dôveryhodnosť. Hackeri môžu získať informácie o webových stránkach a ich hostiteľskej spoločnosti z online adresárov, kde potom, ak sú schopní manipulovať zamestnanca, aby sa vzdal hesla, môžu vstúpiť na web, ukradnúť informácie a poškodiť alebo deaktivovať.[6]

   Podvodníci neustále hľadajú spôsoby, ako môžu zneužiť dobré meno veľkých a dôveryhodných spoločností. Nie tak dávno sa hackeri, snažili vytvoriť falošnú stránku pomocou ktorej chceli získať peniaze od majiteľov internetových domén. Falošnú stránku rozoslali e-mail majiteľom stránok, že je potrebné predĺžiť platnosť ich domény. Stránka, prostredníctvom ktorej malo následne dôjsť k predĺženiu, hoci vyzeral ako originálna stránka danej spoločnosti, tak bol len dobre spracovaným podvrhom.[1]

   Takýto typ útoku je čoraz bežnejším a to nie len vo svete, ale aj v našich končinách. V poslednom čase sa stretávame s e-mailmi, ktoré sa tvária, ako od Slovenskej pošty. Ako môžete nižšie na obrázku 1 vidieť, tak e-mail pôsobí celkom dôveryhodne. Môžeme na ňom vidieť logo spoločnosti, ktoré vyzerá ako originál, či stručný text, ktorý je typickým pre tento typ správ. Okrem iného správa obsahuje aj číslo balíka vrátane malého a zanedbateľného poplatku, ktorý je potrebné uhradiť, aby vám bol balík doručený.

Použitá literatúra

Obrázok 1 Podvodný e-mail. Zdroj: https://vosveteit.sk/wp-content/uploads/2021/01/podvodny-e-mail-ktory-sa-tvari-ako-od-slovenskej-posty.jpg

   Ako už môžeme vidieť ide o ďalší podvrh z dielne sociálneho inžinierstva. V podstate sa nám to môže zdať ako malý poplatok, lenže pri platení nás to presmeruje na ich podvrhnutú stránku, kde zadáme číslo našej karty a suma o ktorú môžeme následne prísť nemusí byť len 1,17€ ale omnoho viac.

Záver

   V dnešnom svete plnom technológií je dobre sa vyznať v tom čo môže byť pre nás alebo pre organizáciu hrozba. Preto by sme nemali hneď všetkému veriť a radšej sa čo najviac si preverovať informácie a snažiť sa čo najviac vyvarovať takýmto chybám. Sociálne inžinierstvo je vo väčšine prípadov ten najlacnejší, a pre znalého človeka aj najjednoduchší spôsob, ako narušiť bezpečnosť aj veľmi robustných systémov. Organizácia alebo jednotlivec sa môže stať obeťou aj nepriamo, aby niekto ukradol informácie alebo peniaze, nemusí byť napadnutý ich vlastný systém stačí, že využije správne techniky sociálneho inžinierstva a vie sa dostať k údajom, ktoré potrebuje.

Použitá literatúra

  • [1]   BORKO, M. [online]. 2019. [cit. 2020-12-01]. Dostupné na internete: <https://vosveteit.sk/pozor-na-tento-e-mail-podvodnici-sa-snazia-zneuzit-dobre-meno-slovenskej-posty-takto-rozoznate-ze-ide-o-podvod/>.
  • [2]   MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
  • [3]   NETOLICKÁ, B. Sociálne inžinierstvo v kontexte informačnej bezpečnosti v organizácii. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.eset.com/sk/firemna-it-bezpecnost/bezpecnostne-sluzby/services/clanky/socialne-inzinierstvo-ib/>.
  • [4]   PAULUS, T. [online]. [cit. 2020-12-01]. Dostupné na internete: <https://preventista.sk/info/socialne-inzinierstvo-nechate-sa-nachytat-2/>.
  • [5]   PORADA, V. et al. Kybernetická bezpečnost. 6. In Bezpečnostní vědy : úvod do teorie, metodologie a bezpečnostní terminologie . Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2019. s. 160–182. ISBN 978-80-7380-758-0.
  • [6]   ROSENBERG, J. Cybercriminals Manipulate Their Way Into Company Computers. In The New York Times [online]. 2019. [cit. 2020-12-01]. . Dostupné na internete: <https://www.nytimes.com/aponline/2019/09/04/business/ap-us-smallbiz-small-talk-cybersecurity.html>.

Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2

Indexed : GOOGLE SCHOLAR

Prihlásenie na odber Newsletteru

Najnovšie články

  • COMPUTERS IN MEDICAL GOWNS: USAGE OF ARTIFICIAL INTELLIGENCE IN MEDICINE
  • ARTIFICIAL INTELLIGENCE AND ITS EVERYDAY USE
  • A NOVEL SCALOGRAM-BASED MODEL FOR HUMAN ACTIVITY RECOGNITION
  • RESEARCH OF METHODS FOR POLLUTION FORECASTING USING TIME SERIES AND NEURAL NETWORKS
  • CLASSIFICATION OF CLOUD TYPES ON SATELLITE IMAGES USING DEEP LEARNING

Kategórie

  • Článok
  • Ročník 1, 2020, číslo 1
  • Ročník 1, 2020, číslo 2
  • Ročník 1, 2021, číslo 1
  • Ročník 1, 2021, číslo 2
  • Ročník 1, 2022, číslo 1
  • Ročník 1, 2022, číslo 2
  • Študentský článok

Tag cloud

antivirus (1) Antivirus software (1) Antivírusový softvér (1) automatizácia (1) bezpečnostná politika (1) Bezpečnosť (7) convolutional neural networks (1) COVID-19 (2) GDPR (8) implementation (3) implementácia (3) industrial espionage (2) innovation (2) inovácia (2) internetová ochrana (1) Internet security (2) lambda architecture (1) malware (1) management (2) manažment (2) obchodné tajomstvo (1) object search (1) online nakupovanie (1) online shopping (1) osobné údaje (2) parallel calculations (1) personal data (2) priemyselná špionáž (2) project (2) project management (2) projekt (2) projektový manažment (2) python (1) remote work (1) Security (6) security policy (1) Signal (1) sociálne siete (1) user (2) užívateľ (2) virus (2) vzdialená práca (1) web Applications (1) webové aplikácie (1) WhatsApp (1)

Archív

  • december 2022
  • jún 2022
  • apríl 2022
  • október 2021
  • máj 2021
  • december 2020

Manažérska informatika

Časopis Manažérska informatika je vydávaný 2x ročne. ISSN 2729-8310. Posledná aktualizácia k 31.12.2020. Posledné vydanie časopisu : Vol. I, No. 1 k 31.12.2020

©2023 ManažérskaInformatika.sk | Built using WordPress and Responsive Blogily theme by Superb
Správa nastavenia COOKIES
Na našich webových stránkach používame súbory cookie, aby sme vám poskytli najrelevantnejšie zážitky pamätaním vašich preferencií a opakovaných návštev. Kliknutím “Súhlasím”, súhlasíte s použitím VŠETKÝCH cookies.
Nastavenie COOKIESSúhlasím
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Vždy zapnuté
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
ULOŽIŤ A PRIJAŤ