Sociální inženýrství (bezpečnost)
Sociální inženýrství je v obecném smyslu způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace. V kontextu bezpečnosti (zejména kyberbezpečnosti) je termín běžně používán ve významu podvodu nebo podvodného jednání za účelem získání utajených informací organizace nebo přístup do informačního systému firmy. Ve většině případů útočník nepřichází do osobního kontaktu s obětí.
Jedná se o druh důvěryhodného triku za účelem získání informací, podvodu nebo přístupu k systému, který se od tradičního "podvodu" liší tím, že je často jedním z mnoha kroků v komplexnějším podvodném schématu. Je také definován jako "jakýkoli čin, který ovlivňuje osobu, aby podnikla akci, která může, ale nemusí být v jejím nejlepším zájmu".[1]
Příkladem sociálního inženýrství je používání funkce "zapomenuté heslo" na většině webových stránek, které vyžadují přihlášení. Nesprávně zabezpečený systém pro obnovení hesla může být využit k tomu, aby zlomyslný útočník získal plný přístup k uživatelskému účtu, zatímco původní uživatel k účtu ztratí přístup.
Techniky
Všechny techniky sociálního inženýrství jsou založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku.[2] Tyto chyby úsudku založené na nedokonalosti lidského mozku jsou využívány mnoha způsoby a některé z nejvýznamnějších jsou vyjmenovány zde:
Pretexting
Pretexting je utváření a využívání vymyšleného scénáře s cílem přesvědčit oběť k učinění potřebné akce nebo k získání potřebné informace. Jedná se o skloubení lži s kouskem pravdivé informace získané dříve. Může se jednat například o datum narození, rodné číslo, velikost posledního účtu, jméno nadřízeného atd. Cílem je přesvědčit oběť o legitimnosti akce, která je po ní požadována.[3]
Tato technika je často používána například soukromými detektivy k získání soukromých informací z firmy jako jsou výpisy telefonních hovorů, výpisy bankovních účtů aj. od běžných zaměstnanců. Tyto informace mohou být následně použity při pokročilé komunikaci s vedoucími zaměstnanci jako jsou změny účtů, příkazy k převodu peněz atp.
Velké množství firem stále ověřuje totožnost klienta podle rodného čísla, rodného jména matky či jiných relativně snadno dostupných informací, čímž usnadňují aplikování tohoto typu sociálního inženýrství.
Pretexting lze také použít při vydávání se za kolegu z práce, policejního vyšetřovatele, bankovního úředníka, zaměstnance finančního úřadu či jiného zaměstnance státní správy, který by mohl mít právo na dotazování dané oběti. Útočníkovi stačí být přichystán na možné kontrolní otázky oběti, ale někdy stačí pouze autoritativní a seriózní tón hlasu a dostatečně přesvědčivý obsah konverzace.
Phishing
Phishing je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.
IVR neboli telefonní phishing
Tato technika využívá falešného hlasového automatu (IVR) s podobnou strukturou jako má originální bankovní automat ("Pro změnu hesla stiskněte 1, pro spojení s bankovním poradcem stiskněte 2"). Oběť je většinou vyzvána emailem k zavolání do banky za účelem ověření informace. Zde je pak požadováno přihlášení za pomoci PINu nebo hesla. Některé automaty následně přenesou oběť do kontaktu s útočníkem vystupujícího v roli telefonního bankovního poradce, což mu umožňuje další možnosti otázek.
Baiting
Baiting může být považován za trojského koně v reálném světě.[4]
Při tomto způsobu útoku útočník nechá infikované CD, flashdisk nebo jiné paměťové médium na místě, kde jej oběť s velkou pravděpodobností nalezne, například v koupelně, ve výtahu, na parkovišti. Poté již nechá pracovat zvědavost, se kterou oběť dříve či později vloží toto médium do svého počítače. Tím dojde k instalaci viru, za pomoci kterého získá útočník přístup k počítači nebo celé firemní počítačové síti.
Quid pro quo aneb něco za něco
Něco za něco znamená náhodné vytáčení čísel společnosti a představení se jako pracovník technické podpory. Existuje šance, že útočník nalezne nespokojeného zaměstnance s problémem, kterému se pokusí po telefonu pomoci. Na oplátku požádá oběť o instalaci infikovaného programu nebo zvolenou akci ve firemním informačním systému.
Další možnosti
Přestože útočník postrádá programovací vlohy, běžné se jako sociální inženýrství označují i další útoky obsahující prvky přesvědčování a manipulace. Kromě cílení na přesnou organizaci může jít například i o cílení na lidi s běžnými emailovými adresami za účelem získání údajů o jejich kreditních kartách.
Významní sociální inženýři
- Kevin Mitnick
- Bratři Ramy, Muzher a Shadde Badirové
- Frank Abagnale
- Dave Buchwald
- David "Race" Bannon
- Peter Foster
- Will Ronco
- Razi Shaban
- Steven Jay Russell
- Daniel "denT" Saleh
Reference
V tomto článku byl použit překlad textu z článku Social_engineering_(security) na anglické Wikipedii.
- ↑ Social Engineering Defined [online]. [cit. 2023-05-11]. Dostupné online. (anglicky)
- ↑ Mitnick, K: "CSEPS Course Workbook" (2004), unit 3, Mitnick Security Publishing.
- ↑ "Pretexting: Your Personal Information Revealed," Federal Trade Commission
- ↑ Archivovaná kopie. www.darkreading.com [online]. [cit. 2009-01-10]. Dostupné v archivu pořízeném dne 2006-07-13.
Literatura
- Boyington, Gregory. Baa Baa Black Sheep (Bantam Books, 1990) ISBN 0-553-26350-1
- Mitnick, Kevin. The Art of Deception: Controlling the Human Element of Security (Wiley, 2003) ISBN 0-7645-4280-X
- Kevin Mitnick, Alexis Kasperavičius. 2004. "CSEPS Course Workbook." Mitnick Security Publishing.
- Kevin Mitnick, William L. Simon, Steve Wozniak. 2002. "The Art of Deception: Controlling the Human Element of Security". John Wiley & Sons. ISBN 0-471-23712-4.
Externí odkazy
- Obrázky, zvuky či videa k tématu Sociální inženýrství na Wikimedia Commons
- Social Engineering Fundamentals
- Social Engineering, the USB Way - Dark Reading (7 June 2006)
- Should Social Engineering be a part of Penetration Testing? Darknet
- Federal Trade Commission on Pretexting
- "Protecting Consumers' Phone Records" - US Committee on Commerce, Science, and Transportation - February 8 2006
- KAPLAN, David A. Intrigue in High Places. www.msnbc.msn.com. Newsweek, 2006-09-06. Dostupné online [cit. 2006-09-06]. (anglicky)
- PLOTKIN, Hal. Memo to the Press: Pretexting is Already Illegal. www.plotkin.com. What I Really Want to Say, 2006-09-08. Dostupné v archivu pořízeném dne 2006-10-12. (anglicky)
- ABERCROMBIE, Paul. Risky Business. www.hemispheresmagazine.com. [1], 2006-07-01. Dostupné v archivu pořízeném dne 2007-06-10. (anglicky)
- Striptease for passwords
- John Leyden. April 18, 2003. Office workers give away passwords for a cheap pen. The Register. Retrieved 2004-09-09.
- SirRoss. January 20, 2005. A Guide to Social Engineering, Volume 1 A Guide to Social Engineering, Volume 2. Astalavista.