Mnoho z nás se již určitě potkalo s nějakou formou útoku na bázi sociálního inženýrství. Jsou to útoky, které spoléhají na chybu uživatele. Jedná se tedy o nejméně technickou oblast infiltrace cizího systému. Nejčastěji používanou technikou je rozesílání podvodných e-mailů s atraktivním obsahem, které mají za cíl nalákat uživatele na podvodný web a získat od něj citlivé informace. Ačkoli se jedná o nejpoužívanější metodu sociálního inženýrství, není zdaleka jediná. V tomto článku se Vám pokusím přiblížit další používané techniky a metody z této oblasti kybernetické bezpečnosti.
Začneme nejpopulárnějším phishingem. Jedná se o techniku, kdy útočník sestaví atraktivní e-mail s odkazy vedoucími na podvodné stránky a zašle jej oběti. Útočník při vytváření zprávy může editovat také hlavičky posílaného e-mailu a to je hlavní důvod, proč je možné že útočník může nastavit adresu odesílatele na libovolnou jinou e-mailovou adresu. Samotné tělo e-mailové zprávy může být tvořeno stejně jako webová stránka v jazyce HTML. V dnešní době jsou phishingové e-maily k nerozeznání od originálních zpráv. Pokud si útočník s vytvořením e-mailu dá velmi záležet, je pro oběť téměř nemožné rozeznat tento padělek. Je důležité si řádně kontrolovat adresu odesílatele, překlepy v adresním řádku webového prohlížeče a další podezřelé znaky, které by mohly naznačovat, že se jedná o phishing. Toto souvisí s pravidelným školením zaměstnanců v oblasti kybernetické bezpečnosti. Určitou obranu lze zajistit také ze strany společnosti. Lze nastavit bezpečnostní politiky, filtrování webů, spamové filtry, antivirový program a další opatření pro minimalizaci rizika úspěšnosti phishingových kampaní.
Dále můžeme zmínit smishing, který funguje na velmi podobném principu jako phishing, ale oběti jsou podvodné odkazy zaslané v krátké SMS zprávě. Dalším příkladem je vishing, kde se opět používá metoda lákání oběti na podvodný web, ale nyní skrze telefonní hovory. Tyto metody se se často kombinují s metodou pretexting, kdy se útočník snaží výmluvně přesvědčit oběť, že je osobou, za kterou se vydává. V tomto případě se Vás může snažit přesvědčit, že je zaměstnanec Vaší banky, IT technik jiné pobočky Vaší firmy či například Váš nový nadřízený. Dále máme metodu Honey trap, která spočívá v založení atraktivního profilu na sociálních sítích a získávání citlivých údajů skrze konverzace s jinými lidmi. Vydávání se za jinou osobu je velmi časté. Pokud se útočník vydává za oběti známou osobu, například rodinného příslušníka nebo kolegu z práce, hovoříme o Impersionation útoku. Tento útok může být na rozdíl od honey trap útoku velmi specificky zacílený na jednu konkrétní osobu nebo skupinu osob.
Výše jsme si popsali nejčastěji používané metody sociálního inženýrství, které nebyly založeny na fyzickém kontaktu s potenciálními obětmi. Sociální inženýrství však není pouze o rozesílání podvodných zpráv a lákání obětí na atraktivní obsah. Například tailgating je způsob fyzické infiltrace firemního prostředí. Útočník může předstírat důležitou konverzaci nebo telefonní hovor, kdy se pohybuje blízko vchodových dveří společnosti. V momentě kdy legitimní zaměstnanec vstoupí, nechá si podržet dveře a do budovy se dostane společně s ním. Útočník je nyní v budově společnosti na kterou chce zacílit další útoky sociálního inženýrství. Jedním takovým může být například baiting, který spočívá v rozmístění několika infikovaných USB flash disků na různá viditelná místa. Jakmile nějaký zaměstnanec tento flash disk zasune do svého počítače, bez jakýchkoliv dalších nutných akcí se z něj může přetáhnout malware, který infikuje zaměstnancům počítač. Obranou proti baitingu může být zakázání automatického spuštění nedůvěryhodného disku a spouštět jej pouze v odděleném prostředí. Dalšími jednoduchými útoky, které útočník může provádět v této fázi je například eavesdropping nebo shoulder surfing, což by se dalo charakterizovat jako odposlouchávání cizích hovorů a koukání přes rameno na obrazovku ostatních.
Nakonec bych chtěl ještě stručně popsat dva útoky, které fungují jako takové pasti na uživatele. Prvním útokem je clickjacking. Základem je lákání uživatelů na webové stránky pomocí atraktivního obsahu. Jakmile oběť navštíví tyto stránky a pokouší se například spustit epizodu oblíbeného seriálu nebo zajímavý film, při každém kliknutí na tlačítko pro spuštění pro přehrává na ni vyskočí několik nových oken prohlížeče s různými reklamami. Z mé vlastní zkušenosti většina uživatelů tato okna zase rychle zavře a spokojeně se pak může dívat na svůj oblíbený seriál. Je však možné, že vás tyto vyskakovací okna přesměrují na další podvodné stránky a ve finále to může mít stejný dopad jako phishingové kampaně. Jako poslední útok bych zmínil watering hole. Tato metoda se stejně jako baiting snaží dostat škodlivý software do počítače oběti. Na rozdíl od baitingu však sází na různá cloudová úložiště, sociální sítě a jiné často navštěvované stránky, odkud si oběť může stáhnout tyto soubory. Může se jednat také o součást různých programů a her, které útočník nasdílí ostatním s příslibem aplikace zdarma.
V tomto článku jsme si stručně přiblížili některé metody sociálního inženýrství. Existuje celá řada dalších používaných technik, ale cílem tohoto článku nebylo detailně popisovat všechny, nýbrž dostat čtenáře do povědomí o tom, že existuje mnoho různých způsobů, jak z nás někdo může chtít vytáhnout citlivé informace. Všechny zmiňované metody a technicky sociálního inženýrství spoléhají na lidskou chybu. Proto je nejdůležitější a nejlepší obranou pravidelné a důkladné školení všech uživatelů. Útočníci jsou velmi vynalézaví a nové metody a jejich modifikace vznikají každý den. Je třeba si dávat pozor, jaké webové stránky člověk navštěvuje a nebrat tuto problematiku na lehkou váhu. V podstatě stačí aby jediný člověk ve společnosti dostal do svého počítače škodlivý software, který se následně rapidně rozšíří. Následkem může být výpadek služeb jednoho serveru, ale i střediska a v extrémních případech i celé společnosti.