Pojem sociální inženýrství se používá ve dvou významech. Ten první je praktickou společenskovědní disciplínou, která na základě vědeckých poznatků vytváří pravidla pro dosažení společenských změn. V tomto článku se však zaměříme na ten druhý význam, o kterém se často píše ve spojitosti s kybernetickou bezpečností.

01

Nemusí se vždy jednat jen o hackery, ale obecně o podvodníky, kteří se snaží poškodit jinou osobu či organizaci nejčastěji s cílem vlastního obohacení. Definovat pojem sociální inženýrství je však poněkud složitější. Například při rozlišení, co už je jen obyčejný podvod, nebo při chybné záměně s pojmem sociotechnika, který však se sociálním inženýrstvím úzce souvisí. Nejedná se přitom o žádnou novinku, o sociálním inženýrství bylo sepsáno již mnoho článků, vědeckých prací, publikací i knih. Uvádíme tedy souhrn poznatků, které mají za úkol co nejjednodušeji seznámit veřejnost s tímto tématem.

O co tedy jde

Všechny techniky sociálního inženýrství jsou založeny na specifických způsobech lidského rozhodování známých jako kognitivní chyby úsudku. Tyto chyby úsudku, založené na nedokonalosti lidského mozku, jsou využívány mnoha způsoby. Jednoduše řečeno, hacker útočí na nejslabší článek zabezpečení jakéhokoliv systému – na člověka. Proč je člověk tou největší slabinou? Protože není strojem, který lze bezpečně naprogramovat, ale živým jedincem, který jedná na základě svých zkušeností, znalostí a emocí. Útočník tak může pomocí specifické přípravy a psychologické manipulace ovlivnit některá rozhodnutí člověka tak, že provede určitou konkrétní činnost, které by se za jiných okolností nedopustil. Takto oklamaný člověk pak může mylně důvěřovat v informaci, která mu byla podána (e-mail, SMS, telefonát) a jednat podle sdělených instrukcí (klikne na odkaz, otevře přílohu e-mailu, prozradí jinou důležitou informaci). To, jakou chybu udělal, se zpravidla dozví mnohem později na základě škod, které jeho jednáním vznikly (infikovaný počítač, prázdný bankovní účet, ztráta kontroly nad firemními systémy, atd.). Nejznámějším průkopníkem sociálního inženýrství se stal hacker Kevin Mitnick, který ve své knize Umění klamu píše o tom, že nejjednodušší způsob, jak se někam dostat, je říct si o heslo.

Příklad - Phishing

Typickým a velmi rozšířeným způsobem jak pomocí sociálního inženýrství poškodit určitý subjekt je tzv. Phishing. Důvěryhodně vypadající e-mailová zpráva upozorňuje na nějaký problém, který vyřešíte zadáním osobních nebo přístupových údajů do stejně důvěryhodně vypadajícího formuláře známé instituce. Že se jedná o zdařilý podvrh, se dá rozpoznat nepoučenou osobou velice obtížně.

Příklad – Nigerijské dopisy

Dalším příkladem je tzv. Nigerijský scam. Jde o dopis či e-mail, jehož pisatel tvrdí, že disponuje majetkem ve výši několika miliónů dolarů a potřebuje pomoc při jeho převodu ze země. Za to slibuje jako odměnu poměrnou část z celkové částky. Princip podvodu spočívá v tom, že oběť musí neustále platit nečekané administrativní poplatky a převod majetku se stále oddaluje.

Mezi další techniky sociálního inženýrství patří Pretexting, Baiting, Telefonní phishing (Techie Talk, Catch me a Vish), Sex sells, Whale of an Attack, Catch me a Phish, NLH, Piggyback Rides a mnohé další, o kterých se dočtete zde.

Jak se bránit

Především je třeba zachovat chladnou hlavu. Důležité je vědět, jaká rizika mohou nést neočekávané nevinně vypadající zprávy. Dalšími faktory, které mohou ovlivnit, zda se konkrétně vy stanete terčem sociálního inženýrství, jsou důležitost vaší pozice v organizaci či firmě a velikost vašeho bankovního konta. Neexistuje žádný zaručeně spolehlivý způsob jak se chránit, protože oklamat lidskou mysl je poměrně jednoduché. Abyste však co nejvíce eliminovali tato rizika, je vhodné se řídit zdravým rozumem a minimálně těmito radami:

  • Poučit se z cizích (případně vlastních) chyb – na internetu se píše o lidech, kteří přišli o finanční prostředky díky vlastní chybě. Podobné příběhy by vás měly držet ve střehu.
  • Důvěřuj, ale prověřuj – pokud se vám cokoliv na příchozí zprávě nezdá, raději se zeptejte přímo odesílatele (třeba telefonicky), nebo zkušenějších kolegů. Nic tím nezkazíte.
  • Nedat se zastrašit - u podezřelých telefonátů, pokud si nejste jisti, zda vám skutečně volají například z vaší banky, zavěste a pokuste se ověřit autenticitu hovoru na telefonním čísle, které má vaše banka uvedeno na webových stránkách. Pokud vám volá například technická podpora nebo kdokoliv, kdo vystupuje v roli autority (úřad, nadřízený), nebojte se v případě pochybností vše ověřit.
  • Nespěchat - útočníci rádi pracují s časovou tísní (časově omezená nabídka, teď hned je třeba něco vykonat). Klid, škoda z prodlení bývá menší, než důsledky neuvážených činů.
  • Nebýt líný – jedno krátké a dobře zapamatovatelné heslo k několika účtům a službám je ideální způsob, jak přijít o všechno najednou.
  • Nebýt zbytečně zvědavý – každá zajímavá příloha, odkaz mohou být pastí. Opravdu například potřebujete vidět tohle? Nepotřebujete. To samé se týká i nalezených paměťových karet či jiných datových nosičů.
  • Nebýt zbytečně sdílný – vše, co na sebe prozradíte na internetu (diskusní fóra, webové stránky, sociální sítě) mohou útočníci využít proti vám. Schválně si zkuste zadat do vyhledávače Google vaše jméno.
  • Nikdo vám nic nedá zadarmo – rozhodně ne velké finanční obnosy.

Odkazy:

Wiki:
https://cs.wikipedia.org/wiki/Sociální_inženýrství_(bezpečnost)

Články na webu:
http://www.ictsecurity.cz/odborne-clanky/principy-a-postupy-socialniho-inzenyrstvi.html
http://pcworld.cz/internet/co-je-socialni-inzenyrstvi-1-dil-44361
http://pcworld.cz/internet/co-je-socialni-inzenyrstvi-2-dil-44372
http://www.cnews.cz/socialni-inzenyrstvi-v-praxi-kdyz-si-hacker-o-heslo-proste-rekne
https://www.csirt.cz/page/2789/zakladni-rady-pro-uzivatele/
http://www.novinky.cz/internet-a-pc/bezpecnost/311551-smrtici-zbran-hackeru-socialni-inzenyrstvi.html

Odborné práce:
https://is.muni.cz/th/333077/fss_m/Diplomova_prace_ngwzunsd.pdf
http://is.muni.cz/th/398415/ff_m/Hajek_DP.pdf
http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm
a mnoho dalších…