Sociální inženýrství

Z WikiKnihovna
Přejít na: navigace, hledání

Autor: Filip Šelong

Klíčová slova: sociální inženýrství, sociotechnika, bezpečnost, psychosociální manipulace, hacking

Synonyma: ---

Související pojmy:

nadřazené – bezpečnost, manipulace

podřazené – sociotechnika, no tech hacking, phishing, pharming, vishing, baiting, whaling

Charakteristika

Sociálním inženýrstvím nazýváme způsoby manipulování lidmi pomocí klamu za účelem vyzrazení informací nebo vykonání určité akce.[1] Tyto manipulace se tedy soustředí na často nejslabší článek informačního systému, kterým je člověk (někdy nazýván wetware). K útokům většinou dochází přes internet, některé sociotechnické metody sociálního inženýrství však využívají telefony, běžnou poštu nebo i osobní kontakt (např. vydávání se za zaměstnance napadené firmy).

Sociotechnika

Sociotechnika je ovlivňování a přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využít lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace. [2] Obecně jde o použití svých sociologických znalostí k dosažení vlastních cílů.

Historie

Pojem vychází ze společenských věd, kde v širším pojetí označuje „praktickou vědní disciplínu, která se zabývá tím, jak pomocí určitých prostředků, s přihlédnutím k ověřeným zákonitostem, dosáhnout plánovaného efektu“ [3] V praxi jde o dlouhodobou snahu o změnu společnosti ve velkém měřítku.

V oblasti informačních technologií se metody sociálního inženýrství začaly používat v 80. letech 20. století a o jejich zpopularizování se ve velké míře postaralo mediální pokrytí procesu s americkým hackerem a sociálním inženýrem Kevinem Mitnickem.

V dnešní době je sociální inženýrství jedním z hlavních prostředků při pokusech o získání dat a v šíření škodlivých souborů.

Techniky

Zde je uvedeno několik z mnoha postupů, které sociální inženýři používají:

Phishing

Je akt odeslání e-mailu, který předstírá, že pochází od legitimní zavedené firmy, a má za účel přesvědčit uživatele, aby vydal soukromé informace, které budou použity ke krádeži identity. E-mail navádí uživatele k návštěvě webové stránky, na které je požádán o aktualizaci osobních údajů, jako například hesel a čísel kreditních karet, sociálního pojištění a bankovních účtů, která legitimní organizace už má k dispozici. Webová stránka je ale falešná a je vytvořena pouze ke krádeži uživatelových dat. [4] Na Masarykově univerzitě proběhla v roce 2011 akce Phishing na vlastní kůži, ve které si studenti mohli vyzkoušet svou odolnost proti phishingovým útokům [5]

Vishing

Telefonní ekvivalent phisingu. Je akt použití telefonu za účelem přesvědčit uživatele, aby vydal soukromé informace, které budou použity ke krádeži identity. Podvodník obvykle předstírá, že patří k legitimnímu podniku, a naláká uživatele na vidinu zisku. [6] Někdy se využívá i falešných telefonních automatů (IVR).

Pharming

Podobně jako v případě phishingu, pharming má za cíl získání osobních či soukromých dat (obvykle vázaných k financím) pomocí podvržených domén. Místo spamování škodlivými a zlomyslnými e-mailovými žádostmi o návštěvu falešné webové stránky, která působí legitimně, pharming ‚otráví‘ DNS server vložením falešných informací, což má za výsledek přesměrování uživatelovy žádosti jinam. Jeho prohlížeč však ukazuje, že se nachází na správné webové stránce, což dělá pharming ještě vážnějším a těžším na detekci. [7]

Baiting

Útočník zanechá návnadu ve formě např. vhodně popsané diskety, CD či flash disku na vhodném místě, kde ji cíl najde a vloží do svého počítače, čímž si pustí do systému infikovaný soubor.

No tech hacking

Poddruh sociálního inženýrství, který k dosažení svých cílů primárně nevyužívá informačních technologií. Většinou spočívá ve vydávání se za zaměstnance firmy, získávání informací prohlídkou kanceláří, probíhá na krátkou vzdálenost. [8]

Whaling

Druh sociálního inženýrství, který cílí na velké podniky. Využívá k tomu ostatní sociotechnické metody. [9]

Zdroje

  1. MANN, Ian. Hacking the human : Social engineering techniques and security countermeasures. Aldershot : Gower Publishing, Ltd., 2008. 254 s. Dostupné z WWW: <http://books.google.com/books?id=dknrmegU0J4C&lpg=PP1&hl=cs&pg=PP6#v=onepage&q&f=false>. ISBN 978-0-566-08773-8. (s.11, přel. F.Š.)
  2. MITNICK, Kevin; SIMON, William. Umění klamu. Gliwice : Helion, 2003. 348 s. ISBN 83-7361-210-6.
  3. VEČEŘA, Miloš; URBANOVÁ, Martina. Základy sociologie práva . Brno : MU, Doplněk, 2002. 323 s. ISBN 80-85765-69-1.
  4. Webopedia [online]. c2011 [cit. 2011-05-20]. Phishing. Dostupné z WWW: <http://www.webopedia.com/TERM/P/phishing.html>. (přel. F.Š.)
  5. CSIRT-MU [online]. 11. 3. 2011, 17. 3. 2011 [cit. 2011-05-20]. Phishing na vlastní kůži. Dostupné z WWW: <https://security.ics.muni.cz/15-Phishing-na-vlastni-kuzi>.
  6. Webopedia [online]. c2011 [cit. 2011-05-20]. Vishing. Dostupné z WWW: <http://www.webopedia.com/TERM/V/vishing.html>. (přel. F.Š.)
  7. Webopedia [online]. c2011 [cit. 2011-05-20]. Phishing. Dostupné z WWW: <http://www.webopedia.com/TERM/P/pharming.html>. (přel. F.Š.)
  8. LONG, Johnny ; MITNICK, Kevin. No tech hacking : A guide to social engineering, dumpster diving, and shoulder surfing. [s.l.] : Syngress, 2008. 285 s. ISBN 978-1-59749-215-7.
  9. PŘIBYL, Tomáš . Quo vadis, sociální inženýrství?. SecurityWorld [online]. 10.05.11, 2010, 3, [cit. 2011-05-20]. Dostupný z WWW: <http://securityworld.cz/securityworld/quo-vadis-socialni-inzenyrstvi-3527>.