Sociální inženýrství
Autor: Filip Šelong
Klíčová slova: sociální inženýrství, sociotechnika, bezpečnost, psychosociální manipulace, hacking
Synonyma: ---
Související pojmy:
nadřazené – bezpečnost, manipulace
podřazené – sociotechnika, no tech hacking, phishing, pharming, vishing, baiting, whaling
Charakteristika
Sociálním inženýrstvím nazýváme způsoby manipulování lidmi pomocí klamu za účelem vyzrazení informací nebo vykonání určité akce.[1] Tyto manipulace se tedy soustředí na často nejslabší článek informačního systému, kterým je člověk (někdy nazýván wetware). K útokům většinou dochází přes internet, některé sociotechnické metody sociálního inženýrství však využívají telefony, běžnou poštu nebo i osobní kontakt (např. vydávání se za zaměstnance napadené firmy).
Sociotechnika
Sociotechnika je ovlivňování a přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využít lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace. [2] Obecně jde o použití svých sociologických znalostí k dosažení vlastních cílů.
Historie
Pojem vychází ze společenských věd, kde v širším pojetí označuje „praktickou vědní disciplínu, která se zabývá tím, jak pomocí určitých prostředků, s přihlédnutím k ověřeným zákonitostem, dosáhnout plánovaného efektu“ [3] V praxi jde o dlouhodobou snahu o změnu společnosti ve velkém měřítku.
V oblasti informačních technologií se metody sociálního inženýrství začaly používat v 80. letech 20. století a o jejich zpopularizování se ve velké míře postaralo mediální pokrytí procesu s americkým hackerem a sociálním inženýrem Kevinem Mitnickem.
V dnešní době je sociální inženýrství jedním z hlavních prostředků při pokusech o získání dat a v šíření škodlivých souborů.
Techniky
Zde je uvedeno několik z mnoha postupů, které sociální inženýři používají:
Phishing
Je akt odeslání e-mailu, který předstírá, že pochází od legitimní zavedené firmy, a má za účel přesvědčit uživatele, aby vydal soukromé informace, které budou použity ke krádeži identity. E-mail navádí uživatele k návštěvě webové stránky, na které je požádán o aktualizaci osobních údajů, jako například hesel a čísel kreditních karet, sociálního pojištění a bankovních účtů, která legitimní organizace už má k dispozici. Webová stránka je ale falešná a je vytvořena pouze ke krádeži uživatelových dat. [4] Na Masarykově univerzitě proběhla v roce 2011 akce Phishing na vlastní kůži, ve které si studenti mohli vyzkoušet svou odolnost proti phishingovým útokům [5]
Vishing
Telefonní ekvivalent phisingu. Je akt použití telefonu za účelem přesvědčit uživatele, aby vydal soukromé informace, které budou použity ke krádeži identity. Podvodník obvykle předstírá, že patří k legitimnímu podniku, a naláká uživatele na vidinu zisku. [6] Někdy se využívá i falešných telefonních automatů (IVR).
Pharming
Podobně jako v případě phishingu, pharming má za cíl získání osobních či soukromých dat (obvykle vázaných k financím) pomocí podvržených domén. Místo spamování škodlivými a zlomyslnými e-mailovými žádostmi o návštěvu falešné webové stránky, která působí legitimně, pharming ‚otráví‘ DNS server vložením falešných informací, což má za výsledek přesměrování uživatelovy žádosti jinam. Jeho prohlížeč však ukazuje, že se nachází na správné webové stránce, což dělá pharming ještě vážnějším a těžším na detekci. [7]
Baiting
Útočník zanechá návnadu ve formě např. vhodně popsané diskety, CD či flash disku na vhodném místě, kde ji cíl najde a vloží do svého počítače, čímž si pustí do systému infikovaný soubor.
No tech hacking
Poddruh sociálního inženýrství, který k dosažení svých cílů primárně nevyužívá informačních technologií. Většinou spočívá ve vydávání se za zaměstnance firmy, získávání informací prohlídkou kanceláří, probíhá na krátkou vzdálenost. [8]
Whaling
Druh sociálního inženýrství, který cílí na velké podniky. Využívá k tomu ostatní sociotechnické metody. [9]
Zdroje
- ↑ MANN, Ian. Hacking the human : Social engineering techniques and security countermeasures. Aldershot : Gower Publishing, Ltd., 2008. 254 s. Dostupné z WWW: <http://books.google.com/books?id=dknrmegU0J4C&lpg=PP1&hl=cs&pg=PP6#v=onepage&q&f=false>. ISBN 978-0-566-08773-8. (s.11, přel. F.Š.)
- ↑ MITNICK, Kevin; SIMON, William. Umění klamu. Gliwice : Helion, 2003. 348 s. ISBN 83-7361-210-6.
- ↑ VEČEŘA, Miloš; URBANOVÁ, Martina. Základy sociologie práva . Brno : MU, Doplněk, 2002. 323 s. ISBN 80-85765-69-1.
- ↑ Webopedia [online]. c2011 [cit. 2011-05-20]. Phishing. Dostupné z WWW: <http://www.webopedia.com/TERM/P/phishing.html>. (přel. F.Š.)
- ↑ CSIRT-MU [online]. 11. 3. 2011, 17. 3. 2011 [cit. 2011-05-20]. Phishing na vlastní kůži. Dostupné z WWW: <https://security.ics.muni.cz/15-Phishing-na-vlastni-kuzi>.
- ↑ Webopedia [online]. c2011 [cit. 2011-05-20]. Vishing. Dostupné z WWW: <http://www.webopedia.com/TERM/V/vishing.html>. (přel. F.Š.)
- ↑ Webopedia [online]. c2011 [cit. 2011-05-20]. Phishing. Dostupné z WWW: <http://www.webopedia.com/TERM/P/pharming.html>. (přel. F.Š.)
- ↑ LONG, Johnny ; MITNICK, Kevin. No tech hacking : A guide to social engineering, dumpster diving, and shoulder surfing. [s.l.] : Syngress, 2008. 285 s. ISBN 978-1-59749-215-7.
- ↑ PŘIBYL, Tomáš . Quo vadis, sociální inženýrství?. SecurityWorld [online]. 10.05.11, 2010, 3, [cit. 2011-05-20]. Dostupný z WWW: <http://securityworld.cz/securityworld/quo-vadis-socialni-inzenyrstvi-3527>.
