Co je sociální inženýrství? - 1. díl

Internet |

Sociální inženýrství je umění klamu. Jedná se o způsob manipulace lidí za účelem provedení nějaké akce nebo získání určité informace. Jeho cílem je vytvořit v člověku dojem, že situace je jiná, než ve skutečnosti opravdu je.

Co je sociální inženýrství? - 1. díl




Jinými slovy: Člověk nepozná, že mu telefonuje nebo mailuje nebo ho jinak oslovuje podvodník. Na základě některých uměle vytvořených indicií se ale domnívá, že komunikuje s někým důvěryhodným. Sociální inženýrství má ostatně kořeny i v klasických podvodech reálného světa. Známým příkladem jsou falešní výběrčí doplatků za vodu, plyn či elektřinu.

Hlavní myšlenka je následující: Proč se obtěžovat s používáním brutální síly na prolamování hesel, když je jednodušší přinutit někoho, kdo heslo zná, k tomu, aby jej řekl? Navíc, při dobře vedeném útoku si oběť v drtivé většině vůbec neuvědomí, že něco vyzradila nepovolané osobě. Toto je nejnebezpečnější rys problematiky sociálního inženýrství.

Když vám ukradnou peněženku s kreditní kartou, hned víte, že tuto skutečnost musíte ohlásit a příslušná karta bude zablokována. Ale v případě, že je použito sociální inženýrství, se vůbec nedozvíte, že vás v danou chvíli někdo okradl (o informace).

 

Technika sociálního inženýrství

Jak už to tak bývá, nejjednodušší metody bývají nejspolehlivější. Když Kevin Mitnick (jeden z nejznámějších hackerů) vypovídal před americkým Kongresem o tom, jak získával od firem hesla a jiné citlivé informace, uvedl: „Představil jsem se jako někdo jiný a prostě jsem o ně požádal.“

Prvním krokem sociotechniků je zpravidla získání původně zcela nevinné informace, ze které si pak odvodí jinou významnější informaci. Organizace mají na svých stránkách často řadu dat, která mohou při vhodné kombinaci pomoci získat jiné citlivější informace.

Pokud sociotechnik chystá na nějakou organizaci útok, začne právě studiem internetových stránek. Odtud získá jména, internetové adresy, případně telefony pracovníků firmy, nadřízených atd. Pak může pokračovat i na osobní stránky zaměstnanců, kde jsou opět často zveřejněny zajímavé informace.

I když má společnost bezpečnostní politiku, ve které je zakotveno, co smí a nesmí být na firemních stránkách, nikdo nezjišťuje, co má zaměstnanec na svých soukromých stránkách, s čím vstupuje do diskusí na internetu atd. Nejlepšími zdroji informací pro sociotechnika jsou tak dnes Facebook a Twitter. Někteří lidé na sebe na sociálních sítích prozradí téměř cokoliv.

Člověk pod tlakem reaguje jinak než člověk v pohodě. Proto sociotechnici naléhají na důležitost daného úkonu, nebo na časovou tíseň. Díky vyvíjenému tlaku se oběť nemá čas zamyslet nad důsledky svého konání.

Pro útočníka mohou být zajímavé také vnitropodnikové terminologie, utajená telefonní čísla, kódy jednotlivých útvarů apod. K sociálnímu inženýrství můžeme přirovnat i tzv. trashing, kdy se vedle virtuálních odpadků prolézají i ty skutečné. Sociotechnik v nich hledá nejčastěji vyhozené výpisy z bankovních účtů, dokumenty o struktuře podnikové sítě, telefonní seznam pracovníků, hesel…

 

Ve druhém díle si přiblížíme samotné útoky.

 

Zdroj: Dvojklik.cz



Úvodní foto: © Daevid - Fotolia.com













Komentáře