TÉMA ČÍSLA
Sociální inženýrství, dumpster diving a další Michala Benešovská
Kybernetické útoky jsou pro mnohé, i technicky zdatné uživatele obestřeny jakýmsi tajemnem. U některých typů útoků to chce udělat si důkladnější rešerši, aby člověk vůbec pochopil, co se stalo a jak k tomu došlo. Obyčejný smrtelník může v záplavě termínů nabýt dojmu, že probíhá téměř mytická bitva kdesi na příkazovém řádku, kde ten, který „pronikne do sytému“, získá neomezený přístup ke všemu. Jenže ve skutečnosti jsou způsoby, jak se útočníci mohou dostat, kam nemají oprávnění, mnohem jednodušší. Tady totiž člověk zůstává stále nejslabším článkem. Tzv. „no-tech hacking“, který si v tomto článku přiblížíme, nevyžaduje žádné důmyslné technologické nástroje. Jde o postupy a metody, které jsou založené například na tzv. sociálním inženýrství nebo na obyčejném pozorování svého okolí, a byli byste možná překvapeni, co všechno se dá zjistit z odpadkového koše.
Dumpster diving
Lidé vyhodí do odpadkového koše neuvěřitelné věci, a to včetně dokumentů obsahujících citlivé informace. Dumpster diving může být ideálním začátkem pro důmyslnější sociální inženýrství. Kolikrát nejsou ani skartované papíry překážkou (nicméně dokážou potenciálním útočníkům celý proces dost znepříjemnit). Například v USA není nelegální vytahovat vyhozené věci, nicméně pokud jde o hrabání se v kontejneru, který je na soukromém pozemku, už je situace jiná a kolem kancelářských komplexů mohou být u kontejnerů kamery a každý neoprávněný a podezřelý pohyb se může prošetřovat. Přijde vám to přehnané? Dumpster diving je riziko i u nás. Je to pár let zpátky, co byli pražští strážníci upozorněni na to, že se na Smíchově u kontejnerů nachází velké množství dokumentů, jako jsou například daňová přiznání, ve kterých byla uvedena rodná čísla a další citlivé údaje. V dalším případě se objevila dokonce celá černá skládka plná výpisů z katastru nemovitostí, exekučních příkazů a dalších materiálů. V Brně se zase dostaly do sběrného dvora více než dvě desítky krabic obsahující zdravotní záznamy více než 2 000 pacientů soukromé polikliniky v Bystrci. Takové informace by se daly snadno zneužít.
Mnoho podob sociálního inženýrství
Každý už se asi s nějakou formou sociálního inženýrství setkal. Zneužít lidský faktor a sla-
14
Reseller Magazine
bosti se přímo nabízí, ostatně heslem sociálního inženýrství by mohlo být „pracovat chytře, ne tvrdě“. Hodiny, dny práce brute-forcování hesla nejsou vždycky nezbytné, když stejnou informaci lze získat úplně jednoduše. Stačí se jen pozorně dívat – kolik lidí si stále lepí na monitor lepicí papírky s nezapamatovatelnými hesly, píše si PINy na platební karty. Nebo se chytře dostat na místa, kde nemáte co dělat. Pojďme se podívat na některé příklady sociálního inženýrství.
Tailgating
S pevnými nervy a odhodláním se lze dostat prakticky nepozorovaně i na místa, kam by neměli mít nepovolaní přístup, a odposlechnout či odkoukat různé informace. Řeč je o tzv. tailgatingu, tedy praktice, kdy se člověk dostane v závěsu za autorizovanou osobou na místa, kde nemá co dělat. Samozřejmě by mělo být zaměstnancům jakékoliv firmy zdůrazněno a neustále opakováno, že nemají například u čipem ovládaných dveří s sebou brát lidi, které neznají, ale kdo by třeba nepustil člověka, který nese balíky, nebo opraváře? Tato metoda pronikání do jinak střežených prostor se také nazývá piggybacking a je překvapivě jednoduchá, účinná a dost nebezpečná. Myslíte si, že za pár minut, než si někdo všimne, že se v kancelářích pohybuje někdo neznámý, se nemůže nic stát? Tak si schválně zkuste, jak dlouho trvá píchnout flashku nepozorovaně do počítače.
Phishing
Nejběžnějším a nejrozšířenějším typem sociálního inženýrství je phishing, se kterým se všichni setkáváme prakticky denně. Dnešní phishing je už na poměrně vysoké úrovni a v zásadě má tři hlavní linie – a to buď získání osobních údajů, nebo se adresáta pokouší zavést na nebezpečné dopadové stránky nebo vyvolá dojem naléhavosti a snaží se zmanipulovat uživatele tak, aby rychle a bez většího přemýšlení odpověděl a poskytl jinak střežené informace. Snad žádné dva phishingové e-maily nejsou stejné a existuje hned několik kategorií phishingových kampaní, které jsou v současné době nejčastější: Deceptivní phishing – nejběžnější e-mailový scam, podvodníci se vydávají za legitimního odesílatele ve snaze ukrást osobní data a přihlašovací údaje. Jde například o podvržené e-maily od Paypalu, které instruují příjemce, aby se přihlásil přes jistý link, který vede na stránku, jež vypadá přesně jako pravá přihlašovací stránka Paypalu. Jednoduché provedení, jasný cíl – krádež osobních údajů. Spear phishing – tento typ scamu vsází na personalizaci. E-mail je upraven tak, aby vypadal osobněji – využívá jméno oběti, její pracovní pozici a další zjištěné informace. V příjemci se podvodník snaží vyvolat dojem, že jde o někoho známého. Velice populární jsou tyto scamy únor 2020 | www.rmol.cz
