7 minute read
Sociální inženýrství, dumpster diving a další
Michala Benešovská
Kybernetické útoky jsou pro mnohé, i technicky zdatné uživatele obestřeny jakýmsi tajemnem. U některých typů útoků to chce udělat si důkladnější rešerši, aby člověk vůbec pochopil, co se stalo a jak k tomu došlo. Obyčejný smrtelník může v záplavě termínů nabýt dojmu, že probíhá téměř mytická bitva kdesi na příkazovém řádku, kde ten, který „pronikne do sytému“, získá neomezený přístup ke všemu. Jenže ve skutečnosti jsou způsoby, jak se útočníci mohou dostat, kam nemají oprávnění, mnohem jednodušší. Tady totiž člověk zůstává stále nejslabším článkem.
Tzv. „no-tech hacking“, který si v tomto článku přiblížíme, nevyžaduje žádné důmyslné technologické nástroje. Jde o postupy a metody, které jsou založené například na tzv. sociálním inženýrství nebo na obyčejném pozorování svého okolí, a byli byste možná překvapeni, co všechno se dá zjistit z odpadkového koše.
Dumpster diving
Lidé vyhodí do odpadkového koše neuvěřitelné věci, a to včetně dokumentů obsahujících citlivé informace. Dumpster diving může být ideálním začátkem pro důmyslnější sociální inženýrství. Kolikrát nejsou ani skartované papíry překážkou (nicméně dokážou potenciálním útočníkům celý proces dost znepříjemnit). Například v USA není nelegální vytahovat vyhozené věci, nicméně pokud jde o hrabání se v kontejneru, který je na soukromém pozemku, už je situace jiná a kolem kancelářských komplexů mohou být u kontejnerů kamery a každý neoprávněný a podezřelý pohyb se může prošetřovat. Přijde vám to přehnané? Dumpster diving je riziko i u nás. Je to pár let zpátky, co byli pražští strážníci upozorněni na to, že se na Smíchově u kontejnerů nachází velké množství dokumentů, jako jsou například daňová přiznání, ve kterých byla uvedena rodná čísla a další citlivé údaje. V dalším případě se objevila dokonce celá černá skládka plná výpisů z katastru nemovitostí, exekučních příkazů a dalších materiálů. V Brně se zase dostaly do sběrného dvora více než dvě desítky krabic obsahující zdravotní záznamy více než 2 000 pacientů soukromé polikliniky v Bystrci. Takové informace by se daly snadno zneužít.
Mnoho podob sociálního inženýrství
Každý už se asi s nějakou formou sociálního inženýrství setkal. Zneužít lidský faktor a slabosti se přímo nabízí, ostatně heslem sociálního inženýrství by mohlo být „pracovat chytře, ne tvrdě“. Hodiny, dny práce brute-forcování hesla nejsou vždycky nezbytné, když stejnou informaci lze získat úplně jednoduše. Stačí se jen pozorně dívat – kolik lidí si stále lepí na monitor lepicí papírky s nezapamatovatelnými hesly, píše si PINy na platební karty. Nebo se chytře dostat na místa, kde nemáte co dělat. Pojďme se podívat na některé příklady sociálního inženýrství.
Tailgating
S pevnými nervy a odhodláním se lze dostat prakticky nepozorovaně i na místa, kam by neměli mít nepovolaní přístup, a odposlechnout či odkoukat různé informace. Řeč je o tzv. tailgatingu, tedy praktice, kdy se člověk dostane v závěsu za autorizovanou osobou na místa, kde nemá co dělat. Samozřejmě by mělo být zaměstnancům jakékoliv firmy zdůrazněno a neustále opakováno, že nemají například u čipem ovládaných dveří s sebou brát lidi, které neznají, ale kdo by třeba nepustil člověka, který nese balíky, nebo opraváře? Tato metoda pronikání do jinak střežených prostor se také nazývá piggybacking a je překvapivě jednoduchá, účinná a dost nebezpečná. Myslíte si, že za pár minut, než si někdo všimne, že se v kancelářích pohybuje někdo neznámý, se nemůže nic stát? Tak si schválně zkuste, jak dlouho trvá píchnout flashku nepozorovaně do počítače.
Phishing
Nejběžnějším a nejrozšířenějším typem sociálního inženýrství je phishing, se kterým se všichni setkáváme prakticky denně. Dnešní phishing je už na poměrně vysoké úrovni a v zásadě má tři hlavní linie – a to buď získání osobních údajů, nebo se adresáta pokouší zavést na nebezpečné dopadové stránky nebo vyvolá dojem naléhavosti a snaží se zmanipulovat uživatele tak, aby rychle a bez většího přemýšlení odpověděl a poskytl jinak střežené informace.
Snad žádné dva phishingové e-maily nejsou stejné a existuje hned několik kategorií phishingových kampaní, které jsou v současné době nejčastější:
Deceptivní phishing – nejběžnější e-mailový scam, podvodníci se vydávají za legitimního odesílatele ve snaze ukrást osobní data a přihlašovací údaje. Jde například o podvržené e-maily od Paypalu, které instruují příjemce, aby se přihlásil přes jistý link, který vede na stránku, jež vypadá přesně jako pravá přihlašovací stránka Paypalu. Jednoduché provedení, jasný cíl – krádež osobních údajů.
Spear phishing – tento typ scamu vsází na personalizaci. E-mail je upraven tak, aby vypadal osobněji – využívá jméno oběti, její pracovní pozici a další zjištěné informace. V příjemci se podvodník snaží vyvolat dojem, že jde o někoho známého. Velice populární jsou tyto scamy na sociálních sítích. Cíl spear phishingu je pak stejný jako u výše uvedeného typu – vylákat z napadeného přihlašovací nebo další citlivé údaje.
CEO fraud – velké škody mohou napáchat phishingy, které zneužívají kompromitovaný e-mail ředitele nebo jiného vysoce postaveného představitele společnosti. Často jde o žádosti jménem ředitele či podobné „šarže“ o zaslání peněz, urychlené proplacení faktury a podobně. V dalším případě může jít místo peněz o žádost o další informace, čímž může dojít k úniku obchodních tajemství, dalších přihlašovacích údajů a podobně.
Vishing – u nás méně známý typ sociálního inženýrství, ale v podstatě jde o stejný princip, tedy vylákání prostředků nebo informací, ale tentokrát prostřednictvím telefonního hovoru. Neznámé číslo, na druhé straně se představí pracovník technické podpory z IT oddělení, který nutně potřebuje vzdáleně nainstalovat aktualizace a po člověku, který je uprostřed činnosti, chce jen jeho přihlašovací údaje do firemního počítače s tím, že to zabere jen pár minut. Nebo zavolá účetní představitel významného obchodního partnera s tím, že nemá proplacenou fakturu a peníze hned potřebuje, přičemž fakturu, která se někde zatoulala, ochotně znovu pošle.
Smishing – a telefony ještě jednou, tentokrát jsou na scéně podvodné zprávy. Smishingové kampaně se v našich končinách uchytily celkem dobře – SMS zprávy se škodlivými odkazy zneužívaly i jména legitimních tuzemských firem, jako je Česká pošta nebo Alza.
Pharming – řada uživatelů už se stala proti klasickému phishingu imunní, proto podvodníci museli změnit taktiku. Další úrovní se stal pharming, jehož principem je napadení DNS a přepsání IP adresy, což způsobí přesměrování uživatele na podvržené stránky, a to i za předpokladu, že napsal adresu do prohlížeče správně.
Pretexting
Další formou sociálního inženýrství je tzv. pretexting, u kterého se útočníci soustředí zejména na vytvoření opravdu dobrého textového podkladu, který využijí k tomu, aby ukradli osobní informace oběti. Pro tyto scamy je typické, že podvodníci předstírají, že potřebují jistou část informace za účelem potvrzení, že komunikují se správnou osobou. Abyste si to lépe představili, jde o zneužití scénáře, který používají například telefonní operátoři nebo banky pro komunikaci („Můžete říct datum narození, abychom ověřili, že hovoříme se správnou osobou?“).
Útočníci se tímto způsobem mohou pokusit přimět své oběti k tomu, aby zneužili slabosti organizace, a to jak ty „digitální“, tak fyzické. Útočníci se často vydávají za IT techniky, personalisty, účetní a podobně. Na rozdíl od phishingu, respektive vishingu, nevyužívají naléhavost a nesnaží se vzbudit obavy, ale spoléhají na budování důvěry, vytvářejí věrohodný příběh, který nezanechává prostor pro pochybnosti.
Baiting
Velice podobná technika, jako jsou phishingové útoky, je i tzv. baiting. Podstatou baitingu je příslib nějaké ceny nebo zboží k nalákání oběti. Jako návnady se objevují také nabídky na bezplatné stahování filmů nebo hudby. Cílem je opět vylákání osobních nebo platebních údajů. Baiting útoky se neomezují pouze na online schémata, ale využívají lidské zvědavosti i pomocí tištěných médií. Například v roce 2018 se objevila útočná kampaň zaměřená na státní a lokální vládní agentury ve Spojených státech, ve které figurovaly poštovní obálky s čínskými známkami, ve kterých byl zmatený dopis a kompaktní disk. Účelem bylo podnítit zvědavost a využít toho, že někdo přiložené CD vloží do počítače a infikuje jej nastraženým malwarem.
Quid Pro Quo
Také tato metoda slibuje odměnu výměnou za informace. Zde jde ale na rozdíl od nabídky zboží o nabídku služby. Typickým příkladem z posledních let jsou falešní pracovníci správy sociálního zabezpečení, kteří kontaktují náhodné osoby s tím, že došlo k nějaké chybě systému a potřebují potvrdit číslo sociálního zabezpečení. Cílem je samozřejmě nashromáždit potřebné informace ke krádeži identity. V USA byly odhaleny dokonce celé falešné portály správy sociálního zabezpečení, které sloužily ke krádeži osobních údajů nic netušících uživatelů.
Jak se bránit
Sociální inženýrství využívá psychologii a vsází na lidskou zvědavost. Organizace, které to myslí s bezpečností vážně, by měly mít o této nezanedbatelné hrozbě povědomí a své zaměstnance by měly pravidelně školit a připomínat jim zásady bezpečného pohybu v online prostředí. Sice každý ví, že nevyhrál v loterii Googlu nebo nebude dědit po bohatém arabském šejkovi, který i s celou rodinou zahynul při nehodě soukromého tryskáče, nicméně podvodníci se vyvíjejí a jejich kampaně už operují s mnohem důvěryhodnějšími zápletkami. Proto by měl každý zpozornět, když obdrží e-mail z neznámého nebo nečekaného zdroje. E-maily podepsané někým z rodiny nebo z přátel je namístě prověřit třeba telefonicky. Přijde-li nějaká až příliš dobrá nebo neskutečná nabídka, jsou pochybnosti namístě – nezapomeňte, že žijeme ve světě, kde vám prostě za dolar nikdo nejnovější iPhone nedá.
Fyzickou bezpečnost není radno podceňovat – všechna svá zařízení, která nemáte aktuálně pod dohledem, uzamkněte. Telefon, tablet, počítač – nic nenechávejte bez dozoru.
