Sociálne inžinierstvo
IB
Sociálne inžinierstvo sú metódy, spôsoby a techniky, akými útočníci manipulujú ľuďmi, za účelom dosiahnutia svojho cieľa.
Je to akýkoľvek druh útoku, ktorý nie je technického charakteru, a ktorý zahŕňa určitý typ interakcie s obeťou s cieľom pokúsiť sa ju oklamať alebo prinútiť k odhaleniu informácií alebo porušovaniu bežných bezpečnostných postupov.
Útočníkov, ktorí využívajú sociálne inžinierstvo, nazývame sociálni inžinieri.
Motiváciou sociálnych inžinierov môže byť:
- získanie osobných údajov,
- získanie neoprávneného prístupu,
- obchádzanie zavedených postupov,
- vykonanie sociálneho inžinierstva len preto, lebo to môžu.
Príklady Phishingu
Phishing je častou formou sociálneho inžinierstva, kde sa útočníci snažia získať informácie pomocou falošných správ cez e-maily, chaty alebo webové stránky.
Tieto správy sa často vydávajú za legitímne a snažia sa vyvolať naliehavosť alebo strach.
Používatelia sú vyzvaní k rôznym akciám, ako napríklad kliknutiu na odkaz alebo stiahnutiu prílohy.
Niektoré phishingové správy žiadajú od príjemcu overenie svojich prihlasovacích údajov k účtu tým, že odkaz smeruje na podhodenú (nie legitímnu) webovú stránku, kde si tieto údaje môžu overiť.
Týmto spôsobom útočníci získavajú citlivé informácie, ako prihlasovacie údaje.
Cieľ spear phishingu je rovnaký ako phishingu, no útočník sa cielene sústreďuje na konkrétne osoby v organizácii.
Ku konkrétnej osobe si vykoná prieskum, zbiera osobné informácie a záujmy z internetových vyhľadávaní a profilov sociálnych médií.
Následne posiela phishingové správy s konkrétnymi údajmi, aby vzbudil u prijímateľa väčší pocit dôvery.
To vedie k vyššiemu percentu zasiahnutých používateľov v porovnaní s phishingom.

Použitie telefonického rozhovoru za účelom získania informácií, resp. donútenia osoby vykonať inú činnosť (napr. sa prihlásiť na konkrétnu webovú stránku).
Príklad: Volanie na IT oddelenie s falošnou identitou, kde volajúci tvrdí, že je zamestnanec organizácie, ktorý si zabudol svoje prihlasovacie údaje. Opačným prípadom je volanie z podvrhnutej IT podpory, ktorá tvrdí, že máte problém, s ktorým vám však môžu pomôcť. Namiesto toho však do zariadenia na diaľku nainštalujú škodlivý kód, či ukradnú citlivé informácie.

Je to forma phishingového útoku, pri ktorom útočníci využívajú textové správy (SMS) na podvodné získanie citlivých informácií, ako sú prihlasovacie údaje, čísla platobných kariet alebo osobné údaje. Hlavným cieľom je presvedčiť obeť, aby klikla na škodlivý odkaz alebo poskytla informácie prostredníctvom falošnej stránky.
Ako funguje smishing?
- Textová správa od útočníka – Obeť dostane správu vydávajúcu sa za dôveryhodnú inštitúciu (banka, kuriérska služba, štátna správa).
- Naliehavý tón alebo výhra – Správa často obsahuje výhražné oznámenia (zablokovanie účtu) alebo ponúka výhru, čím vyvoláva pocit naliehavosti.
- Škodlivý odkaz alebo číslo – Správa obsahuje odkaz na podvodnú webovú stránku alebo žiadosť o odpoveď s citlivými údajmi.

Whaling je špecifickým typom phishingového útoku, ktorý cieli na vysoko postavené osoby v organizáciách, ako sú riaditelia, manažéri alebo iní členovia vedenia.
Charakteristiky:
- Cieľová skupina: Top manažment alebo osoby s prístupom k citlivým údajom a financiám.
- Personalizácia: Útoky sú detailne prispôsobené obeti, často obsahujú informácie o firme alebo projektoch, aby pôsobili dôveryhodne.
- Účel: Získanie prístupu k firemným zdrojom, citlivým údajom alebo finančné podvody.
Príklad: Útočník sa vydáva za generálneho riaditeľa a cez e-mail požiada účtovníka o urgentný prevod veľkej sumy peňazí na externý účet.

Ďalšie príklady
Táto forma sociálneho inžinierstva využíva ľudskú zvedavosť.
Útočníci ponúkajú lákavé veci výmenou za pár údajov.
Príklad 1: Bezplatné stiahnutie programov, resp. hudobných diel alebo filmov. Takýmto spôsobom môže útočník o osobe získať cenné údaje (napr. e-mailový účet alebo heslo, ktoré osoba používa aj v iných službách)
Príklad 2: Ponechanie USB flash kľúča, ktorý obsahuje škodlivý program na voľnom priestranstve, cez ktoré si obeť pri jeho odskúšaní môže stiahnuť škodlivý program.
Príklad 3: Šírenie malvéru pomocou torrentových služieb.

Táto forma sa vyznačuje tým, že neoprávnená osoba fyzicky nasleduje oprávnenú osobu do obmedzenej oblasti spoločnosti alebo systému.
Príklad 1: Sociálny inžinier vyzve zamestnanca spoločnosti, aby podržal otvorené dvere, pretože si zabudol svoju prístupovú kartu alebo kľúče.
Príklad 2: Sociálny inžinier požiada zamestnanca, aby mu požičal svoj notebook na niekoľko minút, počas ktorých je sociálny inžinier schopný rýchlo nainštalovať škodlivý program (malvér).
Príklad 3: Zamestnanec odišiel a nechal odomknutý počítač na stole. Počas tohto času ktokoľvek môže vstúpiť do počítača a stiahnuť škodliví kód či už ukradnúť osobné údaje

Je to kybernetického podvodu, pri ktorom podvodníci dlhodobo manipulujú obeť, aby ju presvedčili o dôvere a prinútili investovať do falošnej investičnej schémy.
Princíp fungovania:
Prvé kontaktovanie
Podvodníci nadviažu kontakt cez sociálne siete, SMS, alebo chatovacie aplikácie (často predstierajú, že ide o omyl). Obeť sa stáva cieľom dlhodobého budovania vzťahu.
Budovanie dôvery
Podvodník hrá rolu priateľa alebo investičného poradcu a pomaly obeť presviedča o výhodách investovania do kryptomien, akcií, alebo iných aktív.
Vytvorenie falošnej platformy
Obeť je nasmerovaná na webovú stránku alebo aplikáciu, ktorá vyzerá ako legitímna investičná platforma. Táto platforma umožňuje sledovať „rast investícií“, no všetko je podvrh.
Postupné investovanie
Obeť najprv investuje malé čiastky, ktoré môžu byť „ziskovo“ vyplatené, čím sa zvyšuje jej dôvera. Potom začne vkladať väčšie sumy.
„Zabitie prasaťa“
Keď obeť vloží veľkú sumu, podvodníci zmiznú – zablokujú jej prístup k platforme, kontaktu a odcudzia všetky peniaze.
Pravidlá ochrany pred podvodnými správami
Rozpoznanie podvodnej e-mailovej správy nie je jednoduché, ale existujú pravidlá, ktoré pomáhajú. Sem patria:
- Generický pozdrav: Správa sa tvári ako od dôležitej inštitúcie, ale používa všeobecný pozdrav. (napr. „Vážený používateľ“, „Vážený klient“ a pod.)
- Známy odosielateľ: Správa môže tvrdiť, že ju poslal známy, ale to nemusí byť pravda.
- Pocit urgencie: Vyvoláva paniku alebo hrozbu, aby ste konali rýchlo. (napr. „vypršala Vám kvóta v e-mailovej schránke“, „pre elektronickú komunikáciu so štátom je potrebné si stiahnuť novú verziu programu“, „do 24 hodín bude vaše konto deaktivované”)
- Gramatické chyby: Obsahuje chyby v texte, čo môže naznačovať falošnosť. V súčasnej dobe prichádzajú e-mailové správy, ktoré sú už po gramatickej stránke veľmi dobre napísané. Častým problémom útočníkov je ale skloňovanie prídavných mien („Vážený pani“).
- Falošné odkazy: Odkazy najčastejšie vedú na klamné stránky, ktoré od používateľov požadujú, aby sa prihlásili do svojich bankových, pracovných, e-mailových a sociálnych mediálnych účtov. Odkazy smerujúce na prihlasovacie stránky by ste mail považovať za podozrivé a dôkladne ich (ne)pravosť overiť. Ideálne sa prihláste do danej služby z odkazu, ktorý na to bežne používate, nie z odkazu uvedenom v e-maily.
- Falošné informácie: Obsahuje oficiálne vyzerajúce informácie, ale sú nepravdivé.
- Škodlivé prílohy: Môže obsahovať nebezpečné prílohy. Často sú to rôzne faktúry alebo ponuky produktov.
Dôležité je pamätať, že banky a inštitúcie nikdy nepožadujú citlivé údaje cez správy. Ignorovať alebo zmazať podozrivé správy je najlepšie.
Podvodné správy často vytvárajú dojem, že sú od známych osôb alebo organizácií. Využívajú fakt, že dôverujeme správam od známych. Dôkladná kontrola je dôležitá, pretože odosielateľa je možné ľahko sfalšovať.