Sociální inženýrství
Sociální inženýrství je umění klamu. Jedná se o způsob manipulace lidí za účelem provedení nějaké akce nebo získání určité informace. Jeho cílem je vytvořit v člověku dojem, že situace je jiná, než ve skutečnosti opravdu je. Jinými slovy: Člověk nepozná, že mu telefonuje nebo mailuje nebo ho jinak oslovuje podvodník. Na základě některých uměle vytvořených indicií se ale domnívá, že komunikuje s někým důvěryhodným.
Sociální inženýrství má ostatně kořeny i v klasických podvodech reálného světa. Známým příkladem jsou falešní výběrčí doplatků za vodu, plyn či elektřinu.
Hlavní myšlenka je následující: Proč se obtěžovat s používáním brutální síly na prolamování hesel, když je jednodušší přinutit někoho, kdo heslo zná, k tomu, aby jej řekl? Navíc, při dobře vedeném útoku si oběť v drtivé většině vůbec neuvědomí, že něco vyzradila nepovolané osobě. Toto je nejnebezpečnější rys problematiky sociálního inženýrství.
Když vám ukradnou peněženku s kreditní kartou, hned víte, že tuto skutečnost musíte ohlásit a příslušná karta bude zablokována. Ale v případě, že je použito sociální inženýrství, se vůbec nedozvíte, že vás v danou chvíli někdo okradl (o informace).
Technika sociálního inženýrství
Prvním krokem sociotechniků je zpravidla získání původně zcela nevinné informace, ze které si pak odvodí jinou významnější informaci. Organizace mají na svých stránkách často řadu dat, která mohou při vhodné kombinaci pomoci získat jiné citlivější informace.
Pokud sociotechnik chystá na nějakou organizaci útok, začne právě studiem internetových stránek. Odtud získá jména, internetové adresy, případně telefony pracovníků firmy, nadřízených atd. Pak může pokračovat i na osobní stránky zaměstnanců, kde jsou opět často zveřejněny zajímavé informace.
I když má společnost bezpečnostní politiku, ve které je zakotveno, co smí a nesmí být na firemních stránkách, nikdo nezjišťuje, co má zaměstnanec na svých soukromých stránkách, s čím vstupuje do diskusí na internetu atd. Nejlepšími zdroji informací pro sociotechnika jsou tak dnes Facebook a Twitter. Někteří lidé na sebe na sociálních sítích prozradí téměř cokoliv. Tyto informace jsou využívány mnoha způsoby a některé z nejvýznamnějších jsou:
► Phishing
Phishing je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.
► Baiting
Baiting můžeme přirovnat k útoku pomocí Trojského koně v reálném světě. Scénář útoku je analogický s použitím Trojského koně jako lsti k dobytí města Tróje. Pouze namísto dřevěného koně, který měl v útrobách řecké vojáky, je použito médium (CD, USB disk) s programem k „dobytí“ počítače oběti.
Útočník nechá paměťové médium s lákavým nápisem či dokumentem (např. Mzdy třetí kvartál) na místě, kde jej oběť s velkou pravděpodobností nalezne. Poté již nechá pracovat zvědavost. Dříve či později někdo vloží médium do svého počítače. Tak dojde k aktivaci škodlivého kódu, s jehož pomocí získá útočník přístup k počítači nebo dokonce k celé firemní počítačové síti.
Ke všem uvedeným metodám útoků využívá útočník předem získaných informací o společnosti, zaměstnancích nebo konkrétní oběti. Tady platí především, že pečlivá příprava je základem pozdějšího úspěchu.