Na této stránce naleznete základní informace o sociálním inženýrství, hoaxu, malware a spyware.
Tento web byl vytvořen v rámci výuky VDT.
Gymnázium Jiřího Wolkera 2014/2015

Sociální inženýrství

Co to je?

Způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace.
Jinými slovy:  Člověk nepozná, že mu telefonuje, mailuje nebo ho jinak oslovuje podvodník. Na základě některých uměle vytvořených indicií se ale domnívá, že komunikuje s někým důvěryhodným. 

Jeden z nejznámějších hackerů Kevin Mitnick vypověděl před americkým Kongresem, jak získal od firem hesla:  „Představil jsem se jako někdo jiný a prostě jsem o ně požádal.“ Je také prvním, kdo byl jako sociálním inženýrem neboli sociotechnikem definován. Stal se mediální hvězdou, protože byl historicky nejhledanější osobou FBI a hrozilo mu několik set let odnětí svobody (v Americe se při více spáchaných trestných činech roky sčítají)

Techniky sociálního inženýrství

Pretexting

Je to využití předem vymyšleného scénáře, který má za úkol z oběti dostat informace či ji donutit k určitému úkonu. Může se jednat o datum narození, rodné číslo, množství financí, jméno nadřízeného atd. Tato technika je často využívána soukromými detektivy, kteří získají soukromé informace o firmě (např. výpisy bankovních účtů) a ty jsou využity při pokročilé komunikaci s vedoucími jako je převod peněz. Velké množství firem stále ověřuje totožnost klienta podle rodného čísla, rodného jména matky či jiných relativně snadno dostupných informací, čímž usnadňují aplikování tohoto typu sociálního inženýrství. Pretexting lze také použít při vydávání se za kolegu z práce, policejního vyšetřovatele, bankovního úředníka, zaměstnance finančního úřadu či jiného zaměstnance státní správy, který by mohl mít právo na dotazování dané oběti.

Phishing

Podobně jako u pretextingu je phishing založen na získávání soukromých údajů jako jsou hesla, čísla kreditních karet atp. Principem je rozesílání podvodných e-mailů, které se zprvu zdají jako oficiální žádosti banky či jiné instituce a žádají po oběti citlivé údaje. Často se v e-mailu objevují odkazy na stránky, kde vyplníte přihlašovací jméno a heslo, čímž tyto údaje prozradíte a umožníte vykrást vaše konto.

Telefonní phishing

Telefonní phishing využívá falešného hlasového automatu (IVR – Interactive voice response) s podobnou strukturou jakou má originální bankovní automat. Oběť je většinou kontaktována e-mailem a vyzvána k zavolání do banky, zde je pak požadován PIN.

Baiting

Je považován za trojského koně v reálném životě. Útočník nechá infikované CD nebo
Flash disk na místě, kde jej oběť pravděpodobné najde (výtah, veřejné WC, parkoviště... ) Poté zvědavá oběť vloží disk do svého počítače a nevědomky nainstaluje vir, který dokáže získat informace z počítače nebo firemní sítě.

Jak se proti sociálnímu inženýrství bránit?

  1. Nesdělujte heslo ke svému ani cizímu účtu nikomu dalšímu. Prakticky neexistuje situace, kdy by něco takového bylo nutné.
  2. Pokud vás někdo kontaktuje nestandardním způsobem (z jiné adresy, z jiného telefonního čísla), pokuste se jeho identitu ověřit.
  3. Pamatujte, že pokud se cítíte být tlačeni (časem, autoritou, strachem o peníze) do nějakého úkonu on-line nebo po telefonu, může se jednat o podvod.
  4. Ignorujte e-maily, které po vás chtějí osobní informace. Neklikejte na odkazy v nich a k přihlašování použijte oficiální stránky.
  5. Používejte zabezpečené spojení (https – nezabezpečené je http).
  6. Pokud něco přichází ze zahraničí, poznáte to díky špatné češtině.
  7. Mějte aktualizovaný operační systém, firewall a antivirus.

Zdroje: