3. Sociální inženýrství

Uživatelé mají tendence kybernetickou bezpečnost zlehčovat, protože kolem ní koluje řada mýtů. Pojďme je vyvrátit.

Stalo se?

Veronice je 32 let a působí jako referentka personálního oddělení jednoho ze státních podniků. Mimo jiné zodpovídá za správu podnikové stránky na sociální síti LinkedIn, kterou využívá pro objevování talentů a jejich nábor. Když v e-mailu objevila upozornění přímo od LinkedIn, polekala se. Bezpečnostní nástroje LinkedIn totiž zaznamenaly podezřelé přístupy k podnikové stránce ze zahraničí. K upozornění byl připojený také odkaz. Veronika si měla pomocí odkazu změnit přihlašovací údaje, kterými se jako správce stránky přihlašuje. Pokud přihlašovací údaje nezmění, bude stránka za 24 hodin z bezpečnostních důvodů zablokována. Veronika přiložený odkaz přirozeně využila a postupovala podle pokynů. Tímto způsobem je však předala přímo útočníkům.

Sociální inženýrství

Vousaté moudro říká, že nejslabším článkem kybernetické bezpečnosti bývá nepoučený uživatel. Zatímco technické nástroje vždy postupují podle zadaných pravidel, uživatelé jsou mnohem méně předvídatelní. Především z důvodu, že mají emoce, znají strach, překvapení nebo pociťují lítost. Útočníci to ví. Proto část energie věnují manipulaci uživatelů s úmyslem získat důvěrné či interní informace. Souhrnně se techniky manipulace uživatelů označují jako sociální inženýrství. Dávno není pravda, že jsou techniky sociálního inženýrství vždy čitelné a na první pohled rozpoznatelné. A právě proto, že si je uživatelé dodnes představují jako legrační zprávy od strýčka Tomase z Texasu, původem z jižních Čech, z pátého kolene, který nám odkazuje pohádkové dědictví, jsou stále účinnější.

Phishing

Jedná se o techniku sociálního inženýrství, jejímž cílem je získat od uživatelů jejich důvěrné, nejčastěji přihlašovací, údaje. V angličtině má tento pojem blízko k „rybaření“, a přesně tak celý útok probíhá. Útočník rozhodí sítě a čeká, kdo z organizace se chytí. Moderní phishingové zprávy přitom dávají smysl. Maskují se například jako oznámení, že je kapacita naší e-mailové schránky naplněna. Pro její navýšení máme kliknout na přiložený odkaz a přihlásit se ke svému účtu Microsoft. Dokud to neuděláme, nebudou nám chodit zprávy, které obsahují přílohy. Odcizené přihlašovací údaje pak může útočník zneužít k průzkumu nastavení uživatelských oprávnění nebo k rozesílání dalších phishingových zpráv, které budou na ostatní zaměstnance působit ještě důvěryhodněji.

null
Ilustrační obrázek phishingového e-mailu, který se maskuje jako informace o balíčku od České pošty.
Zdroj: NÚKIB

null
Ilustrační obrázek phishingového e-mailu, který se maskuje jako informace o překročení kapacity e-mailové schránky uživatele. Zdroj: NÚKIB

Jaké další triky phishingové zprávy využívají?

Je logické, že když phishingová zpráva působí věrně, zvyšuje to její účinnost. Proto útočníci umí připravit zprávu na míru organizaci, na kterou se zaměřili. K tomu stačí prozkoumat webové stránky organizace. Představte si veřejný kalendář, ve kterém je zaznačený den otevřených dveří. A představte si stránku náboru nových zaměstnanců, kde je uvedené jméno vedoucího personálního oddělení. Abraka dabra, phishingový e-mail, ve kterém vedoucího personálního oddělení žádá o výpomoc při dni otevřených dveří je hotový. Stačí kliknout na odkaz, přihlásit se ke sdílené tabulce a zapsat se jako dobrovolník. Zaměstnancům taková zpráva nepřipadá zvláštní, protože den otevřených dveří se opravdu chystá.

Chodí phishingové zprávy jen e-mailem?

Kdepak, uživatelé se s nimi mohou setkat třeba na sociálních sítích. Dobrým nástrojem sociálního inženýrství je probuzení zvědavosti uživatele. Představte si, že od někoho, koho znáte, dorazí krátká zpráva v Messengeru, která zní: „Jsi to ty v tom videu?“, a je k ní přiložený odkaz. Červíček už nahlodává naše svědomí. Jsme překvapení, trošku se bojíme, kdy a kde nás někdo natočil. Když odkaz otevřeme, jsme přesměrování na přihlašovací stránku sociální sítě, která nevypadá nijak zvláštně. Jenže když se přihlásíme, odevzdáme své přihlašovací údaje.

Ilustrační obrázek phishingové zprávy, která se maskuje jako zpráva od známého.
Zdroj: NÚKIB

Rozpoznávání phishingu

Je důležité být ve střehu a phishing nepodceňovat. V případě, kdy se uživatel stane terčem prosté phishingové zprávy, má šanci ji rozpoznat kvůli krkolomné češtině. Tyto zprávy mívají původ v zahraničí a bývají automaticky překládány. Vodítkem také bývá adresa odesílatele. Pokud je na první pohled podezřelá nebo je zakončena neobvyklou doménou, například .ru namísto .cz, je vhodné zpozornět. Avšak propracované phishingové zprávy chodí i z důvěryhodných adres. Proto je nutné dávat pozor především při klikání na jakékoliv přiložené odkazy v e-mailu. V případě propracovaného phishingu to bývá jediné vodítko, na které se uživatel může soustředit. Útočníci také spoléhají na grafickou podobu, pokud uživatel vidí známou grafiku, je méně podezřívavý. Útočníci také rádi dostávají uživatele do časové tísně, vyvíjí nátlak, aby uživatelé úkol splnili rychle.

Jak se mám zachovat, když phishingovou zprávu rozpoznám?

Důležité je neotevírat přiložené odkazy. Pokud phishing objevíme až po otevření odkazu, je důležité nic nevyplňovat, nikam se nepřihlašovat. Dále postupujte podle vnitřních pravidel IT politiky, se kterými byste měli být seznámeni.

Jaké triky s odkazy útočníci používají?

Už jste určitě viděli odkazy schované za slovo zde či podobně ukryté. Text je estetičtější, ale útočníci tím umí uživatelům zamotat hlavu. Užitečným pomocníkem bývá náhledové okénko cíle odkazu. Když najedete na odkaz myší a nebudete klikat, vlevo dole se objeví cíl odkazu. Zkuste si to! Útočníci také rádi využívají přesmyčky a jiné chytáky. Z adresy microsoft udělají třeba rnicrosoft, z velkého „i“ udělají malé „l“, není lekarna jako Iekarna.

null
Ilustrační obrázek phishingového e-mailu, který se maskuje jako přihlašovací okno do služeb Microsoft.
Zdroj: eset.com/cz/blog/prevence/phishing-stoji-za-tretinou-pruniku-jak-poznat-skodlive-e-maily/

Vishing

Technika sociálního inženýrství, která je na vzestupu. Záměr je stejný jako u phishingu, vylákat z uživatele důvěrné, typicky přihlašovací, údaje. Provedení se však liší. Manipulace probíhá telefonicky. Útočník se maskuje například jako klientská podpora IT oddělení a informuje uživatele, že je nutné, aby provedl ověření svého účtu. Záminkou může být únik přihlašovacích údajů zaměstnanců a snaha o zmírnění následků. V zaměstnancích nezřídka zvítězí „smysl pro povinnost“ a spolupracují podle pokynů. Možná si říkáte, že na něco takového byste nepřistoupili. Nenechte se mýlit. Útočníci umí navodit dojem důvěryhodného callcentra. Pustí do sluchátka znělku a klidně si uživatele několikrát přepojí. Existují také nástroje, které zajistí, že uživatel vidí na displeji důvěryhodné číslo.

Jak mám vishingový hovor rozpoznat?

Pokud tušíte, že něco nehraje, zvolte ofenzivní rétoriku. Ptejte se na záležitosti, které by volající musel znát, pokud by vše byla pravda. Volá banka, že nám hrozí zablokování bankovního účtu? V tom případě chtějte vědět, kolik je na účtu peněz. Volá technická podpora, že je naše e-mailová schránka v ohrožení? Chtějte vědět, s kým se to řeší na IT oddělení. Podezřelé hovory také na IT oddělení ohlaste, hrozí, že organizaci zasáhnou masově.

Jaké další triky vishingové hovory využívají?

Útočníci mohou volat například v noci, kdy jsou lidé rozespalí a je jednodušší je šokovat, donutit ke spolupráci. Pokud se oběť nenechá nachytat prvním hovorem, může přijít druhý. V prvním podvodném hovoru se útočníci vydávají například za banku, ve druhém za policii, která volá na žádost banky. Poslechněte si také záznam vishingového hovoru, který publikoval server Seznam Zprávy.

Baiting

Technika, která cílí na zvědavost uživatelů. Představte si, že na chodbě nebo v zasedací místnosti najdete „flešku“. Strčili byste ji do svého počítače? Samozřejmě, že ne! Ale hodně se toho může změnit ve chvíli, kdy je na této „flešce“ popisek. Třeba „seznam propouštění zaměstnanců“ nebo „návrh ročních odměn“. Podle průzkumů takto označenou „flešku“ připojí dva z pěti zaměstnanců. A jak správně tušíte, často najdou něco úplně jiného, než očekávali. Třeba škodlivý soubor, kvůli kterému si IT oddělení ještě dlouho nevybere dovolenou. Uživatel dokonce nemusí škodlivý soubor ani otevřít, útočník vše dokáže narafičit tak, že se po připojení k zařízení spustí sám. A pokud se ptáte, jak se taková „fleška“ do zasedačky dostane, může ji sem přinést třeba podplacený zaměstnanec.

Jaké další triky s „fleškou“ mě můžou potkat?

Jsou známy případy, kdy se upravená „fleška“ po připojení k zařízení napájela elektrickou energii a jakmile získala dostatek energie, vyslala ji zpět do zařízení. To dokázalo zařízení zlikvidovat. Existují „flešky“, které umí pořizovat špionážní zvukové nahrávky, fungují jako zamaskovaný diktafon. Upravená „fleška“ se také dokáže maskovat jako klávesnice, takže i když je v rámci IT politiky organizace nastaveno, že se „flešky“ nedají spustit, toto maskování dokáže nastavení obelstít a fleška se spustí.

Jak mám postupovat, když najdu „flešku“?

Ať je popsaná jakkoliv, nepřipojujte ji k žádnému zařízení. I kdyby byla opatřená logem vaší organizace, nebo lákavým popisem Velikonoční kybervajíčko. Odneste ji na IT oddělení s upozorněním, kde jste ji našli. V organizaci se může povalovat více podezřelých „flešek“.

Rizika sociálních sítí

Sociální sítě navštěvuje alespoň občas většina z nás. Je součástí dnešní doby, že s přáteli rádi sdílíme momenty z osobního nebo pracovního života. Očima útočníků se však může jednat o cenné informace, které umí zneužít při plánování sociálního inženýrství. Ačkoliv to zní jako přízemní rada, pečujte o své soukromí a pečlivě příspěvky kontrolujte. Raději však počítejte s tím, že obsah, který sdílíte, se stává veřejným. Předvídejte. Při sdílení obsahu se zkuste sami sebe zeptat: „Co by mohlo být pro útočníka užitečné?“ Může to být adresa, číslo bankovního účtu, fotka před nástěnkou, fotka ze zasedací místnosti atp. Pokud něco takového objevíte, zkuste se zamyslet, jak obsah upravit.

Jak může být můj profil zneužit?

Jedním z triků, se kterým se uživatelé setkávají, je odcizení identity. Útočník si na základě veřejně známých informací vytvoří kopii našeho profilu a oslovuje naše přátele, kolegy atp. Snaží se od nich získat další informace nebo odcizit i jejich profily. Odcizené profily pak útočník může využívat k rozposílání škodlivých zpráv či odkazů nebo třeba pro dezinformační kampaně. Na základě zveřejněných informací na profilu a z obsahu, který sdílíme, umí také útočníci udělat databázi slov a využít ji k pokusu prolomit heslo. Říká se tomu slovníkový útok.

Jaké další triky na sítích číhají?

Jednou ze slepých uliček kybernetické bezpečnosti byly tzv. „bezpečnostní otázky“. Uživatelé si vybrali otázku a odpověď na ni mohli využít jako náhradní heslo, pokud své heslo zapomněli atp. Jednalo se třeba o příjmení matky za svobodna nebo jméno oblíbeného učitele ze školy. Jak tušíte, tyto informace jsou dohledatelné. Navíc se na sociálních sítích objevují podvodné ankety či soutěže, které se na zjišťování těchto odpovědí zaměřují. Uživatelé si to leckdy neuvědomí a odpověď na svou bezpečnostní otázku dobrovolně prozradí. Tuto metodu zabezpečení raději nepoužívejte.

Tahák do kapsy

1. Sociální inženýrství	2. Phishing	3. Vishing	4. Baiting
Techniky sociálního inženýrství se soustředí na manipulaci uživatele. Jejich cílem je manipulovat s emocemi a city uživatele tak, aby například prozradil své důvěrné, typicky přihlašovací, údaje.	Může vypadat jako podivná zpráva ze zahraničí i jako rafinovaná výzva z adresy IT oddělení. Maskuje se třeba jako notifikace o přeplněné e-mailové schránce. Je důležité sledovat, kam vedou odkazy.	Podvodná technika, která bývá realizována pomocí telefonního hovoru. Útočníci se maskují například za pracovníky banky nebo klientské podpory. Nenechte se vylekat ani vykolejit.	Oblíbené „flešky“ mohou způsobit mnoho problémů. Útočnici je podstrčí a čekají, kdo „flešku“ připojí k zařízení. Může být opatřená lákavým popisem. Raději se jim vyhněte obloukem.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně