Sociální inženýrství
= snaha podvodem vylákat od důvěřivých uživatelů jejich osobní informace, jako jsou hesla nebo bankovní údaje, případně získat přístup k jejich počítači, za účelem instalace škodlivých programů.
Jsou každodení hrozbou pro všechny.
Jak se mu vyhnout?
Ověřujte adresy webů (vlastník, HTTPS, ...)
Ověřujte autory e-mailu (odpovídající e-mailová adresa)
V současnosti není problém odeslat e-mail z jakékoliv e-mailové adresy bez ohledu na to, zda k ní máte přístup i zda vůbec existuje.
Používejte antivirový program a průběžně ho aktualizujte.
Nikdy nezapojujte do počítače datové nosiče (USB disky, SD karty), u kterých si nejste jisti původem a obsahem.
Omezte manipulaci s osobními informacemi a přihlašovacími údaji na veřejnosti, zvláště na místech s velkou koncentrací lidí.
Nepůjčute nikomu své identifikační karty a nástroje.
Metody:
Blagging
= snaha zmanipulovat oběť naléhavým poutavým příběhem tvářícím, že je pravdivý
např. e-mail od kolegy, že ztratil v zahraničí peněženku a žádá vás o půjčení peněz
Může být opravdu přesvědčivý. Záleží na přípravě útočníka.
Baiting
Je založený na lidské zvědavosti.
Počítá s tím, že někdo otevře odkaz na nějaký web nebo zapojí do počítače nějaký disk ze zvědavosti co je na něm.
Phishing, Smishing, Vishing
= podvodné zprávy (e-maily, SMS, telefonát), jejichž pomocí se snaží útočník získat osobní informace nebo různé přihlašovací údaje oběti (hesla, adresu, ...).
Při použití e-mailu nazýváme tento typ PHISHING, při použití SMS se jedná o SMISHING a při podvodném telefonátu se útočník dopouští VISHINGu.
Často jsou posílány z e-mailových adres, které nepatří tomu za koho se vydávají, i když není problém poslat e-mail i z adresy, k níž nemáte přístup.
Obsahují chyby a překlepy.
Na kontrolu odkazu lze použít napíklad webovou stránku https://screenshotmachine.com.
Spear-phishing
= phishing cílený na určitou osobu
Je připravený přímo na oběť (nebo skupinu obětí), takže je těžší ho rozpoznat.
Obsahuje informace, které se reálně oběti týkají (např. její funkce ve firmě a její oprávnění, náplň práce, ...), což působí přesvědčivěji než normální phishing.
Shoulder Surfing
= metoda založená na fyzickém sledování zadávání údajů ("přes rameno")
Může se vám stát úplně kdykoli a kdekoli. Největší riziko je na místech s velkou koncentrací lidí (např. v MHD).
Pokud máte trochu složitější heslo a píšete rychle, nehrozí vám moc velké riziko, ale hodí se při zadávání přihlašovacích údajů se rozhlédnout kolem sebe a snížit jas.
Tailgating
Útočník dostane na místo s omezeným přístupem nechtěnou pomocí někoho s přístupem
Např. někdo projde dveřmi, které lze otevřít pouze kartičkou za někým, kdo ji má
Tato metoda je používána hlavně ve větších firmách, kde se navzájem neznají všichni zaměstnanci.
Útočník může způsobit velké škody než je odhalen.
Trashing
= získání tajných informací z odpadkového koše (nebo kontejnerů) z pracoviště
Není moc častý. Většina je přesně vytipovaná a naplánovaná, málokterý útok tohoto způsobu je náhodný.
Tajné informace je potřeba vždy zkartovat.
Watering Hole
Jeden z nejsofistikovanějších způsobů
Útočník se slouho připravuje na útok získáváním informací o oběti (footprinting).
Může u toho používat jiné metody sociálního inženýrství, třeba trashing nebo baiting.
Na základě získaných informací najde dobrý způsob pro útok.
např. útočník zjistí kde si oběť objednává jídlo a potom najde zranitelnost na daném webu a využije jí k docílení toho čeho chce docílit.