Sociální inženýrství v kontextu kybernetické bezpečnosti

Upraveno 5 prosince, 2023 23:52

Sociální inženýrství je složitý pojem, který se v oblasti IT týká nebezpečných praktik využívaných některými lidmi k získání neoprávněného přístupu k cenným informacím. Ačkoli se to může zdát jako něco z akčního filmu, sociální inženýrství je reálná hrozba, která může ohrozit vaši osobní bezpečnost i bezpečnost vašich dat. Pojďme se ale podívat blíže na to, co je to sociální inženýrství v kontextu kybernetické bezpečnosti. Je to totiž velice zajímavý pojem.

Sociální inženýrství v kontextu kybernetické bezpečnosti

Vysvětlíme si to na příkladu, který je každému z nás blízký: výlet do kavárny. Představte si, že jste si sedli do oblíbené kavárny, a vedle vás sedí neznámý člověk. Začnete si povídat a sdělíte mu, že máte problém s heslem k vašemu e-mailovému účtu. Ten neznámý vás začne ujišťovat, že vám rád pomůže, a ptá se vás, jaké byste chtěli mít heslo. Vy, aniž byste nad tím přemýšleli, mu řeknete nějakou kombinaci, kterou si právě pamatujete. To byl váš první omyl.

Tento neznámý člověk se teď vydá na internet a zkusí použít vaše jméno a e-mailovou adresu k odhalení dalších informací o vás. Možná najde vaše profily na sociálních sítích nebo dokonce informace o vaší rodině. Díky tomu může postupně získat více a více údajů, až nakonec získá dostatek informací, aby se mohl pokusit dostat do vašeho e-mailového účtu. To je sociální inženýrství v praxi.

Jak také může sociální inženýrství vypadat?

Takoví útočníci mohou využívat různé triky, aby získali vaši důvěru a informace. Mohou vás například kontaktovat na sociálních sítích pod falešným jménem, tvářit se jako zaměstnanci důvěryhodných firem a žádat vás o citlivé údaje. Také vás mohou lákat na odkazy, které vypadají nevinně, ale ve skutečnosti obsahují škodlivý software.

Abyste se chránili před sociálním inženýrstvím, je důležité být obezřetní a nedůvěřovat neznámým lidem, kteří žádají o vaše osobní údaje. Měli byste si také pečlivě zvolit silná hesla a nikdy je neposkytovat jiným lidem. V případě pochybností o tom, kdo vás kontaktuje, je vždy nejlepší ověřit si to s dotyčnou společností nebo osobou samotnou.

Jaké techniky sociální inženýrství používá?

Sociální inženýrství je temná stránka moderní digitální doby, kdy útočníci využívají lidské slabosti a důvěřivost k dosažení svých nekalých cílů. Pohled na tyto nebezpečné techniky odhaluje, jak snadno můžeme podlehnout jejich manipulacím a jak naléhavě potřebujeme chránit svou digitální identitu.

• Nátlak a strach: Útočníci často používají taktiku zastrašování, nebo vytváření falešného naléhavého stavu. Může to být tvrzení, že váš účet bude zablokován, pokud neodešlete citlivé údaje, nebo že vás dostanou do nepříjemné situace, pokud neposkytnete co požadují.
• FOMO – Strach z ušlé příležitosti: FOMO (Fear Of Missing Out) je další psychologická taktika, kterou útočníci rádi využívají. Můžou vám například zaslat e-mail o “exkluzivní nabídce” nebo “omezeném množství produktů” a doufají, že se rozhodnete jednat rychle a zbrkle, aniž byste pečlivě zvažovali důsledky. Efekt FOMO je hodně známý např. z prostředí investování.
• Klamání známými institucemi (phishing): Phishingové útoky jsou běžné a mnohdy velmi sofistikované. Útočníci se vydávají za známé instituce nebo služby, jako jsou banky, sociální sítě, nebo e-mailoví poskytovatelé. Zasílají vám falešné e-maily nebo SMS (smishing) s cílem získat vaše přihlašovací údaje, nebo jiné citlivé informace.
• Lákání pomocí slibů a výher: Podvodníci lákají své oběti slibem velkých výher, například v loteriích, nebo soutěžích. Tato slibovaná “odměna” je ale jen záminka pro získání kontroly nad vaším účtem nebo identitou.
• Osvědčené sociální triky: Někteří útočníci využívají obecné lidské atributy, jako je laskavost nebo ochota pomoci. Mohou se na vás obrátit s prosbou o dočasnou půjčku peněz, nebo o pomoc s obchodem, aby získali vaši důvěru. Ve skutečnosti mají ale úplně jiný úmysl. Tuto praktiku útočníci velmi často používají ve smishingu. Nejprve Vám zašlou kód pomocí SMS, který poté po vás chtějí zaslat zpět s různou záminkou. Potvrzovacím kódem obvykle přijdete o část peněz ve službě, kde je kód zaslaný na váš telefon pouze ověřovací mechanismus.

Jak se můžete proti sociálnímu inženýrství bránit?

• Ověřujte identity: Před poskytnutím citlivých informací ověřte totožnost osoby nebo instituce, která je žádá. Můžete použít alternativní kontakty, jako jsou oficiální webové stránky nebo telefonní čísla uvedená na účtech a webových stránkách.
• Budte obezřetní na sociálních sítích: Neposkytujte na sociálních sítích příliš mnoho osobních informací. Útočníci mohou těžit z těchto informací a využít je k provedení útoku.
• Nesdílejte hesla: Nikdy neposílejte svá hesla neznámým osobám nebo na pochybné webové stránky. Firmy nikdy nežádají o heslo e-mailem nebo telefonicky.
• Pozor na e-maily a odkazy: Buďte obezřetní při otevírání e-mailů od neznámých odesílatelů a nesledujte odkazy, které vypadají podezřele. Můžete je ověřit tak, že najedete kurzorem myši na odkaz a podíváte se na URL adresu v dolní části prohlížeče, či e-mailového klienta.
• Aktualizujte software: Ujistěte se, že váš operační systém, antivirový program a ostatní software je vždy aktualizovaný. To vám pomůže chránit se před známými bezpečnostními hrozbami.
• Důvěrnost informací: Věnujte pozornost důvěrnosti vašich osobních informací i informací týkajících se vaší práce. Neposkytujte je neoprávněným osobám nebo veřejně na veřejných místech.
• Dvou faktorové ověření: Používejte dvou faktorové ověření (2FA) pro své účty, pokud je to možné. To poskytne další vrstvu ochrany při přihlašování.
• Zálohování dat: Pravidelně zálohujte důležité soubory a data. V případě útoku můžete data obnovit ze zálohy a minimalizovat ztráty.
• Rozpoznávání varovných signálů: Buďte opatrní, pokud vás někdo žádá o neobvyklé informace nebo ve vás vytváří pocit naléhavosti. Rovněž dávejte pozor na nadměrnou pochvalu nebo osobní informace, které byste nečekali (útočník si je najde např. na sociálních sítích).

Sociální inženýrství v kontextu kybernetické bezpečnosti

Závěr

Jak vidíte, sociální inženýrství je pouze termín pro seznam psychologických technik, kterými útočníci cílí na důvěřivost lidí nebo na jejich slabé stránky. Vyvolávají ve Vás pocit strachu, naléhavosti a vydávají se za falešné identity, které mají být v drtivé většině případů nějakou autoritou (policie, banka, emailový poskytovatel, úřad …). U sociálního inženýrství je nejdůležitější se zhluboka nadechnout, nepodnikat okamžitou akci a použít kritické myšlení. Pokud si nejste jisti, vždy kontaktujte oficiální zákaznickou podporu autority, za kterou se útočník vydává. Ušetří vám to mnoho starostí, problémů i času.