Dobrý den.
Sociální inženýrství je nástrojem podvodníků všeho druhu od nepaměti. Je jedno, jestli žádají stokorunu na vlak, vyšší částku – jako nezbytnou půjčku, která zachrání mnohem více, nebo vylákání přístupových údajů do Vašeho bankovnictví někým, kdo hovoří jako nefalšovaný bankovní úředník, který zatímco se Vás na oko snaží ochránit před krádeží peněz z Vašeho účtu, sám Vaše peníze ukradne.
V tom všem můžeme vidět pár podobností. Často tito lidé působí velice věrohodně, mají příjemný hlas, profesionální vystupování, takže nemusí být v prvním momentě hned podezřelí, že jejich profesionalita tkví právě v sociálním inženýrství. Svoji roli mají naučenou velmi dobře a mají spoustu zkušeností v této činnosti, zatímco Vy se s tím setkáváte třeba poprvé.
Je jedno, zda Vás chce někdo podvést v podnikání, půjčce peněz nebo se jinak dostat k Vašemu majetku, a je také jedno, jaký komunikační prostředek zvolí: osobní setkání, telefonát, inzerát nebo elektronickou formu komunikace, jako SMS či e-mail. Principy jsou stále stejné.
Nám teď ale jde především o působení zločinců v online světě, kteří formy sociálního inženýrství snad dotáhli k dokonalosti.
Čím to? Především proto, že o sobě sami necháváme v online světě spoustu zneužitelných dat. Informace a příspěvky na sociálních sítích, osobní údaje v e-mailech, videosekvence na Youtube… to všechno mají k dispozici nejen naši přátelé, ale také podvodníci, kteří se za ně mohou snadno vydávat.
Donutit Vás k vyzrazení přístupových údajů k bankovnímu účtu nemusí být jednoduché, ale ve tři hodiny ráno, se znalostí spousty okolností Vašeho života a jejich bohatými zkušenostmi to všechno může proběhnout jinak.
Útočníkům ale často stačí mnohem méně: třeba jen donutit Vás kliknout na nějaký odkaz v e-mailu. A tady jsme na tenkém ledě opravu všichni. E-mailová komunikace může být podvržena. Může do ní vstupovat útočník v jejím průběhu – takže si v podstatě převezme slovo od Vašeho partnera a pokračuje v komunikaci sám. Nebo jeho zprávu pozmění.
Je důležité toto odlišit od běžného phishingu, který jede naslepo – kdy útočník nejde po Vás, ale čeká, kdo se chytí. Útok za pomoci sociálního inženýrství zneužívá další informace, které o Vás ví, takže tím značně zvyšuje pravděpodobnost svého úspěchu.
Vzpomínáte na klíče a zámky, které jsem tady v minulých dílech seriálu zmiňoval? Pokud je dáme někomu do ruky (bez ohledu na to, jak nás přesvědčil, že mu je máme předat), máme prostě smůlu.
Bez ostražitosti to nepůjde a s důvěřivostí daleko nedojdeme.
Technických prostředků proti tomuto moc nenajdete. Naše ochrana proti pokročilým hrozbám Heimdal Threat Prevention Home nás ochrání před podvrženou stránkou, kterou nám útočník poslal v e-mailu – a to nás může zachránit. Doufám tedy, že jste si ji nainstalovali už někdy dříve. Také doufám, že na svém PC nejste přihlášeni s administrátorskými právy. To byste při nechtěném předání klíčků od jedněch dveří mohli předat také všechny ostatní klíče. Věřím, že se chráníte nejen naší pokročilou ochranou, ale také svojí bdělostí. A znalostmi nabytými z těchto videí a z příručky Informační bezpečnost pro domácí uživatele a malé kanceláře.
Přeji hezký den a bezpečí online.