Možná už i vy jste se stali jeho obětí, jen jste o tom nevěděli. Jedná se přitom o vcelku rozšířený a promyšlený podvod.
Na začátek si řekneme, co to vlastně to sociální inženýrství je.
Jednoduše řečeno je to způsob, jak nás přinutit udělat něco, co není v našem nejlepším zájmu. Útočník z nás může dostat například hesla či údaje k bankovnictví. Ve většině případů s námi během svého počínání vůbec nepřijde do osobního kontaktu.
Již v minulosti můžeme sledovat techniky sociálního inženýrství. Útočníci například nechali na viditelném místě ležet USB flash disk nebo CD. Když jsme jako uživatel toto médium našli, začala pracovat naše zvědavost a hned jsme ho zkusili vložit do počítače. Na daném CD nebo flash disku však byl místo dokumentů virus, který se okamžitě rozšířil do celého systému.
Existuje mnoho technik sociálního inženýrství. Zpravidla jsou založené hlavně na nedokonalosti lidského mozku. Rozebereme si ty nejvyužívanější a také si řekneme, jak se proti nim bránit.
V dnešní době nejpoužívanější technika sociálního inženýrství. Útočník si vymyslí nějaký scénář, který se reálně mohl stát, a vloží do něj nějaké naše osobní informace, aby byl příběh realističtější.
Například nám zavolá „zaměstnanec banky“ s tím, že byl náš účet napaden. Aby pro nás byl tento příběh uvěřitelnější, osloví nás například naším jménem nebo na začátku hovoru řekne, že pracuje přesně v té bance, ve které máme založený bankovní účet. Mnohdy ale stačí, aby útočník působil sebejistě, seriózně a měl dostatečně přesvědčivé vyjadřování. Důležité pro něj je dostat nás do časové tísně, bude proto stále opakovat, že „je to důležité“ a „musí se to vyřešit co nejdříve“. Tímto si zajistí, že nebudeme mít čas nad příběhem přemýšlet a budeme se snažit situaci vyřešit co nejrychleji.
V poslední době také útočníci začali využívat méně známého podvodu: volají nám z čísla banky. Jakmile všechny tyto psychologické hry spojíme dohromady, je pro nás jednoduché spolupracovat a poskytnout útočníkovi plnou součinnost.
To bohužel není tak jednoduché. Jedná se o způsob podvodu, který mají útočníci velice dobře nastudovaný, a to včetně odpovědí na případné otázky. Asi nejúčinnější způsob obrany je si všechno ověřit. Oznámíme do telefonu, že si pouze ověříme pravost telefonátu, a zavoláme na reálnou infolinku. V tenhle moment už můžeme na chování útočníka poznat nervozitu, jelikož se nás bude snažit co nejdéle držet na telefonu, anebo nám řekne, že do banky zavolat nesmíme, jelikož se to nesmí nikdo dozvědět.
Na tomto místě je důležité si připomenout, že například pracovníci banky po nás nikdy nebudou chtít osobní informace, jelikož banka všechny tyto údaje již má.
Jak můžeme poznat, že se nejedná o skutečný telefonát z banky? Většinou nám bude volat číslo infolinky, toto číslo ale ve většině bank slouží pouze pro příchozí hovory.
Technika, se kterou už jste se nejspíše setkali, například v e-mailu. Jedná se o metodu, která se využívá pouze na internetu. Funguje tak, že útočník hromadně rozešle spoustu zpráv, ať už prostřednictvím e-mailu nebo třeba Facebooku. V těchto zprávách se nachází odkaz na nějakou stránku, která se tváří jako pravá. Často se k tomu opět využívají banky. Například dostaneme zprávu, že se musíme přihlásit k internetovému bankovnictví, jelikož náš účet byl napaden. Přiložený odkaz se tváří jako reálný odkaz na naše bankovnictví. Na jakékoliv zabezpečené stránce, na které se přihlásíme, jsou všechna data zašifrovaná a je skoro nemožné je odšifrovat. Takto to bohužel nefunguje na stránce útočníka. Vše, co na jeho stránce vyplníme, se odešle a uloží útočníkovi do textového souboru. A on to tak okamžitě může jakkoliv využít.
Nejlepší obrana je v tomto případě důvěra. Nikdy nezadáváme údaje na stránky, kterým nevěříme, a neklikáme na odkazy od uživatelů, které neznáme. Pokud se přesto stane, že falešnou stránku odhalíme až poté, co na ní své údaje zadáme, musíme co nejdříve na pravé stránce heslo změnit. A to samé je nutno udělat i na ostatních stránkách, kde používáme podobné údaje.
Historicky se všechny tyto techniky vyvinuly do podoby, kterou známe dnes. Nevyužívají se ale pouze k podvodům – v jiné formě je může využít například policie, a jak na základě dnešních dat můžeme vidět, jedná se o funkční techniky.
Odebírejte náš newsletter a nenechte si žádný ujít.