TOP

KYBEZ

Největší hrozby a zranitelnosti kybernetické bezpečnosti: #1 Sociální inženýrství

Autor obsahu – Klára Dubovecká

Měsíc říjen je každoročně věnován povědomí o kybernetické bezpečnosti. Různé kampaně pomáhají uživatelům zůstat v bezpečí online. V rámci tohoto měsíce připravila platforma KYBEZ pro své čtenáře sérii článků, které mají zlepšit kybernetickou „kondici“ veřejnosti. První z článků se zabývá sociálním inženýrstvím, jeho nejčastějšími typy a tím, jak se před nimi úspěšně chránit.

 

Sociální inženýrství

Co je sociální inženýrství?

Když mluvíme o sociálním inženýrství, nemluvíme ve své podstatě o kybernetickém útoku. Jde spíše o přesvědčování. Sociální inženýrství se zaměřuje na mysl oběti. Cílem podvodníků je získat důvěru, a tím snížit ostražitost. Poté následuje pobídka k nebezpečným akcím – prozrazení osobních údajů (hesla, data narození, údaje o bankovním účtu), kliknutí na škodlivé webové odkazy (na kterých je nainstalován malware) nebo otevření příloh.

 

Proč je sociální inženýrství nebezpečné?

Jeho nebezpečnost spočívá především v tom, že spoléhá na lidskou chybu, nikoli na zranitelnost softwaru a operačních systémů. Chyby lidských uživatelů jsou mnohem hůře předvídatelné, což znamená, že je obtížnější je identifikovat i jim předcházet, než jak je to u průniků založených například na malwaru.

 

Životní cyklus

Zdroj: https://www.imperva.com/learn/application-security/social-engineering-attack/

Techniky útoků sociálního inženýrství

Scareware

Tento typ útoku zahrnuje bombardování obětí falešnými poplachy a smyšlenými hrozbami. Uživatelé jsou podvedeni zprávou, že jejich systém byl infikován škodlivým softwarem, což vede k instalaci softwaru, který nemá žádný skutečný přínos nebo je sám o sobě škodlivý. Scareware je také označován jako klamavý software, podvodný skenovací software a fraudware. Nejběžnějším příkladem scarewaru jsou legitimně vypadající bannery, které se zobrazují nebo vyskakují v prohlížeči při surfování na internetu. Nabízejí buď instalaci, nebo přesměrování na škodlivou stránku, kde se počítač infikuje.

 

Phishing

Phishingové podvody jsou jedním z nejoblíbenějších typů útoků sociálního inženýrství. Jedná se o e-mailové nebo textové kampaně, které v obětech vyvolávají pocit naléhavosti, zvědavosti nebo strachu. To je přiměje k vyzrazení citlivých informací nebo ke kliknutí na odkazy či otevření příloh, které jsou škodlivé. Příkladem může být e-mail zaslaný uživatelům online služby, který je upozorňuje na porušení zásad vyžadující okamžitou akci z jejich strany, například požadovanou změnu hesla. Obsahuje odkaz na nelegitimní webovou stránku – vzhledově téměř totožnou s legitimní verzí – a žádá nic netušícího uživatele, aby zadal své aktuální přihlašovací údaje a nové heslo. Po odeslání formuláře jsou informace odeslány útočníkovi. Útoky kybernetické kriminality, jako jsou pokročilé trvalé hrozby (APT) a ransomware, často začínají pokusy o phishing.

Dalšími příklady phishingu, se kterými se můžete setkat, jsou spear phishing, který se zaměřuje na konkrétní osoby namísto široké skupiny lidí, a whaling, který se zaměřuje na vysoce postavené manažery nebo členy vedení společnosti.

Útočníci v poslední době využívají nárůstu softwaru jako služby (SaaS), například Microsoft 365. Tyto phishingové kampaně mají obvykle podobu falešného e-mailu, který se tváří jako e-mail od společnosti Microsoft. E-mail obsahuje žádost, aby se uživatel přihlásil a obnovil své heslo, protože se v poslední době nepřihlásil, nebo tvrdí, že s jeho účtem je problém, který vyžaduje jeho pozornost. Součástí je adresa URL, která uživatele láká, aby na ni kliknul a problém vyřešil.

 

Watering hole

Útoky typu Watering hole jsou velmi cíleným typem sociálního inženýrství. Útočník nastraží past tím, že kompromituje webovou stránku, kterou pravděpodobně navštěvuje určitá skupina lidí, a zaměřuje se přímo na tuto skupinu. Příkladem může být průmyslová webová stránka, kterou často navštěvují zaměstnanci určitého odvětví, například energetiky nebo veřejných služeb. Pachatelé, kteří stojí za útokem typu watering hole, kompromitují webové stránky a zaměří se na zachycení osob z této cílové skupiny. Po kompromitaci dat nebo zařízení této osoby pravděpodobně provedou další útoky.

 

Podvody s USB

Podvody s připojením USB jsou jedním z nejstarších a nejúčinnějších způsobů průniku, které kyberzločinci používají. V rámci výzkumného projektu, který v roce 2016 provedla Illinoiská univerzita, výzkumníci rozmístili po kampusu 297 USB disků. Disky obsahovaly soubory, které přímo odkazovaly na webové stránky sledované výzkumníky. Díky tomu mohli přesně zaznamenat, kolik uživatelů otevřelo soubory na opuštěných USB klíčích. Z rozdaných disků bylo 290 (98 %) nalezeno a z nich 135 (45 %) mělo otevřené soubory. Pokud tyto disky distribuovala skupina kyberzločinců, mohlo 135 uživatelů svá data zničit nebo za ně požadovat výkupné. V poslední době došlo k výraznému nárůstu těchto podvodů, a to nejen co do počtu infikovaných USB, ale také co do kvality a podvodů, které jsou prováděny s cílem přesvědčit uživatele, aby tato zařízení připojili ke svým počítačům.

 

Statistiky

Národní index kybernetické bezpečnosti (NCSI) je globální index, který měří připravenost zemí na kybernetické hrozby a kybernetické incidenty. Podle nejnovějších výsledků z ledna 2023 se Česká republika v tomto žebříčku umístila na pátém místě se skóre 92,21 bodů ze 100 možných. Přesto je nutné chovat se v online světě ostražitě.

Ze Zprávy o stavu kybernetické bezpečnosti v České republice v roce 2022 vyplývá, že celých 92 % dotázaných organizací uvedlo, že se v roce 2022 stalo předmětem phishingového útoku nebo alespoň pokusu o něj. Což je o dvě procenta více než v roce 2021. Počet podvodných e-mailů se zvýšil o 5 % a dosáhl 89 %.

 

Ochrana a prevence

Riziko spojené se sociálním inženýrstvím lze zmírnit prostřednictvím školení zaměřeného na zvyšování povědomí. Za tímto účelem nabízí NCIB několik online kurzů, které mohou pomoci předcházet útokům. E-learningové kurzy pro děti, dospělé a organizace naleznete zde: https://osveta.nukib.cz/local/dashboard/. Pokud se jedná o organizaci, doporučuje se přizpůsobit školení na míru dané organizaci. Mělo by zahrnovat ukázky způsobů, jakými se útočníci mohou pokusit o sociální inženýrství vašich zaměstnanců. Například simulujte scénář, ve kterém se útočník vydává za zaměstnance banky, který požádá cíl o ověření informací o jeho účtu. Takové školení pomůže naučit zaměstnance, jak se proti takovým útokům bránit, a pochopit, proč je jejich role v rámci bezpečnostní kultury pro organizaci klíčová.

 

Jednotlivci i organizace by měli dodržovat jasný soubor bezpečnostních zásad. Příklady užitečných postupů, které je třeba zahrnout, jsou následující:

  • Správa hesel: pokyny, jako je počet a typ znaků, které musí každé heslo obsahovat, četnost změn hesel a dokonce i jednoduché pravidlo, že zaměstnanci by neměli hesla nikomu sdělovat – bez ohledu na jejich pozici – pomohou zabezpečit informační aktiva.
  • Vícefaktorové ověřování: Ověřování pro vysoce rizikové síťové služby, jako jsou modemové pooly a sítě VPN, by mělo používat vícefaktorové ověřování namísto pevných hesel.
  • Zabezpečený e-mail s ochranou proti phishingu: Vícevrstvá ochrana e-mailu může minimalizovat hrozbu phishingu a dalších útoků sociálního inženýrství. Některé nástroje pro zabezpečení e-mailu mají zabudovaná opatření proti phishingu.
  • Neotevírejte e-maily a přílohy z podezřelých zdrojů: Pokud odesílatele neznáte, nemusíte na e-mail odpovídat. Pokud se vám zpráva zdá podezřelá, ověřte si ji u jiného zdroje (telefonicky nebo na webových stránkách poskytovatele služeb).
  • Pozor na lákavé nabídky: Pokud nabídka zní příliš lákavě, dvakrát si rozmyslete, zda ji přijmete jako skutečnost. Zkuste si téma vygooglovat a zjistit, zda se jedná o legitimní nabídku.
  • Udržujte antivirový software aktuální: Ujistěte se, že jsou zapnuty nebo pravidelně stahovány automatické aktualizace. Prověřte svůj systém na možné infekce.
  • Správa hesel: Pravidla, jako například počet a typ znaků, které musí obsahovat každé heslo, jak často se musí heslo měnit, a dokonce i jednoduché pravidlo, že zaměstnanci by neměli hesla nikomu prozrazovat – bez ohledu na jejich pozici – pomohou zabezpečit informační aktiva.

 

Sociální inženýři manipulují s lidskými pocity, jako je zvědavost nebo strach, aby uskutečnili své plány a vtáhli oběti do svých pastí. Buďte proto ostražití, kdykoli vás vyděsí e-mail, zaujme nabídka zobrazená na webových stránkách nebo narazíte na zatoulaná digitální média. Ostražitost vám pomůže ochránit se před většinou útoků sociálního inženýrství, které se odehrávají v digitální sféře. Na tomto odkazu https://www.nukib.cz/cs/infoservis/doporuceni/1497-socialni-inzenyrstvi/ najdete užitečná doporučení Národního úřadu pro kybernetickou a informační bezpečnost.

 

Reference:
https://aag-it.com/the-latest-cyber-crime-statistics/, https://www.imperva.com/learn/application-security/social-engineering-attack/, https://www.cisco.com/c/en/us/products/security/what-is-social-engineering.html#~how-social-engineering-works