Vysoká škola ekonomická v Praze
Fakulta informatiky a statistiky
Povědomí o sociálním inženýrství
BAKALÁŘSKÁ PRÁCE
Studijní program: Aplikovaná informatika Studijní obor: Aplikovaná informatika
Autor: Filip Hanus
Vedoucí bakalářské práce: Mgr. Ing. Tomáš Sigmund, Ph.D.
Praha, Květen 2021
Poděkování
Rád bych touto cestou poděkoval mému vedoucímu bakalářské práce panu Mgr. Ing.
Tomáši Sigmundovi, Ph.D., a to za projevenou ochotu, odborné vedení a cenné připomínky.
Dále patří díky všem zúčastněným respondentům.
Abstrakt
Autor této práce se zabývá povědomím o sociálním inženýrství a útocích s ním spojených.
Cílem práce je porovnat míru povědomí o sociálním inženýrství z pohledu dvou rozdílných generací, zda je mladší generace více informovaná oproti té starší. Pokud porovnání potvrdí, že mladší generace je více informovaná, autor se zamyslí nad doporučením, jak povědomí starší generace o tomto tématu zvýšit. Vymezeny byly následující pojmy: sociální inženýrství, sociotechnický útok, vysvětleny základní techniky a prvky sociotechnických útoků. Následně byla popsána doporučená bezpečnostní opatření pro rozpoznání a obranu proti takovému útoku. Dále pomocí online dotazníkového šetření autor porovná míru povědomí o sociálním inženýrství mladší a starší generace. Vybrané otázky a odpovědi získané z dotazníku musely být zpracovány a obodovány tak, aby se dala vyhodnotit míra povědomí o sociálním inženýrství. Doplňujícím cílem bylo zjistit, zda existuje závislost mezi počítačovou gramotností respondentů a počtem získaných bodů z dotazníkového šetření. K tomuto porovnání bylo získáno 145 odpovědí. Výsledky ukázaly, že mladší generace má větší povědomí o sociálním inženýrství než ta starší, rozdíl činil 14 procentních bodů.
Testování statistické hypotézy prokázalo silnou přímou závislost mezi získaným počtem bodů a úrovní počítačové gramotnosti. Průzkumem bylo zjištěno, že většina zúčastněných by využila možnost získat znalosti o sociálním inženýrství a ochraně proti němu. Z uvedených výsledků autor doporučuje více informovat společnost, především starší generaci o tomto tématu a hrozbách s ním spojených, například pomocí televizních spotů nebo informačních webů bankovních institucí, které často čelí sociotechnickým útoků proti sobě nebo svým klientům.
Klíčová slova
Sociální inženýrství, sociotechnik, sociotechnický útok, manipulace, bezpečnostní doporučení, důvěra
JEL klasifikace
Z13
Abstract
Author of this bachelor deals with general knowledge of social engineering and associated attacks. The main goal of this bachelor thesis is to compare awareness about this problem among both the younger and older generation. The major tool to do this is a questionnaire which helps to harvest needed data. Secondary it will show if people are interested in getting information about the topic. The following terms were specified: social engineering, social- technical attack, and safety recommendations against these kinds of attacks. Additionally, the relation between the computer literacy of respondents and their acknowledgement of social engineering was identified. For that porpoise 145 answer sheets were collected.
Results showed that the younger generation is more familiar with the term “social engineering.” Statistic hypothesis testing pointed out strong dependency on the number of points gained and computer literacy. An only a small percentage of respondents actually attended any kind of training course on the topic, but most of them would like to take this opportunity if it is possible in the future. The author supports the idea that it is convenient to educate the older generation on the topic and its threats. TV spots and internet websites could be used to manage this. Also, banking institutions should join in the campaign as they are often targets of these attacks.
Keywords
social engineering, social engineer, sociotechnical attack, manipulation, safety recommendations, confidence
JEL Classification
Z13
Obsah
Úvod ... 9
1 Sociální inženýrství ... 11
1.1 Sociotechnik ... 12
1.1.1 Dobré účely ... 12
1.1.2 Špatné účely ... 13
1.2 Oběť ...14
1.3 Techniky k vytvoření vztahu mezi útočníkem a obětí ...14
1.3.1 Techniky podle Mitnicka ... 15
1.3.2 Budování důvěry ve vztahu ... 15
1.4 Šest klíčových principů sociálního inženýrství ...16
2 Sociotechnický útok ...19
2.1 Rozdělení kybernetických útoků ...19
2.2 Klasifikace sociotechnických útoků ... 21
2.3 Cíle sociotechnických útoků... 22
2.4 Jednotlivé kroky sociotechnických útoků ... 22
2.4.1 Shromažďování informací ... 22
2.4.2 Model Kevina Mitnicka ... 23
2.4.3 Ontologický model Moutona a dalších ... 24
2.4.4 Model podle Ozkaya ... 25
2.5 Metody útoku ... 26
2.6 Techniky sociokybernetických útoků ... 27
2.6.1 Phishing ... 27
2.6.2 Spear Phishing ... 28
2.6.3 Vishing ... 28
2.6.4 Baiting ... 28
2.6.5 Pharming ... 29
2.6.6 Scareware ... 29
2.6.7 Smishing ... 29
2.6.8 Watering hole ... 30
2.6.9 Tailgating ... 30
2.6.10 Sextortion ... 31
2.7 Příklady sociotechnických útoků ... 31
2.7.2 Útok na Yahoo z roku 2014 ... 32
2.7.3 Útok na Českou poštu v roce 2013 ... 32
3 Obrana před kybernetickými útoky ... 34
3.1 Bezpečnostní doporučení o pohybu v kybersvětě od NÚKIB ... 34
3.2 Bezpečností doporučení pro společnosti ... 36
3.3 Bezpečnostní doporučení před sociotechnickými útoky ... 36
3.4 Doporučení pro oběti útoku ... 37
4 Průzkum povědomí o sociálním inženýrství ve společnosti ... 38
4.1 Cíle průzkumu ... 38
4.2 Provedení a vyhodnocení průzkumu ... 38
4.2.1 Stanovení hypotézy ... 38
4.2.2 Předzpracování dat z dotazníku ... 38
4.2.3 Data získaná dotazníkovým šetřením ... 39
4.3 Vyhodnocení průzkumu ... 44
4.3.1 Porovnání míry povědomí o sociálním inženýrství ... 44
4.3.2 Závislost mezi počítačovou gramotností a počtem získaných bodů ... 44
Závěr ... 46
Použitá literatura ... 48 Přílohy ... I Příloha A: Otázky a odpovědi z dotazníku ... I
Seznam obrázků
Obrázek 1 – Šest klíčových principů sociálního inženýrství (The First Global Cybersecurity
Observatory 2021) ... 17
Obrázek 2 - Rozdělení kybernetických útočníků podle motivace (Kolouch et al. 2013) ... 21
Obrázek 3 - Sociotechnický cyklus (Autor) ... 23
Obrázek 4 - Ontologický model Moutona a dalších (Mouton et al. 2016) ... 24
Obrázek 5 - Model podle Ozkaya (Ozkaya 2018) ... 25
Obrázek 6 - Útok s využitím smishingu (Autor) ... 30
Obrázek 7 - Podvodný email (Lazarevič 2013) ... 32
Obrázek 8 – Podvodná stránka (Lazarevič 2013)... 33
Obrázek 9 - Pohlaví respondentů (Autor) ... 40
Obrázek 10 - Věk respondentů (Autor) ... 40
Obrázek 11 - Práce v oblasti IT (Autor) ... 40
Obrázek 12 - Nejvyšší dosažené vzdělání respondentů (Autor) ...41
Obrázek 13 - Počítačová gramotnost respondentů (Autor) ...41
Obrázek 14 - Přehled používaných bezpečnostních doporučení respondenty (Autor) ... 43
Obrázek 15 - Počet respondentů, kteří se zúčastnili školení na téma sociální inženýrství (Autor) ... 43
Obrázek 16 – Zájem o získání znalostí (Autor) ... 44
Obrázek 17 – Využití možnosti získání znalostí (Autor) ... 44
Obrázek 18 - Graf regresní přímky (Autor) ... 45
Obrázek 19 - Výsledek regresní analýzy (Autor) ... 45 Obrázek 20 - Phishingový útok (Dostupné z: https://www.bezpecnebanky.cz/upozorneni- na-novy-phishingovy-utok-na-klienty-ceske-sporitelny) ... III
Úvod
Sociální inženýrství je v dnešní době velkým problémem všech lidí a společností. Hlavním důvodem je nevědomost lidí, jaké důsledky může sociotechnický útok zanechat, a v mnoha případech si zpočátku neuvědomují, že se stali obětí útoku, natož aby zaznamenali nějaké důsledky. Lidé žijí v době, kdy jsou odkázáni na pomoc počítačů, informačních systémů a online prostředí. Jsou úměrně závislí na těchto pomocnících jak v osobním, tak profesním životě. Když k tomuto aspektu přidáme prostředí, ve kterém většina lidí žije, jsou z nich snadné potencionální cíle sociokybernetického útoku. Prostředí dnešního světa klade na lidi vysoká očekávání, povinnosti, vystavuje je velkému tlaku v zaměstnání a tlaku společnosti. Lidé žijí v uspěchané době, kdy čas jsou peníze, v době plné stresu a strachu.
Všechny tyto aspekty vedou k významnému ovlivňování lidského myšlení, rozhodování, využívání zdravého rozumu, opatrnosti a důvěřivosti. To jsou ideální podmínky pro využívání metod a technik sociálního inženýrství za účelem poškození lidí, společností nebo získaní jakýchkoliv informací a dat.
Velký vliv na rozvoj a rozšíření sociálního inženýrství má každoroční nárůst lidí využívající internet, ať už k osobním či profesním účelům. Tento nárůst nám dokazují data z webového portálu (DATAREPORT 2021), podle kterého v lednu v 2021 používalo internet 4,66 miliard lidí. To je oproti roku 2020 nárůst o 320 milionů lidí. Plno lidí, co aktivně užívají internet k osobnímu či profesnímu životu, vůbec neví, jaké nebezpečí internet představuje. Pokud bychom se zaměřili jenom na Českou republiku, tak podle stejného webového portálu (DATAREPORT 2020) používalo v roce 2020 internet 9,31 milionů lidí, což je skoro 87%
obyvatel, v dnešní době se číslo blíží k 90% celé populace
Sociální inženýrství nevyužívá pouze technické dovednosti útočníka, ale hlavním faktorem úspěchu a neúspěchu je útočníkova psychologie. To, jaký je manipulátor, jak dokáže lidi přesvědčovat, jak v lidech vzbudit pocit důvěry. Pokud toto útočník dokáže, nic mu nezabrání v tom, aby mu oběť poskytla to, co žádá. V mnoha případech oběť ani neví, co se právě stalo, že útočníkovi poskytla informace, které jí nebo společnosti mohou uškodit a ani se to nikdy nedozví.
Jelikož jsou útoky sociálního inženýrství cílené především na lidi, je velice těžké se proti nim bránit. Útočník využívá slabin lidské povahy, díky čemuž jsou útoky natolik úspěšné.
Společnosti před útoky neubrání ani nejlepší technologické zabezpečení, protože přístupovým bodem do firemního systému nebo struktury je právě člověk. Pokud tato osoba nemá potřebné znalosti a dovednosti získané například na odborném školení, jsou jeho šance na rozpoznání a zabránění útoku minimální. Počet sociotechnických útoků každým rokem stoupá a je potřeba je umět rozpoznat a bránit se proti nim.
Autorovou motivací výběru tohoto tématu bakalářské práce byla semestrální práce v kurzu 4SA331 Fenomén myšlení pro manažery. Kurz vedl pan Mgr. Ing. Tomáš Sigmund, Ph.D., který je zároveň vedoucím této bakalářské práce. Semestrální práce se zabývala sociálním inženýrstvím a poskytla autorovi náhled do této problematiky, na základě čehož si vybral toto téma i pro svou bakalářskou práci.
Cílem práce je porovnat míru povědomí o sociálním inženýrství z pohledu dvou rozdílných generací, zda je mladší generace více informovaná oproti té starší. Pokud porovnání potvrdí, že mladší generace je více informovaná, autor se zamyslí nad doporučením, jak povědomí starší generace o tomto tématu zvýšit. Doplňujícím cílem bylo zjistit, zda existuje závislost mezi počítačovou gramotností respondentů a povědomím o sociálním inženýrství.
K cílům této práce je postupováno jednotlivými kroky. Nejprve je prostudovaná odborná literatura. Mezi hlavní literaturu patří knihy od Kevina Mitnicka a Erdala Ozkaye. Na základě této literatury je vysvětleno sociální inženýrství a jsou identifikované jeho základní pojmy. V další kapitole jsou popsány sociotechnické útoky a vysvětleny techniky sociokybernetických útoků. Třetí kapitola pojednává o obraně před těmito útoky a jsou zde popsaná doporučení, která mají pomoci rozpoznat sociotechnický útok a ochránit před ním.
Poslední kapitola se zabývá cílem práce, a to průzkumem povědomí o sociálním inženýrství ve společnosti a porovnání míry povědomí mladší a starší generace. Průzkum byl proveden online dotazníkovým šetřením. Porovnání proběhlo pomocí průměrného počtu získaných bodů z dotazníkového šetření dané generace.
Výsledkem práce je informace o tom, že mladší generace má větší povědomí o této problematice. Z tohoto autor více informovat starší generaci o tomto tématu a hrozbách s ním spojených, například pomocí televizních spotů nebo informačních webů bankovních institucí, které často čelí sociotechnickým útokům proti sobě nebo svým klientům.
1 Sociální inženýrství
Sociální inženýrství je pojem, pod kterým se skrývá manipulace a přesvědčování za účelem vzbuzení důvěry oběti, že útočník je ten, za koho se vydává, a následné získaní informací od oběti.
V oboru informační technologie je sociální inženýrství název pro styl psychologicky vedené manipulace. (AIRA GROUP 2020)
Sociální inženýrství můžeme nazvat také jako sociotechnika. Oba tyto pojmy nejlépe popisuje (Mitnick 2003) Sociální inženýrství neboli sociotechnika je ovlivňování a přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využít lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby získal hledané informace.
Z tohoto důvodu se sociální inženýrství stává velkou zbraní. Je těžké rozlišit, kdo s vámi právě komunikuje, pokud žijete ve spěchu a nemáte čas na prověření, zda je dotyčný tím, za koho se vydává. Když útočník dovede navodit pocit důvěry, má oběť tam, kde chce.
Je založeno z velké části na lidské hlouposti, důvěřivosti a na specifických způsobech lidského rozhodování, známých jako kognitivní chyby úsudku. V knize Umění klamu Kevin Mitnick napsal, pouze dvě věci jsou nekonečné, vesmír a lidská hloupost. (Mitnick 2003).
Toto tvrzení je známé především od Alberta Einsteina.
Při sociokybernetickém útoku se za účelem získání informací, čím dál častěji používají techniky sociálního inženýrství, a to z důvodu, že ostatní kybernetické útoky musí prolomit drahé zabezpečení serverů, antiviry a firewally, což bývá velice náročné. Sociální inženýrství se zaměřuje především na nejslabší článek v kybernetické bezpečnosti, a to je uživatel, jelikož není naprogramovatelný a řídí se na základě svých zkušeností, znalostí a emocí.
Sociotechnik nevyužívá technické dovednosti k prolomení hesel nebo nabourání se do serverů. Na rozdíl od informačního systému a informačních technologií nemají uživatelé žádnou ochranu, která by sociotechnika zastavila. Jedinou možností ochrany jsou oni sami.
Uživatel vždy pracuje s informacemi a je na internetu v otevřeném prostoru. Pracuje s tolika informacemi, že mu některé mohou přijít bezcenné, ale opak je pravdou. S důkladnou přípravou sociotechnika je sebemenší informace důležitá pro další fázi jeho útoku. (Ozkaya 2018)
Sociální inženýrství využívá logiky a velmi propracovaných modelů, které sociotechnik při útoku používá. To ovšem neznamená, že se stačí naučit dané modely a rázem je z člověka zdatný sociotechnik. Každý útok se vyvíjí jedinečně a záleží na tom, jak oběť reaguje, a jak sociotechnik umí pracovat s emocemi a psychologií oběti. Vždy je hlavní manipulace a důvěra. Sociální inženýrství zahrnuje vytváření celých scénářů, mnohdy i několika scénářů o tom, jak se bude útok vyvíjet. Dříve byly k útokům používány především telefony, v dnešní době jsou útoky vedeny hlavně přes internet. (Watson et al. 2014)
Mnoho kybernetických útoků vychází z technik a metod sociálního inženýrství. Například v roce 2014 byl napaden poskytovatel emailových služeb Yahoo!. Za použití technik a metod sociálního inženýrství se útočníci dokázali dostat přes sofistikované bezpečnostní nástroje a získat data o více než 500 milionech uživatelů. Tento útok na tak velkou firmu v oblasti informačních technologií pouze dokládá to, jak nebezpečné sociální inženýrství je, a jakou představuje hrozbu pro takto velké a zabezpečené společnosti natož pro obyčejného člověka využívající internet. (Ozkaya 2018)
1.1 Sociotechnik
Jde o útočníka, který k manipulaci s obětí využívá velké množství psychologických technik.
Tyto techniky jsou popsané v podkapitolách 1.3 a 1.4, zahrnují emoční stavy až po profilování osobnosti oběti. Sociotechnik je většinou dokonale připraven na mnoho situací, které mohou nastat v různých fázích útoku. Pokud nastane situace, na kterou není útočník připraven, musí umět rychle a vhodně improvizovat tak, aby stále působil důvěryhodně a mohl s obětí manipulovat pro dosažení svého cíle. Proto je velice těžké rozpoznat, že se jedná o útok. Jeho útoky jsou vedeny na konkrétní informace. (Mitnick 2003)
Sociální inženýrství je používáno v mnoha podobách, v různých profesích a v různých institucích. Sociotechnik může být v dnešní době kdokoliv, může vypadat přátelsky i nepřátelsky. Podle Ozkaya (2018) jsou definovány následující skupiny lidí využívajících sociálního inženýrství. Tyto skupiny lidí využívají technik sociálního inženýrství, a to jak k dobrým, tak špatným účelům.
Tato bakalářská práce pojednává o sociálním inženýrství využívaným ke špatným účelům, které je velkým problémem dnešní doby, neboť způsobuje problémy lidem i organizacím.
1.1.1 Dobré účely
Právníci a psychologové
Lidé vykonávající povolání právník nebo psycholog musí umět pracovat s lidskou myslí.
Součástí jejich práce je dostat se do určitého stavu mysli člověka tak, aby mohli s jeho myslí manipulovat. Techniky, které používají, jsou často stejné nebo hodně podobné těm, které využívají sociotechnici. Využívají je často s úmyslem dané osobně pomoci nebo alespoň psychicky ulevit. Na základě použití těchto technik dovedou z lidí získat informace, které by v mnoha případech nesdělili nebo dokáží vést výslechy směrem, kterým potřebují tak, aby z vyslýchaného dostali konkrétní informace.
Vláda
Vláda využívá sociálního inženýrství k posílení své moci tak, aby měla větší kontrolu nad obyvateli dané země. Využívá k tomu dva důležité prvky sociálního inženýrství, kterými jsou autorita a nedostatek. Lidé jsou od přírody nastavení podřizovat se autoritám a vláda je ve většině zemí tou největší autoritou. Druhým prvkem, který vláda využívá je nedostatek,
například informací, jídla nebo peněz. Vláda používá nedostatek k tomu, aby občané byli poslušní, jako tomu bylo například v bývalých komunistických zemích nebo současných jako je Rusko, Čína a Severní Korea.
Náboroví pracovníci
Tuto pozici ve společnostech vykonávají lidé, kteří jsou velice podobní sociotechnikům. Své schopnosti ale nevyužívají se špatným záměrem. Náborář musí umět v poměrně krátkém čase získat informace o charakteru uchazeče, podle kterých se musí rozhodnou, zda je z hlediska charakteru vhodným uchazečem.
Penetrační testeři
Využívají technik sociálního inženýrství při testování zabezpečení systémů, softwarů a společností. Penetrační testeři nikdy nevyužijí získané informace k osobnímu prospěchu nebo k poškození cíle.
1.1.2 Špatné účely
Podvodníci
Podvodník vždy ví, jak přilákat lidi a upoutat jejich pozornost. Většinou jim něco nabídne a přesvědčí je, že je daná věc výhodná, nebo přijde s výhodnou nabídkou, jak si vydělat peníze.
Podvodníci cílí na velké množství lidí, kdy každého o něco připraví a v součtu následně získají mnohem více, než kdyby se zaměřili jen na jednu oběť. Přesvědčují a manipulují s lidmi tak, aby z nich získali informace nebo finance
Marketéři
Jsou to skvělí manipulátoři, jenž dokáží jedince přesvědčit, aby kupoval věci, které vůbec nepotřebuje. Tím vytvoří celkovou poptávku po daném produktu. V dnešní době marketéři shromažďují všechny možné informace za účelem ovlivnění potenciálních zákazníků při rozhodování o nákupu produktů. Jejich hlavním účelem je zisk.
Špióni
Dokonale ovládají techniky sociálního inženýrství. Jejich hlavním uměním je přesvědčování. Klamou lidi tak, aby jim uvěřili, že jsou ti, za koho se vydávají. Umějí velice dobře shromažďovat informace tak, aby nebudili podezření, že se jedná právě o špióna.
Tento druh lidí využívají převážně tajné vládní organizace.
Zloději identit
Krádež identity můžeme nazvat jako krádež života. Nejedná se pouze o krádež jména, bankovního účtu nebo adresy, ale jde o krádež života oběti za účelem využití ukradené identity k většímu zločinu, k odcizení peněz nebo cenných informací. Zloděj identity postupem času získává informace o oběti a o jejím okolí, které následně využívá, aby získal
přízeň oběti. Poté vyčká na její zranitelný stav a začne se za oběť vydávat tak, aby věrohodně vystupoval pro okolí.
Podle Hadnagyho a Wilsona (2010) sociálního inženýrství využívají i další skupiny lidi, také pro špatné účely.
Hackeři
Jelikož v dnešní době jsou softwary, systémy a výpočetní techniky více a více zabezpečené, je pro hackery těžší se do těchto zařízení a systémů dostat za pomoci tradiční techniky vzdáleného hackování. Proto mnohem častěji používají kombinaci technických schopností s prvky sociálního inženýrství.
Nespokojení zaměstnanci
Velkou hrozbou pro citlivá data jsou nespokojení zaměstnanci, kteří chtějí uškodit společnosti tak, aby nebylo poznat, kdo za útokem stojí. Často ničí datová zařízení, nebo odcizí data a svedou to na technickou závadu. Čím více je zaměstnanec nespokojený, tím více je pro něj snadné něco zničit či ukrást. Využívají při tom technik sociálního inženýrství tak, aby nebudili podezření, že zrovna oni mají na svědomí tyto činy.
1.2 Oběť
Obětí sociokybernetického útoku se může stát kdokoliv. Většinou se tak stane pomocí internetu, avšak to není to jediné přenosové medium, které sociotechnici využívají. Často svůj útok provádí pomocí telefonu, a proto je na světě plno společností a jednotlivců, kteří se stali obětí sociotechnického útoku a přitom o tom ani neví.
Pokud sociotechnik útočí na společnost, vybírá si pečlivě jednotlivé oběti a postupně se dostává k cíli, což jsou u společností většinou informace, které mají někdy větší hodnotu než samotné peníze. Pokud si útočník vybírá pouze jednotlivce, používá opakovaně stejný postup a nedělá jednotlivci takové škody, protože cílí na více lidí. Typický je útok na internetové bankovnictví klientů bank.
Společnosti by se měly více věnovat školení a testování svých pracovníků. V mnoha případech je školení ve společnostech pouhou nutností. Školení nejsou správně nastavená, fungují formou teorie a testovacích otázek, které si může pracovník tzv. naklikat. Pro větší efektivitu školení je nutné pracovníky testovat v reálném prostředí pomocí falešných útoků.
1.3 Techniky k vytvoření vztahu mezi útočníkem a obětí
Jak již bylo zmíněno, hlavním faktorem sociálního inženýrství je práce s myslí a psychikou.
Útočník musí s obětí vytvořit zvláštní druh vztahu tzv. rapport. Tento vztah je založený na pocitu důvěry a porozumění. (Hadnagy a Wilson 2011)
1.3.1 Techniky podle Mitnicka
Pokud bychom chtěli zjistit, které techniky se používají k vytvoření vztahu mezi útočníkem a obětí, je nejlepší si přečíst knihu Umění klamu. Jsou v ní podrobně popsány sociokybernetické útoky, na základě kterých můžeme podle Mitnicka (2003) definovat následující techniky k vytvoření vztahu mezi útočníkem a obětí:
Reciproční altruismus
Je založený na výměně informací. Sociotechnik je připraven na situaci, kdy mu oběť nechce sdělit požadovanou informaci. V tu chvíli sociotechnik sdělí oběti nějakou jinou informaci, která může být pravdivá nebo smyšlená, avšak musí zaujmout. Tím vzbudí pocit důvěry a oběť je následně uvolněnější a otevřenější s útočníkem vyměňovat informace.
Vstřícnost
Lidská mysl je nastavená na pomáhání slabším. Tento fakt dokládá skutečnost ve sportu, podporovat slabší nebo ty, co prohrávají. Této skutečnosti sociotechnik dokonale využívá.
Na oběť se snaží působit bezmocně, zranitelně a nevinně. Tím ji přivede do stavu, kdy mu bude chtít pomoct.
Další, co útočník předstírá, je strach nebo zlost. To na oběť funguje úplně stejně jako v předešlém bodě. Útočníkovi se bude snažit pomoct a být k němu vstřícná.
Ego
Přesvědčit někoho, že je lepší než vy, není vůbec těžké, a přesto je to nejtěžší metoda vytváření vztahu. Mnoho lidí nedovede snížit své ego pod úroveň ega druhého člověka a zůstat nad věcí. Útočník se tak spoléhá na egoismus oběti. Zahrnuje jí komplimenty, které fungují jako prostředek pro obměkčení vztahu. Poté je vztah mnohem důvěrnější a otevřený.
Sympatie a empatie
K tomu, aby sociotechnik mohl s obětí lépe manipulovat, využívá sympatii a empatii. Oběť od útočníka vycítí porozumění a pochopení. Tím pachatel vytváří silnější pouto a důvěrnější vztah, který poté zneužije ve svůj prospěch.
Quid pro quo
Znamená to jedno namísto druhého. Lidově řečeno něco za něco, jde o jakýsi výměnný obchod. Útočník nabídne oběti laskavost nebo službu výměnou za to, co útočník požaduje.
Většinou se jedná o potřebné informace. (Dreeke 2011)
1.3.2 Budování důvěry ve vztahu
Když se na budování vztahu mezi obětí a sociotechnikem podíváme z pohledu důvěry, je pro útočníka důležité umět získat důvěru oběti. Podle Duttona (2010) SPICE modelu se pro vytvoření důvěry používají následující techniky:
Jednoduchost
Zpráva, která je člověku předkládána, musí byt krátká a jednoduchá. Pro člověka je taková informace rychleji zpracovatelná a mnohem více uvěřitelná. Pokud je zpráva složitá a dlouhá, oběť jí hůře uvěří a bude hledat pochybnosti.
Vlastní zájem
Pro získání důvěry člověka je nutné ho přesvědčit, že jedná ve vlastním zájmu. Pokud bude vědět, že může něco získat, bude mít zájem druhé osobě vyhovět a udělat pro ni vše, co žádá.
Lidská chamtivost nezná meze, proto je více než jisté, že daná osoba bude chtít získat cokoliv, aniž by pro to musela obětovat své úsilí.
Neobvyklost
V dnešní době, ve které si každý hledí jen sám sebe, je poměrně těžké získat pozornost cizího člověka. Jedním z nejjednodušších způsobů, jak toho docílit, je dostat danou osobu do situace, která pro ní není obvyklá a vyvádí jí ze svého stereotypu. V této situaci je lehké získat její pozornost.
Sebevědomí
Sebevědomí je jedním z nejdůležitějších prvků pro budování důvěry. Přirozené sebevědomí dodává pocit jistoty a nenechává prostor pro pochybnosti. Pokud osoba, která chce získat důvěru, působí nervózně a nevěří si, je velká pravděpodobnost, že bude odhalena a důvěru nezíská.
Empatie
Projev empatie posiluje vztah a buduje důvěru. Pokud člověk cítí, že někomu na něm zaleží a zajímá se o něj, nebo zájem alespoň předstírá, je k němu otevřenější a důvěrnější. Je potřeba neprojevovat empatie příliš přehnaně, nebo to bude na danou osobu působit s opačným efektem.
1.4 Šest klíčových principů sociálního inženýrství
Lidé jsou od přírody sociální. Jejich rozhodování je silně ovlivňováno ostatními lidmi.
V dnešní době jsou lidé zahlcováni informacemi a hledají způsoby, jak si ušetřit čas, a proto je sociální inženýrství tak účinné. V této podkapitole bude popsáno Cialdiniho (2012) šest klíčových principů přesvědčování. Tyto principy ovlivňují vzájemné působení lidí a lze je použít jako nástroj k přesvědčování.
Principy přesvědčování podle Cialdiniho (2012) (viz obrázek 1) jsou:
Obrázek 1 – Šest klíčových principů sociálního inženýrství (The First Global Cybersecurity Observatory 2021)
Vzájemnost
Lidé chtějí vždy oplatit druhému laskavost. Toto lidské nastavení se dá dokonale použít k přesvědčování. Všichni chtějí být spravedliví a přijetí daru nebo laskavosti spouští neurologickou reakci v oblasti mozku spojené s rozhodováním. (Kelley 2020)
Skvělým příkladem je pozvání na oběd od kamaráda. Pokud mi můj kamarád koupí oběd, budu mít časem nutkání mu ho koupit také, abych byl spravedlivý.
Nedostatek
Lidská mysl je nastavena na upřednostňování věcí nebo služeb, kterých je nedostatek a klást jim větší hodnotu. Čím je něčeho méně, mají lidé tendenci to považovat za vzácné a více žádoucí. Můžeme tedy říct, že nedostatek zboží nebo služeb zvyšuje jejich poptávku. (Kelley 2020)
Ideálním příkladem jsou cestovní agentury, které nabízejí zájezdy jen po omezenou dobu a uvádějí poslední volná místa, díky čemuž přilákají potencionální zákazníky.
Autorita
Lidská mysle je nastavená na následování autorit. Pro lidi je mnohem jednodušší následovat odborníky, kteří v nich vzbuzují důvěru. Může se jednat o lékaře, učitele, policii nebo politiky, kteří mají obrovskou kontrolu nad chováním lidí. (Lessing 2020)
Typický příklad autority je učitel na základní škole. Žáky ovlivňuje svými názory a oni jeho názory přijímají.
Závazek a konzistence
Lidé mají tendenci dodržovat dohody, ke kterým se zavážou ústně či písemně. Pokud se tak zavážou k myšlence nebo nějaké službě, je pravděpodobné, že svůj závazek splní, protože se k tomu zavázali dobrovolně. Jakmile se člověk k něčemu zaváže, je nutné to dodržet.
Příkladem jsou hackeři, kteří přimějí své oběti si myslet, že se přihlásily k nějaké službě nebo k předplatnému. Poté je donutí, aby svůj závazek plnily pomocí platebních a přihlašovacích údajů.
Záliba
Pro člověka je mnohem jednodušší říct ano osobě, kterou má rád. Pokud ho přítel požádá o pomoc, je pro člověka mnohem snažší říct ano, ovšem ještě snažší je říct cizímu ne.
Díky tomuto faktu se často hackeři vydávají za blízké osoby oběti tak, aby jim od začátku oběť věřila a chtěla hackerovi pomoct.
Sociální důkaz
Lidé následují to, co vidí u ostatních, obzvlášť jde-li o důvěryhodnou osobu používající stejný produkt. Pokud je něco na sociálních sítích moderní, následují trend miliony lidí, protože když to dělají ostatní, musí to daný člověk dělat také, aby si nepřipadal jiný.
Tento princip používají hackeři ve spojitosti s přesvědčováním oběti. Protože danou věc dělají všichni ostatní, musí tak oběť činit také. Typickým příkladem je hacker, který požádá svoji oběť o heslo a lže, že kolegové mu heslo již také sdělili. (Lessing 2020)
2 Sociotechnický útok
Abychom mohli klasifikovat sociotechnické útoky, musíme nejprve definovat, rozdělení kybernetických útoků. Poté na základě prvků a stylu, jakým se sociokybernetické útoky provádějí, můžeme určit, o jaký útok se jedná z hlediska kybernetiky. Klasifikací kybernetických útoků existuje mnoho, níže jsou popsané pouze některá rozdělení.
V literatuře a odborných textech by se dalo najít mnohem více rozdělení kybernetických útoků, ale pro účely této práce jsou následující rozdělení dostačující.
2.1 Rozdělení kybernetických útoků
První rozdělení je na aktivní a pasivní útok.
Aktivní – Jsou to útoky, při kterých se hacker pokouší měnit nebo transformovat obsah informací. Tyto útoky jsou hrozbou pro integritu a dostupnost systému.
Prevence před těmito útoky je obtížná z důvodu jejich vysokého rozsahu fyzických a softwarových zranitelností. (Ohri 2021)
Pasivní - Jsou to útoky, při kterých útočník sleduje všechny informace a ty následně kopíruje. Útoky se zaměřují na sledování veškerého přenosu informací. Útočník se nepokouší měnit žádné získané informace. Tento typ útoku představuje významné nebezpečí pro zachování důvěrnosti dat. (Ohri 2021)
Další používané rozdělení je na vnitřní a vnější útok podle Koloucha et al. (2013)
Vnitřní – Útok, který přichází zevnitř organizace. Může jít například o zaměstnance, který nevědomky spustí malware1.
Vnější – Útok, který přichází zvenčí organizace. Jedná se o klasický úmyslný kybernetický útok, způsobený hackery.
Podle Vyskoče (2004) se kybernetické útoky dělí podle toho, zda je nutná aktivita uživatele.
Kognitivní – Tento druh útoku vyvolává změnu chování uživatele. Tato změna chování je způsobena manipulací a psychologií útočníka. Tento útok vyžaduje navazující činnosti uživatele. Jedná se například o přistoupení na výměnu informací.
1 Malware (zkratka anglického výrazu pro škodlivý software – „malicious software“) je typ obtěžujícího nebo škodlivého softwaru, který má za úkol zajistit útočníkovi tajný přístup do vašeho zařízení. Mezi typy malwaru patří spyware, adware, phishing, viry, trojské koně, červy, rootkity, ransomware a změny nastavení prohlížeče. (Avast 2021a)
Autonomní – Útok, který nepotřebuje žádnou další reakci od uživatele. Je plně realizován přes síťové a výpočetní struktury. Jedná se například o DDOS útok2. Druhým rozdělením podle Vyskoče (2004) je dělení podle toho, jak je útok proveden.
Fyzické – Jedná se klasické útoky na fyzickou síťovou vrstvu, jako jsou například prvky sítí a dalších přenosových zařízení.
Sémantické – Útoky zahrnují úpravu informací nebo šíření nesprávných informací za účelem manipulace s lidskou myslí a jejím vnímáním, aby od uživatelů podvodnými prostředky získaly cenné informace jako například hesla, finanční údaje nebo utajované vládní informace.
Syntaktické – Útoky prováděné pomocí kybernetických zbraní, které ničí, narušují, monitorují nebo jinak poškozují software provozující počítačové systémy. Mezi takové zbraně patří malware nebo další škodlivé softwary jako jsou viry, trojské koně, spyware3 a červi, kteří mohou vnést poškozený kód do stávajícího softwaru a způsobit tak, že počítač provede akce nebo procesy, které jeho operátor nechtěl.
Rozdělení podle Moutona et al. (2016) je už více zaměřené na sociální inženýrství, proto následující rozdělení patří do sociálního inženýrství.
Přímý útok – Útok, při kterém jsou útočník a oběť zapojeni do přímé konverzace.
Tato konverzace může být jednosměrná nebo obousměrná.
Přímý útok s jednosměrnou komunikací – Při tomto typu útoku dochází k přímé komunikaci pouze ze strany sociotechnika, který s obětí komunikuje, ale oběť mu nemá jak odpovědět. Může se jednat například o dopis zaslaný cíli bez zpáteční adresy nebo SMS zpráva odeslaná ze skrytého čísla, na které není možno odpovědět. Velmi oblíbeným útokem jsou v této kategorii phishingové útoky, které jsou realizovány pomocí e- mailů.
Přímý útok s oboustrannou komunikací – Útok realizovaný při komunikaci s obětí, která se komunikace aktivně účastní. Útočník využívá své připravenosti a z oběti dostává informace, které následně v rozhovoru dále využívá. Příkladem je útočník, který se vydává za pracovníka IT oddělení a ptá se, zda oběť nemá nějaký technický
2 DDoS útok je náhlý příliv umělého provozu navrženého tak, aby paralyzoval server webových stránek a učinil ho nepřístupným pro skutečné návštěvníky. Pokud server obdrží více požadavků, než dokáže zpracovat, zpomalí se nebo dojde k selhání, takže už nikdo nemůže načíst vaši stránku.(Schäferhoff 2020)
3 Spyware je typ malware, který je velice obtížné odhalit. Skrytě sbírá informace o vašem chování na internetu, historii prohlížených stránek nebo jiné osobní údaje (například čísla kreditních karet).
problém. Následně útočník vyzve oběť k poskytnutí přihlašovacích údajů za příslibem odstranění problému.
Nepřímý útok – Útok, při kterém nedochází k přímému kontaktu osob. Kontakt je realizován prostřednictvím média třetí strany. Příkladem tohoto typu útoku je, když útočník infikuje USB flash disk, nejlépe nějaký se známým logem. Následně USB flash disk zanechá na dobře zvoleném místě, kde ho náhodný cíl najde. Nálezce, je zvědavý a chce znát obsah přenosného zařízení, které následně připojí ke svému počítači. Tím do svého zařízení pustí viry a škodlivé softwary z USB flash disku a útočník tak získá kontrolu nad počítačem oběti.
Poslední rozdělení se klasifikuje podle motivace útočníka. Sociotechnici provádějí své útoky, se všemi následujícími účely. Záleží na tom, o jaký typ sociotechnika se jedná.
Rozdělení podle motivace útočníka od KYBEZ (2021) je následující:
Útok za účelem získání finančního prospěchu
Útok za účelem získání konkurenční výhody
Útok za účelem dokázání svých schopností
Útok za účelem odplaty
Útok za účelem neplnění povinností
Obrázek 2 - Rozdělení kybernetických útočníků podle motivace (Kolouch et al. 2013)
2.2 Klasifikace sociotechnických útoků
Na základě rozdělení kybernetických útoků z předchozí podkapitoly můžeme sociotechnické útoky klasifikovat jako aktivní útoky, které jsou vedeny zvenčí organizace, kdy se útočník vydává například za člena organizace či společnosti. Jsou to kognitivní sémantické útoky, které pomocí manipulace mění lidské chování. Toto tvrzení platí obecně pro sociokybernetické útoky, ale nemusí to být vždy pravda. Sociální inženýrství je velice
široký pojem, který zahrnuje mnoho technik a principů, jež nemusí úplně odpovídat této klasifikaci podle uvedených rozdělení.
2.3 Cíle sociotechnických útoků
Definovat jednoznačně cíle sociotechnických útoků není možné. Cíl útoku se odvíjí od záměru sociotechnika. Může jím být získání zdrojového kódu, tajných informací společnosti, finančních prostředků, přístupové údaje nebo pouze dokázání svých schopností.
2.4 Jednotlivé kroky sociotechnických útoků
Pro sociokybernetické útoky existuje mnoho modelů. V této podkapitole jsou modely řazeny podle chronologického vývoje. Prvním příkladem je základní model sociotechnického útoku od Kevina Mitnicka. Druhým je ontologický model Moutona a dalších, který nahlíží na útok jako na jeden proces. Poslední model rozděluje útok do sedmi kroků, které na sebe navazují a tvoří cyklus.
2.4.1 Shromažďování informací
Nejdůležitějším krokem je průzkum neboli shromažďování informací. Tento krok hraje klíčovou roli při útoku v oblasti sociálního inženýrství. Vyžaduje časovou náročnost, neboť útočník musí sbírat veškeré informace o oběti tak, aby byl připraven na všechny možné scénáře útoku a nevzbuzoval v oběti pochybnosti. Zdrojem pro informace jsou webové stránky společností, kde může útočník najít organizační strukturu organizace a další užitečné informace pro plánování útoku. Dalším zdrojem jsou sociální sítě obětí, kde mnoho lidí zveřejňuje své osobní informace, které jsou pro útočníka snadno zneužitelné. Dumpster diving je technika pro získávání velkého množství informací z odpadkových košů, česky řečeno prohledávání odpadků. Patří mezi nejjednodušší způsoby, jak získat citlivé informace, jako jsou například fotografie, firemní jazyk a další. (Pure Cloud Solutions 2020) (Čermák 2020)
Hadnagy a Wilson (2011) ve své knize zmiňují nejčastější informace, které útočník před útokem vyhledává.
Zaměření na organizaci:
Co dělají
Co poskytují
Kde sídlí
Provozní doba
Kontaktní údaje
Životopisy
Konvence pojmenování emailů
Volné pracovní pozice
Struktura organizace Zaměření na konkrétní oběť:
Speciální slova, která mohou pomoci při získávání hesel
Přímé telefonní číslo
Kdy odjíždí na dovolenou
Typ dovolené
Místo pobytu
Název oddělení
Pozice v organizaci
2.4.2 Model Kevina Mitnicka
První model je od Mitnicka (2003), který je ze všech nejznámější. Jednotlivé kroky tohoto modelu se opakují, dokud útočník nedosáhne požadovaného cíle. Model tak můžeme nazvat jako sociotechnický cyklus a skládá se z jednotlivých kroků, viz obrázek 3.
I. Průzkum
Průzkum neboli shromažďování informací bylo již popsáno výše. Jedná se o nejdůležitější krok ze strany útočníka, jehož úspěch či neúspěch závisí na tomto kroku. Se správnými informacemi může útočník správně určit směr útoku a jeho cíle.
Na základě získaných informací si vybere oběť a naplánuje útok do sebemenších detailů.
Průzkum
Zneužití důvěry Využití
informace
Budování důvěry
Obrázek 3 - Sociotechnický cyklus (Autor)
II. Budování důvěry
V tomto kroku navazuje útočník s obětí vztah. Pro budování důvěry jsou velice důležité informace, které útočník získal v předchozím kroku. Musí na oběť působit věrohodně a nesmí ji nechat pochybovat. Kvalita vytvořeného vztahu a síla důvěry určuje, jakým způsobem bude oběť s útočníkem spolupracovat a pomůže mu dosáhnout cíle.
III. Zneužití důvěry
Poté, co útočník úspěšně navázal vztah s obětí a získal její důvěru, nastává čas pro její zneužití ve svůj prospěch. Postupně z oběti získává citlivé informace tak, aby nevzbudil podezření a nenarušil tak důvěru utvořeného vztahu. Mezi příklady zneužití důvěry patří vylákání uživatelského jména a hesla nebo otevření infikovaného emailu.
IV. Využití informace
Pokud získaná informace není útočníkovým cílem, využije ji k dalšímu útoku, a to buď se stejnou obětí, nebo získanou informaci použije k provedení dalšího útoku na jinou osobu. Sociokybernetické útoky mají často více obětí, od recepční až po vysoko postavené pracovníky. Tento cyklus je opakován až do doby, kdy útočník dosáhne svého cíle.
2.4.3 Ontologický model Moutona a dalších
Tento model Moutona et al. (2016) se liší hned na první pohled od modelů zmíněných v tomto oddíle. Zmíněné modely nahlížejí na sociální útok po jednotlivých krocích, ovšem ontologický model pojímá sociotechnický útok jako jeden proces, viz obrázek 4
Sociokybernetický útok, může být veden přímou nebo nepřímou komunikací a je provázán s každým prvkem tohoto procesu. Cílem útoku může být finanční zisk, neautorizovaný přístup nebo narušení služby. Médium, pomocí kterého útočník komunikuje s obětí, je například email či telefon. Sociotechnik může být jednotlivec nebo skupina útočníků.
Obětí sociotechnického útoku je buď jednotlivec, nebo celá organizace. Model znázorňuje, že každý sociokybernetický útok využívá vždy jen jednu z možností, které zmíněné skupiny nabízejí. Poslední dvě skupiny jsou techniky a principy sociálního inženýrství, jichž může být při sociotechnickém útoku využíváno více či opakovaně. Techniky jsou detailněji popsány v podkapitole 2.6 a principy v oddíle 1.3.1. (Mouton et al. 2016)
2.4.4 Model podle Ozkaya
Poslední model je od Ozkaya (2018). Z výše uvedených se jedná o nejnovější model sociotechnického útoku. Znázorňuje ho jako cyklus, podobně jako Mitnick. Celý cyklus, ale rozděluje do více kroků, konkrétně do sedmi. Ty definují postup, který útočníka vede k získání všech informací o cíli a zvolení správné strategie útoku.
Obrázek 5 - Model podle Ozkaya (Ozkaya 2018)
Sběr informací
V tomto modelu začíná útok sběrem informací. Útočník k tomu používá dvě metody, netechnickou a technickou. První metoda spočívá v nepoužívání technologických prostředků k získání informací. Je to více časově náročné, avšak získané informace jsou mnohem přesnější. Druhou metodou je technická, při které útočník využívá technologických zařízení ke sledování oběti například na sociálních sítích, na kterých mnoho uživatelů sdílí své osobní údaje.
Elicitation
I přes své slabosti, jsou lidé ve fázi navazování vztahů uzavření. Za pomoci sociálního inženýrství útočník dostává oběti z jejich bezpečnostních zón tak, aby jednaly určitým způsobem, díky čemuž získá potřebné informace. Pokud chce být sociotechnik úspěšný, musí být přirozený, informovaný a nechamtivý.
Pretexting
V tomto kroku se útočník vydává za zvolenou osobu, která je pro oběť důvěryhodná. Je důležité předstírat danou osobu se všemi charakteristikami, které ji vyznačují, například způsob řeči. Útočník musí být dokonale přesvědčivý, jinak by mohla oběť poznat, že není ten, za koho se vydává.
Mind Tricks
V tomto kroku útočník používá výše uvedené psychologické postupy a techniky tak, aby ovlivňoval mysl oběti. Sociotechnik by měl umět číst mysl oběti, aby mohl reagovat na změny stavů a emocí dané osoby. Útočník se snaží oběť ovlivňovat a manipulovat s ní za účelem ochromit schopnost racionálního rozhodování.
Přesvědčování
Aby sociální inženýr přesvědčil cíl, musí nejprve oslovit jeho zájmy. Přesvědčování dostává oběť do pozice, ve které reaguje, přemýšlí a dělá přesně to, co jí sociotechnik řekne. Útočník se snaží své techniky neustále zlepšovat, aby oběť nedokázala rozpoznat, že je ovlivňována.
Pokud je sociotechnik úspěšný, získá od oběti to, co požaduje. Útok končí v případě, že útočníkovým konečným cílem byla daná oběť. Jestliže chtěl pouze získat potřebné informace k provedení dalšího útoku, nastává jeho další fáze.
Zacílení
Útočník si v tomto kroku znovu vybírá pečlivě a rozumně oběť dalšího útoku. Volba další je důkladná, neboť za ní stojí hodně času a informací, podle kterých se útočník rozhoduje.
Pokud má být následující útok úspěšný, musí být přizpůsoben vybranému cíli.
Průzkum
Průzkum je pro útočníka důležitou fází útoku. Musí dokonale zmapovat prostředí, ve kterém se oběť pohybuje, aby věděl jakým stylem vést útok. Informace získané v průzkumu může sociotechnik využít k předpovídání chování oběti tak, aby v průběhu útoku nenastala situace, kterou nepředpokládal a nebyl na ní připraven.
2.5 Metody útoku
1) Přímý útok – Útočník se napřímo zeptá oběti na požadovanou informaci, například
2) Důležitý uživatel – Útočník se vydává za vysoce postaveného pracovníka společnosti, který má problém s technikou. Kontaktuje pracovníka technické podpory, po kterém požaduje informace, které mu pomohou proniknout do systému společnosti. (Šimek 2003)
3) Bezmocný uživatel – Útočník se vydává za uživatele, který má problém s přihlášením do systému, například zapomněl heslo nebo má potíže s prvním přihlášením. Pracovník technické podpory se mu bude snažit pomoct a stane se tak obětí sociotechnického útoku. (Šimek 2003)
4) Pracovník technické podpory – Útočník předstírá, že je pracovníkem technické podpory a dotazuje se potencionálních obětí, zda jim vše funguje správně. Pokud narazí na osobu, která má s něčím problém, využije příležitosti pro získání přihlašovacích údajů nebo nastrčení škodlivého souboru do počítače oběti. (Šimek 2003)
5) Obrácená sociotechnika – Útočník zinscenuje situaci, kdy se na něj sama oběť obrátí s problémem a prosbou o pomoc. (Šimek 2003)
2.6 Techniky sociokybernetických útoků
Útoky sociálního inženýrství mají mnoho podob a využívají mnoho technik. V této podkapitole jsou uvedeny nejznámější a nejpoužívanější techniky, které se stávají každým dnem více používané, a to díky menší potřebě technických znalostí, oproti klasickému hackerství.
Proti technikám sociálního inženýrství je nemožné se bránit pouze technologickým zabezpečením. Hlavním cílem jsou lidé, proto jsou dané techniky tak úspěšné. Pro snížení úspěšnosti sociokybernetických útoků je nutné zaměstnancům demonstrovat nebezpečí a dopady těchto útoků, vhodně je školit a především jejich znalosti testovat v reálném prostředí. (KPCS 2020)
2.6.1 Phishing
Nejznámější a nejpopulárnější technika sociálního inženýrství. Tato technika slouží nejčastěji pro krádež uživatelských dat, zejména přihlašovacích údajů nebo čísel kreditních karet. Útočník se vydává za důvěryhodnou osobu a pomocí emailu nebo SMS zpráv vytváří pocit naléhavosti, zvědavosti nebo strachu u obětí. Podle statistik je více než 30%
phishingových útoků otevřeno a 12% příjemců otevře škodlivý odkaz v emailu.
Forma phishingu se liší. Někdy požádají oběť, aby ověřila své přihlašovací údaje k účtu na podvodné stránce, na které jsou loga dané společnosti tak, aby webová stránka vypadala důvěryhodně. Někdy přijde oběti email, že se stala výhercem hlavní ceny nebo nějaké loterie a potřebují přístup k bankovnímu účtu pro připsání výhry. Úspěšný útok vyvrcholí přístupem k systémům a získáním dat. Tento útok je cílen na velký počet obětí. (Heinbach 2020)
Charakteristiky phishingu:
Zprávy jsou tvořeny tak, aby upoutaly pozornost oběti. Stává se tak nejčastěji ze zvědavosti. Útočník poskytne několik málo informací s odkazem na konkrétní web, kde jsou uvedeny další podrobnější informace. (Paganini 2020)
Dalším znakem phishingu jsou zprávy, které na oběť naléhají s problémovou situací.
Cílem je přimět osobu sdělit citlivé informace za účelem vyřešení situace, která by se jinak zhoršila. (Paganini 2020)
Využívání zkrácených webových adres tak, aby nebylo poznat, že se jedná o škodlivou doménu. Příkladem jsou emaily s hypertextovým odkazem, který neodkazuje na stejné místo, jako se zobrazuje oběti. (Paganini 2020)
Podvodné emaily, které vypadají jako emaily od známých společností, které mají přimět oběť k důvěryhodnosti. Tyto emaily kopírují logo, obrázky, texty a styly používané danými organizacemi. (Paganini 2020)
2.6.2 Spear Phishing
Jedná se o vylepšenou techniku phishingu. Útočník si vybírá konkrétní cíl. Zprávy přizpůsobuje na základě informací, které o oběti získal. Tato technika vyžaduje více času a přemýšlení než klasický Phishing. Útočník se soustředí na velmi malý počet obětí, o kterých si zjistí veškeré informace, díky čemuž je infikovaná zpráva dokonale autentická s originální zprávou od dané společnosti. (Giandomenico 2020)
2.6.3 Vishing
Tato technika je prováděná pomocí telefonního hovoru, při kterém útočník využívá manipulace a přesvědčování, aby v oběti vyvolal strach. Vydává se za pracovníka důvěryhodných organizací a na oběť naléhá, že je nutné situaci vyřešit co nejrychleji, aby se zamezilo většímu rozsahu škod. Tím ji útočník dostane do nepříjemné situace, kdy oběť ve strachu z hrozícího nebezpečí poskytne sociotechnikovi požadované informace.
(Techopedia 2021)
2.6.4 Baiting
Technika založená na lidské chamtivosti a zvědavosti. Útočník využívá fyzická přenosová zařízení, jako jsou CD, DVD, USB flash disky nebo pevné disky, které infikuje škodlivým softwarem. Tyto návnady mají na sobě známá loga tak, aby upoutaly pozornost oběti.
Útočník je nechává na vhodně zvoleném místě, které je dobře přístupné a je zde velká fragmentace potencionálních obětí. Osoba, která takovou návnadu najde, je zvědavá co zařízení obsahuje, například s vidinou zisku. Poté, co infikované zařízení připojí ke svému počítači, získává útočník kontrolu nad počítačem. (Sari 2020)
V dnešní době baiting přešel také do online prostředí, kde útočník láká oběti na sportovní přenosy nebo nejnovější filmy. Ty si může oběť pustit na uvedených stránkách po stažení infikovaného souboru, čímž do svého počítače pustí útočníka, který získává nad zařízením kontrolu. (Sari 2020)
2.6.5 Pharming
Další vylepšená forma phishingu. Technika spočívá v přesměrovávání na falešný web, který vypadá jako skutečný. Využívá k tomu základní prvek internetového prohlížení, a to že webové stránky, které uživatelé navštěvují, se skládají z písmen. K tomu, aby se uživatel dostal na požadovanou webovou adresu, je nutné převést písemnou adresu na IP adresu4 pomocí DNS serveru5. Slouží k tomu dva způsoby. Prvním je virus v počítači oběti, který upravuje hostitelské soubory tak, aby přesměroval provoz na falešný web, místo skutečného. Druhý způsob je jednoznačně nebezpečnější kvůli napadení DNS serveru, což způsobí, že bude přesměrováno více uživatelů na falešnou webovou adresu. Ty mohou do počítače oběti nainstalovat viry nebo vyzvat uživatele k vyplnění bankovních údajů.
(Kaspersky 2021a)
2.6.6 Scareware
Strach je hlavním faktorem této techniky. Za pomoci sociálního inženýrství vyvolá útočník v uživateli pocit strachu a naléhavosti, aby přiměl oběti rychle jednat. Nejdříve se sociotechnik musí k uživatelům dostat a k tomu používá nástroje, jako jsou vyskakovací okna, která vypadají jako antivirová upozornění. Oběti se zobrazí falešná zpráva o možných virech v jejím zařízení. Sociotechnik využívá nátlaku, aby přiměl uživatele k rychlému a nerozumnému jednání. (Medha 2020)
Taková jednání mají nejčastěji za následek nákup bezcenného softwaru nebo stažení škodlivého souboru tvářící se jako antivirus, který detekuje a odstraní viry v počítači oběti, ale naopak si do svého zařízení stáhnou škodlivý malware. Druhá varianta scarewaru je velice podobná stažení falešného antiviru. Hlavním rozdílem je automatické stažení malwaru do počítače oběti poté, co navštíví infikované webové stránky. (Medha 2020) Nainstalovaný malware může způsobit ovládnutí počítače, sledování oběti, ztrátu dat a v neposlední řadě finanční ztrátu. (Medha 2020)
2.6.7 Smishing
Je to kombinace SMS či MMS zpráv nebo jiné aplikace, jako je WhatsApp nebo Messanger, která slouží k posílání zpráv. Útočník posílá falešnou zprávu oběti, ve které se vydává za
4 IP adresa je unikátní číslo, které je přiděleno počítači komunikujícímu prostřednictvím internetového protokolu (IP). Při každém přenosu dat je nutné znát IP adresu odesílatele a příjemce. O adresování a směrování datových paketů se pak starají směrovače (routery), které mají svoji vlastní IP adresu. Tohle informační číslo může mít různé podoby. Vždy záleží na typu protokolu. (Alza.cz 2017)
5 Systém DNS umožňuje přiřadit k číselné IP adrese určité symbolické jméno, takzvané doménové jméno, které si uživatelé snadno zapamatují a často jej dokáží intuitivně napsat například do webového prohlížeče. Prohlížeč se podobně jako telefon podívá do seznamu a „přeloží“ zadané jméno do čísel nebo písmen, tedy přiřadí k němu správný záznam v podobě číselné kombinace.
Automaticky se připojí na IP adresu odpovídající doménovému jménu a stránku uživateli zobrazí.
(CZ.NIC 2012)
důvěryhodnou organizaci. Danou osobu informuje o neobvyklé události a je potřeba otevřít přiložený odkaz. Ten oběť, přesměruje na podvodnou webovou adresu nebo do zařízení stáhne škodlivý vir. Na zobrazené adrese je oběť vyzvána k vyplnění bankovních, osobních, či jiných údajů. (Kaspersky 2021b) Příkladem je SMS zpráva, od falešného Vodafonu, viz obrázek 6.
Obrázek 6 - Útok s využitím smishingu (Autor)
2.6.8 Watering hole
Je další technikou, která nevyžaduje osobní účast útočníka. Touto technikou útočník naruší bezpečnost obětí často navštěvovaných internetových stránek a umístí do stránky škodlivý kód, či stažitelný obsah. Útočník následně vyčkává, dokud jeho oběť stránky nenavštíví a pak provede injektáž kódu do počítače návštěvníka webové aplikace. Tento typ útoku je často prováděn elitními hackery a státem sponzorovanými skupinami hackerů, protože je většinou nutné identifikovat zranitelnosti tzv. nultého dne6 a značným způsobem obfuskovat kód, aby byl schopen obejít antivirová řešení. (Hejda 2020)
2.6.9 Tailgating
Technika pro získání vstupu do omezené oblasti, kde je přístup bez dozoru nebo řízen elektronickou kontrolou. Útočník pozoruje osobu, která má přístup do dané oblasti a za zády se snaží proklouznout dovnitř nebo se vydává za kurýra a požádá zaměstnance, aby mu
6 Zero day exploit (termín znám také jako zero day attack a překládá se jako útok v nultém dnu) je v IT prostředí označován útok za pomoci exploitu, který dokáže využít programátorského chybného omylu v daném systému. Hlavní zbraní, na kterou se při zero day exploitu sází je to, že ještě neexistuje adekvátní ochranná záplata (nový patch, aktualizace neboli update) pro software, který obsahuje ve svém tzv. vnitřním plášti nežádoucí bezpečnostní díru. Cracker, který nalezne takový
přístup umožnil otevřením dveří. Nejvíce využívaná místa pro tuto techniku jsou zadní vchody a místa, kde se může snadno útočník začlenit do davu. (Hejda 2020)
2.6.10 Sextortion
Technika, pomocí které útočník oběť vydírá za účelem získání peněz nebo pornografických fotek čí videí, v některých případech může po oběti vyžadovat sex. Nejčastěji je útok realizován pomocí emailu, kterým následně sociotechnik oběť vydírá. Obsahem této zprávy je informace o držení pornografického materiálu oběti, a pokud nebudou splněny jeho podmínky, obsah zveřejní. (De la Cerna 2012)
V takovém případě jsou nejčastěji využívané dva způsoby útoku. V prvním případě útočník pouze předstírá vlastnění uvedeného obsahu. Za smazání požaduje finanční obnos. Druhý případ je závaznější, neboť útočník materiály opravdu vlastní. Obětí se často stávají lidé, kteří navštěvují webové stránky nabízející sexuální služby nebo pornografii. Portály nabízející takové služby jsou často plné škodlivých virů, které mohou získat přístup k webkameře počítače, díky čemuž útočník získá explicitní materiály k vydírání. (Spambrella 2019)
2.7 Příklady sociotechnických útoků
2.7.1 Klasický případ podvodu
První útok využívající sociálního inženýrství je z knihy Kevina Mitnicka (Umění klamu 2003)
Případ, kdy mladý Stanley Mark Rifkin spáchal největší počítačový podvod.
Rifkin v roce 1978 pracoval pro firmu, která měla bance Security Pacific National Bank v Los Angeles vytvořit záložní systém v místnosti převodů. To mu umožnilo přístup k procedurám, které popisovaly, jakým způsobem pracovníci banky převody zadávali.
Pracovníci pověření zadáváním převodů dostávali každé ráno tajný kód, který používali, když telefonovali do místnosti převodů.
Jednoho dne Rifkin tento tajný kód našel a zapamatoval si ho. Bylo to jako by vyhrál v loterii.
I hned po odchodu z banky se vydal k telefonnímu automatu, odkud vytočil číslo místnosti převodů. Z Rifkina se stal Mike Hansen, za kterého se vydával. Děvče, které telefon zvedlo, se po představení Rifkina ihned ptá, na jeho číslo kanceláře. Jelikož byl Rifkin dopředu připraven, v klidu odpověděl „286“. Následně se ho pracovnice zeptala na kód, jednalo se o ten tajný kód, co si Rifkin stihl zapamatovat. Bez zaváhání odpověděl „4789“. Poté, co poslala detaily převodu, zeptala se ho pracovnice na jeho mezikancelářský kód, který ovšem Rifkin kód neznal, ale v klidu odpověděl, že tento kód musí najít a poté zavolá zpět. Ihned po tomto rozhovoru zavolal na jiný odbor banky, představil se jako pracovník místnosti převodů a kód si vyžádal. Následně znovu zavolal pracovnici místnosti převodů a převod díky získanému kódu dokončil. Bez použití jakýchkoliv donucovacích prostředku měl na švýcarském kontě rázem 8 milionů dolarů.
Rifkin v tomto případě využil umění manipulace, dovednosti a techniky, které dnes spadají pod sociální inženýrství. Tento případ dokazuje, že využívání sociálního inženýrství bylo používáno ještě před rozšířením výpočetní techniky a internetu. Rifkin nebyl technologický génius, a i přes to dokázal provést tento útok, což dokazuje, že pro to, aby se stal člověk sociotechnikem nemusí být počítačově velice zdatný. Mnohem důležitější je, jak moc dobrým psychologem člověk je a jak dokáže manipulovat s lidmi.
2.7.2 Útok na Yahoo z roku 2014
I když tento útok není tak velký jako útok na Yahoo v roce 2013, byl útok na Yahoo v roce 2014 významným a ohrozil kolem 500 milionů uživatelů. Útočníci odcizili údaje, které zahrnovaly uživatelská jména, telefonní čísla, bezpečnostní otázky a odpovědi, emaily pro obnovení hesel a kryptografické hodnoty přidružené ke každému učtu.
Útočníci pro tento útok použili techniky spear phishingu zaměřený na částečně privilegované zaměstnance Yahoo. Jeden ze zaměstnanců otevřel podvodný email a poskytl tak útočníkům přístup k podnikové síti Yahoo, čímž jim umožnil stáhnout databázi uživatelů Yahoo. Pomocí e-mailových adres pro obnovení útočníci identifikovali cíle dalšího útoku a pomocí kryptografických hodnot uložených v databázi vygenerovali falešné soubory cookies Yahoo. To jim umožnilo přístup k účtům uživatelů bez hesla, což zcela ohrozilo více než 6500 uživatelských účtů Yahoo. (Poston 2018)
2.7.3 Útok na Českou poštu v roce 2013
Poslední vybraný útok byl spáchán v České republice na společnost Česká pošta. Klienti pošty dostávali do svých emailových schránek podvodný email, viz obrázek 7. Tento email se tvářil jako klasický informační email o nedoručení zásilky. V emailu je na klienta vyvíjen tlak, aby klikl na uvedený odkaz a zásilku si mohl vyzvednout. Pokud si však zásilku člověk nevyzvedne, bude muset platit penále.
Obrázek 7 - Podvodný email (Lazarevič 2013)
Na uvedeném odkaze se otevřela stránka ke sledování zásilky. Po opsání uvedeného čísla se uživateli do počítače stáhne škodlivý soubor obsahující virus, viz obrázek 8. Tento virus je nebezpečný, protože klienty může snadno připravit o peníze tím, že získá uložené číslo karty.
Obrázek 8 – Podvodná stránka (Lazarevič 2013)
Podle vyjádření jednatele společnosti NETservis s.r.o. se jednalo o jeden z nejlépe provedených phishingových útoků v České republice. (Lazarevič 2013)
