Nenechte se napálit
„Dobrý den, Váš univerzitní účet byl napaden hackery. Zašlete nám prosím co nejdříve heslo k tomuto účtu, abychom jej zabezpečili. S pozdravem Kyberbezpečnostní tým.“ Tak takový e-mail vám nikdy nepošleme. Někdo jiný by ale mohl…
„Dobrý den, Váš univerzitní účet byl napaden hackery. Zašlete nám prosím co nejdříve heslo k tomuto účtu, abychom jej zabezpečili. S pozdravem Kyberbezpečnostní tým.“ Tak takový e-mail vám nikdy nepošleme. Někdo jiný by ale mohl…
Nejslabší článek v systému
Představte si, že jste hacker a nutně se potřebujete dostat k datům jisté osoby. Máte na výběr dva scénáře. Buď se pokusíte obejít řadu technologických bezpečnostních opatření, což znamená spoustu práce, času a peněz, nebo se prostě dotyčné osoby zeptáte na její heslo.
Případ je samozřejmě zjednodušený, nicméně klíčová myšlenka platí. Pro útočníka je zpravidla mnohem výhodnější zaměřit se na člověka než se pokoušet překonat technologie. Jsme totiž vytížení, líní, zaplavení informacemi a naše rozhodování není zdaleka tak racionální, jak bychom si přáli. Jinými slovy: děláme chyby a útočníci to vědí.
Sociální inženýři
Techniky útočníků zaměřené na člověka se označují jako sociální inženýrství. Pod sofistikovaným názvem se ukrývá obyčejná manipulace a podvádění. Každý sociální inženýr usiluje o to, aby přinutil oběť splnit nějaký jeho požadavek. Toto je jádro sociálního inženýrství. Může po vás například chtít, abyste na něco klikli, stáhli si, poslali mu nějakou informaci či provedli platbu. Sociální inženýři mohou mít různé motivy, a proto se liší i jejich požadavky.
Zdaleka ne vždy jde o prvoplánové žádosti o hesla či platby. Pro sociálního inženýra může být cenná každá informace, záleží na jeho cílech a motivaci. Běžné jsou případy, kdy útočník od více zdrojů získává pouze informace, a ty pak využije k provedení sofistikovaného útoku. Sociální inženýři dokážou hrát přesvědčivě řadu rolí. Velmi často se vydávají za pracovníky IT oddělení, či jiné důvěryhodné osoby. K tomu, aby dosáhli svých cílů využívají řadu útočných metod. Některé z nich se provádí dokonce přímo osobně. Nejčastěji se však můžete setkat s útoky přes e-maily, proto se budeme věnovat dále jim.
Zákeřné rybaření
Označení phishing je odvozené od anglického fishing (rybaření). Útočník se totiž podobá rybáři, který nahazuje spoustu návnad. Postačí mu, když se chytí jen malé procento z nich. A to se často chytí. Návnada má obvykle podobu e-mailu, který se tváří důvěryhodně a často působí také na emoce. Jeden z častých vzorců útoku spočívá v tom, že útočník vyvolá u oběti strach a zmatení a jménem nějaké autority jí nabídne jednoduché řešení. Takovým příkladem jsme začali tento článek. Úlovkem zákeřných rybářů jsou digitální identity uživatele, přihlašovací jména, hesla, čísla bankovních karet nebo přímo platby na účet podvodníka.
Sofistikovanější verzí je tzv. spear phishing (cílený phishing), který využívá předem získané informace o oběti. Zprávy mohou být konstruovány tak, aby co nejvíce imitovaly důvěryhodného odesílatele. Tímto způsobem se snaží cílové osoby přesvědčit, že se jedná o autentickou zprávu. Díky většímu zacílení na konkrétní uživatele dosahuje tato metoda většího účinku než běžný phishingový útok.
Množství phishingových útoků dlouhodobě narůstá. Bohužel už dávno neplatí, že nás chrání jazyková bariéra. Současné útoky využívají plynulou češtinu. Kyberbezpečnostní tým CSIRT-MU už odhalil více phishingových útoků zaměřených přímo na Masarykovu univerzitu. Poslední kampaň proběhla ani ne před rokem. Útočníci v ní varovali před phishingem a vybízeli k aktivování zabezpečení proti němu. Odkaz směřoval na podvrhnuté stránky, takže veškeré zadané údaje směřovaly přímo k útočníkům.
Jak se bránit
Základem je vědět, že sociální inženýři existují a udržovat si trvalý kritický odstup k požadavkům, které nám v e-mailech přichází. Takže pozor na klikání, stahování, zasílání informací či dokonce peněz. Zpozornit bychom měli zejména tehdy, když se požadavek týká zneužitelných služeb či informací. Více jsme o nich psali v našem minulém článku. Varovnými znameními jsou také vyvolávání obav, časový nátlak, vzbuzování zvědavosti či nabídky snadného prospěchu.
Pokud se domníváte, že jste se stali terčem takového útoku, tak neváhejte využít možnosti nahlášení incidentu u Kyberbezpečnostního týmu Masarykovy univerzity. Pomůžete tím nejen sobě, ale také ostatním. Zároveň však nezapomínejte, že požárům je vždy lépe předcházet, než je hasit. Kritické myšlení je proto nejlepší obranou pokaždé, když se vás někdo pokouší napálit.