Proč Pavlína málem přišla o tisíce korun za údajnou letenku pro kolegu?
Příběhy sociálního inženýrství
Možná v nich také účinkujete...
KAPITOLY
Jaké problémy mohl Erice způsobit zdánlivě obyčejný flash disk?
Tibor mohl přijít místo k angličtinářskému kurzu o své přihlašovací údaje. Co se stalo?
Jak Martin mohl svou nepozorností přijít o údaje k internet bankingu?
Roman se zachoval galantně, nechybělo však mnoho a způsobil pořádné problémy na pracovišti...
Jak Věrka obyčejným přehmatem nechtěně zavařila svému kolegovi?
Pavel se v různých typech počítačových útoků vyzná. S čím ale nepočítal?
Andrej netušil, že se dostal do hledáčku útočníka. Mohl tak příjít o své O365 údaje.
Jak vynalézaví dokáží útočníci být pocítí na vlastní kůži Martina...
Co může způsobit náhlý telefonát dávno po pracovní době?
Josef chtěl jen uposlechnout „bezpečnostní hlášení“, přičemž si stáhl falešný antivir.
Jak zákeřní útočníci zneužívají moderní technologie?
„Ahoj Pavlínko! Prosím Tě, jsem ve velkým průšvihu! Jel jsem na služebku a ukradli mi peněženku, nemám se jak dostat zpátky domů. Mohla bys mi prosím přes tenhle odkaz poslat peníze na letenku? Prosím, zachraň mě! Mirek.“
Tento e-mail dostala hlavní představitelka příběhu o technice označované jako Blagging. Pavlína v rychlosti přečetla zprávu, že se její kolega nachází v nesnázích, a samozřejmě chtěla ihned pomoci – Mirek by pro ni přece udělal to samé, ne? V reakci na urgentní situaci si ale nevšimla, že e-mail přišel z úplně jiné adresy, která neodpovídala Mirkově pracovní či osobní adrese. Ve chvíli, kdyby Pavlína odeslala peníze, stala by se obětí jedné z technik sociálního inženýrství. Metody, při které se útočník snaží zmanipulovat oběť zpravidla velmi poutavým a naléhavým příběhem.
Pavlína, 32 let
Marketingová specialistka
U Blaggingu je velmi častý právě požadavek o určitou peněžní částku. Útok z našeho příběhu byl natolik sofistikovaný, že útočník využil reálnou identitu Pavlínina kolegy. Jak věděl, že Mirek opravdu vyrazil na služební cestu? Na výběr má přece mnoho dalších technik sociálního inženýrství, které mohou k získání podobných informací posloužit! Co když Mirek například sdílel veřejně fotku z ciziny na sociálních sítích? Útočníkovi pak stačí jen vymyslet poutavý příběh a zfalšovat e-mailovou adresu. Ale jak se proti Blaggingu bránit (nejen) v prostředí Masarykovy univerzity? Pakliže obdržíte podobnou zprávu jako Pavlína:
Zkuste v první řadě ověřit adresu odesílatele. Pakliže adresa odesílatele nesouhlasí s formátem adres vašeho pracoviště, je načase zpozornět. V prostředí Masarykovy univerzity můžete e-mailovou adresu osob ověřit zde.
Nabydete-li podezření, kontaktujte danou osobu skrze jiný komunikační kanál, například osobní e-mailovou adresu, sociální sítě, anebo zkuste prostě a jednoduše dané osobě zatelefonovat.
Potvrdí-li se vám, že se jedná o podvod, či daná osoba delší chvíli nereaguje, raději hlaste celý incident kompetentním osobám (IT technikům, vedoucím). V případě MUNI neváhejte situaci hlásit kyberbezpečnostnímu týmu.
Erika, 52 let
Vedoucí studijního oddělení
BAITING
Eriku považují její kolegové za zodpovědnou vedoucí studijního oddělení. Aby ne, v této pozici působí již deset let. Jednoho dne, cestou do práce najde Erika na parkovišti zářivě růžový flash disk s nápisem „Teambuilding fotky“. Erika si takzvanou flashku chvíli prohlížela, a nakonec se rozhodla ji vzít. Leží přece před budovou, kde pracuje, a mohla by někomu chybět. Odnese ji na vrátnici a tam se o ni jistě přihlásí majitel. Po příchodu do kanceláře to ale Erice nedá. O jaký teambuilding asi šlo? A jaké zajímavé fotografie by tam mohla najít? Flashku vrátí, ale až si obsah sama prohlédne. Jedná se přece o její kolegy, a kdyby ne, alespoň bude vědět, že nemá cenu disk na vrátnici odevzdat a vymyslí jiné řešení. Zapojí médium do svého pracovního počítače a otevře složku. Žádné fotografie však nenajde, jen nějaké nesmyslné soubory. Fotografie už asi někdo vymazal, pomyslí si. Škoda. Disk vytáhne a odnese jej na vrátnici budovy s úmyslem nahlásit nález.
Erika v tuto chvíli vůbec netuší, že se stala obětí takzvaného Baitingu – metody sociálního inženýrství, která využívá naši přirozenou zvědavost. Cílem útočníka v tomto případě bylo namotivovat lákavým popiskem na disku některého z pracovníků, aby médium zapojil do své pracovní stanice. Mezitím, co Erika hledala fotografie, se za jejími zády dávno spouštěl škodlivý software, který má možná nyní vládu nad jejím počítačem. Co s ním asi provede?
Erika má štěstí – má na svém pracovním počítači nainstalovaný a plně aktualizovaný antivirový program, který si se škodlivým softwarem poradí. Ne vždy to však končí takto.
Nikdy do svých pracovních ani osobních zařízení nezapojujte a nevkládejte nosiče (flash disky, SD karty...), u kterých si nejste jisti původem a obsahem. Doporučujeme také svá zařízení zabezpečit.
Tibor se ve svém příběhu tváří v tvář setkává s nejrozšířenějším typem útoku sociálního inženýrství – phishingem. Phishing má zpravidla podobu v rozesílání hromadných podvodných e-mailů. Tyto podvodné e-maily se snaží z uživatele vymámit nejrůznější přihlašovací údaje. V osobním životě může jít o přihlašovací jméno a heslo k bankovnímu účtu, v zaměstnání zase o přístup do pracovních aplikací a systémů. V prostředí Masarykovy univerzity je to nejčastěji přístup do Informačního systému Masarykovy univerzity. Co když ale útočníci změní taktiku a začnou si brousit zuby na váš O365 účet? S takovým pokusem se setkal právě Tibor...
Tiborovi přišel v pátek odpoledne e-mail nabízející excelentní kurzy jazyků s výhodnými slevami v přiloženém dokumentu. Zaraduje se a přiložený soubor rozklikne. Náhle na něj vyskočí okénko s žádostí o oprávnění k přístupu k Tiborovým údajům účtu O365. Požaduje přístup ke kalendáři, kontaktům a dalším položkám. Po odsouhlasení těchto požadavků by Tibor dal útočníkům plný přístup ke svému O365 účtu. Co by mělo být Tiborovi i vám, čtenáři, podezřelé na první pohled?
Tibor, 34 let
Vyučující angličtiny
Při přistupování k jakémukoli souboru po vás O365 nikdy nebude chtít potvrdit přístup k účtu (ať seznamu kontaktů, změnám v kalendáři nebo čemukoli jinému).
Každá aplikace by vždy měla požadovat přístup pouze k položkám, které souvisí s její primární činností. Pokud Tibor otevírá odkaz na dokument ve Wordu z O365, proč by měla aplikace chtít přístup do jeho kalendáře nebo číst veškeré jeho soubory?
Vždy si pečlivě přečtěte, jaké souhlasy aplikaci dáváte, i když myslíte, že ji „znáte jako vlastní boty“. Pokud se vám zdají požadavky podezřelé, či v případě, že phishingu podlehnete (což se vždy dříve nebo později projeví), nahlaste to.
Martin, 19 let
Student
SHOULDER SURFING
Nechybělo mnoho a Martin se stal obětí Shoulder Surfingu, metodě sociálního inženýrství, která se vám může stát prakticky kdekoli a kdykoli. Shoulder Surfing, jak napovídá sám název, je založen na odpozorování důležitých dat a informací (například PINu) z displeje zařízení svého uživatele. Doslova tedy stačí, aby se vám útočník koukal přes rameno a čekal na správnou chvíli. I takto může začínat kybernetický útok a Shoulder Surfing může představovat jen jeden střípek z mozaiky.
Martin jednoho dne vyrazil městskou hromadnou dopravou do školy, jako téměř každý den, a rozhodl se zkontrolovat, jestli už mu na účet dorazila výplata za brigádu. Tramvaj byla standardně přeplněná, ale Martin ukořistil místo k sezení. Když se přihlašoval, vůbec nezpozoroval podivného člověka za zády, kterému se přímo nabízel pohled do jeho přihlašovacího formuláře k internetovému bankovnictví. Co Martinovi možná zachránilo výplatu a jak předejít podobné situaci?
Martin měl to štěstí, že zvolil ke svému internetovému bankovnictví dostatečně silné heslo, které nemohl útočník odpozorovat. Příště by měl ale dbát také na okolí a například si stoupnout zády ke stěně tramvaje.
Doporučujeme ale raději minimalizovat manipulaci se svými citlivými údaji na veřejných místech. Internetové bankovnictví si raději zkontrolujte doma a pracovní e-maily jistě počkají do kanceláře.
Všechna tato doporučení platí nejen pro Shoulder Surfing, ale také pro ochranu vašeho soukromí jako takovou, a to i mimo kyberprostor. Soukromí bychom si všichni měli vždy pečlivě chránit.
Že se sociální inženýrství a kybernetické útoky netýkají jen našich zařízení, e-mailových schránek nebo třeba serverů se dnes na vlastní kůži přesvědčí výzkumník Roman. Při rušném pondělním ránu Roman vchází do oddělení svého pracoviště, a sotva pípne kartičkou u vstupu, volá na něj pohledná mladá žena. „Pustíte mě prosím? Nechala jsem si kartičku doma.“ Roman prosbě gentlemansky vyhoví a slečně při vstupu ještě přidrží dveře. Na Masarykově univerzitě pracuje pouhé dva měsíce, takže ještě nemá úplně přehled o všech svých spolupracovnících. Zatím ještě netuší, že slečnu už nikdy neuvidí...
Co Roman netuší zcela určitě je, že se právě stal obětí takzvaného Tailgatingu, který může mít nedozírné následky. Jak že se to mohlo stát?
Roman, 46 let
Výzkumník
Tailgating je metodou sociálního inženýrství, která využívá situace především ve velkých organizacích. Tato pracoviště často charakterizuje to, že se všichni zaměstnanci mezi sebou neznají. Hůře se jím tedy rozlišuje, kdo v tomto zázemí opravdu pracuje. A právě na to útočníci sázejí. Pro úspěch takového útoku pak stačí působit dostatečně sebejistě a v ideálním případě oběť rozptýlit. Jakmile se útočník dostane na pracoviště s omezeným přístupem, může způsobit spoustu potíží. Od ukradení dat z nezašifrovaného disku po nasazení škodlivého kódu do zařízení vedoucího pracovníka. Jak se proti Tailgatingu může Roman i vy bránit?
Pokud se setkáte s někým, koho neznáte a tvrdí, že zapomněl ID kartu či klíče, pokuste se danou osobu prověřit například na vrátnici. Rozhodně ale nikdy nepouštějte neznámé osoby přímo na svá pracoviště.
Pokud vstupujete do prostoru s omezeným přístupem, používejte vždy pouze své identifikační karty a klíče. Zároveň je nikdy nezapůjčujte jiným osobám, a to ani kolegům. A na závěr k zamyšlení –nepouštěli jste v poslední době někoho cizího na své pracoviště?
Věrka, 26 let
Mzdová účetní
TRASHING
Věrka, která pracuje na personálně-mzdovém oddělení při úřadu většího města, nastoupila do práce před třemi měsíci. Minulý týden se jí do denní agendy dostal úkol – vystavit zápočtový list zaměstnanci, který odchází. Věrka tedy vše připravila, ale při předání si zaměstnanec všimnul drobného překlepu ve svém příjmení. Věrka tedy připravila nový zápočtový list a ten starý hodila v rychlosti do koše. Za pár dnů začala kopie tohoto zápočtového listu putovat po internetu. Ukázalo se, že zápočtový list obsahuje velmi citlivé údaje, které by nikdo z nás nechtěl veřejně sdílet. Například, jestli se ze mzdy prováděly nějaké soudem nařízené srážky.
Co se tedy stalo? Věrka okamžitě dostala podezření na škodlivý software ve svém počítači. Vysvětlení je však mnohem více prosté. Takzvaný Trashing je technika sociálního inženýrství, kde útočník zkouší získat informace mezi vyhozeným smetím z kanceláří. Ano, čtete správně. Takto se zápočtový list dostal na internet, odkud už ho pravděpodobně nikdy nikdo nesmaže. Jak se tedy bránit proti Trashingu?
Nejúčinnější metodou je prevence. Útočníci dokáží být velmi obratní při pokusech o získání citlivých údajů a informací, zvlášť jedná-li se o vytipovanou oběť.
Pamatujme tedy, že odpadkové koše nejsou černé díry. I v případě, kdy dokument jen ručně roztrháte nebo rozstříháte, obratný útočník si poradí. Svěřte tedy nepotřebné dokumenty raději skartovačce.
Pavel pracuje jako knihovník na Masarykově univerzitě již více něž 17 let, během této doby už se dobře naučil, že do e-mailové schránky občas přistávají zprávy, které mají nekalé úmysly. Proto si dává pozor a vzorně je nahlašuje. Co ale Pavel netuší je, že útočníci se vyvíjejí a jejich útoky mohou cílit i na jiná zařízení. Dnes ráno totiž Pavlovi přišla na služební telefon SMS zpráva, kde se psalo, že univerzitní semafor přechází na červenou a ať se urychleně přes přiložený odkaz přihlásí do Informačního systému MU a neprodleně obeznámí se situací všechny své kolegy na pracovišti. A co se v takové situaci stane? Úplně to samé jako u podvodného phishingového e-mailu, Pavel dobrovolně odevzdal své údaje útočníkům, a ještě rozšířil poplašnou zprávu mezi své kolegy.
Tento typ útoku se nazývá Smishing. Jak i název napovídá, jedná se o phishing proveden prostřednictvím SMS zprávy. A může přijít i v mnohem atraktivnější formě, například doručovací SMS od dodávky jídla nebo jako výhra mobilního telefonu. Jak se této metodě sociálního inženýrství bránit?
Pavel, 45 let
Knihovník
Neposkytujte svá telefonní čísla na volně dostupných místech, pokud to není nutné. Na příchozí SMS zprávu neodepisujte a na dané číslo rozhodně nevolejte.
Neklikejte na přiložený odkaz v SMS zprávách dříve, než si ověříte identitu odesílatele, pokud je to možné. Ověření lze provést skrze sociální sítě, nebo můžete zkusit telefonní číslo zadat do prohlížeče a přečíst si recenze.
Máte-li podezření, že nemá příchozí zpráva zrovna nejčistší úmysly, neváhejte ji nahlásit svému zaměstnavateli, a v případě Masarykovy univerzity Kyberbezpečnostnímu týmu.
Andrej, 25 let
Ekonom
SPEAR-PHISHING
Spear-phishing lze nazvat sofistikovanějším bratrem phishingových technik. V čem spočívá jeho zákeřnost? To zakusí začínající ekonom Andrej...
Každý z nás patří pracovně do určité skupiny s konkrétními právy a specifickými přístupy. Nejčastěji útočníky vyhledávanou skupinou jsou pracovníci, kteří manipulují s peněžními prostředky a vysoce citlivými daty. A právě Andrej spadá to první z těchto zmiňovaných skupin. Do pracovní e-mailové schránky mu denně přichází několik desítek zpráv. Dnes se mezi nimi objevila i zpráva, jež nesla název „Kalendář plánu mezd listopad“. Stručná zpráva mimo tohoto popisu obsahovala také odkaz, který vybízel k otevření dokumentu na příslušné adrese. Po kliknutí na odkaz se Andrejovi na obrazovce objevila učebnicová phishingová stránka, která se snažila napodobit jednotné přihlášení Masarykovy univerzity. Ve chvíli, kdy by Andrej tento formulář vyplnil, jeho přihlašovací údaje by putovaly přímo do rukou útočníka, který je může libovolně zneužít.
Proč měl Andrej tendenci tento e-mail otevřít? Souvisel totiž přímo s jeho pracovní náplní, a právě na to útočníci sázeli. Mimo to se také mezi dalšími pracovními e-maily poměrně dobře zamaskoval. Co mohl Andrej udělat, aby se ujistil, že něco není v pořádku? A čím se můžete řídit i vy?
I přes věrně působící vizuální identitu si vždy důkladně prohlédněte adresní řádek. Je všechno v pořádku? V každodenní rychlé pracovní rutině nezbývá tolik času na kontrolu každého detailu v e-mailu nebo na webu. Kontrola adresního řádku se však vždy vyplatí.
Jednotné přihlášení MUNI bude mít vždy podobu id.muni.cz. Každá, byť drobná změna webové adresy indikuje podvržený web. A nezapomeňte – obdržené podezřelé e-maily i již vyplněné phishingové formuláře vždy nahlašujte.
Viděli jste už někdy scénu, kdy se stádo antilop přijde v perném dni na savaně osvěžit k vodnímu toku a náhle se z vody vynoří aligátor, který stáhne některé ze zvířat pod vodu? Jedná se o fenomén, který patří k potravnímu řetězci v tamních podmínkách. A podle tohoto fenoménu se jmenuje jedna z nejvíce sofistikovaných metod sociálního inženýrství – Watering Hole. Jak takový útok funguje vám představíme na příběhu vývojářky Martiny, kterou si také vyhlédl predátor. Nečíhal ovšem pod vodou, nýbrž v kyberprostoru.
Před zahájením samotného útoku musel útočník velmi pečlivě sbírat data o své oběti, aby byl jeho útok co nejefektivnější. V našem případě útočník zjistil, přes jakou donáškovou službu ve městě si Martina nejčastěji objednává domů jídlo. To se mu mohlo podařit například pomocí techniky Trashing. Útočník následně našel zranitelnost, kterou provozovatel donáškové služby neměl ošetřenou a web kompromitoval pro své zájmy. Poté stačilo vyčkat, až Martina daný web navštíví a škodlivý kód se prostřednictvím něj dostane do jejího zařízení. Tento typ útoku je opravdu vysoce cílený a rozhodně se s ním uživatelé nepotkávají běžně. Je ale dobré vědět, co všechno mají útočníci v kapse.
Martina, 30 let
Vývojářka
Eva, 38 let
Členka Komory akademických pracovníků
VISHING
Po náročném pracovním dni se Eva konečně těšila na poklidnou chvilku čtení před spaním. V tu chvíli jí ale začal bzučet telefon s neznámým číslem svítícím na displeji. Eva v rozhořčení hovor přijala, než ale stačila dotyčnému důrazně vysvětlit, že v takto pozdní hodinu je velmi nezdvořilé komukoliv volat, představil se jí profesionálně znějící hlas a začal na Evu rychle naléhat. Byl prý napaden bankovní účet nadačního fondu, který spravuje, jedná se zásadní bezpečnostní problém a pro zajištění účtu potřebují od Evy okamžitou spolupráci, ideálně aby pracovníkovi ihned sdělila přihlašovací údaje do bankovnictví, včetně PINU.
Eva byla chvíli přirozeně zmatená a vyděšená, velmi rychle si ale uvědomila, že se musí jednat o podvodný telefonát, přihlašovací údaje se přece nikdy nikomu nesdělují, natož PIN. A měla pravdu, stala se totiž obětí Vishingu – voice-phishingu, tedy techniky podobné phishingu využívající ovšem pro přesvědčení oběti místo e-mailu podvodný hovor.
Hned jak si uvědomila, v jaké situaci se nachází, žádné údaje podvodníkovi nesdělila a hovor urychleně ukončila. Co bychom ale v podobné situaci my i Eva měli dělat dál?
V ideálním případě si poznamenat číslo, z kterého nám bylo voláno, čas, kdy nám bylo voláno a jaké údaje chtěl útočník vědět. Tedy shromáždit co nejvíce informací o telefonátu.
S těmito údaji je vhodné se poté obrátit na policii – mohou výrazně pomoci při dopadení pachatele i při zabránění dalším podobným pokusům, které nemusí skončit tak dobře, jako v případě Evy.
Podobné telefonáty se rozhodně nemusí týkat jen bankovních účtů, z druhé strany se může ozvat třeba hlas vydávající se za podporu společnosti Microsoft pokoušející se zákeřnou historkou získat přístup k vašemu počítači...
Docent Josef je člen akademického senátu univerzity. Jednoho dne, když Josef pracuje na svém počítači, objeví se na obrazovce pop-up okno s varováním: „Ve vašem počítači bylo nalezeno velké množství virů. Vaše data v počítači jsou ohrožena.“ Josef dostane strach a klikne na odkaz v pop-up okně, který ho přesměruje na webovou stránku nabízející bezplatný antivirový software, který posléze nainstaluje. Ten provede kontrolu počítače a oznámí nalezení několika „virů“. Josef byl znepokojen, ale také trochu skeptický, protože jeho počítač měl nainstalovaný a aktualizovaný legitimní antivirový program. Nicméně grafické rozhraní softwaru vypadalo velmi profesionálně a nový antivirus pro účinnou ochranu požadoval okamžitou platbu za „prémiovou verzi“, aby mohl odstranit detekované viry. Ovšem po kliknutí na tlačítko „Zrušit“ nebo „Zavřít“ se software odmítal uzavřít, a místo toho neustále vyskakovaly další pop-up okna s výstrahami a naléhavými výzvami k zaplacení…
Josef se stal obětí techniky nazývané scareware. Scareware je forma sociálního inženýrství, která využívá strachu a naléhavosti k manipulaci uživatelů. Ve většině případů se jedná o stažení nebo nákup škodlivého softwaru (malware). Doporučení na stažení falešného antivirového programu se začne uživatele zobrazovat nejčastěji, kdy se uživatel nevědomky navštíví webovou stránku, která je infikovaná. A jak se proti falešnému softwaru bránit?
Pokud máte již jeden antivirový program nainstalovaný, nepřidávejte další. Dva antivirové programy se mohou v počítači vzájemně rušit. Obzvláště si dávejte pozor, pokud daný antivirový program neznáte a dostali jste se k němu přes vyskakovací okno.
Pokud se na vašem počítači objeví varování o viru nebo jiném bezpečnostním problému, neklikejte na něj bez ověření. Místo toho zavřete okno a spusťte kontrolu pomocí vašeho antivirového programu.
Pro úplné vyhnutí se riziku infekce scarewarem je nezbytné vyvarovat se klikání na podezřelé URL odkazy a neotevírat vyskakovací okna.
Josef, 60 let
Docent
Mikuláš, 35 let
Vědecký pracovník
QUISHING
Jak technologie postupně pokračují ve svém vývoji, tak i útočníci se stávají stále zdatnějšími ve způsobech jejich zneužívání. O tom se přesvědčí i náš vědecký pracovník Mikuláš, který obdržel do e-mailu výzvu k přihlášení se na konferenci. Co na Mikuláše udělalo dojem, bylo, že místo tradiční URL adresy obsahoval e-mail QR kód s instrukcemi pro rychlou registraci. E-mail vypadal velmi profesionálně, s logem konference a zdánlivě legitimními kontaktními údaji. Mikuláš, fascinovaný tímto moderním přístupem, ihned použil svůj smartphone k načtení QR kódu. Ten ho však přesměroval na webovou stránku, která vypadala jako oficiální stránka konference. Byla vyžadována registrace, a tak Mikuláš bez váhání zadal své osobní a kontaktní údaje, společně s informacemi o svém výzkumu.
Mikuláš se stal obětí relativně nové techniky zvané quishing. Útočník v případě této techniky chce, aby oběť načetla QR kód, který ji následně zavede na phishingovou nebo infikovanou stránku. V případě Mikuláše útočník použil tuto techniku ke zdokonalení spear-phishing útoku, protože QR kódy mohou vzbuzovat větší důvěru než klasické URL adresy. A jak se proti tomuto podvodu bránit?
Stejně jako jste opatrní s nevyžádanými odkazy v emailu nebo zprávách, měli byste být obezřetní i při skenování QR kódů, které jste nečekali, nebo které pocházejí z neznámých zdrojů.
Po skenování QR kódu věnujte pozornost URL adrese webové stránky. Pokud vypadá podezřele, nebo se neshoduje s očekávanou adresou, nevstupujte na stránku. V případě, že se na podezřelou stránku přeci jen dostanete, nic na ní nestahujte.
Některé aplikace pro skenování QR kódů (např. QR Code & Barcode Scanner) mají bezpečnostní funkce, které kontrolují URL adresy pro známé podvodné stránky, než vás na ně přesměrují.
SLOVO ZÁVĚREM
Techniky sociálního inženýrství mohou být v kyberprostoru – a částečně i mimo něj – každodenní hrozbou pro každého. Některé možné scénáře jsme vám představili, jejich hlavní účel ale spočívá v názorných ukázkách, jak kreativní útočníci dokáží být a také, že nikoho nešetří. Pojďme si to celé shrnout. Toto jsou základní kroky, jak se preventivně bránit před technikami sociálního inženýrství, které lze snadno aplikovat do našeho každodenního života:
Vždy ověřujte adresu odesílatele zprávy a adresní řádek na webu.
Neotvírejte e-maily a přílohy z podezřelých zdrojů.
Mějte nainstalován antivirový program a udržujte jej aktualizovaný.
Nikdy nezapojujte a nevkládejte externí nosiče, u kterých si nejste jisti původem a obsahem.
Minimalizujte manipulaci se svými citlivými údaji na veřejných místech.
Nepůjčujte své identifikační karty a klíče žádným osobám, dokonce ani kolegům.
AUTORKY
Barča se dlouhodobě věnuje návrhům a realizacím webových stránek včetně grafických prvků, dále také designu služeb a copywritingu. Spojila své zkušenosti, aby ze všech příběhů vytvořila čtivou a poutavou vzdělávací aktivitu.
Peťa se delší dobu zabývá kybervzděláváním, v kurzu se věnovala odbornému obsahu. Především zajišťovala, aby žádná zákeřná technika nezůstala nevysvětlena způsobem adekvátním potřebám čtenářům kurzu.