Příběhy sociálního inženýrství

Možná v nich také účinkujete...

 

VÁŽENÝ ČTENÁŘI,

vítejte v našem přehledu technik sociálního inženýrství. Co od následujících stránek očekávat? Seznámíme vás s typy bezpečnostních útoků, které bohužel využívají jednu z nejcitlivějších metod psychologickou manipulaci, a to skrze naše přirozené lidské Achillovy paty, tedy například zvědavost, strach či nepozornost. Skrze tento typ manipulace dokáže útočník svou oběť dokonale oklamat, ta se může následně dopustit bezpečnostní chyby a poskytnout tak útočníkovi informace v podobě citlivých údajů a přístupových práv, nebo rovnou peněžních částek.
Zní to jako horor? Možná, ale na rozdíl od klasických strašidelných příběhů pro vás máme vždy i rozuzlení, jak se děsivým scénářům vyhnout. V devíti poutavých příbězích vám ukážeme, jak zákeřní dokáží útočníci být a čeho všeho mohou využít, aby dosáhli svého cíle. Stát se předlohou pro další příběh v těchto scénářích může na rozdíl od světa filmů a literatury kdokoli, a je to jednodušší než by se mohlo zdát. Ať už se věnujete studiu, vyučujete, nebo pracujete jako účetní...

KAPITOLY

Proč Pavlína málem přišla o tisíce korun za údajnou letenku pro kolegu?

Jaké problémy mohl Erice způsobit zdánlivě obyčejný flash disk?

Tibor mohl přujít místo k angličtinářskému kurzu o své přihlašovací údaje. Co se stalo?

Jak Martin mohl svou nepozorností přijít o údaje k internet bankingu?

Roman se zachoval galantně, nechybělo však mnoho a způsobil pořádné problémy na pracovišti...

Jak Věrka obyčejným přehmatem nechtěně zavařila svému kolegovi?

Pavel se v různých typech počítačových útoků vyzná. S čím ale nepočítal?

Andrej netušil, že se dostal do hledáčku útočníka. Mohl tak příjít o své O365 údaje.

Jak vynalézaví dokáží útočníci být pocítí na vlastní kůži Martina...

BLAGGING

Ahoj Pavlínko! Prosím Tě, jsem ve velkým průšvihu! Jel jsem na služebku a ukradli mi peněženku, nemám se jak dostat zpátky domů. Mohla bys mi prosím přes tenhle odkaz poslat peníze na letenku? Prosím, zachraň mě! Mirek.

Tento e-mail dostala hlavní představitelka příběhu o technice označované jako Blagging. Pavlína v rychlosti přečetla zprávu, že se její kolega nachází v nesnázích, a samozřejmě chtěla ihned pomoci Mirek by pro ni přeci udělal to samé, ne? V reakci na urgentní situaci si ale nevšimla, že e-mail přišel z úplně jiné adresy, která neodpovídala Mirkově pracovní či osobní adrese. Ve chvíli, kdyby Pavlína odeslala peníze, stala by se obětí jedné z technik sociálního inženýrství. Metody, při které se útočník snaží zmanipulovat oběť zpravidla velmi poutavým a naléhavým příběhem.

Pavlína, 32
Marketingová specialistka

 

U Blaggingu je velmi častý právě požadavek o určitou peněžní částku. Útok z našeho příběhu byl natolik sofistikovaný, že útočník využil reálnou identitu Pavlínina kolegy. Jak věděl, že Mirek opravdu vyrazil na služební cestu? Na výběr má přeci mnoho dalších technik sociálního inženýrství, které mohou k získání podobných informací posloužit! Co když Mirek například sdílel veřejně fotku z ciziny na sociálních sítích? Útočníkovi pak stačí jen vymyslet poutavý příběh a zfalšovat e-mailovou adresu. Ale jak se proti Blaggingu bránit (nejen) v prostředí Masarykovy univerzity? Pakliže obdržíte podobnou zprávu jako Pavlína:

Zkuste v první řadě ověřit adresu odesílatele. Pakliže adresa odesílatele nesouhlasí s formátem adres vašeho pracoviště, je načase zpozornět. V prostředí Masarykovy univerzity můžete e-mailovou adresu osob ověřit zde. 

Nabydete-li podezření, kontaktujte danou osobu skrze jiný komunikační kanál, například osobní e-mailovou adresu, sociální sítě, anebo zkuste prostě a jednoduše dané osobě zatelefonovat.

Potvrdí-li se vám, že se jedná o podvod, či daná osoba delší chvíli nereaguje, raději hlaste celý incident kompetentním osobám (IT technikům, vedoucím). V případě MUNI neváhejte situaci hlásit kyberbezpečnostnímu týmu

Erika, 52 let
Vedoucí studijního oddělení

BAITING

Eriku považují její kolegové za zodpovědnou vedoucí studijního oddělení. Aby ne, v této pozici působí již deset let. Jednoho dne, cestou do práce najde Erika na parkovišti zářivě růžový flash disk s nápisem Teambuilding fotky. Erika si takzvanou flashku chvíli prohlížela, a nakonec se rozhodla ji vzít. Leží přece před budovou, kde pracuje, a mohla by někomu chybět. Odnese ji na vrátnici a tam se o ni jistě přihlásí majitel. Po příchodu do kanceláře to ale Erice nedá. O jaký teambuilding asi šlo? A jaké zajímavé fotografie by tam mohla najít? Flashku vrátí, ale až si obsah sama prohlédne. Jedná se přeci o její kolegy, a kdyby ne, alespoň bude vědět, že nemá cenu disk na vrátnici odevzdat a vymyslí jiné řešení. Zapojí médium do svého pracovního počítače a otevře složku. Žádné fotografie však nenajde, jen nějaké nesmyslné soubory. Fotografie už asi někdo vymazal, pomyslí si. Škoda. Disk vytáhne a odnese jej na vrátnici budovy s úmyslem nahlásit nález.

Erika v tuto chvíli vůbec netuší, že se stala obětí takzvaného Baitingu metody sociálního inženýrství, která využívá naši přirozenou zvědavost. Cílem útočníka v tomto případě bylo namotivovat lákavým popiskem na disku některého z pracovníků, aby médium zapojil do své pracovní stanice. Mezitím, co Erika hledala fotografie, se za jejími zády dávno spouštěl škodlivý software, který má možná nyní vládu nad jejím počítačem. Co s ním asi provede?

Erika má štěstí má na svém pracovním počítači nainstalovaný a plně aktualizovaný antivirový program, který si se škodlivým softwarem poradí. Ne vždy to však končí takto.

Nikdy do svých pracovních ani osobních  zařízení nezapojujte a nevkládejte nosiče (flash disky, SD karty...), u kterých si nejste jisti původem a obsahem. Doporučujeme také svá zařízení zabezpečit.

PHISHING

Tibor se ve svém příběhu tváří v tvář setkává s nejrozšířenějším typem útoku sociálního inženýrství – phishingem. Phishing má zpravidla podobu v rozesílání hromadných podvodných e-mailů. Tyto podvodné e-maily se snaží z uživatele vymámit nejrůznější přihlašovací údaje. V osobním životě může jít o přihlašovací jméno a heslo k bankovnímu účtu, v zaměstnání zase o přístup do pracovních aplikací a systémů. V prostředí Masarykovy univerzity je to nejčastěji přístup do Informačního systému Masarykovy univerzity. Co když ale útočníci změní taktiku a začnou si brousit zuby na váš O365 účet? S takovým pokusem se setkal právě Tibor... 

Tiborovi přišel v pátek odpoledne e-mail nabízející excelentní kurzy jazyků s výhodnými slevami v přiloženém dokumentu. Zaraduje se a přiložený soubor rozklikne. Náhle na něj vyskočí okénko s žádostí o oprávnění k přístupu k Tiborovým údajům účtu O365. Požaduje přístup ke kalendáři, kontaktům a dalším položkám. Po odsouhlasení těchto požadavků by Tibor dal útočníkům plný přístup ke svému O365 účtu. Co by mělo být Tiborovi i vám, čtenáři, podezřelé na první pohled? 

Tibor, 34 let
Vyučující angličtiny

Při přistupování k jakémukoli souboru po vás O365 nikdy nebude chtít potvrdit přístup k účtu (ať seznamu kontaktů, změnám v kalendáři nebo čemukoli jinému).

Každá aplikace by vždy měla požadovat přístup pouze k položkám, které souvisí s její primární činností. Pokud Tibor otevírá odkaz na dokument ve Wordu z O365, proč by měla aplikace chtít přístup do jeho kalendáře nebo číst veškeré jeho soubory?

Vždy si pečlivě přečtěte, jaké souhlasy aplikaci dáváte, i když myslíte, že ji znáte jako vlastní boty. Pokud se vám zdají požadavky podezřelé, či v případě, že phishingu podlehnete (což se vždy dříve nebo později projeví), nahlaste to. 

Martin, 19 let
Student

SHOULDER SURFING

Nechybělo mnoho a Martin se stal obětí Shoulder Surfingu, metodě sociálního inženýrství, která se vám může stát prakticky kdekoli a kdykoli. Shoulder Surfing, jak napovídá sám název, je založen na odpozorování důležitých dat a informací (například PINu) z displeje zařízení svého uživatele. Doslova tedy stačí, aby se vám útočník koukal přes rameno a čekal na správnou chvíli. I takto může začínat kybernetický útok a Shoulder Surfing může představovat jen jeden střípek z mozaiky.

Martin jednoho dne vyrazil městskou hromadnou dopravou do školy, jako téměř každý den, a rozhodl se zkontrolovat, jestli už mu na účet dorazila výplata za brigádu. Tramvaj byla standardně přeplněná, ale Martin ukořistil místo k sezení. Když se přihlašoval, vůbec nezpozoroval podivného člověka za zády, kterému se přímo nabízel pohled do jeho přihlašovacího formuláře k internetovému bankovnictví. Co Martinovi možná zachránilo výplatu a jak předejít podobné situaci?

Martin měl to štěstí, že zvolil ke svému internetovému bankovnictví dostatečně silné heslo, které nemohl útočník odpozorovat. Příště by měl ale dbát také na okolí a například si stoupnout zády ke stěně tramvaje.

Doporučujeme ale raději minimalizovat manipulaci se svými citlivými údaji na veřejných místech. Internetové bankovnictví si raději zkontrolujte doma a pracovní e-maily jistě počkají do kanceláře.

Všechna tato doporučení platí nejen pro Shoulder Surfing, ale také pro ochranu vašeho soukromí jako takovou, a to i mimo kyberprostor. Soukromí bychom si všichni měli vždy pečlivě chránit.

TAILGATING

Že se sociální inženýrství a kybernetické útoky netýkají jen našich zařízení, e-mailových schránek nebo třeba serverů se dnes na vlastní kůži přesvědčí výzkumník Roman. Při rušném pondělním ránu Roman vchází do oddělení svého pracoviště, a sotva pípne kartičkou u vstupu, volá na něj pohledná mladá žena. Pustíte mě prosím? Nechala jsem si kartičku doma. Roman prosbě gentlemansky vyhoví a slečně při vstupu ještě přidrží dveře. Na Masarykově univerzitě pracuje pouhé dva měsíce, takže ještě nemá úplně přehled o všech svých spolupracovnících. Zatím ještě netuší, že slečnu už nikdy neuvidí... 
Co Roman netuší zcela určitě je, že se právě stal obětí takzvaného Tailgatingu, který může mít nedozírné následky. Jak že se to mohlo stát?

Roman, 46 let
Výzkumník

Tailgating je metodou sociálního inženýrství, která využívá situace především ve velkých organizacích. Tato pracoviště často charakterizuje to, že se všichni zaměstnanci mezi sebou neznají. Hůře se jím tedy rozlišuje, kdo v tomto zázemí opravdu pracuje. A právě na to útočníci sázejí. Pro úspěch takového útoku pak stačí působit dostatečně sebejistě a v ideálním případě oběť rozptýlit. Jakmile se útočník dostane na pracoviště s omezeným přístupem, může způsobit spoustu potíží. Od ukradení dat z nezašifrovaného disku po nasazení škodlivého kódu do zařízení vedoucího pracovníka. Jak se proti Tailgatingu může Roman i vy bránit?

Pokud se setkáte s někým, koho neznáte a tvrdí, že zapomněl ID kartu či klíče, pokuste se danou osobu prověřit například na vrátnici. Rozhodně ale nikdy nepouštějte neznámé osoby přímo na svá pracoviště.

Pokud vstupujete do prostoru s omezeným přístupem, používejte vždy pouze své identifikační karty a klíče. Zároveň je nikdy nezapůjčujte jiným osobám, a to ani kolegům. A na závěr k zamyšlení nepouštěli jste v poslední době někoho cizího na své pracoviště?

Věrka, 26 let
Mzdová účetní

TRASHING

Věrka, která pracuje na personálně-mzdovém oddělení při úřadu většího města, nastoupila do práce před třemi měsíci. Minulý týden se jí do denní agendy dostal úkol vystavit zápočtový list zaměstnanci, který odchází. Věrka tedy vše připravila, ale při předání si zaměstnanec všimnul drobného překlepu ve svém příjmení. Věrka tedy připravila nový zápočtový list a ten starý hodila v rychlosti do koše. Za pár dnů začala kopie tohoto zápočtového listu putovat po internetu. Ukázalo se, že zápočtový list obsahuje velmi citlivé údaje, které by nikdo z nás nechtěl veřejně sdílet. Například, jestli se ze mzdy prováděly nějaké soudem nařízené srážky.

Co se tedy stalo? Věrka okamžitě dostala podezření na škodlivý software ve svém počítači. Vysvětlení je však mnohem více prosté. Takzvaný Trashing je technika sociálního inženýrství, kde útočník zkouší získat informace mezi vyhozeným smetím z kanceláří. Ano, čtete správně. Takto se zápočtový list dostal na internet, odkud už ho pravděpodobně nikdy nikdo nesmaže. Jak se tedy bránit proti Trashingu?

Nejúčinnější metodou je prevence. Útočníci dokáží být velmi obratní při pokusech o získání citlivých údajů a informací, zvlášť jedná-li se o vytipovanou oběť.

Pamatujme tedy, že odpadkové koše nejsou černé díry. I v případě, kdy dokument jen ručně roztrháte nebo rozstříháte, obratný útočník si poradí. Svěřte tedy nepotřebné dokumenty raději skartovačce.

SMISHING

Pavel pracuje jako knihovník na Masarykově univerzitě již více něž 17 let, během této doby už se dobře naučil, že do e-mailové schránky občas přistávají zprávy, které mají nekalé úmysly. Proto si dává pozor a vzorně je nahlašuje. Co ale Pavel netuší je, že útočníci se vyvíjejí a jejich útoky mohou cílit i na jiná zařízení. Dnes ráno totiž Pavlovi přišla na služební telefon SMS zpráva, kde se psalo, že univerzitní semafor přechází na červenou a ať se urychleně přes přiložený odkaz přihlásí do Informačního systému MU a neprodleně obeznámí se situací všechny své kolegy na pracovišti. A co se v takové situaci stane? Úplně to samé jako u podvodného phishingového e-mailu, Pavel dobrovolně odevzdal své údaje útočníkům, a ještě rozšířil poplašnou zprávu mezi své kolegy.

Tento typ útoku se nazývá Smishing. Jak i název napovídá, jedná se o phishing proveden prostřednictvím SMS zprávy. A může přijít i v mnohem atraktivnější formě, například doručovací SMS od dodávky jídla nebo jako výhra mobilního telefonu. Jak se této metodě sociálního inženýrství bránit?

Pavel, 45 let
Knihovník

Neposkytujte svá telefonní čísla na volně dostupných místech, pokud to není nutné. Na příchozí SMS zprávu neodepisujte a na dané číslo rozhodně nevolejte.

Neklikejte na přiložený odkaz v SMS zprávách dříve, než si ověříte identitu odesílatele, pokud je to možné. Ověření lze provést skrze sociální sítě, nebo můžete zkusit telefonní číslo zadat do prohlížeče a přečíst si recenze.

Máte-li podezření, že nemá příchozí zpráva zrovna nejčistší úmysly, neváhejte ji nahlásit svému zaměstnavateli, a v případě Masarykovy univerzity Kyberbezpečnostnímu týmu.

Andrej, 25 let
Ekonom

SPEAR-PHISHING

Spear-phishing lze nazvat sofistikovanějším bratrem phishingových technik. V čem spočívá jeho zákeřnost? To zakusí začínající ekonom Andrej...
Každý z nás patří pracovně do určité skupiny s konkrétními právy a specifickými přístupy. Nejčastěji útočníky vyhledávanou skupinou jsou pracovníci, kteří manipulují s peněžními prostředky a vysoce citlivými daty. A právě Andrej spadá to první z těchto zmiňovaných skupin. Do pracovní e-mailové schránky mu denně přichází několik desítek zpráv. Dnes se mezi nimi objevila i zpráva, jež nesla název Kalendář plánu mezd listopad. Stručná zpráva mimo tohoto popisu obsahovala také odkaz, který vybízel k otevření dokumentu na příslušné adrese. Po kliknutí na odkaz se Andrejovi na obrazovce objevila učebnicová phishingová stránka, která se snažila napodobit jednotné přihlášení Masarykovy univerzity. Ve chvíli, kdy by Andrej tento formulář vyplnil, jeho přihlašovací údaje by putovaly přímo do rukou útočníka, který je může libovolně zneužít.

Proč měl Andrej tendenci tento e-mail otevřít? Souvisel totiž přímo s jeho pracovní náplní, a právě na to útočníci sázeli. Mimo to se také mezi dalšími pracovními e-maily poměrně dobře zamaskoval. Co mohl Andrej udělat, aby se ujistil, že něco není v pořádku? A čím se můžete řídit i vy?

I přes věrně působící vizuální identitu si vždy důkladně prohlédněte adresní řádek. Je všechno v pořádku? V každodenní rychlé pracovní rutině nezbývá tolik času na kontrolu každého detailu v e-mailu nebo na webu. Kontrola adresního řádku se však vždy vyplatí.

Jednotné přihlášení MUNI bude mít vždy podobu id.muni.cz. Každá, byť drobná změna webové adresy indikuje podvržený web. A nezapomeňte – obdržené podezřelé e-maily i již vyplněné phishingové formuláře vždy nahlašujte.

WATERING-HOLE

Viděli jste už někdy scénu, kdy se stádo antilop přijde v perném dni na savaně osvěžit k vodnímu toku a náhle se z vody vynoří aligátor, který stáhne některé ze zvířat pod vodu? Jedná se o fenomén, který patří k potravnímu řetězci v tamních podmínkách. A podle tohoto fenoménu se jmenuje jedna z nejvíce sofistikovaných metod sociálního inženýrství Watering Hole. Jak takový útok funguje vám představíme na příběhu vývojářky Martiny, kterou si také vyhlédl predátor. Nečíhal ovšem pod vodou, nýbrž v kyberprostoru.

Před zahájením samotného útoku musel útočník velmi pečlivě sbírat data o své oběti, aby byl jeho útok co nejefektivnější. V našem případě útočník zjistil, přes jakou donáškovou službu ve městě si Martina nejčastěji objednává domů jídlo. To se mu mohlo podařit například pomocí techniky Trashing. Útočník následně našel zranitelnost, kterou provozovatel donáškové služby neměl ošetřenou a web kompromitoval pro své zájmy. Poté stačilo vyčkat, až Martina daný web navštíví a škodlivý kód se prostřednictvím dostane do jejího zařízení. Tento typ útoku je opravdu vysoce cílený a rozhodně se s ním uživatelé nepotkávají běžně. Je ale dobré vědět, co všechno mají útočníci v kapse.

Martina, 30 let
Vývojářka

SLOVO ZÁVĚREM

Techniky sociálního inženýrství mohou být v kyberprostoru – a částečně i mimo něj – každodenní hrozbou pro každého. Některé možné scénáře jsme vám představili, jejich hlavní účel ale spočívá v názorných ukázkách, jak kreativní útočníci dokáží být a také, že nikoho nešetří. Pojďme si to celé shrnout. Toto jsou základní kroky, jak se preventivně bránit před technikami sociálního inženýrství, které lze snadno aplikovat do našeho každodenního života:

Vždy ověřujte adresu odesílatele zprávy a adresní řádek na webu.

Neotvírejte e-maily a přílohy z podezřelých zdrojů.

Mějte nainstalován antivirový program a udržujte jej aktualizovaný.

Nikdy nezapojujte a nevkládejte externí nosiče, u kterých si nejste jisti původem a obsahem.

Minimalizujte manipulaci se svými citlivými údaji na veřejných místech.

Nepůjčujte své identifikační karty a klíče žádným osobám, dokonce ani kolegům.

Sociální inženýrství bohužel ale není jedinou hrozbou v kyberprostoru, jedná se pouze o několik technik obvykle úzce zaměřených na konkrétní osoby. Nemusíte ale mít strach. Preventivní opatření i možnosti řešení ostatních možných hrozeb naleznete v našem dalším kurzu – Kyberkompas. A kdyby hořelo? Kyberbezpečnostní tým Masarykovy univerzity je tu vždy pro vás!

AUTORKY

Barča se dlouhodobě věnuje návrhům a realizacím webových stránek včetně grafických prvků, dále také designu služeb a copywritingu. Spojila své zkušenosti, aby ze všech příběhů vytvořila čtivou a poutavou vzdělávací aktivitu.

Peťa se delší dobu zabývá kybervzděláváním, v kurzu se věnovala odbornému obsahu. Především zajišťovala, aby žádná zákeřná technika nezůstala nevysvětlena způsobem adekvátním potřebám čtenářům kurzu.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info