Bránou do firmy je vždycky člověk. Lidských slabostí využívají hackeři, kteří se snaží z chybujících lidí vylákat citlivé údaje. Tyto metody souhrnně označujeme jako sociální inženýrství. Dá se proti těmto čím dál rafinovanějším útokům účinně bránit, jak funguje nigerijský podvod a jak se mu vyhnout?
Píše se rok 2022 a ředitel jedné základní školy v Olomouci zjišťuje, že na firemním účtu není dostatek peněz na výplaty. Záhy vyjde najevo, že tehdejší účetní poslala virtuálnímu příteli, který se vydával za amerického lékaře na misi v Jemenu, z peněz školy neuvěřitelných 14 a půl milionu korun. Dnes již ze školy propuštěná a odsouzená účetní si prostředky nejprve převedla na svůj účet, pak je směnila na eura a následně odeslala. Dodnes se finance nepodařilo dohledat. Zmíněná účetní se stala obětí právě sociálního inženýrství.
Sociální inženýrství: jak se útočí na lidské emoce?
Útočníci se pokouší nejrůznějšími způsoby zmanipulovat oběť a vylákat z ní citlivé informace, údaje o platební kartě nebo peníze. Důvod, proč jsou tyto útoky tak úspěšné, je jednoduchý. Hackeři totiž útočí na nejslabší místo lidské mysli – na emoce.
Nabízejí pohádkové zbohatnutí, pod rouškou falešné identity vzbuzují soucit a následně žádají o pomoc nebo oběti dostávají pod tlak a nutí je rozhodnout se ve velmi krátkém časovém úseku. Zkrátka je donutit ke špatnému kognitivnímu úsudku.
Znáte krále sociálního inženýrství?
Jednou z nejznámějších postav v oblasti sociálního inženýrství je Kevin Mitnick. Tento Američan si osvojil schopnost manipulovat lidmi a přesvědčovat je tak dokonale, že mu často poskytli přístupové údaje a další citlivé informace. V jednu dobu byl postrachem Ameriky a jedním z nejhledanějších lidí FBI. V devadesátých letech 20. století byl odsouzený za počítačovou kriminalitu a soud mu také později zakázal používat jakékoliv komunikační technologie kromě pevné linky. Po svém propuštění se Mitnick stal prominentním odborníkem na kybernetickou bezpečnost a autorem knih o hackování a sociálním inženýrství. V češtině vyšla jeho kniha Umění klamu.
Aby byl útok úspěšný, často mu předchází důkladná příprava. Hackeři se snaží získat co nejvíce veřejných i důvěrných informací o oběti (třeba analýzou její digitální stopy), jejích rodinných nebo pracovních vztazích; sledují její návyky nebo styl konverzace. Všechny tyto střípky pak slouží útočníkovi v komunikaci s obětí a k postupnému budování důvěry. Hacker získané informace využívá jako digitální důkazy o vlastní důvěryhodnosti nebo se oběť snaží přesvědčit, že je někdo blízký z jeho okolí. Ve chvíli, kdy vycítí, že je správný moment, zaútočí a požádají oběť o sumu peněz, přístup do interních systémů firmy nebo jiné důvěrné informace.
„Člověk bude vždycky nejslabší článek. I zkušený a vzdělaný uživatel může udělat chybu. Včetně admina po 20 letech v IT bezpečnosti,“ řekl v rozhovoru po kybernetické konferenci CIO pro O2 CyberNews ředitel odboru bezpečnosti O2 Radek Šichtanc. Až 90 % úspěšných kybernetických útoků začíná úspěšným sociálním inženýrstvím a tyto útoky stojí firmy více než 18 miliard dolarů ročně. Které metody používají k dosažení útočníci a hrozí nějaká bezpečnostní rizika sociálního inženýrství? Pojďme se na nejčastější typy podívat zblízka.
Co je phishing a jak se proti němu bránit?
Nejrozšířenějším způsobem je bezesporu phishing. Jde o podvodné e-maily, které se tváří jako legitimní – berou na sebe podobu oficiální komunikace institucí, bank nebo třeba i nadřízeného oběti. Odesílatel do těla zprávy často zakomponuje webový odkaz, který také může vypadat věrohodně. Po kliknutí uživatele odvede na stránky, které třeba vyžadují přihlášení nebo údaje o platební kartě. Dnes již spíše úsměvným, ale stále využívaným typem phishingu je tzv. nigerijský podvod. Tak se říká e-mailům, které se snaží vylákat z uživatele peníze jakožto poplatek za dědictví, které vám chce falešný uživatel poslat.
Kyberútočníci, kteří využívají phishing pro získání přístupu do sítí nebo spouštění ransomwarových útoků, svoje techniky postupem času zdokonalili natolik, že je opravdu velmi těžké cílenému útoku odolat. Velké riziko přitom představuje nejen vysoce cílený spear-phishing, ale také automaticky generované phishingové kampaně, které těží z obrovského dosahu.
Potvrzuje to i nedávný průzkum společností Atlas VPN a Egress, podle kterého během posledních 12 měsíců podlehlo phishingu plných 92 % z dotazovaných organizací. A 86 % obětí phishingu uvádí, že to pro ně mělo zásadní následky.
Nejčastějším důsledkem úspěšného phishingového útoku jsou finanční ztráty způsobené odchodem zákazníků. Následuje poškození reputace firmy a často také finanční postih v podobě pokut za nedostatečnou ochranu citlivých dat. Významná část organizací také potrestala zaměstnance a některé svoje pracovníky i propouštěly.
Pro manažery odpovědné za kybernetickou bezpečnost je phishing opravdu značnou hrozbou a může to být ještě horší – 72 % z nich se obává zneužití technologie umělé inteligence pro vytváření ještě hůře rozpoznatelných phishingových kampaní.
Smishing: Pro platbu od ministerstva klikněte zde
Pokud přijde podobná výzva prostřednictvím SMS, mluvíme o tzv. smishingu. V Česku se v posledních měsících roztrhl s podobnými útoky pytel. Národní úřad pro kybernetickou a informační bezpečnost ve své březnové zprávě upozornil na stoupající počet případů, kdy útočníci simulují komunikaci státní správy (mnoha lidem přišla například SMS o tom, že člověk může získat od ministerstva práce a sociálních věcí příspěvek). Zpráva obsahovala odkaz, za kterým se skrývala stránka velmi podobná stránce daného úřadu a vyžadovala po uživateli přihlášení skrz bankovní identitu – tedy snažila se vylákat z důvěřivých uživatelů přihlášení do jejich internetového bankovnictví.
Příklad smishingu
Podobným podvodníkům nahrávají v poslední době i pokroky na poli generativní umělé inteligence. ChatGPT při troše snahy napíše sugestivní podvodný mail, k uměle vytvořenému a přesvědčivě znějícímu hlasu někoho z vašeho okolí stačí pár vzorků jeho mluvy a deepfake videa už negenerují jen odborníci s expertizou v programování. Tento nárůst útoků spojených s AI potvrzují i data. Například podle výzkumu firmy Darktrace v prvních dvou měsících tohoto rokuvzrostl počet podvodných e-mailů o 135 %.
Falešný odkaz na videohovor jako další trend ve phishingu
Jedním z častých podvodů poslední doby jsou odkazy, které se tváří jako legitimní, obvykle pracovní videohovor. Ve skutečnosti jsou ale falešné. Hackeři si totiž zaregistrovali tisíce domén, které jsou velmi podobné těm, jež zvou na volání skrz Zoom, Microsoft Teams nebo Google Meet, tedy nejčastější platformy, které se používají právě pro videohovory.
Falešný videohovor
Ve chvíli, kdy oběť klikne na odkaz v domnění, že jde o skutečnou online pracovní schůzku, link je přesměrovaný na stránku, která vzhledově vypadá jako ta oficiální. Jediné, co může vzbudit podezření, je jazyk stránky, který není pro oběť rodilý (v českém prostředí je to například němčina). Tyto falešné odkazy útočníci šíří prostřednictvím e-mailů a někdy chatových zpráv. Jakmile oběti kliknou na tlačítko „připojit se“, ve skutečnosti se nikam nepřipojují, ale nevědomky si do svého zařízení stahují nějaký virus. Může to být spyware, adware, nebo dokonce trojský kůň s potenciálně nepříjemnými důsledky.
Jak se bránit před smishingovými nebo phishingovými útoky?
Ostražitost nade vše.Lidé nejsou neomylní a podobné chyby se budou dít vždycky. Často záleží pouze na jejich pozornosti a správném rozhodnutí, jestli bude útok zastaven hned v počátku. Dají se ale dopady sociálního inženýrství eliminovat na minimum? „Důležitá je záchranná brzda v podobě bezpečnostních nástrojů, automatizovaných technologií, bezpečnostního monitoringu a podobně a obecně v celém návrhu a takzvaném vícevrstvém modelu bezpečnosti. Odstraňuje (do jisté míry) závislosti na člověku. A když selže jedna úroveň ochrany, zafungují ty další,“ říká ředitel odboru bezpečnosti O2 Radek Šichtanc.
Další cestou je pravidelné vzdělávání zaměstnanců. To může mít i podobu praktického workshopu, kde si lidé z vaší firmy vyzkouší různé typy útoků. Existuje také mnoho školicích materiálů od NÚKIBu – kurzy a tréninky zaměřené na kybernetickou bezpečnost, které jsou určeny pro různé cílové skupiny uživatelů. Také můžete prostřednictvím intranetu kolegy pravidelně informovat o nových podvodných SMS zprávách a jiných druzích útoků, tak jak to například děláme my v O2.
Co si z článku odnést?
Jaké jsou nejčastější techniky sociálního inženýrství v kyberbezpečnosti?
Metodami sociálního inženýrství se snaží hackeři donutit oběti ke kognitivně špatnému úsudku. To se jim často daří, protože cílí na emoce – důvěru, strach, stres. Mezi nejčastější techniky patří například phishing, smishing nebo vishing.
Jak funguje sociální inženýrství?
Hackeři nejčastěji útočí na emoce a s použitím nejrůznějších metod se snaží vytvořit pocit důvěry, pod jehož rouškou se vás snaží donutit k chybě.
Co je phishing a jak se proti němu bránit?
Phishingem se označují podvržené maily, kterými útočník láká oběť k zadání citlivých údajů, například přihlašovacích údajů nebo čísla kreditních karet. Pro ochranu firmy je potřeba zaměstnance vzdělávat a nastavit ve vaší společnosti dostatečné bezpečnostní mechanismy.
Jak funguje nigerijský podvod a jak se mu vyhnout?
Nigerijský podvod je typ triku, kde podvodník vytváří iluzi velké finanční odměny za malý počáteční vklad. Vyhnout se mu můžete tím, že ignorujete nevyžádané zprávy slibující rychlé zbohatnutí a nikdy neposíláte peníze nebo osobní údaje neznámým osobám online.
