2. Anotace
Text jednoduchou formou rozebírá oblast sociálního inženýrství, které je v současnosti
jedním z nejzávažnějších kybernetických problémů. V úvodu jsou vysvětleny základní pojmy.
Následně text pojednává o metodách sociotechnického útoku. Text se nejprve zaměřuje na
prozkoumání volných zdrojů, kterými mohou být odpadkové koše, sociální sítě či telefonické
hovory s lidmi, kteří většinou nevědí, že je jejich ochota pomáhat zneužita. V rámci
sociotechnického útoku využívá sociotechnik metody k budování důvěry, která je mnohdy
klíčová pro úspěch. Text je zakončen pasáží o metodách, pomocí nichž je sociotechnik
schopen přesvědčit oběť, aby udělala to, co od ní očekává. Výběr metod závisí na tom,
s kým a jakým způsobem bude útočník komunikovat.
Klíčová slova
Důvěra, Facebook, hovor, komunikace, sociální inženýrství, sociální sítě,
sociotechnik, strategie, Twitter, útok, zdroje, zločin
Argumentace
K výběru tématu jsem se rozhodl, protože se ve své diplomové práci zabývám metodami
sociálního inženýrství v praxi. Zkoumám možnost jejich zneužití v knihovnách, kde se všichni
uživatelé, čtenáři a samotní knihovníci každodenně setkávají s výpočetní technikou a mohou
se tak snadno stát obětí sociotechnického útoku. Také bych rád upozornil na to, že tento
problém nepatří pouze na filmová plátna, ale jedná se o skutečnou hrozbu pro každého, kdo
pracuje s informačními a komunikačními technologiemi. Jak plyne z knihy Kevina Mitnicka,
i sebelepší zabezpečení dat je k ničemu, když selže lidský faktor.
3. 1. Sociální inženýrství
Sociotechnika (sociální inženýrství) je manipulace s lidmi s cílem oklamat je, aby uvěřili,
že sociotechnik (útočník využívající sociotechniky) je osoba s totožností, kterou předstírá.
Takovou totožnost si sociotechnik vytváří přesně pro potřeby manipulace. Díky tomu je
schopen využívat lidi, se kterými hovoří, případně další technologické prostředky, k tomu aby
udělali, co on sám chce, nebo aby získal cenné informace či peníze.
Pro sociotechnika je jednodušší využívat lidskou psychiku, slabosti či návyky, než
překonávat technické nástrahy bezpečnostních systémů.
2. Metody sociotechnického útoku
Sociotechnický útok je dobře promyšlený plán, který má dvě úrovně. Psychologická je
založena na selhání lidského faktoru a fyzická využívá k oklamání prostředky ICT (informační
a komunikační technologie). Každý útok začíná průzkumem volných a dostupných zdrojů
informací, nejčastěji webových stránek, profilů na sociálních sítích a dalších volně
dostupných materiálů. Na základě zjištěných informací buduje sociotechnik vztah
s vytipovanou osobou a snaží se u ní vzbudit pocit důvěry. Ta je následně i opakovaně
zneužita pro získání kýžené informace nebo k dosažení vytýčených cílů. Tomu říkáme
sociotechnický cyklus.
2.1. Průzkum volných zdrojů
Sociotechnický útok začíná průzkumem volně dostupných zdrojů informací. Pod tímto
pojmem si lze představit informace, které jsou přístupné širší veřejnosti. Mohou být
k dispozici v elektronické podobě na internetu, v tištěné podobě, nebo je možné je získat
jiným zákonným způsobem, například dotazem v tiskové kanceláři, nebo po uplatnění zákona
106/1999 Sb. o svobodném přístupu k informacím v případě, že se jedná o veřejnou instituci.
Nejjednodušší cestou, jak se dostat k informacím, je procházení webových stránek, kde
o sobě často uživatelé dobrovolně prozrazují překvapivě mnoho. Stejně tak je tomu na
sociálních sítích (Facebook, Twitter, LinkedIn), v informačních systémech středních i
vysokých škol, nebo na dalších stránkách, kde se uživatel rádi prezentují.
4. Další možností, jak se dostat k volně dostupným informacím, je prohledání
odpadkového koše osoby, o které se toho chce sociotechnik před útokem dozvědět víc.
Odpadkový koš může skrývat řadu zajímavých dokumentů, výstřižků, složenek a dalších věcí,
kde se mohou nacházet informace od jména a příjmení, přes bydliště až k rodnému číslu,
nebo účtu v bance.
Po analýze informací z volně dostupných zdrojů si sociotechnik dokáže poskládat
základní obraz osoby, na kterou chce zaútočit. Velmi často se dozví, co má ráda, o co se
zajímá, čím se živí a kdy a kde bývá k zastižení. Dalším krokem je budování důvěry.
2.2. Budování důvěry
Pro využití nebo rozšíření informací z volně dostupných zdrojů je pro sociotechnika
nezbytné vytvořit si dobrý vztah s osobou, na kterou chce zaútočit nebo kterou chce využít.
Základem dobrého vztahu je vybudování důvěry díky využití znalosti prostředí, v kterém se
dotyčná osoba pohybuje. Vybudování důvěry je založeno na využití získaných informací.
Každý ochotněji spolupracuje, když komunikuje s člověkem, se kterým má něco společného.
Může se jednat o stejný studijní obor, absolvovaný předmět, nebo o podobné záliby, koníčky
či práci. Využít se dají i negativní věci jako touha podělit se o své znalosti určitého problému,
touha někomu se vypovídat až k touze po pomstě, když byl dotyčný nějakým způsobem
negativně ovlivněn a převládají negativní emoce.
Pro usnadnění komunikace a vybudování důvěry využívá sociotechnik předem
promyšlenou strategii, která se podobá šachové partii. Sociotechnik musí být vždy alespoň o
jeden tah před osobou, na kterou útočí. Strategie se dají obecně rozdělit na 3 základní druhy:
Úzce osobní strategie
Familiární komunikační strategie
Oficiální komunikační strategie
2.3. Přesvědčovací metody
Cílem sociotechnického útoku je přelstít oběť. Výsledek útoku mohou ovlivnit
následující faktory. Jsou založeny na využití dříve zmíněných lidských vlastností.
Přesvědčení oběti, že je tím, kdo rozhoduje, jedná ze své vlastní vůle a bude za svoji
práci odměněna. Odměnou může být třeba dobrý pocit z pomoci kolegovi z oboru.
5. Sociotechnik nesmí být příliš vtíravý a dělat nátlak na oběť. Všechno má svůj čas.
Útočník musí být přátelský a nastavit v komunikaci přátelský tón. To může pomoci i
v jinak prohraném útoku, protože každý věří v dobrotu svého kolegy nebo kamaráda.
Využití pocitu zbavení se odpovědnosti, kdy je oběť sdílnější ke komunikaci, když ví,
že tíha odpovědnosti neleží pouze na ní, ale třeba na útočníkovi, nebo
spolupracovnících a šéfech, které sociotechnik během hovoru zmíní.
Naděje na zlepšení stávajícího stavu je vhodnou motivací zejména v pracovním
prostředí. Oběť je sdílnější, když uvěří, že splněním požadavků útočníka získá lepší
pracovní pozici, nebo si polepší před svými kolegy nebo soupeři.
Jak již bylo zmíněno, jedním z nejdůležitějších kroků je vybudování pocitu důvěry.
Sérií na první pohled bezvýznamných vět při komunikaci vzbudí sociotechnik důvěru
oběti a ta bude ochotnější ke komunikaci.
Využití morální odpovědnosti oběti spočívá v tom, že se vyvolá přesvědčení, že se na
děje bezpráví, kterému může oběť zabránit právě tím, že poslechne útočníka.
Obr. 01 Schéma sociálního inženýrství
6. Zdroje
Monografie
JIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojských
koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2.
- Jedna z nejucelenějších knih o problematice počítačové kriminality.
- Dobře popsán sociotechnický postup, metody i strategie.
- Kniha je od dvou předních českých autorů z oblasti počítačové kriminality.
- Je zde popsán vývoj složek, které mají za úkol boj proti počítačové kriminalitě.
- Jsou zde uvedeny metody vyšetřování počítačových zločinů.
MITNICK, Kevin. Umění klamu. Vyd. 1. Gliwice: Helion, 2003, 348 s. ISBN 83-736-1210-6.
- Nejlepší kniha o sociálním inženýrství, která je beznadějně vyprodána.
- Jejím autorem je největší sociální inženýr Kevin Mitnick.
- Nabízí ucelený pohled na problematiku, metody, techniky, obranu.
- Autor používá velké množství příkladů z vlastní i cizí praxe.
- Jakožto expert přidává autor rady, jak se bránit proti sociotechnickému útoku.
Odborné články
BESTUZHEV, Dmitry. Testy sociálního inženýrství: Ověřování bezpečnosti organizace. IT
Systems [online]. Brno: CCB s.r.o, 2012, č. 9 [cit. 2013-01-05]. Dostupné z:
http://www.systemonline.cz/it-security/socialni-inzenyrstvi-1.htm
- Článek přináší základní informace o sociálním inženýrství.
- Přináší výsledky, které dokazují, že nejzranitelnější a také nejslabší částí organizace
jsou právě její zaměstnanci.
- Nabízí možnost, jak otestovat zaměstnance a jejich náchylnost k metodám sociálního
inženýrství. Uvádí možnosti, jak test vypracovat a vyhodnotit.
- Přichází s myšlenkou, že sociální inženýrství je nebezpečné tam, kde se integruje
více služeb a je k nim zapotřebí pouze jednoho přístupu.
- V závěru uvádí některé v současnosti používané metody a nástroje.
BUDAI, David. Sociální inženýrství v praxi: Když si hacker o heslo prostě
řekne. CNews [online]. 2012, č. 4 [cit. 2013-01-05]. Dostupné z:
http://pcrady.cnews.cz/socialni-inzenyrstvi-v-praxi-kdyz-si-hacker-o-heslo-proste-rekne
- Článek pojednává o metodách sociálního inženýrství se zaměřením na phishing.
- Vznikl jako reakce na klamné e-maily z bank, díky kterým uživatelé přišli o peníze.
- Článek popisuje nejčastěji používané techniky a postupy.
- Představuje osobnost autora Umění klamu Kevina Mitnicka.
- Upozorňuje na to, že pro použití sociálního inženýrství nejsou potřeba rozsáhlé
počítačové znalosti, ale může s ním pracovat téměř kdokoliv.
7. Webové stránky
Social-Engineer.Org: Security Through Education [online]. 2012 [cit. 2013-01-05]. Dostupné
z: http://www.social-engineer.org/
- Jeden z největších světových portálů o sociálním inženýrství.
- Návštěvník se zde dozví základní i podrobnější informace.
- Nabízejí také možnost vzdělávat se formou kvalitních placených kurzů.
- Kvalitní zdroj dalších odborných článků, publikací a webových portálů.
- Nachází se zde i blog, kde se kromě faktických údajů, probírají další zajímavá
aktuální témata, která jsou se sociálním inženýrstvím nějak spojena.
PŘIBYL, Tomáš. Sociální inženýrství z pohledu útočníka. ICT Security [online]. 2009 [cit. 2013-01-05].
Dostupné z: http://www.ictsecurity.cz/odborne-clanky/socialni-inzenyrstvi-z-pohledu-utocnika.html
- Autor pojednává o nebezpečí, které je se sociálním inženýrstvím spojené.
- Rozebírá sociální inženýrství z pohledu útočníka.
- Jsou zde rozebrány možnosti, které dávají útočníkovi výhodu.
- Stránka pojednává o zneužívaných motivačních faktorech.
- Závěrem je nabídnuta možnost, jak se proti útokům bránit a čeho se vyvarovat.