Komunikace prostřednictvím e-komunikačních prostředků nese často množství rizik. Největší nebezpečí však nepředstavují technologie jako takové, ale zejména tzv. lidský faktor – tj, důvěřivost uživatelů komunikace. Z toho následně vychází strategie tzv. sociálního inženýrství – soubor technik, které působí na člověka a mění jeho názory, postoje, vzbuzují v něm falešnou představu o vybraném problému (dále jako tzv. hoax), předsouvají mu nekvalitní deformované informace apod.
Co je tedy sociální inženýrství?
Sociální inženýrství (SI) je termín pro metodu, jež vede legitimní počítačové uživatele
k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství je tedy způsob získávání důležitých informací od uživatelů bez vědomí, že tak činí.
Sociotechnický útok
V samotném úvodu je třeba zmínit, že schopný sociotechnik využívá pro efektivní útok (pro zajištění efektivního útoku) zejména tzv. šest základních vlastností lidské povahy:
- Autoritu
- Sympatii
- Vzájemnost
- Důslednost
- Společenský souhlas
- Poukázání na zvláštní příležitost, akční nabídku apod.
Nyní něco k těmto vlastnostem:
Autorita
Lidé mají obecně tendenci podřídit se osobě s větší mocí (vyšší funkce, vedoucí pozice ve firmě či škole apod.). Vydává-li se sociotechnik například za asistenta ředitele, jeho slova mají vzhledem k průměrnému zaměstnanci vyšší váhu.
Sympatie
Lidé velmi rádi vyhoví požadavkům těm, ke kterým mají jisté sympatie. Ty si lze získat různými způsoby – například díky stejným názorům na problém, zájmům apod.
Vzájemnost
Ve velmi pravděpodobné, že bude se sociotechnikem potenciální oběť spolupracovat, pokud se bude cítit být útočníkovi za něco zavázána. Tedy například sociotechnik pro oběť něco udělá (například něco nainstaluje, sežene film, opraví počítačový problém) a mimoděk oběti řekne, ať si nainstaluje nějaký program, který zajistí bezpečnost počítače oběti. Může to být buď spyware (trojský kůň, keyscan apod..), nebo jednoduše program pro přístup ke vzdálené ploše uživatele (RealVNC apod.).
Důslednost
Součástí lidského charakteru je tendence podřídit se, pokud předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. Například veřejný slib, veřejná sázka apod.
Společenský souhlas
Společenský souhlas funguje tak, že sociotechnik oznámí oběti, že potřebuje něco vyplnit s tím, že všichni ostatní už ho vyplnili. Když to tedy udělali ostatní, proč ne oběť? Pak již záleží na útočníkovi, jaké otázky oběti předloží (osobní apod.).
Poukázání na zvláštní příležitost, akční nabídku apod.
Kdo z nás by nebyl pod vlivem reklamy, kdo by se nesetkal s akčními nabídkami limitovanými časem či počtem kusů. Šikovný sociotechnik může například operovat s tím, že prvních 100 registrovaných uživatelů dostane nějaký dárek. Registraci odkáže na uměle vytvořenou stránku, která získá od uživatelů hesla, osobní údaje apod. Kolik z uživatelů internetu přeci používá univerzální hesla ke svým e-mailovým účtům? Podobným způsobem probíhá známý phishing spojený se spamem (tedy snaha přesvědčit uživatele, aby přihlásili ke svému bankovnímu účtu prostřednictvím falešné internetové stránky).
A nyní k samotnému sociotechnickému útoku
Jako médium pro sociotechnický útok slouží kromě klasické pošty hlavně telefon a internet (e-mail, IRC, ICQ). Zkušení sociotechnici mohou provádět i útoky „tváří v tvář”.
V případě, že útočník dokonce zná oběť osobně, může uhodnout její heslo na základě informací, které o ní má. Zkusí například zadat místo narození, přezdívku, název vesnice,
ve které má oběť chatu, jméno psa atd. Mezi oblíbená hesla patří příjmení, slova a jména
z Bible, jména hrdinů z animovaných seriálů, postavy a citáty ze Shakespeara, Tolkiena či
Hvězdných válek, rodné číslo, slovo „heslo“, čísla 12345 apod.).
Je až s podivem, jak velké množství lidí jednoduchá hesla tohoto typu používá i pro zabezpečení přístupu k vysoce důležitým dokumentům a účtům. Když o oběti neznáme bližší údaje, je možno využít techniky zvané phishing.
Pokud útočníkovi na úspěchu akce záleží, neváhá věnovat delší časové období na tzv. budování důvěry. Útočník například s obětí třeba i několik týdnů chatuje a při jednom
z rozhovorů (kdy už pro oběť není někým neznámým, ale naopak důvěryhodným) ji přinutí
k instalaci drobného užitečného programu. Jenže spolu s tím většinou dojde i k tiché instalaci (silent install – tzn. uživatel si vůbec neuvědomí, že k něčemu došlo) nějakého monitorovacího programu – tzv. spyware, keyscan apod.. Tento speciální software slouží ke skrytému sledování a odposlouchávání veškerého dění na počítači – navštívené internetové stránky, sledování elektronické pošty, stisku kláves při zadávání hesel atd.
Jak může vypadat sociotechnický útok v praxi, si přečtěte například na: http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm
Za sociální inženýrství, jehož cílem je získat o uživatelích informace využitelné pro další reklamu, jsou pokládány také různé reklamní a soutěžní akce (Reader’s Digest apod.). Velké společnosti již běžně pracují s databázemi osobních údajů uživatelů, které se dále využívají k různým obchodním nabídkám, spamu apod.
Výsledkem funkčního útoku je například heslo k bankovnímu účtu (internetbanking), heslo k přihlášení na e-mail, přístup do počítače oběti apod.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Zdroje:
Šimek, R. Sociotechnika (sociální inženýrství), 2003
http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm
Mitnick. K. Umění klamu.
http://www.lupa.cz/clanky/kevin-mitnick-umeni-klamu/
Kopecký, K. Moderní trendy v elektronické komunikaci. Olomouc: Hanex, 2007.
http://www.nakladatelstvi-hanex.com/index.php?akce=VIEW&id=31&row=3