Co je sociální inženýrství?
Sociální inženýrství je akt zneužívání lidských slabin k získání přístupu k osobním informacím a chráněným systémům. Sociální inženýrství se spoléhá na manipulaci jednotlivců spíše než na hackování počítačových systémů, aby pronikly na účet cíle.
Porozumění sociálnímu inženýrství
Například žena by mohla zavolat do banky oběti muže a předstírat, že je jeho manželkou, která tvrdí, že je v nouzi a žádá o přístup na svůj účet. Pokud žena dokáže úspěšně sociálně připravit zástupce zákaznického servisu banky odvoláním se na empatickou tendenci zástupce, může se mu podařit získat přístup na účet muže a být schopen ukrást jeho peníze. Podobně by útočník mohl kontaktovat oddělení zákaznických služeb poskytovatele e-mailu, aby získal reset hesla, který útočníkovi umožní kontrolovat e-mailový účet cíle namísto toho, aby do něj zasáhl.
Sociální inženýrství se týká manipulace s cílem tak, aby se vzdaly klíčových informací. Kromě krádeže identity jednotlivce nebo ohrožení kreditní karty nebo bankovního účtu lze použít sociální inženýrství k získání obchodního tajemství společnosti nebo k využití národní bezpečnosti.
Pro potenciální cíle je obtížné zabránit sociálnímu inženýrství. Používají se preventivní opatření, jako je používání silných hesel a dvoufaktorové ověřování účtů, ale účty mohou být stále ohroženy třetími stranami s přístupem k jejich účtům, jako jsou zaměstnanci bank. Jednotlivci však mohou snížit své riziko tím, že se vyhnou rozdávání důvěrných informací, opatrnosti při sdílení informací na sociálních médiích, neopakování hesel, používání dvoufaktorové autentizace, použití falešných nebo těžko uhodnutelných odpovědí na bezpečnostní otázky účtu a udržování pečlivě sledovat účty, zejména finanční účty.
Útočníci často používají v systémech sociálního inženýrství překvapivě jednoduchou taktiku, jako je například požádání lidí o pomoc. Další taktikou je vykořisťovat oběti katastrof tím, že je požádají, aby poskytly osobně identifikovatelné informace, jako jsou rodná jména, adresy, data narození a čísla sociálního zabezpečení pro pohřešované nebo zemřelé blízké - informace, které lze později použít pro krádež identity.
Jako odborník na technickou podporu nebo jako doručující osoba představuje snadné způsoby, jak získat neoprávněný přístup k účtu, jako je odesílání zjevně legitimního e-mailu se škodlivou přílohou. Takové e-maily jsou často zasílány na pracovní e-mailovou adresu, na které jsou lidé méně podezřelí z neznámého odesílatele.
E-maily lze maskovat tak, aby vypadaly, jako by pocházely od známého odesílatele, když je skutečně odesílá hacker. Komplikovanější taktika, která je zaměřena na konkrétní lidi, by mohla zahrnovat poznání jejich zájmů a poté zaslání cíle odkaz související s tímto zájmem. Odkaz může obsahovat škodlivý kód, který může ukrást osobní údaje z jejich počítačů. Mezi oblíbené techniky sociálního inženýrství patří phishing, rybolov koček, chvost a návnada.
