Sociální inženýři nemají před jménem Ing. (1.díl)

Jaké pak bylo moje překvapení, když jsem o den později zaslechla v televizním zpravodajství varování před podvodnými weby, které využívají zuřící hokejovou horečku k okrádání nicnetušících uživatelů! Jistě, všichni si mohou vesele zasoutěžit, ale zavazují se přitom k uhrazení registračního poplatku ve výši padesáti Eur. Uf, tak protentokrát jsem podvodníkům proklouzla! Mnoho jiných lidí však naopak uvízlo v síti mazaných sociálních inženýrů.

Právě falešné hokejové weby lákající na zajímavé výhry jsou klasickou ukázkou sociálního inženýrství – způsobu získávání důvěrných informací pomocí psychologické manipulace. Podvodníci sázejí na lidskou důvěřivost, neopatrnost, štědrost, nebo naopak chamtivost. Využívají přitom nejen internetu, ale i telefonátů nebo ososbního kontaktu. Představme si nyní některé z nejčastěji využívaných metod.

Pretexting

Získat nejrůznější citlivé údaje po telefonu se může zdát na první pohled dost nesnadné, ale s dostatečnou dávkou přesvědčivosti, hereckého talentu a umění improvizace to nemusí být takový problém. A právě pretexting partří k metodám sociálního inženýrství, které se uskutečňují většinou telefonicky. Jde o praktiku, při které se podvodník prezentuje jako někdo jiný s cílem získat jeho osobní údaje. Přitom si dopředu zjistí některé dílčí informace o oběti, jako třeba jeho datum narození, jméno za svobodna či adresu (což není v dnešní době sociálních sítí velký problém). Použití těchto informací ve správný okamžik vzbudí dojem legitimnosti celé akce. Příkladem může být telefonát do banky, která si totožnost zákazníka ověří dotazem na jeho rodné číslo. Na to je však útočník připraven, správný údaj bankovnímu zřízenci sebevědomě nadiktuje a pak už mu nic nebrání ve zjišťování dalších citlivých dat, jako jsou přístupová hesla k účtům nebo stav konta.

Phishing

O internetovém phishingu již byla řeč v minulém příspěvku. Existuje však i phishing telefonický, který funguje na bázi hlasového automatu. Oběť nejdříve dostane e-mail, která ji vyzývá k zavolání do banky (samozřejmě na falešné telefonní číslo) za účelem ověření nějaké informace. Zde je požadován PIN či heslo – a vaše přihlašovací údaje jsou venku, aniž byste stačili pojmout jakékoliv podezření. Některé automaty následně spojí oběť s útočníkem vystupujícím v roli telefonního bankovního poradce, což mu umožňuje další dotazování.

„Důvěřuj, ale prověřuj,“ dalo by se říct na závěr. V neprůhledné sféře e-mailů a telefonátů od neznámých lidí však není důvěra příliš na místě. Rada tedy zní: Prověřujte, pátrejte, přemýšlejte a komplikujte sociálním inženýrům jejich práci, jak je to jen možné! A o dalších metodách sociálního inženýrství čtěte příště.