Přestože na nás noviny, rádio i televizní zpravodajstí každý den chrlí desítky zpráv o tom, co všechno se může stát v dnešním “zkaženém světě”, kde na každém rohu číhá nebezpečí, lidé jsou chamtiví a neohleduplní a každý chce okrást každého, zdá se, že důvěřivost a idealismus stále neztrácíme. Jak jinak si vysvětlit nemalé úspěchy, které každodenně slaví sociální inženýři – lidé, kteří využívají lidskou neopatrnost, bezelstnost a ochotu při honbě za vlastním ziskem?
Takový sociální inženýr ke své činnosti rozhodně nepotřebuje vystudovat vysokou školu a klidně jím může být někdo ve vašem blízkém okolí. Nedávno jsem narazila na příběh o americké důchodkyni, kterou pravidelně okrádala její starostlivá pečovatelka. S využitím osobních údajů asi pětasedmdesátileté stařenky založila bankovní účet, ze kterého potom čerpala peníze tak dlouho, dokud nicnetušící oběť nekontaktovala banka a nepožadovala po ní zplacení několikatisícového debetu. Nutno dodat, že nejde o nijak ojedinělý případ.
A jaké metody tedy zloději identity těžící přímo z lidské povahy využívají?
Baiting
Tato metoda využívá lidské zvědavosti a dala by se označit za obdobu trojského koně v reálném světě. Útočník zanechá CD, flashdisk či jiné paměťové médium předem infikované malwarem na nějakém frekventovaném místě (třeba na chodbě firmy, na parkovišti, ve výtahu, atp.). Je téměř jisté, že nálezce podlehne zvědavosti a vloží médium do svého počítače. Následná automatická instalace viru pak útočníkovi otevře přístup do napadeného PC, případně do celé firemní sítě.
“Něco za něco”
I se zloději citlivých dat se hned spolupracuje lépe, když z toho kouká nějaká lákavá odměna. Odborníci sociálního inženýrství dobře ví, jak zahrát na notu lidské chamtivosti, chtivosti a vidiny snadného zisku, a proto slibují všechno možné. Jde například o reklamní telefonáty oznamující vylosování finanční výhry, kterou získáte po sdělení vašich osobních údajů na konkrétním telefonním čísle. Může jít i o e-maily, ve kterých vás africký magnát prosí o pomoc s převodem jeho zablokovaných peněz do vaší banky, samozřejmě s příslibem tučného podílu. “Něco za něco” může zahrnovat i techniku, kdy útočník náhodně vytáčí čísla společností a představí se jako pracovník technické podpory. Existuje šance, že útočník nalezne nespokojeného zaměstnance s problémem, kterému se pokusí po telefonu pomoci. Na oplátku požádá oběť o instalaci infikovaného programu nebo zvolenou akci ve firemním informačním systému.
Osobní známost
Podezírat každého známého z nekalých úmyslů by bylo jistě paranoidní, není však od věci dávat si pozor na některé z lidí, které si pouštíme k tělu. Tato přímá metoda zcizování osobních údajů k dalšímu využití je časově náročnější, protože vyžaduje trpělivé získávání důvěry potencionální oběti. O to lepší však bývá výsledný efekt. Jen se zkuste zamyslet nad tím, co všechno svěřujete svému spolubydlícímu, novému kolegovi z práce nebo milé paní na úklid.
Vykličkovat ze spleti nástrah, které nám sociální inženýři staví do cesty, může být občas náročné. Počet útoků rozhodně neklesá a objem ukradených informací už vůbec ne! Snad se nám bude nyní alespoň bojovat o něco lépe, když už známe nepřítele.
