Byť vždy o krok dopredu. To je stratégia, ktorú si v IT oblasti častokrát vyberajú nielen spoločnosti, ale aj útočníci (hackeri). Dôležité je, aby spoločnosť nasledovala stratégiu preventívnych a systematických krokov a opatrení prv, ako bude musieť čeliť dôsledkom vydarených útokov. Buďte pripravení a odhaľte možný útok skôr, ako dôjde k akýmkoľvek škodám alebo úniku podstatných informácií. Sociálne inžinierstvo je hrozbou pre každého.

Začneme s aktuálne čoraz viac rozširujúcimi sa formami útokov, kedy útočník používa sofistikovanejšiu metódu útoku. V porovnaní so zneužívaním tzv. bezpečnostných dier dokonca nepotrebuje ani vysoké technické znalosti. Práve hovoríme o sociálnom inžinierstve, ktoré predstavuje spôsob manipulácie ľuďmi s cieľom získať od nich informácie dôverného charakteru, alebo ich prinútiť vykonať požadovanú akciu (činnosť).

Čo je sociálne inžinierstvo?

Osoba, ktorá používa metódy a praktiky sociálneho inžinierstva, doslova zneužíva vybrané ľudské vlastnosti. Tieto obracia útočník vo svoj prospech bez toho, aby ste si to uvedomili. K spomenutým vlastnostiam môžete zaradiť dôveru, ľútosť, láskavosť, zvedavosť a ochotu pomáhať. Ak k tomu pridáme prácu pod stresom a veľkým tlakom, priestor pre týchto útočníkov je veľmi rozsiahly.

Útočník si vyberá konkrétnu firmu a v mnohých prípadoch konkrétneho užívateľa – zamestnanca. Útok je cielený a má znaky autenticity. Cesta, ktorou sa k vám útočník dostane, je veľmi jednoduchá a prostá – napr. mailová či telefonická komunikácia.

Sociálne inžinierstvo v praxi

Predstavte si pomerne bežnú situáciu. Od majiteľa firmy (z jeho e-mailovej adresy) príde elektronická správa ekonomickému oddeleniu. Súčasťou správy je príloha a v nej faktúra dodávateľa z podobnej oblasti zamerania, ako sú dodávatelia tejto spoločnosti. Faktúra má všetky potrebné náležitosti správnosti a pravosti – názov, adresa, IČO, DIČ vrátane QR kódu pre rýchle realizovanie platby. V správe mailu majiteľ firmy urguje úhradu tejto faktúry.

V krátkom časovom slede dostane ekonomické oddelenie telefonát od dodávateľa, v rámci ktorého si preveruje doručenie faktúry a jej prípadné uhradenie. Nezabudne pripomenúť, že v opačnom prípade nebude možné dodať objednaný tovar pre daný projekt. Ekonomické oddelenie na základe týchto skutočností (mailu od majiteľa a telefonátu od dodávateľa) v dobrej viere faktúru uhrádza. Nebol to však, žiaľ, majiteľ, kto poslal e-mail, ale útočník, ktorý si na svojom účte prilepšil o niekoľko tisíc eur. Táto forma sociálneho inžinierstva je veľmi účinná.

Ako je niečo také možné?

V dnešnom svete turbulentne sa rozvíjajúcich technológií a elektronizácie je možný prístup k internetovým stránkam spoločností, voľne dostupným obchodným či iným registrom. Tie obsahujú veľké množstvo údajov – o firme, majiteľoch, zamestnancoch, o fakturačných údajoch a pod.

Takéto informácie útočník „spracuje“ a svoj útok veľmi trefne a úspešne zacieli prostredníctvom falošnej e-mailovej správy a prípadne ju podporí aj telefonátom. V tomto konkrétnom príklade bežnej situácie išlo o zneužitie dôvery zamestnanca a situácie v malých a stredných firmách, ktoré nemajú vždy správne nastavenú formu schvaľovania dokladov.

Spôsobov sociálneho inžinierstva je mnoho

Foriem páchania sociálneho inžinierstva môže byť mnoho. Ďalšou možnosťou je elektronická správa, ktorá príde zamestnancovi od vybraného dodávateľa, napr. od poskytovateľa firmou využívanej e-mailovej služby. V nej vás váš dodávateľ požiada, aby ste urobili rôzne akcie – otvorenie prílohy, otvorenie odkazu v tele správy, prípadne aktualizáciu vášho hesla.

Ak bude personál voči tomuto druhu útoku sociálneho inžiniera neopatrný, pravdepodobne mu otvorí prístup do firemnej siete. A jeho cesta vedúca k zneužitiu údajov, zverejneniu firemných alebo osobne citlivých informácií či k vydieraniu pod hrozbou zničenia dôležitých dát je na dosah.

Alternatív a možností je skutočne veľa a sú čím ďalej, tým viac sofistikovanejšie a dôveryhodnejšie. Uvedené spôsoby útoku pritom vôbec nie sú tak ojedinelé, ako by sa mohlo zdať. Je už dokonca preukázané, že tvoria viac ako 60 % všetkých útokov.

Rovnako je z verejne dostupných prieskumov zrejmé, že až 50 % firiem neposkytuje zamestnancom a užívateľom pravidelné školenia o možných hrozbách. Len 25 % ich má k dispozícii vypracované interné smernice a informuje zamestnancov o týchto témach iba pri ich nástupe do zamestnania. A iba každá piata spoločnosť svojich pracovníkov aktívne zapája a dostatočne ich informuje o možných hrozbách.

Ako sa chrániť voči sociálnemu inžinierstvu?

Pravidelné školenia zamestnancov o možných hrozbách a ich identifikáciách, interné smernice popisujúce možnosti hrozieb a postupy ich riešenia, komplexný systém schvaľovania a úhrady faktúr či dobre nastavený antispam patria k hlavným spôsobom, ako predchádzať úspešným útokom sociálneho inžinierstva.

Ak sa chcete pridať k týmto spoločnostiam a chrániť sa pred hrozbami, ku ktorým patrí aj sociálne inžinierstvo, položte si na začiatok tieto otázky:

• Majú zamestnanci pravidelné školenia a aktuálne informácie o možných a nových formách hrozieb a útokov?
• Majú vedomosti a dostatočné informácie o potenciálnych a aktuálnych hrozbách?
• Sú vypracované podrobné a dostatočne užívateľsky priateľské smernice o využívaní komunikačnej siete a jej prostriedkov?
• Sú procesy a zodpovednosti jednotlivých užívateľov nastavené dostatočne detailne, precízne a zmysluplne tak, aby nemohlo dôjsť k ich porušeniu?
• Urobili ste maximum pre zabezpečenie minimálneho prieniku nevyžiadanej pošty a jej identifikáciu?

Čo ste zistili o vašej firme? Kde sú jej slabé miesta? Chcete to zmeniť a zaradiť sa medzi tých, ktorí robia pravidelné a systematické kroky pre zaobstaranie bezpečnosti svojich dát aj financií na všetkých úrovniach spoločnosti? Pre každého používateľa vášho informačného alebo komunikačného systému?

Pre túto veľmi diskrétnu oblasť si vyberte partnera, ktorý splní vaše požiadavky podľa toho, ako vaša spoločnosť funguje. Prispôsobí svoje produkty vašim požiadavkám a vy budete môcť pracovať a rozvíjať svoje obchodovanie alebo poskytovanie služieb, nie odstraňovať škody napáchané sociálnym inžinierstvom či inou formou hrozby pre vaše dáta. Ako sme uviedli na začiatku, buďte pár krokov napred aj v IT stratégii a bezpečnosti vašich dát.

Článok bol uverejnený na: printtalk.sk
Autor: Viktor Senko – konateľ