Sociálne inžinierstvo je manipulatívna taktika používaná na oklamanie ľudí, aby odhalili dôverné informácie alebo vykonali akcie, ktoré sú prospešné pre útočníka. Zahŕňa psychologický a emocionálny tlak, často využívajúci ľudskú dôveru, zvedavosť a naliehavosť.
Útoky sociálneho inžinierstva sú významným rizikom pre organizácie. Motivácia útočníkov sa môže líšiť, ale ciele majú často obrovskú hodnotu pre spoločnosti aj jednotlivcov.
Tu sú niektoré bežné údaje, ktoré sú v stávke:
- Firemné údaje: citlivé podnikové informácie, ako sú obchodné tajomstvá, finančné záznamy, patentové technológie, strategické plány, možno využiť na získanie konkurenčnej výhody alebo ich ďalej predať.
- Údaje o zákazníkoch: osobné údaje zákazníkov vrátane údajov o kreditných kartách, kontaktných informáciách môže viesť ku krádeži identity alebo finančným podvodom.
- Povesť: verejný obraz spoločnosti je neoceniteľný a incidenty sociálneho inžinierstva môžu viesť k poškodeniu značky, narúšajú lojalitu a dôveru zákazníkov. Ak sú ohrozené napríklad údaje zákazníkov, môže to mať za následok stratu dôvery, právne následky alebo značné finančné straty.
Psychologický a emocionálny tlak je jadrom týchto techník, ktoré využívajú strach, nádej alebo vinu, aby niekoho prinútili konať bez kritického myslenia. Sociálni inžinieri sa často spoliehajú na tradičné vzorce interakcie, ktoré sa zdajú známe a dôveryhodné, pričom zlé úmysly maskujú za priateľské správy alebo zjavnú autoritu.
Aby ste sa ochránili, je dôležité ovládať svoje reakcie a dvakrát si premyslieť, než zareagujete. Uvedomte si, že útočníci môžu úmyselne manipulovať s emóciami, aby obišli logické myslenie. Pozastavenie a analýza situácie môže často odhaliť známky manipulácie, ako je extrémna naliehavosť alebo tlak okamžite konať.
Aktívnym spochybňovaním podozrivých výziev môžete narušiť typickú taktiku sociálnych inžinierov. Pamätajte, že útočníci sa spoliehajú na to, že zareagujete skôr, ako si to premyslíte. Ak máte pochybnosti, zastavte interakciu a vyhľadajte radu alebo vykonajte prieskum. Osvojenie si tohto opatrného prístupu vám pomôže vyhnúť sa pasciam sociálneho inžinierstva, senzáciechtivosti a emocionálnej manipulácie.
Typy sociálneho inžinierstva
Nesmieme zabudnúť, že reťaz je taká silná ako jej najslabší článok a preto by aj firmy a organizácie mali tejto téme venovať pozornosť.
Sociálne inžinierstvo vo firmách:
- Business Email Compromise – útočníci sa vydávajú za manažéra spoločnosti, aby oklamali zamestancov a získali potrebné informácie.
- Phising – mail, ktorý vyzerá, že pochádza z legitímneho zdroja (banky, štátne inštitúcie), ktorého cieľom je získať prihlasovacie údaje alebo finančné informácie.
- Spear Phising – cielená forma phisingu, útočníci skúmajú jednotlivcov (napr. na sociálnych sieťach), výsledkom je dôveryhodná personalizovaná správa.
- Pretexting – útočník vystupuje ako napr. pracovník IT (dôveryhodná osoba), s cieľom získať citlivé informácie od zamestnancov.
- Tailgating – neoprávnená osoba získa fyzický prístup do zabezpečených priestorov prostredníctvom oprávneného zamestnanca, často v rušných hodinách (napr. “kuriér”, ktorý má plné ruky krabíc si počká na niekoho, kto mu podrží dvere a vpustí ho dnu).
- Vishing – telefonický hovor, kde útočník predstiera, že je z legitímnej organizácie (banka, technická podpora), s cieľom získania osobných údajov.
- Baiting (návnada) – útočník nastraží fyzické predmety (napr. USB kľúč), často so zaujímavým popisom (napr. Mzdy) na verejných miestach (kuchynka, spoločné priestory), v nádeji, že ich niekto pripojí do firemného počítača.
- Watering Hole Attacks – útočníci narušia webovú stránku, ktorú často navštevujú zamestnanci cieľovej organizácie, a pri návšteve stránky ich infikuje škodlivým softvérom.
Sociálne inžinierstvo je aplikovateľné aj na jednotlivcov, preto je potrebné byť obozretný.
- Podvod s kuriérom – mail s informáciou, že balík vám nemôže byť doručený kým neupravíte údaje alebo nezadáte číslo platobnej karty .. nevadí, že ste si nič neobjednali.
- Nigérijský princ – mail, kde “princ” ponúka veľké sumy peňazí, výmenou za pomoc, vyžaduje si osobné bankové údaje alebo “pár sto drobných” na preklenutie problémov.
- Odcudzenie identity – výhražné hovory s informáciou, že jednotlivec dlhuje napr. zaplatenie daní, ktoré je potrebné okamžite zaplatiť aby sa vyhol väzeniu.
- Technická podpora – hovor, od niekoho, kto tvrdí, že je technická podpora a požadujú vzdialený prístup k počítaču.
- Romantické podvody – online vzťahy s obeťami, pod rôznymi zámienkami žiadajú peniaze, pričom využívajú emocionálne prepojenie.
- Falošné charitatívne podvody – zdravotné problémy alebo prírodné katastrofy využívajú podvodníci aby požadovali dary pre falošné organizácie, pričom vyvolávajú súcit a zneužívajú dobrú vôľu obetí.
- Smishing – obete dostávajú sms správy, ktoré vyzerajú ak od legitímnych spoločností, kde žiadajú overenie informácií o účte.
Ako rozpoznať a kedy spozornieť
- Emocionálne reakcie: pocit naliehavosti, senzácie, strachu, viny alebo zvedavosti môže signalizovať potenciálny podvod.
- Žiadosť o citlivé informácie: nevyžiadané žiadosti o osobné alebo finančné informácie, najmä ak sú naliehavé.
- Podozrivé adresy URL: skontrolujte či sa v odkaze nenachádzajú preklepy alebo neobvyklé názvy domén.
- Nezvyčajné emailové adresy: hľadajte nezrovnalosti v porovnaní so známymi kontaktmi.
- Gramatika: mnoho podvodných správ obsahuje chyby, ktoré môžu byť varovným signálom.
Ako sa chrániť
Niektoré z krokov, ktoré odborníci odporúčajú na zmiernenie rizika a úspechu podvodov v oblasti sociálneho inžinierstva, zahŕňajú:
- Školenie na zvýšenie povedomia o bezpečnosti: Mnoho používateľov nevie, ako identifikovať útoky sociálneho inžinierstva. V čase, keď používatelia často obchodujú s osobnými informáciami za tovar a služby, si neuvedomujú, že vzdanie sa zdanlivo všedných informácií, ako je telefónne číslo alebo dátum narodenia, môže hackerom umožniť narušiť účet. Školenie na zvýšenie povedomia o bezpečnosti v kombinácii so zásadami zabezpečenia údajov môže zamestnancom pomôcť pochopiť, ako chrániť svoje citlivé údaje a ako odhaliť prebiehajúce útoky sociálneho inžinierstva a reagovať na ne.
- Zásady riadenia prístupu: Zásady a technológie bezpečného riadenia prístupu, vrátane viacfaktorovej autentifikácie, adaptívnej autentifikácie a bezpečnostného prístupu s nulovou dôverou, môžu obmedziť prístup kyberzločincov k citlivým informáciám a aktívam v podnikovej sieti, aj keď získajú prihlasovacie údaje používateľov.
- Technológie kybernetickej bezpečnosti: Filtre spamu a bezpečné e-mailové brány môžu v prvom rade zabrániť niektorým phishingovým útokom, aby sa dostali k zamestnancom. Firewally a antivírusový softvér môžu zmierniť rozsah akýchkoľvek škôd spôsobených útočníkmi, ktorí získajú prístup do siete. Aktualizácia operačných systémov pomocou najnovších záplat môže tiež odstrániť niektoré zraniteľnosti, ktoré útočníci využívajú prostredníctvom sociálneho inžinierstva. Pokročilé riešenia detekcie a odozvy, vrátane detekcie a odozvy koncových bodov (EDR) a rozšírenej detekcie a odozvy (XDR), môžu navyše bezpečnostným tímom pomôcť rýchlo odhaliť a neutralizovať bezpečnostné hrozby, ktoré infikujú sieť prostredníctvom taktík sociálneho inžinierstva.
Vzdelávanie pomáha
Ak vás zaujíma táto problematika a možnosti vzdelávania, tak existujú normy ISO, ktoré sa síce nezameriavajú výlučne na sociálne inžinierstvo, ale obsahujú pokyny na riadenie rizík s ním spojených. Sociálne inžinierstvo často spadá do širšieho rámca informačnej bezpečnosti a kybernetickej bezpečnosti a viaceré normy ISO sa venujú týmto oblastiam, najmä s dôrazom na ľudské faktory a riadenie rizík. Tu sú niektoré z nich:
1. ISO/IEC 27001 – Systém riadenia informačnej bezpečnosti (ISMS)
ISO/IEC 27001 je najuznávanejšia norma na vytvorenie, implementáciu, údržbu a neustále zlepšovanie systému riadenia bezpečnosti informácií. Zahŕňa pokyny na ochranu organizácií pred rôznymi hrozbami vrátane hrozieb, ktoré predstavuje sociálne inžinierstvo, identifikáciou slabých miest a implementáciou kontrol na zmiernenie týchto rizík.
2. ISO/IEC 27002 – Kódex postupov pre kontroly informačnej bezpečnosti
Tento štandard poskytuje podrobnejší zoznam ovládacích prvkov a osvedčených postupov pre riadenie informačnej bezpečnosti. Zahŕňa pokyny na informovanosť používateľov, školenia a špecifické bezpečnostné kontroly, ktoré pomáhajú predchádzať útokom sociálneho inžinierstva, ako je phishing alebo pretexting, zvýšením povedomia zamestnancov o potenciálnych hrozbách a zlepšením protokolov odozvy.
3. ISO/IEC 27035 – Riadenie incidentov informačnej bezpečnosti
ISO/IEC 27035 poskytuje rámec pre správu incidentov, vrátane procesov detekcie, odozvy a obnovy. Pomáha organizáciám pripraviť sa na incidenty sociálneho inžinierstva a zaisťuje, že majú mechanizmy na zisťovanie, dokumentovanie a efektívnu reakciu na tieto typy útokov.
4. ISO/IEC 27005 – Risk management
Tento štandard sa zameriava na identifikáciu a riadenie rizík informačnej bezpečnosti vrátane rizík spôsobených ľudskými faktormi, ako je náchylnosť na útoky sociálneho inžinierstva. Pomáha organizáciám posúdiť zraniteľné miesta súvisiace s ľudským správaním a zaviesť opatrenia na zníženie týchto rizík.
5. ISO 31000 – Riadenie rizík
ISO 31000, ktorá nie je špecifická pre informačnú bezpečnosť, poskytuje všeobecný rámec pre riadenie rizík, ktorý možno aplikovať na riziká sociálneho inžinierstva. Tento štandard pomáha organizáciám identifikovať, analyzovať a vyhodnocovať riziká, ktoré môžu zahŕňať taktiku psychologického a sociálneho inžinierstva.
6. ISO/IEC 27033 – Bezpečnosť siete
Hoci sa štandardy sieťovej bezpečnosti primárne zameriavajú na ochranu sietí pred vonkajšími hrozbami, za vstupné body považujú aj ľudské zraniteľnosti. Časti o zabezpečenej komunikácii, monitorovaní a reakcii sa venujú dôležitosti zmierňovania rizík útokov sociálneho inžinierstva, ktoré sa zameriavajú na prístup k sieti.
Kurzy nielen týchto noriem pre rôzne úrovne máme k dispozícii na stránke https://www.comeniana.com/kyberneticka-informacna-bezpecnost/
Ak si neviete poradiť, neváhajte sa na nás obrátiť.
V oblasti vzdelávania vám poradíme na kurzy@comeniana.com a v prípade, že potrebujete nastaviť procesy alebo zrozumiteľnou cestou zlepšiť stav vašej kybernetickej bezpečnosti napíšte nám na info@mjch.sk