21.06.17

Europol v těchto dnech vydává report "Online sexual coercion and extortion as a form of crime affecting children" zaměřený na oblast online vydírání v prostředí internetu. Ve zprávě se opírá…

Celý článek...

09.05.17

Jak s dětmi hovořit o "modré velrybě"? Metodický materiál ke stažení.

Celý článek...

01.03.17

Opět otevíráme nabídku vzdělávacích akcí zdarma.

Celý článek...

01.02.17
V těchto dnech se na nás obrací velké množství zájemců o vzdělávací akce. Rádi se pokusíme vyjít všem vstříc, nicméně v následujících 3 týdnech musíme dokončit jiné aktivity, tj. akce…
Celý článek...


Víte o tom, že je říjen Evropským měsícem internetové bezpečnosti?
 
Podporujeme










Banner


Nebezpečné komunikační praktiky a sociální inženýrství
Hodnocení uživatelů: / 2
NejhoršíNejlepší 
Středa, 14 Květen 2008 20:35

socialni_inzenyrstvi.jpgKomunikace prostřednictvím e-komunikačních prostředků nese často množství rizik. Největší nebezpečí však nepředstavují technologie jako takové, ale zejména tzv. lidský faktor – tj, důvěřivost uživatelů komunikace. Z toho následně vychází strategie tzv. sociálního inženýrství – soubor technik, které působí na člověka a mění jeho názory, postoje, vzbuzují v něm falešnou představu o vybraném problému (dále jako tzv. hoax), předsouvají mu nekvalitní deformované informace apod.

Co je tedy sociální inženýrství?

Sociální inženýrství (SI) je termín pro metodu, jež vede legitimní počítačové uživatele

k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství je tedy způsob získávání důležitých informací od uživatelů bez vědomí, že tak činí. 

Sociotechnický útok

V samotném úvodu je třeba zmínit, že schopný sociotechnik využívá pro efektivní útok (pro zajištění efektivního útoku) zejména tzv. šest základních vlastností lidské povahy:

  1. Autoritu
  2. Sympatii
  3. Vzájemnost
  4. Důslednost
  5. Společenský souhlas
  6. Poukázání na zvláštní příležitost, akční nabídku apod.

 

Nyní něco k těmto vlastnostem:

Autorita

Lidé mají obecně tendenci podřídit se osobě s větší mocí (vyšší funkce, vedoucí pozice ve firmě či škole apod.). Vydává-li se sociotechnik například za asistenta ředitele, jeho slova mají vzhledem k průměrnému zaměstnanci vyšší váhu. 

Sympatie

Lidé velmi rádi vyhoví požadavkům těm, ke kterým mají jisté sympatie. Ty si lze získat různými způsoby – například díky stejným názorům na problém, zájmům apod. 

Vzájemnost

Ve velmi pravděpodobné, že bude se sociotechnikem potenciální oběť spolupracovat, pokud se bude cítit být útočníkovi za něco zavázána. Tedy například sociotechnik pro oběť něco udělá (například něco nainstaluje, sežene film, opraví počítačový problém) a mimoděk oběti řekne, ať si nainstaluje nějaký program, který zajistí bezpečnost počítače oběti. Může to být buď spyware (trojský kůň, keyscan apod..), nebo jednoduše program pro přístup ke vzdálené ploše uživatele (RealVNC apod.). 

Důslednost

Součástí lidského charakteru je tendence podřídit se, pokud předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. Například veřejný slib, veřejná sázka apod. 

Společenský souhlas
Společenský souhlas funguje tak, že sociotechnik oznámí oběti, že potřebuje něco vyplnit s tím, že všichni ostatní už ho vyplnili. Když to tedy udělali ostatní, proč ne oběť? Pak již záleží na útočníkovi, jaké otázky oběti předloží (osobní apod.).

Poukázání na zvláštní příležitost, akční nabídku apod.

Kdo z nás by nebyl pod vlivem reklamy, kdo by se nesetkal s akčními nabídkami limitovanými časem či počtem kusů. Šikovný sociotechnik může například operovat s tím, že prvních 100 registrovaných uživatelů dostane nějaký dárek. Registraci odkáže na uměle vytvořenou stránku, která získá od uživatelů hesla, osobní údaje apod. Kolik z uživatelů internetu přeci používá  univerzální hesla ke svým e-mailovým účtům? Podobným způsobem probíhá známý phishing spojený se spamem (tedy snaha přesvědčit uživatele, aby přihlásili ke svému bankovnímu účtu prostřednictvím falešné internetové stránky).

A nyní k samotnému sociotechnickému útoku

Jako médium pro sociotechnický útok slouží kromě klasické pošty hlavně telefon a internet (e-mail, IRC, ICQ). Zkušení sociotechnici mohou provádět i útoky „tváří v tvář”.

V případě, že útočník dokonce zná oběť osobně, může uhodnout její heslo na základě informací, které o ní má. Zkusí například zadat místo narození, přezdívku, název vesnice,

ve které má oběť chatu, jméno psa atd. Mezi oblíbená hesla patří příjmení, slova a jména

z Bible, jména hrdinů z animovaných seriálů, postavy a citáty ze Shakespeara, Tolkiena či

Hvězdných válek, rodné číslo, slovo „heslo“, čísla 12345 apod.).

Je až s podivem, jak velké množství lidí jednoduchá hesla tohoto typu používá i pro zabezpečení přístupu k vysoce důležitým dokumentům a účtům. Když o oběti neznáme bližší údaje, je možno využít techniky zvané phishing.

Sociotechnici využívají běžných vlastností lidí, jako jsou důvěřování druhým, občasná lenost, přehlížení drobných odlišností, ochota pomoci druhým a strach před tím, aby se nedostali do problémů. Srovnejte například s phishingovým útokem na Českou spořitelnu, CityBank apod.

 
Pokud útočníkovi na úspěchu akce záleží, neváhá věnovat delší časové období na tzv. budování důvěry. Útočník například s obětí třeba i několik týdnů chatuje a při jednom

z rozhovorů (kdy už pro oběť není někým neznámým, ale naopak důvěryhodným) ji přinutí

k instalaci drobného užitečného programu. Jenže spolu s tím většinou dojde i k tiché instalaci (silent install – tzn. uživatel si vůbec neuvědomí, že k něčemu došlo) nějakého monitorovacího programu – tzv. spyware, keyscan apod.. Tento speciální software slouží ke skrytému sledování a odposlouchávání veškerého dění na počítači – navštívené internetové stránky, sledování elektronické pošty, stisku kláves při zadávání hesel atd.

Jak může vypadat sociotechnický útok v praxi, si přečtěte například na: http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm
 
Za sociální inženýrství, jehož cílem je získat o uživatelích informace využitelné pro další reklamu, jsou pokládány také různé reklamní a soutěžní akce (Reader’s Digest apod.). Velké společnosti již běžně pracují s databázemi osobních údajů uživatelů, které se dále využívají k různým obchodním nabídkám, spamu apod.

Výsledkem funkčního útoku je například heslo k bankovnímu účtu (internetbanking), heslo k přihlášení na e-mail, přístup do počítače oběti apod.

Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript

 

 

Zdroje:

Šimek, R. Sociotechnika (sociální inženýrství), 2003

http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm

Mitnick. K. Umění klamu.

http://www.lupa.cz/clanky/kevin-mitnick-umeni-klamu/

Kopecký, K. Moderní trendy v elektronické komunikaci. Olomouc: Hanex, 2007.

http://www.nakladatelstvi-hanex.com/index.php?akce=VIEW&id=31&row=3

 

 

 




E-Bezpečí štítky

  1. Kyberšikana
  2. Kybergrooming
  3. Prevence kriminality
  4. Sexting
  5. Facebook
  6. Kyberkriminalita
  7. Kazuistika
  8. Výzkum
  9. Poradenství
  10. Legislativa
  11. Rozhlasové pořady E-Bezpečí
  12. Sociální inženýrství
  13. Reference na E-Bezpečí
  14. Vzdělávací akce E-Bezpečí
  15. Praxe
  16. Hope Witsell
  17. Jessica Logan
  18. Trolling
  19. E-Synergie
  20. Second Life
  21. Krize výchovy
  22. Teorie
  23. Planking
  24. Acton Beale
  25. Digitální stopy
  26. TOR
  27. Ochrana osobních údajů
  28. Chatroulette
  29. Statement of Rights and Responsibilities
  30. Fotografie na Facebooku
  31. IP obsah
  32. Právo a Facebook
  33. Platební karty
  34. Hoax
  35. Paypal
  36. Stalking
  37. Kyberstalking
  38. Facebook timeline
  39. Moje historie
  40. Netolismus
  41. WoW
  42. botmaster
  43. spam
  44. NAT
  45. Právo
  46. vztahové násilí
  47. domácí násilí
  48. Prenatální profily
  49. Konference
  50. Buzz
  51. Virální videa
  52. Star Wars Kid
  53. Dětská prostituce
  54. Komerční sexuální zneužívání dětí
  55. On-line prostituce
  56. Disinhibiční efekt
  57. Hackerazzi
  58. Christopher Cheney
  59. Google hacking
  60. Identity theft
  61. Krádež identity
  62. Ransomware
  63. emo
  64. GIFYO
  65. Seznam se bezpečně!
  66. Sekundární viktimizace
  67. Amanda Todd
  68. Mentální anorexie
  69. Bulimie
  70. Blogy
  71. SMS spoofing
  72. Svobodný internet
  73. Online prostituce
  74. Manipulace
  75. Interview
  76. Břetislav Horyna
  77. bigorexie
  78. ASK.FM
  79. homosexualita
  80. Tyler Clementi
  81. Ravi Dharun
  82. Hanka a Tonča
  83. Webcam trolling
  84. EXIF
  85. YouTube
  86. Seznam.cz
  87. Google
  88. IAD
  89. Flow
  90. Vydírání
  91. SCAM419
  92. Senioři
  93. Podvody
  94. Pornografie
  95. PRIZNEJ.CZ
  96. ASMR
  97. swag
  98. Rebecca Ann Sedwick
  99. Webrangers
  100. iPhone
  101. Roztahovačky
  102. Phishing
  103. Safer Internet Day
  104. Digitální rodičovství
  105. Planking
  106. nomofobie
  107. fantomové vibrace
  108. Kampaně
  109. Kyberbaiting
  110. Prank
  111. Darknet
  112. romance scam
  113. FoMO
  114. Modra velryba
  115. DaddyOFive
  116. kyberflashing
Generální partner projektu
Další partneři






Garance



TOPlist
Chcete podpořit naše aktivity? Děkujeme! Vážíme si toho!

Partneři, spolupracující instituce:

Licenční újednání, autorská práva:

Portál E-Bezpečí je provozován Centrem prevence rizikové virtuální komunikace Pedagogické fakulty Univerzity Palackého v Olomouci.

Všechna práva vyhrazena. (c) Centrum PRVoK PdF, Univerzita Palackého v Olomouci 2008 - 2017.

Kyberšikana: ISSN 2336-1360. Vydavatel: Centrum PRVoK PdF, Univerzita Palackého v Olomouci.

E-Bezpečí je ochrannou známkou chráněnou Úřadem průmyslového vlastnictví.
Webdesign: Axe design studio Olomouc | Technická podpora: Jiří Veverka | Sledováno systémem Google Analytics

Licence Creative Commons
Toto dílo podléhá licenci Creative Commons Uveďte původ-Neužívejte komerčně-Nezpracovávejte 4.0 Mezinárodní License.