fbpx
Podpořte E-Bezpečí v aplikaci Pomáhej pohybem
25. 03. 2024

Chtěli byste podpořit naše aktivity? Máte možnost prostřednictvím aplikace Pomáhej pohybem (Nadace ČEZ). Je to jednoduché: 1. Nainstalujte aplikaci...

Číst dál...

Akt o umělé inteligenci ke stažení
17. 03. 2024

Akt o umělé inteligenci (pravidla, schválená na úrovni Evropy) si můžete v češtině stáhnout zde.

Číst dál...

New website
08. 03. 2024

The Centre for the Prevention of Risky Virtual Communication has a new website in English.

Číst dál...


Home Rizikové jevy Sociotechnika Nebezpečné komunikační praktiky a sociální inženýrství

Přečteno jinde










































Podpořte nás

Podpořte naše aktivity a pomozte dětem a dospělým v nouzi. Již 15 let pomáháme dětem a dospělým řešit jejich problémy na internetu. Zapojte se i vy! Každá pomoc se počítá! Stačí kliknout na tlačítko DONATE.

Přihlásit odběr novinek


socialni_inzenyrstvi.jpgKomunikace prostřednictvím e-komunikačních prostředků nese často množství rizik. Největší nebezpečí však nepředstavují technologie jako takové, ale zejména tzv. lidský faktor – tj, důvěřivost uživatelů komunikace. Z toho následně vychází strategie tzv. sociálního inženýrství – soubor technik, které působí na člověka a mění jeho názory, postoje, vzbuzují v něm falešnou představu o vybraném problému (dále jako tzv. hoax), předsouvají mu nekvalitní deformované informace apod.

Co je tedy sociální inženýrství?

Sociální inženýrství (SI) je termín pro metodu, jež vede legitimní počítačové uživatele

k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství je tedy způsob získávání důležitých informací od uživatelů bez vědomí, že tak činí. 

Sociotechnický útok

V samotném úvodu je třeba zmínit, že schopný sociotechnik využívá pro efektivní útok (pro zajištění efektivního útoku) zejména tzv. šest základních vlastností lidské povahy:

  1. Autoritu
  2. Sympatii
  3. Vzájemnost
  4. Důslednost
  5. Společenský souhlas
  6. Poukázání na zvláštní příležitost, akční nabídku apod.

 

Nyní něco k těmto vlastnostem:

Autorita

Lidé mají obecně tendenci podřídit se osobě s větší mocí (vyšší funkce, vedoucí pozice ve firmě či škole apod.). Vydává-li se sociotechnik například za asistenta ředitele, jeho slova mají vzhledem k průměrnému zaměstnanci vyšší váhu. 

Sympatie

Lidé velmi rádi vyhoví požadavkům těm, ke kterým mají jisté sympatie. Ty si lze získat různými způsoby – například díky stejným názorům na problém, zájmům apod. 

Vzájemnost

Ve velmi pravděpodobné, že bude se sociotechnikem potenciální oběť spolupracovat, pokud se bude cítit být útočníkovi za něco zavázána. Tedy například sociotechnik pro oběť něco udělá (například něco nainstaluje, sežene film, opraví počítačový problém) a mimoděk oběti řekne, ať si nainstaluje nějaký program, který zajistí bezpečnost počítače oběti. Může to být buď spyware (trojský kůň, keyscan apod..), nebo jednoduše program pro přístup ke vzdálené ploše uživatele (RealVNC apod.). 

Důslednost

Součástí lidského charakteru je tendence podřídit se, pokud předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. Například veřejný slib, veřejná sázka apod. 

Společenský souhlas
Společenský souhlas funguje tak, že sociotechnik oznámí oběti, že potřebuje něco vyplnit s tím, že všichni ostatní už ho vyplnili. Když to tedy udělali ostatní, proč ne oběť? Pak již záleží na útočníkovi, jaké otázky oběti předloží (osobní apod.).

Poukázání na zvláštní příležitost, akční nabídku apod.

Kdo z nás by nebyl pod vlivem reklamy, kdo by se nesetkal s akčními nabídkami limitovanými časem či počtem kusů. Šikovný sociotechnik může například operovat s tím, že prvních 100 registrovaných uživatelů dostane nějaký dárek. Registraci odkáže na uměle vytvořenou stránku, která získá od uživatelů hesla, osobní údaje apod. Kolik z uživatelů internetu přeci používá  univerzální hesla ke svým e-mailovým účtům? Podobným způsobem probíhá známý phishing spojený se spamem (tedy snaha přesvědčit uživatele, aby přihlásili ke svému bankovnímu účtu prostřednictvím falešné internetové stránky).

A nyní k samotnému sociotechnickému útoku

Jako médium pro sociotechnický útok slouží kromě klasické pošty hlavně telefon a internet (e-mail, IRC, ICQ). Zkušení sociotechnici mohou provádět i útoky „tváří v tvář”.

V případě, že útočník dokonce zná oběť osobně, může uhodnout její heslo na základě informací, které o ní má. Zkusí například zadat místo narození, přezdívku, název vesnice,

ve které má oběť chatu, jméno psa atd. Mezi oblíbená hesla patří příjmení, slova a jména

z Bible, jména hrdinů z animovaných seriálů, postavy a citáty ze Shakespeara, Tolkiena či

Hvězdných válek, rodné číslo, slovo „heslo“, čísla 12345 apod.).

Je až s podivem, jak velké množství lidí jednoduchá hesla tohoto typu používá i pro zabezpečení přístupu k vysoce důležitým dokumentům a účtům. Když o oběti neznáme bližší údaje, je možno využít techniky zvané phishing.

Sociotechnici využívají běžných vlastností lidí, jako jsou důvěřování druhým, občasná lenost, přehlížení drobných odlišností, ochota pomoci druhým a strach před tím, aby se nedostali do problémů. Srovnejte například s phishingovým útokem na Českou spořitelnu, CityBank apod.

 
Pokud útočníkovi na úspěchu akce záleží, neváhá věnovat delší časové období na tzv. budování důvěry. Útočník například s obětí třeba i několik týdnů chatuje a při jednom

z rozhovorů (kdy už pro oběť není někým neznámým, ale naopak důvěryhodným) ji přinutí

k instalaci drobného užitečného programu. Jenže spolu s tím většinou dojde i k tiché instalaci (silent install – tzn. uživatel si vůbec neuvědomí, že k něčemu došlo) nějakého monitorovacího programu – tzv. spyware, keyscan apod.. Tento speciální software slouží ke skrytému sledování a odposlouchávání veškerého dění na počítači – navštívené internetové stránky, sledování elektronické pošty, stisku kláves při zadávání hesel atd.

Jak může vypadat sociotechnický útok v praxi, si přečtěte například na: http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm
 
Za sociální inženýrství, jehož cílem je získat o uživatelích informace využitelné pro další reklamu, jsou pokládány také různé reklamní a soutěžní akce (Reader’s Digest apod.). Velké společnosti již běžně pracují s databázemi osobních údajů uživatelů, které se dále využívají k různým obchodním nabídkám, spamu apod.

Výsledkem funkčního útoku je například heslo k bankovnímu účtu (internetbanking), heslo k přihlášení na e-mail, přístup do počítače oběti apod.

Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

 

 

Zdroje:

Šimek, R. Sociotechnika (sociální inženýrství), 2003

http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm

Mitnick. K. Umění klamu.

http://www.lupa.cz/clanky/kevin-mitnick-umeni-klamu/

Kopecký, K. Moderní trendy v elektronické komunikaci. Olomouc: Hanex, 2007.

http://www.nakladatelstvi-hanex.com/index.php?akce=VIEW&id=31&row=3

 

 

 


 

Výsledky projektu E-Bezpečí (2012-2022)

panel
160000 +
proškolených žáků ZŠ a SŠ
panel
45000 +
proškolených dospělých
panel
7000 +
podpořených obětí kyberkriminality
panel
250 +
vzdělávacích akcí ročně
panel
5500 +
odhalených případů kyberkriminality
panel
160000 +
unikátních návštěvníků webu ročně

Ocenění projektu E-Bezpečí

pohar
KYBER Cena 2023
(1. místo)
pohar
Nejlepší projekt prevence kriminality na místní úrovni 2023
(1. místo)
pohar
Evropská cena prevence kriminality 2015
(1. místo)

Partneři a spolupracující instituce

 

Generální partner projektu E-Bezpečí

logo o2

Další partneři a spolupracující instituce

 logo nadaceo2logo googlelogo msmtlogo mvcrlogo olomouclogo olomouckykrajlogo ostravalogo hoaxlogo policielogo rozhlaslogo linkabezpecilogo microsoft bwlogo czniclogo nukiblogo podanerucelogo googleovachamp_logo.png

 

We use cookies

Na naší webové stránce používáme cookies. Některé z nich jsou nutné pro běh stránky, zatímco jiné nám pomáhají vylepšit vlastnosti stránky na základě uživatelských zkušeností (tracking cookies). Sami můžete rozhodnout, zda cookies povolíte. Mějte prosím na paměti, že při odmítnutí, nemusí být stránka zcela funkční.