Nepomohli by ste príbuznému v núdzi, keď vám plače do telefónu? Nepomôžete dvom milým, trochu neohrabaným maliarom s rebríkom dostať sa do firmy? Ak vám urgentne volá šéf IT, rýchlo pošlete prístupové heslá. Alebo prijmete človeka so super profilom na sociálnej sieti.
Po čase zistíte, že firemné systémy sú nedostupné alebo na predaj na dark webe. Alebo v sieti ste mali záškodníkov a prišli ste o kopu peňazí. Ste obeťou.
Neodolateľná ponuka
Na firemné večierky sa tešia aj technologickí špecialisti. Takže keď sa na nástenke objavila ponuka s QR kódom „drink podľa výberu gratis“, neodolalo veľa zamestnancov. Správne tušíte, že si stiahli do mobilov škodlivý kód, a nemôžeme napísať, kde to bolo a aké bolo skóre.
Alebo – povedzme pravdu. Nechávate si firemný notebook v aute? Požičiavate ho na hranie a online nákupy deťom? V tejto chvíli naozaj netreba veľa fantázie, aby ste vymysleli scenár, ako sa dostať k firemným či súkromným údajom.
Sociálne inžinierstvo
Sociálne inžinierstvo v kontexte informačnej bezpečnosti označuje metódy a techniky zamerané na manipuláciu ľudí. Táto „mäkká“ formu útoku využíva dôverčivosť, strach, nevedomosť alebo iné psychologické faktory namiesto technických slabín v systéme.
Samotná prax sociálneho inžinierstva je stará ako ľudská komunikácia a manipulácia. Jeho popularita prudko stúpla koncom minulého storočia s používaním internetu a elektronických systémov, ktoré spravujú citlivé informácie.
Ide o sekundy
Knihy a príbehy jedného z najznámejších hackerov Kevina Mitnicka ukázali, ako sa využíva sociálne inžinierstvo na obchádzanie technologických zabezpečení. Keďže kyberzločinci dnes už môžu ľahko vyrábať zvukové alebo obrazové záznamy, sociálne inžinierstvo je ešte rafinovanejšie.
„Počítaču stačí vypočuť si len 10 až 20 sekúnd vášho hlasu, aby dokázal vytvoriť zvukový deepfake,“ upozorňuje Ondrej Kubovič zo spoločnosti ESET. Sociálnym inžinierom nahráva aj nedostatok IT zručností a bezpečnostných profesionálov a presun konfliktov do kyberpriestoru.
Objem podvodov rastie
Najjednoduchšia a najúčinnejšia metóda, ako získať citlivé údaje alebo infikovať cieľ malvérom, je phishing. Už sa pominuli časy „nigérijských princov“ a phishing sa dynamicky vyvíja. E-mail dopĺňajú multimédiá, sociálne siete a hlasové hovory v reálnom čase. Podľa slov hovorcu Národného bezpečnostného úradu Petra Habaru už aj na Slovensku sme zaznamenali prvé deepfake telefonáty.
Vizuálne sa útoky a ich formy stále zlepšujú, no stále zaberajú aj overené primitívne „klasiky“. Útočníci sa všeobecne snažia obete dostať do časovej tiesne krátkym ultimátom – často pod hrozbou pokuty. Útoky navyše vyzerajú dôveryhodnejšie, keď sa podvodníci vydávajú za políciu, nejaký úrad alebo firmu.
Takto to funguje
Profesionáli z Národného centra kybernetickej bezpečnosti upozorňujú na zaujímavý technologický vývoj. Mechanizmus phishingu sa bráni odhaleniu – samotný phishing sa totiž cielene zobrazí len na základe geolokácie, ďalších faktov a v určitom prehliadači.
Špecificky bankové phishingy robia naozaj hlboký „odtlačok“, čiže mapujú všetky dostupné informácie o používateľovi. Ak chcú totiž zneužiť kartové dáta alebo prihlasovacie údaje do internetbankingu, tak banky tam majú behaviorálnu analýzu. Ak ju chce útočník obísť, musí trafiť typ prehliadača, štát, poskytovateľa internetu a ďalšie parametre. Bankový phishing dokáže zaznamenávať aj spôsob, ako používateľ kliká rozhraním.
Ešte presvedčivejší podvod
Obyčajné phishingové správy cielia na čo najviac používateľov. Útočníci sa spoliehajú na to, že z veľkej skupiny adresátov naletí aspoň určitá časť. V prípade spearphishingu však kyberzločinci cielia na konkrétne organizácie, prípadne na špecifické skupiny.
„Autori spearphishingových správ si obete vopred podrobne zmapujú z informácií dostupných online či pri iných útokoch a na základe získaných poznatkov nastavia komunikáciu,“ varuje Ondrej Kubovič.
Útočníci si napríklad zistia, kedy a ako firma vypláca finančné bonusy. V tom čase potom rozpošlú všetkým zamestnancom v mene firmy e-mail, že ak chcú odmenu, majú vyplniť osobné či finančné údaje na priloženom odkaze. Treba pokračovať?
Nekončiaci sa súboj
Útok, obrana, vylepšenie a zas znova. „Pri technológiách, ktorými sa informácie vynášajú, vidíme, že phishingové mechanizmy posúvajú exfiltráciu od e-mailov a súborov skôr k real-time komunikačným platformám,“ hovorí Ján Doboš z NCKB. Niekedy majú útočníci aj vlastné riadiace rozhranie v reálnom čase cez špecifický komunikačný protokol, čo umožňuje útočníkom aktívne hneď overovať a testovať uniknuté údaje. Napriek zvyšovaniu povedomia používatelia stále „naletia“, a to aj mladí trénovaní ľudia, keď sú v strese.
Obeť? Ktokoľvek
„Možno pred rokom by som odpovedal, že phishingom sú mimoriadne zraniteľní ľudia vo vyššom veku alebo tí, ktorým nie sú blízke technológie a moderné bankovníctvo,“ priznáva Tibor Szabo, audítor kyberbezpečnosti z VÚB.
„Poznám však osoby znalé problematiky, ktoré majú v tejto oblasti povedomie na nadpriemernej úrovni a dali sa zmanipulovať k činom, ktoré by nikdy za bežných okolností neurobili. Útočník sa zameral na to, ako vyvolať u obete maximálny stres, reálnu obavu o blízkych či hrozbu straty kontroly nad svojimi financiami.“
Veľa dôvodov na paniku
Proti útokom sociálneho inžinierstva nie je imúnny nikto. Široké spektrum cieľov siaha od jednotlivcov až po veľké korporácie a vládne organizácie. Techniky sú často veľmi presvedčivé a podvody ťažko rozpoznať.
Ľudia sú sociálne bytosti, náchylné na dôveru v iné osoby a organizácie, čo zneužívajú práve zločinci. Útoky vedú či už priamo, alebo nepriamo k finančným stratám, nehovoriac o reputačných stratách. Úspešnosť útokov podkopáva dôveru v organizácie alebo systém, čo môže mať v spoločnosti dlhodobé následky.
Neprepadajte zúfalstvu
Technológie sa neustále vyvíjajú, takže je dôležité pravidelne aktualizovať zabezpečovacie riešenia a byť oboznámený s najnovšími typmi hrozieb. To je oblasť, ktorú môžete zveriť profesionálom. Druhú radu však musíte zvládnuť najmä vy, či už ste veľká, alebo mikrofirma.
Nezverejňujte o svojej organizácii, respektíve o zamestnancoch nadbytočné informácie, z ktorých by mohli čerpať útočníci pri vytváraní phishingových podvodov na mieru. A rozhodne vzdelávajte zamestnancov o ochrane súkromia na sociálnych sieťach.
Rebríček najväčších hrozieb so všetkými článkami nájdete na webe Bezpečne vo firme.
