Sociální inženýrství online, jak nenaletět?

V druhé polovině února ESET organizoval kurz kybernetické bezpečnosti pro Nadační fond Veroniky Kašákové. Shrnuli jsme nejběžnější rizika a možnosti, jak se chránit. Dokážete si vy poradit se sociálním inženýrstvím?
Total
69
Sdílení

Nadační fond skrze své zástupce pomáhá dětem z dětských domovů na cestě do dospělého života. Slovy nadace: „Děti z dětských domovů přicházejí o domov dvakrát.“ Podruhé, když musejí jako dospělí opustit brány dětského domova.

Nadace zaštiťuje mentory, kteří pomáhají mladým lidem s přechodem do dospělosti. Cílem je nabídnout jim zázemí a podporu, kterou jiné děti zažívají od vlastní rodiny. Mluvilo se především o rizicích sociálního inženýrství a tipech, jak se bránit.

Co to je sociální inženýrství?

Označujeme tak postup, kdy se útočník snaží zmanipulovat jednání uživatele, nejčastěji tím, že se vydává za někoho jiného. Může se tvářit jako přítel na Facebooku, firma, které dlužíte, nebo i vy samotní. Zpravidla se snaží získat od vás peníze nebo osobní údaje, se kterými se dá obchodovat.

Sociální inženýrství patří mezi nejrizikovější útoky. Útočník se pokusí získat vaši důvěry a přimět vás k nějaké akci. Neexistuje žádný software, který by vám zakázal na něco kliknout nebo například zaplatit výkupné.

Přesto byste měli mít aktualizovaný bezpečnostní software. Oceníte jej v případě, že se vás útočník pokusí přivést na nebezpečné stránky nebo nakazit malwarem. Tyto hrozby už dokáže bezpečnostní software zastavit.

Hackeři často pracují se strachem

Útočníci jsou úspěšní, protože pracují s našimi emocemi. Nejčastěji to je strach a zvědavost. Útočí zpravidla prostřednictvím e-mailu a využívají toho, že uživatelé jsou nepozorní nebo zrovna ve stresu (případně se snaží vás vystresovat).

Takový e-mail od útočníka obsahuje odkaz nebo přílohu, která může být tzv. infikovaná a obsahovat například trojského koně nebo ransomware. Časté jsou také phisingové útoky. V takovém případě se útočník pokouší se od vás získat citlivé informace, například přihlašovací údaje.

Dávno neplatí, že e-mail od útočníků, kteří používají techniky sociálního inženýrství, bude psaný lámanou češtinou. Naopak přijde s logem společnosti, formálním podpisem a dnes již bude i gramaticky správně.

Časté scénáře sociálního inženýrství a jak se bránit

Mám přístup do vašeho e-mailu, zaplaťte

V jednom z nejčastějších scénářů útočník tvrdí, že má přístup k vašemu e-mailovému účtu. Aby své tvrzení dokázal, pošle vám e-mail zdánlivě právě z vaší e-mailové adresy. V textu e-mailu vám pak vyhrožuje, že pokud nezaplatíte jistou sumu v bitcoinech, přístup zneužije a zdiskredituje vás.

Útočník může použít i další argumenty, které budou laikům znít přesvědčivě. Může například zmínit, jak získal přístup do vašeho e-mailu, tvrdit, že natočil vaše kompromitující video, nebo dokonce, že má kontrolu nad celým vaším počítačem.

Detekovali jsme další variantu vyděračského e-mailu. Doporučujeme všem uživatelům zprávu ignorovat, smazat a žádnou…

Uverejnil používateľ ESET Piatok 15. februára 2019

Zpravidla se jedná o podvod. Na internetu existují služby, které umožní dočasně vytvořit jakoukoli e-mailovou adresu, aniž by útočník do skutečné schránky přístup měl. Skutečného odesílatele, respektive jeho server, si můžete ověřit v hlavičce e-mailu. Podobné zprávy doporučujeme ignorovat.

Poslední výzva před předáním pohledávky exekutorům

Často píše hacker jménem reálné firmy, jejíž jméno tím zneužívá. Tvrdí, že jste nezaplatili fakturu v příloze. V e-mailu se dále píše, že toto je poslední výzva k zaplacení a pak předá vše k exekuci. Apeluje na váš strach. V e-mailu bývá zazipovaná příloha pojmenovaná například jako „faktura_154978.zip“. Pakliže se skutečně jedná o podvod a vy soubor otevřete, stáhnete si do počítače trojského koně nebo ransomware.

Ukázka faktury.
Pokud máte obavu nebo chcete mít jistotu, zkuste si firmu, která je v podezřelém e-mailu zmíněna, najít na internetu a na oficiálním telefonním kontaktu si vše ověřte. Zdroj: ESET.

Měníme systémy, přihlaste se

Často se setkáváme s e-mailovými výzvami, které vyzývají uživatele, aby se přihlásili do internet bankingu, kvůli nějaké aktualizaci v systémech. V tomto případě jde o phisingový útok. Útočník se vydává za někoho z klientského centra nebo managementu banky. Tvrdí, že mění internetové bankovnictví, a vy se musíte přihlásit, aby vám v budoucnu aplikace fungovala. E-mail bude důvěryhodný s podpisem reálného zaměstnance banky, logem a velmi dobrou češtinou. Odkaz z e-mailu vede ovšem na podvrženou stránku, která je k nerozeznání podobná pravé stránce (třeba jako na obrázku níže).

Ukázka phishingu.
Vaše banka nikdy nepotřebuje, abyste se přihlásili kvůli údržbě systémů. Na takovou výzvu nereagujte vůbec, nebo upozorněte banku, aby varovala své klienty. Zdroj: ESET.
Mohlo by vás zajímat

Zabezpečte si váš online domov

K domácímu routeru je v dnešní době připojeno mnoho zařízení. Běžně v domácnosti máme několik počítačů, mobilní telefony, tablety, herní konzole, televize, chytré hodinky, termostaty či jiná zařízení připojená k internetu. Právě internet věcí (IoT) útočníci často používají jako vstupní bránu do domácí sítě.
Přečíst článek