Sociální inženýrství a boj proti němu

Většina technik kybernetické kriminality cílí na sítě, infrastruktury, zařízení, úložiště, zkrátka na základní IT prvky firmy. Sociální inženýrství je jiné. Jeho cílem je individuální uživatel, zaměstnanec.

Sociální inženýrství je technika nanejvýš efektivní. Stojí totiž na nebezpečné myšlence, že nejslabším článkem jakékoliv organizace je jednotlivec a jeho psýché. A v tom má bohužel ve většině případů pravdu.

Začátečnická psychologie místo kódování

Právě proto jsou útoky využívající principů sociálního inženýrství založené spíš na psychologii než na technologii. Jejich prostředkem je manipulace s emocemi, získávání důvěry uživatele, úspěch útoku nestojí na hlubokých znalostech sítí a programovacích jazyků. Také proto je sociální inženýrství tak nebezpečné, zločinci nemusejí být odbornými hackery. Také proto se stalo tak populárním nástrojem.

O úspěchu útoku rozhodne uživatel

Vzhledem k tomu, že cílem jsou jednotliví uživatelé, útoky mají jen zřídka podobu nějakého kódu. Většinou jde o věrohodně vypadající e-maily a jiné prostředky komunikace. Pokud už obsahují nějaký program, skrývá se v pozadí za nevinně vypadajícím odkazem nebo bannerem. Proto zde tradiční kyberbezpečnostní techniky selhávají. Zastavit podobný útok je téměř nemožné, a to už jen z toho důvodu, že lze jen stěží detekovat.

Rozdíl mezi tradičními nástroji zločinu a sociálním inženýrstvím je nasnadě: zločinci nemusejí pilovat své nástroje a vylepšovat kódy, které by pro vnik využily zranitelností systému. Stačí cílit na emoce zaměstnance. Když zločincům umožní přístup do sítě samotný uživatel, jakkoliv sofistikované bezpečnostní prvky zmůžou jen velmi málo.

Pouze doplním, že podle některých skutečně katastrofických výsledků výzkumů se úspěšnost řadového zaměstnance rozpoznat falešný e-mail od toho legitimního pohybuje kolem 7 %.

Pomáhá i společenská situace

Zdaleka nejúspěšnější metodou útoku, která využívá technik sociálního inženýrství je phishing. Pravděpodobnost úspěchu phishingových kampaní během minulého roku narostla o celých 30 %. Není těžké odhadnout, proč tomu tak je. Protože útoky využívají emocí uživatelů, je strach jejich významným spojencem. Nejistota a obavy minulý rok vládly po celém světě, všeobecný pocit zranitelnosti zločinci využili v plné míře.

Zásluhu za jejich úspěchy ale nenese jen nejistota a strach. Dalším významným faktorem je i rychlost, s jakou se minulý rok přecházelo na home office a práci na dálku. Není přehnané, když řekneme, že jeden den jsme seděli v kanceláři a ten druhý jsme najednou hledali nástroje, jak kooperovat a spolupracovat na dálku. Tato náhlost situace zanechala spoustu uživatelů zranitelných, a to na dlouhou dobu.

Cílem jsou všechny společnosti a všichni uživatelé

Phishing a sociální inženýrství, který s ním jde ruku v ruce, mohou ovlivnit chod jakékoliv organizace. Ze statistik je zřejmé, že této hrozby nejsou ušetřeny žádné společnosti a ani jediná kategorie uživatelů. Dle globálních průzkumů za minulý rok nějaký druh útoku s prvky sociálního inženýrství odhalilo na 85 % organizací. Procento nedetekovaných útoků bude vyšší.

A přitom je boj proti phishingu poměrně přímočarý. Stejně tak jako je řadový uživatel nejzranitelnější prvek celého řetězu, je také současně tím nejefektivnějším prvkem ochrany.