Mikuláš je tady! Získej 90 % extra kreditů ZDARMA s promo kódem CERTIK90 při nákupu od 1199 kreditů. Pouze do neděle 7. 12. 2025! Zjisti více:
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 16 - Kybernetické útoky založené na sociálním inženýrství

Předchozí
Další

V předchozí lekci, Zásady bezpečnosti při práci s maily a webovými stránkami, jsme se dozvěděli, jak chránit přenášená data v případě emailu nebo webových stránek a jak si ověřit, zda tímto způsobem doručené informace jsou opravdu autentické.

V tomto tutoriálu se zaměříme na sociální inženýrství jako na jeden z nejčastějších a zároveň nejzákeřnějších způsobů, jak útočníci získávají přístup k informacím a systémům. Na konkrétních příkladech uvidíme, jak se podobné útoky odehrávají v praxi, a ukážeme si strategie, jak se jim účinně bránit. Cílem této lekce je naučit se rozpoznat typické znaky manipulace a reagovat správně ještě dříve, než dojde k ohrožení dat nebo celé organizace.

Sociální inženýrství

Většina lidí si kybernetické útoky představuje jako sofistikované operace, kde útočník prolomí hesla, obejde firewall a pronikne do systému pomocí složitých postupů. Realita je ale často mnohem jednodušší, útočník se prostě zeptá. A někdo mu odpoví.

Téma sociálního inženýrství je v oblasti kybernetické bezpečnosti klíčové. Zatímco firewally, antiviry a šifrování chrání technologie, lidský faktor je nejslabším článkem. Sociální inženýrství (social engineering) označuje techniky, při kterých útočník manipuluje uživatele, aby mu dobrovolně poskytl citlivé informace nebo přístup do systému.

Kybernetické útoky spojené s odcizením dat

Existuje hned několik způsobů, jakými se útočníci pokouší získat naše důvěrné údaje. Mezi ně patří zejména různé formy phisingu a pharming. Jako příklad si uvedeme pokusy o získání údajů k našemu internetovému bankovnictví, protože se s tím setká v dnešní době již téměř každý.

Základními znaky dnešních kybernetických útoků je většinou špatná čeština.

Phishing

Název phishing vznikl jako slovní hříčka z anglického slova fishing (rybolov). Je příkladem tzv. sociálního inženýrství, které slouží k oklamání uživatelů nejen na internetu. Jedná se o podvodné jednání, při němž se útočníci snaží vylákat od své oběti soukromé informace (důvěrná data) nebo spustit na zařízení oběti škodlivý kód.

Klasický phishing probíhá pomocí e-mailové komunikace. Útočník nám zašle e-mail, který se tváří, jako by přišel od nějaké známé instituce. V našem případě tedy dostaneme e-mail podobný těm, co nám posílá naše banka. Tento e-mail obsahuje odkaz na falešnou webovou stránku internetového bankovnictví, která vzhledově vypadá úplně stejně, jako originál. URL adresa je však odlišná. Pokud zde zadáme své přihlašovací údaje, pošleme je přímo útočníkovi a poskytneme mu tak přístup ke svým úsporám.

Praktický případ phishingu

Ukažme si nyní, jak vše probíhá konkrétně v praxi.

Příklad e-mailu a falešné webové stránky je vymyšlený.

Svůj bankovní účet máme u Raiffeisenbank a jednoho dne dostaneme následující e-mail:

Falešný e-mail z Raiffeisenbank - Kybernetická bezpečnost a NIS2

Jedná se zde samozřejmě o phishingový útok. V e-mailu jsou vidět dva pochybné znaky, které nám ho mohou pomoci odhalit:

  • Prvním je e-mailová adresa, ze které tento e-mail přišel. Na obrázku je označená žlutým obdélníkem. Je velmi nepravděpodobné, že by banka měla ve své e-mailové adrese text raiffka, když její celé jméno je Raiffeisenbank.
  • Druhým znakem je odkaz v e-mailu, přes který se máme přihlásit do internetového bankovnictví. Na obrázku je označen modrým obdélníkem. Již víme z předchozích lekcí, že stránky, kam budeme zadávat důvěrné informace, nikdy z odkazu neotvíráme.

Pojďme ale nyní toto pravidlo porušit a ukázat si, co se stane, když na uvedený odkaz klikneme. V nové záložce se nám otevře následující stránka:

Falešná webová stránka Raiffeisenbank - Kybernetická bezpečnost a NIS2

Na tomto snímku je již jasné, že se jedná o phishing. Podvržená stránka totiž využívá HTTP protokol, který je nešifrovaný. Proto je v adresním řádku, přeškrtnutá ikona zámečku. To ovšem nemusí být pravidlem. I kdyby se nám zobrazil zelený zámeček, musíme ještě zkontrolovat celou URL adresu. V našem případě bychom tedy měli zpozornět, pokud je v adresním řádku, který je označený červeným obdélníkem, na konci /plugin9832641065.

Opravdové stránky internetového bankovnictví Raiffeisenbank pak vypadají takto:

Oficiální webová stránka Raiffeisenbank - Kybernetická bezpečnost a NIS2

Kdybychom se ještě potřebovali ujistit, že nejde o podařenější podvrh, klikneme na ikonu zámečku a zkontrolujeme certifikát stránky.

Další typy phishingových útoků

Známe několik dalších typů phishingových útoků, které neprobíhají prostřednictvím e-mailu. Pojďme si je v krátkosti popsat.

Vishing

U vishingu se snaží útočník z oběti vylákat citlivé údaje po telefonu.

Takový hovor většinou probíhá buď v brzkých ranních, nebo pozdních večerních hodinách, kdy jsme často unavení a méně se soustředíme.

Zazvoní nám telefon a představí se nám zaměstnanec banky, u které máme účet. Je to však falešný bankéř (útočník). Díky moderním technologiím si útočník dokáže změnit telefonní číslo tak, aby útok vypadal věrohodněji. Falešný bankéř nám oznámí, že z našeho bankovního účtu někdo odcizil větší obnos peněz. Vyžádá si od nás údaje o naší kreditní kartě, aby ji mohl zablokovat, někdy dokonce i její PIN. V žádném případě proto nebudeme nikomu po telefonu sdělovat jakékoli informace týkající se našeho bankovního účtu.

Smishing

Smishing probíhá také po telefonu, ale k získání citlivých dat využívá textové zprávy.

Tentokrát tedy dostaneme z naší banky SMS. V ní nám oznámí, že náš účet byl napaden. Pro zablokování karty máme kliknout na odkaz, který je součástí zprávy a přihlásit se do svého internetového bankovnictví. Bohužel se ale opět jedná o falešnou webovou stránku a po zadání přihlašovacích údajů se k těmto datům dostane útočník. Jak už víme, zfalšovat telefonní číslo, aby se tvářilo jako číslo banky, není pro útočníka žádný problém.

Mějme tedy na paměti, že stránky našeho internetového bankovnictví neotvíráme ani z odkazu v e-mailu ani z obdržené SMS. V případě pochybností raději zavoláme přímo do banky a informace ze obdržené SMS takto prověříme.

Spear phishing

Spear phishing je specifickým phishingovým útokem, při němž si útočník nejprve získává potřebné informace o svých obětech. Nejčastěji se tento útok praktikuje na firmy.

Příkladem takového útoku může být e-mail s upomínkou k zaplacení dlužné částky. Ten je adresován přímo sekretářce firmy a odeslán nejlépe na konci zdaňovacího období. Je velmi pravděpodobné, že si sekretářka daný problém ve firmě neprověří a raději dlužnou částku zaplatí.

Dalším příkladem může být pohozený flash disk či jiné paměťové médium v blízkosti firmy. To některý ze zaměstnanců najde a bude ho chtít vrátit majiteli. Pokusí se ho tedy připojit k firemnímu počítači, aby zjistil, co se na něm nachází. Spustí tak škodlivý kód, který na něj útočník nahrál a způsobí firmě velké nepříjemnosti.

Pharming

Pharming je více sofistikovaným kybernetickým útokem. Od phishingu se liší tím, že se útočník snaží napadnout DNS server a přepsat IP adresu. Po zadání URL adresy internetového bankovnictví jsme opět přesměrováni na falešnou webovou stránku internetového bankovnictví. Proto je i v takovém případě nutné kontrolovat URL adresu stránek, které navštěvujeme. Často v nich útočníci pozmění jen malý detail.

Platí, že navštěvujeme jen webové stránky, které používají šifrovaný protokol HTTPS. Vyplatí se nám, když v aplikacích pracujících s citlivými daty zapneme vícefaktorové ověření. K přihlašování do internetového bankovnictví a práci s citlivými daty obecně dále nebudeme používat veřejné Wi-Fi sítě.

Podvodné webové stránky

V dnešní době se na internetu nachází řada e-shopů, které nabízejí produkty za výhodnou cenu, někdy i zdarma. Mezi nimi nalezneme i různé podvodné webové stránky, jejichž prostřednictvím se útočník snaží od své oběti vylákat citlivé údaje nebo dokonce finanční obnos. Jak již dobře víme, nemusí se jednat jenom e-shopy, ale i o falešné webové stránky s internetovým bankovnictvím.

Dávejme si proto pozor na to, jaké webové stránky navštěvujeme. V případě nakupovaní on-line od neznámého prodejce si raději nejdřív přečtěme recenze na daný e-shop. Pokud je to možné, zboží zaplatíme až při převzetí a zkontrolování, zda je v pořádku.

Odcizení identity

Posledním kybernetickým útokem, který si dnes zmíníme je tzv. krádež identity. Tento kybernetický útok může probíhat mnoha způsoby.

Útočník si například na sociálních sítích jako je Facebook nebo Instagram vytipuje svoji oběť. Poté se s ní "skamarádí" a snaží se získat o ní co nejvíce citlivých informací. Pokud se mu podaří nasbírat velké množství citlivých údajů, může se například pokusit danou oběť vydírat.

Obrana před útoky

Na závěr si uveďme několik základních bodů, které nám pomohou minimalizovat riziko nástrah sociálního inženýrství. Účinná obrana spočívá v kombinaci technických opatření a správných návyků.

Klíčové je kritické myšlení. Nejednáme pod tlakem a vždy si ověřujeme informace. Důležitou roli hraje také ověření identity, například zpětné zavolání, dotaz u kolegy nebo ověření požadavku přímo u banky.

V rámci firemního prostředí se doporučují pravidelná školení zaměstnanců, včetně simulovaných phishingových kampaní a praktických tréninků. Významnou ochranu poskytuje vícefaktorové ověřování (MFA) a používání správců hesel.

Neméně důležitá je opatrnost při práci s přílohami a odkazy. Bez ověření neotvíráme soubory s koncovkami .exe, .js, .docm nebo .xlsm, protože mohou obsahovat škodlivý kód.

V další lekci, Bezpečnost pracovního prostoru - Hrozby a útoky, si představíme možnosti špionážní techniky pro získání citlivých dat. Ty jsou ve většině případů založeny na proniknutí do našeho soukromého prostoru.


 

Předchozí článek
Zásady bezpečnosti při práci s maily a webovými stránkami
Všechny články v sekci
Kybernetická bezpečnost a NIS2
Přeskočit článek
(nedoporučujeme)
Bezpečnost pracovního prostoru - Hrozby a útoky
Článek pro vás napsal Šimon
Avatar
Uživatelské hodnocení:
81 hlasů
Nechvátal Šimon
Aktivity