MENU Zavřít

Co je to sociální inženýrství? Základy, které byste měli znát

  • Ing. Anna Gwiltová
  • 27. 6. 2024
  • 5 minut čtení

 Myslíte si, že jste imunní vůči manipulaci? Sociální inženýrství vás může překvapit. Tato skrytá hrozba číhá všude – ve vašich e-mailech, zprávách a telefonátech. A nejenom tam. Útočníci jsou totiž stále kreativnější a nacházejí nové způsoby, jak využít lidskou důvěřivost a nepozornost. Přečtěte si, jaké jsou jejich nejčastější techniky a jak se můžete efektivně bránit.

Co je sociální inženýrství? 

Sociální inženýrství, ve své širší definici, je manipulace lidí za účelem získání informace nebo vyvolání určité akce. Setkáváme se s ním denně.  

Média a weby často využívají sociální inženýrství pomocí omezených nabídek, vytváření tlaku a strachu. Zvažte, jak na vás působí oznámení o posledním kusu zboží na skladě, záplava pozitivních recenzí nebo časově omezené slevy. Tyto taktiky mohou výrazně ovlivnit vaše rozhodnutí a přimět vás k okamžitým nákupům. 

Každý, kdo nám chce s pomocí psychologických metod něco prodat – ať už myšlenku nebo produkt – do jisté míry využívá sociální inženýrství. 

Sociální inženýrství v oblasti kybernetické bezpečnosti 

Sociální inženýrství je oblíbeným nástrojem kybernetických útočníků. Manipulací a psychologickými triky se snaží z jednotlivce vylákat peníze, data nebo citlivé informace. Často hrají na lidské emoce jako strach, důvěra či zvědavost a vytvářejí naléhavé a autenticky vypadající scénáře. Metody sociálního inženýrství většinou nevyžadují technické znalosti – útočníkem tak může být kdokoliv. V dnešní pokročilé době jím může být i umělá inteligence.

Tip: Přečtěte si článek Kybernetický bezpečnostní incident – co to je a jaké druhy známe?

Metody sociálního inženýrství

Mezi nejběžnější metody sociálního inženýrství patří: 

Příklad: Falešné zprávy cílené na klienty VZP: v roce 2023 se Česko stalo obětí smishingové kampaně zaměřené na klienty VZP. Podvodníci rozesílali důvěryhodně vypadající SMS zprávy, které se tvářily jako komunikace od VZP. V SMS zprávách slibovali finanční příspěvek a odkazovaly na falešnou webovou stránku, která dokonale napodobovala oficiální stránky VZP.

  • Vishing: Telefonní podvody, kde útočníci předstírají, že jsou z banky nebo jiné důvěryhodné organizace. 

Příklad: Telefonáty ze společnosti Microsoft: v roce 2022 se v Česku rozšířily případy vishingových telefonátů, při nichž podvodníci volali občanům a vydávali se za zástupce společnosti Microsoft. Tvrdili, že systémy obětí byly napadeny, a nabízeli jejich opravu. Ve skutečnosti se snažili získat přístup k systémům obětí pomocí nástroje pro vzdálený přístup a ukrást údaje o platebních kartách. 

  • Baiting: Lákání obětí na podvodné nabídky, jako jsou infikované USB disky nebo falešné inzeráty, které vedou k instalaci malwaru. Baiting nabízí oběti příslib odměny (tzv. návnadu), většinou ve formě zboží, aby ji přiměl poskytnout přihlašovací údaje nebo jiné cenné informace.
  • Pretexting: Vydávání se za důvěryhodné osoby a vytváření smýšlených příběhů, aby získali důvěru oběti. Jedná se o sofistikovanější formu phishingu, která se zaměřuje na jednotlivce. Předem připravený scénář je navržen tak, aby oběť přesvědčil poskytnout citlivé údaje nebo dokumenty, jako jsou skeny občanského průkazu či pasu, pod záminkou ověření identity
  • Scareware: Použití falešných bezpečnostních upozornění k přesvědčení obětí, aby si stáhly nebo zakoupily malwarem infikovaný software, který se tváří jako bezpečný a originální.
  • Honeytrap: Využití falešných romantických vztahů pomocí atraktivní fiktivní identity nebo pohnutého osudu k získání důvěry obětí a následnému získání citlivých informací nebo peněz. 

Zjistěte, jak na detekci kyberútoků

8 způsobů, jak se bránit technikám sociálního inženýrství 

„Důvěřuj, ale prověřuj.“ V případě sociálního inženýrství je lepší spíše nedůvěřovat. Hackeři spoléhají na lidskou nepozornost a důvěřivost. Nejlepší obranou je tedy neustálá ostražitost a znalost rizik, která se skrývají za zdánlivě neškodnými zprávami.  

Chcete-li tato rizika minimalizovat, řiďte se základními bezpečnostními doporučeními: 

  1. Před otevřením neznámého e-mailu nebo přílohy si vždy ověřte odesílatele. Zkontrolujte celou e-mailovou adresu, nejen zobrazenou hlavičku.
  2. Neklikejte na odkazy z neznámých zdrojů, i když jste zvědaví, zda jste opravdu zdědili 10 milionů eur od příbuzného z Anglie.
  3. Nikdy nikomu nedávejte své heslo nebo bankovní údaje, pokud si nejste jisti volajícím nebo webem. Zavěste nebo ukončete činnost a sami aktivně kontaktujte svou banku.
  4. Používejte silná hesla, která jsou pro každou službu jiná. Ze statistik vyplývá, že máme tendenci volit snadno zapamatovatelná hesla spojená s naším životem, jako je jméno mazlíčka, datum svatby nebo oblíbený tým, a překvapivě stále i „12345“. Taková hesla jsou pro útočníky snadno odhalitelná.
  5. Pravidelně aktualizujte software a používejte antivirové programy. Technická opatření jsou nejjednodušším způsobem ochrany proti známým hrozbám.
  6. Před zadáním citlivých údajů si vždy zkontrolujte, zda je webová stránka legitimní a zabezpečená (URL začínající na „https“ a ikonka zámku v adresním řádku).
  7. Používejte dvoufaktorové nebo vícefaktorové ověřování. I když to může být pro uživatele někdy nepohodlné, je nezbytné pro bezpečné ověření identity a potvrzení důležitých akcí, jako jsou platební příkazy, online platby nebo přístupy do e-mailových schránek. Tím zajistíte, že jste to skutečně vy, kdo provádí požadované operace.
  8. Vždy ověřujte pravost podezřelých a naléhavých žádostí o pomoc. Nenechte se zastrašit a buďte proaktivní. Pamatujte, že nic není zadarmo, a jakákoliv časově omezená nabídka se vám může vymstít.

Tip: Přečtěte si také článek: Firemní data jsou cennostmi vaší firmy. Jste si jistí, že jsou v bezpečí? 

Jak chránit svou firmu před sociálním inženýrstvím 

Sociální inženýrství neohrožuje jen jednotlivce. Může ohrozit i vaši firmu, a to prostřednictvím vašich zaměstnanců. Pokud ji nebudete adekvátně chránit, riskujete únik citlivých dat, finanční ztrátypoškození dobrého jména. Existují dvě hlavní cesty, jak se efektivně bránit. 

Komplexní ochrana vaší informační bezpečnosti

Chraňte svou firmu řešením, které zajišťuje systematickou a efektivní ochranu. V Seyforu se kyberbezpečnosti věnujeme už od roku 2003 a náš stabilní tým odborníků s mnohaletými zkušenostmi je připraven vás ochránit před hrozbami sociálního inženýrství. Přečtěte si více o našem řešení a zajistěte bezpečnost své firmy. 

Chci svou firmu chránit

Vzdělávání sebe a svých zaměstnanců 

Investujte do vzdělávání a posilujte bezpečnostní povědomí ve vaší firmě. Například na Knowee najdete užitečné články a kurzy, včetně kurzu kyberbezpečnosti pro koncové uživatele, které vám a vašim zaměstnancům pomohou lépe se bránit hrozbám sociálního inženýrství. 

Chci se proškolit

Přihlaste se k odběru newsletteru

Doporučené produkty

Detekce kyberútoků

Zavedeme technologie (SIEM / SOAR), s nimiž vám neunikne žádná bezpečnostní událost. Díky systémově nastavenému reportingu budete na hrozby reagovat včas.

Podobné články