V širším smyslu lze za sociální inženýrství považovat jakýkoli druh manipulace spojený s psychologií chování. Ne vždy však tento pojem souvisí s kriminálními nebo podvodnými aktivitami. Ve skutečnosti je sociální inženýrství široce používáno a studováno v různých kontextech, v oblastech, jako jsou sociální vědy, psychologie a marketing.
Pokud jde o kybernetickou bezpečnost, sociální inženýrství je prováděno s postranními úmysly a odkazuje na soubor škodlivých aktivit, které se pokoušejí manipulovat lidi, aby udělali špatné kroky, jako je vzdání se osobních nebo důvěrných informací, které mohou být později použity proti nim nebo jejich společnosti. Podvody s identitou jsou běžným důsledkem těchto typů útoků a v mnoha případech vedou ke značným finančním ztrátám.
Sociální inženýrství je často prezentováno jako kybernetická hrozba, ale tento koncept existuje již dlouhou dobu a termín lze také použít v souvislosti s reálnými podvodnými schématy, která obvykle zahrnují předstírání identity úřadů nebo IT specialistů. Vznik internetu však hackerům značně usnadnil provádění manipulativních útoků v širším měřítku a bohužel tyto škodlivé aktivity probíhají i v kontextu kryptoměn.
Jak to funguje?
Všechny typy technik sociálního inženýrství spoléhají na slabiny lidské psychologie. Podvodníci využívají emocí k manipulaci a oklamání svých obětí. Strach, chamtivost, zvědavost a dokonce i jejich ochota pomáhat druhým se obrací proti nim prostřednictvím různých metod. Mezi mnoha druhy škodlivého sociálního inženýrství je phishing jistě jedním z nejběžnějších a nejznámějších příkladů.
Phishing
Phishingové e-maily často napodobují korespondenci od legitimní společnosti, jako je národní bankovní řetězec, renomovaný internetový obchod nebo poskytovatel e-mailu. V některých případech tyto klonované e-maily upozorní uživatele, že jejich účet musí být aktualizován nebo vykazuje neobvyklou aktivitu, což po nich bude vyžadovat poskytnutí osobních údajů jako způsobu, jak potvrdit svou identitu a upravit své účty. Někteří lidé ze strachu okamžitě kliknou na odkazy a přejdou na falešnou webovou stránku, aby poskytli požadovaná data. V tuto chvíli budou informace v rukou hackerů.
Scareware
Techniky sociálního inženýrství se také používají k šíření tzv. Scareware. Jak název napovídá, scareware je typ malwaru, který má uživatele vyděsit a šokovat. Obvykle zahrnují vytváření falešných poplachů, které se pokoušejí přimět oběti k instalaci podvodného softwaru, který vypadá legitimně, nebo k přístupu na webovou stránku, která infikuje jejich systém. Taková technika často spoléhá na strach uživatelů z kompromitace jejich systému a přesvědčuje je, aby klikli na webový banner nebo vyskakovací okno. Zprávy obvykle říkají něco jako: "Váš systém je infikován, kliknutím sem ho vyčistěte."
Vnadění
Návnada je další metoda sociálního inženýrství, která způsobuje potíže mnoha nepozorným uživatelům. Zahrnuje použití návnad k nalákání obětí na základě jejich chamtivosti nebo zvědavosti. Podvodníci mohou například vytvořit web, který nabízí něco zdarma, jako jsou hudební soubory, videa nebo knihy. Aby však uživatelé měli přístup k těmto souborům, musí si vytvořit účet a poskytnout své osobní údaje. V některých případech není potřeba účet, protože soubory jsou přímo infikovány malwarem, který pronikne do počítačového systému oběti a shromáždí její citlivá data.
Schémata návnady se mohou vyskytovat i v reálném světě pomocí USB klíčenek a externích pevných disků. Podvodníci mohou úmyslně nechávat infikovaná zařízení na veřejném místě, takže každá zvědavá osoba, která je popadne, aby zkontrolovala obsah, infikuje jejich osobní počítač.
Sociální inženýrství a kryptoměny
Chamtivá mentalita může být na finančních trzích docela nebezpečná, protože činí obchodníky a investory obzvláště zranitelnými vůči phishingovým útokům, Ponziho nebo pyramidovým hrám a dalším typům podvodů. V rámci blockchainového průmyslu přitahuje vzrušení, které kryptoměny generují, mnoho nováčků do vesmíru v relativně krátkém časovém období (zejména během býčích trhů).
I když mnoho lidí plně nerozumí tomu, jak kryptoměna funguje, často slyší o potenciálu těchto trhů generovat zisky a nakonec investovat, aniž by provedli patřičný průzkum. Sociální inženýrství je zvláště znepokojující pro nováčky, protože jsou často chyceni vlastní chamtivostí nebo strachem.
Na jedné straně touha po rychlých výdělcích a snadném vydělávání peněz nakonec vede nováčky k tomu, aby se honili falešnými sliby dárků a výsadků. Na druhou stranu strach z prolomení jejich soukromých souborů může uživatele přimět zaplatit výkupné. V některých případech nedochází ke skutečné infekci ransomwarem a uživatelé jsou oklamáni falešným poplachem nebo zprávou vytvořenou hackery.
Jak zabránit útokům sociálního inženýrství
Jak již bylo zmíněno, podvody sociálního inženýrství fungují, protože apelují na lidskou povahu. Obvykle používají strach jako motivaci a nabádají lidi k okamžitému jednání, aby ochránili sebe (nebo svůj systém) před neskutečnou hrozbou. Útoky také spoléhají na lidskou chamtivost a lákají oběti do různých typů investičních podvodů. Je tedy důležité mít na paměti, že pokud nabídka vypadá příliš dobře na to, aby byla pravdivá, pravděpodobně je.
Přestože jsou někteří podvodníci sofistikovaní, jiní útočníci dělají znatelné chyby. Některé phishingové e-maily a dokonce i bannery se strašením často obsahují syntaktické chyby nebo špatně napsaná slova a jsou účinné pouze proti těm, kteří nevěnují dostatečnou pozornost gramatice a pravopisu – mějte proto oči otevřené.
Abyste se nestali obětí útoků sociálního inženýrství, měli byste zvážit následující bezpečnostní opatření:
Vzdělávejte sebe, rodinu a přátele. Poučte je o běžných případech škodlivého sociálního inženýrství a informujte je o hlavních obecných bezpečnostních zásadách.
Buďte opatrní s e-mailovými přílohami a odkazy. Neklikejte na reklamy a webové stránky neznámého zdroje;
Nainstalujte si důvěryhodný antivirus a udržujte své softwarové aplikace a operační systém aktuální;
Kdykoli můžete, využijte řešení vícefaktorové autentizace k ochraně svých e-mailových pověření a dalších osobních údajů. Nastavte si dvoufaktorovou autentizaci (2FA) ke svému účtu Binance.
Pro firmy: zvažte přípravu svých zaměstnanců na identifikaci a prevenci phishingových útoků a schémat sociálního inženýrství.
Závěrečné myšlenky
Kyberzločinci neustále hledají nové metody, jak klamat uživatele, s cílem ukrást jejich finanční prostředky a citlivé informace, takže je velmi důležité vzdělávat sebe i své okolí. Internet poskytuje útočiště pro tyto typy podvodů a jsou zvláště časté v oblasti kryptoměn. Buďte opatrní a zůstaňte ve střehu, abyste nespadli do pastí sociálního inženýrství.
Kromě toho by každý, kdo se rozhodne obchodovat nebo investovat do kryptoměny, měl provést předchozí průzkum a ujistit se, že dobře rozumí trhům a pracovním mechanismům technologie blockchain.
