Sociální inženýrství

Sociální inženýrství je umění manipulovat s lidmi, aby prozradili citlivé informace, obvykle pomocí podvodu a vydávání se za někoho jiného. Běžně se používá při phishingových útocích a krádežích identity.

 

 

Co je to sociální inženýrství?

Sociální inženýrství je technika, při které se útočník snaží zmanipulovat člověka tak, aby mu nevědomky poskytl důvěrné informace, zpřístupnil systém nebo provedl jinou škodlivou akci. Nejde o technický útok, ale o zneužití důvěry, nepozornosti nebo neinformovanosti lidí. V praxi bývá velmi účinné – i skvěle zabezpečené firmy může ohrozit jediný lidský omyl.

 

Jak se sociální inženýrství projevuje v praxi

Příklady typických scénářů:

  • Phishingový e-mail vydávající se za IT oddělení, který vás vybízí k „resetu hesla“ – ve skutečnosti odešlete heslo útočníkovi.
  • Telefonát od „banky“, kde volající žádá potvrzení údajů nebo zadání kódu z SMS.
  • Fyzický přístup – osoba se vydává za technika a požádá o přístup do serverovny.
  • Zneužití autority – útočník se představí jako nadřízený a naléhavě žádá o zaslání důvěrných dat.
  • Záměrné vyvolání stresu – falešná informace o „poruše“ nebo „incidentu“ s cílem přimět zaměstnance k rychlému, nepromyšlenému jednání.

 

Společným jmenovatelem je zneužití lidského faktoru. Útočník neobchází zabezpečení – obejde člověka.

 

Jaký je rozdíl mezi sociálním inženýrstvím a technickými útoky?

  • Sociální inženýrství – útok na člověka (manipulace, podvod)
  • Phishing – podtyp sociálního inženýrství využívající falešné zprávy nebo weby
  • Technické útoky – zneužití slabin v software/hardware bez zapojení oběti

 

Proč rozdíly záleží:
Technická opatření (firewally, antiviry, šifrování) často nedokážou sociální inženýrství zastavit. Ochrana spočívá hlavně v lidské obezřetnosti, školení a nastavení správných procesů.

 

Jak sociálním inženýrstvím zavést nebo posoudit ve vaší firmě

Kroky, jak snížit riziko sociálního inženýrství:

  1. Školte zaměstnance – praktická školení zaměřená na rozpoznání útoků.
  2. Zaveďte procesy ověřování – u e-mailů, telefonátů i požadavků na přístup.
  3. Testujte pomocí simulovaných útoků – např. falešné phishingové kampaně.
  4. Zaveďte oznamovací kanál – aby zaměstnanci mohli bezpečně nahlásit podezření.
  5. Nepodceňujte fyzickou bezpečnost – pravidla pro vstup, nošení ID, hlášení neznámých osob.

 

Proč se tím zabývat:
I nejlepší IT zabezpečení padne, když někdo klikne na falešný odkaz nebo vpustí útočníka dovnitř. Lidský faktor je nejslabším článkem – ale také nejlépe posílitelným. Pravidelné vzdělávání a dobře nastavené procesy dokážou útoky odhalit dřív, než způsobí škody.

zpět do slovníku