22.03.2011
Nové www stránky E-Bezpečí
Spouštíme zcela nové www stránky...
Celý článek...

09.03.2011
Cizinec vydíral desítky dívek, musely se on-line svlékat před kamerou
Podrobnosti zde .
Celý článek...

04.03.2011
Proškolena policie Moravskoslezského kraje
Dnes jsme proškolili policisty PIS Moravskoslezského kraje v Ostravě.
Celý článek...

13.02.2011
Výzkum rizik internetu 2011
Dovolujeme si Vás informovat o právě zveřejněné zprávě z výzkumného šetření Centra prevence rizikové virtuální komunikace PdF UP a projektu E-Bezpečí. Zpráva se zaměřuje na v&...
Celý článek...

20.01.2011
Muž je obviněn ze zneužití 55 nezletilých dívek, soud ho pustil na svobodu
Více zde.
Celý článek...

20.01.2011
Muž v Ostravě svedl dítě přes internet k sexu a pak i k prostituci
Více se dozvíte zde.
Celý článek...

13.01.2011
Nový audiopořad v archívu
Doplnili jsme náš archiv audiopořadů, který je k dispozici na http://cms.e-bezpeci.cz/podcast/.
Celý článek...

10.01.2011
Facebooková generace trpí absťáky jako narkomani, potvrdili vědci
Více zde.
Celý článek...

13.12.2010
E-Bezpečí terčem hackerského útoku
V noci z neděle na pondělí 12. - 13. 12. 2010 proběhl hackerský útok na web E-Bezpečí. Nedošlo k žádné ztrátě dat. Provoz byl obnoven.
Celý článek...

02.12.2010
Rozvádíte se? Pryč z Facebooku!
Čtěte zde.
Celý článek...

30.11.2010
Poraďte nám

V souvislosti se změnami financování vysokých škol (E-Bezpečí je garantováno vysokou školou) připravujeme změny v cenách kurzů E-Bezpečí tak, aby výsledná částka byla pro školu snesitelná. Do ...

Celý článek...

25.11.2010
Kybersex v průběhu dne provozuje pětadvacet miliónů lidí na světě
Více zde.
Celý článek...

22.11.2010
Soud rozhodl: Konec internetové anonymitě
Čtěte zde.
Celý článek...

22.11.2010
Za výhrůžné SMS hrozí odesilateli vězení
Více zde.
Celý článek...

12.11.2010
Trojky z chování kvůli facebooku: Školačky nadávaly ředitelce
Více zde.
Celý článek...

  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
  • Ukzky ze vzd?lvacch akc
Image z
Nebezpečné komunikační praktiky a sociální inženýrství
Hodnocení čtenářů: / 3
SlabéVynikající 
Středa, 14 květen 2008
socialni_inzenyrstvi.jpgKomunikace prostřednictvím e-komunikačních prostředků nese často množství rizik. Největší nebezpečí však nepředstavují technologie jako takové, ale zejména tzv. lidský faktor – tj, důvěřivost uživatelů komunikace. Z toho následně vychází strategie tzv. sociálního inženýrství – soubor technik, které působí na člověka a mění jeho názory, postoje, vzbuzují v něm falešnou představu o vybraném problému (dále jako tzv. hoax), předsouvají mu nekvalitní deformované informace apod.

Co je tedy sociální inženýrství?

Sociální inženýrství (SI) je termín pro metodu, jež vede legitimní počítačové uživatele

k poskytnutí užitečných informací, které pomáhají útočníkovi získat neautorizovaný přístup do jejich počítačového systému. Sociální inženýrství je tedy způsob získávání důležitých informací od uživatelů bez vědomí, že tak činí. 

Sociotechnický útok

V samotném úvodu je třeba zmínit, že schopný sociotechnik využívá pro efektivní útok (pro zajištění efektivního útoku) zejména tzv. šest základních vlastností lidské povahy:

  1. Autoritu
  2. Sympatii
  3. Vzájemnost
  4. Důslednost
  5. Společenský souhlas
  6. Poukázání na zvláštní příležitost, akční nabídku apod.

 

Nyní něco k těmto vlastnostem:

Autorita

Lidé mají obecně tendenci podřídit se osobě s větší mocí (vyšší funkce, vedoucí pozice ve firmě či škole apod.). Vydává-li se sociotechnik například za asistenta ředitele, jeho slova mají vzhledem k průměrnému zaměstnanci vyšší váhu. 

Sympatie

Lidé velmi rádi vyhoví požadavkům těm, ke kterým mají jisté sympatie. Ty si lze získat různými způsoby – například díky stejným názorům na problém, zájmům apod. 

Vzájemnost

Ve velmi pravděpodobné, že bude se sociotechnikem potenciální oběť spolupracovat, pokud se bude cítit být útočníkovi za něco zavázána. Tedy například sociotechnik pro oběť něco udělá (například něco nainstaluje, sežene film, opraví počítačový problém) a mimoděk oběti řekne, ať si nainstaluje nějaký program, který zajistí bezpečnost počítače oběti. Může to být buď spyware (trojský kůň, keyscan apod..), nebo jednoduše program pro přístup ke vzdálené ploše uživatele (RealVNC apod.). 

Důslednost

Součástí lidského charakteru je tendence podřídit se, pokud předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti. Například veřejný slib, veřejná sázka apod. 

Společenský souhlas
Společenský souhlas funguje tak, že sociotechnik oznámí oběti, že potřebuje něco vyplnit s tím, že všichni ostatní už ho vyplnili. Když to tedy udělali ostatní, proč ne oběť? Pak již záleží na útočníkovi, jaké otázky oběti předloží (osobní apod.).

Poukázání na zvláštní příležitost, akční nabídku apod.

Kdo z nás by nebyl pod vlivem reklamy, kdo by se nesetkal s akčními nabídkami limitovanými časem či počtem kusů. Šikovný sociotechnik může například operovat s tím, že prvních 100 registrovaných uživatelů dostane nějaký dárek. Registraci odkáže na uměle vytvořenou stránku, která získá od uživatelů hesla, osobní údaje apod. Kolik z uživatelů internetu přeci používá  univerzální hesla ke svým e-mailovým účtům? Podobným způsobem probíhá známý phishing spojený se spamem (tedy snaha přesvědčit uživatele, aby přihlásili ke svému bankovnímu účtu prostřednictvím falešné internetové stránky).

A nyní k samotnému sociotechnickému útoku

Jako médium pro sociotechnický útok slouží kromě klasické pošty hlavně telefon a internet (e-mail, IRC, ICQ). Zkušení sociotechnici mohou provádět i útoky „tváří v tvář”.

V případě, že útočník dokonce zná oběť osobně, může uhodnout její heslo na základě informací, které o ní má. Zkusí například zadat místo narození, přezdívku, název vesnice,

ve které má oběť chatu, jméno psa atd. Mezi oblíbená hesla patří příjmení, slova a jména

z Bible, jména hrdinů z animovaných seriálů, postavy a citáty ze Shakespeara, Tolkiena či

Hvězdných válek, rodné číslo, slovo „heslo“, čísla 12345 apod.).

Je až s podivem, jak velké množství lidí jednoduchá hesla tohoto typu používá i pro zabezpečení přístupu k vysoce důležitým dokumentům a účtům. Když o oběti neznáme bližší údaje, je možno využít techniky zvané phishing.

Sociotechnici využívají běžných vlastností lidí, jako jsou důvěřování druhým, občasná lenost, přehlížení drobných odlišností, ochota pomoci druhým a strach před tím, aby se nedostali do problémů. Srovnejte například s phishingovým útokem na Českou spořitelnu, CityBank apod.

 
Pokud útočníkovi na úspěchu akce záleží, neváhá věnovat delší časové období na tzv. budování důvěry. Útočník například s obětí třeba i několik týdnů chatuje a při jednom

z rozhovorů (kdy už pro oběť není někým neznámým, ale naopak důvěryhodným) ji přinutí

k instalaci drobného užitečného programu. Jenže spolu s tím většinou dojde i k tiché instalaci (silent install – tzn. uživatel si vůbec neuvědomí, že k něčemu došlo) nějakého monitorovacího programu – tzv. spyware, keyscan apod.. Tento speciální software slouží ke skrytému sledování a odposlouchávání veškerého dění na počítači – navštívené internetové stránky, sledování elektronické pošty, stisku kláves při zadávání hesel atd.

Jak může vypadat sociotechnický útok v praxi, si přečtěte například na: http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm
 
Za sociální inženýrství, jehož cílem je získat o uživatelích informace využitelné pro další reklamu, jsou pokládány také různé reklamní a soutěžní akce (Reader’s Digest apod.). Velké společnosti již běžně pracují s databázemi osobních údajů uživatelů, které se dále využívají k různým obchodním nabídkám, spamu apod.

Výsledkem funkčního útoku je například heslo k bankovnímu účtu (internetbanking), heslo k přihlášení na e-mail, přístup do počítače oběti apod.

Tato adresa je chráněna proti spamování, pro její zobrazení potřebujete mít Java scripty povoleny

 

 

Zdroje:

Šimek, R. Sociotechnika (sociální inženýrství), 2003

http://www.fi.muni.cz/usr/jkucera/pv109/2003p/xsimek3sociotechnika.htm

Mitnick. K. Umění klamu.

http://www.lupa.cz/clanky/kevin-mitnick-umeni-klamu/

Kopecký, K. Moderní trendy v elektronické komunikaci. Olomouc: Hanex, 2007.

http://www.nakladatelstvi-hanex.com/index.php?akce=VIEW&id=31&row=3

 

 

 
< Předch.



Zveřejňujete na internetu své osobní fotografie
 







TOPlist