Press "Enter" to skip to content

Sociální inženýr: Pretexting

Hned na první metodě sociálního inženýrství si asi nejlépe vysvětlíme co celý pojem znamená. V předchozím dílu jsme se dozvěděli, že sociální inženýři dokáží pomocí manipulace přimět své oběti ke sdělení zdánlivě neškodné informace. Mají čas, nikam nechvátají a postupně získané informace skládají do sebe a využívají je k získání dalších důležitějších dat.

Útočník chce získat důležitá data, například výpis z účtu slavné osobnosti. Taková data se dají slušně zpeněžit prodáním do bulváru. Začne s tím, že zavolá do společnosti například jako klient, vymyslí si nějaký příběh a hovor třeba vyhrotí tak, že bude na konci chtít znát jméno a kontakt na nadřízeného. Tomu pak zavolá s tím, že je manažer dané slavné osobnosti a že mají nesrovnalost s účtem. Může třeba i sdělit, že ví že mu nemůže po telefonu nic sdělit, ale požádá jej aby z funkce ředitele zkontroloval třeba určité období na výpisu. Při hovoru získá drobnou informaci o pohybu, kterou posléze může použít k přesvědčení někoho jiného o tom, že má výpis před sebou a chce probrat smyšlený problém. Nakonec může požádat o zaslání kopie výpisu pro porovnání, jestli nedošlo k problému.

Cílem je onen nejslabší článek bezpečnosti – člověk. Útočník postupně získává méně významné informace, které ale posléze může použít k přesvědčení a snížení ostražitosti svých dalších obětí. Je třeba si také uvědomit, že tito útočníci jsou mistrní manipulátoři a jen čekají na důvěřivého pracovníka, který jim podlehne.

Reálný příklad z praxe: pro ještě lepší představu uvedu jeden reálný příklad z praxe. Útočník sledoval chování své potenciální oběti na facebooku. Ve svých příspěvcích se oběť pochlubila, že má platinovou kartu, že nakupuje luxusní zboží a že si půjčuje filmy v jedné konkrétní videopůjčovně. Dal si čas, nikam nespěchal. Zavolal do videopůjčovny a představil se jako kolega z jiné pobočky a pouze se dotazoval zda mají k dispozici nějaký konkrétní film. Pracovnice ochotně nahlédla do databáze a potvrdila že film mají. On poděkoval a že tam posílá klienta. Takto oné pracovnici jednou za čas zavolal a stejným způsobem zjišťoval zda mají ten či onen film.

Vždy byl příjemný a zdvořilý. Jednoho dne když takto zavolal si posteskl, že je to hrozné, že se od rána ani nezastavil. Pracovnice videopůjčovny mu odpověděla v podobném duchu a opět sdělila zda dotazovaný film mají. Při dalším hovoru po čase útočník opět trochu rozvedl hovor a začal se ptát jak se má a zavtipkoval s dobrou spoluprací. Takto si postupně budoval s pracovnicí jakýsi vztah. Až když si byl úplně jistý, sdělil pracovnici při jednom z dalších hovoru svůj zcela nový požadavek.

Postěžoval si, že jim zlobí systém a že nemůže klientovi strhnout poplatek za půjčovné a požádal – nyní již svou dobrou známou – o vyhledání klienta v databázi a sdělení údajů k platební kartě. Paní ochotně údaje sdělila, vždyť útočníka dokonale znala. Znala ho už jako vlastní boty, jeho starosti, radosti, problémy. Ale vše byla jen dobře zvládnutá manipulace, která vedla k získání údajů k platební kartě a jejímu následnému zneužití.

Obdobou je u nás nechvalně známá metoda manipulace našich seniorů, kdy se útočník vydává za vnouče a požaduje zaslání peněz po kamarádovi. Také se setkáváme s případem, kdy vám napíše známá osoba, že nemůže ke svému telefonu a prosí Vás o přeposlání kódu, který Vám přijde v SMS – většinou tím potvrdíte platbu z Vašeho mobilního účtu.

Jak se takovému útoku bránit?

Možností a způsobů, jak spolehlivě naletět je hodně. Chránit se není úplně jednoduché, protože útočníci jsou rození mistři manipulace.

Jako základní ochrana stačí používat selský rozum, nikomu nevěřit a vše si ověřovat. Nikomu nesdělujte citlivé údaje ani o sobě ani o vašem okolí. Nevěřte hned všem sebereálněji vypadajícím příběhům a dejte si čas na odpověď. Mezitím si ověřte fakta a skutečnosti. Mějte na paměti, že problém budete mít nakonec vy!

Líbil se Vám článek? Sdílejte jej s přáteli:

KOMENTÁŘE