V širším slova smyslu můžeme za sociální inženýrství považovat jakýkoli druh manipulace související s psychologií chování. Tento pojem ale ne vždy souvisí s trestnou nebo podvodnou činností. Ve skutečnosti se sociální inženýrství široce používá a studuje v různých kontextech, například v sociologii, psychologii a marketingu.
V kontextu kybernetické bezpečnosti se sociální inženýrství provádí s postranními úmysly a označuje soubor lstivých aktivit, kterými se subjekty se špatnými úmysly snaží zmanipulovat lidi tak, aby udělali něco, co nechtějí – například poskytli osobní nebo důvěrné informace, které mohou být později použity proti nim nebo jejich společnosti. Častým důsledkem těchto typů útoků je podvodné zneužití totožnosti a v mnoha případech vede ke značným finančním ztrátám.
Sociální inženýrství je často prezentováno jako kybernetická hrozba, ale nejde o žádnou novinku a tento koncept je možné použít i v souvislosti s podvodnými schématy ve skutečném světě, například když se někdo vydává za orgány státní správy nebo specialisty v oblasti IT. Vznik internetu ale hackerům značně usnadnil manipulování obětí v širším měřítku a tato nekalá činnost se bohužel odehrává i v souvislosti s kryptoměnami.
Jak to funguje?
Všechny techniky sociálního inženýrství se opírají o slabiny lidské psychologie. Podvodníci využívají k manipulaci a oklamání obětí jejich emoce. Různými metodami obrací proti lidem strach, chamtivost, zvědavost, a dokonce i ochotu pomáhat druhým. Jedním z nejběžnějších a nejznámějších příkladů zlomyslného sociálního inženýrství je phishing.
Phishing
Phishingové e-maily často napodobují korespondenci legitimní společnosti, například národního bankovního řetězce, renomovaného internetového obchodu nebo poskytovatele e-mailových služeb. V některých případech tyto duplikované e-maily upozorňují uživatele, že jejich účet je třeba aktualizovat, nebo že vykazuje neobvyklou aktivitu, a k ověření totožnosti a sjednání nápravy od nich potřebují osobní údaje. Někteří lidé ze strachu okamžitě kliknou na odkaz, přejdou na falešný web a požadované údaje poskytnou. V tomto okamžiku se informace dostanou do rukou hackerů.
Scareware
Techniky sociálního inženýrství se používají také k šíření takzvaného scarewaru. Jak název napovídá, scareware je typ malwaru, který má uživatele vyděsit a šokovat. Obvykle vytvoří falešný poplach, který se snaží přimět oběť k instalaci na první pohled legitimního softwaru nebo k otevření webu, který infikuje systém. Tato technika se spoléhá na strach uživatelů z napadení systému a přesvědčí je, aby klikli na webový banner nebo vyskakovací okno. V těchto zprávách se obvykle píše něco jako: „Váš systém je infikován, kliknutím sem ho vyčistíte.“
Baiting
Další metodou sociálního inženýrství, která způsobuje potíže mnoha nepozorným uživatelům, je baiting. Jedná se o používání návnad, které k nalákání oběti používají její chamtivost nebo zvědavost. Podvodníci mohou například vytvořit web, který nabízí něco zdarma, třeba hudební soubory, videa nebo knihy. K získání přístupu k těmto souborům si ale uživatelé musí vytvořit účet a poskytnout osobní údaje. V některých případech není účet potřeba, protože soubory jsou přímo infikovány malwarem, který pronikne do počítačového systému oběti a shromažďuje její citlivé údaje.
K baitingu může docházet i v reálném světě, například prostřednictvím USB flash disků a externích pevných disků. Podvodníci mohou záměrně nechávat infikovaná zařízení na veřejných místech, aby každý zvědavec, který si je vezme, zkontroloval obsah a infikoval si počítač.
Sociální inženýrství a kryptoměny
Chamtivost může být na finančních trzích docela nebezpečná. Obchodníci a investoři jsou vůči phishingovým útokům, Ponziho nebo pyramidovým schématům a dalším druhům podvodů obzvlášť zranitelní. Nadšení, které v blockchainovém odvětví vyvolávají kryptoměny, dokáže za relativně krátkou dobu (zejména během býčích trhů) přitáhnout mnoho nováčků.
I když mnoho lidí moc dobře nerozumí tomu, jak kryptoměny fungují, často slyší o potenciálu těchto trhů generovat zisky, takže nakonec do něčeho zainvestují, aniž by si udělali odpovídající průzkum. Sociální inženýrství bývá úspěšné zejména u nováčků, kteří se často chytí do pasti vlastní chamtivostí nebo strachu.
Touha po rychlém zisku a snadném výdělku nakonec vede nováčky k honbě za falešnými soutěžemi a airdropy. Na druhou stranu strach z ohrožení soukromých souborů může uživatele přimět k zaplacení výkupného. V některých případech se ani o skutečnou infekci ransomwarem nejedná a uživatelé jsou oklamáni falešným poplachem nebo zprávou vytvořenou hackery.
Jak útokům sociálního inženýrství předcházet
Jak už jsme zmiňovali, podvody sociálního inženýrství fungují, protože působí na lidskou povahu. Obvykle jsou motivovány strachem a vyzývají lidi k okamžitému jednání, aby před nereálnou hrozbou ochránili sebe (případně svůj systém). Útoky se také spoléhají na lidskou chamtivost a lákají oběti na různé typy investičních podvodů. Proto je důležité myslet na to, že pokud nabídka vypadá příliš dobře na to, než aby byla pravdivá, pravděpodobně tomu tak je.
Někteří podvodníci jsou sice sofistikovaní, ale mnozí dělají nápadné chyby. Některé phishingové e-maily, a dokonce i bannery se scarewarem, často obsahují syntaktické chyby nebo chybně napsaná slova a jsou účinné pouze proti těm, kteří nevěnují dostatečnou pozornost gramatice a pravopisu – mějte proto oči na stopkách.
Pokud se nechcete stát obětí útoků sociálního inženýrství, zvažte následující bezpečnostní opatření:
Vzdělávejte sebe, rodinu a přátele. Poučte je o běžných případech zlomyslného sociálního inženýrství a informujte je o obecných bezpečnostních zásadách.
Dávejte si pozor na e-mailové přílohy a odkazy. Neklikejte na neznámé reklamy a weby.
Nainstalujte si spolehlivý antivirový program a pravidelně své aplikace a operační systém aktualizujte.
Používejte vícefázové ověřování, kdykoli je to možné. Ochráníte jím přihlašovací údaje k e-mailu a další osobní údaje. Nastavte si dvoufázové ověřování (2FA) na účtu Binance.
Rada pro podniky: zvažte školení zaměstnanců ohledně rozpoznávání a prevence phishingových útoků a schémat sociálního inženýrství.
Závěrem
Kyberzločinci neustále hledají nové metody, jak oklamat uživatele a ukrást jejich finanční prostředky a citlivé informace. Proto je velmi důležité vzdělávat sebe i své okolí. Internet je rájem pro tyto typy podvodů, které jsou obzvlášť v oblasti kryptoměn velmi časté. Buďte opatrní a ostražití, ať se nenaletíte na nástrahy sociálního inženýrství.
Každý, kdo se rozhodne investovat do kryptoměn nebo s nimi obchodovat, by si navíc měl udělat vlastní průzkum, aby dobře porozuměl trhům i mechanismům fungování blockchainové technologie.