Proč se obtěžovat technicky složitým „nabouráváním“ do zabezpečených počítačových sítí a prolamováním hesel, když je mnohem jednodušší, aby nám někdo řekl své heslo sám? Přibližně tak vypadá motto útočníka, který využívá starou, ale v posledních letech velmi účinnou metodu sociálního inženýrství. O co jde a proč se právě jí v době pandemie ve startupech zabývat?
Pokud jste už slyšeli jméno Kevin Mitnick, můžete pár následujících odstavců přeskočit. Pro ostatní připomeňme, že jde asi o nejznámějšího hackera, který k průnikům do IT systémů dost šikovně využíval sociální inženýrství.
Jako mladík v 80. a 90. letech pronikl do systémů velkých korporací jako Nokia, Sun Microsystems, Fujitsu Siemens či DEC a zkopíroval si kódy softwarů, které vyvíjely. Byl za to potom stíhán FBI, souzen a nakonec si několik let odseděl ve vězení. Propustili ho v roce 2000, od té doby se živí jako bezpečnostní konzultant a pořádá přednášky o tom, jak vás může kdokoliv snadno oblafnout.
Mitnick ve skutečnosti nebyl nijak zvlášť techniky zdatný hacker, jak sám přiznává i ve své knize The Art of Deception (česky vyšlo jako Umění klamu), ale téměř k dokonalosti dovedl své schopnosti přesvědčovat lidi, aby mu důležité informace servírovali doslova na zlatém podnose. Jeho kniha je plná nejrůznějších příhod, ve kterých si třeba zjistil, že CEO nějakého startupu odjel na služebku, zavolal nebo rovnou nakráčel do firmy a vydával se za asistenta, příbuzného nebo důležitého obchodního partnera. A získal tak důležité interní informace.
Sociální inženýrství „doběhlo“ i Twitter
Jestli vám to připadá jako film z minulého století, jehož scénář je dnes nereálný, vzpomeňte si na loňský incident na sociální síti Twitter, při kterém hackeři zneužili účty světoznámých osobností, mezi nimiž byli Bill Gates, Elon Musk i nový americký prezident Joe Biden, a byly na nich publikovány falešné zprávy. Tento bezprecedentní průnik se stále vyšetřuje, Twitter už ale oficiálně přiznal, že útočníci zneužili interní zaměstnance pomocí sociálního inženýrství.
„Detekovali jsme něco, co považujeme za koordinovaný útok sociálního inženýrství zacílený na některé naše zaměstnance s přístupem k interním systémům a nástrojům,“ uvedl Twitter v prohlášení. Detaily, jak k tomu došlo, zatím nejsou známé (a zřejmě nikdy nebudou), ale některým technologickým novinářům se podařilo zjistit, že hackerům se podařilo spojit s vytipovanými zaměstnanci, ze kterých vylákali přístupy k administrátorským aplikacím a prostřednictvím nich se dostali k vybraným účtům. Zřejmě k tomu využili internetové komunikační nástroje, nepředpokládá se, že by to byl fyzický kontakt.
Twitter: Byl to koordinový útok. (zdroj: reprofoto Twitter)
Jak v nedávném rozhovoru pro StartupJobs Newsroom uvedl František Zeman, ředitel technologické firmy Algotech, lidé vždy byli a zůstávají nejslabším článkem bezpečnostního řetězce. A nic na tom nezmění ani stále se zlepšující IT zabezpečení, které je už v současnosti prakticky neprolomitelné.
„Že byste prorazil firewally, to je málo pravděpodobné, z pohledu technologií strach nemám. Strach mám z pohledu uživatele. Protože my, lidé-uživatelé, obecně nejsme vždy důslední v tom, abychom do každé aplikace měli jiné silné heslo, abychom ho každé tři měsíce měnili a aby ho lidé kolem nás neznali,“ vysvětlil Zeman. A dodal, že pokud chce někdo cíleně ukradnout nějaká data, je to podle něj jen otázkou peněz, které musí investovat, aby uplatil, zmanipuloval nebo jinak získal lidi, kteří mají přístup ke klíčovým heslům.
Vzdělanost pracovníků stagnuje
Analýzy a předpovědi pro letošní rok ukazují, že v důsledku pandemie, rychlejší digitalizace a přesunu řady pracovníků na home office začíná být sociální inženýrství, využívající navíc technologické nástroje, hlavní hrozbou pro velké korporace i začínající startupy. Například globální poradenská společnost PricewaterhouseCoopers (PwC) ve své zprávě Global Digital Trust Insights 2021 konstatuje, až 9 z 10 podniků kvůli koronaviru přepracovává nebo musí přepracovat svou bezpečnostně-digitální strategii. Někde mají malé rozpočty, jinde chybí IT experti, vhodné mechanismy nebo potřebná školení.
Potvrzuje to také tuzemská bezpečnostní firma Avast, podle které si útočníci uvědomují, že zabezpečení sice roste, ale bezpečnostní vzdělanost lidí stagnuje. „Více lidí pracuje z domova, a to přináší větší nároky na zabezpečení, protože tam, kde mohla být správně nakonfigurovaná síť, přístupy a zabezpečení pouze na jednom místě v práci, je najednou potřeba zabezpečit a vzdělat každého uživatele zvlášť,“ říká pro StartupJobs Newsroom bezpečnostní expert Avastu Jan Širmer s tím, že právě sociální inženýrství je v současné době velkým problémem.
„Útočníci stále využívají e-mailovou komunikaci a sociální sítě. Stejně tak často využívají upravené škodlivé dokumenty, ať už se jedná o Word, Excel nebo PDF. Velkou změnou oproti minulosti je lepší příprava autorů škodlivého softwaru. Častěji se setkáváme s takzvaným spear phishingem neboli útokem zaměřujícím se na konkrétní osoby, který cílí nejen na velké instituce jako nemocnice a banky, ale i na menší firmy,“ vysvětluje Širmer.
Kevin Mitnick ukazuje, jak rychle je možné hacknout vzdálený počítač. (Zdroj: Youtube)
Nenápadně zranitelné startupy
Je zkrátka důležité mít na paměti, že nedostatečně proškolení zaměstnanci si ani nemusí být vědomi toho, že je někdo zneužívá, „tahá“ z nich informace a v horším případě hesla. Sociální inženýrství je dnes díky škodlivým kódům, sociálním sítím a chytrým telefonům sofistikovanější než kdy dříve a jeho oběťmi se mohou stát i mladší lidé s relativně vysokou mírou IT znalostí. Svou roli totiž hrají emoce, rychlé tempo práce a stále větší prolínání pracovního a volného času (zvláště nyní v rámci povinných home office).
„Může to vypadat, že hlavním cílem jsou velké společnosti, ale ani malé firmy nejsou mimo nebezpečí. Startupy často fungují hodně agilně a jde zejména o rychlost, a to může útočníkům hodně nahrávat. Ztráta peněz a dat po úspěšném útoku, ať už přes sociální inženýrství, nebo jiným způsobem, může být pro startup velmi devastující,“ konstatuje Jan Širmer a dodává, že startupy by investice do IT a bezpečnostního vzdělávání zaměstnanců neměli podceňovat.
Rostoucí riziko na poli kyberzločinu v souvislosti s pandemií překvapivě zaznamenala i Česká národní banka (ČNB), která nejenže na svém webu upozornila na podvodné techniky označované jako phishing, ale začala v rámci finančního dohledu nad bankami intenzivněji využívat svých pravomocí při kontrole řídicích a bezpečnostních systémů. Soustředí se tak na agendy Fraud Detection (FDS), identifikující podezřelé transakce, i na to, jak banky vzdělávají své klienty. Útoků v Česku, které mají za cíl získat přístup k elektronickému bankovnictví, totiž rychle přibývá a jsou lépe vedené (zlepšuje se i komunikace v netradiční a složité češtině). A je zřejmé, že pokud tento problém aktivně řeší konzervativní ČNB, zranitelnost běžných lidí bude ve skutečnosti obrovská.
A na závěr ještě rychlý exkurz tradičními technikami sociálního inženýrství. Ať už s vámi útočník hovoří přes telefon, nebo vám posílá instantní zprávu, zpravidla se vás snaží oklamat jako:
- Důležitý člověk – útočník předstírá, že je z vedení firmy a má problémy, které potřebuje rychle vyřešit. Ověřování identity, zvláště při práci na dálku, může být ve větších firmách složitější.
- Bezmocný člověk – útočník se vydává třeba za nového zaměstnance, který potřebuje pracovat na projektu, ale nemůže se přihlásit do firemní sítě. Kolegové zpravidla rádi pomohou.
- Administrátor – útočník se vydává za pracovníka IT oddělení a pod záminkou si vyžádá přístupové údaje. To je už dnes méně časté a většinou se to kombinuje s technikou takzvaného „reverzního sociálního inženýrství“, kdy útočník zařídí, aby se zaměstnanec na něj sám obrátil s prosbou o pomoc.
Zdroje: Global Digital Trust Insights 2021 (PwC), Worldwide Security Spending Guide (IDC), kniha The Art of Deception (Kevin Mitnick), blog ČNB
Foto: Pixabay (hlavní), reprofoto Twitter
