5 nejčastějších kybernetických útoků a metod sociálního inženýrství a způsoby, jak jim předejít

2021-03-09

Phishing je jen jedna z mnoha metod, které strany se špatnými úmysly ke krádeži citlivých dat nebo digitálních aktiv používají.

Rozdíl mezi sociálním inženýrstvím a hackováním

Útoky sociálního inženýrství fungují na základě psychologické manipulace neznalé oběti s cílem vylákat z ní důvěrné informace nebo ji donutit, aby se vzdala digitálních aktiv.

Sociální inženýrství neprovádí přímé útoky na bezpečnostní systémy, hardware ani technologickou stránku věcí. Zaměřuje se na nejslabší článek v řetězci — na nás. Oběť je přelstěna a zmanipulována k tomu, aby útočníkovi dobrovolně předala důvěrné údaje. 

Hackování se naproti tomu zaměřuje na úplně jiný prvek bezpečnosti. Mezi metody hackování patří přímé útoky na hardware, infrastrukturu nebo bezpečnostní prvky s cílem najít nebo vytvořit zranitelná místa. Cíl pachatelů je jiný. V dnešní době převažují techniky, které se pokoušejí získat kontrolu nad vaším zařízením či systémem nebo ukrást přihlašovací údaje kvůli finančnímu obohacení. Existují také případy, kdy pachatel provede útok pouze s úmyslem oběti ublížit. 

Teď se podíváme na pět nejběžnějších metod sociálního inženýrství a hackerských útoků (a jednu chybu, kterou děláme všichni).

Ransomware

Tento škodlivý software vám infikuje počítač a obvykle hrozí smazáním vašich dat, pokud nezaplatíte výkupné. Okolnosti se mění v závislosti na typu ransomwaru, se kterým se setkáte. 

Nejprimitivnějším typem útoku je scareware. Váš počítač nebo prohlížeč spolupracuje se škodlivým skriptem nebo softwarem a zobrazí varovnou zprávu, která se vás snaží zastrašit, abyste stáhli soubor, zaplatili za produkt nebo kontaktovali falešný tým podpory. Scareware snadno odstraníte pomocí kvalitních a snadno dostupných produktů z oblasti kybernetické bezpečnosti, aniž by došlo ke ztrátě dat nebo poškození zařízení.

Dalším typem ransomwaru je zámek obrazovky, který je i nebezpečnější než scareware. Zámky obrazovky vám zcela znemožní přístup k zařízení a zobrazí vám zprávu, ve které se útočníci vydávají za státní organizaci nebo skupinu pro prevenci trestné činnosti. Shodou okolností vám tyto skupiny rády zařízení odemknou, když jim zaplatíte kryptoměnami. Zaplacení výkupného vám ale data automaticky nevrátí a je pravděpodobné, že už je stejně nikdy neuvidíte.

Nejhorším případem je šifrovací ransomware, kdy útočník vaše data zašifruje a vyhrožuje vám jejich odstraněním nebo zveřejněním, pokud nezaplatíte výkupné. Hackeři stojící za proslulým ransomwarem WannaCry přitáhli hodně negativní pozornosti na kryptoměny a obzvlášť na Bitcoin, protože oběti musely výkupné zaplatit v bitcoinech. Skupina WannaCry obdržela dohromady 327 plateb v celkové hodnotě 51,62 BTC, což v době psaní tohoto článku odpovídá více než 500 000 USD. 

Jakmile zámek obrazovky nebo šifrovací ransomware převezmou kontrolu nad vaším zařízením, nelze je v mnoha případech odstranit. Jediným řešením je prevence. 

Baiting

Bait je anglicky návnada a tento typ útoku funguje tak, že se útočník pokouší nalákat svou potenciální oběť slibem nějaké odměny. K baitingu dochází ve skutečném světě i online. Ve skutečném světě se vás někdo může pokusit navnadit flash diskem nebo hardwarovou peněženkou zanechanou na viditelném místě. Jakmile ji připojíte, na vaše zařízení zaútočí škodlivý software. Online baiting má často podobu reklam slibujících odměnu nebo soutěží.

Pokud někdy najdete hardwarovou peněženku Trezor se štítkem „Životní úspory CZ v BTC“, nejspíš to bude podvrh. Nepoužívejte zařízení, která vám nepatří, a dávejte si pozor na reklamy a nabídky, které slibují skvělé obchody nebo výnosy. 

Vishing

Vishing je kombinací slov voice a phishing. Jedná se o jeden z útoků, který je teď na vzestupu, a každý den se objevují nové variace. Tato technika nepoužívá poštu, telefonní hovory ani zprávy, ale telefonní služby přes internet (VoIP). V tomto telefonátu vás informují, že váš bankovní účet nebo vaše bankovní karta byly zablokovány, že vaše předschválená hypotéka je připravená nebo že charita usiluje o váš příspěvek. Pachatelé se často vydávají za důvěryhodné osoby, jako třeba zaměstnance banky, vymahače dluhů, zákaznickou podporu nebo dokonce finanční správu. 

Vishing snadno odhalíte tak, že zavoláte na oficiální číslo organizace, o které volající tvrdí, že ji zastupuje, a vše si ověříte. Dobrým základním pravidlem je zavěsit, pokud vám volající připadá podezřelý, a zavolat na číslo uvedené na webových stránkách organizace.

Zákaznická podpora Binance vás nikdy telefonicky kontaktovat nebude. Nikdy nesdělujte citlivé údaje po telefonu, protože žádné telefonní hovory nejsou zcela soukromé, ať máte jakéhokoli operátora nebo jakoukoli značku telefonu.

Pretexting

Cílem útočníka je získat vaše soukromé informace prostřednictvím řady lží. Při pretextingu se pachatel často vydává za někoho, koho známe, nebo důvěrnou autoritu, jako je policie či bankovní úředník. Útočník se z vás bude snažit vylákat soukromé údaje pocitem naléhavosti nebo bude chtít, abyste provedli určité úkoly. 

Nejběžnějšími cíli pretextingu jsou rodná čísla, údaje k platební kartě, adresy bydliště, telefonní čísla, seed slova nebo dokonce bitcoiny. Pokud se nechcete stát obětí pretextingu, řiďte se stejnými pravidly jako u vishingu: vždy si ověřte, že komunikujete s oprávněnou osobou tím, že zahájíte komunikaci na jiném komunikačním kanálu než je ten, který aktuálně používáte. 

Bait and switch

Lovištěm útočníků, kteří používají metodu bait and switch, jsou důvěryhodná prostředí webových stránek a vyhledávačů. Domény se škodlivým obsahem se zobrazují jako běžné (někdy i placené) výsledky mezi mnoha legitimními výsledky hledání. Pomocí pokročilých SEO technik a placené reklamy se tato návnada vydává za oficiální web a stoupá ve výsledcích vyhledávání. Jakmile kliknete na výsledek, o kterém se domníváte, že je legitimní, budete přesměrováni na web útočníka.

Když se chcete tomuto útoku vyhnout, musíte být proaktivní. Vyhýbejte se návštěvě webů s neobvyklými názvy nebo názvy, které obsahují překlepy. Nevěřte reklamám, které slibují nereálné výsledky. Používejte zdravý rozum a neklikejte automaticky na něco, co poutá vaši pozornost. 

BONUS: opakované používání přihlašovacích údajů

I když nejde o útok jako takový, je to přesto zranitelnost, která stojí za zmínku, protože ji útočníci pravidelně využívají. Opakované používání přihlašovacích údajů je chyba, kterou jsme všichni dělali v minulosti. Všichni jsme opakovaně používali stejné uživatelské jméno a heslo napříč řadou služeb. Jakmile vám útočník ukradne údaje k jedné platformě, jsou ohroženy všechny vaše další účty, pokud u nich nepoužíváte unikátní přihlašovací údaje. 

Udělejme z opakovaného používání přihlašovacích údajů minulost. Dnes máme k dispozici ohromný výběr bezplatných a bezpečných open-source správců hesel, které vám pro každý web vygenerují bezpečné a jedinečné heslo. 

Závěr

Je důležité si uvědomit, že ne všichni hackeři mají zlé úmysly. Cypherpunkeři, penetrační testeři, etičtí hackeři a mnoho dalších pomáhají jednotlivcům i společnostem zůstat v této digitální éře v bezpečí. Kryptoměnová scéna je zaplněna tisíci kryptoměnových a bitcoinových podniků, jednotlivců a bezpečnostních odborníků, kteří pro nás všechny vytvářejí bezpečnější budoucnost. 

Domníváme se, že můžeme být jen tak silní jako nejslabší článek. Každý se musí sám za sebe naučit, jak se postarat o své zabezpečení a udržet si soukromé údaje a majetek pod kontrolou. Vaší nejlepší obranou je u všech útoků zdravý rozum a informovanost. 

Společně zlepšeme naši digitální bezpečnost. Sdílejte naši kampaň #StaySAFU s přáteli! 

Nenechte si ujít žádný z dalších článků #StaySAFU (v Aj):

Můžete si přečíst – Bezpečnostní kampaň společnosti Binance #StaySAFU

Můžete si přečíst – 8 překvapivých statistik o phishingu ve světě kryptoměn

Můžete si přečíst – 5 nejčastějších kryptoměnových podvodů a způsoby, jak jim předejít

Můžete si přečíst – 5 nejčastějších kybernetických útoků a metod sociálního inženýrství a způsoby, jak jim předejít

Můžete si přečíst – 7 jednoduchých kroků, jak zabezpečit svůj účet na Binance

Můžete si přečíst – #StaySAFU: 5 bezpečnostních tipů od profesionálů

Můžete si přečíst – Jak zabezpečit kryptoměny

Od 18. června – Zúčastněte se soutěže #StaySAFU a vyhrajte část BNB v hodnotě 500 USD

Pokud tak ještě nečiníte, začněte na Twitteru sledovat BinanceBinance Academy, ať vám neuniknou žádné novinky související s touto kampaní.

Najdete nás i na:

Facebooku: fb.com/BinanceCzechiaSlovakia

Instagramu: instagram/Binance_CZSK