V širokém smyslu slova lze jakoukoli manipulaci spojenou s psychologií chování považovat za sociální inženýrství. Tento pojem však není vždy spojován s kriminálními nebo podvodnými aktivitami. Ve skutečnosti je sociální inženýrství široce používáno a studováno v mnoha kontextech, v oblastech, jako jsou sociální vědy, psychologie a marketing.
V oblasti kybernetické bezpečnosti je sociální inženýrství (také známé jako sociální inženýrství) prováděno s postranními úmysly a používá se k označení škodlivých činností, které manipulují se skutečnými lidmi, kteří provádějí nevhodné akce, jako je odhalování osobních nebo důvěrných informací. Tyto informace jsou pak použity k útokům na tyto osoby nebo jejich společnosti. Podvody s identitou jsou běžným důsledkem těchto útoků a v mnoha případech vedou k vážným finančním ztrátám.
Lidé často popisují sociální inženýrství jako hrozbu pro kybernetickou bezpečnost, ale tento pojem existuje již dlouhou dobu a tento termín lze použít v souvislosti s podvodnými schématy v reálném světě, často včetně vydávání se za úřady nebo IT odborníky. Nástup internetu však hackerům usnadnil provádění manipulačních útoků v širším měřítku a bohužel se tyto škodlivé činy dějí i v reálném světě kryptoměn.
Jak to funguje?
Všechny útoky sociálního inženýrství spoléhají na slabiny lidské psychologie. Podvodníci využívají emocí uživatelů k manipulaci a oklamání obětí. Lidský strach, chamtivost, zvědavost a dokonce i jejich ochota pomáhat druhým byly použity proti nim prostřednictvím různých metod. Mezi mnoha typy škodlivých technik útoků sociálního inženýrství je phishing (falšování za účelem odcizení uživatelských informací) jistě jedním z nejběžnějších a nejznámějších příkladů.
Phishingové útoky
Phishingové e-maily se často tváří jako odeslané od legitimní společnosti, například z řetězce národních bank, z renomovaného internetového obchodu nebo od poskytovatele e-mailových služeb. V některých případech tyto falešné e-maily uživatele upozorní, že jejich účet potřebuje aktualizaci nebo dochází k neobvyklé aktivitě, a požádají je, aby poskytli osobní údaje jako způsob, jak potvrdit svou identitu a obnovit svůj účet. Někteří lidé ze strachu rychle kliknou na odkaz a přejdou na falešnou webovou stránku, kde poskytnou požadované informace. V tuto chvíli budou informace v rukou hackerů.
Scareware software
Útoky sociálního inženýrství se také používají k šíření malwaru zvaného Scareware. Jak název napovídá, scareware je typ malwaru, který má uživatele vyděsit a překvapit. Často zahrnují vytváření falešných výstrah s cílem přimět oběti, aby si nainstalovaly software, který vypadá legitimně, ale ve skutečnosti jde o phishingový software, nebo je přimět k návštěvě webové stránky, která zfalšuje systém. Tato technika je často založena na strachu uživatele z poškození systému. Útočník přesvědčí oběť, aby klikla na banner nebo vyskakovací zprávu na webu. Tato zpráva obvykle říká něco jako: "Váš systém je infikován, kliknutím sem jej vyčistěte."
Návnada (návnada)
Návnada je další metoda útoku sociálního inženýrství, která způsobuje problémy mnoha nic netušícím uživatelům. Tato metoda využívá návnadu k nalákání obětí, spoléhá se na jejich chamtivost nebo zvědavost. Podvodník může například založit web nabízející něco zdarma, jako jsou hudební soubory, videa nebo knihy. Ale pro přístup k těmto souborům si uživatelé musí vytvořit účet a poskytnout své osobní údaje. V některých případech není účet vyžadován, protože soubory infikované malwarem vstupují přímo do počítačového systému oběti a shromažďují její citlivá data.
Schémata návnady se mohou objevit i v reálném světě pomocí zařízení USB a externích pevných disků. Podvodníci mohou úmyslně ponechat infikovaná zařízení na veřejném místě, takže jakákoli zvědavá osoba, která si prohlíží obsah zařízení, vystaví svůj osobní počítač infekci.
Sociální inženýrství a útoky kryptoměn
Chamtivé myšlení může být v kontextu finančních trhů docela nebezpečné, protože obchodníci a investoři jsou obzvláště náchylní k tomu, aby se stali obětí phishingových útoků, Ponziho nebo víceúrovňového marketingu a dalších typů podvodů. V blockchainovém průmyslu přilákalo vzrušení, které kryptoměny vyvolalo, mnoho nových účastníků do vesmíru v poměrně krátkém časovém období (zejména během období býčí volatility trhu).
Ačkoli mnoho lidí úplně nerozumí tomu, jak kryptoměny fungují, často slyší o lukrativním potenciálu těchto trhů, a tak často investují bez řádného průzkumu. Sociální inženýrství je pro tyto nové účastníky obzvláště znepokojivé, protože jsou často v pasti vlastní chamtivosti nebo strachu.
Na jedné straně touha po rychlých ziscích a snadných penězích nakonec vede tyto nováčky k tomu, aby usilovali o sliby bezplatného dávání tokenů a příležitostí k výsadku. Na druhou stranu strach ze ztráty osobních souborů nutí uživatele platit výkupné. V některých případech jejich soubory ve skutečnosti nejsou infikovány ransomwarem a uživatelé jsou oklamáni falešnou zprávou nebo varováním vytvořeným hackery.
Jak zabránit útokům sociálního inženýrství
Jak již bylo zmíněno, podvody sociálního inženýrství jsou účinné, protože spoléhají na lidskou přirozenost. Často používají strach jako motivaci, motivující lidi k okamžitému jednání na ochranu sebe (nebo svých systémů) před nereálnou hrozbou. Útoky také spoléhají na lidskou chamtivost a lákají oběti do různých investičních podvodů. Je tedy důležité si pamatovat, že pokud je nabídka příliš dobrá na to, aby byla pravdivá, je to pravděpodobně past.
Existuje několik velmi sofistikovaných podvodníků, ale existují i útočníci, kteří dělají pozoruhodné chyby. Některé phishingové e-maily a dokonce i bannery se strašením často obsahují syntaktické chyby nebo chybně napsaná slova a jsou účinné pouze pro ty, kteří nedávají pozor na gramatiku a pravopis - proto věnujte pozornost pozorné kontrole.
Abyste se nestali obětí útoků sociálního inženýrství, měli byste zvážit následující bezpečnostní opatření:
Trénujte sebe, svou rodinu a přátele. Školte je o běžných škodlivých útocích sociálního inženýrství a informujte je o klíčových zásadách zabezpečení.
Buďte opatrní s e-mailovými přílohami a odkazy. Neklikejte na reklamy a webové stránky neznámého původu;
Nainstalujte si spolehlivý antivirus a aktualizujte softwarové aplikace a operační systém;
Kdykoli můžete, používejte řešení vícefaktorové autentizace, abyste ochránili svá e-mailová přihlášení a další osobní data. Nastavte si dvoufaktorové ověřování (2FA) pro svůj účet Binance.
Pro firmy: Zvažte vybavit své zaměstnance znalostmi pro identifikaci a prevenci phishingových útoků a schémat sociálního inženýrství.
Uzavřít
Kyberzločinci neustále hledají nové metody, jak přimět uživatele ke krádeži jejich peněz a citlivých informací, takže je důležité vzdělávat sebe i své okolí. Internet je bezpečným útočištěm pro tyto typy podvodů a jsou obzvláště rozšířené v oblasti kryptoměn. Buďte opatrní a pozorní, abyste se nedostali do pasti útoků sociálního inženýrství.
Navíc každý, kdo se rozhodne obchodovat nebo investovat do kryptoměn, by si měl nejprve udělat průzkum a ujistit se, že má jasnou představu jak o trhu, tak o tom, jak technologie blockchain funguje.
Zůstaňte naladěni na další nový obsah a nezapomeňte se podívat na naše další články a videa na Binance Academy!
