Na makroúrovni lze jakoukoli činnost související s psychologií chování považovat za sociální inženýrství. Ne vždy však tento pojem souvisí s kriminálními nebo podvodnými aktivitami. Ve skutečnosti je sociální inženýrství široce používáno a studováno v oborech, jako jsou sociální vědy, psychologie a marketing.
Pokud jde o kybernetickou bezpečnost, sociální inženýrství odkazuje na řadu škodlivých aktivit, které se pokoušejí manipulovat lidi ke špatnému chování s postranními motivy, jako je krádež osobně identifikovatelných informací, které mohou být později použity ke krádeži osobních nebo důvěrných informací jejich společnosti. Podvody s identitou jsou běžným důsledkem těchto typů útoků, což v mnoha případech vede ke značným finančním ztrátám.
Sociální inženýrství je často považováno za kybernetickou hrozbu, ale tento koncept existuje již dlouhou dobu a termín může být také spojován s podvody v reálném světě, které často zahrnují vydávání se za auditora nebo IT experta. Nástup internetu však hackerům usnadnil provádění manipulačních útoků v širším měřítku a bohužel k těmto škodlivým aktivitám dochází i v kryptoměnovém prostoru.
Jak to funguje?
Všechny typy sociálního inženýrství spoléhají na slabiny v lidské psychologii. Podvodníci používají emoce k manipulaci a klamání svých obětí. Živí se strachem lidí, chamtivostí, zvědavostí a dokonce i jejich ochotou pomáhat druhým. Mezi různými škodlivými chováními sociálního inženýrství je phishing jedním z nejčastějších a nejznámějších případů.
Phishing
Phishingové e-maily často napodobují e-maily od legitimních společností, jako jsou národní banky, obchodní řetězce, renomované internetové obchody nebo poskytovatelé e-mailových služeb. V některých případech tyto podvodné e-maily varují uživatele, že jejich účty potřebují aktualizaci nebo že došlo k neobvyklé aktivitě, a žádají je, aby poskytli osobní údaje pro potvrzení své identity a správu svých účtů. Někteří uživatelé ze strachu okamžitě kliknou na odkaz a přejdou na falešnou webovou stránku, která zločincům poskytne data, která potřebují. V tuto chvíli budou informace v rukou hackerů.
Threatware
Techniky sociálního inženýrství se využívají i k šíření tzv. scareware. Jak již název napovídá, hrozba je typ malwaru, který má zastrašovat a ohrožovat uživatele. Často zahrnují vytváření falešných výstrah ve snaze přimět oběti k instalaci legitimně vypadajícího podvodného softwaru nebo přimět uživatele k návštěvě webových stránek za účelem infikování jejich systémů. Tato technika se obvykle opírá o strach uživatelů, že jejich systémy byly kompromitovány, a přesvědčuje je, aby klikali na webové bannery nebo vyskakovací okna. Tyto zprávy obvykle říkají: "Váš systém je infikován, klikněte sem a vyčistěte jej."
oklamat
Phishing je další forma sociálního inženýrství, která způsobuje problémy mnoha neopatrným uživatelům. Typické využití chamtivosti nebo zvědavosti uživatele k nalákání obětí. Podvodník by například mohl vytvořit web, který nabízí bezplatný obsah, jako jsou hudební soubory, videa nebo knihy. Pro přístup k těmto souborům si uživatelé obvykle potřebují vytvořit účet a poskytnout své osobní údaje. V některých případech nemusí být vytvoření účtu vyžadováno, protože stažené soubory mohou být také přímo infikovány malwarem, který napadne počítačový systém oběti a shromáždí její citlivá data.
V reálném životě lze phishingu dosáhnout také pomocí úložiště USB a externích pevných disků. Podvodníci mohou úmyslně ponechat infikované zařízení na veřejném místě, lákat zvědavé jednotlivce, aby si jej prohlédli a prohlédli si jeho obsah, a nakonec infikovali jejich osobní počítače.
Sociální inženýrství a kryptoměna
Chamtivá mentalita může být velmi nebezpečná, pokud jde o finanční trhy, a obchodníci a investoři jsou obzvláště zranitelní vůči phishingu, Ponziho a pyramidovým hrám a dalším typům podvodů. V blockchainovém průmyslu pozornost generovaná kryptoměnami přilákala do tohoto oboru mnoho nových lidí v relativně krátké době (zejména během býčího trhu).
Ačkoli mnoho lidí plně nerozumí tomu, jak kryptoměny fungují, často slyší zprávy o potenciálu trhu generovat obrovské zisky a slepě investovat, aniž by provedli odpovídající průzkum. Sociální inženýrství je zvláště znepokojující pro nováčky, protože jsou často chyceni vlastní chamtivostí nebo strachem.
Na jedné straně touha po rychlých ziskech a vydělávání peněz přiměje nováčky honit se za falešnými výhodami a věřit v airdropové sliby. Na druhou stranu se uživatelé mohou obávat, že jejich soukromé soubory budou kompromitovány, a zaplatí výkupné. V některých případech jsou uživatelé jednoduše oklamáni falešnými upozorněními nebo zprávami vytvořenými hackery a ve skutečnosti nejsou infikováni ransomwarem.
Jak zabránit útokům sociálního inženýrství
Jak již bylo zmíněno, podvody sociálního inženýrství fungují pouze proto, že využívají lidské slabosti. Často používají strach jako motivaci a pobízejí lidi k okamžitému jednání na ochranu sebe (nebo svých systémů) před neskutečnými hrozbami. Některé útoky sociálního inženýrství také spoléhají na lidskou chamtivost, aby přilákaly oběti k různým typům investičních podvodů. Je tedy důležité si uvědomit, že pokud se nabídka zdá příliš dobrá na to, aby byla pravdivá, pravděpodobně se jedná o podvod.
Zatímco někteří podvodníci jsou sofistikovaní, průměrní útočníci dělají zjevné chyby. Názvy některých phishingových e-mailů a hrozeb často obsahují gramatické nebo pravopisné chyby, což obvykle oklame pouze neopatrné - buďte opatrní.
Abyste se nestali obětí útoku sociálního inženýrství, měli byste věnovat pozornost následujícím bezpečnostním opatřením:
Vzdělávejte sebe, rodinu a přátele. Naučte je běžné příklady škodlivého sociálního inženýrství a seznamte je s klíčovými bezpečnostními principy.
Buďte opatrní při manipulaci s e-mailovými přílohami a odkazy. Neklikejte na reklamy a webové stránky z neznámých zdrojů;
Nainstalujte originální antivirový software, aby byly vaše softwarové aplikace a operační systém aktuální;
Pokud chcete chránit své přihlašovací údaje k e-mailu a další osobní údaje, použijte řešení vícefaktorové autentizace. Stejně jako nastavení dvoufaktorové autentizace (2FA) pro váš účet Binance.
Pro firmy: Zaměstnanci by měli být oprávněni identifikovat útoky sociálního inženýrství, aby se zabránilo phishingu a útokům sociálního inženýrství.
Souhrnné myšlenky
Kyberzločinci neustále hledají nové způsoby, jak oklamat uživatele s cílem ukrást jejich peníze a citlivé informace, takže je důležité vzdělávat sebe i své okolí. Internet poskytuje bezpečné útočiště pro tyto typy podvodů, které jsou zvláště běžné v kryptoměnovém prostoru. Buďte tedy opatrní a ostražití, abyste se nedostali do pastí sociálního inženýrství.
Navíc každý, kdo se rozhodne obchodovat nebo investovat do kryptoměn, by si měl předem provést dostatečný průzkum, aby se ujistil, že dobře rozumí trhu a pracovním mechanismům technologie blockchain.