+420 237 836 950 sales@ngss.cz English
Sociální inženýrství v akci: příběhy a lekce z fyzických penetračních testů

Sociální inženýrství v akci: příběhy a lekce z fyzických penetračních testů

16. 08. 2023
Sociální inženýrství je umění manipulovat s lidmi tak, aby ​vám ​poskytli citlivé informace nebo ​vám ​umožnili přístup k chráněným prostorům nebo systémům. Sociální inženýři využívají lidské slabosti, jako je důvěřivost, laskavost, zvědavost nebo strach, a snaží se vzbudit dojem, že jsou důvěryhodní, autoritativní nebo potřební.

Sociální inženýrství je umění manipulovat s lidmi tak, aby ​poskytli citlivé informace nebo ​umožnili přístup k chráněným prostorům nebo systémům. Sociální inženýři využívají lidské slabosti, jako je důvěřivost, laskavost, zvědavost nebo strach, a snaží se vzbudit dojem, že jsou důvěryhodní, autoritativní nebo potřební. Sociální inženýrství je často součástí kybernetických útoků, ale může být provedeno i formou fyzického proniknutí do budov nebo zařízení.

V tomto článku se dozvíte, co je sociální inženýrství a proč je důležité ho znát a bránit se mu. Také nastíníme, jak probíhají fyzické penetrační testy a jaká jsou jejich rizika a výhody. A nakonec se podíváte na některé příklady úspěšných i neúspěšných fyzických penetračních testů z různých oblastí a jak se z nich poučit.

Co je sociální inženýrství a proč je důležité ho znát a bránit se mu

Sociální inženýrství je způsob, jak získat informace​,​​ ​přístupové údaje nebo fyzický přístup od lidí, kteří by je jinak nechtěli sdělit nebo povolit. Sociální inženýři se snaží ovlivnit chování lidí tak, aby jim jejich potenciální oběti prospěly. Sociální inženýrství se často používá pro útoky na počítačové sítě nebo systémy, ale může být také použito pro fyzické proniknutí do budov nebo zařízení. 

Cílem sociálního inženýrství je obvykle zneužít důvěru, autoritu nebo emoce oběti. Sociální inženýři se mohou tvářit jako někdo jiný, např. jako zaměstnanec, dodavatel, zákazník nebo návštěvník. Mohou také využít nedbalosti, lhostejnosti nebo ignorance oběti. Obvykle navodí falešnou situaci, která vyvolá pocit naléhavosti, strachu nebo zvědavosti u oběti.

Metody sociálního inženýrství se liší podle situace a cíle. Některé z běžných metod jsou: 

  • Phishing​ – ​technika, kdy se sociální inženýr snaží přimět oběť, aby klikla na odkaz v e-mailu, stáhla soubor nebo zadala citlivé údaje do falešného webu nebo e-mailu. Phishing se často vydává za legitimní zdroj, jako je banka, vláda nebo známá osoba či autorita ve firmě. 
  • V rámci ​v​​ishingu se sociální inženýr snaží přimět oběť, aby poskytla citlivé informace nebo provedla nějakou akci prostřednictvím telefonního hovoru. Útočník se často vydává za banku, policii nebo technickou podporu. 
  • Při ​b​​​aitingu se snažíme přilákat oběť k nějaké lákavé „návnadě“, která obsahuje škodlivý software nebo zařízení. Baiting se může objevit jako flash disk, CD nebo DVD s nějakým zajímavým obsahem, který je ponechán na veřejném místě​.​ (​n​​​apř. rozházím flashky po kanceláři).
  • Quid pro quo spočívá v tom, že se sociální inženýr snaží vyměnit nějakou službu nebo odměnu za informace nebo přístup od potenciální oběti. Quid pro quo se může schovat za nabídku pomoci s počítačovým problémem, pokud oběť zadá své heslo nebo umožní vzdálenou kontrolu svého počítače.
  • Tailgating je technika, kdy se sociální inženýr snaží proniknout do chráněného prostoru tím, že následuje oprávněnou osobu, kterou např. žádá o půjčení průkazu, otevření dveří nebo doprovod do určité místnosti.

Sociální inženýrství je velmi nebezpečné, protože může vést k​e​ ztrátě důležitých dat, peněz nebo reputace. Porušuje soukromí a důvěru lidí. Proto je důležité být si vědomi rizik sociálního inženýrství a naučit se ho rozpoznat a odolat.

Co jsou fyzické penetrační testy a jak probíhají

Fyzické penetrační testy jsou kontrolované pokusy o proniknutí do cizího objektu pomocí sociálního inženýrství nebo jiných technik. Cílem těchto testů je odhalit slabá místa v bezpečnosti a navrhnout opatření pro jejich odstranění. Fyzické penetrační testy mohou být prováděny jak interně, tak externě, a mohou zahrnovat různé scénáře, jako je například převlečení za zaměstnance, dodavatele, zákazníka nebo návštěvníka. 

Fyzické penetrační testy probíhají obvykle v následujících fázích:

  • Ve fázi plánování se stanovují cíle, rozsah a pravidla testu. V této fázi se také shromažďují informace o cílovém objektu a jeho zaměstnancích, zákaznících či systémech. Obvykle je vypracován tzv. Scope Of Work, který stanovuje mandát, kontaktní osoby, přesnou metodiku a harmonogram testu a tzv. „get out of jail card“​.​ 
  • Provedení testu je fáze, kdy se provádí samotný pokus o proniknutí do objektu. V této fázi se používají různé metody sociálního inženýrství nebo jiných technik, jako je například využití sociálních dovedností, překonání překážek, zajištění důkazů nebo úniku. V této fázi se také hodnotí úspěšnost a rizika testu. 
  • Závěr je fáze, kdy se vyhodnocují výsledky testu a navrhují opatření pro zlepšení bezpečnosti. V této fázi se také sepisuje zpráva o testu, která obsahuje podrobnosti o metodách, výsledcích, doporučeních a zpětné vazbě.

Fyzické penetrační testy poskytují četné výhody: 

  • Zvyšují povědomí o bezpečnosti a motivují k jejímu dodržování.
  • Odhalují skutečné slabiny v bezpečnosti, které by jinak mohly zůstat nepovšimnuty.
  • Poskytují praktické zkušenosti a lekce pro zaměstnance i management.
  • Zlepšují obranyschopnost proti skutečným útokům.

Nesou s sebou však i určitá rizika:

  • Mohou poškodit zařízení, data nebo reputaci cílového objektu.
  • Mohou porušit zákony nebo etické normy.
  • Mohou vyvolat konflikty nebo nedůvěru mezi zaměstnanci nebo partnery.
  • Mohou být zneužity pro skryté útoky nebo sabotáže​.​

Proto je důležité provádět fyzické penetrační testy pouze s povolením a souhlasem cílového objektu (proto mandát) a dodržovat stanovená pravidla a etiku. 

Příklady úspěšných i neúspěšných fyzických penetračních testů z různých oblastí 

Fyzické penetrační testy se provádějí v různých oblastech, jako jsou banky, vláda, školy nebo podniky. Některé z nich jsou úspěšné a některé ne. Zde jsou příklady z obou kategorií:

  • Úspěšný test v bance: V roce 2019 provedli dva penetrační testeři pokus o proniknutí do pobočky banky v Iowě. Podařilo se jim obejít alarmy a kamery a dostat se do trezoru. Poté kontaktovali banku a sdělili jim, že provedli autorizovaný test. Nicméně banka o tom nevěděla a zavolala policii. Testeři byli zatčeni a obviněni z vloupání. Později se ukázalo, že testeři měli smlouvu s mateřskou společností banky, která jim povolila provést test, ale nedostatečně komunikovala s pobočkou. Testeři byli nakonec propuštěni z vazby a obvinění byla stažena. Tento případ ukazuje, jak důležitá je komunikace a koordinace mezi všemi stranami při provádění fyzických penetračních testů. 
  • Neúspěšný test ve vládě: V roce 2018 provedli čtyři penetrační testeři pokus o proniknutí do budovy ministerstva zahraničních věcí v Nizozemsku. Podařilo se jim dostat dovnitř pomocí padělaných průkazů a využití sociálního inženýrství. Nicméně byli brzy odhaleni a zadrženi ochrankou. Testeři tvrdili, že měli povolení od vlády, ale to se ukázalo být nepravdivé. Testeři byli najati soukromou společností, která chtěla demonstrovat své schopnosti a získat zakázku od vlády. Tento případ ukazuje, jak neetické a nezákonné je provádět fyzické penetrační testy bez povolení a souhlasu cílového objektu. 
  • Pozn. V rámci fyzického testování se dá kreativně vymýšlet nespočet situací, které testeři musí umět řešit. Existují i konkrétní zadání úkolů, které mají na místě provést. Například odjetí s firemním autem z objektu v pracovní i mimopracovní době, nahlédnutí do notýsku ve stole finančního ředitele. Zajímavým úkolem je například prověření ochranky – jak moc se s ní dá sblížit a využít takovýchto pracovníků k dalšímu průniku (např. poté, co se tester přizná, ochranka ochotně ukáže zbytek prostor apod…).

Jak se naučit myslet jako sociální inženýr (a tím se chránit) 

Sociální inženýrství je založeno na znalosti lidské psychologie a chování. Sociální inženýři využívají různé principy, jako jsou:

  • Reciprocita: je potenciální ochota lidí vrátit laskavost nebo službu, kterou jim někdo prokázal. Sociální inženýři mohou nabídnout něco zdarma nebo „pomoci s něčím“, aby si získali důvěru nebo vděčnost oběti. 
  • Autorita: Lidé tíhnou k tomu poslouchat nebo respektovat někoho, kdo má moc, sociální postavení nebo odbornost. Sociální inženýři mohou předstírat, že jsou někdo důležitý nebo kompetentní, aby si vynutili poslušnost nebo obdiv oběti. 
  • Sympatie: je vlastnost lidí mít rád nebo důvěřovat někomu, kdo je jim podobný, přátelský nebo společensky atraktivní. Sociální inženýři mohou vytvářet falešné vztahy nebo společné zájmy s obětí, aby si ji zavázali nebo ovlivnili. 
  • Závazek a konzistence: je tendence lidí dodržovat své slovo nebo jednat v souladu se svými postoji. Sociální inženýři mohou využít této tendence tím, že přimějí oběť k nějakému malému souhlasu nebo slibu, který ji pak zaváže k dalším akcím. 
  • Vzácnost: lidé mohou nějaký statek chtít víc, když je vzácný, nedostupný nebo omezený. Sociální inženýři mohou vytvořit pocit naléhavosti nebo exkluzivity u oběti, aby ji přiměli k rychlému rozhodnutí nebo akci. 
  • Sociální důkaz: je tendence lidí řídit se podle toho, co dělají ostatní lidé. Sociální inženýři mohou použít falešná svědectví, reference nebo doporučení od jiných lidí, aby si zvýšili důvěryhodnost nebo popularitu u oběti.

Stručně řečeno

  • Sociální inženýr je osoba, která využívá psychologické techniky a manipulace k získání informací nebo přístupu k cílovému systému nebo prostoru. 
  • Sociální inženýr se snaží využít lidské slabosti, jako je důvěřivost, zvědavost, strach, lítost nebo autorita. 
  • Proti sociálním inženýrům se lze chránit zvyšováním bezpečnostního povědomí, ověřováním identity a oprávnění požadujících osob, nezveřejňováním citlivých informací na internetu nebo sociálních sítích, používáním silných hesel a dvoufaktorové autentizace a zamezením vstupu neznámých osob do chráněných prostor.

Jak posílit svou kybernetickou i fyzickou bezpečnost pomocí jednoduchých opatření 

  • Kybernetická bezpečnost se týká ochrany informačních systémů a dat před útoky z internetu nebo lokální sítě. 
  • Fyzická bezpečnost se týká ochrany zařízení, prostor a lidí před útoky z reálného světa. 
  • Pro posílení kybernetické i fyzické bezpečnosti lze mimo jiné použít následující opatření: 
    • Zabezpečení vstupů do budovy (např. vstupní dveře, okna, střechy atd.)  
    • Zabezpečení vnitřních prostor (např. kanceláře, skladové prostory atd.) 
    • Zabezpečení firemních vozidel a ​zabránění​​ neoprávněnému použití (např. instalace GPS sledování). 
    • Zámky: zamknout dveře a okna při odchodu z domu nebo kanceláře, používat bezpečnostní zámky nebo kódy pro vstup do chráněných prostor, zamknout počítače nebo mobilní zařízení při odchodu od nich, používat zámky na notebooky nebo externí disky pro zabránění jejich odcizení. Je také důležité mít funkční systém pro evidenci, audit a reporty přístupů, pokud to daná zařízení umožňují. I dobře vedená kniha návštěv může mít v případě vyšetřování útoku velký význam​.​ 
    • Zabezpečení firemních počítačů a sítí proti neoprávněnému přístupu. 
    • Politika hesel: používat dlouhá (12 a více znaků), náhodná hesla pro různé účty a služby, měnit hesla pravidelně, neposkytovat hesla nikomu ani je nenapsat na viditelná místa, používat správce hesel pro ukládání a generování hesel. 
    • Šifrování dat na pevných discích nebo externích médiích pomocí nástrojů jako BitLocker nebo VeraCrypt, doporučuje se šifrovat e-maily nebo komunikaci pomocí nástrojů jako PGP nebo Signal, používat VPN pro šifrování provozu na veřejných sítích. 
    • Instalace bezpečnostních kamerových systémů a alarmů (pečlivě spravované a kontrolované)​.​ 
    • Systémy bezpečnostního dohledu (SIEM apod.) 
    • Obecně je také doporučováno v organizaci řádně zavést systém řízení bezpečnosti informací (ISMS, ISO 27001 nebo oborové normy typu TISAX či DORA) a pečlivě uživatele seznámit s danými předpisy a směrnicemi a vyškolit je nejlépe formou workshopu s lektorem z praxe, který uvede problematiku na příkladech z praxe.

Zdroje a odkazy pro další studium a informace 

  • Pro další studium a informace o sociálním inženýrství – fyzickém penetračním testování doporučujeme například následující zdroje: 
    • Podcast Jacka Rhysadera „Darknet Diaries“ 
      https://open.spotify.com/show/4XPl3uEEL9hvqMkoZrzbx5?si=7a651f7191b74061 
      https://darknetdiaries.com/
    • Penetrační testy praktikami sociálního inženýrství – AEC: brožura o službách a metodách penetračních testů sociálním inženýrstvím od společnosti AEC. 
      https://www.aec.cz/cz/Documents/Files/AEC-penetracni-testy-praktikami-socialniho-inzenyrstvi-CZ.pdf 
    • Penetrační testování – Úvod do problematiky – NUKIB: podpůrný materiál o základních informacích, typech a fázích penetračních testů od Národního úřadu pro kybernetickou a informační bezpečnost. 
      https://www.nukib.cz/download/publikace/podpurne_materialy/2022-03-07_Penetracni-testovani_v1.0.pdf 
    • Sociální inženýrství – ESET: stránka o službě penetračního testování praktikami sociálního inženýrství od společnosti ESET. 
      https://www.eset.com/cz/firmy/eset-services/bezpecnostni-audit/socialni-inzenyrstvi/ 
    • Pentesty pomocí sociálního inženýrství – TOTAL SERVICE: článek o penetračních testech metodou sociálního inženýrství od společnosti TOTAL SERVICE. 
      https://www.totalservice.cz/novinky/otestujte-bezpecnost-firmy-pomoci-penetracnich-testu-metodou-socialniho-inzenyrstvi-2022-11-28 
    • Podcast „The Social-Engineer Podcast“ 
      https://open.spotify.com/show/6Pmp3DQKUDW6DXBlnGpxkH?si=59c4d3f8361c485e 
      https://www.social-engineer.org/ 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

Sledujte náš LinkedIn
Vstup do SMC
O nás
Případové studie
Blog
Kontakt
NESTOR SOC247
GDPR
NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.
Telefon +420 237 836 950
E-mail sales@ngss.cz