Známe zbraně svých nepřátel? Část 3: Sociální inženýrství a síťové útoky
Motto: „Sociální inženýrství není nic nového. Je to nástroj psychologické manipulace, který se používá od úsvitu lidstva.“ Wendy Zamora: Hacking Your Head, Malwarebytes
Známe zbraně svých nepřátel?
Část 3: Sociální inženýrství a síťové útoky
Síťovými útoky jsme v přechozích částech seriálu již zčásti zabývali. Nezřídka však útoky na síť souvisí s další skupinou útoků, která bývá souhrnně označována jako sociální inženýrství. Jak už název napovídá, více než na síť samu míří sociální inženýrství na uživatele sítě nebo k ní připojených zařízení.
Sociální inženýrství
Sociální inženýrství označuje techniky psychologické manipulace s lidmi, které mohou vést k úniku důvěrných informací či nějak jinak poškodit vlastníka, provozovatele nebo klienty sítě a s ní spojeného výpočetního nebo informačního systému. Pro vyzrazení informací využívá sociální inženýrství množství nejrůznějších technik. Jedním z nejrozšířenějších způsobů je, že se útočník vydává za někoho jiného, než je ve skutečnosti: pracovníka IT, kolegu, člena managementu či dokonce za státního úředníka. Základem sociálního inženýrství je přesvědčit oběť, že dotazující se má právo důvěrnou informaci znát. Typickým příkladem může být telefonát osoby vydávající se zaměstnance IT oddělenís žádostí o sdělení přístupových údajů k účtu, neboť údajně právě instaluje nový software. Takový typ útoku bývá často označován jako Vishing (Voice Phishing nebo VoIP Phishing). Cíle sociálního inženýrství jsou stejné jako cíle hackingu, od získávání důvěrných nebo tajných informací, přes špionáž až po narušení nebo znemožnění služeb.
Phishing
Sociálního inženýrství využívá již dříve zmiňovaný phishing, hojně aplikovaný pří získávání přístupů k nejrůznějším, zejména bankovním, účtům. Útočníci se prostřednictvím rádoby autentických emailů, které mnohdy vypadají velmi věrohodně, pokoušejí přesměrovat uživatele na podvodné webové stránky, zřízené s cílem vylákat z obětí přístupové údaje, nebo na stránky obsahující například škodlivé programy. Phishing cílený na určitou skupinu lidí, například na klienty jedné banky, bývá označován jako cílený phishing (Spear Phishing), speciální formou phishingu zaměřeného na vrcholové manažery firem je tzv. Whaling. Poslední dobou se objevuje nový typ phishingu, tzv. sociální phishing (Social Phishing). Ačkoli jsou jeho cíle stejné, tedy vylákat z uživatelů důvěrné přístupové údaje a ve finále získat přístup k jeho financím či datům, způsob vedení útoků je odlišný. K navedení na podvodné stránky, které občas velmi zdařile imitují známé stránky sociálních médií, například Facebooku, využívají atraktivní odkazy nebo dokonce sdělení umísťovaná opět především na sociálních sítích. Důvěřivý uživatel, který falešnou stránku navštíví, vůbec nemusí poznat, že svoje přihlašovací údaje svěřuje zlodějům. Cílem odkazů bývají i stránky s nabídkou nejrůznějších líbivých či atraktivních aplikací, které jsou ve skutečnosti pouze nositeli virů nebo škodlivých programů. Vynalézavost kybernetických podvodníků opravdu nezná mezí. Využívají čehokoliv, co se využít dá. Podvodné odkazy se často skrývají za nejrůznějšími slogany nebo atraktivními obrázky, ale i za tlačítky, která by nikdo nepodezíral. Stačí přeprogramovat třeba funkci tlačítka „Like“ tak, že namísto navýšení oblíbenosti bude sloužit jako pokyn k instalaci nežádoucí aplikace do počítače.
Falšování (Spoofing)
Jako spoofing jsou označovány techniky, které umožňují osobě, programu, adrese či jiné komponentě síťové komunikace vydávat se za někoho nebo něco jiného, a zajistit si tak neoprávněný přístup do napadené sítě nebo systému. Vzhledem k tomu, že imitovat lze skoro každou součást počítačové komunikace, zmíníme se pouze o nejčastějších formách spoofingu.
Falšování IP adresy (IP Address Spoofing), kdy útočník vytváří pakety se zdrojovou IP adresou, které jakoby pocházejí z důvěryhodného zdroje, takže cílový systém je akceptuje a zpracovává. Velké množství paketů s podvrženými adresami je často základem při tzv. DoS útocích, jejichž cílem je ochromit nebo vyřadit z provozu napadený systém, např. webový server.
Falšování ARP zpráv (ARP Spoofing, ARP Poisoning) spočívá v zasílání falešných ARP zpráv. ARP zprávy informují o tom, kterému skutečnému serveru v síti odpovídá určitá IP adresa. Podvržením falešné adresy reálného serveru v ARP zprávě pak dojde k přesměrování provozu k podvodnému serveru.
DNS Spoofing (DNS Cache Poisoning) označuje vkládání falešných dat do vyrovnávací paměti DNS serveru. DNS servery, které zajišťují správu jmen a adres v síti, poskytují namísto správných IP adresy podvodných serverů.
Falšování odesílatele emailu (Email Spoofing) spočívá v záměně skutečné adresy odesílatele emailu v poli „Od:“ jinou, nezřídka reálnou adresou obvykle nic netušící osoby. Falšování adresy odesílatele se obvykle využívá při rozesílce nevyžádaných emailů zejména phishingu.
Zneužívání vyhledávacích strojů (Search Engine Poisoning) označuje celou řadu metod zneužívajících webových vyhledávačů k nabízení stránek se škodlivým obsahem. Cílem je požadované škodlivé stránky a odkazy při vyhledávání ve známých vyhledávačích dostat na přední místa. Stránky mohou obsahovat například nabídku podvodných antivirových systémů či jiných, často vyhledávaných aplikací.
Zachytávání paketů
Zachytávání paketů, které proudí sítí, prostřednictvím síťových analyzátorů (Packet Sniffing, Network Sniffing) často využívají síťoví specialisté k analýze a diagnostice činnosti sítě. Stejně dobře je ovšem mohou využít i záškodníci a pokusit se z nich vyčíst informace, které by bylo možné zneužít. Ať už jde o obsah přenášený pakety nebo třeba o informace IP adresách.
Příště: DoS a další typy síťových útoků
Dag Jeger.
