Minulý týden by to způsobilo nefunkčnost hracích automatů, klíčů od místností a dalších důležitých zařízení. Jaké propracované metody byly potřeba k rozpadu impéria kasin a hotelů v hodnotě téměř 34 miliard dolarů? Podle samotných hackerů (a zřejmě potvrzených zdrojem) stačilo pouze .
Údajní hackeři stojící za problémem MGM zřejmě získali přístup prostřednictvím jednoho z nejvíce všudypřítomných a low-tech vektorů: útoku sociálního inženýrství. Sociální inženýrství psychologicky manipuluje cíl, aby udělal to, co útočník chce, nebo poskytl informace, které by útočník neměl – v tomto případě zjevně rychlým útokem na nic netušícího zaměstnance IT help desk. Důsledky sahají od likvidace globálních korporací až po devastaci osobních financí nešťastných jednotlivých obětí. Ale proč jsou útoky sociálního inženýrství tak účinné a proč je tak těžké jim zabránit?
Zdá se neintuitivní předat citlivé informace cizímu člověku, ale útočníci vyvinuli způsoby, jak vám to přimět. To může zahrnovat budování důvěry v průběhu času, shromažďování informací o vás, aby to vypadalo, že vás znají, nebo použití pocitu naléhavosti, abyste mohli jednat rychle, aniž byste přemýšleli o tom, čeho se vzdáváte. Podle Erika Huffmana, výzkumníka Erika Huffmana, který studuje psychologii stojící za trendy v oblasti kybernetické bezpečnosti, proto mezi běžné osobnostní rysy kybernetických obětí patří být společenský, příjemný a otevřený novým zkušenostem.
„Strach je vektor útoku. Užitečnost je vektor útoku,“ řekl Huffman. “Čím pohodlněji se budete cítit, tím lépe se stanete hackovatelnými.”
Navíc digitální prostředí má méně sociálních podnětů než osobní prostředí, takže potenciální oběť není tak dobrá v odhalování potenciálně podezřelých znaků, řekl Huffman. Čteme zprávy svým vlastním hlasem a promítáme do nich naši dobrou vůli, což se běžně nestává osobně. Existuje méně informací, jako jsou sociální narážky nebo řeč těla, které nás vedou nebo nám dávají pocit, že něco není v pořádku.
Útok sociálního inženýrství může být tak jednoduchý jako naléhavý telefonát od podvodníka, aby získal informace o vaší kreditní kartě pro krádež na nízké úrovni. Podle hlavního výzkumníka SophosLab Andrewa Brandta však existují stále složitější přístupy, jak vás oklamat. V jednom příkladu tohoto typu útoku Brandt pozoroval podvodníky, kteří nejprve operovali po telefonu, aby přiměli cíl kliknout na e-mail, který také poslal podvodník. Po kliknutí by e-mail aktivoval řetězec útoků, který zahrnoval malware a software pro vzdálený přístup.
Spíš se s tím setkáte na mnohem jednodušší úrovni. Můžete obdržet zprávu od někoho, kdo předstírá, že je vaším šéfem, s žádostí o dárkové karty, nebo vás napálit ke kliknutí na škodlivý odkaz, který vám ukradne přihlašovací údaje. Ale tak či onak na to pravděpodobně narazíte, protože kolem 98 % kybernetických útoků do jisté míry spoléhá na taktiku sociálního inženýrství, uvádí .
Existují další varovné signály, na které si lidé mohou dávat pozor. Nutnost stáhnout neobvykle velký soubor, soubor zip chráněný heslem, který nelze zkontrolovat na malware, nebo soubor podezřelých zástupců, to vše jsou podle Brandta známky potenciálního útoku. Ale hodně z toho je pocit – a chvíli trvá, než ustoupíte, než začnete uvažovat, co by se mohlo pokazit.
“Je to praxe, která vyžaduje neustálé opakování a nacvičování, abychom reflexivně nedůvěřovali tomu, co říkají lidé, které neznáte,” řekl Brandt.
Huffman řekl, že lidé se mohou pokusit vyhnout se obětem tím, že si uvědomí omezení digitálního prostředí a budou se ptát jako: Má smysl, aby mě tato osoba kontaktovala? Chová se tato osoba důvěryhodně? Má tato osoba pravomoc nebo pravomoc udělovat tyto pokyny? Rozumí tato osoba skutečně tématu, o kterém diskutujeme?
K útokům sociálního inženýrství dochází neustále, a to jak u velkých korporací, tak u běžných lidí. S vědomím, že naše dobromyslné vlastnosti mohou být naší největší slabinou, když čelíme této rozmanitosti špatných herců, může být lákavé přestat být milí kvůli bezpečnosti. Klíčem je vyvážit naše sociální instinkty zdravou skepsí. “Můžete být nápomocní,” řekl Huffman, “ale buďte opatrní.”