Sociální sítě, nová platforma pro útoky sociálních inženýrů

Díky sociálním sítím jsme schopni se během několika málo okamžiků propojit s lidmi z celého světa. Tyto platformy změnily to, jakým způsobem komunikujeme s ostatními. Dříve jsme si ráno koupili noviny, abychom zjistili co se ve světě kolem nás děje, ale dnes jako první věc většina z nás zkontroluje svůj účet na sociálních sítích. Díky tomu jsme v dnešní době spojeni se světem. Stačí pouze jeden klik a můžeme vidět fotky z exotických míst a sledovat videa malých roztomilých koťátek. Tyto sítě nám umožňují propojení se světem, které bylo dříve nemyslitelné, ale zároveň se všemi dobrými věcmi, které sociální sítě nabízejí (převážně ty koťátka) přichází i hrozby a nové vektory útoků, které zlý sociální inženýři rádi využijí ve svůj prospěch. V dnešní době je proto nutné mít se na pozoru před podvody, které se na sociálních sítích vyskytují. Pojďme se teď podívat na nejčastější podvody, které sociální inženýři využívají a zároveň se podíváme i na to, jakým způsobem se těmto útokům bránit.

Podvody na sociálních sítích

Když se zamyslíme na téma „podvody“, mnohým z nás se vybaví slavný podvod s nigerijským princem. Většina z nás o něm již slyšela a dokonce o něm koluje i spousty vtipů. A přesto byl tento podvod ve své době velmi úspěšný. Je stále tak úspěšný? Nejspíše není, velké množství uživatelů je již vcelku technicky zdatných a zároveň jsme více vzděláni, abychom rozpoznali tyto zřejmé vzorce phishingovým emailů. Ale zároveň s naším pokrokem ve vzdělávání dochází i ke zlepšení těchto podvodů.

Niggerian_Prince.jpg
Jeden z oblíbených vtipů ohledně podvodu s Nigerijským princem

Podvody na sociálních sítích se stávají stále populárnějšími. Aktivní uživatelé Facebooku, Instagramu, Snapchatu, případně jiné sociální sítě, jsou náchylní k tomu stát se obětí podvodu, kvůli velkému veřejnému vystavení a sdílení osobních informací.

Různé druhy podvodů na sociálních sítích využívají techniky sociálního inženýrství k rychlému vybudování důvěry mezi útočníkem a obětí.

Jedná se například o následující techniky, které následně dodávají podvodu uvěřitelnost:

  • Využití informací o oblíbených tématech cíle;
  • Otázky s otevřeným koncem (Co si dnes dělal v práci?);
  • Vcítění se do cíle podvodu;
  • Vykreslování sebe sama jako nesobeckého;
  • Další…

Kvůli tomuto vývoji se musí změnit i náš způsob myšlení ohledně těchto podvodů, abychom mohli lépe chránit sebe a naše blízké před těmito hrozbami.

Nahlédnutí pod pokličku podvodů na sociální sítích

Po úvodu jste si již vědomy, že tato hrozba existuje a je, z pochopitelných důvodů, mezi dnešními sociálními inženýry velmi populární.

Jak se říká: „Vědět je polovina úspěchu“. Druhá polovina pak bude seznámení se s některými z nejpopulárnějších podvodů, které na sociálních sítí dneška kolují.

Mezi ty nejpopulárnější vektory útoku lze zařadit následující:

  • Phishing skrze sociální sítě;
  • Láska z internetu;
  • Kvízy.

Tento výčet samozřejmě není konečný a existují i další formy útoků, ale tyto tři patří mezi ty nejrozšířenější.

Phishing skrze sociální sítě

Phishing skrze sociální sítě funguje obdobně jako klasický emailový phishing. Od vašeho známého vám přijde zpráva, která po vás například chce, abyste pod nějakou záminkou kliknuli na přiložený odkaz. Co ovšem nevíte je fakt, že účet vašeho známého byl před nějakou dobou kompromitován a tuto zprávu vám odesílá útočník.

Případně vám přijde žádost o přátelství od vašeho dlouholetého kamaráda. Podle profilu vše sedí a je to vážně on, sice si neuvědomujete, že byste ho smazali z přátele, ale stát se mohlo cokoli (má nový profil, smazal si mě omylem atp.). Žádost přijmete a vše se zdá být v naprostém pořádku, co ovšem nevíte je to, že váš kamarád nemá zabezpečený profil a útočníci stáhli jeho fotografie a informace o něm a vytvořili profil identický.

V České republice byl a stále je populární podvod s m-platbou, při kterém vás útočník požádá o to, že si k vám jen přepošle nějaký kód, který potřebuje nadiktovat.

Jak takový útok probíhá? Pro modelovou situaci si představme dva uživatele, říkejme jim třeba Anička a Pepíček.

Pepíčkovi jednoho dne přijde žádost o přátelství od jeho kamarádky Aničky, jelikož se znají dlouhou dobu, tak Pepíček žádost přijme a dál nad touto situací nepřemýšlí.

Druhý den mu Anička pošle zprávu, ve které ho požádá o telefonní číslo, prý ztratila telefon a potřebuje si k Pepíčkovi poslat jednu zprávu, ve které bude kód, který má Pepíček Aničce nadiktovat.

Jelikož jsou to dobří kamarádi, tak Pepíček tuto situaci nezpochybňuje a Aničce svoje telefonní číslo pošle. Během chvíle mu přijde na jeho telefon SMS zpráva, která obsahuje kód pro Aničku.

Pepíček tento kód Aničce předá, ta mu je vděčná, že jí pomohl a poděkuje. Pepíček bere celou záležitost za vyřízenou.

V následujícím měsíci však Pepíčkovi přijde vyúčtování, které je o 1300,- Kč vyšší než obvykle. Co Pepíček nevěděl je to, že kód, který po něm Anička chtěla, bylo ve skutečnosti potvrzení m-platby.

Osoba, která mu psala, totiž nebyla ve skutečnosti Anička, ale útočník, který si vytvořil identický profil, jelikož Anička všechny své informace sdílí veřejně.

Tento druh útoku byl obzvláště populární na sociální síti Facebook v roce 2017, momentálně se přesouvá primárně na sociální síť Instagram.

Podvod2.png
Modelová ukázka podvodu s m-platbou

Jak se tedy takovýmto útokům bránit?

  • Buďte na pozoru před zprávami, které obsahují různé druhy překlepů, případně se vám zdají být jakýmkoli způsobem nepřirozené.
  • Za žádných okolností bezhlavě neklikejte na žádné odkazy a nesdílejte s druhou stranou žádné kódy zaslané skrze SMS na vaše telefonní číslo.
  • Mějte na paměti, že neznáte motivy lidí, kteří vás chtějí na sociálních sítích sledovat, případně vám zasílají žádost o přátelství. Je velmi pravděpodobné, že jsou tyto motivy naprosto nevinné. Je ovšem nutné si uvědomit, že pokud umožníte cizím lidem se s vámi na sociální síti spojit, dáváte jim přístup k osobním údajům, které váš profil obsahuje spolu s akcemi, které provádíte (komentování, likování, postování atp.)

Láska z internetu

Tyto podvody jsou unikátní tím, že se útočník snaží parazitovat na lidské potřebě po emočním propojení. Útočník naváže kontakt s obětí a snaží v průběhu podvodu o vytvoření zamilovaných pocitů ze strany oběti, směrem ke své osobě.

Tím jak se zamilovanost cíle k útočníkovi prohlubuje, tak útočník získává určitou formu kontroly nad svou obětí. Následně útočník pod různou záminkou požaduje po oběti určitý finanční obnos. Tyto nároky se mohou v průběhu času zvyšovat, až do chvíle kdy dosáhnou částky, kterou oběť není schopna poskytnout. V ten moment útočník ukončí s obětí veškerou komunikaci a vydá se hledat další potenciální oběť.

Tento podvod je obzvláště krutý, jelikož většinou parazituje na ženách ve střením věku, případně cílí na matky samoživitelky, které jsou dlouhou dobu bez partnera a jejich situace není úplně nejlepší. Útočník si takovouto oběť vyhlídne, a následně se vydává za zámožného cizince, který tyto osoby zahrnuje komplimenty a zamilovanými zprávami a využívá jejich citové deprivace, případně u matek samoživitelek jejich potřebou zajistit svému dítěti otce, který se o ně postará.

Jakým způsobem tyto cíle útočník vyhledává? Pomocí klíčových slov. Všechny tyto jsou nezadané, případně tento stav přímo na Facebooku sdílí spolu s melancholickými a někdy až depresivními příspěvky.

Tento útok byl zaznamenán i v České republice, konkrétně pak v únoru 2019 o těchto podvodech a jejich obětech informoval deník idnes.cz. V některých případech pak oběti podvodníkovi zaslali peníze hned několikrát a částka se vyšplhala ke 2 000 000,- Kč!

Jak se tedy takovýmto útokům bránit?

  • Pokládejte konkrétní otázky a všímejte si jakýchkoli nesrovnalostí.
  • Za všech okolností buďte podezíravý. Vypadá osoba na profilové fotce příliš dobře? Použijte internetový vyhledávač Google, který je schopný vyhledávat pomocí obrázku, a obrázek si vyhledejte! To vám pomůže zjistit, jestli osoba nekopíruje fotku odněkud z internetu.
  • Mějte se vždy na pozoru před lidmi, kteří mají výmluvu, proč se nemůžou sejít osobně (permanentně na služební cestě, zámožný cizinec z jiné země, voják atp.), nebo vždy oddalují plánované setkání.
  • A nejdůležitější ze všeho. Nikdy za žádných okolností neposílejte peníze někomu, s kým jste se osobně nesetkali a poznali jste ho/ji online.

Kvízy

Oblíbená zábava, která se tváří dost často velmi nevinně. Kdo z nás někdy nechtěl zjistit, jaký charakter z Hry o trůny jsme, případně jaká bude naše věta před smrtí a další.

Bohužel podvodníci mohou používat tyto kvízy k instalaci malwaru, případně ke sbírání osobních údajů. I v případě, že je kvíz legitimní, jsou o nás beztak sbírány osobní údaje, které mohou být použity pro cílenou reklamu.

Nejlepším způsobem, jak se proti potenciálním podvodům bránit je prostě tyto kvízy nedělat. Pokud přeci jen musíte vědět, která postava z Avengers jste, přečtěte si oznámení o ochraně osobníc údajů, případně upozornění jakým způsobem bude s vašimi osobními údaji zacházeno a k jakým účelům budou využity.

Většina těchto kvízů vás bude informovat o tom, že svojí účastí v tomto kvízu souhlasíte s podmínkami užívání stránek, na kterých kvíz je. V těchto podmínkách užívání následně naleznete, že tento souhlas umožňuje přístup třetím stranám k seznamu vašich přátel, vaší emailové adrese a další. Poté už je jen na vás, abyste zhodnotili, jestli třetí strany nutně potřebují přístup k těmto údajům.

Buďte obezřetní, ale ne paranoidní

Nejjednodušší cesta, jak pochopit rizika spojená se sociálními sítěmi je uvědomit si, jak jsou tyto informace užitečné pro útočníka. Pokud pochopíte, co útočník hledá, můžete se efektivně bránit.

Na chvíli se zastavte a podívejte se na své profily na sociálních sítích očima útočníka. Máte veřejně vystavené svoje datum narození nebo jiná vaše výročí? Je v popisu vašeho profilu napsáno, kde pracujete? Přiložili jste geologická metadata k fotce z vaší oblíbené kavárny, ve které jste si minulý týden dali vaší oblíbenou kávu a zákusek, tak jako každý týden?

Přesně toto je druh informací, které útočníci hledají. Samy o sobě se tyto informace mohou zdát jako nedůležité, ale jejich propojením lze vytvořit vcelku přesný obrázek o vašem životě a návycích a útočník je může snadno zneužít při cíleném útoku skrze email (spearphishing) nebo telefon (vishing).

Naštěstí existuje vcelku jednoduchá cesta, jak zabránit tomu, aby se tyto informace dostaly do rukou útočníka a tím je bezpečnostní nastavení vašeho profilu. Díky možnosti nastavit váš účet na sociálních sítích jako soukromí se útočník k těmto datům skrze sociální sítě nedostane, alespoň ne tak snadno.

Následně je nutné toto nastavení pravidelně kontrolovat, jelikož sociální sítě velmi často aktualizují nastavení pro sdílení uživatelských údajů z důvodu vyššího zabezpečení. Kvůli tomu může být vaše nastavení ovlivněno bez vašeho vědomí.

Na závěr bych rád zmínil, že doufám, že vám znalost těchto nejznámějších druhů útoků, které se momentálně na sociálních sítích vyskytují, pomůže být více obezřetných v případě, že se s některým z nich setkáte ve svém životě. A pokud se přeci jen stanete obětí podobného útoku, tak neváhejte a nahlaste ho sociální síti, na které se stal. Díky tomu pomůžete útočníka sociální síti identifikovat a případně zamezit dalším lidem, aby se stali obětí.