Human-factor útokové scenáre

Posted on by Dalimil
Human-factor útokové scenáre

Sociálne inžinierstvo: čo to je a prečo funguje

Sociálne inžinierstvo je súbor techník, ktorými útočník manipuluje ľudí tak, aby vykonali akciu alebo prezradili informácie v prospech útočníka. Namiesto priamych technických zraniteľností zneužíva kognitívne skratky, autoritu, strach, zvedavosť či ochotu pomôcť. Úspešný útok často kombinuje OSINT (zber verejne dostupných informácií) s presvedčivým príbehom, načasovaním a kanálom, ktorému cieľ dôveruje.

Psychologické páky a kognitívne skreslenia

  • Naliehavosť a strach: „okamžite konajte“, „odpojí sa vám účet“, „hrozí pokuta“ → skracuje overovanie.
  • Autorita a hierarchia: predstieranie statusu (CEO, polícia, banka) → vyvolá automatickú poslušnosť.
  • Vzácnosť a zisk: „posledná šanca“, „darček“ → aktivuje impulzívne rozhodovanie.
  • Reciprocita a pomoc: požiadavka „len na chvíľu“, „môžete mi pomôcť?“ → znižuje obrannú ostražitosť.
  • Konzistentnosť a záväzok: drobná žiadosť dnes → väčšia žiadosť zajtra (technika „foot-in-the-door“).
  • Familiarita a halo efekt: známe logá, interný žargón, mená kolegov → pocit legitimity.

Životný cyklus útoku

  1. Prieskum (OSINT): LinkedIn, sociálne siete, tlačové správy, verejné registre, metadáta v dokumentoch.
  2. Príprava príbehu a kanála: výber cieľa, tvorba pretextu, registrácia domén, generovanie falošných profilov.
  3. Prvý kontakt a eskalácia: e-mail, telefonát, SMS, chat, osobné stretnutie; test reakcií.
  4. Exfiltrácia alebo akcia: vylákanie poverení, prevod peňazí, inštalácia malvéru, získanie fyzického prístupu.
  5. Zakrývanie stôp a pokračovanie: presmerovanie komunikácie, ďalšie požiadavky („úprava faktúry“, „nový IBAN“).

Typické scenáre: elektronická komunikácia

  • Phishing (hromadný): e-mail so žiadosťou o prihlásenie, reset hesla alebo potvrdenie platby; odkaz vedie na falošnú prihlasovaciu stránku.
  • Spear-phishing a whaling: cielené útoky na konkrétnych ľudí (účtovníci, manažéri, členovia predstavenstva) s využitím interného jazyka a detailov.
  • Smishing (SMS) a messaging aplikácie: doručenky, balíky, bankové výstrahy, overenia; linky alebo žiadosti o kód.
  • Vishing (hlasové hovory): napodobnenie banky, IT podpory či polície; často s falšovaným číslom (caller-ID spoofing).
  • QRishing: podvrhnuté QR kódy na plagátoch, faktúrach alebo v e-mailoch smerujúce na phishingové stránky.
  • Deepfake hlas a video: imitácia hlasu nadriadeného či klienta s požiadavkou „okamžitého“ prevodu alebo zdieľania dokumentu.

Typické scenáre: osobne a fyzická bezpečnosť

  • Tailgating / piggybacking: vstup do budovy „na cudzie ID“ s nákladom v rukách, apel na pomoc.
  • Pretexting technika/kurier: „som z technickej podpory/pošty“ → žiadosť o prístup do serverovne alebo odovzdanie zariadenia.
  • Baiting: nechcené USB „nález“ či nabíjačka v lobby, ktorá v skutočnosti obsahuje implantát.

Biznisové podvody: peniaze a fakturácia

  • BEC / CEO fraud: e-mail z domény podobnej firemnej (typo-squatting) alebo z kompromitovaného účtu s pokynom na urgentný prevod.
  • Invoice redirection: zmena bankového účtu dodávateľa; priložený „aktualizovaný“ PDF formulár.
  • Dodávateľský reťazec: kompromitovaný partner posiela legitímne vyzerajúce objednávky alebo prílohy.

Útoky na autentifikáciu

  • MFA fatigue: opakované push notifikácie, kým používateľ omylom neschváli.
  • Token-relay a reverse-proxy phishing: proxovanie reálneho prihlásenia, získanie session cookie.
  • SIM-swap socializácia: vylákanie údajov u operátora, presmerovanie SMS kódov.

Red flags: indície, že niečo nesedí

  • Náhly tlak na čas, „tajné“ pokyny, zákaz konzultácie s kolegami.
  • Nekonzistentná doména, jemne „preklepové“ adresy a odkazy; nesúlad podpisu a reálnej role.
  • Žiadosť o kódy z autentifikácie, jednorazové heslá, záložné kódy alebo export hesiel.
  • Zmena rutiny: nový IBAN bez predchádzajúceho oznamu, obchádzanie oficiálnych kanálov.
  • Neprimerané povolenia alebo prístup „iba na minútu“ do citlivých priestorov.

Protiopatrenia pre jednotlivcov

  • Overovanie druhým kanálom: pri peniazoch a heslách vždy volajte späť na nezávisle získané číslo.
  • Bezpečné prihlasovanie: používajte správcu hesiel a fyzické bezpečnostné kľúče (FIDO2/WebAuthn) namiesto SMS kódov.
  • Hygiena odkazov a príloh: nikdy nezadávajte heslo po kliknutí z e-mailu; radšej otvorte web ručným zadaním adresy.
  • Ochrana identity: minimalizujte verejné informácie (pracovné tituly, projekty, plánované cesty) na sociálnych sieťach.
  • „Stop a premysli si“ rutina: pri urgencii urobte krátku pauzu a skontrolujte fakty; podvodník chce skrátiť premýšľanie.

Protiopatrenia pre organizácie: procesy

  • Call-back policy: zmena platobných údajov alebo veľké platby sa schvaľujú telefonicky na číslo z CRM, nie z e-mailu.
  • Segregácia povinností: zadanie platby ≠ schválenie platby; dvojité schválenie nad prahom.
  • Štandardné kanály: zákaz pokynov cez osobné e-maily alebo chaty mimo firemnej infraštruktúry.
  • Change-management: formulár a workflow pre zmenu IBAN, kontaktov a prístupov s auditom.
  • Incident response playbook: jasný postup na nahlásenie, zablokovanie účtov, odvolanie platieb, komunikáciu s bankou a políciou.

Protiopatrenia pre organizácie: technológie

  • Silná autentifikácia: zaviesť FIDO2 bezpečnostné kľúče, number-matching pri push MFA, geofencing a podmienený prístup.
  • Ochrana e-mailu: SPF, DKIM, DMARC v režime karanténa/odmietnutie; bezpečnostné brány so sandboxom príloh a detekciou URL-proxy.
  • Ochrana prehliadania: izolované prehliadače pre neznáme domény, blokátory trackingu a skriptov.
  • Detekcia a monitoring: anomálie v prihlasovaní, pravidlá DLP, varovania pri nových pravidlách preposielania pošty.
  • Telefónne kanály: varovanie pred spoofingom, dohodnuté bezpečnostné frázy pre helpdesk a VIP.

Vzdelávanie a kultúra bezpečnosti

  • Pravidelné školenia s praxou: simulované phishingy, vishing role-play, rozpoznávanie deepfake.
  • Nízky práh reportovania: jednoduché tlačidlo „Nahlásiť podozrivý e-mail“, bez postihu za omyl.
  • Metodické materiály: krátke check-listy, vizuálne príklady podvodov, skripty na spätné overenie.
  • Meranie: percento nahlásených pokusov, čas do reakcie, miera kliknutí, pokles incidentov.

Špeciálne rizikové skupiny a opatrenia

  • Finančné a účtovné tímy: prísne pravidlá verifikácie platieb, whitelisty účtov, limitované prístupy.
  • Top manažment (whaling): dedikované bezpečnostné kľúče, oddelené komunikačné kanály, asistent s právom „stop“.
  • Podpora a helpdesk: challenge-response overenie identity (ID tiketu, kódové slovo), zákaz resetu hesla cez neoverené kanály.
  • Remote work: politika pre domáce návštevy „technikov“, overovanie kuriérov, zákaz zverejňovania ID badge na fotkách.

Praktické protiopatrenia: skripty a rituály

  • Overovací skript pri peniazoch: „Ďakujem, overím požiadavku cez náš oficiálny kanál a ozvem sa späť.“ → ukončiť hovor, vytočiť číslo z CRM.
  • Challenge-response pre helpdesk: „Prosím uveďte interné kódové slovo a číslo tiketu.“ Ak nie je, odmietnuť.
  • „Dvojsekundová pauza“ pred klikom: pozrieť doménu, prejsť kurzorom nad link, skontrolovať certifikát po ručnom zadaní adresy.

Čo robiť, ak ste podozrenie prehliadli

  1. Okamžite odpojte zariadenie od siete pri podozrivej prílohe alebo linku; kontaktujte IT/bezpečnosť.
  2. Zmeňte heslo a zrušte aktívne relácie; zapnite alebo posilnite MFA.
  3. Informujte banku a partnerov pri finančnom prevode; požiadajte o reverz transakcie.
  4. Zaznamenajte čas, kanál, obsah komunikácie a všetky identifikátory (telefónne čísla, e-maily, URL).

Checklist osobný

  • Pri urgentných žiadostiach vždy overujem iným kanálom.
  • Nezadávam heslá cez odkazy z e-mailu/SMS; prihlasujem sa ručným zadaním adresy.
  • Používam bezpečnostný kľúč FIDO2 pre kľúčové účty.
  • Nezdieľam zbytočné pracovné detaily na sociálnych sieťach.
  • Nikdy neposielam kódy z autentifikácie, záložné kódy ani exporty hesiel.

Checklist firemný

  • DMARC v režime enforcement, brána e-mailovej bezpečnosti a izolácia príloh.
  • Politika call-back a dvojitého schvaľovania platieb.
  • FIDO2 pre administrátorov a VIP; detekcia anomálií prihlásení.
  • Tlačidlo „Nahlásiť phishing“, mesačné školenia a kvartálne cvičenia.
  • Playbook pre incidenty, kontakty na banky a orgány činné v trestnom konaní.

Zhrnutie

Sociálne inžinierstvo cieli na ľudský faktor – na naše rutiny, ochotu pomôcť a rešpekt k autorite. Obrana preto stojí na kombinácii procesov (overenie iným kanálom, segregácia povinností), technológií (FIDO2, e-mailová ochrana, monitoring) a kultúry (tréning, bezpečné návyky, rýchle reportovanie). Systematické prijatie týchto opatrení dramaticky znižuje pravdepodobnosť úspechu útoku a minimalizuje dopady, ak k incidentu napriek tomu dôjde.

Related Posts

simulácia

Simulácia v Ekonomike a Obchode Simulácia je významným procesom v oblasti ekonómie a obchodu, ktorý sa používa na konštrukciu modelov určitých systémov a vykonávanie experimentov […]

sezónny efekt

Sezónny efekt v oblasti obchodu Sezónny efekt je dôležitým pojmom v oblasti obchodu a ekonómie. Označuje každoročne sa opakujúci fenomén, ktorý ovplyvňuje rôzne činnosti, udalosti […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *