Hesla na prodej

Techniky takzvaného sociálního inženýrství se hlásí o své místo pod sluncem stále častěji a vydobyly si přívlastek „nebezpečné“. Člověk by řekl, že po záplavách článků věnovaných této problematice ubude důvěřivých uživatelů, ale výsledky projektu sponzorovaného společností VeriSign hovoří jinak – vyměnili byste své heslo za kávu zdarma?

Jak informoval server TheRegister, v centru města Los Angeles byl proveden průzkum zjišťující, kolik lidí je ochotno prozradit některé své heslo výměnou za poukázku na kávu v hodnotě tří amerických dolarů. Z 272 respondentů se jich ihned nechalo uplatit 180, tedy více jak dvě třetiny. Ze zbývajících dvaadevadesáti „tajnůstkářů“ jich kávu zdarma na druhý pokus přijalo 51, a sice směnou za alespoň malou nápovědu, jak jejich heslo vypadá. Jednoduchými počty tedy snadno dospějeme k zajímavému výsledku, že pouze 41 osob z celkového počtu 272 o svém heslu neprozradilo žádné informace.

Další získaná čísla vypovídají o tom, že přibližně 57 procent dotazovaných používá celkem více než tři hesla a 79 procent využívá jednoho hesla pro přihlašování na vícero internetových stránek nebo do několika aplikací zároveň. Oblíbenými „taháky“ pak jsou všem dobře známé samolepící kancelářské papírky a uložení hesla do složky v e-mailu či mobilním telefonu.

Zalistujete-li v průzkumech, jejichž výsledky byly zveřejněny na stránkách serveru TheRegister, proti proudu času, zjistíte, že podobné studie byly provedeny již v roce 2003 a 2004. Prvně jmenovaný průzkum probíhal na londýnském Waterloo Station a devadesát procent dotázaných, jimiž byli výhradně lidé pracující v kancelářích, prozradilo své heslo výměnou za nabízené pero. O tom, která polovina lidského pokolení dokáže spíše držet své heslo v tajnosti, napovídá fakt, že muži jej vyzradili v 95 procentech případů, zatímco u žen tato míra činila 85 procent. Ze všech 152 dotazovaných jich přibližně dvanáct procent jako heslo používalo slovo password (v angličtině heslo), jedenáct procent svůj oblíbený fotbalový klub a osm procent datum narození. Vítězem v kategorii oblíbených hesel se ovšem stala přímo jména dotazovaných, a to se šestnácti procenty. Tři čtvrtiny respondentů pak přiznaly, že znají hesla svých spolupracovníků. O výsledcích další podobné studie prováděné v roce 2004 se můžete dočíst také na stránkách TheRegister.

Techniku sociálního inženýrství v poslední době nejvíce zpopularizoval Kevin Mitnick, a to ve svých knihách. Ačkoliv o vypovídací hodnotě výše uvedených statistik by se dalo sáhodlouze polemizovat, neoddiskutovatelným faktem zůstává, že řada lidí je ochotna prozradit své důvěrné informace naprosto neznámým osobám. Podvodník se nejčastěji snaží ovlivnit nebo oklamat lidi až do té míry, kdy mu uvěří, že je někým jiným, a následně je dokáže donutit k vyzrazení některých důvěrných informací. Není žádným překvapením, že mezi nejžádanějšími „artikly“ hrají prim přihlašovací jména, hesla, čísla kreditních karet apod.

Síla a nebezpečí sociálního inženýrství spočívá především v nižších nárocích na útočníkovy technické znalosti. Odmyslíte-li si nejrůznější „script kiddies“, kteří pouze těží z výsledků práce jiných, pak skuteční hackeři pronikající do systémů musí mít dobré znalosti jak o fungování počítačových sítí, tak o možnostech napadnutelnosti vzdáleného systému. Naproti tomu sociální inženýři musí být zdatní především v psychologických soubojích a ovlivňování druhých jedinců, protože se snaží přimět uživatele věřit v něco, co není pravdivé. Názornou ukázkou zneužití sociálního inženýrství pro vylákání hesel z důvěřivých uživatelů může být v poslední době populární phishing, tedy posílání falešných e-mailů, které mají uživatele donutit k návštěvě podvržené stránky a zadání například hesla. Nemalé procento lidí se vždy nachytá a útočníkovi je v tomto případě prakticky jedno, zda „uloví“ každého stého nebo tisícího adresáta. A co pro to musel útočník udělat? Vytvořit důvěryhodně vypadající falešnou stránku, vymyslet vhodný text e-mailu a rozeslat ho z nějaké (jak jinak než podvržené) e-mailové adresy. Suma sumárum se jedná o tři nepříliš náročné kroky, tedy otázku jednoho delšího večera.

Otázkou zůstává, kde se v lidech bere onen falešný pocit bezpečí, když jsou ochotni na počkání zadat své důvěrné informace do kdejakého webového formuláře. Na straně jedné může být neznalost základů bezpečného nakládání se svými hesly, PINy a podobným, na druhé straně touha po případně nabízené odměně. V posledně jmenovaném případě se jistě nejedná o v úvodu zmiňovanou třídolarovou poukázku na kávu, ale například podíl z nějakého zisku.

CIF16

Falešné e-mailové zprávy samozřejmě nejsou jedinými zástupci sociotechnik, podvodníci se skutečným hereckým nadáním mohou úspěšně využít i osobního kontaktu. Často se totiž najde nějaký (pro druhou stranu postačující) důvod, proč potřebují právě ty a ony informace nebo přístup do nějaké místnosti a počítače. Oblíbeným trikem inženýrů bez titulu může také být obvolávání potenciálních obětí a dolování informací skrze telefonní linku. Často používanými fintami, respektive pozicemi, za které se podvodníci mohou vydávat, jsou například pracovníci technické podpory nebo zaměstnanci bank. Extrémní lovci „pokladů“ v podobě tajných informací mohou zkoušet své štěstí přehrabováním odpadků a hledáním dokumentů, které namísto do skartovacího stroje putovaly do popelnic. V současné době představují informace velice cenná aktiva, zejména ty důvěrné by si proto uživatelé měli střežit jako oko v hlavě a pokaždé, když po nich někdo bude chtít heslo, použít alespoň onen pověstný selský rozum.

Mimochodem, jaké je vaše heslo?

Anketa

Znáte si s kolegy v zaměstnání navzájem svá hesla?

43 názorů Vstoupit do diskuse
poslední názor přidán 24. 10. 2006 8:42

Školení: Obsahová strategie a content marketing

  •  
    Proč je obsahový marketing výrazným trendem.
  • Jak navrhnout užitečnou obsahovou strategii.
  • Jak zlepšit workflow a výsledky copywritingu.

Detailní informace o školení content strategy »