Chytrý útočník necílí na počítač, ale na vás

Nejčastější techniky sociálního inženýrství

Sociální inženýři využívají široké spektrum technik, které přizpůsobují novým technologiím, komunikačním kanálům i aktuální společenské situaci. Zde jsou nejčastější metody, se kterými se můžete setkat.

Phishing

Phishing je nejrozšířenější technika sociálního inženýrství. Útočník se vydává za důvěryhodnou instituci, jako je banka, e-shop nebo úřad, a snaží se oběť přimět k zadání citlivých údajů, kliknutí na škodlivý odkaz nebo stažení infikované přílohy.

Typicky kombinuje psychologické triky jako:

  • Naléhavost - například „vaše konto bude zablokováno“.
  • Autoritu - vystupování jménem banky nebo úřadu.
  • Strach - hrozba finanční ztráty nebo ztráty přístupu.

Útočníci často využívají vizuálně věrné kopie webových stránek, aby snížili pravděpodobnost odhalení.

Typy phishingu

  • E-mailový phishing: Hromadné e-maily s cílem získat přihlašovací údaje nebo infikovat zařízení. Často dochází k podvržení adresy odesílatele.
  • Spear phishing: Cílený útok na konkrétní osobu nebo organizaci s personalizovanou zprávou.
  • Smishing: Phishing prostřednictvím SMS zpráv s odkazy na podvodné weby.
  • Vishing: Telefonické hovory, při kterých se útočník vydává např. za bankéře či technickou podporu.
  • Pharming: Neviditelné přesměrování uživatele na falešnou stránku, i když zadal správnou adresu.

Ukázka útoku

Uživatel obdrží e-mail s předmětem „Bezpečnostní výstraha: Nutná akce“. V těle zprávy je uvedeno, že bylo detekováno podezřelé přihlášení k jeho bankovnímu účtu. Odkaz ve zprávě vede na falešnou stránku napodobující internetové bankovnictví. Po zadání přihlašovacích údajů jsou tyto informace odeslány útočníkovi.

Preventivní doporučení

  • Kontrolujte adresy odesílatelů a odkazy před kliknutím.
  • Nikdy nezadávejte citlivé údaje přes odkazy z nevyžádaných zpráv.
  • Používejte dvoufaktorové ověření (2FA).
  • V případě pochybností kontaktujte instituci přes oficiální kanály.

Smishing

Smishing je specifická forma phishingového útoku, která zneužívá SMS zprávy k manipulaci obětí. Zprávy často pocházejí z falešných nebo anonymních čísel, případně zneužívají SMS brány, které umožňují podvržení identity odesílatele. Útočníci se tak mohou vydávat za důvěryhodné instituce - například banky, doručovací služby nebo státní úřady.

Oběť obdrží SMS, která se tváří jako oficiální oznámení (např. o nedoručeném balíku nebo problémovém účtu) a obsahuje odkaz na podvodnou stránku nebo výzvu ke sdělení citlivých údajů. Často se využívá kombinace naléhavosti („zásilka nebude doručena“), autority (např. Česká pošta) a tlaku na okamžité rozhodnutí.

Tento typ útoku je účinný, protože lidé mají tendenci okamžitě otevírat SMS a věřit jejich obsahu.

Typy smishingu

  • Bankovní smishing: Falešné zprávy od bank s výzvou ke změně hesla nebo potvrzení transakce.
  • Logistický smishing: Údajné zprávy o nedoručeném balíku (např. „DHL - sledujte zásilku“).
  • Výhra/soutěž: Zprávy o výhře s výzvou k vyplnění osobních údajů.
  • Smishing s malwarem: Odkaz na stránku, která stáhne škodlivou aplikaci.

Ukázka útoku

„Vaše zásilka nebyla doručena z důvodu nedoplatku 25 Kč. Pro úhradu použijte následující odkaz: www.doruceni-posta24.cz

Preventivní doporučení

  • Neklikat na odkazy z nevyžádaných zpráv.
  • Ověřit si informaci přes oficiální aplikaci nebo web dané instituce.
  • Nikdy nezadávat osobní nebo platební údaje přes odkaz z mobilní SMS.
  • Používat antivirový software i v mobilních zařízeních.
  • Buďte obezřetní při čtení SMS na mobilu, kde je hůře vidět celý odkaz.

Baiting (návnada)

Baiting je technika, která využívá zvědavost, chamtivost nebo lákavé nabídky k tomu, aby oběť provedla akci, kterou by za normálních okolností neudělala. Nejčastěji se jedná o připojení infikovaného zařízení nebo kliknutí na odkaz slibující „něco zdarma“.

Útočník tímto způsobem získává přístup k systému, instaluje malware nebo krade osobní data. Tato metoda je efektivní zejména v offline prostředí (například nalezený USB disk), ale objevuje se i online (např. nabídky na slevové kupony, e-knihy zdarma apod.).

Typy baitingu

  • Fyzický baiting: USB disk ponechaný na veřejném místě (např. v kavárně, recepci firmy).
  • Digitální baiting: Reklamy nebo odkazy na falešné „zdarma“ soubory (např. e-knihy, hry, kupony).
  • Falešná podpora: Nabídka falešného antiviru nebo systému, který po instalaci spustí malware.

Ukázka útoku

Zaměstnanec obdrží e-mail s předmětem „Potvrzení o přiznání mimořádného bonusu - únor 2025“. V příloze se nachází soubor Bonus_detail.pdf.exe. Po jeho otevření se automaticky nainstaluje malware.

Preventivní doporučení

  • Nikdy nepřipojujte cizí nebo nalezená zařízení (například USB disky).
  • Stahujte software pouze z ověřených zdrojů.
  • Používejte bezpečnostní software a udržujte operační systém aktuální.
  • Vyhýbejte se nabídkám, které jsou „příliš dobré, aby to byla pravda“.

Vishing

Vishing (z anglického "voice phishing") je forma sociálního inženýrství, při které útočník kontaktuje oběť telefonicky a vydává se za důvěryhodnou osobu nebo instituci. Cílem je přimět oběť k poskytnutí citlivých údajů, provedení platby nebo jiného úkonu. Útok často spoléhá na autoritu volajícího, naléhavost situace a strach z negativních důsledků.

Útočník může použít tzv. caller ID spoofing - zfalšovat telefonní číslo tak, že volání vypadá jako přicházející z reálné instituce.

Typy vishingu

  • Bankovní vishing: Útočník se vydává za banku a žádá potvrzení transakce nebo sdělení údajů.
  • Technická podpora: Volající tvrdí, že na vašem počítači byl zjištěn problém a navrhuje vzdálený přístup.
  • Útoky na firmy: Útočník se představí jako manažer a žádá o rychlý převod peněz (BEC).
  • Bezpečnostní složky: Útočník se vydává za policii a žádá spolupráci - např. převod peněz na "bezpečný účet".
  • Kombinované útoky: Kombinuje vishing s phishingem nebo smishingem pro zvýšení důvěryhodnosti.

Ukázka útoku

„Dobrý den, volám z bezpečnostního oddělení banky XY. Zaznamenali jsme podezřelou aktivitu na vašem účtu. Potřebujeme ověřit vaši identitu, prosím sdělte nám kód, který vám přišel do SMS.“

Preventivní doporučení

  • Nikdy nesdělujte citlivé údaje po telefonu.
  • V případě pochybností zavěste a ověřte si hovor na oficiálním čísle instituce.
  • I důvěryhodné číslo může být zfalšované (caller ID spoofing).
  • Ověřte požadavek prostřednictvím jiného kanálu (např. mobilní aplikace banky).
  • Školte zaměstnance na rozpoznání těchto technik (zejména ve firmách).

Quishing

Quishing je forma phishingového útoku, která využívá QR kódy pro přesměrování oběti na podvodné stránky. QR kódy působí neškodně, což zvyšuje pravděpodobnost jejich načtení.

Útočníci umisťují QR kódy na veřejná místa (plakáty, letáky) nebo je posílají elektronicky. Cílí na důvěru v technologie, zvědavost a časovou tíseň (např. „vyzvedněte si slevu“).

Typy quishingu

  • E-mail s QR kódem: Výzva k "ověření účtu" přes mobilní QR sken.
  • Quishing na pracovišti: QR kód vede na falešnou interní aplikaci.
  • Falešné platební QR kódy: Kód, který po načtení vede k podvodné platbě.

Ukázka útoku

Zaměstnanec najde na nástěnce oznámení: „Nová verze interní aplikace - naskenujte QR kód a stáhněte ji.“ Po načtení se mu otevře falešný firemní portál, kde zadá své údaje.

Preventivní doporučení

  • Neskenujte QR kódy z neověřených zdrojů.
  • Po načtení QR kódu vždy zkontrolujte URL adresu cílové stránky.
  • Používejte bezpečnostní aplikace, které kontrolují odkazy i v QR kódech.

Scareware

Scareware je útok, který využívá strachu k přinucení uživatele k určité akci - např. ke stažení falešného antiviru nebo kontaktování falešné podpory. Zprávy vypadají jako systémová hlášení: „Byl detekován virus!“, „Vaše zařízení je v ohrožení!“

Scareware se často zobrazuje jako vyskakovací okno na webu nebo systémová notifikace. Moderní formy využívají API prohlížeče, takže upozornění vypadají jako součást operačního systému.

Typické znaky scarewaru

  • Vizuálně věrohodné, ale falešné bezpečnostní hlášení.
  • Tlak na okamžité rozhodnutí (např. časový odpočet).
  • Nabídka "řešení" - např. stažení aplikace nebo zavolání na číslo.
  • Varování o napadení zařízení nebo porušení zákona.

Ukázka útoku

Uživatel navštíví podvodnou stránku, která zobrazí varování: „Na vašem zařízení bylo nalezeno 5 virů! Okamžitě si stáhněte bezpečnostní aplikaci.“ Kliknutím si nainstaluje malware.

Preventivní doporučení

  • Nikdy neinstalujte software na základě nevyžádaného varování.
  • Zkontrolujte adresu webové stránky - používejte oficiální domény.
  • Restartujte prohlížeč nebo zařízení, pokud si nejste jisti.
  • Používejte aktualizovaný bezpečnostní software.
  • Buďte opatrní při povolování systémových notifikací webovým stránkám.

Pretexting

Pretexting je technika, kdy útočník vytvoří důvěryhodnou falešnou identitu a příběh (pretext), aby získal citlivé informace nebo přístup. Útočník se může vydávat za zaměstnance firmy, technickou podporu, úředníka nebo člena rodiny.

Na rozdíl od phishingu, který bývá hromadný, je pretexting cílený a pečlivě připravený. Využívá autoritu, důvěru, manipulaci ve vztazích nebo sociální tlak.

Typy pretextingu

  • Firemní pretexting: Útočník se vydává za kolegu z IT a žádá přístup do systému.
  • Úřední pretexting: Falešný policista nebo úředník žádá data pod záminkou vyšetřování.
  • Emoční pretexting: Útočník předstírá, že je člen rodiny v nouzi (často u seniorů).

Ukázka útoku

„Dobrý den, volám z technického oddělení společnosti XY. Potřebujeme urychleně přístup k vašemu účtu, jinak dojde ke ztrátě důležitých dat. Můžete mi prosím sdělit své přihlašovací údaje nebo heslo k VPN?“

Preventivní doporučení

  • Nikdy neposkytujte přihlašovací údaje bez ověření identity žadatele.
  • V případě nestandardní žádosti kontaktujte druhou stranu oficiálním kanálem.
  • Školit zaměstnance na rozpoznání manipulačních technik.
  • Zaznamenávat a vyhodnocovat netypické požadavky přicházející mimo standardní postupy.