EU peníze školám“ Projekt DIGIT – digitalizace výuky na ISŠTE Sokolov reg.č. CZ.1.07/1.5.00/ III/2 Inovace a zkvalitnění výuky prostřednictvím ICT VY_32_INOVACE_1_3_19 Název vzdělávacího materiálu Sociální inženýrství Jméno autoraIng. Bulka Josef Tematická oblastPočítačové sítě a internet Vzdělávací oborVšechny obory školy Předmět Informační a komunikační technologie Ročník1. a 2. Rozvíjené klíčové kompetence Kompetence k učení, řešení problému, komunikativní, pracovní, personální a sociální. Průřezové téma Informační a komunikační technologie, Člověk a svět práce, Člověk a životní prostředí, Občan v demokratické společnosti.

Tento výukový materiál je plně v souladu s Autorským zákonem ( jsou zde dodržována všechna autorská práva). Pokud není uvedeno jinak, autorem textů a obrázků je Ing. Josef Bulka. Časový harmonogram1 vyučovací hodina Použitá literatura a zdroje Internet – Wikipedia Klimeš, Skalka, Lovászová, Švec, Informatika pro maturanty a zájemce o studium na vysokých školách. ISBN Pomůcky a prostředky Dataprojektor, výpočetní technika, názorné pomůcky a díly hardware z oblasti výpočetní techniky. Anotace Problematika počítačové gramotnosti, pojmy informační a komunikační technologie (ICT). Způsob využití výukového materiálu ve výuce Výklad a cvičení. Opakování a domácí příprava žáků na vyučování. Datum (období) vytvoření vzdělávacího materiálu Září 2012

Sociální inženýrství patří k základním nástrojům nabourávání a hackování do elektronických systémů. Základním principem sociálního inženýrství ve vztahu k překonávání ochrany informačních technologií je obelhání oprávněného uživatele. Pokud útočník využije oprávněnou (autorizovanou) osobu k útoku, ochrana chráněného systému není schopna rozlišit mezi ním a touto oprávněnou osobou.

Velmi úzce je s pojmem sociální inženýrství spojen pojem „sociotechnika“. Jedná se o přesvědčování a ovlivňování lidí s cílem je oklamat, aby uvěřili, že jste někdo jiný a zmanipulovat je k vyzrazení některých informací nebo provedení určitých úkonů. Příkladem techniky sociálního inženýrství je tzv. „pishing“, používaný k oklamání uživatelů využitím slabých míst současných bezpečnostních technologií. Ochrana proti pishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.

Phishing je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Principem phishingu je rozesílání ových zpráv, které se tváří jako oficiální žádost instituce nebo banky vyzývající k zadání údajů na odkazovanou stránku. Stránka může být napodobeninou přihlašovací stránky např. internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Zadáním těchto údajů prozradí útočníkovi číslo karty a heslo, ti posléze z účtu ukradnou peníze.

Telefonní phishing Technika využívající falešného hlasového automatu (IVR) podobnému originálnímu bankovnímu automatu („Pro změnu hesla stiskněte 1, pro spojení s bankovním poradcem stiskněte 2"). Uživatel je vyzván em k zavolání do banky za účelem ověření informace. Zde je pak požadováno přihlášení za pomoci PINu nebo hesla. Falešný automat následně přenese oběť do kontaktu s útočníkem, který vystupuje v roli telefonního bankovního poradce, což mu umožňuje kladení dalších otázek.

Útočník předstírá, že patří do firemního oddělení informatiky. Většinou se představí jako správce systému, sítě. Takto pak získá informace od běžných uživatelů v kanceláři. Nebo může útočník zaslat , který se tváří, že je od správce sítě a požaduje s jakýmkoliv odůvodněním opakování potvrzení loginu a hesla. Neznalý uživatel většinou netuší, že hlavička odesílatele vůbec nepochází od firemního oddělení IT. Technická podpora sítě

Šest „základních vlastností lidské povahy“, které se projevují při pokusu podřídit někoho vůli sociotechnice: 1.Autorita – tendence se podřídit osobě s vetší funkcí. 2.Sympatie – získání sympatie oběti (stejné názory, zájmy, sport) atd. 3.Vzájemnost – větší pravděpodobnost, že útočníkovi oběť vyhoví, když pro ní předtím něco udělá. 4.Důslednost – lidé mají tendenci se podřídit, jestliže předtím veřejně vyhlásili svou podporu a angažovanost v určité záležitosti.

5.Společenský souhlas – útočník zavolá a zeptá se, zda-li nemá oběť čas, že by potřeboval vyplnit dotazník, který už všichni ostatní s ním vyplnili. 6. Vzácná příležitost – např. posílání mailů. Prvních 100 lidí dostane cenu! Zaregistrujte se! Technik sociálního inženýrství je velké množství a je pouze na uživatelích, jak jsou školeni a seznámeni s možnostmi útoků na bezpečnost informačního systému jejich prostřednictvím.

Zadání: 1.Seznamte se na Internetu s technikami sociálního inženýrství, jako je Pishing, Teashing, Pharming, Vishing, Pishing po telefonu. 2.Pokuste se je stručně popsat a zejména zjistit možné způsoby ochrany proti nim. 3.Najděte údaje ke jménu Kevin Mitnick - proč je tento člověk spojován, s pojmem sociální inženýrství?

1.Sociální inženýrství: a)zahrnuje správu informačních systémů správy sociálního zabezpečení b)patří k základním nástrojům nabourávání a hackování c)základní technické vybavení informačních systémů pro obsluhu a správu systému 2.Pojem sociální inženýrství je spojen: a)s pojmem sociotechnika b)s pojem kybernetika c)s pojmem správa a údržba systému

3.Phishing: a)je podvodná technika používaná na Internetu b)je technika lovu ryb pomocí elektronické návnady c)ochrana systému proti neoprávněnému vniknutí útočníka 4.Telefonní phishing: a)spojení s elektronickým bankovnictvím b)využití mobilního telefonu pro správu hesel c)technika využívající falešného hlasového automatu

1. inženýrství inženýrství al-engineering-fundamentals-part-i-hacker-tacticshttp:// al-engineering-fundamentals-part-i-hacker-tactics 5.Klimeš, Skalka, Lovászová, Švec, Informatika pro maturanty a zájemce o studium na vysokých školách. ISBN Jiří Plášil, PC pro školy, nakladatelství KOPP, České Budějovice, ISBN Odkazy a použitá literatura: