Business & Integration IT konzultant
Penetračné testovanie – penetration testing: fázy, typy, metódy, nástroje a príklady scenárov
Penetračné testovanie je dôležitou súčasťou procesu zabezpečenia softvéru. V článku si z rôznych hľadísk povieme, prečo tomu tak je.
Čo je penetračné testovanie?
Penetračný test, známy aj ako pen test, je simulovaný kybernetický útok na počítačový systém s cieľom overiť, či sa v ňom nachádzajú zneužiteľné zraniteľnosti. Cieľom tohto simulovaného útoku je identifikovať slabé miesta v obrane systému, ktoré by mohli útočníci využiť.
V kontexte zabezpečenia webových aplikácií sa penetračné testovanie bežne používa na rozšírenie firewallu webových aplikácií (WAF).
Penetračné testovanie môže zahŕňať pokus o narušenie ľubovoľného počtu aplikačných systémov (napr. rozhraní aplikačných protokolov (API), frontendových/backendových serverov) s cieľom odhaliť zraniteľnosti, ako sú neošetrené vstupy, ktoré sú náchylné na útoky typu „code injection“.
Poznatky získané z penetračného testu možno použiť na doladenie bezpečnostných politík WAF a opravu zistených zraniteľností.
Je to podobné, ako keď si banka najme niekoho, kto sa prezlečie za zlodeja a pokúsi sa vlámať do jej budovy a získať prístup do trezoru. Ak sa to „zlodejovi“ podarí a dostane sa do banky alebo trezoru, banka získa cenné informácie o tom, ako by mala sprísniť svoje bezpečnostné opatrenia.
Penetračné testovanie je dôležité, pretože je to jeden z najlepších spôsobov, ako nájsť a opraviť bezpečnostné zraniteľnosti systému skôr, ako ich útočník stihne zneužiť. Vykonávaním penetračného testovania môžu organizácie zabrániť škodám, ktoré by mohol útočník spôsobiť v prípade úspešného zneužitia bezpečnostnej zraniteľnosti, alebo ich zmierniť.
Na svoju ochranu by ste vo firme mali pravidelne vykonávať penetračné testy a:
- identifikovať bezpečnostné nedostatky, aby ste ich mohli vyriešiť alebo zaviesť vhodné kontrolné mechanizmy,
- uistiť sa, že vaše existujúce bezpečnostné kontroly sú účinné,
- identifikovať nové chyby v existujúcom softvéri,
- testovať nový softvér a systémy na prítomnosť chýb,
- podporovať súlad vašej organizácie s GDPR (všeobecné nariadenie o ochrane údajov) a DPA (zákon o ochrane údajov) a ďalšími príslušnými zákonmi a predpismi o ochrane osobných údajov a bezpečnosti.
Prečítaj si aj náš článok 7 bežných chýb pri penetračnom testovaní.
Aké sú výhody penetračného testovania?
V ideálnom prípade boli softvér a systémy od začiatku navrhnuté s cieľom odstrániť nebezpečné bezpečnostné chyby. Pen test poskytuje prehľad o tom, ako dobre sa tento cieľ podarilo dosiahnuť.
Penetračné testovanie môže organizácii pomôcť:
- nájsť slabé miesta v systémoch,
- určiť spoľahlivosť kontrolných mechanizmov,
- podporiť dodržiavanie predpisov o ochrane osobných údajov a kybernetickej bezpečnosti (napr. PCI DSS, HIPAA, GDPR),
- poskytnúť manažmentu kvalitatívne a kvantitatívne príklady aktuálneho stavu zabezpečenia a rozpočtových priorít.
Čo je tímová spolupráca – teaming?
Počet útokov sa zvyšuje a množstvo výskumu a skúseností, ktoré sú potrebné na to, aby ste s tvojím tímom predbehli tieto útoky, zväčšuje rozdiel medzi časom útoku a časom odhalenia. Práve tu prichádza na rad teaming. Cvičenia teamingu simulujú reálne scenáre útokov – pričom jeden tím útočí a druhý sa bráni.
Červené tímy
Červený tím je na strane útoku. Červený tím je vytvorený so zámerom identifikovať a posúdiť zraniteľnosti, testovať predpoklady, prezrieť alternatívne možnosti útoku a odhaliť obmedzenia, bezpečnostné riziká pre danú organizáciu.
Modré tímy
Modrý tím má za úlohu brániť organizáciu. Modré tímy majú na starosti budovanie ochranných opatrení organizácie a v prípade potreby prijímajú opatrenia.
Fialové tímy
V poslednom čase sa v rámci tímových cvičení stáva populárnejším koncept fialového tímu. Ide o spôsob myslenia, pri ktorom sa červené a modré tímy vnímajú a považujú za symbiotické. Nie sú to červené tímy proti modrým tímom, ale skôr jeden veľký tím zameraný na jeden hlavný cieľ: zlepšenie bezpečnosti. Kľúč k tomu, aby sme sa stali fialovým tímom, spočíva v komunikácii medzi jednotlivcami a ich tímami.
Aké sú fázy pen testovania?
Pen testeri simulujú útoky motivovaných protivníkov. Na tento účel zvyčajne postupujú podľa plánu, ktorý zahŕňa nasledujúce kroky:
1. Plánovanie a prieskum
Prvá fáza zahŕňa:
- Definovanie rozsahu a cieľov testu, vrátane systémov, ktoré sa majú riešiť a metód testovania, ktoré sa majú použiť.
- Zhromažďovanie spravodajských informácií (napr. názvy sietí a domén, poštový server) s cieľom lepšie pochopiť, ako cieľ funguje a aké sú jeho potenciálne zraniteľnosti.
2. Skenovanie
Ďalším krokom je pochopiť, ako bude cieľová aplikácia reagovať na rôzne pokusy o vniknutie. To sa zvyčajne vykonáva pomocou:
- Statická analýza – kontrola kódu aplikácie s cieľom odhadnúť, ako sa správa počas behu. Tieto nástroje dokážu skenovať celý kód v rámci jedného prechodu.
- Dynamická analýza – kontrola kódu aplikácie za behu. Ide o praktickejší spôsob skenovania, pretože poskytuje pohľad na výkon aplikácie v reálnom čase.
3. Získanie prístupu
V tejto fáze sa na odhalenie zraniteľností cieľa využívajú útoky na webové aplikácie, ako napríklad cross-site scripting, SQL injection a backdoors. Testeri sa potom pokúšajú tieto zraniteľnosti využiť, zvyčajne eskaláciou oprávnení, krádežou údajov, zachytávaním prevádzky atď. s cieľom pochopiť, aké škody môžu spôsobiť.
4. Udržiavanie prístupu
Cieľom tejto fázy je zistiť, či sa zraniteľnosť dá využiť na dosiahnutie trvalej prítomnosti v zneužívanom systéme – dostatočne dlho na to, aby zlý aktér získal hĺbkový prístup. Cieľom je napodobniť pokročilé pretrvávajúce hrozby, ktoré často zostávajú v systéme celé mesiace s cieľom ukradnúť najcitlivejšie údaje organizácie.
5. Analýza
Výsledky penetračného testu sa následne spracujú do správy s podrobnými informáciami:
- konkrétne zraniteľnosti, ktoré boli zneužité
- citlivé údaje, ku ktorým bol získaný prístup
- čas, počas ktorého bol tester schopný zostať v systéme neodhalený
Tieto informácie analyzujú bezpečnostní pracovníci s cieľom pomôcť pri konfigurácii nastavení WAF a iných riešení zabezpečenia aplikácií v podniku s cieľom opraviť zraniteľnosti a chrániť pred budúcimi útokmi.
Čo môžeš urobiť s výsledkami penetračného testu?
Po sprístupnení výsledkov penetračného testu je nevyhnutné prejsť si ich, prediskutovať ďalšie plány a celkovo prehodnotiť bezpečnostnú pozíciu organizácie.
Penetrační testeri poskytnú dôkladné správy s informáciami pozostávajúcimi z niekoľkých prvkov – presných podrobných informácií o každej fáze testu. Po prediskutovaní výsledkov je dobrým prístupom vypracovanie plánu nápravy, overenie implementácie pomocou opakovaného testu a začlenenie zistení do dlhodobej bezpečnostnej stratégie.
Metódy penetračného testovania
External testing (externé testovanie)
Externé penetračné testy sa zameriavajú na aktíva spoločnosti, ktoré sú viditeľné na internete, napr. na samotnú webovú aplikáciu, webovú stránku spoločnosti, e-mailové servery a servery doménových mien (DNS). Cieľom je získať prístup a získať cenné údaje.
Internal testing (interné testovanie)
Pri internom testovaní tester s prístupom k aplikácii za jej firewallom simuluje útok škodlivého insidera. Nemusí ísť nevyhnutne o simuláciu nečestného zamestnanca. Bežným východiskovým scenárom môže byť zamestnanec, ktorého poverovacie údaje boli ukradnuté v dôsledku phishingového útoku.
Blind testing (slepé testovanie)
Pri blind testovaní dostane tester iba názov podniku, ktorý je cieľom útoku. Bezpečnostní pracovníci tak môžu v reálnom čase nahliadnuť do toho, ako by prebiehal skutočný útok na aplikáciu.
Double Blind teating (dvojité slepé testovanie)
Pri double blind testovaní nemajú bezpečnostní pracovníci žiadne predchádzajúce vedomosti o simulovanom útoku. Rovnako ako v reálnom svete nebudú mať pred pokusom o narušenie žiadny čas na posilnenie svojej obrany.
Targeted testing (cielené testovanie)
V tomto scenári testujúci aj bezpečnostný personál spolupracujú a navzájom sa informujú o svojich pohyboch. Ide o cenné tréningové cvičenie, ktoré poskytuje bezpečnostnému tímu spätnú väzbu v reálnom čase z pohľadu hackera.
Aké sú typy penetračného testovania?
Komplexný prístup k pen testovaniu je nevyhnutný na optimálne riadenie rizík. To zahŕňa testovanie všetkých oblastí v tvojom prostredí.
Webové aplikácie
Testeri skúmajú účinnosť bezpečnostných kontrol a hľadajú skryté zraniteľnosti, vzory útokov a akékoľvek iné potenciálne bezpečnostné medzery, ktoré môžu viesť ku kompromitácii webovej aplikácie.
Mobilné aplikácie
Pomocou automatizovaného aj rozšíreného manuálneho testovania testeri hľadajú zraniteľnosti v binárnych súboroch aplikácie spustených v mobilnom zariadení a v príslušných funkciách na strane servera. Zraniteľnosti na strane servera zahŕňajú správu relácií, kryptografické problémy, problémy s autentifikáciou a autorizáciou a ďalšie bežné zraniteľnosti webových služieb.
Siete
Toto testovanie identifikuje bežné až kritické bezpečnostné zraniteľnosti v externej sieti a systémoch. Odborníci používajú checklist, ktorý zahŕňa testovacie prípady pre šifrované transportné protokoly, problémy s rozsahom certifikátu SSL, používanie administratívnych služieb a ďalšie.
Cloud
Cloudové prostredie sa výrazne líši od tradičných lokálnych prostredí. Zodpovednosť za bezpečnosť sa zvyčajne delí medzi organizáciu, ktorá prostredie používa a poskytovateľa cloudových služieb. Z tohto dôvodu si cloudové pen testovanie vyžaduje súbor špecializovaných zručností a skúseností na dôkladné preskúmanie rôznych aspektov cloudu, ako sú konfigurácie, rozhrania API, rôzne databázy, šifrovanie, ukladanie a bezpečnostné kontroly.
Containers
Kontajnery získané z nástroja Docker často obsahujú zraniteľnosti, ktoré sa dajú zneužiť vo veľkom rozsahu. Častým rizikom spojeným s kontajnermi a ich prostredím je aj nesprávna konfigurácia. Obe tieto riziká možno odhaliť pomocou expertného pen testovania.
Zabudované zariadenia (IoT)
Zabudované zariadenia / zariadenia internetu vecí (IoT), ako sú zdravotnícke zariadenia, automobily, domáce spotrebiče, zariadenia na ropných plošinách a hodinky, majú jedinečné požiadavky na testovanie softvéru vzhľadom na ich dlhší životný cyklus, vzdialené umiestnenie, obmedzenia napájania, regulačné požiadavky a ďalšie. Odborníci vykonávajú dôkladnú analýzu komunikácie spolu s analýzou klient/server s cieľom identifikovať chyby, ktoré sú pre príslušný prípad použitia najdôležitejšie.
Mobilné zariadenia
Pen testeri používajú automatizovanú aj manuálnu analýzu na nájdenie zraniteľností v binárnych súboroch aplikácií bežiacich na mobilnom zariadení a v príslušných funkciách na strane servera.
Zraniteľnosti v binárnych súboroch aplikácií môžu zahŕňať problémy s autentifikáciou a autorizáciou, problémy s dôverou na strane klienta, nesprávne nakonfigurované bezpečnostné kontroly a problémy s medziplatformovým vývojovým frameworkom. Zraniteľnosti na strane servera môžu zahŕňať správu relácií, kryptografické problémy, problémy s autentizáciou a autorizáciou a iné bežné zraniteľnosti webových služieb.
Rozhrania API
Na pokrytie zoznamu OWASP API Security Top 10 sa používajú techniky automatizovaného aj manuálneho testovania. Medzi bezpečnostné riziká a zraniteľnosti, ktoré testeri hľadajú, patrí nefunkčná autorizácia na úrovni objektov, autentifikácia používateľov, nadmerné vystavenie údajov, nedostatok zdrojov/obmedzenie rýchlosti a ďalšie.
CI/CD pipeline
Moderné postupy DevSecOps integrujú automatizované a inteligentné nástroje na skenovanie kódu do CI/CD pipeline. Okrem statických nástrojov, ktoré vyhľadávajú známe zraniteľnosti, možno do pipline CI/CD integrovať aj automatizované nástroje na pen testovanie, ktoré napodobňujú to, čo môže urobiť hacker, aby narušil bezpečnosť aplikácie. Automatizované pen testovanie CI/CD môže odhaliť skryté zraniteľnosti a vzory útokov, ktoré sa pri statickom skenovaní kódu neodhalia.
Aké sú typy nástrojov na penetračné testovanie?
Neexistuje žiadny univerzálny nástroj na pen testovanie. Namiesto toho si rôzne ciele vyžadujú rôzne sady nástrojov na skenovanie portov, skenovanie aplikácií, prieniky cez Wi-Fi alebo priame prieniky do siete. Vo všeobecnosti možno typy nástrojov na pen testovanie zaradiť do piatich kategórií.
- Prieskumné nástroje na zisťovanie sieťových hostiteľov a otvorených portov.
- Skenery zraniteľností na zisťovanie problémov v sieťových službách, webových aplikáciách a API.
- Proxy nástroje, ako sú špecializované webové proxy servery alebo všeobecné proxy servery typu man-in-the-middle.
- Nástroje na zneužívanie na získanie systémových oporných bodov alebo prístupu k prostriedkom.
- Nástroje na následné využitie na interakciu so systémami, udržiavanie a rozširovanie prístupu a dosiahnutie cieľov útoku.
V rámci penetračného testu možno použiť niekoľko rôznych typov nástrojov, každý pre inú fázu.
Nástroje na zneužívanie a zhromažďovanie informácií
- Zmap: Tento ľahký sieťový skener dokáže skenovať všetko od domácej siete až po celý internet. Je bezplatný a pen testeri ho často používajú na zhromažďovanie základných informácií o sieti.
- Xray: Xray je nástroj na mapovanie sietí, ktorý používa framework OSINT na usmernenie svojej taktiky.
- SimplyEmail: Ide o nástroj na prieskum e-mailov, ktorý sa používa na zhromažďovanie súvisiacich informácií nájdených na internete na základe niekoho e-mailu. Pen testeri ho používajú počas fázy prieskumu.
- PowerShell-Suite: PowerShell-suite je súbor skriptov PowerShell, ktoré dokážu získať informácie o procesoch, DLL a ďalších aspektoch počítačov so systémom Windows. Pomocou tohto nástroja môžu pen testeri rýchlo skontrolovať, ktoré systémy v sieti sú zraniteľné voči zneužitiu.
Nástroje na vyhľadávanie zraniteľností
- NMAP/ZenMap: Tento nástroj na mapovanie zabezpečenia siete poskytuje pen testerom pohľad na otvorené porty akejkoľvek siete a umožňuje testerom ponoriť sa do možnosti konkrétnych zraniteľností na úrovni siete.
- sqlmap: Ide o penetračný nástroj s otvoreným zdrojovým kódom, ktorý prináša validitu možných chýb SQL injection, ktoré môžu ovplyvniť databázové servery. Najlepšie sa používa pri testoch zameraných na zneužívanie databáz.
- MobSF: Skvelý nástroj na odhaľovanie zraniteľností mobilných platforiem. Je to komplexná platforma na pen testy a odhaľovanie zraniteľností prostredníctvom statickej a dynamickej analýzy.
- Linux-Exploit-Suggester: Tento nástroj, ako už názov napovedá, sa najlepšie používa na testovanie bezpečnosti v systémoch Linux bez toho, aby ste sa museli zaoberať inými robustnými skenermi zraniteľností.
Výhody penetračného testovania
- Odhaľuje diery v postupoch zabezpečovania bezpečnosti na vyššej úrovni, ako sú automatizované nástroje, konfiguračné a kódovacie štandardy, analýza architektúry a iné ľahšie činnosti hodnotenia zraniteľností.
- Lokalizuje známe aj neznáme chyby softvéru a bezpečnostné zraniteľnosti vrátane malých, ktoré samy o sebe nevyvolajú veľké obavy, ale ako súčasť komplexného vzorca útoku by mohli spôsobiť materiálne škody.
- Dokáže zaútočiť na ľubovoľný systém, pričom napodobňuje, ako by sa správala väčšina škodlivých hackerov, čím čo najviac simuluje skutočného protivníka.
Nevýhody penetračného testovania
- Je náročný na prácu a nákladný.
- Nezabráni komplexne tomu, aby sa chyby a nedostatky dostali do produkcie.
Najlepšie postupy penetračného testovania
Tu je niekoľko osvedčených postupov, ktoré môžeš použiť na zvýšenie účinnosti penetračného testovania.
Prieskum a plánovanie sú kľúčové
Penetračné testy by sa mali začať skenovaním zraniteľností a otvoreným prieskumom bezpečnostných medzier. Rovnako ako skutočný útočník by mal aj penetračný tester vykonať prieskum cieľovej organizácie, zhromaždiť informácie z dostupných zdrojov a naplánovať čo najefektívnejšie exploity.
Túto fázu je vhodné starostlivo zaznamenať, vrátane zraniteľností, ktoré boli objavené a neboli využité pri skutočnom teste. Vývojári tak môžu v budúcnosti reprodukovať a opravovať chyby.
Vytvorenie profilu útočníkov
Penetračný tester by mal myslieť a konať ako útočník. Mal by zvážiť motiváciu, ciele a zručnosti kybernetických útočníkov. Motivácia je dôležitým faktorom pri pochopení správania hackerov. Napríklad hacker, ktorý chce vykonať finančný podvod, bude konať inak ako hacker, ktorý chce exfiltrovať citlivé údaje, alebo hacktivista, ktorý chce spôsobiť škodu.
Pred vykonaním penetračných testov by organizácia mala identifikovať vlastnosti a osobnosti najpravdepodobnejších útočníkov, zoradiť ich a zamerať testy na najvhodnejšiu osobnosť.
Zmrazenie vývoja v prostredí penetračného testovania
Úspešné penetračné testovanie si vyžaduje známy, stabilný stav testovaného systému. Pridanie nového patch-u alebo softvérového balíka, zmena hardvérového komponentu alebo zmena konfigurácie znehodnotí penetračný test, pretože objavené zraniteľnosti nemusia po aktualizácii existovať.
Nie vždy je možné predvídať pozitívne alebo negatívne bezpečnostné dôsledky aktualizácie – čo je v prvom rade dôvodom na vykonanie penetračného testovania. Ak nie je na výber a systémy sa musia počas testu upraviť, útočník by o tom mal byť informovaný a malo by sa to zohľadniť v správe o penetračnom teste.
Definuj rozsah (scope) a rozpočet
Možno má zmysel chcieť otestovať celé prostredie, ale náklady ťa môžu presvedčiť o opaku. Preto zváž svoje oblasti s vysokou a nízkou prioritou, ktoré potrebujú penetračné testovanie. Oblasti s vysokou prioritou sú tie, v ktorých existujú firemné najväčšie zraniteľnosti. Pentesteri bežne identifikujú ako najrizikovejšie miesta operačné systémy, aplikačný kód a konfiguračné súbory, najmä v projektoch vývoja softvéru. Medzi oblasti s nižšou prioritou patria aplikácie s nízkym alebo žiadnym kódom pre interné obchodné operácie.
Zahrň zdroje finančných a zákazníckych útokov
Údaje organizácie sú jej najväčším aktívom, najmä v maloobchode, finančníctve, štátnej správe a zdravotníctve. Organizácie v týchto odvetviach zvyčajne disponujú obrovským množstvom transakčných, zákazníckych a finančných údajov. Ak tvoja organizácia disponuje takýmto typom údajov, vykonaj komplexné, celoplošné penetračné testovanie zdrojov údajov, najmä s cieľom splniť predpisy v danom odvetví a bezpečnostné predpisy. Nezostávaj však len pri zdrojoch údajov; otestuj aj softvér, ktorý sa k nim pripája a jeho podpornú infraštruktúru.
Dodržiavaj metodiku penetračného testovania
Výsledky penetračného testu sa môžu výrazne líšiť v závislosti od toho, akú metodiku použiješ. Medzi bežné metodiky a štandardy testovania patria:
- Štandard vykonávania penetračných testov (PTES)
- Štandard bezpečnosti údajov v odvetví platobných kariet (PCI-DSS)
- Príručka metodiky testovania bezpečnosti s otvoreným zdrojovým kódom (OSSTMM)
- Príručka testovania webovej bezpečnosti OWASP
- Špeciálna publikácia 800-115 Národného inštitútu pre štandardy a technológie (NIST)
- Rámec hodnotenia bezpečnosti informačných systémov (ISAFF)
- Výber metódy je dôležitý pri vykonávaní vlastného penetračného testovania. Pri hľadaní služby penetračného testovania však zváž, akými metodikami sa riadia a ako sa dajú porovnať s vašimi cieľmi.
Príklady scenárov pen testingu
Príklad: Scenár ukradnutého notebooku
Skvelým scenárom penetračného testu je preukázanie dôsledkov ukradnutého alebo strateného notebooku. Systémy majú na sebe oprávnenia a poverenia, ktoré by útočníci mohli využiť na vstup do cieľovej organizácie.
Systém môže byť chránený heslom, ale existuje mnoho techník, ktoré môžu útočníkom umožniť túto ochranu obísť. Príkladom je napr.:
- Pevný disk systému nemusí byť úplne zašifrovaný, čo útočníkovi umožní pripojiť pevný disk k vlastnému systému a získať údaje a poverenia. Tieto poverenia by sa následne mohli prelomiť a opätovne použiť na mnohých prihlasovacích stránkach organizácie.
- Používateľ mohol uzamknúť systém, ale používateľ je stále prihlásený. Tento používateľ má na pozadí spustené aplikácie a procesy, aj keď je uzamknutý. Útočníci by sa mohli pokúsiť pridať do systému škodlivú sieťovú kartu napríklad prostredníctvom USB. Táto sieťová karta sa snaží stať preferovaným spôsobom prístupu systému na internet. Ak systém používa túto sieťovú kartu, útočníci teraz môžu vidieť sieťovú prevádzku a pokúsiť sa nájsť citlivé údaje, dokonca údaje zmeniť.
Hneď ako útočníci získajú prístup k systému, môžu ho začať prehľadávať a hľadať informácie, ktoré sa dajú použiť na ďalšie riadenie cieľov útočníkov.
Príklad: Scenár sociálneho inžinierstva: Byť nápomocný
Ľudia si zvyčajne chcú byť navzájom nápomocní. Radi robíme pekné veci pre druhých.
Predstavme si scenár, v ktorom Eva vbehne na recepciu veľkej firemnej kancelárie s papiermi nasiaknutými kávou. Recepčná jasne vidí Evu v núdzi a čuduje sa, čo sa deje. Eva jej vysvetlí, že o 5 minút má pracovný pohovor a veľmi potrebuje vytlačiť svoje dokumenty na pohovor.
Eva si vopred pripravila škodlivý USB kľúč s dokumentmi určenými na kompromitáciu počítačov, ku ktorým je pripojený. Podá recepčnej škodlivý USB kľúč a s úsmevom sa opýta, či jej recepčná môže vytlačiť dokumenty. To môže byť to, čo útočníkom stačí na infikovanie systému v internej sieti, čo im umožní kompromitovať ďalšie systémy.
Príklad: Scenár sociálneho inžinierstva: Využitie strachu
Ľudia sa často boja, že zlyhajú alebo neurobia, čo im bolo nariadené. Útočníci často využívajú strach, aby sa pokúsili prinútiť obete urobiť to, čo útočníci potrebujú. Môžu sa napríklad pokúsiť predstierať, že sú riaditeľom spoločnosti a žiadať o informácie. Možno aktualizácia na sociálnych sieťach odhalila, že riaditeľ je na dovolenke a to sa dá využiť na zinscenovanie útoku.
Obeť pravdepodobne nechce vyzvať riaditeľa a keďže je riaditeľ na dovolenke, môže byť ťažšie overiť informácie.
Príklad: Scenár sociálneho inžinierstva: Hra na reciprocitu
Reciprocita je vykonanie niečoho na oplátku, napríklad reakcia na to, že ti niekto preukázal láskavosť.
Ak vezmeme do úvahy, že ti niekto podrží dvere, aby ťa pustil do vchodu do kancelárskej budovy, z tohto dôvodu je pravdepodobné, že budeš chcieť tejto osobe podržať ďalšie dvere, aby si jej to oplatil. Tieto dvere môžu byť za kontrolou vstupu, pričom je potrebné, aby zamestnanci predložili svoje preukazy, ale aby si na oplátku ponúkol rovnakú láskavosť, dvere podržíš otvorené. Tento postup sa nazýva tailgating.
Príklad: Scenár sociálneho inžinierstva: Využitie zvedavosti
Ľudia sú od prírody zvedaví. Čo by ste urobili, keby ste našli USB kľúč ležať na zemi mimo kancelárskej budovy? Zapojili by ste ho? Čo keby USB kľúč obsahoval dokument s názvom „Informácie o platoch – aktuálne aktualizácie“?
Útočník by mohol zámerne pohodiť mnoho škodlivých USB kľúčov v okolí, kde sa zdržiavajú zamestnanci a dúfať, že ich niekto zapojí.
Dokumenty môžu obsahovať škodlivé makrá alebo exploity, alebo môžu jednoducho používateľov oklamať, aby vykonali určité akcie, čím sa kompromitujú.
Ak vieš po nemecky a si IT tester alebo automatizovaný tester, pozri si naše firemné benefity a reaguj na voľné pracovné miesta.