Prevence

Sociální inženýrství: psychologie, taktiky a reálné útoky

30 min. čtení

Kybernetickou bezpečnost již neurčuje pouze ochrana před malwarem. Velmi často je jejím ústředním prvkem psychologie, v případě kyberútoků pak ve službách tzv. sociálního inženýrství.

Kybernetická bezpečnost může být velmi technologicky vyspělá disciplína. Ve svém jádru je ale o lidech. Jsou to lidé útočící na lidi, a to obvykle proto, aby ukradli data nebo získali peníze. A jedním z nejoblíbenějších způsobů, jak toho dosáhnout, jsou techniky sociálního inženýrství. V zásadě jde o metody, které útočníci používají k manipulaci obětí, aby udělaly to, co si přejí – nevědomky sdílely přihlašovací údaje nebo nainstalovaly malware. 

Proč je sociální inženýrství tak úspěšné? Protože jako lidé jsme omylní a naprogramovaní věřit příběhům, které nám druzí vyprávějí, zejména, pokud tito lidé působí jako autority. Není k tomu potřeba žádný sofistikovaný škodlivý kód. Takové útoky jsou levnější na provedení a je v jejich případě méně pravděpodobné, že vzbudí podezření a rozruch. A spolu s umělou inteligencí (AI) mají útočníci navíc v rukou nový, mocný nástroj. 

Pojďme se na metody sociálního inženýrství podívat blíže a zjistit, jak fungují a čím se před takovými útoky mohou firmy chránit. 

Jak funguje sociální inženýrství? 

Cyklus útoku vypadá nějak takto: 

Průzkum: Útočníci shromažďují informace o oběti nebo nějaké stejnorodé skupině lidí. Cílem je útok personalizovat, a tím zvýšit jeho úspěšnost. Detaily o oběti lze najít na sociálních sítích (zejména LinkedIn), firemních stránkách nebo získat z úniků dat či z otevřených zdrojů (jako je například OSINT). 

Plánování: Kyberpodvodníci si vyberou nejdůvěryhodnější kanál (např. e‑mail, SMS, telefon, QR kód, soukromá zpráva na sociální síti nebo osobní kontakt) a vytvoří uvěřitelnou „návnadu“ (manipulace lidí pak obsahuje například naléhavost, odměnu, strach, autoritu atd.). 

Zneužití: Oběť uvěří příběhu, který jí kyberútočníci předložili, a klikne na škodlivé odkazy, otevře podvrženou přílohu, souhlasí s převodem peněz, přihlásí se na falešné přihlašovací stránce či v okně nebo ústně útočníkovi sdělí své osobní nebo přihlašovací údaje. 

Útěk: Útočník ukradne peníze nebo přihlašovací údaje, případně nasadí do zařízení oběti malware. 

Reakce: Organizace problém odhalí a začne s nápravou. 

Psychologie stojící za sociálním inženýrstvím 

Pokud se koukneme pod povrch technik sociálního inženýrství, můžeme použít Cialdiniho principy přesvědčování: šest pravidel, která vysvětlují, jak ovlivňovat lidské chování. 

Autorita: Lidé s větší pravděpodobností následují pokyny osob (nebo institucí), které vnímají jako autority, což je důvod, proč se kyberpodvodníci obvykle za takové osoby vydávají (zástupce banky/ technologické firmy/ vládního úřadu/ vrcholového vedení firem atd.). 

Naléhavost či nedostatek: Lidé s větší pravděpodobností udělají to, co po nich chcete, pokud jsou nuceni se rychle rozhodovat. Přinutit je k akci můžete také tím, že jim řeknete, že pokud nebudou jednat, o něco přijdou. Proto se v případě phishingových útoků můžete setkat s tvrzením, že účet bude do 24 hodin deaktivován, pokud okamžitě nezareagujete. 

Reciprocita: Lidé často cítí povinnost oplatit laskavost. Phishingové e‑maily tak mohou obsahovat „dárek zdarma“ a následně žádat příjemce, aby se k něčemu přihlásil. 

Konzistence: Lidé se snaží být konzistentní se svými předchozími výroky a činy. Pokud tedy oběť souhlasí s požadavkem útočníka poprvé, pravděpodobně tak učiní i podruhé – i když je druhý požadavek větší. 

Email Icon

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Sociální schválení: Lidé s větší pravděpodobností následují doporučený postup, pokud jim řeknete, že to udělalo i jejich okolí. Útočník tak může tvrdit, že většina lidí v organizaci už klikla na odkaz, aby „potvrdila své údaje“. 

Sympatie: Lidé s větší pravděpodobností řeknou „ano“ někomu, kdo je jim sympatický. Podvodníci tak vynakládají úsilí na to, aby si s námi vybudovali vztah. 

Jak vypadají dnešní techniky sociálního inženýrství? 

Ne všechny techniky sociálního inženýrství jsou založeny na stejném principu. Právě jejich variabilita často oběti zaskočí. 

Klasické útoky 

Mezi základní metody manipulace lidí za účelem zisku patří: 

  • Phishing – Podvodné e‑maily navržené tak, aby uživatele přiměly kliknout na phishingovou stránku, přihlásit se do falešného portálu nebo spustit stahování škodlivého kódu. 

  • Spear phishing – Personalizovaná verze phishingu, obvykle s konkrétními informacemi o oběti, které mají zprávu učinit důvěryhodnější. Oběti jsou velmi často zaměstnanci firem. 

  • Whaling – Spear phishing s velkým dopadem, který zpravidla cíli na vedení firmy.  

  • Smishing – Podvodná komunikace přes SMS. Obvykle obsahuje škodlivý odkaz. 

  • Vishing – manipulativní podvodná komunikace prostřednictvím telefonních hovorů, při které se útočník vydává za nějakou autoritu. 

  • Pretexting – Technika podobná spear phishingu, která se ale spoléhá na vytvoření věrohodného scénáře pro získání důvěry oběti. Často se používá v útocích typu BEC (viz Pokročilé útoky níže). 

  • Baiting – Zde hraje ústřední roli návnada, která oběť přiměje kliknout nebo sdílet citlivé informace výměnou za speciální nabídky, odměny nebo ceny. 

  • Quid Pro Quo – Útočník nabízí falešný produkt či službu výměnou za přihlašovací údaje, kliknutí na odkaz apod. 

  • Watering hole – Útočníci kompromitují stránky, které oběti často navštěvují. Při jedné z dalších návštěv si nevědomky nakazí své zařízení.  

  • Shoulder surfing – Útočník odpozoruje přihlašovací údaje, PIN kódy či osobní informace oběti na veřejných místech. 

Pokročilé útoky 

V poslední době začali kyberpodvodníci experimentovat s novými způsoby, jak své oběti oklamat. Může za tím stát i skutečnost, že zaměstnanci již díky školením kybernetické bezpečnosti ty nejčastější metody znají: 

  • Business E-mail Compromise (BEC) – Podvod bez malwaru, při kterém dojde ke zneužití důvěry oběti a přesměrování plateb pomocí pretextingu. Podvodník se obvykle vydává za člena vrcholného vedení nebo známého dodavatele s naléhavou žádostí o platbu či převod. 

  • Únava z MFA (push bombing) – Útočník posílá oběti opakované výzvy k ověření, dokud jednu z nich oběť nakonec nepotvrdí. 

  • Podvržené video či audio (deepfake) – AI generovaný hlas nebo video vedoucích pracovníků, obvykle používané při útocích BEC. 

  • Consent phishing (škodlivé OAuth aplikace) – Útočníci přimějí oběť, aby udělila přístup škodlivým aplikacím ke cloudovým datům. Vydávají se za legitimní službu nebo aplikaci a použijí falešnou obrazovku k udělení souhlasu. 

  • Quishing (QR phishing) – Jedná se o škodlivé QR kódy umístěné na veřejných místech (nebo v e‑mailech). Uživatele po načtení přesměrují na phishingové stránky nebo přímo stáhnou malware do zařízení. 

  • ClickFix – Poměrně nový způsob doručení malwaru, který obchází bezpečnostní filtry. Uživatele nejprve naláká na stránku pomocí phishingové zprávy, škodlivou reklamou nebo kompromitovaným webem. Poté se jim zobrazí falešné upozornění, které je přiměje provést „opravu dočasné chyby“. Jsou vyzváni ke zkopírování a vložení textu. Ve skutečnosti tím nevědomky spouštějí škodlivé příkazy přímo v dialogovém okně Windows Run. 

  • Varianty útoku ClickFix – Patří mezi ně FileFix (kopírování nebo vkládání textu do adresního řádku Průzkumníka Windows), ConsentFix (krádež OAuth tokenů), BSOD (falešné obrazovky pádu systému Windows a okno Odstranění potíží) a CrashFix (vyvolání skutečného pádu k oklamání uživatele, aby zkopíroval nebo vložil malware). 

  • Dlouhodobé podvody (pig butchering nebo romance scam) – Podvodník oběť dlouhodobě manipuluje, často přes seznamku. Jakmile si získá její důvěru, požádá o zaplacení nákladů na získání víza, na cestu nebo zaplacení dalších, dle jeho odůvodnění nutných položek.  

  • Sextortion – Oběť obdrží nevyžádanou zprávu, ve které odesílatel tvrdí, že ji natočil webkamerou v kompromitující situaci a zveřejní video všem kontaktům, pokud nezaplatí výkupné. Zpráva obvykle obsahuje nějakou skutečnou informaci (např. e‑mailovou adresu) získanou z historického úniku dat. V ještě znepokojivější variantě vyděrač stáhne video nebo fotografii oběti z jejích sociálních sítí a pomocí deepfake nástrojů ji „svlékne“. Vyhrožuje zveřejněním, pokud nezaplatí. V některých případech oběť dobrovolně sdílí své intimní fotografie s účty, které se ukážou být falešné („catfish“), a poté je vydírána. 

Sociální inženýři v praxi 

Sociální inženýrství může mít na organizace a firmy obrovský finanční i reputační dopad a může vést až k odlivu zákazníků. Zde je několik příkladů: 

Loupež kryptoměn Bybit (2025) 

Severokorejští útočníci ukradli 1,4 miliardy dolarů z kryptoměnové burzy v dosud největší krádeži svého druhu. Šlo o vícefázový útok, který se nejdříve zaměřil na vývojáře v Safe{Wallet} – platformě používané burzou Bybit. Zmanipulovali ho, aby nainstaloval škodlivý projekt Docker Python, čímž jim poskytl přístup k pracovnímu zařízení cílové oběti. 

Útok na MGM Resorts (2023) 

Útočníci získali informace o zaměstnancích z LinkedInu, zavolali na helpdesk, vydávali se za ně a získali přístup. Výsledek: ransomware, výpadky služeb a ztráty v desítkách milionů dolarů. 

Deepfake videohovor s CFO za 25 milionů (2024) 

Zaměstnanec finančního oddělení se připojil k real‑time videohovoru s někým, kdo vypadal jako jejich CFO. Byl instruován provést důvěrný převod. Útočníci použili AI‑generované video a hlas, aby napodobili jeho identitu. 

Ransomware útoky na M&S a Co‑op Group (2025) 

Předpokládá se, že oba britské maloobchody byly cílem té samé skupiny (Scattered Spider), která použila podobný postup jako při útoku na MGM. Útočník zavolal na outsourcingový IT helpdesk, vydával se za zaměstnance a podařilo se mu resetovat heslo, čímž získal přístup. Útoky stály 440 milionů liber, přičemž M&S nemohl týdny přijímat online objednávky.

Jak se sociálnímu inženýrství bránit 

U firem může mít sociální inženýrství závažné až devastující důsledky – umožňuje útočníkům okamžitý přístup k privilegovaným firemním zdrojům. Může jít o první krok k útoku ransomwarem, kyberšpionáži nebo BEC. V každém případě mohou být výsledkem značné finanční a reputační újmy nebo pokuty za nedodržení předpisů.  

Pro zmírnění rizik je třeba uvažovat o lidech, procesech a technologiích: 

Lidé: vrstva lidské obrany 

  • Pravidelná, kontinuální školení kyberbezpečnostního povědomí zaměřená na emoční spouštěče, nejen na pravopisné chyby v podvodné komunikaci. 

  • Simulované phishingové útoky v různých kanálech (e‑mail, SMS, hlas, QR kód). 

  • Vytvoření kultury, která odměňuje rychlé hlášení incidentů – i když někdo udělá chybu. 

Procesy: kontrola nad rizikovými rozhodnutími 

  • Ověření mimo standardní kanály pro platby nad určitou hranici a citlivé údaje. 

  • Segregace pravomocí ve finančních procesech. 

  • Silný onboarding/offboarding a správa oprávnění. 

  • Ověření identity při resetu hesla přes helpdesk. 

  • Jasné a otestované postupy reakce na incidenty. 

Technologie: bezpečnost, která mírní škody 

  • E‑mailová bezpečnost, která blokuje phishing a vydávání se za někoho jiného. 

  • Ochrana koncových zařízení a sandboxing pro bezpečnou analýzu příloh. 

  • MFA odolné phishingu (např. bezpečnostní klíče FIDO2). 

  • Monitoring přístupu (detekce anomálií k odhalení podezřelé aktivity). 

  • XDR/MDR pro detekci a reakci na hrozby. 

  • Filtrování URL adres pro blokaci škodlivých webů i po kliknutí. 

Uvedené kroky můžete považovat za součást přístupu Zero Trust, ve kterém nikomu implicitně nevěříte a všechny uživatele i zařízení nepřetržitě ověřujete podle rizika. 

Příručka o sociálním inženýrství

Za kybernetickými útoky často nestojí útočníci s velkými technickými znalostmi, ale síla psychologické manipulace. Naučte své zaměstnance rozpoznat techniky sociálního inženýrství.

ZÍSKAT PŘÍRUČKU

Čtěte více