Jak nepříjemné důsledky může mít jednoduché zcizení identity, poznali nově v České spořitelně. I když se banka snaží důsledky zveřejnění plánů na změny a sloučení dceřiných společností či platů jejich managementu bagatelizovat, jistě nejde o incident, který lze přejít pouhým mávnutím ruky. Problém je v tom, že případům, jako je tento, se lze jen velmi obtížně bránit – ani nejlepší systémy vícefaktorového ověření je nemohou zcela eliminovat, zejména pocházel-li v tomto případě, jak se zdá, „útočník“ z blízkého rodinného okruhu „oběti“.
Zcizení identity, podobně jako mnohem širší (a možná i zajímavější) oblast sociálního inženýrství, totiž většinou využívá či zneužívá naše lidské slabiny a důmyslně aplikovanou psychologii. Skutečnou ochranou tak je perfektní nastavení bezpečnosti a důsledné školení všech zaměstnanců, kteří mohou, třeba jen nepřímo, útočníkovi zpřístupnit citlivá data či informace nebo procesy.
Procesy mohou být ostatně stejně citlivým a efektivnějším místem pro útok než informace samotné – respektive se znalostí správných informací a procesů lze efektivně uskutečnit útok, tak jako se to v roce 1978 povedlo v dnes již zapomenutém případu počítačového experta Stanleye Rifkina, který úspěšně převedl z banky Security Pacific National Bank, kde nasazoval záložní systémy, na své účty ve Švýcarsku více než 10 milionů dolarů (zhruba miliarda Kč v dnešních cenách). Nepotřeboval k tomu nic víc než telefonní automat v hale banky, znalost procesů, kterou hodlal zneužít vydávajíc se za zaměstnance oddělení zahraničních plateb, a denní kód, který si prostě při své práci přečetl zapsaný na nástěnce příkazní místnosti (což bylo pochopitelně porušení předpisů ze strany zaměstnanců příkazního oddělení).
Mistrem sociálního inženýrství se nakonec stal „nejslavnější“ hacker Kevin Mittnick, který zdůrazňuje, že při svých nelegálních útocích využíval prakticky výhradně právě cestu „sociálních“ útoků, a nikoliv nástroje pro prolamování ochran (a zcizené informace údajně nikdy nezpeněžil). Ať už to bylo jakkoliv, jeho tři knihy jsou velmi zábavné a poučné. Zejména tu první (Art of Deception z roku 2002) by si měli nejen v České spořitelně přečíst. Dnes už možná není revoluční ani objevná, je ale stále velmi pravdivá.
A co vy, školíte dostatečně své zaměstnance? Máte pocit, že vás podobné útoky a incidenty nemohou ohrozit?