Aktuální metody sociálního inženýrství v kontextu kybernetické bezpečnosti

Abstract

Diplomová práce řeší problematiku sociálního inženýrství v kontextu kybernetické bezpečnosti. Zaměřuje se především na popis jednotlivých metod útoku pomocí sociálního inženýrství. Cílem výzkumné části diplomové práce je otestování odolnosti vybraného vzorku obyvatelstva proti konkrétní metodě sociálního inženýrství. První část diplomové práce se věnuje teorii potřebné k pochopení problematiky sociálního inženýrství a kybernetické bezpečnosti. Stěžejní je v této části popis jednotlivých metod útoku metodami sociálního inženýrství. Dále pojednává o možné ochraně proti těmto útokům, institucích věnujících se kybernetické bezpečnost a o Zákonu o kybernetické bezpečnosti. Závěrem této části je statistický přehled útoků sociálního inženýrství v České republice a celosvětově. Praktická část zkoumá odolnost široké veřejnosti vůči spear phishingu. Respondenti pomocí dotazníkového šetření rozpoznávají spear phishingové e-maily od skutečných. Na základě toho jsou testovány hypotézy, zda souvisí odolnost respondentů s jejich vzděláním a věkem. Výzkumem byla přijata hypotéza, že odolnost respondentů stoupá s jejich stupněm vzdělání a nepotvrzena hypotéza, že s rostoucím věkem jsou respondenti odolnější vůči útokům sociálního inženýrství. Metoda sociálního inženýrství pro testování odolnosti respondentů byla vybrána na základě analýzy, kdy spear phishing vyšel jako nejvíce používaná metoda, nejnebezpečnější a poměrně lehce dostupná metoda. Závěrem praktické části je shrnut rozhovor věnující se sociálnímu inženýrství s odborníkem na ochranu informací. V diskuzi jsou navrhnuta možná preventivní opatření k ochraně proti sociálnímu inženýrství, jako prohlubování kritického myšlení, kontinuální vzdělávání se v problematice a ochrana vlastního soukromí.

The thesis aims to issue of social engineering in the context of cyber security. It mainly focuses on the description of different methods of social engineering. The aim of the research part is to test the resilience of a selected sample of the population against a particular method of social engineering. The first part of the thesis is devoted to the theory needed to understand social engineering and cybersecurity. Essential to this section is a description of the various methods of attack by social engineering methods. It also discusses possible protection against these attacks, institutions focused on cyber security and the Cyber Security Act. Finally, this section concludes with a statistical overview of social engineering attacks in the Czech Republic and worldwide. The practical part tests the resilience of the general public to spear phishing. Respondents try to identify spear phishing emails from real ones in a questionnaire survey. Based on this, hypotheses are tested whether the respondents' resilience is related to their education and age. The research accepts the hypothesis that respondents' resilience increases with their level of education and rejects the hypothesis that respondents become more resilient to social engineering attacks as their age increases. The social engineering method for testing the respondents resilience was chosen based on an analysis where spear phishing came out as the most used method, the most dangerous and relatively easy to access method. Finally, the practical section summarises an interview about social engineering with expert on information protection. The discussion suggests possible preventive measures to protect against social engineering, such as deepening critical thinking, continuing education on the issue, and protecting one's privacy.