2. Znalostní báze
  3. Pojmy v kyberbezpečnosti
  4. Co je sociální inženýrství?

Co je sociální inženýrství?

Datum poslední aktualizace: 17. 09. 2025
Podívejte se na řešení:
Personalistika a řízení lidí
Pomohl Vám tento článek?
2 z celkových 2 článek pomohl.

Sociální inženýrství je v podstatě manipulace s lidmi. Je to pojem, který se používá hlavně v oblasti bezpečnosti a kybernetiky. Označuje techniky manipulace s lidmi s cílem získat přístup k informacím, systémům nebo zdrojům, ke kterým by útočník normálně neměl mít oprávnění. Místo prolomení technických opatření (hesla, firewally apod.) se útočník zaměřuje na nejslabší článek – člověka. Typickým příkladem jsou podvodné e-maily (phishing), vydávání se za kolegu nebo technickou podporu, přemlouvání po telefonu nebo zneužívání důvěry. V podstatě tedy nejde o technický útok, ale o „inženýrství lidské psychologie“ – tedy využívání slabin lidského chování stejným způsobem, jako by hacker využil slabiny softwaru.

Jaké jsou nejčastější techniky sociálního inženýrství a jak se jim bránit?

Phishing (e-maily, SMS)

  • Co to je: Podvodné zprávy (e-maily, SMS), které se tváří jako od důvěryhodné instituce (banka, kolega, IT support) a snaží se získat přihlašovací údaje, osobní data nebo donutit k akci (kliknutí na odkaz, stažení přílohy).
  • Příklad: E-mail „IT: Nutné resetovat heslo – klikni na odkaz“.
  • Jak to poznat: neočekávaná urgence, gramatické chyby, odkaz vede na doménu, která se liší od oficiální, krátké nebo neosobní oslovení.
  • Ochrana: dvoufaktorové ověření (2FA), školení uživatelů, spam/filtering, ověřit e-mailovou adresu a URL (najeď myší), nikdy neodesílat hesla e-mailem.

Spear-phishing (cílený phishing)

  • Co to je: Phishing, ale personalizovaný — útočník použije informace o konkrétní osobě (LinkedIn, web firmy) k důvěryhodnějšímu útoku.
  • Příklad: E-mail od „CEO“ s požadavkem na urgentní platbu.
  • Jak to poznat: velmi specifické informace, často žádost mimo standardní postupy.
  • Ochrana: ověřit požadavek jiným kanálem (telefon), interní procesy pro platby, omezení práv pro zadávání plateb.

Pretexting

  • Co to je: Útočník si vymyslí (nebo vytvoří) falešný příběh / identitu (např. dodavatel, auditor, kolega z jiné pobočky) a získá informace nebo přístup tím, že si vyžádá důvěru.
  • Příklad: Volá „inspektor“ a žádá údaje o zaměstnancích.
  • Jak to poznat: dotazy na citlivé údaje bez jasného důvodu, tlak na rychlé poskytnutí informací.
  • Ochrana: ověřování identity volajícího, politika „minimum informace“ (poskytovat jen to, co je nezbytné), interní procesy pro žádosti o údaje, interní helpdesk

Baiting (návnada)

  • Co to je: Útočník nabízí něco lákavého (např. USB s „platným“ reportem) – když oběť vezme návnadu, zařízení nebo soubor infekuje systém.
  • Příklad: nalezené USB „mzdové podklady“ v parkovišti; zaměstnanec jej připojí k PC.
  • Jak to poznat: neznámé médium nebo soubor, „překvapivé“ výhody.
  • Ochrana: zákaz připojování cizích USB, blokování autorun, antivir/EDR, školení.

Tailgating / Piggybacking (fyzický přístup)

  • Co to je: Neoprávněná osoba vstoupí do zabezpečené oblasti tak, že následuje zaměstnance (otevře dveře, nechá je projít).
  • Příklad: někdo se tváří jako kurýr a „protlačí“ se za zaměstnancem přes vstupní dveře.
  • Jak to poznat: neznámí lidé bez průkazu, kdosi se vyhýbá přístupovým procedurám.
  • Ochrana: politika „nepouštět nikoho za sebou“, kontrola průkazů, turnikety, bezpečnostní hlášení.

Vishing (hlasové podvody)

  • Co to je: Podvod po telefonu — útočník se vydává za banku, kolegu, IT support, aby získal údaje nebo přiměl k akci.
  • Příklad: „Vaše karta má podezřelé transakce — řekněte mi CVV a číslo.“
  • Jak to poznat: telefonní hovor s tlakem na rychlé poskytnutí citlivých údajů.
  • Ochrana: školení (nevydávat citlivé informace po telefonu), ověřit číslo, interní pravidla pro ověřování.

Quid pro quo (něco za něco)

  • Co to je: Nabídka služby výměnou za informace nebo přístup — například falešný „technický“ pracovník nabízející pomoc.
  • Příklad: volající nabízí instalaci aktualizace výměnou za dočasné přihlášení.
  • Jak to poznat: někdo nabízí „rychlé řešení“ nebo službu výměnou za přístup.
  • Ochrana: nikdy neposkytovat přihlašovací údaje nebo vzdálený přístup bez autorizace, jasné procesy pro IT zásahy.

Water-holing

  • Co to je: Útočník kompromituje weby, které často navštěvují cílové skupiny, a přes ně distribuuje škodlivý obsah.
  • Příklad: infikovaný web profesionální asociace, kam chodí zaměstnanci firmy.
  • Jak to poznat: neočekávané chování po návštěvě důvěryhodného webu, varování od bezpečnostního SW.
  • Ochrana: aktualizovaný prohlížeč, EDR, whitelisting/blacklisting, sledování anomálií.

Proč se tomu říká "sociální inženýrství"?

  • „Sociální“ protože využívá sociální interakce, vztahy, důvěru a lidské chování. Útočník manipuluje člověka, aby udělal něco, co by jinak neudělal (např. prozradil heslo).
  • „Inženýrství“ protože jde o promyšlený, systematický postup. Útočníci používají techniky, které připomínají inženýrský proces – plánují, analyzují, testují a vylepšují své metody, aby dosáhli cíle.
Doporučujeme znát