Minden szervezet és magánszemély számára fontos az információbiztonság, viszont alapvetően hibás az elgondolás, hogy a legdrágább kibervédelmi szoftverekkel, eszközökkel teljesen meg lehet védeni adatainkat. Eme következtetés azért csak részben működik, mivel ezek a szoftverek, eszközök csak annyira erősek, mint a szervezetünkben lévő leggyengébb láncszem, ami jelen esetben az ember, hiszen az alapvető naivitás, jóindulat és kíváncsiság könnyen kritikus információk kiszivárgásához vezethet.

Egy karizmatikus, jó kommunikációs készségekkel megáldott és kreatív Social Engineer megfelelő időráfordítással képes a legérzékenyebb adatokhoz is hozzájutni. Eme technika hatásosságára talán a legjobb példa Kevin David Mitnick, aki a rábeszéléses meggyőzés nagymestere.

Alább 1-1 érdekes link Kevin Mitnick múltjából:

https://hvg.hu/tudomany/20050120mitnick

https://henrikwarne.com/2015/12/27/social-engineering-from-kevin-mitnick/

Social Engineering esetében elhatárolunk humán alapú és informatikai eszközökkel végrehajtott támadásokat. A humán alapú technikák jellegzetessége, hogy legtöbbször szemtől szembe történnek, ezáltal nagyobb a lebukás veszélye. Ilyen humán alapú módszer a „piggybacking” vagy a „tailgating” ahol a személyzet követésével jut be a támadó a kiszemelt létesítménybe. Ezekhez hasonlóan hatékony módszer lehet a segítségkérés vagy -nyújtás is. Az első esetben a támadó a segítőkészségre alapozva kérdez rá kritikus információkra, mint például felhasználónév, biztonsági kérdés, vagy éppen e-mail cím, míg segítségnyújtásnál a támadó alakit ki olyan szituációt, ahol a célszemély nem kérdőjelezi meg hitelességét.

Érdemes megjegyezni, hogy egy ilyen jellegű akciónál a támadó nem csak érzékeny információkhoz juthat hozzá, de kártékony programokat is telepíthet eszközeinkre. Ilyen szoftver például a keylogger, melynek segítségével naplózhatja a billentyűleütéseket. Emellett különböző backdoor alkalmazások segítségével monitorozhatja a vágólapot, illetve figyelheti az internetes tevékenységet is.

Ezzel szemben az informatikai eszközökkel végrehajtott támadás talán leginkább közkedvelt módszere az adathalászat (phishing), ami ismert célpont esetén szűkíthető „spear phishing” vagy „whaling” megoldással. A pszichológiai manipuláció azon részén alapszik, hogy az adott e-mail vagy weboldal hitelesnek tűnik, így a megtévesztett személy tudtán kívül ad meg személyes adatokat, mint például felhasználónév, jelszó, bankkártyaadatok stb..

Pár hasznos tanács a phising felismerésére:

  • Mindig nézzük meg, milyen domainről küldték az e-mailt
  • A szövegben elhelyezett linkek milyen oldalra mutatnak
  • A fejlécben nézzük meg a feladó nevét
  • A tárgy legtöbbször olyan témájú, ami a felhasználót sürgős cselekvésre buzdítja (pl.: befizetésre váró számla, elmaradt adategyeztetés)
  • Nyelvhelyességi hibák (Magyar nyelv esetében pl. látványos Gtranslate)
  • A feladó hasonlít egy ismert címre, de mégis másnak tűnik (pl.: com)
  • Mellékletet tartalmaz, ami fertőzött lehet

Mi ebből a konklúzió?

Mindig kezeljük megfelelő gyanakvással az ismereten személyektől érkező leveleket, telefonhívásokat és az ismeretlenektől érkező személyes megkereséseket. Szervezetünkben rendszeresen hívjuk fel a felhasználók figyelmét a hasonló jellegű támadásokra és képezzük őket, hogy elkerüljük értékes adataink kiszivárgását.

Top