SecuriFocus.com
A biztonsági szakma kezdőlapja

Hírek | Közérdekű

2006. november 29. 10:14

Social Engineering

A megtévesztés művészete

Sokak számára idegenül hangzik ez a kifejezés, pedig tulajdonképpen az egyik leggyakoribb visszaélési formát takarja. A „social engineering” jelentése: az emberek bizalomra való hajlamának manipulatív kihasználása.
Pszichológiai szempontból egészséges felnőtt emberek teljesen normális jellemzője a másik ember iránti bizalom. Mivel mindannyian társas lények vagyunk, nem csak elviseljük, de igényeljük is a kapcsolatot más emberekkel. A család, a rokonok, a barátok, az ismerősök, az iskolai vagy munkahelyi társak biztosítják ezeket a szükséges szociális kapcsolatokat. Idegenekkel természetesen visszafogottabbak és tartózkodóbbak vagyunk, a mindent átható gyanakvás, a paranoia (üldözési mánia) már szélsőséges esetnek számít.

Az emberek bizalomra való hajlamának kihasználása különösen veszélyes az üzleti életben, és nagy kárt lehet vele okozni, például amikor számítógépes rendszerekbe való behatolásra használják fel. Az információs társadalom legújabb kihívásai éppen abból fakadnak, hogy a gyakran használt személyes vagy üzleti információkat hogyan lehet hatékonyan megvédeni illetéktelen személyektől.

Az elkövető a módszer segítségével nem a hardver, a szoftver vagy a hálózati védelem gyenge pontjainak feltérképezésével, hanem az emberi természet gyengeségeinek kihasználásával jut a védett információkhoz. Hiába a sokmilliós IT-biztonsági fejlesztés és a legmodernebb tűzfal, amikor a cég dolgozói hanyagul bánnak felhasználói kódjukkal és jelszavukkal, vagy a több órára elhúzódó megbeszélések alatt is ellenőrizetlenül nyitva hagyják munkaállomásukat. Mások megnyitják az e-mailek veszélyes csatolmányait, vagy elolvassák a nem nekik szánt leveleket, esetleg ugyanazt a könnyen megfejthető kódot vagy jelszót használják több rendszerben is.

A hackerek gyakran visszaélnek az emberek természetes bizalmával annak érdekében, hogy üzleti vagy magánjellegű információkat tulajdonítsanak el. Ezek azok a manipulatív technikák és taktikák, melyeket többek között ipari kémek is előszeretettel használnak. Az ilyen támadások ellen az egyetlen hatásos védelem a vállalati biztonság-tudatos szemlélet kialakítása és a dolgozók felkészítése, képzése. Amikor egy hacker behatol a számítógépes rendszerbe, nem biztos, hogy el akarja lopni az adatokat, lehet, hogy sokkal nagyobb kárt okoz, ha egyszerűen csak módosítja, vagy törli azokat. A social engineering azért rendkívül veszélyes, mert a számítógépet használók hiszékenységét, éberségének hiányát kihasználva igen könnyű behatolást tesz lehetővé még a legjobban őrzött rendszerekbe is.

Az információt ma már leginkább a számítógépes hálózatokból lehet ellopni, ennek megfelelően védekeznünk kell az illegális behatolás ellen. A felelősségteljesen gondolkodó cégek rendkívül sokat költenek a hardver és szoftver eszközök védelmére, a különféle tűzfalakra, a vírusirtó és kémszoftver elhárító programokra. Ugyanakkor ezeknek a védelmi rendszereknek a leggyengébb láncszeme természetesen maga az ember. A social engineering tehát azt jelenti, hogy az információ-tolvaj az emberi természet adta lehetőségeket fordítja saját hasznára, és nem zseniális számítógépes tudása révén szerzi meg féltett adatainkat. A technika alkalmazásával ezt bárki megteheti, ezért fontos a megfelelő tájékozottság, és felkészülés a támadások kivédésére.

Trükkök és praktikák

Akár telefonon érdeklődik, akár személyesen érkezik, a rossz szándékú behatolóra „nincs ráírva”, hogy feltett szándéka a károkozás, tehát bárkinek kiadhatja magát. Természetesen leggyakrabban a cégnél dolgozó munkatársnak álcázza magát, ennek megfelelően beszél és viselkedik. Mint „bennfentes” könnyű félrevezetni a gyanútlan dolgozót, és elhitetni vele, hogy „minden a cég érdekében történik”. Ha valaki egyszerűen szimpatikus benyomást kelt, udvarias, nehezen utasítanánk vissza egy egyszerű kérést, hiszen nem akarunk durvának és gorombának látszani. Sőt, a jó dolgozó együttműködik minden kollégájával, és ha szükséges segít is neki. Ezt használják ki a behatolók. Ha nem megy ilyen egyszerűen, megpróbálhatja a meggyőzés technikáját, sőt a cél elérése érdekében még hízeleghet is. Hitelesebbé válik, ha osztályok vagy munkatársak nevét is megemlíti. Hivatalos vagy hatósági személynek (pl.: adóellenőrnek) álcázhatja magát. A csalók igazán kreatívak, ugyanakkor az egyik legrégebbi, de mégis leghatékonyabb módszer, amikor karbantartónak adják ki magukat.

Hogy megfelelően felkészülhessünk az ilyen támadások kivédésére, szükséges néhány alapszabályt betartanunk. A számítógépes hálózatok felhasználói jelszóval védettek, de ezek a jelszavak gyakran igen könnyen megfejthetők. Mivel mindannyiunknak sok-sok kódot és jelszót kell a fejünkben tartanuk, a felejtés réme miatt hajlamosak vagyunk könnyen megjegyezhető kódokat használni. Ezzel csak az a baj, hogy ránk jellemzőek és könnyen kitalálhatóak. Vajon Ön még soha nem használta jelszónak/kódnak a saját vagy férje/felesége, ill. gyereke nevét, születési dátumát? Esetleg a kedvenc háziállatának nevét vagy a tavalyi nyaralás helyszínét? Ugyanazt a kódszámot használja a bankkártyájánál, a törzsvásárlói kártyájánál, a benzinkártyájánál, a mobiltelefonjánál vagy az otthoni riasztó-rendszerben? Esetleg megegyezik a magán-használatú elektronikus postafiókjának és a vállalati rendszerben használt programnak a belépő-azonosítója vagy a jelszava? Ha nem, akkor Ön a ritka kivételhez tartozik, de sokat ronthat a helyzetén, ha ezeket a kódokat vagy jelszavakat papírra írva tartja, esetleg egy postit-on a számítógép monitorjára ragasztja.

A téma valószínűleg mindenkit érint - mivel a támadások célja az üzleti adatok és információk köre ill. a privát szféra is lehet.

A manipuláció – a megtévesztés művészete

A támadó, visszaélve az emberek jóindulatával vagy kihasználva az emberek kíváncsiságát, bármilyen üzleti adatot ellophat. Az ipari kémkedéssel foglalkozó csoportok is hasonló módszerekkel dolgoznak. A vállalatok üzleti információit védeni kell, veszélyeztetettségük kockázatot jelent, amit nem szabad figyelmen kívül hagyni. A védendő adatok - a vállalat üzleti terve; a fejlesztési stratégia; a bevezetés előtt álló termékek adatai; ügyfélkapcsolati és értékesítési adatok; pénzügyi adatok; személyi és személyzeti adatok; a vállalati vezetők adatbázisai, ill. elektronikus levelezése; termelési adatbázisok, és a sort még hosszasan folytathatnánk – a vállalat legkülönbözőbb működési területeit érinthetik. Az üzleti információk külső támadások elleni védelmére mára már komplex megoldásokat dolgoztak ki. Minden nagyobb vállalatnál magas szinten kezelik az informatikai fenyegetéseket, a legtöbb helyen használnak: tűzfalakat; vírusirtókat akár naponta frissített vírusmintákkal; anti-spyware (kémszoftver elleni) programokat, dinamikus jelszavakat; és magasabb szintű titkosítást, stb.

Biztonságtudatos szemlélet

Akkor van csak baj, ha az ilyen jellegű technikai megoldások kiépítése után valaki elégedetten hátradől, mert a sérthetetlenség érzése hamis biztonságtudatot kölcsönöz. A komolyabb támadások kivédhetők, ha megfelelő képzéssel sikerül a vállalat dolgozóiban biztonságtudatos szemléletet kialakítani. Nem kell hangsúlyozni, hogy a napi működés során milyen jelentősége van a dolgozók közötti zökkenőmentes együttműködésnek, de emellett szükség van minimális óvatosságra, folyamatos éberségre az ismeretlen személyekkel szemben, valamint általános felkészültségre, biztonsági ismeretekre és felelősségtudatra.

A támadások megelőzése a leghatékonyabb védelmi stratégia

Ez logikusan hangzik, de rendkívül sokan vannak, akik mégsem így gondolják. Miért? Mert ilyen az emberi természet… Pont úgy, ahogy az emberek többsége tisztában van azzal, hogy a biztonsági öv használata komolyabb balesetnél megmentheti az életét, mégsem kapcsolja be elinduláskor, annak ellenére sem, hogy kötelező a használata. Ezért az üzleti információk védelme – bármilyen professzionális informatikai megoldások mellett – sem lehet teljes körű, nagyon sok múlik a dolgozók hozzáállásán.

Melyek a legfontosabb alapszabályok?

Következzen néhány egyszerű alapszabály, amelyek betartása csökkenti a veszélyeztetettség szintjét, és segít kivédeni a kívülről érkező támadásokat.

  • Ismeretlen helyről származó idegen floppy-t vagy CD-lemezt ne tegyünk be gépünkbe, mert behatolást elősegítő programokat tartalmazhatnak, például kifigyelhetik a jelszavunkat is.

  • Ismeretlen helyről származó, gyanús e-mailt, vagy furcsa csatolmányt ne nyissunk meg, mert vírusokkal fertőzhetik meg gépünket. Érdemes tudni róla, hogy a baráti körből érkező vicces tartalmú képek vagy rövidfilmek is tartalmazhatnak ellenséges szoftvereket, amelyek a megnyitás után észrevétlenül települhetnek a számítógépünkre.

  • Vannak olyan manipulált weboldalak, amelyek címében egészen minimális eltérés van az eredetihez képest (pl.: OTP Bank Rt. helyett OTB Bank Rt.), de természetesen csalók készítették azért, hogy a figyelmetlen felhasználókat megkárosítsák.

  • Ha ismeretlen feladótól kapunk e-mailt, hogy nyertünk valamit (pl.: egy TV-t), de a nyeremény átvételének a feltétele, hogy regisztráljunk náluk, akkor biztosak lehetünk az átverésben, ugyanis ez a trükk arra alapoz, hogy az emberek az új regisztráció során a vállalati azonosítójukat és jelszavukat fogják megadni, mert nagyon kevesen tudnak sok jelszót fejben tartani.

  • A jelszavunkat ne írjuk fel papírra, de ha így teszünk, semmiképpen ne tároljuk a számítógép közelében, és ha már megtanultuk, ne dobjuk a papírt a szemeteskukába se.

  • Ha valaki vállalati informatikusnak adja ki magát, és telefonon keresztül kéri az azonosítót vagy a jelszót, nyugodtan gyanút foghatunk. Az informatikusnak a saját rendszergazdai jelszava használata mellett ugyanis nincs szüksége a mi jelszavunkra. Amúgy is nagyon egyszerű megbizonyosodni a hívó fél hitelességéről, elég ha az adott osztályon visszahívjuk a személyt.

  • Ha napközben kimegyünk a szobából, mindig zároljuk a számítógépet, hogy idegenek ne férhessenek hozzá.

  • A „tiszta asztal szabály” szerint pedig, amikor a munka végeztével elindulunk haza, soha ne hagyjunk fontos üzleti anyagokat, pl. dokumentumokat az íróasztalon.

    A számítógép előtt görnyedő, hosszú hajú diákok ideje lejárt. A könnyebb ellenállás irányába elmozdulva manapság a támadók a szoftverek helyett gyakran a felhasználókat célozzák meg. Az Internettel kapcsolatos veszélyforrások száma napról-napra nő, ennek megfelelően a veszélyeztetettség mértéke is folyamatosan emelkedik. A tudatos és tervszerű védekezést az indokolja, hogy egyáltalán nem mindegy, milyen károkat okoz a támadás a vállalatnak. Tökéletes védelem persze nincs, de megfelelő védelmi rendszerrel minimalizálni lehet a kockázatot.

    Kukabúvárok a közelünkben? Néhány példa arra, hogy mit dob ki egy átlagos irodai dolgozó a szemetesbe: hivatalos dokumentumokat, leveleket, beszámolókat, céges telefonkönyvet, teleírt naptárat, üzleti titkokat tartalmazó anyagokat, ügyfelek listáit, dolgozók e-mail címét, belső feljegyzéseket, stb. A támadók először felderítik a terepet, információt gyűjtenek. Régen is, és ma is a támadók gyakran keresik a hasznos információt a szemetesben, illetve az elektronikus kukában. Csak egy példa: nem mindenki tudja, hogy a böngésző program memóriájából sokszor nagy pontossággal rekonstruálható az, hogy a felhasználó mikor milyen weboldalakat keresett fel.

    Az előkészítő munka következő lépése a belső rendszerek felderítése. A támadó felméri a terepet, és begyűjti a vállalt IT-rendszerére vonatkozó legfontosabb adatokat. Ezután csak meg kell vizsgálnia, hogy hol vannak azok a rések a pajzson, amelyekkel feltűnés nélkül próbálkozhat. Számára hasznos a hardver és szoftver információ is, mert nyilván könnyebb sikeresen áthatolni azokon a pontokon, ahol öreg gépeken régi programok futnak.

    A vállalatnál dolgozók félrevezetése profik számára nem okozhat gondot. Sokszor az ügyfelek minőségi kiszolgálására betanított recepciósok és ügyfélkapcsolati munkatársak a legsegítőkészebbek, és minden gyanú nélkül adják ki ismeretlen telefonálónak a szervezetre és a dolgozókra vonatkozó összes információt. A trükkök tárháza végtelen. A rossz szándékú támadó bemutatkozhat egy komoly vevőként, a vállalat banki kapcsolataként, APEH vagy munkaügyi ellenőrként, új dolgozóként, az igazgató rokonaként, vagy pizza-futárként (és még ezerféleképpen).

    A támadók kihasználva a bizalmat könnyen jutnak védett információhoz. De a támadások csak egy része irányul az információ megszerzésére, igen gyakori a szándékos rombolás, károkozás is. Tönkretenni egy vállalatot nem egyszerű, de az összeomló IT-rendszer, az akadozó belső kommunikáció, a használhatatlanná váló elektronikus könyvtárak és adatbázisok rendkívül súlyos károkat okozhatnak.

    A social engineering elleni védelem lénye, hogy megértsük, hogyan használja ki a támadó az emberi természet gyengeségeit. Hogyan manipulál a szeretet illúziójával, hatalmi pozíció hangsúlyozásával, fenyegetéssel vagy hízelgéssel. A megelőzés első lépése a biztonságtudatos szemlélet kialakítása. Természetesen szükség van a tűzfalakra és az egyéb védelmi rendszerekre is, de továbbra is az ember a leggyengébb láncszem. Fontos, hogy a vállaltok felkészüljenek az esetleges támadásokra, és legyen megfelelő információvédelmi rendszerük (pl.: biztonságpolitikájuk is!). Szükség van általános irányelvekre, az adatok és információk osztályozására, ellenőrzési és hitelesítési eljárásokra, stb. Legalább ilyen fontos a vezetők elkötelezettsége, illetve a vállalat információvédelemmel foglalkozó személyeinek és szervezetének támogatása.

    Kik vannak kitéve a legnagyobb veszélynek? A recepciósok, biztonsági őrök, asszisztensek és titkárnők, telefonkezelők, rendszergazdák, valamint a HR osztály, a számvitelei osztály és a kereskedelmi osztály munkatársai.

    És végül néhány jel, ami a támadás gyanúját vetheti fel: a telefonon hívó fél nem adja meg telefonszámát (pl.: műszaki hibára hivatkozik), sürgős ügyintézést kér, hatalmára hivatkozik, túl sokszor bókol vagy hízeleg, esetleg flörtöl…
  • Forrás: ÁRGUS Vagyonvédelmi és biztonságtechnikai szaklap

    Hírlevél

    Ha érdeklik a legfrissebb újdonságok, iratkozzon fel díjmentes hírlevelünkre!

    Cikkek hasonló témában