Social Engineering: Lehet-e programozni a felhasználót?

2020-09-07


A social engineering (magyarul körülbelül: pszichológiai manipuláció) az egyik legalattomosabb kibertámadási forma, amely egy vállalatot érhet. A social engineering ellen ugyanis szinte lehetetlen tűzfallal vagy vírusirtóval védekezni. (Bár a vírus irtók használata egyébként sem ideális, erről egy korábbi cikkünkben írtunk)

Az informatikai rendszer leggyengébb tagját, egyenesen a felhasználót támadja meg. Szerencsére lehet tenni ellene - bár ez komoly odafigyelést és fegyelmet igényel. 

Mi a social engineering?

A social engineering a felhasználók külső manipulációját jelenti. A támadók valamilyen külső eszközzel rávesznek bennünket, hogy az ő szabályaik szerint játsszunk: kártya-adatokat adjunk meg, kiszivárogtassunk néhány fontos információt, esetleg nyitva hagyjunk egy kiskaput valahol. 

A támadás egyik leggyakoribb formája az úgynevezett phishing, vagyis az adathalászat. Ilyenkor a felhasználó például egy levelet kap valamelyik szolgáltató nevében. Ebben azt állítják, kisebb tartozása van, de semmi gond, bankkártyával azonnal kiegyenlítheti! A levélben található link aztán egy olyan felületre visz, ahol meg lehet adni a kártya adatait, ezek után azonban látszólag semmi sem történik, a kártyán sincsen terhelés. A felhasználó megnyugszik, vagy meg is feledkezik az esetről. Pedig már késő: a bankkártya száma, lejárati ideje és biztonsági kódja is mentve lett valahol. 

A social engineering legnagyobb veszélye, hogy nem a számítógépes rendszert, hanem magát a felhasználót manipulálja

Szociális manipulációnak tekinthetők az úgynevezett “unokázós csalások” is. Ezek a bűncselekmények általában idős embereket érintenek. Ismeretlenek hívják őket telefonon, akik az unokájuknak, esetleg annak barátjának adják ki magukat és valamilyen okkal pénzt követelnek. A bűnözők általában arra hivatkoznak: az unoka balesetet szenvedett vagy külföldön ragadt. Az idős emberek pedig a rémülettől nem mérlegelnek: fizetni próbálnak a csalóknak.

Miért annyira hatásos a social engineering?

Ez a típusú manipuláció mindig valamilyen emberi gyengeségre épít. Van, ahol a felhasználó szégyenérzetével operálnak. A neten például terjed egy lánclevél, amelyben az állítólagos hacker azt állítja, behatolt a felhasználó mobiltelefonjába, és mindent rögzített - például intim tartalmú felvételeket, üzeneteket. A hacker azt mondja, megfelelő összeg fejében nem teszi közzé a felvételt - s nyilván sok céges mobil tulajdonos van, aki úgy érzi, nem kockáztat, inkább kicsengeti a “váltságdíjat”

Más átverések az egóra hatnak. Létezik például olyan levélsorozat, amelyik céges előléptetést ígér, amelyre egy e-mail tréning készíti fel a feliratkozót. A gyanútlan dolgozót aztán egy helyesírás-ellenőrző telepítésére kérik - csakhogy a program továbbítja a képernyőn olvasható adatokat egy harmadik fél felé. 

Ezek a módszerek azért tudnak hatékonyak lenni, mert:

  • Valamilyen belső vágyra, félelemre, zavarra építenek, ezért erőteljes pszichés nyomás alatt tartják az áldozatot.

  • A felhasználók ritkán kérnek segítséget, sőt, sokszor titkolják, hogy átverés áldozatai lettek. 

  • Nehéz észrevenni a jeleket: nincs például megnövekedett adatforgalom, nem látszanak letöltött fájlok, gyanús oldalak a böngészési előzményekben. 


Miért veszélyes a social engineering az üzleti életben?

A social engineering a magánéletüket, vagyonukat, büszkeségüket féltő, sokszor felkészületlen felhasználók esetében nagyon hatékony. Az üzleti életben azonban egyenesen halálos fegyver. 

A legveszélyesebb social engineering támadások nagyon célzottak, alattomosak és bonyolultak is lehetnek. Magát az akciót kivitelezni viszont viszonylag egyszerű, sokszor az is előfordulhat, hogy különlegesebb informatikai háttérismeretek sem kellenek a komoly károkozáshoz.

A támadás sokszor nem vírus, hanem egy ízlésesen öltözött idegen képében érkezik.

Íme egy példa a célzott támadásra:

Egy konkurens cég (A Kft.) azt szeretné megtudni, hogy milyen pályázati anyaggal készül a versenytárs (B Zrt.) egy fontos tenderre. Az A Kft. megtehetné, hogy feltöreti a B Zrt. informatikai rendszerét, ez azonban valószínűleg szinte azonnal kiderülne. Így azután a vállalat egy trükkösebb módszerhez folyamodik. 

Az egyik megbízottjuk a LinkedIn oldalon felveszi a kapcsolatot a cég egyik gyakornokával, és egy látszólag sikeres üzletember nevében felajánlja, hogy segíti, mentorálja őt. Ha konkrét adatokat nem is, de sok információt meg lehet tudni a projektről, például azt, kik dolgoznak a feladaton. 

Ezek után elég csak lenyomozni a munkatársak nyilvános Facebook oldalát. Némi keresgélés árán könnyű privát e-mail címekhez, telefonszámokhoz is hozzájutni. Innen csak egy lépés, hogy valaki e-mailt kapjon az egyik nyaraló kolléga nevében, hogy az adatokat sürgősen töltse fel például egy megosztott drive mappába, mert a nyaralás alatt azonnal javítást kell eszközölni rajtuk. Mivel a mappában már található néhány (a gyakornoktól megszerzett), valódinak tűnő dokumentum, sokan nem fognak mérlegelni: akár a teljes tenderanyagot megosztják az álkollégával. 

A történet azért problémás, mert elképzelhető, hogy ki sem derül, hogy szivárogtatás történt, a csapat talán csak azzal szembesül, az A Kft jobb ajánlatot adott náluk. A privát és céges levelezések és a különböző magán és vállalati platformok keveredése miatt nagyon nehéz lenyomozni, pontosan ki, mikor és mit továbbított - pláne úgy, hogy a kollégák sokszor egymás elől is titkolni igyekeznek, pontosan mi is a szerepük az események során. 

Hogyan lehet védekezni a social engineering ellen?

A nagyvállalatok gyakran különböző technikai megoldásokat alkalmaznak a veszélyek csökkentésére, például megtiltják a fájlok külső meghajtóra másolását, vagy korlátozzák a belépést a privát e-mail kiszolgálókhoz és a közösségi oldalakra a munkahelyi gépeken, esetleg úgy állítják be a rendszert, hogy jelezzék a felhasználók gyanús tevékenységét a vezetőség felé - így kiderülhet, ha valaki munkaidőben megnyitotta például a Google Drive-ot, annak ellenére, hogy a fájltovábbítás egy más rendszeren keresztül történik. 

Ezek a korlátozások azonban sok esetben nem életszerűek, hiszen sokszor megtörténhet, hogy az ügyfélkommunikáció vagy a beszállítókkal való együttműködés miatt muszáj más rendszerek megoldásait is elfogadni, esetleg marketing céllal munkaidőben is használni a közösségi oldalakat. 

Sokat segít, ha bizonyos, egyszerűbb csalások nem jutnak el a dolgozókhoz. A megfelelő spam szűrő, illetve az egyértelműen gyanús weboldalak, tanúsítvánnyal nem rendelkező lapok szűrése rengeteg kellemetlenségtől kímél meg. A fájlmásolás tiltása és a különböző figyelmeztetések egy-egy gyanúsabb művelet esetén szintén segítenek tudatosítani, hogy egy-egy meggondolatlan mozdulat komoly bajhoz vezethet. Igazán jó eredményt viszont azzal lehet elérni, ha ott védekezünk, ahol a szociális csalók támadnak. Az ilyen jellegű csalások ellen tulajdonképpen a felhasználókat programozzuk. 

Amikor IT policy-t dolgozunk ki, fontos időt szánni arra, hogy tájékoztassuk a munkatársainkat a szabályokról. A szokásos “válassz erős jelszót” és “ne látogass gyanús oldalt” típusú felvilágosítás helyett jó ötlet általánosságban is beszélni az adatok védelméről. Ide tartozik például:

  • Mit érdemes és mit tilos megosztani a közösségi oldalakon? Sokszor már az is gondot okozhat, ha kiderül, valaki éppen szabadságon van...

  • Kivel és mit szabad megbeszélni a cégen belül és kívül? Adjunk lehetőséget a ventillációra és a feszültség kezelésére! Így kisebb a kísértés arra, hogy a munkatársak illetéktelenekkel osszanak meg adatokat.

  • Beszélgessünk a szükségletekről és kérjünk visszajelzést az eszközökről! A munka hevében sokan szegik meg a szabályokat. Ha például a céges levelezés nem engedi nagyobb fájlok továbbítását, rengetegen döntenek úgy, a privát fiókjukból továbbítanak valamit, hiszen ez gyorsabb, egyszerűbb. Szűrjük ezeket a kerülő utakat. 

  • Fejlesszük a cégen belüli kommunikációt! Minél inkább a csapat részének érzi magát valaki, annál hűségesebb marad. Ha olyan környezetet teremtünk, ahol mindenki szót mer emelni akkor, ha valami rendelleneset tapasztal, kisebb eséllyel szigetelődik el, válik áldozattá valaki. 


Ha a felhasználó elszigetelődik, könnyen válik áldozattá

A rendszeres ellenőrzés is fontos. Szakmai tapasztalatunknak hála hatékonyan tudunk segíteni annak felmérésében, mennyire működik jól a kialakított rendszer egy-egy csapatban. Keresni és szűrni tudjuk a gyanús tevékenységeket, mindezt anélkül, hogy a munkatársak állandó kontroll és megfigyelés alatt éreznék magukat.

Nem csak a technikai megoldások terén törekszünk a biztonságra. A rendszert csak a felhasználókkal együttműködve lehet megfelelően működtetni. Mindent megteszünk azért, hogy átlátható, kényelmes, fenntartható, mégis barátságos környezetet tudjunk kialakítani. Fordulj hozzánk bizalommal, ha úgy érzed, segíthetünk a fentiekben!