A social engineering (magyarul körülbelül: pszichológiai manipuláció) az egyik legalattomosabb kibertámadási forma, amely egy vállalatot érhet. A social engineering ellen ugyanis szinte lehetetlen tűzfallal vagy vírusirtóval védekezni. (Bár a vírus irtók használata egyébként sem ideális, erről egy korábbi cikkünkben írtunk)
Az informatikai rendszer leggyengébb tagját, egyenesen a felhasználót támadja meg. Szerencsére lehet tenni ellene - bár ez komoly odafigyelést és fegyelmet igényel.
Mi a social engineering?
A social engineering a felhasználók külső manipulációját jelenti. A támadók valamilyen külső eszközzel rávesznek bennünket, hogy az ő szabályaik szerint játsszunk: kártya-adatokat adjunk meg, kiszivárogtassunk néhány fontos információt, esetleg nyitva hagyjunk egy kiskaput valahol.
A támadás egyik leggyakoribb formája az úgynevezett phishing, vagyis az adathalászat. Ilyenkor a felhasználó például egy levelet kap valamelyik szolgáltató nevében. Ebben azt állítják, kisebb tartozása van, de semmi gond, bankkártyával azonnal kiegyenlítheti! A levélben található link aztán egy olyan felületre visz, ahol meg lehet adni a kártya adatait, ezek után azonban látszólag semmi sem történik, a kártyán sincsen terhelés. A felhasználó megnyugszik, vagy meg is feledkezik az esetről. Pedig már késő: a bankkártya száma, lejárati ideje és biztonsági kódja is mentve lett valahol.
Szociális manipulációnak tekinthetők az úgynevezett “unokázós csalások” is. Ezek a bűncselekmények általában idős embereket érintenek. Ismeretlenek hívják őket telefonon, akik az unokájuknak, esetleg annak barátjának adják ki magukat és valamilyen okkal pénzt követelnek. A bűnözők általában arra hivatkoznak: az unoka balesetet szenvedett vagy külföldön ragadt. Az idős emberek pedig a rémülettől nem mérlegelnek: fizetni próbálnak a csalóknak.
Miért annyira hatásos a social engineering?
Ez a típusú manipuláció mindig valamilyen emberi gyengeségre épít. Van, ahol a felhasználó szégyenérzetével operálnak. A neten például terjed egy lánclevél, amelyben az állítólagos hacker azt állítja, behatolt a felhasználó mobiltelefonjába, és mindent rögzített - például intim tartalmú felvételeket, üzeneteket. A hacker azt mondja, megfelelő összeg fejében nem teszi közzé a felvételt - s nyilván sok céges mobil tulajdonos van, aki úgy érzi, nem kockáztat, inkább kicsengeti a “váltságdíjat”
Más átverések az egóra hatnak. Létezik például olyan levélsorozat, amelyik céges előléptetést ígér, amelyre egy e-mail tréning készíti fel a feliratkozót. A gyanútlan dolgozót aztán egy helyesírás-ellenőrző telepítésére kérik - csakhogy a program továbbítja a képernyőn olvasható adatokat egy harmadik fél felé.
Ezek a módszerek azért tudnak hatékonyak lenni, mert:
- Valamilyen belső vágyra, félelemre, zavarra építenek, ezért erőteljes pszichés nyomás alatt tartják az áldozatot.
- A felhasználók ritkán kérnek segítséget, sőt, sokszor titkolják, hogy átverés áldozatai lettek.
- Nehéz észrevenni a jeleket: nincs például megnövekedett adatforgalom, nem látszanak letöltött fájlok, gyanús oldalak a böngészési előzményekben.
Miért veszélyes a social engineering az üzleti életben?
A social engineering a magánéletüket, vagyonukat, büszkeségüket féltő, sokszor felkészületlen felhasználók esetében nagyon hatékony. Az üzleti életben azonban egyenesen halálos fegyver.
A legveszélyesebb social engineering támadások nagyon célzottak, alattomosak és bonyolultak is lehetnek. Magát az akciót kivitelezni viszont viszonylag egyszerű, sokszor az is előfordulhat, hogy különlegesebb informatikai háttérismeretek sem kellenek a komoly károkozáshoz.
Íme egy példa a célzott támadásra:
Egy konkurens cég (A Kft.) azt szeretné megtudni, hogy milyen pályázati anyaggal készül a versenytárs (B Zrt.) egy fontos tenderre. Az A Kft. megtehetné, hogy feltöreti a B Zrt. informatikai rendszerét, ez azonban valószínűleg szinte azonnal kiderülne. Így azután a vállalat egy trükkösebb módszerhez folyamodik.
Az egyik megbízottjuk a LinkedIn oldalon felveszi a kapcsolatot a cég egyik gyakornokával, és egy látszólag sikeres üzletember nevében felajánlja, hogy segíti, mentorálja őt. Ha konkrét adatokat nem is, de sok információt meg lehet tudni a projektről, például azt, kik dolgoznak a feladaton.
Ezek után elég csak lenyomozni a munkatársak nyilvános Facebook oldalát. Némi keresgélés árán könnyű privát e-mail címekhez, telefonszámokhoz is hozzájutni. Innen csak egy lépés, hogy valaki e-mailt kapjon az egyik nyaraló kolléga nevében, hogy az adatokat sürgősen töltse fel például egy megosztott drive mappába, mert a nyaralás alatt azonnal javítást kell eszközölni rajtuk. Mivel a mappában már található néhány (a gyakornoktól megszerzett), valódinak tűnő dokumentum, sokan nem fognak mérlegelni: akár a teljes tenderanyagot megosztják az álkollégával.
A történet azért problémás, mert elképzelhető, hogy ki sem derül, hogy szivárogtatás történt, a csapat talán csak azzal szembesül, az A Kft jobb ajánlatot adott náluk. A privát és céges levelezések és a különböző magán és vállalati platformok keveredése miatt nagyon nehéz lenyomozni, pontosan ki, mikor és mit továbbított - pláne úgy, hogy a kollégák sokszor egymás elől is titkolni igyekeznek, pontosan mi is a szerepük az események során.
Hogyan lehet védekezni a social engineering ellen?
A nagyvállalatok gyakran különböző technikai megoldásokat alkalmaznak a veszélyek csökkentésére, például megtiltják a fájlok külső meghajtóra másolását, vagy korlátozzák a belépést a privát e-mail kiszolgálókhoz és a közösségi oldalakra a munkahelyi gépeken, esetleg úgy állítják be a rendszert, hogy jelezzék a felhasználók gyanús tevékenységét a vezetőség felé - így kiderülhet, ha valaki munkaidőben megnyitotta például a Google Drive-ot, annak ellenére, hogy a fájltovábbítás egy más rendszeren keresztül történik.
Ezek a korlátozások azonban sok esetben nem életszerűek, hiszen sokszor megtörténhet, hogy az ügyfélkommunikáció vagy a beszállítókkal való együttműködés miatt muszáj más rendszerek megoldásait is elfogadni, esetleg marketing céllal munkaidőben is használni a közösségi oldalakat.
Sokat segít, ha bizonyos, egyszerűbb csalások nem jutnak el a dolgozókhoz. A megfelelő spam szűrő, illetve az egyértelműen gyanús weboldalak, tanúsítvánnyal nem rendelkező lapok szűrése rengeteg kellemetlenségtől kímél meg. A fájlmásolás tiltása és a különböző figyelmeztetések egy-egy gyanúsabb művelet esetén szintén segítenek tudatosítani, hogy egy-egy meggondolatlan mozdulat komoly bajhoz vezethet. Igazán jó eredményt viszont azzal lehet elérni, ha ott védekezünk, ahol a szociális csalók támadnak. Az ilyen jellegű csalások ellen tulajdonképpen a felhasználókat programozzuk.
Amikor IT policy-t dolgozunk ki, fontos időt szánni arra, hogy tájékoztassuk a munkatársainkat a szabályokról. A szokásos “válassz erős jelszót” és “ne látogass gyanús oldalt” típusú felvilágosítás helyett jó ötlet általánosságban is beszélni az adatok védelméről. Ide tartozik például:
- Mit érdemes és mit tilos megosztani a közösségi oldalakon? Sokszor már az is gondot okozhat, ha kiderül, valaki éppen szabadságon van...
- Kivel és mit szabad megbeszélni a cégen belül és kívül? Adjunk lehetőséget a ventillációra és a feszültség kezelésére! Így kisebb a kísértés arra, hogy a munkatársak illetéktelenekkel osszanak meg adatokat.
- Beszélgessünk a szükségletekről és kérjünk visszajelzést az eszközökről! A munka hevében sokan szegik meg a szabályokat. Ha például a céges levelezés nem engedi nagyobb fájlok továbbítását, rengetegen döntenek úgy, a privát fiókjukból továbbítanak valamit, hiszen ez gyorsabb, egyszerűbb. Szűrjük ezeket a kerülő utakat.
- Fejlesszük a cégen belüli kommunikációt! Minél inkább a csapat részének érzi magát valaki, annál hűségesebb marad. Ha olyan környezetet teremtünk, ahol mindenki szót mer emelni akkor, ha valami rendelleneset tapasztal, kisebb eséllyel szigetelődik el, válik áldozattá valaki.
A rendszeres ellenőrzés is fontos. Szakmai tapasztalatunknak hála hatékonyan tudunk segíteni annak felmérésében, mennyire működik jól a kialakított rendszer egy-egy csapatban. Keresni és szűrni tudjuk a gyanús tevékenységeket, mindezt anélkül, hogy a munkatársak állandó kontroll és megfigyelés alatt éreznék magukat.
Nem csak a technikai megoldások terén törekszünk a biztonságra. A rendszert csak a felhasználókkal együttműködve lehet megfelelően működtetni. Mindent megteszünk azért, hogy átlátható, kényelmes, fenntartható, mégis barátságos környezetet tudjunk kialakítani. Fordulj hozzánk bizalommal, ha úgy érzed, segíthetünk a fentiekben!