Social engineering III.
forrás: ÁRGUS Vagyonvédelmi és biztonságtechnikai szaklap
- Közérdekű
- /
- 2005-06-01
Szerző: Németh Árpád Dávid
Kukabúvárok a közelünkben
Miért veszélyes az emberek bizalmának manipulatív kihasználása? Mert könnyen és gyorsan lehet hozzájutni a vállalat féltve őrzött titkaihoz! Minek bajlódjon a támadó a tűzfallal, ha a jelszót az igazgató titkárnője telefonon is kiadja… A számítógép előtt görnyedő, hosszú hajú diákok ideje lejárt. A könnyebb ellenállás irányába elmozdulva manapság a támadók a szoftverek helyett gyakran a felhasználókat célozzák meg. Az Internettel kapcsolatos veszélyforrások száma napról-napra nő, ennek megfelelően a veszélyeztetettség mértéke is folyamatosan emelkedik. A tudatos és tervszerű védekezést az indokolja, hogy egyáltalán nem mindegy, milyen károkat okoz a támadás a vállalatnak. Tökéletes védelem persze nincs, de megfelelő védelmi rendszerrel minimalizálni lehet a kockázatot.
Kukabúvárok a közelünkben? Néhány példa arra, hogy mit dob ki egy átlagos irodai dolgozó a szemetesbe: hivatalos dokumentumokat, leveleket, beszámolókat, céges telefonkönyvet, teleírt naptárat, üzleti titkokat tartalmazó anyagokat, ügyfelek listáit, dolgozók e-mail címét, belső feljegyzéseket, stb. A támadók először felderítik a terepet, információt gyűjtenek. Régen is, és ma is a támadók gyakran keresik a hasznos információt a szemetesben, illetve az elektronikus kukában. Csak egy példa: nem mindenki tudja, hogy a böngésző program memóriájából sokszor nagy pontossággal rekonstruálható az, hogy a felhasználó mikor milyen weboldalakat keresett fel.
Az előkészítő munka következő lépése a belső rendszerek felderítése. A támadó felméri a terepet, és begyűjti a vállalt IT-rendszerére vonatkozó legfontosabb adatokat. Ezután csak meg kell vizsgálnia, hogy hol vannak azok a rések a pajzson, amelyekkel feltűnés nélkül próbálkozhat. Számára hasznos a hardver és szoftver információ is, mert nyilván könnyebb sikeresen áthatolni azokon a pontokon, ahol öreg gépeken régi programok futnak.
A vállalatnál dolgozók félrevezetése profik számára nem okozhat gondot. Sokszor az ügyfelek minőségi kiszolgálására betanított recepciósok és ügyfélkapcsolati munkatársak a legsegítőkészebbek, és minden gyanú nélkül adják ki ismeretlen telefonálónak a szervezetre és a dolgozókra vonatkozó összes információt. A trükkök tárháza végtelen. A rossz szándékú támadó bemutatkozhat egy komoly vevőként, a vállalat banki kapcsolataként, APEH vagy munkaügyi ellenőrként, új dolgozóként, az igazgató rokonaként, vagy pizza-futárként (és még ezerféleképpen).
A támadók kihasználva a bizalmat könnyen jutnak védett információhoz. De a támadások csak egy része irányul az információ megszerzésére, igen gyakori a szándékos rombolás, károkozás is. Tönkretenni egy vállalatot nem egyszerű, de az összeomló IT-rendszer, az akadozó belső kommunikáció, a használhatatlanná váló elektronikus könyvtárak és adatbázisok rendkívül súlyos károkat okozhatnak.
A social engineering elleni védelem lénye, hogy megértsük, hogyan használja ki a támadó az emberi természet gyengeségeit. Hogyan manipulál a szeretet illúziójával, hatalmi pozíció hangsúlyozásával, fenyegetéssel vagy hízelgéssel. A megelőzés első lépése a biztonságtudatos szemlélet kialakítása. Természetesen szükség van a tűzfalakra és az egyéb védelmi rendszerekre is, de továbbra is az ember a leggyengébb láncszem. Fontos, hogy a vállaltok felkészüljenek az esetleges támadásokra, és legyen megfelelő információvédelmi rendszerük (pl.: biztonságpolitikájuk is!). Szükség van általános irányelvekre, az adatok és információk osztályozására, ellenőrzési és hitelesítési eljárásokra, stb. Legalább ilyen fontos a vezetők elkötelezettsége, illetve a vállalat információvédelemmel foglalkozó személyeinek és szervezetének támogatása.
Kik vannak kitéve a legnagyobb veszélynek? A recepciósok, biztonsági őrök, asszisztensek és titkárnők, telefonkezelők, rendszergazdák, valamint a HR osztály, a számvitelei osztály és a kereskedelmi osztály munkatársai.
És végül néhány jel, ami a támadás gyanúját vetheti fel: a telefonon hívó fél nem adja meg telefonszámát (pl.: műszaki hibára hivatkozik), sürgős ügyintézést kér, hatalmára hivatkozik, túl sokszor bókol vagy hízeleg, esetleg flörtöl…
Németh Árpád Dávid,
biztonsági szakértő
NÉMETH ÁRPÁD DÁVID
Pszichológusként szerzett diplomát az Eötvös Loránd Tudományegyetemen, jelenleg a Mûszaki és Gazdaságtudományi Egyetem végzõs MBA hallgatója. 2000–2002-ig az Õrmester Kft. kereskedelmi és marketing-, késõbb ügyvezetõ igazgatója. 2003-tól a Szikra Lapnyomda Rt. és az Athenaeum Nyomda Rt. biztonsági igazgatója, illetve a SecuriFocus Kft. ügyvezetõje. A Magyarországi Biztonsági Vezetõk Egyesületének szakmai tagja.
Kukabúvárok a közelünkben
Miért veszélyes az emberek bizalmának manipulatív kihasználása? Mert könnyen és gyorsan lehet hozzájutni a vállalat féltve őrzött titkaihoz! Minek bajlódjon a támadó a tűzfallal, ha a jelszót az igazgató titkárnője telefonon is kiadja… A számítógép előtt görnyedő, hosszú hajú diákok ideje lejárt. A könnyebb ellenállás irányába elmozdulva manapság a támadók a szoftverek helyett gyakran a felhasználókat célozzák meg. Az Internettel kapcsolatos veszélyforrások száma napról-napra nő, ennek megfelelően a veszélyeztetettség mértéke is folyamatosan emelkedik. A tudatos és tervszerű védekezést az indokolja, hogy egyáltalán nem mindegy, milyen károkat okoz a támadás a vállalatnak. Tökéletes védelem persze nincs, de megfelelő védelmi rendszerrel minimalizálni lehet a kockázatot.
Kukabúvárok a közelünkben? Néhány példa arra, hogy mit dob ki egy átlagos irodai dolgozó a szemetesbe: hivatalos dokumentumokat, leveleket, beszámolókat, céges telefonkönyvet, teleírt naptárat, üzleti titkokat tartalmazó anyagokat, ügyfelek listáit, dolgozók e-mail címét, belső feljegyzéseket, stb. A támadók először felderítik a terepet, információt gyűjtenek. Régen is, és ma is a támadók gyakran keresik a hasznos információt a szemetesben, illetve az elektronikus kukában. Csak egy példa: nem mindenki tudja, hogy a böngésző program memóriájából sokszor nagy pontossággal rekonstruálható az, hogy a felhasználó mikor milyen weboldalakat keresett fel.
Az előkészítő munka következő lépése a belső rendszerek felderítése. A támadó felméri a terepet, és begyűjti a vállalt IT-rendszerére vonatkozó legfontosabb adatokat. Ezután csak meg kell vizsgálnia, hogy hol vannak azok a rések a pajzson, amelyekkel feltűnés nélkül próbálkozhat. Számára hasznos a hardver és szoftver információ is, mert nyilván könnyebb sikeresen áthatolni azokon a pontokon, ahol öreg gépeken régi programok futnak.
A vállalatnál dolgozók félrevezetése profik számára nem okozhat gondot. Sokszor az ügyfelek minőségi kiszolgálására betanított recepciósok és ügyfélkapcsolati munkatársak a legsegítőkészebbek, és minden gyanú nélkül adják ki ismeretlen telefonálónak a szervezetre és a dolgozókra vonatkozó összes információt. A trükkök tárháza végtelen. A rossz szándékú támadó bemutatkozhat egy komoly vevőként, a vállalat banki kapcsolataként, APEH vagy munkaügyi ellenőrként, új dolgozóként, az igazgató rokonaként, vagy pizza-futárként (és még ezerféleképpen).
A támadók kihasználva a bizalmat könnyen jutnak védett információhoz. De a támadások csak egy része irányul az információ megszerzésére, igen gyakori a szándékos rombolás, károkozás is. Tönkretenni egy vállalatot nem egyszerű, de az összeomló IT-rendszer, az akadozó belső kommunikáció, a használhatatlanná váló elektronikus könyvtárak és adatbázisok rendkívül súlyos károkat okozhatnak.
A social engineering elleni védelem lénye, hogy megértsük, hogyan használja ki a támadó az emberi természet gyengeségeit. Hogyan manipulál a szeretet illúziójával, hatalmi pozíció hangsúlyozásával, fenyegetéssel vagy hízelgéssel. A megelőzés első lépése a biztonságtudatos szemlélet kialakítása. Természetesen szükség van a tűzfalakra és az egyéb védelmi rendszerekre is, de továbbra is az ember a leggyengébb láncszem. Fontos, hogy a vállaltok felkészüljenek az esetleges támadásokra, és legyen megfelelő információvédelmi rendszerük (pl.: biztonságpolitikájuk is!). Szükség van általános irányelvekre, az adatok és információk osztályozására, ellenőrzési és hitelesítési eljárásokra, stb. Legalább ilyen fontos a vezetők elkötelezettsége, illetve a vállalat információvédelemmel foglalkozó személyeinek és szervezetének támogatása.
Kik vannak kitéve a legnagyobb veszélynek? A recepciósok, biztonsági őrök, asszisztensek és titkárnők, telefonkezelők, rendszergazdák, valamint a HR osztály, a számvitelei osztály és a kereskedelmi osztály munkatársai.
És végül néhány jel, ami a támadás gyanúját vetheti fel: a telefonon hívó fél nem adja meg telefonszámát (pl.: műszaki hibára hivatkozik), sürgős ügyintézést kér, hatalmára hivatkozik, túl sokszor bókol vagy hízeleg, esetleg flörtöl…
Németh Árpád Dávid,
biztonsági szakértő
NÉMETH ÁRPÁD DÁVID
Pszichológusként szerzett diplomát az Eötvös Loránd Tudományegyetemen, jelenleg a Mûszaki és Gazdaságtudományi Egyetem végzõs MBA hallgatója. 2000–2002-ig az Õrmester Kft. kereskedelmi és marketing-, késõbb ügyvezetõ igazgatója. 2003-tól a Szikra Lapnyomda Rt. és az Athenaeum Nyomda Rt. biztonsági igazgatója, illetve a SecuriFocus Kft. ügyvezetõje. A Magyarországi Biztonsági Vezetõk Egyesületének szakmai tagja.
