Az emberi tényező ára – Social Engineering
2016 van, minden cégnek szembe kell néznie az IT biztonság kihívásaival. Cégvezetőként a rengeteg biztonságtechnikai eszköz és szoftver beszerzésével és használatával jogosan érezhetjük azt, hogy cégünk fel van készülve a támadások elhárítására.
De biztosak lehetünk ebben? Minden biztonsági rendszer csak annyira erős, mint a leggyengébb láncszem. A legdrágább és legjobban beállított vírusvédelmi és tűzfal rendszerek is könnyen hatástalanok lehetnek, ha figyelmen kívül hagyjuk az egyik kulcsszereplőt:
A munkatársat.
Az IBM 2014-es biztonsági felmérése szerint az adatbiztonsággal kapcsolatos esetek 95 százalékában merül fel emberi mulasztás. Hiába költ egy cég rengeteg pénzt IT biztonsági eszközökre, ha a dolgozói nem tudják, hogyan védekezhetnek az egyik legtrükkösebb támadás, a Social Engineering ellen.
A Social Engineering kifejezésnek nincsen jó magyar megfelelője, de a jelenség talán úgy írható le a legjobban, hogy különböző pszichológiai trükkökkel, megtévesztéssel jutnak hozzá támadók olyan bizalmas adatokhoz, amikhez nincsen jogosultságuk.
Az ilyen támadási forma nem újkeletű, gyakorlatilag egy modern szélhámosról beszélünk, aki napjaink technológiai eszközeit veszi igénybe ahhoz, hogy manipuláljon és átverjen másokat annak érdekében, hogy jelszavakhoz és érzékeny céges adatokhoz jusson.
Nem várható el minden egyes munkatárstól, hogy szakterülete mellett még IT szakértő is legyen, és ez az, amit az ilyen támadások során kihasználnak.
Az ilyen csalók az olyan emberi érzelmeket, mint a jóindulatot, naivságot és kíváncsiságot használják ki, hogy kijátszhassák a legmodernebb biztonsági rendszereket is.
A 2015-ös Black Hat konferencián végzett kutatás szerint az IT szakértők 46 százaléka aggódik az adathalászat és a Social Engineering miatt. Ez kétszerese az adatszivárgás és az ipari kémkedéstől való félelemnek.
A válaszadók 33 százaléka szerint a céges informatikai rendszer védelmének leggyengébb láncszeme a végfelhasználó, aki nem tartja be a biztonsági intézkedéseket, és könnyedén átverhető az ilyen szélhámosok által.
A social engineering támadásokat két főbb csoportra bonthatjuk módszerük szerint
Real Life Social Engineering
Az ilyen csalók gyakran vetik be tudásukat szemtől szemben, személyesen is.
Hamis személyazonosság
Ez a leggyakrabban használt módszer. A hacker dolgozónak adja ki magát, és így próbál meg fizikailag is hozzáférni a rendszerhez. Gondolj bele, te ismersz minden munkatársat, aki az irodaépületben dolgozik?
Nagyobb, multinacionális cégek esetén elterjedt módszer az is, hogy a szélhámos egyszerűen felsővezetőnek álcázza magát, és a tekintély, illetve megfélemlítés segítségével elhiteti a munkatárssal, hogy ő hozzáférhet bizalmas céges adatokhoz.
Gyanútlan ügyfélszolgálatosok
A szélhámos felhívhatja az ügyfélszolgálatot vagy az IT helpdesket, hogy segítséget kérjen. Ha már rendelkezik máshonnan személyes adatokkal (Mondjuk egy nyilvános Wi-Fi hálózat lehallgatásával sikeresen begyűjtött adatokat az egyik dolgozóról.), könnyen kiadhatja magát olyannak, akinek van hozzáférése a céges ügyekhez, átverve a gyanútlan ügyfélszolgálati dolgozókat.
Sőt, a közösségi oldalak népszerűsége együtt jár azzal, hogy nagyon egyszerű az emberek többségéről személyes adatokat szerezni még egy laikus számára is. A legtöbb ügyfélszolgálat általában olyan adatokat használ azonosításhoz, mint a név, születési dátum, lakcím, vagy esetleg a bankkártya utolsó 4 számjegye.
Ezek közül egyiket sem túl bonyolult megszerezni a Facebook, LinkedIn, vagy adathalász eszközök segítségével.
Virtuális Social Engineering
Az ilyen bűncselekmények természetesen történhetnek virtuálisan is. A hackerek sokszor használják a legmodernebb technológiát ahhoz, hogy megtévesszék az áldozatokat.
Csali eszközök
A különféle csali eszközök használata nem olyan új dolog.
Könnyen be lehet juttatni kémprogramokat egy céges hálózatba például egy ajándék pendrive segítségével.
Egy ilyen pendrive érkezhet promóciós ajándékként is, sőt, vannak példák hogy diplomáciai ajándékcsomagokban is voltak fertőzött USB eszközök.
Előfordulhat olyan is, hogy a számítógép javítása során egy magát szakembernek kiadó hacker a már kémprogrammal ellátott hálózati kártyával „megjavítva” adja vissza a számítógépet.
A legújabb módszerek egyike az okostelefonok felhasználása a támadások végrehajtásához. Tudunk nem is egy olyan magyar cégről, ahol egy egyszerű USB-s telefontöltéssel fertőződtek meg a hálózaton lévő gépek. Ez különösen kínos lehet, ha a mostanában egyre nagyobb teret hódító „váltságdíjas” ransomware támadás előkészítéseképp történik. A ransomware vírusokról a jövő heti cikkünkben bővebben is beszámolunk.
E-mail csatolmányok
Fertőzött fájlokat persze nem csak USB-s, vagy más fizikai eszközök segítségével lehet bejuttatni a céges hálózatba. A legkézenfekvőbb megoldás a hackerek számára, ha e-mail mellékletként küldenek vírusos állományokat. Az ismeretlen feladótól származó levelek esetén semmiképp se nyissuk meg a mellékelt fájlokat!
Adathalászat
Adathalászat során a fő cél a személyes, érzékeny információk megszerzése. A felhasználónevek, bankkártyaszámok, jelszavak megszerzése legtöbbször úgy történik, hogy a hacker egy megbízható személy vagy vállalat nevében küld üzenetet, esetleg kér adategyeztetést.
Az adathalász levelek tartalmazhatnak hamis, vagy fertőzött weboldalakra mutató linkeket is. Az átverés persze csak akkor lehet sikeres, ha sikerül elhitetni a felhasználóval, hogy egy hivatalos levelet olvas.
Egy egyszerű PHP levélküldővel minden további nélkül küldhetünk olyan e-mailt, amiben minden feladói adatot mi adunk meg. Így fordulhat elő az, hogy például a bankunk hivatalos emailcímét látjuk a feladó mezőben, és az egész levél kinézete, megfogalmazása is hivatalosnak tűnik, holott csak egy adathalász levélről van szó. Egy átlagos felhasználó számára ez már elég meggyőző lehet ahhoz, hogy válaszoljon, vagy rákattintson az üzenetben küldött fájlra vagy linkre.
Bankok, cégek, hivatalok soha nem kérnek jelszavakat, vagy felhasználói nevet e-mailben. Ha ilyen levéllel találkozol, akkor át akarnak verni.
Weboldalak
Az e-mailekhez hasonlóan a hamis weblapok készítése sem ismeretlen az ilyen jellegű támadások során.
A weblapok esetén ellenőrizzük a tanúsítványokat! Nem szabad mindent elhinni, amit látunk, hiszen még mindig találkozhatunk a mára már klasszikus „Ön a 100.000-ik látogató, kattintson ide az ingyenes iPad-ért!” stílusú felugró ablakokkal. Márpedig ha nem működnének még ma is az ilyen jellegű átverések, akkor nem is látnánk őket.
Ki lehet a célpont?
Leggyakrabban csak a nagy, nemzetközi vállalatokat érintő esetekről hallunk:
A Sony hack, az Apple iCloud celeb-fotó ügye, vagy az eBay 145 millió felhasználóját érintő adatlopás az, ami könnyen eladható címlapsztoriként.
Éppen ezért sokan úgy gondolják, hogy csak az ilyen nagyvállalatok vannak veszélyben. Ez pedig nem igaz.
Pár héttel ezelőtt egy hacker social engineering eszközök segítségével hozzáfért egy amerikai igazságügyminisztériumi dolgozó e-mail fiókjához. Ennek segítségével pedig mintegy 9.000 nemzetbiztonsági dolgozóhoz, és 20.000 FBI-oshoz tartozó személyes adatot rakott ki a netre. Nevekről, címekről, telefonszámokról, emailcímekről van szó.
Még belegondolni is rossz, hogy mennyi rosszra használható fel ennyi személyes adat (mint például a már tárgyalt megszemélyesítéses támadások).
Tehát a nagyvállalatok mellett a kormányzati szervek is veszélyben vannak. De mi a helyzet a KKV-kkal, vagy az egyszerű felhasználókkal?
A KKV szektor esetén két irányból is megközelíthetjük a témát. Egyrészt, mivel ezeknek a cégeknek kevesebb dolgozójuk van, így a személyes megtévesztés is nehezebb feladat lehet. Másrészt viszont ezek a vállalatok jellemzően nem engedhetnek meg maguknak olyan drága és fejlett biztonsági eszközöket, így számukra nehezebb kiszűrni a számítógépes támadásokat.
Ettől függetlenül persze ugyanúgy „nyerhet” egy „ajándék” pendriveot a KKV-s dolgozó is, vagy kaphat adathalász emailt. A probléma tehát a kis és középvállalatok számára is valós.
Az egyszerű felhasználók számára a személyiséglopás jelenthet komoly veszélyt. Ha a támadó megszerzi valaki személyes adatait (mint például név, TAJ szám, lakcím, bankkártya adatok, email fiók, Facebook fiók, stb.), azokat könnyen felhasználhatja a jövőben valamiféle támadáshoz, vagy csaláshoz.
Könnyen lehet, hogy a felhasználó nevében kiküldött levélszemét, és e-mailes átverések a tudta nélkül történnek.
Hogyan védhetjük meg a cégünket, és saját magunkat?
Oktatás
A legfontosabb, hogy a dolgozók ismerjék a jelenséget. Ha tudják, mire számíthatnak, mik a legnépszerűbb módszerek, akkor talán nagyobb eséllyel veszik észre, hogy valami nem stimmel. A munkatársak számára nagyon hasznos lehet egy oktatás, ahol megismerkedhetnek a social engineering veszélyeivel.
Érdemes pontosan meghatározott szabályokat hozni a munkakörnyezettel kapcsolatban, mint hogy saját pendriveokat nem használunk a vállalati gépeken, vagy nem töltünk telefont a céges laptoppal.
Telefonálás
Mielőtt bizalmas adatokról beszélnél telefonon, győződj meg arról, hogy valóban az van-e a telefon másik végén, akinek lennie kell. Ellenőrizd a telefonszámot, ha az ismeretlen, vagy meg sem jelenik, inkább hívd vissza egy olyan számon, amiről tudod, hogy az illetőhöz tartozik.
Sose kattints linkekre az e-mailekben! Inkább másold ki a címet, és illeszd be a böngésződbe. Az adathalász e-mailek egyik legegyszerűbb trükkje, hogy egy ártalmatlannak kinéző link (pl: www.google.com) valójában nem oda mutat, amit a képernyőn látsz.
Ha furcsa levélben kérnek tőled céges, vagy magán adatokat, inkább hívd fel az illetőt telefonon.
Fokozottan figyelj a csatolt fájlokra! Ha nem tudod miért kaptad a kérdéses fájlt, vagy nem ismered a feladót, semmiképp ne nyisd meg. Ha valami gyanús, inkább szólj az IT-s kollégának.
Real Life támadások
Mindig vigyázz a belépőkártyádra! Ne add kölcsön a feledékeny kollégának!
Ha látogató jön a céghez mondjuk egy tárgyalásra, vagy akár csak egy futár hoz csomagot, soha ne hagyd egyedül!
Mindig ellenőrizd a dolgozói badgeket! Már ha használtok ilyeneket. Ugye használtok?
Ne hagyj semmilyen bizalmas iratot az asztalodon!
Mindig zárold a számítógépedet, ha otthagyod az asztalnál. Egy gyors billentyűkombináció is elég, hogy mások ne férjenek hozzá a gépedhez. Csak nyomd meg a WIN+L billentyűket Windowson, vagy a CTRL+SHIFT+POWER gombokat Macen.
Ha a bizalmas iratokra már nincsen szükség, soha ne dobd ki őket anélkül, hogy gondoskodtál volna a biztonságos megsemmisítésről. Az iratmegsemmisítő minden irodai dolgozó barátja, sokszor nagy kellemetlenségektől mentheti meg a céget.
Összefoglalva
Ahogy a cikkben is olvashattad, a social engineering egy veszélyes támadási fajta, főleg ha a dolgozók nem is tudnak róla, hogy létezik ilyen. Gyakran az áldozatok észre sem veszik, hogy át lettek verve, hiszen ezek a csalók nagyon ügyesen dolgoznak.
A social engineering megértése, a gyakori sémák ismerete segíthet a kockázat csökkentésében. Mivel ez a módszer az emberi jóindulatra, és a naivitásra alapoz, ezért is rendkívül veszélyes.
A legtöbb ilyen adatgyűjtés könnyen maradhat észrevétlen, és sokszor figyelmen kívül hagyjuk, hogy milyen jelentéktelennek tűnő adatok kerülnek ki a cégünkről, vagy akár saját magunkról. A csalók számára azonban ezek azok az építőkockák, amelyeket összegyűjtve lépésről lépésre fel tudják építeni az átverést. Ki gondolná, hogy egy nyilvánosra állított Facebookos szülinapi köszöntésből máris megvan a születési dátumod, amit felhasználhatnak további adatgyűjtéshez?
A szigorú biztonsági intézkedések lehet, hogy kényelmetlenebbé teszik a munkát, de mint ahogy olvashattad, már egy egyszerű telefontöltés is okozhat adatszivárgást.
Éppen ezért a biztonságos munkakörnyezet kialakítása elengedhetetlen. Ha minden adatot titkosítva, és biztonságosan tárolsz, valamint nem hagysz támadási felületet (lezáratlan gépek, bizalmas papírok az asztalon), máris egy lépéssel közelebb vagy a megoldáshoz.
Ha valami gyanúsat veszel észre (akár egy email, akár egy telefonhívás), inkább jelezd az illetékesnek!
Nyugodtan kérdezhetsz tőlünk a kommentekben, vagy akár emailben is az info@crosssec.com címen, szívesen segítünk, és kíváncsiak vagyunk a véleményedre is!
