Anno/Futurum 2019

Schneck Zsolt, Master-Hardware
Schneck Zsolt, Master-Hardware
Forrás: ITB
Hazudj, ha tudsz!

Social engineering, avagy amikor a felhasználót hackelik

Napjainkban egyre nagyobb hangsúlyt fektetünk az IT-biztonságra. Mind a piaci szereplők, mind pedig a szakemberek kiemelik a terület jelentőségét, hiszen az információ hatalom. Manapság már nem feltétlenül egy materiális produktum egy vállalkozás legnagyobb értéke, hanem a tudás, ami a termékhez vagy szolgáltatáshoz vezet. A tudást pedig informatikai eszközökön, adatbázisokban tároljuk. Schneck Zsolt, a Master-Hardware ügyvezető igazgatójának írása.

Azzal a legkisebb cég vezetője is tisztában van, hogy az adatokat valamilyen eljárási rend alapján védeni kell, azonban az esetek többségében ez bizony kimerül a fizika védelemben. Az informatikai érettség hazánkban még nincs azon a szinten, hogy felismerjük, ez a kérdéskör egyszerűen túlmutat a vírusvédelmi megoldásokon, tűzfalakon és útválasztókon.

 

Az ember a leggyengébb láncszem

Kevesen ismerik fel külső segítség igénybevétele nélkül, hogy a vállalkozásukra a legnagyobb fenyegetést a social engeenering, magyarul a pszichológiai manipuláció segítségével, kimondottan adatlopásra vagy cégesadatvagyon megrongálására specializálódott „hacker” csoportok jelentik. Ezek a csoportokban egyszerre van jelen a kommunikációs technikákra építő, személyes kontaktusra és bizalomra építő, bárhova beszivárgó „dumagép”, és a kizárólag informatikai eszközöket használó technokrata „szakember”. Hiszen a technológia segítségével és hatékony kommunikáció ötvözésével a legtöbb felhasználó könnyen megtéveszthető, így a támadók gyorsabban, hatékonyabban juthatnak hozzá az értékes adatvagyonhoz.

Ne legyenek illúzióink. Mindig az ember a leggyengébb láncszem. Több vezető IT-biztonsági cég készített elemzéseket az elmúlt évek során a legfontosabbnak ítélt veszélyforrásokról, és szinte kivétel nélkül az lett a végeredmény, hogy a social engeenering jelenti a legnagyobb veszélyt az informatikai rendszerek biztonságára.

Közvetlen ezek után a kompromittált hozzáférések és az IoT-világ gyengeségeiből és szabályozatlanságából adódó fenyegetések következnek. Ezért érdemes egy kicsit jobban megismerkedni ezzel a világgal, hiszen ez már nem csak a multinacionális cégek problémája, hiszen nekik megvannak a pénzügyi és humánerőforrásaik arra, hogy az IT-szolgáltatásaikat megvédjék a támadóktól.

A fókusz mára egyértelműen áttevődött a kkv-szektorra, azaz a multicégek beszállítóira, mert azon túl, hogy az ő adatvagyonuk is hatalmas értékkel bír, a kevésbé védett, adott esetben nem megfelelően üzemeltetett informatikai rendszereken keresztül könnyebben megnyílhat az út a megrendelőik, azaz az igazán nagy cégek felé.

 

A támadók előttünk járnak egy lépéssel

Első körben ismerkedjünk egy kicsit az alapfogalmakkal, illetve mit is használ ki egy social engineer. Az internetes fogalomtárak szerint a pszichológiai manipuláció (social engineering) az, amikor egy jogosultsággal rendelkező felhasználó jogosulatlan személy számára bizalmas adatokat ad át, vagy lehetőséget biztosít a rendszerbe történő belépésre a másik személy megtévesztő viselkedése miatt.

Azaz mindig az embert, a felhasználót helyezi előtérbe, hiszen minél nagyobb egy szervezet, annál könnyebben találunk olyan felhasználókat, akik megfelelő hozzáféréssel rendelkeznek a különféle hardver- és szoftvereszközökhöz és adatbázisokhoz. Adott esetben közvetlenül az ügyféladatokhoz. Az emberi természet olyan ismérveit használva ki a céljuk eléréséhez, mint a segítőkészség, a konfliktuskerülés vagy a hiszékenység.

Amint látható, ez a támadási forma rendkívül nehéz és összetett feladat, ezért a legsikeresebb social engineerek már a megtévesztés képességével születnek és tudatosan képzik magukat, fejlesztik a képességeiket.

Érdemes tehát vigyázni velük, és az adatainkra, és időnként megbízni egy speciálisan etikus hackeléssel foglalkozó céget azzal, hogy mérje föl a dolgozóink biztonságtudatát, és a cégünk alapvető IT-biztonsági szintjét, mert ne feledjük: a támadók szinte mindig előttünk járnak egy lépéssel!