Megtévesztésre építő hackerek

Az emberek hajlandóak bízni olyanokban akikről azt hiszik, hogy tudják, miről beszélnek - véli Kevin Mitnick, egykori számítógépes kalóz (hacker), jelenleg egy információs biztonsági tanácsadó cég vezetője. Azzal, hogy valaki informatikai vagy termékszakértőnek adja ki magát, elnyerheti a bizalmát még az ilyen jellegű megtévesztésekre elvileg felkészített biztonsági embereknek is - tette hozzá.

Az emberek megtévesztésére épülő social engineering fegyverét használó hackerekkel szemben nem számít, hogy egy cég, szervezet vagy kormányzat mennyi pénzt öl a technológiai biztonság kiépítésére. Megoldást jelenthet, ha a magukat fenyegetettnek érző szervezetek figyelmet fordítanak arra, hogy kiképezzék alkalmazottaikat az ilyen jellegű támadások kivédésére - mondta el Kevin Mitnick.

Minden social engineering jellegű támadás első fázisa a kutatás. Megkeresik a kiszemelt cégről szabadon hozzáférhető öszszes információt, mint például éves pénzügyi beszámolók, marketingbrosúrák, szabadalmazott alkalmazások, újságcikkek, iparági folyóiratok, honlapok tartalma, valamint megtanulnak mindent, amit a cégről és az emberekről meg lehet. Ezután jön maga a támadás, melynél a csalók valamilyen csellel elnyerik a kiválasztott személy bizalmát és támogatását, hozzájutva így a szükséges információhoz - ismertette a megtévesztéses támadásokat Kevin Mitnick.

Gyakran az új embereket választják ki a csalók, hiszen ők még nem ismerik olyan jól a biztonsági házirendet és az eljárásokat, kevés emberrel találkoztak még a cégnél, ezért nem mindig tudják, hogy kikkel állnak szemben. Az ilyen támadások leggyakoribb árulkodó jele, amikor valaki nem akarja megadni a számát, amin vissza lehet hívni. Ha valaki ismeretlen megkér, hogy csinálj meg valamit neki - bármennyire ártalmatlannak tűnik -, nézd meg jó alaposan, hogy mire is kér - tanácsolja az egykori, a social engineeringről könyvet is író volt hacker.

A social engineering a napjainkban egyre nagyobb problémát jelentő adatlopásos csalások (phishing) gyakori eszköze. A phishing különösen a bankoknak, internetes cégeknek, online áruházaknak, illetve ügyfeleiknek okoznak nehézségeket. Az ilyen jellegű csalás lényege, hogy a felhasználó olyan e-mailt kap, amely úgy néz ki, mintha egy legálisan működő intézménytől érkezett volna. Ezután a virtuális világ bűnözői egy hivatkozással átcsalják az internetezőt az eredetihez hasonlító, de hamis weboldalra, ahol olyan személyes adatok megadására kérik fel, mint a bankkártyaszám, PIN kód vagy különböző jelszavak.