Aktívak a trükkös csalók

Magyarországon is terjedőben van az emberek megtévesztésén alapuló csalástípus, a social engineering. Legutóbb egy pesti gimnázium rendszerébe próbáltak bejutni, a NetAcademia Oktatóközpont és vezetője, Fóti Marcell nevében kérve rendszergazdai hozzáférést. Az intézmény vezetése szerencsére sejtette, hogy valami nincs rendben, ezért fel is vette a kapcsolatot a NetAcademiával, ahol fény derült az igazságra: az oktatóközpont soha nem kér – nem is kérhet – sem telefonon, sem e-mailben jelszót egy tőle független szervezettől.

A social engineering az emberek természetes, bizalomra való hajlamának kihasználásán alapul – ismertette a csalás lényegét Fóti Marcell. A számítógépes bűnöző az informatikai rendszerekbe történő bejutáshoz nem a hardver, a szoftver vagy a hálózat esetleges hibáit, biztonsági hiányosságait, hanem az emberi természet gyengeségeit használja ki.

A támadás a kutatással kezdődik: a hackerek beszereznek minden olyan információt, amely a cégről elérhető (éves jelentés, marketinganyagok, újságcikkek), majd feltérképezik a szervezet felépítését, az alá-fölé rendeltségi viszonyokat, a jogosultságokat, nemritkán az alkalmazottak ülésrendjét, baráti kapcsolatait is. Ebben a fázisban az is előfordul, hogy a támadó beáll az adott vállalathoz takarítónak, és éjszakánként átkutatja az alkalmazottak szemeteskukáját, elolvassa az emlékeztetőül hagyott céduláikat, belelapoz az asztalon hagyott anyagaikba – mondta el Fóti Marcell.

Mivel az esetek többségében a hacker a vállalat dolgozójának vagy partnerének adja ki magát – alkalmazottnak, menedzsernek, vagy éppen az adott területen jól ismert szakembernek –, a kutatás során el kell sajátítania az adott cégre jellemző szakmai zsargont, meg kell ismernie a belső rendszereket, és átvennie minden olyan, a cégkultúrához tartozó elemet, amellyel hitelesebbé tudja tenni magát.

A kutatási szakasz után következik maga a valós támadás, amelynek során a csaló egy ügyes csellel vagy jól kitalált ürüggyel elnyeri a célszemély bizalmát és támogatását. A social engineering „úttörőjeként” ismert, ötéves börtönbüntetéséből 2003-ban szabadult Kevin Mitnick is ezekkel a módszerekkel jutott be többek közt a Motorola és a Nokia számítógépes rendszerébe.

Arra, hogy valaki egy néhány percig tartó telefonhívással megszerezze a vállalati információkhoz hozzáférő alkalmazott belépési kódjait, már hazánkban is volt példa. A szakember szerint a védekezés leghatékonyabb módja a gyanakvás és a jelszókezelésre vonatkozó házirend követése. Ha például egy ismeretlen „munkatárs” kéri telefonon a jelszó megváltoztatását, elfoglaltságra hivatkozva és visszahívást ígérve érdemes elkérni a vállalati telefonszámát. Így marad idő az ellenőrzésre a céges telefonkönyvben.

A social engineering-támadások legeredményesebben a vállalatoknál, szervezeteknél bevezetett – az adatbiztonság kérdéseit részletesen szabályozó – biztonsági házirend segítségével szűrhetők ki – állítja Fóti Marcell. A házirendeket azonban nemcsak elkészíteni, de rendszeresen oktatni is kell ahhoz, hogy valóban sikeres legyen a küzdelem a számítógépes bűnözők ellen.