Social engineering, avagy amikor a felhasználót hackelik
Azzal a legkisebb cég vezetője is tisztában van, hogy az adatokat valamilyen eljárási rend alapján védeni kell, azonban az esetek többségében ez bizony kimerül a fizika védelemben. Az informatikai érettség hazánkban még nincs azon a szinten, hogy felismerjük, ez a kérdéskör egyszerűen túlmutat a vírusvédelmi megoldásokon, tűzfalakon és útválasztókon.
Az ember a leggyengébb láncszem
Kevesen ismerik fel külső segítség igénybevétele nélkül, hogy a vállalkozásukra a legnagyobb fenyegetést a social engeenering, magyarul a pszichológiai manipuláció segítségével, kimondottan adatlopásra vagy céges adatvagyon megrongálására specializálódott „hacker” csoportok jelentik. Ezek a csoportokban egyszerre van jelen a kommunikációs technikákra építő, személyes kontaktusra és bizalomra építő, bárhova beszivárgó „dumagép”, és a kizárólag informatikai eszközöket használó technokrata „szakember”. Hiszen a technológia segítségével és hatékony kommunikáció ötvözésével a legtöbb felhasználó könnyen megtéveszthető, így a támadók gyorsabban, hatékonyabban juthatnak hozzá az értékes adatvagyonhoz.
Ne legyenek illúzióink. Mindig az ember a leggyengébb láncszem. Több vezető IT-biztonsági cég készített elemzéseket az elmúlt évek során a legfontosabbnak ítélt veszélyforrásokról, és szinte kivétel nélkül az lett a végeredmény, hogy a social engeenering jelenti a legnagyobb veszélyt az informatikai rendszerek biztonságára. Közvetlen ezek után a kompromittált hozzáférések és az IoT-világ gyengeségeiből és szabályozatlanságából adódó fenyegetések következnek. Ezért érdemes egy kicsit jobban megismerkedni ezzel a világgal, hiszen ez már nem csak a multinacionális cégek problémája, hiszen nekik megvannak a pénzügyi és humánerőforrásaik arra, hogy az IT-szolgáltatásaikat megvédjék a támadóktól.
A fókusz mára egyértelműen áttevődött a kkv-szektorra, azaz a multicégek beszállítóira, mert azon túl, hogy az ő adatvagyonuk is hatalmas értékkel bír, a kevésbé védett, adott esetben nem megfelelően üzemeltetett informatikai rendszereken keresztül könnyebben megnyílhat az út a megrendelőik, azaz az igazán nagy cégek felé.
A támadók előttünk járnak egy lépéssel
Első körben ismerkedjünk egy kicsit az alapfogalmakkal, illetve mit is használ ki egy social engineer. Az internetes fogalomtárak szerint a pszichológiai manipuláció (social engineering) az, amikor egy jogosultsággal rendelkező felhasználó jogosulatlan személy számára bizalmas adatokat ad át, vagy lehetőséget biztosít a rendszerbe történő belépésre a másik személy megtévesztő viselkedése miatt.
Azaz mindig az embert, a felhasználót helyezi előtérbe, hiszen minél nagyobb egy szervezet, annál könnyebben találunk olyan felhasználókat, akik megfelelő hozzáféréssel rendelkeznek a különféle hardver- és szoftvereszközökhöz és adatbázisokhoz. Adott esetben közvetlenül az ügyféladatokhoz. Az emberi természet olyan ismérveit használva ki a céljuk eléréséhez, mint a segítőkészség, a konfliktuskerülés vagy a hiszékenység.
Amint látható, ez a támadási forma rendkívül nehéz és összetett feladat, ezért a legsikeresebb social engineerek már a megtévesztés képességével születnek és tudatosan képzik magukat, fejlesztik a képességeiket.
Érdemes tehát vigyázni velük, és az adatainkra, és időnként megbízni egy speciálisan etikus hackeléssel foglalkozó céget azzal, hogy mérje föl a dolgozóink biztonságtudatát, és a cégünk alapvető IT-biztonsági szintjét, mert ne feledjük: a támadók szinte mindig előttünk járnak egy lépéssel!