– Milyen emberi tulajdonságokat használnak ki a csalók?

– Rengeteg tulajdonságot fel lehetne sorolni, melyeket egy támadó kihasználhat: a kíváncsiság, hiszékenység, befolyásolhatóság, figyelmetlenség csak néhány példája ezeknek. De nem kell különösebben naivnak vagy hiszékenynek lenni ahhoz, hogy valaki social engineering-támadás áldozata legyen, mert könnyen kihasználható a minden emberben meglévő segítőkészség is. Ha valaki új alkalmazottként kér valamit, szívesen segít neki bárki.

 

– Milyen szokásos lépésekből áll egy social engineering-támadás?

– Általában négy lépésből áll össze egy támadás. A legelső és leghosszabb fázist a szükséges információk összegyűjtése jelenti a vállalatról, a célszemélyről vagy éppen arról, akit megszemélyesíteni akar a támadó. Az információmorzsák összeszedéséhez jó eszköz a céges honlap, a munkatársak közösségi portálokon megjelenő profiljai, különösen, ha a munkahelyüket, sőt akár a beosztásukat is beírják. A megfelelő tudás birtokában jöhet a második fázis, a kapcsolat kiépítése, akár mint munkatárs, akár mint külső partner.

Ha sikerült a leendő áldozat bizalmába férkőzni, akkor jön a kapcsolat kihasználása, és az eredetileg is tervezett információ megszerzése. „Te, nem tudok bejelentkezni a gépemre, el tudnád küldeni ezt és ezt a fájlt a freemailes címemre? Ma délig le kell adnom egy jelentést és ezek nélkül nem tudom befejezni!” Ezután következhet a negyedik fázis, amikor is a megszerzett információt felhasználják az eredeti céloknak megfelelően: például a konkurenciának adják a megszerzett stratégiai tervet, ügyféllistát, vagy egy social engineering-támadás során kicsalt jelszóval hozzáférnek a vállalati rendszerhez.

 

– Vannak olyan trükkök, amelyek szinte mindig bejönnek?

– Auditok tapasztalatai alapján hatásos, amikor szakdolgozatot író egyetemistának adom ki magamat, mert legtöbb esetben találok olyan közép- vagy felsővezetőt, aki néhány célirányos kérdésnek köszönhetően (például egy általa tartott előadásra hivatkozva) szívesen segít a „diplomamunkám elkészítésében”. De ugyanez a szituáció elképzelhető egy újságíró, riporter vagy piackutató bőrébe bújva is. Így elsősorban az épületekbe, irodákba való bejutás a cél.

 

– Milyen módszerekkel lehet a legsikeresebben kivédeni az ilyen támadásokat?

– Hogy Kevin Mitnicket idézzem: „Az igazság az, hogy nincs olyan technológia a világon, amely megakadályozhatja a social engineering-támadást”. Elcsépeltnek hangzik, de ettől még igaz: a dolgozók biztonságtudatosságát kell erősíteni, ismertetni kell velük az ilyen támadási formákat. Különösen jó módszer, ha a cégvezetés social engineering auditot rendel, majd a végrehajtott – és többnyire sikeres – támadásokat példaként véve, egy biztonságtudatossági oktatás keretein belül bemutatják a dolgozóknak, hogy milyen veszélyek leselkednek rájuk, és hogyan lehet elkerülni, hogy a későbbiekben hasonló támadások áldozatává váljanak. A tapasztalatok szerint így könnyebben elfogadják a kockázatokat csökkentő szabályzatok létjogosultságát, és talán jobban be is tartják azokat.

 

– És ha valahol nem volt ilyen audit?

– Van néhány jó gyakorlat, amit célszerű betartani a mindennapokban is. Ha ismeretlen kolléga (vagy magát kollégának mondó személy) kér valami szokatlant, akkor próbáljunk meg megbizonyosodni a hívó fél kilétéről (például kérdezzük meg, pontosan mely részlegen, ki a felettese), vagy hívjuk vissza az általunk ismert belső telefonszámán, esetleg kérdezzünk rá a kérése valódiságára a felettesénél, vagy a hívó fél által hivatkozott személynél.

Ha látogatót fogadunk, menjünk elé a recepcióra, és a találkozó után kísérjük is ki, győződjünk meg róla, hogy tényleg elhagyta az épületet. Fontos a „tiszta képernyő, üres íróasztal” politika betartása is, azaz amikor elhagyjuk munkaállomásunkat, zároljuk azt, illetve legalább a nap végén zárjuk el az asztalunkon tárolt adathordozókat, bizalmas iratokat, hiszen mi sem egyszerűbb, mint észrevétlenül elvenni egy bizalmasabb jelentést, szerződéstervezetet egy tárva-nyitva hagyott iroda asztaláról, vagy egy, a rendszerbe bejelentkezve maradt felhasználó nevében hozzáférni bizalmas adatokhoz.