keresés

2013. december 10., kedd

A bizalom ára: avagy a Social Engineering (Pszichológiai Manipuláció)

A rossz szándékú információ-szerzés elleni legfontosabb védelem nem technikai jellegű. Hiába van minden szoftver karbantartva, hiába van minden vírusirtó frissítve, hiába van minden tűzfal pontosan konfigurálva, ha a legfontosabb tényezővel nem törődünk. Márpedig ez az emberi hiba.

Persze, ugyanmár, az ember nem árul el fontos információkat. Igen, alapesetben a "szia, mi a facebook jelszavad ?" kérdés több mint gyanús. De képzeljünk el egy céget, ahol pénteken, zárás előtt pár perccel a cég gépeit szállító cég egyenruhájában határozottan megérkezik valaki, és kéri, hogy a portás / titkárnő vezesse az adatközpontba, mert jeleztek a gépek / jelezte a főnökség hogy probléma van és azonnal intézkedni kell.

Vagy képzeljünk el egy telfonhívást, ahol óvatosan érdeklődnek az információk iránt. Pl. "jó napot kívánok, az xyz szoftvercégtől telefonálok, többen problémát jeleztek az egyik termékünkben, azért hívom hogy segíteni tudjak. Önöknél van probléma ? Nincs ? Remek! Akkor a következőket kell tennie, hogy elkerüljék. Milyen névvel szokott bejelentkezni ? Csak hogy itt távolról ellenőrizni tudjam. Igen. Rendben, ez stimmel, ez van nekem is ideírva. És mi az a jelszó, amit megadott ? Tudja, ez az, amit másnak soha ne adjon meg, senki nem kérdezheti, nekünk is alá kellett írnunk egy titoktartási papírt. Remek, ez is stimmel. Akkor most távolról megtörtént a frissítés, kérem indítsa újra a gépet, és minden rendben lesz"

Mire számít (az esetek jelentős részében sikeresen...) a támadó ? Az emberi természetre. Az ember alapvetően segítőkész: ha valaki segítséget kér, jól esik hogy ő az, aki segíteni tud. Ráadásul az alaptermészetünk a konfliktus-kerülés. Azaz ha főnökre / céges érdekekre hivatkozik valaki, igyekszünk segíteni neki, hiszen félünk az esetleges retorzióktól.

Milyen típusok a legnépszerűbbek ?

phising: adathalászat, emailben terjedő kérések, általában jelszóra, banki adatokra vonatkoznak
spear: célzott halászat, ahol valamilyen célcsoportot támadnak (pl. egy adott bank ügyfeleit hamisított oldalon való belépéssel, stb.)
whaling: adott célcsoport vezetői ellen irányuló támadás
vishing: VOIP alapú (skype, stb.)
pharming: az eredeti honlaphoz nagyon hasonlító oldalon keresztül próbálnak adatokhoz jutni

... és a jó öreg shoulder-surfing: azaz ha szimplán valaki válla mögül látjuk a jelszót vagy keresett adatot :)




Nincsenek megjegyzések:

Megjegyzés küldése