Social engineering
A social engineering, melyet a magyarban pszichológiai manipulációnak neveznek, azt takarja, amikor egy jogosultsággal nem rendelkező személy, egy jogosultsággal rendelkező átverésével, illetve megtévesztés által adatokat akar kinyerni vagy a rendszerbe szeretne bejutni.
Azért manipulatív a tevékenység, mert az emberek két tulajdonságát
használja ki: az emberek általában segítőkészek és próbálnak segíteni
azokon, akik segítséget kérnek, valamint az emberek többsége kerüli a
konfliktust.
A pszichológiai manipuláció lépései |
Tehát a pszichológiai manipuláció egy olyan technikai megoldás vagy módszer, amely az emberi kapcsolatokon, kommunikáción alapszik.
Adathalászat
A phishing (az angol fishing [halászat] szóból), mely kifejezés a magyarban adathalászatként néven terjedt el, az az eljárás, amikor egy internetes csaló egy vállalat vagy egy szervezet hivatalos részének adja ki magát - vagy pedig valamilyen más hivatalos személynek, pl. állami alkalmazottnak, újságírónak, stb. - és megpróbál személyes adatokat megszerezni, úgy mint azonosítók, jelszavak, bankkártyaszámok.
Több, célpont vagy módszer szerint meghatározott kifejezés létezik az adathalászatban:
-
Phishing: e-mail-ben vagy linkre kattintva kérik el, illetve kell
megadnunk az adatainkat, vagy ezeken keresztül kell letölteni egy
programot. Ez a program akár úgy is települhet a gépünkre, hogy észre sem
vesszük
- Spear phishing: nem általános, hanem célzott adathalászat, s a kiszemelt célpont(ok)ról előbb személyes információkat szerezhetnek meg, ezzel növelve a siker esélyét
- Vishing: telefonon keresztül próbálnak meg adatainkhoz hozzáférni, leginkább azért sikeres, mert az emberek jobban megbíznak a hangüzenetekben, mint egy levélben
- Smishing: SMS-en keresztül véghezvitt adathalászat
- Phraming: eltérítéses adathalászat, amikor egy másik, hamis oldalra irányítják a felhasználókat - viszont nagyon hasonló az eredetihez -, ez végbemehet ún. DNS-mérgezéssel (az URL-ek átírása a szerver domain név tábláján), trójai vírusok segítségével,
- Whaling: cégvezetők, valamint egyéb magas beosztású személyek adatainak megszerzésére specializálódott adathalászat (lényegéb spear phishing)
- Link manipulation: a linkeket elvezetik más oldalakra
- Clone: egy adott oldal lemásolása, melyről az ember azt hiszi, hogy az az eredeti
Az adathalász és pszichológiai manipuláció egy kifinomultabb stílusa, amikor a behatolni kívánó személy egy kollégának adja ki magát, és segítséget kér a vállalat számítógépes rendszerének használatával kapcsolatban az informatikusoktól. Ha sikeresen bejutott a hálózatba, a következő "segítségkérés" alkalmával már belső információk segítségével képes mélyíteni azt a benyomást, hogy ő is a vállalatnál dolgozik.
Ha segítségkérés nem jön be, akkor agresszívebb, támadóbb taktikához is folyamodhatnak: egy főnökre vagy egyéb másik feljebbvalóra való hivatkozással próbálhatnak meg behatolni a rendszerbe. Ez a módszer a konfliktuskerülésre való hajlamot használja ki.
Az
adathalászat egyfajta "továbbvitele", hogy a célszemély számítógépére
vírust küldenek, amely idővel a belső hálózat többi gépén is elterjed, s
ennek segítségével törik fel, illetve hatolnak be a kiberbűnözők a
védelmi rendszerekbe, adatbázisokba, pénzügyi kezelőrendszerekbe, stb.
Az Anti-Phishing Working Group adatai szerint, 2106 első negyedévében több adathalászati próbálkozás történt, mint bármikor a történelem során. Tanulmányuk kiemeli, hogy 2015. október és 2016. március között, elképesztő mértékben, 250%-kal növekedett az incidensek száma. (forrás: http://www.welivesecurity.com/2016/05/26/phishing-attacks-rise/)
Az adathalászat ellen komoly lépéseket tesznek a vállalatok. Például az Agari cyberbiztonsági startup cég a napokban gyűjtött 22 millió dollárt, összesen pedig 44,7 milliót, különböző befektetőktől. Ezek között a befektetők között megtaláljuk a Facebook-ot, a PayPal-t és a LinkedIn-t is. Ezt az összeget az új, felhő alapú levelezőszolgáltasuk fejlesztésére költik, mely felfedi az e-mail-t küldők valódi kilétét. (forrás: http://talkincloud.com/cloud-computing/gone-phishing-agari-raises-22-million-email-security-platform)
A whaling-nek komoly következményei is lehetnek. Egy ausztriai repülőgép-alkatrészgyártó vállalat 41 millió eurót vesztett, miután a rendszerébe betörtek. A vállalat vezérigazgatóját és fő pénzügyi tisztviselőjét menesztették a cégtől. (forrás: http://www.scmagazine.com/ceo-sacked-after-aircraft-company-grounded-by-whaling-attack/article/499258/)
Az Anti-Phishing Working Group adatai szerint, 2106 első negyedévében több adathalászati próbálkozás történt, mint bármikor a történelem során. Tanulmányuk kiemeli, hogy 2015. október és 2016. március között, elképesztő mértékben, 250%-kal növekedett az incidensek száma. (forrás: http://www.welivesecurity.com/2016/05/26/phishing-attacks-rise/)
Az adathalászat ellen komoly lépéseket tesznek a vállalatok. Például az Agari cyberbiztonsági startup cég a napokban gyűjtött 22 millió dollárt, összesen pedig 44,7 milliót, különböző befektetőktől. Ezek között a befektetők között megtaláljuk a Facebook-ot, a PayPal-t és a LinkedIn-t is. Ezt az összeget az új, felhő alapú levelezőszolgáltasuk fejlesztésére költik, mely felfedi az e-mail-t küldők valódi kilétét. (forrás: http://talkincloud.com/cloud-computing/gone-phishing-agari-raises-22-million-email-security-platform)
A whaling-nek komoly következményei is lehetnek. Egy ausztriai repülőgép-alkatrészgyártó vállalat 41 millió eurót vesztett, miután a rendszerébe betörtek. A vállalat vezérigazgatóját és fő pénzügyi tisztviselőjét menesztették a cégtől. (forrás: http://www.scmagazine.com/ceo-sacked-after-aircraft-company-grounded-by-whaling-attack/article/499258/)
Megelőzés
Pár egyszerű lépéssel megelőzhető az adathalász-próbálkozások jó része:
- A gyanús levelek olvasás, megnyitás nélküli törlése
- Ha mégis megnyitottuk a levelet, érdemes fogalmazási és helyesírási hibákat keresni
- Spamszűrés bekapcsolása
- Vírusirtók használata és rendszeres frissítése
- Adataink minimális on-line használata, esetleg nem valós adatok megadása
- Több e-mail fiók használata
- A jelszavakat tartsuk biztonságos helyen, használjunk többet a különböző rendszerekhez, időnként változtassunk rajtuk
- A munkavállalóknak alapos oktatást tartani az érzékeny információk kezelését illetően
- Fel kell mérni mely adatok, milyen értékesek, s ezek alapján dönteni a védelmükről
- A munkavállalók védelmi protokollokra való képzése és betartatása
- Szúrópróbaszerű vizsgálatok lefolytatása
- A fentiek gyakori alkalmazása
- A munkavállalóknak alapos oktatást tartani az érzékeny információk kezelését illetően
- Fel kell mérni mely adatok, milyen értékesek, s ezek alapján dönteni a védelmükről
- A munkavállalók védelmi protokollokra való képzése és betartatása
- Szúrópróbaszerű vizsgálatok lefolytatása
- A fentiek gyakori alkalmazása
Az adathalászat és pszichológiai manipuláció sok, apró lépésből áll, lassan és óvatosan haladva, hogy elérjék a végső, célszemély által birtokolt információkhoz.
Források:
sg.hu: az esetek felében az embereken bukik az it biztonság
bitport.hu: a social engineering halálos fegyver
bitcoinist.net: chrome add-on steals bitcoin using social engineering
jamk.hu: az internet veszélyei
Nincsenek megjegyzések:
Megjegyzés küldése