Mi az a Social Engineering, és miért nagy veszély 2019-ben?

Mi az a Social Engineering, és miért nagy veszély 2019-ben?
Andrew Sanders
SZERZŐ: Andrew Sanders
Dátum: 2019. április 12.

Ha Ön rendszergazda, bizonyára olyan dolgok jutnak eszébe a “biztonság” szóról, mint például vírusvédelmi és internetbiztonsági szoftverek és eszközök telepítése, azok konfigurációja, szerverek és végpontok frissítése, valamint a vírustámadást elszenvedő gépek képfájlokból történő újratelepítése. Persze ezek sem éppen egyszerű folyamatok, de megvannak a saját paramétereik és eljárásaik.

Azonban mindez még mindig csak félmunkát jelent, mivel a leghatékonyabb kibertámadások egy részével nem is a hardvert vagy szoftvert támadják, hanem azok felhasználóit. A pszichológiai manipulációhoz sokszor nem is kell több egy egyszerű telefonhívásnál vagy e-mail váltásnál.

A megtévesztésen alapuló manipulációs támadások általában így zajlanak: a támadó felkeresi a cég támogató munkatársait telefonon vagy e-mailen keresztül, majd célpontjuk nevében, valamilyen hihetőnek tűnő történetet adnak elő arról, hogy elfelejtették jelszavukat. Ezzel a támadók célja az, hogy a cég támogató munkatársát rávegyék az áldozat regisztrált e-mailjének megváltoztatására, így az elfelejtett jelszót visszaállító link már az új címre érkezik. Ezzel a lépéssel a támadó meg is szerezte az áldozat fiókját.

Mennyire vagyunk kitéve manipulációs támadásoknak?

Az ilyen támadási módszerek megbízhatóan működnek, ráadásul semmilyen programozói tudást nem igényelnek. A VoIP alapú hívásokat meghamisító technikai megoldások széles körben elérhetők, emellett semmilyen szaktudást nem igényel használatuk, így a támadók még a kijelzett hívószámot is átírhatják az áldozatéra, még meggyőzőbbé téve a támadást. Nem is csoda, hogy az ilyen jellegű támadások egyre népszerűbbek. 2017-ben az információbiztonsági szakértők 76%-a találkozott hasonló telefonos és e-mailes adathalász kísérletekkel, az utóbbi megoldás volt a legnépszerűbb. 2018-ban pedig már 83%-uknak volt tapasztalata ilyennel.

A megtévesztésen alapuló és e-mailes adathalász támadások számának növekedése egyre nagyobb figyelmet kapott, nagyrészt például az alábbi eseteknek köszönhetően:

  • Blackrock
    A világ legnagyobb alapkezelő vállalata is áldozatul esett a The Financial Times-t és a CNBC-t is megtévesztő környezetvédelmi aktivisták támadásának, akik egy hihetetlenül meggyőző hamis sajtóközleményt felhasználva hitették el, hogy a cég környezetvédelmi irányba vált profilt, ezzel rövid ideig tartó felhördülést idéztek elő.
  • Kriptovaluták
    Bizonyos, az Ethereum nevű kriptovalutához tartozó virtuális tárcák tulajdonosai hibaüzeneteknek álcázott adathalász támadásokat kaptak. Ezek olyan e-mailek képében érkeztek, amelyek javítás telepítését kérték a felhasználóktól, valójában azonban a tárca szoftverének módosított változatát kínálták a linkek. Ezekkel a támadók távolról lenyúlhatták a tárcák tartalmát.
  • Hírszerző ügynökségek
    2015-ben egy tini hacker felhívta a Verizon-t, megtalálta a CIA akkori vezetőjének, John Brennan-nak a személyes adatait, majd hozzájutott az AOL-os fiókjához, amelyben kényes információkra bukkant. Például arra, hogy a vezető bizonyos biztonsági engedélyekért folyamodott. Ráadásul még arra is képes volt ifjú támadónk, hogy pár percet beszéljen telefonon Brennan-nal. Több mint két év telt el a támadó megtalálásáig és letartóztatásáig.

Ebből a két példából is világosan látszik, hogy az elképzelhető legegyszerűbb eszközökkel is milyen nagy zűrzavart tudnak kelteni a támadók: pénzt lophatnak, átverhetik a médiát, vagy akár a Föld legnagyobb hatalommal bíró egyéneiből is kicsalhatnak információkat – mindössze egy telefonszámmal és egy e-mail címmel kezdve az egészet.

Hogyan védekezzünk a manipulációs támadások ellen

Két fő megközelítéssel védekezhetünk az ilyen jellegű támadásokkal szemben.

Először is, létezik a technológiai megközelítés. Egy úgynevezett DMARC (Domain-based Message Authentication, Reporting & Conformance) technológiát használhatunk levelezőszerverünkön arra, hogy a meghamisított e-maileket észleljük és elkülönítsük – vagyis ez a rendszer képes észrevenni, ha a címzett számára megjelenő e-mail cím nem egyezik a tényleges feladóéval. Habár ez a technológia elég hatékonyan védi az e-mail fiókok hitelességét, igen kevesen alkalmazzák – az összes iparágat együttvéve bőven 50%-nál is alacsonyabb ennek elterjedtsége.

A technológiai megközelítésen túl – vagy azt kiegészítendő – érdemes szervezeti szinten is gondoskodni az adathalász és átverős támadások elleni tudatos védekezésről. Ebben segíthetnek a különböző biztonsággal kapcsolatos továbbképzések és oktatások, ahol a vállalat dolgozóinak fel kell ismerniük a különböző átverős e-maileket. Az ilyen tréningeknek az a céljuk, hogy a cég dolgozói képesek legyenek önállóan is felismerni az adathalász kísérleteket. A tapasztalatok azt mutatják, hogy ezek a tréningek igencsak hatékonyak: akár 75%-kal kevesebb átverős e-mailt nyitnak meg az ilyen tréningeket teljesítő dolgozók. Viszont az sajnos továbbra is igaz, hogy elég egyetlenegy embert átverni, és már meg is történt a baj.

Ebből kifolyólag végső soron az okozott károk minimalizálásával, valamint baj esetén a lehető leggyorsabb intézkedésekkel védekezhetünk leghatékonyabban az adathalász és manipulatív támadások ellen. És annak ellenére, hogy egy elszánt és felkészült támadó nagy eséllyel átverheti munkatársainkat és hozzájuthat valamilyen belsős fiókhoz, a jó rendszergazdák képesek észlelni a gyanús tevékenységeket, így az érintett fiókok időben történő lekorlátozásával hatástalaníthatják a támadót.

A szerzőről

Andrew Sanders
Andrew Sanders

Andrew cikkíró, specialitásai többek között a technológiai, információbiztonsági és telekommunikációs témák