A támadások jellemzően az úgynevezett „üzleti e-mail eltérítés” (BEC, Business Email Compromise, Email Account Compromise) típusba sorolhatóak, amiket a támadók social engineering módszerekkel alapoznak meg.

De mit is jelent a social engineering kifejezés?

A social engineering olyan módszerek, valamint támadási technikák egyvelege, melyek során a kiberbűnözők visszaélnek áldozataik hiszékenységével, és a technológia lehetőségeit kiaknázva - vagy bizonyos esetekben anélkül - megszerzik a számukra hasznos információkat. A social engineeringen belül több támadási módszer is létezik, a leggyakoribbak:

Egy hacker száznyolcvanmilliárd forintnyi összeget lopott kriptovalutában, majd elkezdte inkább visszafizetni Egy hacker a Poly Network sebezhetőségét kihasználva több mint 600 millió dollár értékű kriptovalutát lopott. Azonban egy nap sem telt el, és elkezdett mindent szépen visszafizetni.

• Phishing (adathalászat): Az egyik legismertebb támadási mód. Az adathalászok jellemzően e-mailben, egy teljesen megbízhatónak tűnő feladó nevében veszik rá kiszemeltjüket, hogy adja ki személyes adatait szintén elektronikus levélben, vagy esetleg valamilyen webes űrlap segítségével.
• SMShing: A szakértők már hazánkban is találkoztak ezzel a módszerrel (FluBot kártevő), melynek során az áldozatok SMS-ben kapnak értesítést (például egy küldemény érkezéséről), a csalók pedig arra kérik őket, hogy nyissák meg az üzenetben található linket. Így próbálnak meg ugyanis egy mobilokra szánt vírust feltelepíttetni áldozataikkal – számos esetben sikeresen.
• Baiting: A hackerek egy csailt, például egy speciális, támadó pendrive-ot hagynak kiszemeltjeik asztalán, kihasználva kíváncsiságukat, akik rácsatlakoztatják azt a számítógépükre és egyben a céges hálózatra.
• Man in the middle: A támadók két fél kommunikációja közé beékelik magukat, ezáltal lehallgathatják és/vagy manipulálhatják a felek közötti társalgást. A bűnözők ezzel a módszerrel már számos cégnek okoztak több milliós kárt úgy, hogy a támadó látszólag rendben lévő, de átírt számlaszámú díjbekérőt (vagy számlát) küldött az egyik fél nevében, a levél címzettje pedig jóhiszeműen elutalta az összeget a bűnöző részére.
• Vishing: Szintén gyakori támadási mód Magyarországon, amikor valamilyen megbízható szervezet, például bank vagy telefonszolgáltató nevében telefonálnak az áldozatoknak. Ilyenkor az a támadók célja, hogy személyes adatokat, kártyaadatokat csaljanak ki a potenciális áldozatoktól.
• Spying: Kémprogramokat juttatnak be a szervezetek informatikai rendszerébe, amiken keresztül a háttérben figyelhetik az eseményeket, a megszerzett szenzitív adatokkal pedig könnyen visszaélhetnek.
• Tailgating: Amikor a támadók úgy jutnak be fizikailag egy szervezet épületébe, hogy szorosan követ egy olyan csoportot (például az ott dolgozókat vagy takarítókat), akik jogosultak a belépésre.
• Shoulder surfing: A csalók az áldozat „válla fölött” lelesik a képernyőről a számukra hasznos információkat.
• Dumpster diving: A hackerek kidobott szemétből turkálják ki az érzékeny adatokat, mint például a számlákat, a szerződéseket, miegymást.

Makay Ágnes Krisztina, no-tech hacking és social engineering szakértő szerint bár a fenti módszerek első hallásra kliséknek tűnhetnek, kollégáival az elmúlt években azonban mindegyikre láttak valós példákat Magyarországon.

De mit tehet egy cég, hogy elkerüljön egy social engineering támadást?

Makay Ágnes Krisztina szerint az első és legfontosabb lépés a tudatos megelőzés: a szervezetek - beleértve a mikro-, kis- és középvállalkozásokat - számára egyaránt javasolt saját informatikai biztonsági szabályzat létrehozása, amit célszerű minden évben felülvizsgálni és aktualizálni, a kiberbűnözők módszerei ugyanis egyre fejlettebbek és rafináltabbak, amik ellen egy elavult szabályzat alkalmazása hatástalan. Ezen szabályzat követése pedig nemcsak az informatikai biztonságért felelős kollégák feladata, hanem a szervezet összes dolgozójáé a munkaügyi osztálytól kezdve egészen a felsővezetőkig, hiszen minden munkavállaló potenciális támadási célpontot jelenthet.

Ezért a védekezési stratégia egyik legfontosabb pontja a munkavállalók biztonságtudatossági oktatása, mivel számos probléma ott kezdődik, hogy tájékozatlanságuk miatt a munkavállalók bedőlnek egy social engineering támadásnak, ami viszont elkerülhető lenne, ha rendszeresen részt vesznek szerepkörökre szabott biztonságtudatossági oktatásokon. Az oktatás célja, hogy megismerjék az aktuális támadási módszereket és azok kivédésének módszereit.

„A social engineering támadástípusok jelentős hányadát védelmi technológiákkal nem lehet hatékonyan kivédeni, hiszen az ilyen típusú támadásoknak pont

az a célja, hogy megkerülje vagy hatástalanítsa ezeket a megoldásokat, méghozzá az áldozat segítségével" - magyarázza a szakértő.

Amennyiben pedig már megtörtént a baj, az adott cégnek incidenskezelésre vonatkozó eljárásrendek szerint kell kezelnie a problémát. Az előzetesen létrehozott incidensmenedzsment stratégiával az illetékesek képesek feltérképezni a támadás folyamatát és megelőzni a jövőbeli hasonló eseteket.

Ez a trükk egyszerű, mint az egyszeregy, de megnehezíti a telefon lehallgatását Az amerikai szenátus hírszerzési bizottságának tippje, ami ha teljesen kiiktatni nem is tudja a hackereket, de jócskán megnehezíti kiszemeltjük készülékének megfigyelését.

A Makay Kiberbiztonsági Kft. célja, hogy a hazai szervezetek számára olyan etikus social engineering szolgáltatást nyújtson, ami segít felmérni az adott szervezet aktuális védekezési potenciálját, megtalálja a gyenge pontokat és láncszemeket, valamint ezek alapján olyan védelmi képességekkel ismerteti meg a szereplőket, amikkel megelőzhetőek a súlyos pénzügyi és reputációs károkat okozó incidensek.

(Forrás: Makay.net, szerző: Makay Ágnes Krisztina, no-tech hacking és social engineering szakértő, fotó: Getty Images Hungary, Unsplash/)

További cikkek a témában:

A social engineering technika a hackerek legújabb aduásza Egy pszichológiai manipulációról beszélünk, melynek célja, hogy az emberek megtévesztve önkéntelenül érzékeny információkat áruljanak el. A módszer során a támadók egy megbízható személynek (kollégáknak, üzleti partnereknek) adják ki magukat annak érdekében, hogy becsapják az áldozatokat, és olyan tevékenységekre vegyék rá őket, amelyek bajba sodorhatják őket vagy munkáltatójukat.

A zsebtolvajok elárulták, hogyan jutnak be a telefonokba és a netbankokba Brazíliában már nem azért lopják el a mobilokat, hogy eladják azokat.

Kínai arcfelismerő, térfigyelő kamerákat telepít Siófok városa A részben a kínai állam tulajdonában lévő cégtől vásárolt, az USA-ból kitiltott arcfelismerő rendszert telepítenek Siófok városában a híres Petőfi sétányon a meglévő térfigyelő kamerarendszer mellé, tette közzé Lengyel Róbert, a város polgármestere a Facebookon.