Technológia

Kiberbiztonság most

A koronavírus terjedésével az emberek sokkal több internetes interakciót létesítenek mint korábban.

Ezt a kiberbűnözők is pontosan tudják, így igyekeznek lecsapni a rutin miatt óvatlanná váló, illetve a technológiát csak most tanuló felhasználókra és értékes adatokat, esetleg pénzt kicsalni tőlük.

Fontos tudni, hogy napjaink kiberbűnözői a legritkább esetben tudnak célt érni pusztán technológiai módszerekkel. A technológiai támadások ellen a legtöbb esetben elegendő, ha biztonságos szoftvereket használunk és gondoskodunk a frissítésükről. A biztonságos szoftver fogalma szubjektív és mindenkinek magának kell eldöntenie, hogy egy adott szoftverben megbízik-e.

Ebből az látszik, hogy a legtöbb támadásnak a technológiát használó emberek vannak kitéve.

Social engineering

A bejegyzés ezen része ezen a Wikipédia cikken alapul: https://en.wikipedia.org/wiki/Social_engineering_(security)

A social engineering az információbiztonság területén az emberek olyan pszichológiai manipulálását jelenti, amelynek az a célja, hogy az adott ember megtegyen bizonyos dolgokat, vagy bizalmas információt adjon ki.

A social engineering működése az emberi döntéshozatal bizonyos sajátosságain, a kognitív torzításokon alapul.

Kognitív torzításnak hívják a normáktól és a racionális ítéletalkotástól történő szisztematikus eltéréseket és ezeket leginkább a pszichológia és a viselkedési gazdaságtan tanulmányozza.

Ezek különböző kombinációit használja ki a social engineer és alkalmazza őket a támadások során.

A hat alapelv

  • Reciprocitás: az emberek hajlamosak viszonozni a szívességeket. Ezen alapul például az ingyenes termékminták marketing ereje és ezen az elven működik a jó zsaru – rossz zsaru módszer is.
  • Elköteleződés és konzisztencia: ha az ember egyszer elkötelezte magát valami mellett, akkor sokkal valószínűbb, hogy kiállnak mellette, hiszen az összhangban van az önképükkel, még akkor is, ha az eredeti szándék már hiányzik. Ezt használják azok a marketingesek, akik például a következő kifejezéssel zárják a felugró ablakaikat: “Nem, köszönöm. Mégsem szeretnék pénzt keresni.”
  • Társadalmi bizonyosság: az emberek azt csinálják, amit másoktól látnak. Az egyik kísérleti példa során a tömegbe beépített emberek felnéztek az égre. A tömegből rengeteg másik ember is felnézett.
  • Tekintély: az emberek hajlamosak tisztelni a tekintély, akár olyan mértékben is, hogy megkérdőjelezhető cselekedetekeit és végre hajtanak a tekintéllyel rendelkezők kedvéért. A leghíresebb példa a Milgram kísérlet, ahol a kísérletben résztevők hajlandóságát vizsgálták arra, hogy egy tekintéllyel rendelkező ember parancsára halálra kínozzanak valakit. A kísérlet alapján ezt a résztvevők 65%-a meg is tette. (A kísérletben nem valódi kínzás történt és a megkínzott embereket színészek játszották.)
  • Kedvelés: az emberek könnyebben hallgatnak olyanokra, akiket kedvelnek. Az egyik klasszikus példa a Tupperware esete. Az emberek sokkal inkább hajlamosak voltak vásárolni, ha kedvelték azt, aki a terméket ajánlotta.
  • Szűkösség: ha az ember azt gondolja, hogy valami szűkösen áll rendelkezésre, akkor megnövekszik az iránta való kereslete. Ezen az alapon működnek a “készlet erejéig” tartó akciók.

Lássunk kettőt a leggyakoribb támadási formákból:

Phishing

Ez napjaink leggyakoribb kiberbűncselekménye. A támadó egy e-mail-t küld a célpontnak (más médiumon keresztül is lehetséges a támadás, például telefonon, sms-ben, azonnali üzenetküldő alkalmazásokban) ami látszólag egy valódi üzletféltől vagy potenciális üzletféltől származik (pl. bank, biztosító, közmű szolgáltató, munkahely, iskola, beszállító, kliens, igénybevett szolgáltató) és információk ellenőrzését kéri, úgy, hogy figyelmeztet az adatszolgáltatás elmaradásának hátrányos következményeire. Az üzenet általában tartalmaz egy linket (vagy instrukciókat), ami egy a támadó üzemeltetésében lévő adatgyűjtési űrlapra irányítja a felhasználót. Ez egy olyan oldalba kerül beágyazásra, ami a megtévesztésig hasonló az üzletfél valódi oldalához. Ez az űrlap a kitöltés után a támadóhoz juttatja el az információkat, majd tovább irányít a szolgáltató eredeti oldalára. A célpont többnyire észre sem veszi, hogy az adatait ellopták.

Impersonation

Ez az a támadás típus, amikor a támadó a célpontnak valaki másnak adja ki magát. Lehet ez például egy munkatárs, egy szolgáltató ügyfélszolgálatának az embere, vagy akár egy utasítási jogosultságokkal rendelkező főnök. Ilyenkor a cél szintén az, hogy valami olyan dologra vegyék rá a célpontot, amit magától nem tenne.

Összegzés

A leírtak legfontosabb tanulságai a következők:

  • Megfelelő karbantartás mellett sokkal valószínűbb, hogy a kiberbűnözők célpontjai mi magunk leszünk és nem a számítógépünk.
  • Ezek a támadások mindig valami olyanra próbálnak minket rávenni, amit magunktól nem tennénk meg. Minden internetes interakciónál figyeljünk oda, hogy azt, amit éppen tenni készülünk valóban racionális-e. Például:
    • Részt vettem azon a szerencsejátékon, amin éppen nyertem?
    • Valóban kell tudnia annak az üzletfélnek ezeket az adatokat?
    • Tényleg az üzletfelem oldalán vagyok?
    • Soha semmilyen körülmények között senkinek nem lehet szüksége a jelszavunkra, certifikátunkra, privát kulcsunkra, smartcardunkra, OTP tokenünkre és hasonló személyes autentikációs eszközünkre. Ha valaki ilyent kér tőlünk, egyszerűen tagadjuk meg ezek kiadását, de legalább is vegyük figyelembe, hogy ezután az illetőnek velünk azonos hozzáférése van a rendszerekhez, amihez ezt az autentikációs faktort használjuk egyedüli hozzáféréskorlátozásként.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük