2006. május 22. Lusta, tűzforró hétfő délután. G. Mária a Woodstock Faipari Kft. titkárnője, recepciósa, pénzügyese és mindenese éppen ebéd utáni kávéját kortyolgatja, amikor megszólal a telefon. Kellemes férfihang mutatkozik be a cég bankjának informatikai osztályáról. T. Szabolcs tájékoztatja Máriát, hogy kisebb hiba történt az online banki ügyintéző rendszerben. A probléma legegyszerűbb megoldása, ha az ügyfél belép a régi jelszavával és megváltoztatja azt. Szabolcs nagyon megköszönné, ha Mária ezt most megtenné. E célból Szabolcs bediktál egy url-t. Mária jó ismerősként üdvözli a rendszert, és teljesen logikusnak tartja, hogy a www.piacvezetobank.hu helyett most a www.piacvezetobank-hibaelharitas.hu oldalon érheti azt el. Belép az érvényes jelszóval, és rögtön megváltoztatja azt. Szabolcs megköszöni Mária segítségét és tájékoztatja, hogy legalább négy órába telik még, amíg a rendszer újból használatra készen áll.
Ha szeretne még többet megtudni a mobilbiztonságról jöjjön el a Computerworld által rendezett SecWorld konferenciára.
Azt a bűnözőt, aki különböző szerepeket eljátszva gyűjt össze fontos információkat az emberi bizalom és hiszékenység kihasználásával, az angol nyelvű szakirodalom „social engineer”-nek nevezi.
A social engineer képes akár a hét minden napján pontban kilenckor besétálni egy vállalat portáján, kezdő munkatársnak kiadva magát megismerkedni a portással, hogy aztán a következő héten az ügyvezető irodájából szerelőként elemelt –aranyat érő adatokat tartalmazó - számítógéppel gond nélkül sétálhasson ki a kapun.
A social engineer hivatalosnak tűnő ürüggyel felhívja a titkárnőnket, elbeszélget vele, esetleg e-mailben flörtöl is vele néhány napon keresztül. A megszerzett értéktelennek látszó adatok (keresztnevek, beosztások, autó típusok, születésnapok, stb.) segítségével egy bűntársa már sikeresen adhatja ki magát egy kolléga jó ismerőseként, és kézpénzre váltható információkat csalhat ki.
A tolvajok a szükséges információ megszerzésére az emberi kapcsolatok alakulásának két alapvető sajátosságát használják fel:
- Úgy szocializálódtunk, hogy illőnek tartjuk csevegni egy keveset a másikkal mielőtt tárgyra térnénk.
- Az az ember, aki számára szimpatikusak vagyunk, számunkra is szimpatikussá válik és megbízunk benne.
Ha szeretne még többet megtudni a mobilbiztonságról jöjjön el a Computerworld által rendezett SecWorld konferenciára.
1. Azonosítsuk vállalatunk azon folyamatait, amelyek támadása bárkinek is érdekében állhat. Vegyük sorra cégünk likvid értékeit, készpénzt, nagy értékű alapanyagokat és eszközöket. Írjuk a listára a banki műveletek indításához szükséges információkat: jelszavak, aláírás pecsét, meghatalmazás, stb. Ne felejtsük el megvizsgálni versenytársaink és rosszakaróink motivációit is! Nekik gyakran olyan céljaik vannak, mely ellen soha nem jutna eszünk be védekezni. Végül vizsgáljuk meg, tevékenységünk során nem-e kezelünk olyan anyagot, amelyet mások fegyverként használhatnának fel (mérgek, robbanóanyagok, stb.) – A védekezés első feltétele, hogy tudjuk, mit kell megvédenünk.
2. Tartsunk egy előadást vagy beszélgetést a cég alkalmazottai számára, ahol felhívjuk a figyelmüket az e fajta csalásokra. Ismertessük meg a kollégákat az első pontban azonosított veszélyeztetett területekkel. Amennyiben cégünk létszáma magasabb húsz főnél, tartsuk a beszélgetést csoportokra bontva. Nagyobb cégeknél érdemes külön a management számára, és külön az egyes osztályok számára is előadásokat szervezni. – A védekezés második feltétele, hogy ismerjük a veszélyt.
3. Vonjuk be a kollégákat egy játékos közös gondolkodásba, melynek során a legagyafúrtabb csalások kiötlői nyereményben részesülnek. – Ha sikerül a támadó fejével gondolkodnunk, megismerjük a támadót. Ez pedig a védekezés harmadik feltétele.
4. Készítsünk szabályzatot a kritikus üzleti folyamatainkról! Ha kollégáink tudják, hogy például jelszót még sürgős esetben is csak az adatbázisban szereplő e-mail címekre elszabad küldeni, akkor hiába kéri valaki azt, hogy mondjuk be telefonba.
5. Nevezzünk ki kollégát, aki az egyes területek biztonságáért felel. Ez a kolléga rendszeres időközönként készítsen jelentést a biztonsági hiányosságokról és az általa javasolt intézkedésekről. Olyan embert válasszunk, aki jól ismeri a folyamatokat, és ne feledkezzünk meg a motiválásáról sem, hiszen többletmunkáról van szó.
Aki a fenti öt pontot végigjárja, megtakaríthat magának egy keserű tapasztalatot. Ne feledjük az információs társadalomban, amiben élünk az információ a legfontosabb érték!
Végül néhány tipp és trükk, amivel megnehezíthetjük a social engineerek dolgát:
- Használjunk biztonságos jelszavakat, amelyek megfelelően hosszúak, és vegyesen tartalmaznak betűket, számokat és speciális karaktereket. Rendszeresen cseréljük a jelszavainkat.
- Ha felmerül a gyanú, hogy hamisított weboldal használatára kérnek minket, próbáljunk megadni egy rossz jelszót. A hamis oldal minden további nélkül elfogadja, az eredeti pedig visszadobja.
- Ha ismeretlen személy szívességet kér tőlünk, kérjük el a telefonszámát, hogy később visszahívjuk. A telefonszám tulajdonosát könnyen ellenőrizhetjük a Tudakozónál. A csalók általában ragaszkodnak hozzá, hogy mindig ők hívjanak minket.
- Ha valaki gyors segítséget kér tőlünk egy másik kollégánkra hivatkozva, csak akkor tegyünk eleget a kérésnek, ha sikerült elérnünk a hivatkozott kollégánkat.