2 °C Budapest

Ha jót akarsz, gyanakodj!

Pénzcentrum
2006. május 3. 16:05

A NetAcademia Oktatóközpont és Fóti Marcell nevét használták ahhoz a végül sikertelen számítógépes csaláshoz, melynél egy pesti gimnázium hálózatába való bejutás volt a cél. Az eset rávilágít a social engineering típusú számítógépes visszaélések hazai terjedésére.

A legfontosabb hírek, a napi hírzaj nélkül.
Elindult a Pénzcentrum heti hírlevele, a Turmix.


Egy pesti gimnázium nemrégiben e-mailt kapott, melyben a küldő arra kérte az iskolát, hogy "nézzen rá számítógépes rendszerére" és mellesleg készítsen "egy sima rendszergazdai hozzáférést", amelyhez konkrét jelszót is meghatározott. A csaló aláírásként az informatikai biztonság szakértőjeként jól ismert Fóti Marcell nevét adta meg álcaként, és hivatkozott NetAcademia Oktatóközpontra is, amelynek a szakember vezető oktatója és ügyvezetője is - így akár még hihetőbb is lehetett volna az álca. A gimnázium vezetése szerencsére sejtette, hogy valami nem stimmel, ezért fel is vette a kapcsolatot a NetAcademiával, ahol fény derült az igazságra: az oktatóközpont soha nem kér - nem is kérhet - sem telefonon, sem e-mailben jelszót egy tőle független szervezettől.

A fenti eset jól példázza, hogy Magyarországon is terjedőben van az ún. social engineering, melynek fogalmát Fóti Marcell a következőképpen foglalta össze: "A social engineering az emberek természetes, bizalomra való hajlamának kihasználásán alapszik. A számítógépes bűnöző az informatikai rendszerekbe történő bejutáshoz nem a hardver, a szoftver vagy a hálózat esetleges hibáit, biztonsági hiányosságait, hanem az emberi természet gyengeségeit használja ki."

A támadás ebben az esetben is a kutatással kezdődik: a hackerek beszereznek minden olyan információt, ami a cégről elérhető (éves jelentés, marketinganyagok, újságcikkek stb.), majd feltérképezik a szervezet felépítését, az alá-fölérendeltségi viszonyokat, a jogosultságokat, nemritkán az alkalmazottak ülésrendjét, baráti kapcsolatait is. "Ebben a fázisban az is előfordul, hogy a támadó beáll az adott vállalathoz takarítónak és éjszakánként átkutatja az alkalmazottak szemeteskukáját, elolvassa az emlékeztetőül hagyott céduláikat, belelapoz az asztalon hagyott anyagaikba." - mondja Fóti Marcell.

Bejutás, azonosulás, csalás

Mivel az esetek többségében a hacker a vállalat dolgozójának, vagy partnerének adja ki magát - alkalmazottnak, menedzsernek, vagy éppen az adott területen jól ismert szakembernek -, a kutatás során el kell sajátítania az adott cégre jellemző szakmai zsargont, meg kell ismernie a belső rendszereket és átvennie minden olyan, a cégkultúrához tartozó elemet, amivel hitelesebbé tudja tenni magát.

A kutatási szakasz után következik maga a valós támadás, mely során a csaló egy ügyes csellel, vagy jól kitalált ürüggyel elnyeri a célszemély bizalmát és támogatását. A social engineering "úttörőjeként" ismert, 5 éves börtönbüntetéséből 2003-ban szabadult Kevin Mitnick is ezekkel a módszerekkel jutott be többek közt a Motorola és a Nokia számítógépes rendszereibe.

Kötelező gyanakvás

Arra, hogy valaki egy néhány percig tartó telefonhívással megszerezze a vállalati információkhoz hozzáférő alkalmazott belépési kódjait, már hazánkban is volt példa. "Tudunk olyan esetről, amikor a hacker magát a vállalat rendszergazdájának kiadva telefonon kérte az alkalmazottat, hogy lépjen be a rendszerbe, és változtassa meg a közösen egyeztetett kódra jelszavát."- ismertetett egy újabb példát Fóti Marcell. A szakember szerint a védekezés leghatékonyabb módja a gyanakvás és a jelszókezelésre vonatkozó házirend követése. Ha például egy általunk nem ismert "munkatárs" kér minket telefonon jelszavunk megváltoztatására, foglaltságunkra hivatkozva és visszahívást ígérve kérjük el vállalati telefonszámát. Így marad idő arra, hogy a vállalati telefonkönyvben ellenőrizzük személyét, és utánajárjunk a megadott információknak.

Fóti szerint az ilyen típusú átverések legeredményesebben a vállalatoknál, szervezeteknél bevezetett - az adatbiztonság kérdéseit részletesen szabályozó - biztonsági házirend segítségével szűrhetők ki, mely az iménti szituációkra vonatkozóan is pontosan leírja a jelszavakra vonatkozó szigorú szabályokat. A házirendeket azonban nem csak elkészíteni, de rendszeresen oktatni is kell ahhoz, hogy valóban sikeres legyen a küzdelem a számítógépes bűnözők ellen.
A legfontosabb hírek, a napi hírzaj nélkül.
Elindult a Pénzcentrum heti hírlevele, a Turmix.
HR BLOGGER
hrdoktor  |  2021.12.06 05:29
Számos munkakör hordoz magában komoly balesetveszélyt, ezért fontosak a munkahelyi elsősegélynyújtás...
hrbonbon  |  2021.12.06 00:33
Az ÉRTÉKADÁS TÖRVÉNYE a vezetést mások szolgálataként határozza meg. A jó vezető arra fókuszál, hog...
perfekt  |  2021.12.05 22:05
A cikksorozat előző részében említettük, hogy számviteli beszámoló összeállítása tehát egy „folyamat...
vezetoi-coaching  |  2021.12.03 09:05
Mi találtam… amire fókuszálsz, az jön szembe… ami lent, az fent, ami belül, kívül… A múltkor egy fra...
legacykft  |  2021.11.26 18:04
„Az az érzésem, Mónika, hogy kénytelen leszek szembenézni olyan hiedelmeimmel, berögződéseimmel, szo...
NAPTÁR
Tovább
2021. december 6. hétfő
Miklós
49. hét
December 6.
Mikulás
KONFERENCIA
Tovább
Sustainable World 2021
Fenntartható befektetések, piaci lehetőségek: varázsszó az ESG
EZT OLVASTAD MÁR?