Social engineering, avagy pszichológiai manipuláció

Podcastünkben a legfrissebb kiberbiztonsági és adatvédelmi híreket, incidenseket, trendeket vitatjuk meg, valamint kiberbiztonsági szakértőkkel segítünk nektek biztonságosabbnak és tudatosabbnak maradni a kibertérben. 

Az adáshoz készült blogbejegyzést itt olvashatjátok:

Mit jelent a social engineering megfogalmazás?

A social engineering olyan módszerek, valamint témák egészét jelenti, mely során a támadó az áldozattól az emberi hiszékenységet felhasználva, a technológia segítségével vagy anélkül csalja ki a számára hasznos információkat.

Hogyan néz ki ez a valóságban, mit értünk emberi hiszékenység alatt? 

Nagyon jellemző, hogy például egy banktól kapunk e-mailt, ami látszólag teljesen ugyanúgy néz ki, mintha a saját bankunk levele lenne. Ennél az esetnél is látszik, hogy az emberek hiszékenyek, hiszen a legtöbben elhiszik, hogy ezt a bank küldte nekik. Így, ha például jelszóváltoztatást kérnek, azonnal rá is kattintanak.

Fel sem merül bennük, hogy esetlen nem a bank küldte. Erre a hiszékenységre alapoznak a kiberbűnözők, és ezt használják ki.

Magyarországon is előfordult már olyan eset, hogy felhívnak egy banktól és megpróbálnak hozzáférni a jelszóhoz, vagy azt mondják, hogy egy bizonyos számlára kellene pénz átutalni. 

Amikor az illető azt mondja, hogy de ő nem is ennél a banknál van, akkor azt mondják, semmi baj, azonnal átkapcsoljuk a megfelelő bankhoz. 

A kiberbiztonság területén milyen módon lehet alkalmazni még a social engineering-et?

A social engineering-re védelmi taktikaként is tekinthetünk. Nemcsak a támadók, hanem mi is, akik védeni akarjuk a felhasználókat használhatjuk ezt a technikát. 

Például egy kiberbiztonsági cég végrehajthat social engineering támadást, mely során ugyanúgy kell végrehajtaniuk minden lépést, mint ahogyan a kibertámadók tennék. 

Ennek segítségével láthatóvá válik, hogy hol vannak rések a rendszerben vagy láthatjuk azt is, hogy a munkatársak hogyan reagálnának egy támadásra. Ezeket összegezve felállíthatunk egy olyan oktatást számukra, mely segítségével egy valódi támadás esetén tudnak megfelelően védekezni.

Ahogy haladunk előre az időben, a támadások is egyre szofisztikáltabbá válnak. Régebben még egy hasonló támadás során helyesírásilag nem voltak megfelelőek magyar szövegek, de a támadók is fejlődnek, ezáltal könnyedén lemásolják a hivatalos bankok leveleit, értesítőit.

A szakma mindig tanul ezekből a tapasztalatokból, így megfelelő védelmet tudunk kialakítani. 

A social engineering-nél nagyon fontos megjegyezni, hogy ez nem technikai, hanem kimondottan pszichológiai alapon működik, ennek segítségével csalják ki az adatokat. 

Azért működik megfelelően ez a technika, mert amikor félünk, általában csőlátás alakul ki, hogy egy valamire tudjunk csak koncentrálni. 

Amikor félelmet élünk át, a tudatunk beszűkül, ezért nem vesszük észre azt sem, hogy például nem is az unokánk telefonál, hanem valaki más az ő nevében. 

A fáradtság, a naivitás, a segítőkészség, a nyitottság…sok olyan tulajdonságunk létezik, melyek miatt jóhiszeműen járnánk el. 

Milyen előjelei lehetnek ezeknek a támadásoknak? Miről ismerhetők fel?

Fontos ismertetőjegye, hogy a legtöbb levél, amit kapunk, sürget. Azt hangsúlyozzák, hogy azonnal változtasd meg a jelszavad, azonnal cselekedj. Ez gyanús lehet. 

Emellett, ha helyesírási hibák vannak benne, vagy a link hibás, esetleg túl jól hangzik, hogy igaz legyen. Hasonló esetekben mindig legyünk gyanakvók. 

Egy levélen keresztül soha ne kattintsunk linkre, helyette lépjünk be az online felületre vagy a mobil alkalmazásba és ott bizonyosodjunk meg róla.

Pszichológiai jellemzője, hogy a támadók egy belső körbe próbálnak bekerülni.

Néhány példa: 

–       Ha valaki azt mondja, hogy a Te bankodtól hív, akkor megnyugszol, hogy igen valóban ott bankolsz.

–       Ha dohányzol, és valaki tüzet kér tőled, szívesen adsz neki, hiszen ő is a dohányosok körébe tartozik.

A leggyengébb láncszem tehát mindig a felhasználó.

Hogyan védekezhetünk ellene cégként?

Fontos, hogy kinevezzünk egy biztonsági felelőst, aki szervez oktatásokat a munkatársaknak, és évente megismételteti. A módszerek, technikák frissülnek, ezért mindig szinten kell tartanunk a felkészültségünket. Külsős céget is érdemes megbízni, hogy kiderüljenek a hiányosságok, melyeket még időben kijavíthatunk.

Hogyan védekezhetünk ellene magánszemélyként?

Kételkedjünk, kétes weblapokra ne kattintsunk, ha valamiben nem vagyunk biztosak járjunk utána. Szoftvereket csak meggondolva telepítsünk, személyes adatokat ne adjunk meg, ha valami gyanús, azonnal jelentsük.

3 jó tanács: először álljunk meg, gondoljuk át és védekezzünk.

Egy online vásárlás során honnét tudhatjuk, hogy melyik oldal nem megbízható?

Egy weboldal felületén kötelezően meg kell jelennie az adatkezelési nyilatkozatnak. Ha megnyitjuk, már láthatóvá is válik, hogy ki kezeli az adatokat.

Abban az esetben, ha adatkezelési nyilatkozat nincs megadva, az gyanús, emellett pedig nem GDPR kompatibilis.

Különböző jelszókezelő programok is léteznek, melyek segítségével minden felületen másik jelszót használhatunk.

Ezeken kívül, ha nem vagyunk biztosak az oldal valóságosságában, akkor olvassunk utána, keressünk értékeléseket, véleményeket.

Business E-mail Compromise, vagyis eltereléses csalás. Mit tudhatunk erről a módszerről?

A cégek jellemzően e-mailben kommunikálnak, az üzleti és pénzügyi információkat is ezen a felületen osztják meg egymással. A támadók pedig rájöttek, hogyan tudnak gyorsan, sok pénzhez hozzájutni. 

Ennek a módja nem más, mint, hogy belefolynak ebbe a kommunikációba és adott esetben bele is szólnak. Például egy hamis e-mail címről is indulhat a levelezés vagy egy meglévő munkatárs e-mail fiókját is feltörhetik. Olyan szűrőket helyezhetnek el benne, mely segítségével az e-mail a bűnözőhöz is eljut, így belelátnak az összes kommunikációba, emellett pedig az üzeneteket módosítani is tudják.

Hasonló esetben érdemes lenne a cégeknek egymás között titkosítva küldeni a leveleket, így elkerülhető, hogy más is belelásson.

A podcast és a blogbejegyzés elkészülését segítette:

Makay Ágnes Krisztina: social engineering szakértő, no tech hacker

Keresztes Attila: vállalkozó 

Mészáros Csaba: Hacktify társ ügyvezetője

További publikációink