A filmekben a hackerek sötét szobákban, villámgyorsan gépelve törik fel a szervereket. A valóság azonban sokkal prózaibb: gyakran elég egy jól felépített telefonhívás vagy egy sürgető e-mail ahhoz, hogy a támadó megszerezze a cég „kulcsait”. Ezt hívjuk social engineeringnek.
Mi az a Social Engineering?
A social engineering (pszichológiai manipuláció) lényege, hogy a támadók nem technikai réseket keresnek, hanem az emberi természet alapvető tulajdonságait – a segítőkészséget, a félelmet vagy a tekintélytiszteletet – használják ki. A cél minden esetben az, hogy bizalmas adatokat csaljanak ki, vagy kártékony szoftver futtatására vegyék rá az áldozatot.
- Sürgetés: „Azonnal lépjen be, különben töröljük a fiókját!” A kapkodás során az ember nem figyel a gyanús jelekre.
- Tekintélyelvűség: A támadó a főnök, a banki biztonsági szolgálat vagy az IT osztály nevében jelentkezik be.
- Segítőkészség: Egy ártatlannak tűnő kérés, például „segítsen egy belépési hiba elhárításában”, ami valójában adatlopás.
Gyakori technikák: A Vishing és a Pretexting
Míg a phishing (adathalászat) e-mailben történik, a Vishing (Voice Phishing) telefonon zajlik. A csaló meggyőző hangon közli, hogy gyanús tranzakciót észleltek a számláján, és a „biztonság érdekében” kéri a kódjait. A Pretexting során a támadó egy kitalált történetet (ürügyet) épít fel, hogy bizalmat építsen, például közvélemény-kutatónak vagy új munkatársnak adja ki magát.
„A legmodernebb tűzfal is hatástalan, ha a felhasználó önként nyitja ki az ajtót a támadónak. A biztonságtudatosság nem technikai, hanem gondolkodásmódbeli kérdés.”
Hogyan ismerheti fel a manipulációt?
A támadók profik, de van néhány árulkodó jel, amire ha figyel, elkerülheti a bajt:
- Szokatlan kérés: Az IT osztály soha nem fogja kérni a jelszavát telefonon vagy e-mailben.
- Érzelmi nyomás: Ha úgy érzi, azonnal kell cselekednie, álljon meg egy pillanatra! Ez a manipuláció alap eszköze.
- Túl sok információ: A támadó apró, már korábban megszerzett adatokkal (pl. tudja a belső melléket vagy a főnöke nevét) próbálja hitelesíteni magát.
A védekezés kulcsa a gyanakvás
Ha gyanús hívást vagy üzenetet kap, ne adja meg az adatokat! Inkább bontsa a vonalat, és hívja vissza az illetőt a hivatalos központi számon. Irodai környezetben pedig vezessenek be szigorú protokollokat: ki, milyen adatokhoz férhet hozzá, és hogyan igazolják magukat a munkatársak egymás között.