2021.08.23. 12:37
„Kiberbűnözőként keressük a cégek gyenge pontjait”
Social engineering típusú kibertámadások fenyegetik a magyar cégeket.
Forrás: Shutterstock
Elsőre elcsépelt hollywoodi kliséknek tűnhetnek, de az elmúlt években mindegyikre láttunk valós példákat Magyarországon – mondja Makay Ágnes Krisztina, no-tech hacking és social engineering szakértő.
A COVID-19 járvány kirobbanása óta magyar és nemzetközi cégek szokatlanul nagy számban keresték meg a Makay Kiberbiztonság Kft-t jelentős (a néhány százezrestől egészen a százmilliós nagyságrendű) vagyoni károkat okozó informatikai biztonsági incidensekkel kapcsolatban. Ezek a támadások jellemzően az úgynevezett „üzleti e-mail eltérítés” (BEC, Business Email Compromise, Email Account Compromise) típusba sorolhatóak, amiket
a támadók social engineering módszerekkel alapoznak meg.
Mit is takar a social engineering kifejezés, amiről egyre gyakrabban lehet hallani a médiában?
A social engineering olyan módszerek, valamint támadási technikák összességét jelenti, melyek során a támadó az áldozattól
az emberi hiszékenységet felhasználva a technológia nyújtotta lehetőségek segítségével vagy anélkül csalja ki a számára hasznos információkat.
A social engineeringbe számos támadási formát sorolhatunk, ezek közül a gyakorlatban a leggyakoribbak:
1. Phishing (adathalászat): Az egyik legismertebb támadási mód. Az adathalászok a felhasználókat általában e-mailben, egy teljesen megbízhatónak tűnő feladó nevében veszik rá, hogy küldjék el számukra a személyes adataikat szintén e-mailben, vagy valamilyen webes űrlap segítségével.
2. SMShing: Magyarországon is előfordult a módszer (FluBot kártevő), amivel a bűnözőknek sokakat sikerült átvernie. A támadás során az áldozatok SMS-ben kapnak üzenetet, miszerint valamilyen okból (pl.: csomagjuk fog érkezni) az SMS-ben található linkre rá kellene nyomni. Természetesen a link megnyitásával egy mobilokra szánt vírust próbáltak feltelepíttetni az áldozatokkal – sok ezer esetben sikeresen.
3. Baiting: A támadó egy csailt, például egy speciális, támadó pendrive-ot hagy az áldozat asztalán, kihasználva a kíváncsiságát, aki rácsatlakoztatja azt a számítógépére és egyben a céges hálózatra.
4. Man in the middle: A támadó két fél kommunikációja közé beékeli magát, ezáltal lehallgatva és/vagy manipulálhatja a felek közötti társalgást. Ilyen módszerrel sikerült több milliós károkat okozni cégeknek úgy, hogy a támadó látszólag rendben lévő, de átírt számlaszámú díjbekérőt (vagy számlát) küldött az egyik fél nevében, így az áldozat mit sem sejtve elutalta az összeget a bűnöző részére.
5. Vishing: Szintén gyakori támadási mód itthon, amikor valamilyen megbízható szervezet, például bank vagy telefonszolgáltató nevében telefonálnak az áldozatoknak. Ilyenkor az a támadók célja, hogy személyes adatokat, kártyaadatokat csaljanak ki a potenciális áldozatoktól.
6. Spying: Kémprogramokat juttatnak be a szervezetek informatikai rendszerébe, amiken keresztül a háttérben tudják figyelni a zajló eseményeket, így a megszerzett szenzitív adatokkal könnyen visszaélhetnek.
7. Tailgating: Amikor a támadó úgy jut be fizikailag egy szervezet épületébe, hogy szorosan követ egy olyan csoportot (például az ott dolgozókat vagy takarítókat, stb.), akiknek jogosultságuk van az épület belépésébe.
8. Shoulder surfing: A támadó az áldozat „válla fölött” lelesi a képernyőről a számára hasznos információkat.
9. Dumpster diving: A támadó kidobott szemétből turkálja ki az érzékeny adatokat, mint például a számlákat, a szerződéseket stb.
Mit tehet egy cég, hogy elkerüljön egy social engineering támadást? Ebben a témában is a legfontosabb a megelőzés.
Makay Ágnes Krisztina szerint minden szervezet, még a mikro-, kis- és középvállalkozások számára javasolt saját informatikai biztonsági szabályzat létrehozása, amit évente felülvizsgálni és aktualizálni szükséges, ugyanis a kiberbűnözők napról-napra egyre fejlettebb és fondorlatosabb módszerekkel állnak elő, amik ellen egy elavult szabályzat követése kevés lesz. Ezen szabályzat követése nemcsak az informatikai biztonságért felelős kollégák feladata, hanem a szervezet összes dolgozójáé – a HR-esektől a CEO-ig – hiszen minden munkavállaló külön-külön támadási célpontnak tekinthető.
Ebből következik a munkavállalók biztonságtudatossági oktatásának fontossága, ami szintén egy sarkalatos pontja a védekezési stratégiának. Sok incidens ugyanis azzal kezdődik, hogy a tájékozatlan munkavállalók bedőlnek egy social engineering támadásnak, amit el lehetne kerülni azzal, hogy rendszeresen részt vesznek szerepkörökre szabott biztonságtudatossági oktatásokon, ahol megismerik az aktuálisan alkalmazott támadási módszereket és azok kivédésének módszereit.
„A social engineering támadástípusok jelentős hányadát védelmi technológiákkal nem lehet hatékonyan kivédeni, hiszen az ilyen típusú támadásoknak pont az a célja, hogy megkerülje vagy hatástalanítsa ezeket a megoldásokat, méghozzá az áldozat segítségével.”
Ha viszont már bekövetkezett az incidens, akkor sincs vége a tennivalóknak, hiszen a cégnek incidenskezelésre vonatkozó eljárásrendek szerint kell kezelnie a problémát. Az előzetesen létrehozott incidensmenedzsment stratégiával az illetékesek képesek feltérképezni a támadás folyamatát és megelőzni a jövőbeli hasonló eseteket.
A Makay Kiberbiztonság célja, hogy a hazai szervezetek számára olyan etikus social engineering szolgáltatást nyújtson, ami segít felmérni az adott szervezet aktuális védekezési potenciálját, megtalálja a gyenge pontokat és láncszemeket, valamint ezek alapján olyan védelmi képességekkel ismerteti meg a szereplőket, amikkel megelőzhetőek a súlyos pénzügyi és reputációs károkat okozó incidensek.
Borítóképünk illusztráció