Egy pesti gimnázium nemrégiben e-mailt kapott, melyben a küldő arra kérte az iskolát, hogy „nézzen rá számítógépes rendszerére” és mellesleg készítsen „egy sima rendszergazdai hozzáférést”, amelyhez konkrét jelszót is meghatározott. A csaló aláírásként Fóti Marcell biztonsági szakértő nevét adta meg álcaként, és hivatkozott NetAcademia Oktatóközpontra is, amelynek a szakember vezető oktatója és ügyvezetője is – így akár még hihetőbb is lehetett volna az álca. A gimnázium vezetése szerencsére sejtette, hogy valami nem stimmel, ezért fel is vette a kapcsolatot a NetAcademiával, ahol fény derült az igazságra: az oktatóközpont soha nem kér – nem is kérhet – sem telefonon, sem e-mailben jelszót egy tőle független szervezettől. Az esetet maga a NetAcademia Oktatóközpont közölte a hvg.hu-val.

A fenti eset Fóti szerint jól példázza, hogy Magyarországon is terjedőben van az ún. social engineering, azaz, amikor a számítógépes bűnöző az informatikai rendszerekbe történő bejutáshoz nem a hardver, a szoftver vagy a hálózat esetleges hibáit, biztonsági hiányosságait, hanem az emberi természet gyengeségeit használja ki.

A támadás ebben az esetben is a kutatással kezdődik: a hackerek beszereznek minden olyan információt, ami a cégről elérhető (éves jelentés, marketinganyagok, újságcikkek stb.), majd feltérképezik a szervezet felépítését, az alá-fölérendeltségi viszonyokat, a jogosultságokat, nemritkán az alkalmazottak ülésrendjét, baráti kapcsolatait is. „Ebben a fázisban az is előfordul, hogy a támadó beáll az adott vállalathoz takarítónak és éjszakánként átkutatja az alkalmazottak szemeteskukáját, elolvassa az emlékeztetőül hagyott céduláikat, belelapoz az asztalon hagyott anyagaikba” – mondja Fóti Marcell.

Bejutás, azonosulás, csalás

Mivel az esetek többségében a hacker a vállalat dolgozójának, vagy partnerének adja ki magát - alkalmazottnak, menedzsernek, vagy éppen az adott területen jól ismert szakembernek -, a kutatás során el kell sajátítania az adott cégre jellemző szakmai zsargont, meg kell ismernie a belső rendszereket és átvennie minden olyan, a cégkultúrához tartozó elemet, amivel hitelesebbé tudja tenni magát.

A kutatási szakasz után következik maga a valós támadás, mely során a csaló egy ügyes csellel, vagy jól kitalált ürüggyel elnyeri a célszemély bizalmát és támogatását. A social engineering „úttörőjeként” ismert, 5 éves börtönbüntetéséből 2003-ban szabadult Kevin Mitnick is ezekkel a módszerekkel jutott be többek közt a Motorola és a Nokia számítógépes rendszereibe.

Kötelező gyanakvás

Arra, hogy valaki egy néhány percig tartó telefonhívással megszerezze a vállalati információkhoz hozzáférő alkalmazott belépési kódjait, már hazánkban is volt példa. „Tudunk olyan esetről, amikor a hacker magát a vállalat rendszergazdájának kiadva telefonon kérte az alkalmazottat, hogy lépjen be a rendszerbe, és változtassa meg a közösen egyeztetett kódra jelszavát.”– ismertetett egy újabb példát Fóti. A szakember szerint a védekezés leghatékonyabb módja a gyanakvás és a jelszókezelésre vonatkozó házirend követése. Ha például egy általunk nem ismert „munkatárs” kér minket telefonon jelszavunk megváltoztatására, foglaltságunkra hivatkozva és visszahívást ígérve kérjük el vállalati telefonszámát. Így marad idő arra, hogy a vállalati telefonkönyvben ellenőrizzük személyét, és utánajárjunk a megadott információknak.

Fóti szerint az ilyen típusú átverések legeredményesebben a vállalatoknál, szervezeteknél bevezetett – az adatbiztonság kérdéseit részletesen szabályozó – biztonsági házirend segítségével szűrhetők ki, mely az iménti szituációkra vonatkozóan is pontosan leírja a jelszavakra vonatkozó szigorú szabályokat. A házirendeket azonban nem csak elkészíteni, de rendszeresen oktatni is kell ahhoz, hogy valóban sikeres legyen a küzdelem a számítógépes bűnözők ellen.