Az (informatikai) biztonsági szakemberek hisznek abban, hogy „az emberi butaságra nincs ellenszer”. Akár egy tucatnyi görögre gondolunk egy falóban Trója falain belül, akár egy rejtőzködő féregre Anna Kournikova egyik kihívó képében, az emberi hiszékenység messze-messze az egyik legerősebb fegyver bárkinek, ami át akarja törni a biztonság korlátait. A biztonsági tesztekre specializálódott „iparban” az emberi butaságra és naivitásra építő támadásoknak saját nevük van: pszichológiai manipuláció (social engineering).
Mikor a hackerekre gondolunk, akkor olyasvalakik szoktak eszünkbe jutni, akik kétes úton járnak és mindenféle protokollokat visszafejtve juttatnak be backdoort a nagy gépekbe. Mindezt egy ócska, fekete szemüvegben. A valóságban azonban a legsikeresebb hackerek többsége nem csak a széleskörű technikai ismeretére támaszkodik, hanem ért a megtévesztéshez is.
Jól tesszük, ha elkezdünk gyanakodni, mikor váratlanul hívást kapunk a „Windows Támogatástól”, miszerint problémát észleltek a számítógépünkön és távoli hozzáférésre van szükségük a javításához. Gondolhatjuk, hogy Gipsz Hackab nem egy jelszó felügyelő, akinek meg kell adnunk a belépési adatainkat ahhoz, hogy meg tudja vizsgálni azok biztonságosságát. De a hackerek egyre okosabbak. Mit gondolsz, vajon beleesnél az alábbi három, meglepően széleskörűen használt pszichológiai támadásba?
Preparált hozzáférési pontok – Nincs jobb a Free WiFi-nél
Végre lenyűgözted a főnököd a Vombat Farmmal kapcsolatos nagyszerű ötleteddel. Úgy gondolja, hogy ez tényleg nagyszerű lehetőség a kiugrásra, ezért elküldött téged a Vombat Farmerek legnagyobb eseményére, a Nemzetközi Vombat találkozóra, hogy mutasd be a prezentációkat és szerezz néhány új befektetőt. Már csak néhány óra van hátra életed legnagyobb beszédéig, de előtte meg kell nézned a felhőbe mentett jegyzeteid. Szerencsére, a találkozón van Free WiFi, így boldogan csatlakozol a VomBatNethez.
„A WiFi használatához le kell töltened az alkalmazásunkat” – mondja a portál. Nos, bár bosszantó, mégis csak meg kell nézned a jegyzeteidet! Sürget az idő, elkezded a letöltést.
Fordulat: Ez az alkalmazás egy rosszindulatú szoftver és épp most fertőzted meg vele a céges gépedet. A „Free WiFi” valójában egy vezeték nélküli hozzáférési pont, amelyet egy hacker állított be, nem túl nemes cél érdekében. Épp most lettél egy preparált hozzáférési ponttal elvégzett támadás áldozata.
A Mézes bödön – Jégkémmel csábítva
Mindenki szereti a fagyit, te is, ugye? Tehát összefut a nyál a szádban, amikor egy fazon az irodáddal szemben egy hirdetőtáblán ingyen kóstolót kínál a „Jeges Csodából”, ugye? Elfogyott az összes csokis kóstoló, de semmi baj! Kapsz egy szórólapot, amiről egy QR kód segítségével letöltheted az ingyenes „Jeges Csoda” alkalmazást, amellyel lehetőséged nyílik megnyerni egy egész életre szóló ingyenes fagyizást! Micsoda üzlet! Egy perc múlva már az irodában vagy, csatlakoztál a munkahelyi WiFi hálózathoz és elindítottad a letöltést. Már majdnem megkóstolhattad a csokis Jeges Csodát.
Fordulat: Rosszindulatú alkalmazást töltöttél le. Ahogy a hidegháborúban a kémeket csinos orosz ügynökök csábították el, úgy estél bele a klasszikus mézes bödön csapdába. De legalább kaptál ingyen fagyit odakint, nemde?
Alma az úton – Miért nem kéne minden útszéli eszközt… bedugdosni?
Egy pendrive-ot vizslatsz, amelyet biztosan az útpadkánál elejtettek el. Teljesen újnak tűnik… felveszed és zsebreteszed. Kicsit később leülsz, hogy megnézd mi van rajta, talán megtudod, hogy kinek a tulajdona és vissza tudod neki adni. Talán egyszerűen csak érdekel a lehetőség, hogy egy rövid bepillantást nyerj egy számodra teljesen idegen ember magánéletébe. Csatlakoztatod a pendrive-ot a laptophoz majd elsőként a „Kormányzati Titkok” fájlt nyitod meg.
Fordulat: Ez már nem is igazi fordulat, nemde? A USB eszköz rosszindulatú programmal fertőzött, ami immár a gépeden van. Korábban, a munkahelyedhez vezető úton a hackerek egy bosszantó csoportja elszórt néhány olcsó pendrive-ot az úton, abban reménykedve, hogy azok jó csalik lesznek. Tehát újra: ezúttal az Alma az úton támadás áldozata lettél. A módszer működése „élesben” is megtekinthető a Mr. Robot 1. évad 6. részében.
Mit tehetsz?
Egy egyszerű okból használják még mindig a pszichológiai támadásokat: működnek. Emberként hajlamosak vagyunk hallgatni a velünk született bizalomra. Illetve bizonyára több az ártalmatlan ingyenes WiFi hozzáférési pont, fagyi alkalmazás és elveszett USB meghajtó, mint a hackerek által furmányosan manipulált. Bár nincs ellenszer az emberi butaságra, ez mégsem jelenti azt, hogy nemtörődömnek kellene lenned. Légy mindig észnél, emlékezz a biztonsági szabályokra és még a legártalmatlanabb helyzetekben se szegd meg azokat. Mi van ha biztonsági szakértőként dolgozol? Folytasd a pszichológiai támadásokat és tedd egyszerűvé az életedet. Majdnem minden szervezet védelmében az emberei jelentik a rést.
A cikk nagy részben fordítás, az eredetit a https://www.packtpub.com/books/content/no-patch-human-stupidity-three-social-engineering-techniques-you-might-not-know-about oldalon olvashatod, angol nyelven.