Social Engineering

A IT Biztonság kurzus wikiből
A lap korábbi változatát látod, amilyen Dszebeni (vitalap | szerkesztései) 2014. május 6., 11:57-kor történt szerkesztése után volt.



Tartalomjegyzék

Általános megfogalmazás

A Social Engineering (magyarul: pszichologiai befolyásolás) az a fajta támadás mikor a támadó nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere. Rendszerint ezeknél a támadásoknál a támadó bizalmi kapcsolatot alakít ki az áldozattal, bizalmába férkőzik, hogy később ezt a bizalmat kihasználva, az áldozat maga "kotyogja" ki az információ. Jóllehet az áldozat maga sem tudja sokszor hogy támadás érte és olyan információkat árul el ami számára értéktelen, mégis a támadó ezekkel felvértezve könnyen elérheti célját.


Lélektani háttere

Mivel a támadó csak a személyes kapcsolatokra és a bizalomra támaszkodhat, így ez a fajta támadás igen nehéz ha nem a legnehezebb támadási forma. A legsikeresebb Social Engineer-ek már a megtévesztés képességével születnek és életük végéig fejlesztik ezt a képességüket. Rendkívül nagy lélekjelenlét szükséges egy ilyen jellegű támadás kivitelezéséhez, ugyanis itt a legmagasabb a lebukás esélye. A szükséges személyiségjegyek a sikeres támadáshoz: Jó megjelenés, kommunikációkézség, erős improvizációs kézség, és még erősebb idegek. Ezek birtokában a megfelelő türelemmel és jó megközelítéssel szinte bárkit képes egy ilyesfajta támadás legyőzni. A technika szépsége hogy az ember naiv lény és hajlamos azt hinni hogyha a legdrágább eszközök és tűzfalak állnak a támadó és a cél között akkor a védelem áttörhetetlen de gyakran megfeletkeznek az emberi tényezőröl mit biztonságtechnikai tényező.

Példa támadásokra

(Ezeket a támadásokat magam terveltem csupán elméleti célból, ezek bárminemű végrehajtása tövényellenes végrehajtásuk büntetendő. SENKI NE PRÓBÁLJA KI!)

1. Nagy e-bayes vásárlás: Mindenki ismeri az e-bay nevő webshopot, rengeteg ember használja nap mint nap. Egy nap én is felkerestem és használni kezdtem de az első vásárlásnál egyből fel is tűnt mennyire könnyű vásárolni vele. Túl könnyű! Lássuk mi kell egy ilyen vásárláshoz: bankártya típusa, bankártyaszám, lejárati dátum, cvc szám (kártya hátulján 3 jegyű szám). És hol találjuk ezt a soknak tűnő információt? Mind ott van a kártyán. Kártyaadatok megszerzése: Gyerekjáték. Mamár mindenkinek van bankártája és a legtöbben használják nap mint nap , odaadják a pultosnak, pincérnek, eladónak nem is sejtve hogy komoly biztonsági rést hagynak ezzel nyitva. Gondoljunk bele, elmegyünk nyaralni egy szép ország szép strandjának szép szállodájába. Első lépés hogy felveszenek minden adatot: név stb. Második: A károk biztosítása érdekében (ha nem készpénzes deposit-ot fizetünk) lefénymásolják a kártyát hogy a későbbi esetleges károk biztosítva legyenek. Ezt a fénymásolatot elteszik egy fiókba és a recepciós a takarító és a szálloda majd összes dolgozója hozzáférhet ki nehezebben ki könnyebben. Ezt lehet kihasználni... Tegyük fel a gazdak milliomos orosz üzletember eljön nyaralni a modell feleségével pont abba a szállodába ahol dolgozol és minden folyamat rendben ment az áldozat bankártya fénymásolata ott a fiókban. Fogod kiveszed felírod a számokat, és az első teaszünetben felmész az ebayre és rendelsz egy új telefont magadnak egy fiktív címre fiktív néven (pl szálloda címére egy fiktív vendég részére, recepciósként bejelenthetsz vendéget aki később sajnos lemondja a foglalást). Ha az orosz milliomosnak nincs sms értesítés a telefonján ki sem derül míg hazanem ér és meg nem kapja az első számlakivonatot.

Védekezés a támadás ellen: Ne adjuk ki feleslegesen a kártyát, kérjünk a bankunktól sms értesítést és tranzakciónkénti azonosítást, a kártya cvc számát le lehet ragasztani hogy nem lássa senki még ha fénymásolják se.

A téma nagy szakértői

Kevin David Mitnick (1963. augusztus 6. –), az egyik legnagyobb hacker-legenda napjainkban, a média által is igen felkapott. A social engineering, a rábeszéléses meggyőzés nagymestere. Letartóztatása óta felhagyott az illegális tevékenységek űzésével, ma biztonságtechnikai tanácsadó.

A legvakmerőbb modern szélhámos címre minden bizonnyal Frank W. Abagnale pályázhat, akinek fiatalságát a Kapj el, ha tudsz! című könyv és a hasonló címmel készült film is megörökítette. Abagnale 1948-ban született a New York-i Bronxville-ben. 16 évesen lelépett otthonról, jogosítványán a születési évet 1938-ra javította, és úgy döntött, hogy a PanAm egyik pilótájának személyiségét veszi magára. Egyszerűen telefonált a légitársaságnak, ahol megkapta a pilóta-egyenruhákat gyártó cég címét, és beszerezte a szükséges sötétkék egyenruhát, majd a jelvényeket.


Összefoglalás

Mindíg gondoljuk az emberi hiszékenségnek mint biztonsági tényezőnek.

A lap eredeti címe: „http://ethical.inf.elte.hu/w/index.php5?title=Social_Engineering&oldid=172