Social Engineering

A IT Biztonság kurzus wikiből



Tartalomjegyzék

Általános megfogalmazás

A Social Engineering (magyarul: pszichológiai befolyásolás) az a fajta támadás mikor a támadó nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere. Rendszerint ezeknél a támadásoknál a támadó bizalmi kapcsolatot alakít ki az áldozattal, bizalmába férkőzik, hogy később ezt a bizalmat kihasználva, az áldozat maga "kotyogja ki" az információt. Jóllehet az áldozat maga sem tudja sokszor, hogy támadás érte, és olyan információkat árul el, ami számára értéktelen, mégis a támadó ezekkel felvértezve könnyen elérheti célját.


Lélektani háttere

Mivel a támadó csak a személyes kapcsolatokra és a bizalomra támaszkodhat, így ez a fajta támadás igen nehéz, ha nem a legnehezebb támadási forma. A legsikeresebb Social Engineer-ek már a megtévesztés képességével születnek és életük végéig fejlesztik ezt a képességüket. Rendkívül nagy lélekjelenlét szükséges egy ilyen jellegű támadás kivitelezéséhez, ugyanis itt a legmagasabb a lebukás esélye. A szükséges személyiségjegyek a sikeres támadáshoz: Jó megjelenés, kommunikáció-készség, erős improvizációs készség, és még erősebb idegek. Ezek birtokában a megfelelő türelemmel és jó megközelítéssel szinte bárkit képes egy ilyesfajta támadás legyőzni. A technika szépsége hogy az ember naiv lény és hajlamos azt hinni, hogy ha a legdrágább eszközök és tűzfalak állnak a támadó és a cél között akkor a védelem áttörhetetlen, de gyakran megfeledkeznek az emberi tényezőről, ami szintén egy lényeges biztonságtechnikai tényező.

Példa támadásokra

(Ezeket a támadásokat magam terveltem csupán elméleti célból, ezek bárminemű végrehajtása törvényellenes, végrehajtásuk büntetendő. SENKI NE PRÓBÁLJA KI!)

1. Nagy e-bayes vásárlás: Mindenki ismeri az e-bay nevű webshopot, rengeteg ember használja nap mint nap. Egy nap én is felkerestem és használni kezdtem, de az első vásárlásnál egyből fel is tűnt, mennyire könnyű vásárolni vele. Túl könnyű! Lássuk mi kell egy ilyen vásárláshoz: bankkártya típusa, bankkártyaszám, lejárati dátum, cvc szám (kártya hátulján lévő 3 jegyű szám). És hol találjuk ezt a sok információt? Mind ott van a kártyán. Kártyaadatok megszerzése pedig gyerekjáték. Ma már mindenkinek van bankártája és a legtöbben használják is nap mint nap, odaadják a pultosnak, pincérnek, eladónak nem is sejtve hogy komoly biztonsági rést hagynak ezzel nyitva. Gondoljunk bele, elmegyünk nyaralni egy szép ország szép strandjának szép szállodájába. Első lépés hogy felvesznek minden adatot: név stb. A második, hogy a károk biztosítása érdekében (ha nem készpénzes deposit-ot fizetünk) lefénymásolják a kártyát hogy a későbbi esetleges károk biztosítva legyenek. Ezt a fénymásolatot elteszik egy fiókba és a recepciós a takarító és a szálloda majd összes dolgozója hozzáférhet, ki nehezebben ki könnyebben. Ezt lehet kihasználni... Tegyük fel a gazdag milliomos orosz üzletember eljön nyaralni a modell feleségével pont abba a szállodába ahol dolgozol és minden folyamat rendben ment az áldozat bankkártya fénymásolata ott a fiókban. Fogod, kiveszed, felírod a számokat, és az első teaszünetben felmész az e-bayre és rendelsz egy új telefont magadnak egy fiktív címre fiktív néven (pl szálloda címére egy fiktív vendég részére, recepciósként bejelenthetsz vendéget aki később sajnos lemondja a foglalást). Ha az orosz milliomosnak nincs sms értesítés a telefonján, ki sem derül míg haza nem ér és meg nem kapja az első számlakivonatot.

Védekezés a támadás ellen: Ne adjuk ki feleslegesen a kártyát, kérjünk a bankunktól sms értesítést és tranzakciónkénti azonosítást, a kártya cvc számát le lehet ragasztani hogy nem lássa senki, még ha fénymásolják se.

A téma nagy szakértői

Kevin David Mitnick (1963. augusztus 6. –), az egyik legnagyobb hacker-legenda napjainkban, a média által is igen felkapott. A social engineering, a rábeszéléses meggyőzés nagymestere. Letartóztatása óta felhagyott az illegális tevékenységek űzésével, ma biztonságtechnikai tanácsadó.

A legvakmerőbb modern szélhámos címre minden bizonnyal Frank W. Abagnale pályázhat, akinek fiatalságát a Kapj el, ha tudsz! című könyv és a hasonló címmel készült film is megörökítette. Abagnale 1948-ban született a New York-i Bronxville-ben. 16 évesen lelépett otthonról, jogosítványán a születési évet 1938-ra javította, és úgy döntött, hogy a PanAm egyik pilótájának személyiségét veszi magára. Egyszerűen telefonált a légitársaságnak, ahol megkapta a pilóta-egyenruhákat gyártó cég címét, és beszerezte a szükséges sötétkék egyenruhát, majd a jelvényeket.


Összefoglalás

Mindig gondoljunk arra, hogy az emberi hiszékenység az egyik leglényegesebb biztonsági tényező.