Az alkalmazottak egy csokiért kiadják a jelszavukat

Az Information Systems Audit and Control Association (ISACA) 2016 januárjában végzett, mintegy 3 ezer IT-biztonsági szakértő bevonásával készített felmérése alapján a megkérdezettek 52 százaléka szerint jelenleg a legnagyobb veszélyt a rendszerek biztonságára a felhasználót támadó social engineering módszer jelenti, amelynek hatékonyságát bizonyítja, hogy ezzel a módszerrel sikerült az elmúlt hetekben hackereknek megszerezni az amerikai nemzetbiztonsági szolgálat 9 ezer, illetve az FBI 22 ezer alkalmazottjának elérhetőségi adatait. Megoldást jelenthet – fogalmaz a jelentés – , hogy megfelelő belső szabályozással és a munkatársak oktatásával a social engineering megközelítésre épülő támadások jelentős része kivédhető.

Ne menj a falnak, kerüld meg!

A világ máig legnagyobb hackere, Kevin Mitnick beszámolói óta szakmai közhely, hogy a sikeres támadás feltétele ugyan az informatikai felkészültség, de sokkal fontosabb a „szélhámosság”, vagyis a rendszereket a humán oldalon kell támadni, nem pedig a gyakran igen jól védett technológiát kell célba venni. A social engineering lényege, hogy a hackerek különböző módszerekkel a felhasználótól olyan információkat – jellemzően jelszavak, regisztrációs/bejelentkezési adatok – csalnak ki, illetve szereznek hozzáférést az információtechnológiai rendszerekhez, amelyek mentén képesek lesznek a technika direkt támadása nélkül eljutni a kívánt adatokhoz, azokat megszerezni, illetve módosítani.

Habár sok nagyvállalati biztonsági szakértő és vezető számára evidenciának tűnik, hogy a munkatársak védik a vállalati rendszerek jelszavait, ez meglehetősen csalóka biztonságérzetet kelt: „Az egyik információtechnológiai biztonsággal foglalkozó vállalat csokoládét kínált fel egy elismert pénzügyi negyedben dolgozóknak a céges informatikai rendszerbe való belépési jelszavukért cserébe. Szinte hihetetlen, de a megkérdezettek 70 százaléka kiadta a céges jelszavát egy szelet érdességért” – hívja fel a figyelmet a social engineering sikerességére Lengyel Csaba, a Hunguard Kft. szakmai igazgatója. Szerinte sokan úgy gondolják, hogy csak a jelszó kevés ahhoz, hogy feltörjék felhasználói fiókjukat, azt azonban senki nem tudhatja, hogy a támadó milyen információk és adatok birtokába jutott korábban.

Profik, okosak, ügyesek

A social engineer technikával próbálkozó hackerek célja a lehető legtávolabb maradni az IT-rendszerektől, nem a technikát, hanem az információkhoz és adatbázisokhoz hozzáférő munkavállalót célozza meg. A célszemélyek gyakran olyan alkalmazottak, akik nem feltétlenül ismerik az információk értékét; például külsős munkatársak, gyártók, beszállítók, kiszolgáló területeken dolgozó munkatársak. „Ez esetben a probléma igazi forrása az, hogy a támadónak kezdetben elég egy alacsony szintű hozzáférés, amivel később bővíteni tudja saját felhasználói jogait, ami pedig még fontosabb, hogy akár hónapokon keresztül lophat vagy változtathat meg adatokat” – mutat rá Lengyel Csaba.

A Hunguard Kft. munkatársának szakmai tapasztalata szerint a vállalati információk megszerzésének egy másik módja az alkalmazottak nem megfelelő jelszóválasztási szokásainak kihasználásából ered. Jellemzően mindössze a felhasználók negyede használ valamilyen, a legbiztonságosabbnak számító, különleges karaktereket is tartalmazó jelszavakat. Egy csak számokból álló jelszó feltöréséhez, egy gyakorlott hackernek alig öt percre van szüksége, a csak betűkből álló jelszavak 5-6 nap alatt megfejthetőek, a betűk és számok kombinációjából álló jelszó kitalálása viszont már hónapokba telhet. A legjobb megoldás, ha számokat, kis- és nagybetűket, valamint speciális karaktereket is tartalmaz a jelszó; ugyanis ezek feltörési ideje akár száz években is mérhető.

Nem csak a kiadott jelszó, de a lezáratlan számítógépek is kockázatot rejtenek: nagy szervezetek esetében meglepően sikeres módszer az úgynevezett „piggybacking” technika, ahol a hackerek magukat munkatársnak, esetleg karbantartónak vagy takarítónak kiadva jutnak be a vállalat irodáiba.