Itthon is terjed a megtévesztéses hackelés

A NetAcademia Oktatóközpont és Fóti Marcell nevét használták ahhoz a végül sikertelen számítógépes csaláshoz, melynél egy pesti gimnázium hálózatába való bejutás volt a cél. Az eset rávilágít a social engineering típusú számítógépes visszaélések hazai terjedésére.

Egy pesti gimnázium nemrégiben e-mailt kapott, melyben a küldő arra kérte az iskolát, hogy "nézzen rá számítógépes rendszerére" és mellesleg készítsen "egy sima rendszergazdai hozzáférést", amelyhez konkrét jelszót is meghatározott. A csaló aláírásként az informatikai biztonság szakértőjeként jól ismert Fóti Marcell nevét adta meg álcaként, és hivatkozott NetAcademia Oktatóközpontra is, amelynek a szakember vezető oktatója és ügyvezetője is - így akár még hihetőbb is lehetett volna az álca. A gimnázium vezetése szerencsére sejtette, hogy valami nem stimmel, ezért fel is vette a kapcsolatot a NetAcademiával, ahol fény derült az igazságra: az oktatóközpont soha nem kér - nem is kérhet - sem telefonon, sem e-mailben jelszót egy tőle független szervezettől.

A fenti eset jól példázza, hogy Magyarországon is terjedőben van az ún. social engineering, melynek fogalmát Fóti Marcell a következőképpen foglalta össze: "A social engineering az emberek természetes, bizalomra való hajlamának kihasználásán alapszik. A számítógépes bűnöző az informatikai rendszerekbe történő bejutáshoz nem a hardver, a szoftver vagy a hálózat esetleges hibáit, biztonsági hiányosságait, hanem az emberi természet gyengeségeit használja ki."

A támadás ebben az esetben is a kutatással kezdődik: a hackerek beszereznek minden olyan információt, ami a cégről elérhető (éves jelentés, marketinganyagok, újságcikkek stb.), majd feltérképezik a szervezet felépítését, az alá-fölérendeltségi viszonyokat, a jogosultságokat, nemritkán az alkalmazottak ülésrendjét, baráti kapcsolatait is. "Ebben a fázisban az is előfordul, hogy a támadó beáll az adott vállalathoz takarítónak és éjszakánként átkutatja az alkalmazottak szemeteskukáját, elolvassa az emlékeztetőül hagyott céduláikat, belelapoz az asztalon hagyott anyagaikba." - mondja Fóti Marcell.

Mivel az esetek többségében a hacker a vállalat dolgozójának, vagy partnerének adja ki magát - alkalmazottnak, menedzsernek, vagy éppen az adott területen jól ismert szakembernek -, a kutatás során el kell sajátítania az adott cégre jellemző szakmai zsargont, meg kell ismernie a belső rendszereket és átvennie minden olyan, a cégkultúrához tartozó elemet, amivel hitelesebbé tudja tenni magát. A kutatási szakasz után következik maga a valós támadás, mely során a csaló egy ügyes csellel, vagy jól kitalált ürüggyel elnyeri a célszemély bizalmát és támogatását. A social engineering "úttörőjeként" ismert, 5 éves börtönbüntetéséből 2003-ban szabadult Kevin Mitnick is ezekkel a módszerekkel jutott be többek közt a Motorola és a Nokia számítógépes rendszereibe.

Arra, hogy valaki egy néhány percig tartó telefonhívással megszerezze a vállalati információkhoz hozzáférő alkalmazott belépési kódjait, már hazánkban is volt példa. "Tudunk olyan esetről, amikor a hacker magát a vállalat rendszergazdájának kiadva telefonon kérte az alkalmazottat, hogy lépjen be a rendszerbe, és változtassa meg a közösen egyeztetett kódra jelszavát."- ismertetett egy újabb példát Fóti Marcell. A szakember szerint a védekezés leghatékonyabb módja a gyanakvás és a jelszókezelésre vonatkozó házirend követése. Ha például egy általunk nem ismert "munkatárs" kér minket telefonon jelszavunk megváltoztatására, foglaltságunkra hivatkozva és visszahívást ígérve kérjük el vállalati telefonszámát. Így marad idő arra, hogy a vállalati telefonkönyvben ellenőrizzük személyét, és utánajárjunk a megadott információknak.

Fóti szerint az ilyen típusú átverések legeredményesebben a vállalatoknál, szervezeteknél bevezetett - az adatbiztonság kérdéseit részletesen szabályozó - biztonsági házirend segítségével szűrhetők ki, mely az iménti szituációkra vonatkozóan is pontosan leírja a jelszavakra vonatkozó szigorú szabályokat. A házirendeket azonban nem csak elkészíteni, de rendszeresen oktatni is kell ahhoz, hogy valóban sikeres legyen a küzdelem a számítógépes bűnözők ellen.