Social engineering

A legnagyobb biztonsági rés: az ember

A legtöbb kiberbűnöző tudja, hogy egy szervezet legsebezhetőbb pontja nem a technológia, hanem maga az ember. A social engineering, vagyis pszichológiai manipuláción alapuló támadás pont ezt a gyengeséget használja ki. A támadók célja, hogy olyan helyzetbe hozzanak, ahol önként – bár akaratlanul – megszeged a biztonsági előírásokat, és így lehetőséget teremtesz adatlopásra, rendszerhozzáférésre vagy más káros tevékenységre.

Mit jelent pontosan a social engineering?

A social engineering nem feltétlenül igényel technikai tudást. Ezért szinte bárki alkalmazhatja, aki képes meggyőzően fellépni. A támadók gyakran hivatalos személynek, szolgáltatónak vagy ismerősnek adják ki magukat, hogy rávegyenek érzékeny információk megosztására vagy biztonsági lépések kihagyására. A hangsúly itt nem a számítógépes rendszerek feltörésén van, hanem az emberi bizalom és figyelmetlenség kihasználásán.

A leggyakoribb technikák: spam és adathalászat

Bár a spam – vagyis kéretlen tömeges üzenetek – önmagában nem social engineering, sok esetben tartalmaz manipulációs elemeket. Például linkeket vagy mellékleteket, amelyek adatlopásra irányulnak.

Az adathalászat (phishing) már kifejezetten pszichológiai manipulációval működik. Ilyenkor a támadó megbízható szervezet nevében lép fel, és sürgetéssel vagy félelemkeltéssel próbál rávenni, hogy ossz meg személyes vagy pénzügyi adatokat. Ezek a módszerek lehetnek tömegesek vagy célzottak (például egyetlen cég döntéshozója ellen irányulók – ez az ún. spear phishing).

Miért különösen veszélyeztetettek a kis- és középvállalkozások?

A Zogby Analytics egy amerikai kutatása szerint a KKV-k (kis- és középvállalkozások) egyre inkább felismerik, hogy célpontjai a kibertámadásoknak. A közepes méretű cégek közel fele nyilatkozott úgy, hogy egy éven belül tapasztaltak adatszivárgással járó incidenst. A kisebb vállalkozások jelentős része pedig úgy gondolja, hogy legalább közepesen valószínű, hogy kiberbűnözők célkeresztjébe kerülnek – és sokan nagyon valószínűnek tartják ezt.

Az FBI Internetes Bűnözés Központjának adatai szerint 2018-ban az amerikai cégeket érő károk meghaladták a 2,7 milliárd dollárt, ebből csak az üzleti e-mail csalások (BEC) és e-mail fiókokhoz való illetéktelen hozzáférések (EAC) 1,2 milliárd dollár kárt okoztak.

Hogyan ismerhetők fel az ilyen támadások?

A social engineering támadásoknak több árulkodó jele van:

• nyelvtani és helyesírási hibák a kommunikációban
• furcsa vagy nem hivatalos e-mail címek
• nyomásgyakorlás, sürgetés
• jelszó vagy személyes adat kérése
• gyanúsan jó ajánlatok

Ha bármelyik jelenséggel találkozol, azonnal gyanakodj, és ne hajtsd végre a kért lépést kérdés nélkül.

5 tipp a social engineering támadások ellen

• Folyamatos oktatás: Rendszeresen képezd a munkatársaidat – beleértve a vezetőket is – a legújabb kiberfenyegetésekről. A gyakorlati képzések segítenek felismerni a valós életben is előforduló helyzeteket.
• Erős jelszavak és többfaktoros hitelesítés: Kerüld a gyenge, egyszerű jelszavakat. Használj többlépcsős hitelesítést, amely plusz védelmet biztosít.
• Technikai védelem: Alkalmazz spamszűrőket, adathalászat-ellenes megoldásokat és vírusirtókat, amelyek automatikusan felismerik és blokkolják a gyanús üzeneteket.
• Világos szabályzatok: Legyen egyértelmű és könnyen követhető adatvédelmi és biztonsági házirended, amely útmutatást ad arra, mit kell tenni gyanús esetekben.
• Megbízható eszközvédelem: A céges laptopokat, telefonokat és más eszközöket lásd el naprakész, többrétegű védelmi rendszerrel és központi menedzsmenttel, amely segíti az informatikai vezetőket a veszélyek észlelésében és kezelésében.