A kiberbűnözők legújabb fegyvere a pszichológiai manipuláció
Az elmúlt két évben a vállalatok többsége olyan mértékű digitalizációs átalakuláson ment keresztül, ami átlagos esetben 5-6 év alatt menne végbe. Ezeknek a változásoknak természetesen rengeteg pozitív hozadéka van, amiket a vállalatok és azok dolgozói is egyaránt élvezhetnek. A rugalmas munkavégzés, a home office, és a távolságokon átívelő csapatmunka élménye mind olyan innovációk, amik bevezetésével a korábbi munkavégzés módja végérvényesen megváltozott.
A rengeteg pozitív hatás ellenére azonban a vállalati működés számos területén a kockázati tényezők is megnövekedtek. Az elmúlt években rendkívüli módon megszaporodtak a vállalatok elleni kibertámadások és bár már sok helyen alkalmazzák a legkorszerűbb védelmi rendszereket, ezek hatására a hackerek új technikákat fejlesztenek ki (vagy inkább vesznek elő) a vállalati adatok megszerzésének érdekében.
Az új fegyver nem az informatikai rendszerre, hanem a munkatársakra céloz
A kibertámadások legújabb – vagyis inkább leporolt – eszköze a pszichológia, aminek veszélye éppen abban rejlik, hogy az ilyen jellegű támadás az automatizált informatikai rendszereken nagyon nehezen kiszűrhető. A „social engineering”, azaz pszichológiai manipuláció célja, hogy az emberek kiadják szenzitív adataikat anélkül, hogy akarnák, vagy észrevennék. Ezen az elven alapul a hackerek legújabb módszere is, ami nem más, mint a megszemélyesítés.
A megszemélyesítés során a bűnöző egy másik személynek adja ki magát annak érdekében, hogy szenzitív adatokhoz jusson. Ezek az adatok a legtöbb esetben olyan informatikai vagy pénzügyi információk, amikkel könnyen visszaélhetnek illetéktelen személyek. Ennek a módszernek a legnagyobb veszélye abban rejlik, hogy a támadó ilyenkor nem magából az informatikai rendszerből nyeri ki az adatokat, hanem azokból a munkatársakból, akik az eszközök előtt ülnek, tehát ezek a támadások a legtöbb esetben e-maileken, üzenetküldő alkalmazásokon, vagy telefonon történnek.
Az arctalanságnak köszönheti sikerét a módszer
A távmunka egyik legnagyobb hátránya, hogy sok cégnél teljesen megszűnt a kollégák közti személyes kontakt. A pandémia előtt a legtöbb vállalatnál elképzelhetetlennek tűnt, hogy komplett részlegek működjenek úgy, hogy a munkatársak nem ismerik egymást személyesen. A kényszer azonban úgy hozta, hogy a munkatársak egymástól távol, saját otthonukban dolgozzanak és online kommunikáljanak.
A hackerek ezt a helyzetet használják ki, mikor egy kollégának, vagy vezetőnek adják ki magukat és vállalati adatok megosztására szólítják fel az áldozatot. Mivel az e-mailen keresztül történő üzenetváltás arc nélkül történik, így a megtévesztett személyek a legtöbb esetben nem is gyanítják, hogy akaratukon kívül éppen céges adatokat szivárogtatnak ki illetéktelen személyeknek. Az áldozatok gyanútlansága ezekben az esetekben a hackerek kezére játszik, hisz így már csak akkor derül fény a támadásra, mikor az adatokkal való visszaélés megtörténik, ilyenkor pedig általában már nem lehet elkerülni a veszteségeket.
Hogyan védhető ki a pszichológiai manipuláció?
Már a legelején érdemes tisztázni, hogy mivel a megszemélyesítés technikájával végrehajtott támadás fontos eleme a pszichológia, így pusztán informatikai megoldásokkal nem kivédhető. Azonban számos olyan lépés van, amivel jelentősen csökkenthető az ilyen típusú támadások sikeressége.
1. Meghatározott kommunikációs csatornák
A megszemélyesítés módszerével végrehajtott támadások egyik jellemzője, hogy az üzenetek sok esetben a megszokottól eltérő, nem hivatalos kommunikációs csatornán érkeznek. Az ügyvezetőtől kapott Viber üzenet valószínűleg már eleve gyanúra ad okot egy olyan vállalatnál, ahol az általános kommunikációs forma, hogy a munkatársak e-mailen keresztül kérnek és adnak hivatalos ügyekben információt egymásnak. Ezért fontos, hogy a munkatársak és a vezetők felé is követelmény legyen a munkahelyi kommunikációra kijelölt hivatalos csatornák meghatározása, és azok használata minden esetben.
2. E-mail cím ellenőrzése
Egy kicsit is szokatlan, vagy gyanús üzenetek esetében a válaszadás előtt mindenképpen érdemes leellenőrizni az e-mail címet. Gyakran megesik, hogy a hacker olyan címet generál, ami ránézésre megegyezik a munkatárs eredeti címével, de felcserél benne két betűt, vagy olyan betűkombinációt használ, ami hasonlít az eredetire (pl.: m helyett rn).
3. Körültekintő utánajárás
A pszichológiai megtévesztéssel végrehajtott támadások onnan is felismerhetők, hogy a legtöbbször szűk határidőt szabnak ki egy-egy feladat vagy tranzakció elvégzésére. Ezek az üzenetek ráadásul sokszor szokatlan időben, munkaidő előtt, vagy után érkeznek, és sürgetéssel helyeznek nyomást az áldozatra. A hidegvér megőrzése azonban ez esetben is nagyon fontos, nem szabad gondolkodás nélkül hirtelen cselekedni. Ha egy üzenet gyanús, érdemes a feladóját egy másik kommunikációs csatornán is felkeresni, hogy azon keresztül erősítse meg korábbi kérését.
4. Több-faktoros azonosítás
Bár a vállalatok a digitalizációban rövid idő leforgása alatt hatalmas előrelépést tettek, a felhasználók IT védelemmel kapcsolatos hozzáállása nem sokat változott. Pedig a megelőző szemléletmód és a felhasználói szokások megváltoztatása adatvédelmi szempontból kulcsfontosságú. A különböző rendszerekhez tartozó jelszavak időszakonként történő megváltoztatásának olyan rutinná kellene válnia, mint akár a kézmosás, hisz számos támadásnak pont az az alapja, hogy egy korábban kiszivárgott, vagy megszerzett jelszóval törik fel a rendszereket.
Optimális esetben ráadásul a jelszavaknak kis- és nagybetűk, valamint számok és speciális karakterek kombinációját kell(ene) tartalmazniuk, kellően hosszúnak kell(ene) lenniük, és minden rendszerhez más jelszót kell(ene) használni. Kerülni kell(ene) az olyan jelszavak használatát, melyek a közösségi oldalakon könnyen elérhető adatokon alapulnak (pl. egy családtag születésnapja), vagy éppenséggel tartalmazzák a felhasználó nevét.
Az emberi természet persze nem ilyen, és a felhasználók legnagyobb része könnyen megjegyezhető jelszavakat választ, mely általában nyomokban sem teljesíti ezeket az optimálisnak titulált követelményeket, ezért a támadások legfőbb célja is általában a hozzáférési adatok megszerzése, vagy a gyenge jelszavak kihasználása.
Mindezek miatt, ahol csak lehet, kényszerítsünk ki második azonosítási faktort a jelszavak mellett (pl. SMS, vagy külső alkalmazás), mert így nagy mértékben lecsökkenthető a megszerzett hozzáférési adatok illetéktelen használata, de legalábbis egy kompromittálódott jelszóval történő illetéktelen belépési kísérlet semmiképp sem marad észrevétlen. Ma már majdnem minden rendszer biztosít több-faktoros azonosítási lehetőséget, és a felhőszolgáltatók oldalán ez ma már olyan alapszolgáltatásnak számít, mint az autókban az indításgátló.
5. Naprakész biztonságtudatossági képzések
Végül, de nem utolsó sorban, a védekezés egyik legjobb és legfontosabb módszere, ha a munkaadó naprakész kiberbiztonsági információkkal látja el munkatársait és folyamatos informatikai edukációt biztosít nekik. Az új kibertámadási módszerek megismertetése és az ezekről folytatott beszélgetések segíthetik a kollégákat abban, hogy felismerjék és hatékonyan kezeljék az esetleges támadásokat.
A fent leírtakból érzékelhető, hogy a felsoroltak bevezetése és alkalmazása nem igazán jár extra költséggel, ugyanakkor ezek szem előtt tartásával, erősítésével, vagy akár kikényszerítésével nagy mértékben növelhető a vállalat információbiztonsági szintje, és drasztikusan csökkenthető a kitettség az ilyen típusú támadásokkal szemben.
Összefoglalás
Senki ne értse félre a fentieket, semmiképp sem szeretnénk azt sugallni, hogy a méregdrága kibervédelmi szoftverek haszontalanok. Pusztán arra próbálunk rávilágítani, hogy önmagában csak ezekre támaszkodni ma még pont annyira hamis biztonságérzetet jelent, mint a teljesen önvezető járművek.
Fogjuk fel ezeket az eszközöket inkább úgy, mint a vezetéstámogató rendszereket, melyek rendkívül hasznosak abban, hogy olyan szenzorokkal vannak ellátva, melyek az emberi érzékszervek korlátain túl is képesek észlelni a környezetünkben zajló eseményeket. Képesek figyelmeztetni a vezetőt egy útjába kerülő potenciális veszélyforrásra, és persze egy konkrét vészhelyzet esetén akár gyorsabban is képesek döntést hozni és reagálni, mint az ember, ugyanakkor a potenciális veszélyforrásokat megelőzni képtelenek.
Erre csak az emberi agy analitikája képes…egyelőre.
