MANIPULÁCIÓS TECHNIKÁK

Azt akarom, hogy minél többet tudjon meg az olvasó a megtévesztési technikákról, taktikákról, stratégiákról amelyeket ipari kémek, hackerek és vandálok használnak jó, illetve ártó szándékkal. Nem számít, hogy egy cég, szervezet vagy kormányzat mennyi pénzt öl a technológiai biztonság kiépítésére, ha nem veszi a fáradságot, hogy kiképezze és kitanítsa dolgozóit. Amíg ezt meg nem teszik, a cégük ki lesz téve a social engineer támadásának. A social engineer fogalmát széles körben használják a számítógép biztonsággal foglalkozó közösségek. A gyakorlott hacker valójában be tudja csapni egy adott vállalat számítógép felhasználóját, hogy fontos információkat csaljon ki tőle.

Én is, és mások is azokat a támadási technikákat használták, amiket a könyvemben említek, persze a támadás pontos részleteit nem írtam le, a könyvben szereplő adatok kitaláltak. A lényeg az, hogy nem konkrét betöréseimről mesélek, hanem csupán azok taktikájáról, stratégiájáról, és azokról a folyamatokról amit egy social engineer nap mint nap használ.
Még a középiskolában találkoztam egy sráccal, aki telefonbetyárkodással űzte az idejét. A telefonbetyárkodás a hackelésnek az a változata, amikor a támadó teljesen feltárja egy telefonos hálózat működését, kezdve a telefontársaság alkalmazottainak megismerésétől, a rendszer teljeskörű átlátásáig. Ekkoriban történt az átállás a mechanikusról a számítógépes rendszerekre, ami nem volt sokkal előbb, mint amikor a telefonbetyárkodásból számítógépes hackelés lett. A social engineering ekkor lépett színre, hiszen amíg megpróbáltam feltárni egy telefonos rendszer titkos belső struktúráját, sokszor meg kellett változtatnom a kilétemet, telefontársasági dolgozónak kiadva magam.
A cégnél különböző osztályokat és irodákat hívtam fel, hogy megszerezzem tőlük az információkat. Ehhez használnom kellett a társaság nyelvjárását, a szaknyelvet, hogy hitelesnek tűnjek. Ettől fogva kezdtem el programozást is tanulni. Mindig is nagy mókamester voltam, ezért amit tanultam, azt tanáraimon és a barátaimon teszteltem. Mindig hajtott a vágy, hogy olyan információkat szerezzek meg, ami a közvélemény számára nem érhető el.
Minden támadás első fázisa a kutatás. Meg kell keresni minden szabadon hozzáférhető információt a cégről, mint például éves riportok, marketing brossurák, szabadalmazott alkalmazások, újságcikkek, iparági folyóiratok, honlapok tartalma, és még különböző információk, amelyeket a célpont szemeteskukájából ki lehet halászni, valamint meg kell tanulni mindent, amit a cégről és az emberekről meg lehet.
Kinek van hozzáférése azokhoz az adatokhoz, amelyeket keresünk?
Hol dolgoznak?
Hol laknak?
Milyen operációs rendszert használnak?
Mi a szervezeti felépítése a cégnek?
Ki melyik irodában dolgozik, és az hol helyezkedik el földrajzilag?
Mindig úgy kell kiadnunk magunkat, mintha jogosultságunk és szükségünk lenne az adatra.
Ahhoz, hogy ezt elhiggyék rólunk, ismernünk kell a céges szakzsargont, a belső rendszereket, és képben kell lennünk a társasággal kapcsolatban. A kutatási szakasz után jön maga a támadás, amelynél ki kell találni az ürügyet, a cselt, amivel elnyerhetjük a megcélzott személy bizalmát és támogatását.
Ha a támadást véghezvittük, megszereztük a bizalmat, és a kívánt információ már csak egy lépésre van, akkor visszatérünk a korábbi lépésekhez, mígnem sikerül megszerezni a kívánt információt.
Szerintem az emberek nagyon bíznak másokban és nagyon hiszékenyek.
Hajlamosak azt hinni, hogy morálisan mások is ugyan olyanok, mint ők maguk. Nem próbálkoznának rászedni vagy megtéveszteni senkit, ezért nem feltételezik, hogy ez velük megtörténhet. A profi social engineer képes manipulálni kívánságainkat, hogy segítőkészek legyünk, hatással van együttérzésünkre, hiszékenységünkre és még a kíváncsiságunkra is.
Egy napon beszáll a liftbe egy nagyvállalatnál, és látja, hogy valaki elejtett egy floppy lemezt. A lemez piros, rajta van a cég logója, és nagy betűkkel rá van írva, hogy „Bizalmas – Alkalmazottak fizetési adatai”. Egy ilyenfajta szituációban Ön szerint az emberek többsége mit tenne? Kíváncsiságunkra hallgatva, betennénk a lemezt a gépbe és megnéznénk, hogy mi van rajta. Esetleg találhatnánk egy „bérlista” vagy egy „fizetések visszamenőleg” Word ikont. Valószínűleg megnyitnánk a file-t, hogy megnézzük mennyit keresnek a többiek a mi fizetésünkhöz képest. Mi történik ekkor? Hibaüzenetet kapunk például: „A program nem tudja megnyitni az adott file-t” vagy „A file sérült”. A felhasználó nem jön rá, hogy amit csinált az nem más, mint installált egy trójai lovat a gépére, ami szabad bejárást nyit a hackernek az illető gépébe. Aztán valószínűleg átadná a lemezt a HR-osztálynak, ahol ők is berakják a gépbe, hogy megnézzék mi az, és így a hackernek már két géphez van hozzáférése.
Ez a közvetett támadás klasszikus példája.
Közvetlen támadásnak nevezzük azt, amikor a támadó ténylegesen kommunikál az „áldozattal” akár telefonon, személyesen, faxon vagy email-en. Az esetek többségében a támadó valaki másnak adja ki magát – egy másik alkalmazottnak, eladónak, magas rangú vezetőnek – és megpróbálja rávenni áldozatát arra, hogy kiadja a számára fontos információt, vagy, hogy futtasson egy szoftware-t, vagy látogasson el egy weboldalra, ami a végén tönkreteszi a vállalat infrastruktúráját.
Vegyük például a John Wiley & Sons irodát – a célpontot. Első dolog, hogy készítünk egy hamis weboldalt, amely külsőre teljesen legálisnak tűnik. A honlap tartalmaz egy regisztrációs részt ahol a látogató email címmel és jelszóval tudja magát regisztrálni. Ezután a támadó email-t küld ezer Wiley alkalmazottnak bátorítva őket, hogy regisztráljanak, mert óriási nyeremények várnak rájuk. Az emailben természetesen ott van a hamis weboldalra mutató link is.
Tegyük fel, hogy csak 10 százalék reagál az e-mailre továbbá, hogy a reagálók 10 százaléka ugyanazzal a jelszóval regisztrál , mint amit bent az irodában használ. (Azért hogy ne kelljen annyi jelszót észben tartani legtöbbünk ugyanazt a jelszót használja mindenhol!) Ezzel a 25 email címmel és jelszóval már el lehet kezdeni a támadást.

A leggyakoribb árulkodó jel, amikor valaki nem akarja megadni a számát, amin vissza lehet hívni. A legjobb stratégia pedig megkérdezni magunktól: Miért én?
Miért engem hívott?
Van valami különleges abban, amit csinálok?
Ha valaki ismeretlen megkér, hogy csinálj meg valamit neki – akármennyire ártalmatlannak tűnik – nézd meg jó alaposan, hogy mire is kér. Különösen az új embereknek kellene figyelniük, mert ők nagyon veszélyeztetettek: gyakran nem ismerik a biztonsági házirendet és az eljárásokat, kevés emberrel találkoztak még a cégnél szemtől szembe, ezért nem mindig tudják, hogy kikkel állnak szemben.
Ezért esik meg, hogy az újoncok sokkal jobban megbíznak másokban, sokkal kooperatívabbak, csak hogy megmutassák, ők csapatjátékosok.
Kevésbé valószínű, hogy megkérdőjelezik a forrást, főleg ha az a hierarchiában feljebb áll nála.

Eredetileg megjelent 2015. május 20.

Author: Kevin Mitnick