Ha Ön rendszergazda, bizonyára olyan dolgok jutnak eszébe a “biztonság” szóról, mint például vírusvédelmi és internetbiztonsági szoftverek és eszközök telepítése, azok konfigurációja, szerverek és végpontok frissítése, valamint a vírustámadást elszenvedő gépek képfájlokból történő újratelepítése. Persze ezek sem éppen egyszerű folyamatok, de megvannak a saját paramétereik és eljárásaik.
Azonban mindez még mindig csak félmunkát jelent, mivel a leghatékonyabb kibertámadások egy részével nem is a hardvert vagy szoftvert támadják, hanem azok felhasználóit. A pszichológiai manipulációhoz sokszor nem is kell több egy egyszerű telefonhívásnál vagy e-mail váltásnál.
A megtévesztésen alapuló manipulációs támadások általában így zajlanak: a támadó felkeresi a cég támogató munkatársait telefonon vagy e-mailen keresztül, majd célpontjuk nevében, valamilyen hihetőnek tűnő történetet adnak elő arról, hogy elfelejtették jelszavukat. Ezzel a támadók célja az, hogy a cég támogató munkatársát rávegyék az áldozat regisztrált e-mailjének megváltoztatására, így az elfelejtett jelszót visszaállító link már az új címre érkezik. Ezzel a lépéssel a támadó meg is szerezte az áldozat fiókját.
Mennyire vagyunk kitéve manipulációs támadásoknak?
Az ilyen támadási módszerek megbízhatóan működnek, ráadásul semmilyen programozói tudást nem igényelnek. A VoIP alapú hívásokat meghamisító technikai megoldások széles körben elérhetők, emellett semmilyen szaktudást nem igényel használatuk, így a támadók még a kijelzett hívószámot is átírhatják az áldozatéra, még meggyőzőbbé téve a támadást. Nem is csoda, hogy az ilyen jellegű támadások egyre népszerűbbek. 2017-ben az információbiztonsági szakértők 76%-a találkozott hasonló telefonos és e-mailes adathalász kísérletekkel, az utóbbi megoldás volt a legnépszerűbb. 2018-ban pedig már 83%-uknak volt tapasztalata ilyennel.
A megtévesztésen alapuló és e-mailes adathalász támadások számának növekedése egyre nagyobb figyelmet kapott, nagyrészt például az alábbi eseteknek köszönhetően:
- Blackrock
A világ legnagyobb alapkezelő vállalata is áldozatul esett a The Financial Times-t és a CNBC-t is megtévesztő környezetvédelmi aktivisták támadásának, akik egy hihetetlenül meggyőző hamis sajtóközleményt felhasználva hitették el, hogy a cég környezetvédelmi irányba vált profilt, ezzel rövid ideig tartó felhördülést idéztek elő. - Kriptovaluták
Bizonyos, az Ethereum nevű kriptovalutához tartozó virtuális tárcák tulajdonosai hibaüzeneteknek álcázott adathalász támadásokat kaptak. Ezek olyan e-mailek képében érkeztek, amelyek javítás telepítését kérték a felhasználóktól, valójában azonban a tárca szoftverének módosított változatát kínálták a linkek. Ezekkel a támadók távolról lenyúlhatták a tárcák tartalmát. - Hírszerző ügynökségek
2015-ben egy tini hacker felhívta a Verizon-t, megtalálta a CIA akkori vezetőjének, John Brennan-nak a személyes adatait, majd hozzájutott az AOL-os fiókjához, amelyben kényes információkra bukkant. Például arra, hogy a vezető bizonyos biztonsági engedélyekért folyamodott. Ráadásul még arra is képes volt ifjú támadónk, hogy pár percet beszéljen telefonon Brennan-nal. Több mint két év telt el a támadó megtalálásáig és letartóztatásáig.
Ebből a két példából is világosan látszik, hogy az elképzelhető legegyszerűbb eszközökkel is milyen nagy zűrzavart tudnak kelteni a támadók: pénzt lophatnak, átverhetik a médiát, vagy akár a Föld legnagyobb hatalommal bíró egyéneiből is kicsalhatnak információkat – mindössze egy telefonszámmal és egy e-mail címmel kezdve az egészet.
Hogyan védekezzünk a manipulációs támadások ellen
Két fő megközelítéssel védekezhetünk az ilyen jellegű támadásokkal szemben.
Először is, létezik a technológiai megközelítés. Egy úgynevezett DMARC (Domain-based Message Authentication, Reporting & Conformance) technológiát használhatunk levelezőszerverünkön arra, hogy a meghamisított e-maileket észleljük és elkülönítsük – vagyis ez a rendszer képes észrevenni, ha a címzett számára megjelenő e-mail cím nem egyezik a tényleges feladóéval. Habár ez a technológia elég hatékonyan védi az e-mail fiókok hitelességét, igen kevesen alkalmazzák – az összes iparágat együttvéve bőven 50%-nál is alacsonyabb ennek elterjedtsége.
A technológiai megközelítésen túl – vagy azt kiegészítendő – érdemes szervezeti szinten is gondoskodni az adathalász és átverős támadások elleni tudatos védekezésről. Ebben segíthetnek a különböző biztonsággal kapcsolatos továbbképzések és oktatások, ahol a vállalat dolgozóinak fel kell ismerniük a különböző átverős e-maileket. Az ilyen tréningeknek az a céljuk, hogy a cég dolgozói képesek legyenek önállóan is felismerni az adathalász kísérleteket. A tapasztalatok azt mutatják, hogy ezek a tréningek igencsak hatékonyak: akár 75%-kal kevesebb átverős e-mailt nyitnak meg az ilyen tréningeket teljesítő dolgozók. Viszont az sajnos továbbra is igaz, hogy elég egyetlenegy embert átverni, és már meg is történt a baj.
Ebből kifolyólag végső soron az okozott károk minimalizálásával, valamint baj esetén a lehető leggyorsabb intézkedésekkel védekezhetünk leghatékonyabban az adathalász és manipulatív támadások ellen. És annak ellenére, hogy egy elszánt és felkészült támadó nagy eséllyel átverheti munkatársainkat és hozzájuthat valamilyen belsős fiókhoz, a jó rendszergazdák képesek észlelni a gyanús tevékenységeket, így az érintett fiókok időben történő lekorlátozásával hatástalaníthatják a támadót.