Az emberi tényezőket, főként a hiszékenységet kihasználó social engineering alapú támadásokat sokszor nem egyszerű megakadályozni. A kockázatok mérséklésének egyik legjobb eszköze a biztonságtudatosság növelése.
A social engineering támadások veszélyessége miatt érdemes még egy pillantást vetni a DEF CON 18 konferenciára, amelyen az egyik verseny különösen tanulságosra sikerült. A rendezvény szervezői ugyanis úgy határoztak, hogy mindenki számára nyilvánvalóvá teszik, hogy a social engineering, mint az egyik előszeretettel alkalmazott támadási módszer, milyen veszélyeket rejt. Egyúttal azt is igazolni szerették volna, hogy e technika ellen még azok a jelentős szervezetek is kiszolgáltatottak, amelyek a Fortune 500 soraiba tartoznak. Ezért egy versenyt hirdettek, amelynek célja az volt, hogy a résztvevők valamely Fortune 500 vállalattól telefonon keresztül szerezzenek olyan adatokat, melyek egy későbbi hekkerkedést segíthetnek. Így a versenyzőknek meg kellett tudniuk, hogy az általuk kiszemelt szervezetnél milyen operációs rendszert, böngészőt, PDF-kezelő alkalmazást, levelezőklienst, antivírus szoftvert, stb. használnak. A szabályok ugyanakkor kimondták, hogy kormányzati vagy pénzügyi intézményt nem lehet "támadni", és egyéb, bizalmas adatokat sem lehet kifürkészni.
A Defcon konferencia első napján az összes versenyző sikerrel járt, és a rendelkezésre álló 25 perces időkeretben mindenkinek sikerült hozzájutnia az előbbiekben említett adatokhoz. Mindez azt jelenti, hogy a komoly védelmi arzenállal rendelkező vállalatoktól is viszonylag könnyedén tudnak adatok kiszivárogni, ami mindenképpen elgondolkodtató.
Sikerrel járt az ál-auditor
Az iPad főnyereménnyel kecsegtető verseny egyik legérdekesebb "produkcióját" egy Wayne nevű ausztrál biztonsági tanácsadó mutatta be. Ő a megmérettetés előtt 20 órát töltött azzal, hogy a kiszemelt cégről információkat szerezzen. Így már pontosan tudta, hogy milyen telefonszámot kell tárcsáznia, amikor elkezdődik a verseny. A szakember felhívta az általa választott cég IT call centerét, és egy auditornak adta ki magát. Az éppen horogra akadt call center munkatárs először nem akarta kiadni az azonosítószámát, azonban ekkor Wayne előadta, hogy ő egy új alkalmazott a KPMG cégnél, és ha nem segítenek rajta, akkor nagy bajba kerül, ugyanis határidős munkája van, és a főnöke a nyakán lóg. Wayne egy általa korábban készített, hamis KPMG weboldalra is rávezette az alkalmazottat, akinek végül megesett a szíve az ál-auditoron, és minden információt megadott számára. Majd Wayne-nek még arra is maradt ideje, hogy egy sörre meghívja cég munkatársát.
Később Wayne elmondta, hogy nem hitte azt, hogy szerencsével jár. "Tudtam, hogy ez egy nagyméretű vállalat, ahol sok belső auditot végeznek." - tette hozzá a versenyző.
Veszélyes felmérés
A Wayne által sikeresen végrehajtott social engineering után folytatódott a küzdelem. A következő versenyző Shane MacDougall volt, aki egy kevésbé fantáziadús módszerrel próbálkozott. Eljátszotta, hogy a CSO Magazine számára ..........
A cikk folytatásához kattints IDE!
Ha tetszett a cikk, oszd meg ismerőseiddel is a legnépszerűbb közösségi oldalakon (klikk a gombra):
