A legnagyobb hiba, amit valaki elkövethet adatai és magánéletének biztonságával kapcsolatában, hogy azt hiszi: nincs szüksége védelemre, pedig a célzott támadások lélektana alól senki sem kivétel. Bármennyire is szeretnénk azt hinni, hogy mi csak egyszerű emberek vagyunk, miért is érne minket támadás, jobb résen lenni!
A célzott támadások lélektana
Sajnos valóban akad még, aki nincs igazán tisztában azzal, hogy banki trójaiak és zsarolóprogramok tucatjai vadásznak egyszerű emberekre. Éppen úgy, ahogy a túlterheléses támadásokat és spam kampányokat indító botnetek is főleg az ő védtelen, eltérített gépeikből állnak össze.
De, ami még komolyabb problémához vezethet: megesik, hogy bár valaki egyszerű embernek tartja magát, mert például viszonylag alacsony beosztásban dolgozik, de munkahelye miatt valójában kiemelten veszélyeztetett. Annyira, hogy nagyjából (vagy akár kimondottan) személyére szabott támadást indítsanak ellene.
Pont egy ilyen kampánnyal, a LinkedIn-en keresztül támadó, vélhetően az észak-koreai illetőségű Lazarus csoporthoz köthető hackereket lepleztek le néhány éve az ESET kutatói. A csoport elsődleges célja a főként európai légvédelmi és katonai szervezetek hálózatiba való bejutás és ipari kémkedés volt, melyhez egyedi, többlépcsős rosszindulatú programokat használtak.
Közösségi alapú manipuláció
Minden egy LinkedIn üzenettel kezdődött. Az In(ter)ception nevű kiberkémkedési akcióban a támadók állásajánlat ígéretével keresték meg a kiszemelt célpontokat a LinkedIn közösségi oldalon keresztül. Olyan neves cégek HR-eseinek adva ki magukat, mint például a General Dynamics vagy a Collins Aerospace. Leveleikhez egy átlagosnak tűnő PDF fájlt is csatoltak, melyet megnyitva egy kártevő kód települt észrevétlenül a címzettek számítógépére.
A kártevő fájlokat vagy közvetlenül a LinkedIn levelezőjén keresztül vagy egy OneDrive linket tartalmazó e-mailben küldték el. A második módszerre gondosan felkészültek a hackerek, hiszen ehhez a LinkedIn profiljukkal azonos e-mail-fiókot is létrehoztak a látszat kedvéért. Miután a címzett megnyitotta a csatolt fájlt, egy látszólag ártalmatlan PDF dokumentum jelent meg, amely a hamis állásajánlattal kapcsolatosan elérhető fizetéseket tartalmazta.
Miközben az áldozat ezt tanulmányozta, a kártevő feltűnés nélkül települhetett a számítógépére, és észrevétlenül megkezdte működését. A kártevő kódok rendszerbe jutását követően a hackerek legitim szoftvernek álcázott, saját fejlesztésű szoftverekkel és nyílt forráskódú eszközök módosított változataival támadták áldozataikat, illetve a Windows előre telepített szolgáltatásait is a saját céljaik eléréséhez használták.
Eközben végig próbálták fenntartani a törvényesség látszatát, ezért is célozták áldozataikat a LinkedIn felületén keresztül, hiszen ez a hivatalos közösségi oldal kevésbé ad okot a gyanakvásra. Ezen felül, a hitelesség kedvéért, még valódi elektronikus aláírást is alkalmaztak, ami szintén eloszlatta a laikus LinkedIn felhasználók kételyeit.
A kutatók által felfedezett bizonyítékok alapján a támadók a kémkedés mellett pénzt is próbáltak kicsikarni az áldozatok partnereitől. A sértettek levelei között olyan e-maileket kerestek, amelyek még ki nem egyenlített, függőben lévő számlákról szóltak. Ezt követően hamis e-mail-címekről felvették a kapcsolatot az ügyfelekkel, és felszólították őket, hogy sürgősen fizessék be az elmaradt összegeket – természetesen a támadók saját bankszámlájára. Szerencsére néhányan gyanút fogtak, és jelezték az esetet az érintett vállalatnak, így megakadályozták a támadási kísérletet.
Csak képzés kérdése?
A felismerés, hogy az áldozatok hálózatait a támadók nem csak az adatok kinyerésére, de pénzszerzésre is megpróbálták felhasználni, fel kell, hogy hívja a vállalkozások figyelmét a behatolások elleni erős védelem és a kiberbiztonsági képzések szükségességére. A munkavállalók oktatása segít abban, hogy felismerjék a mostani esethez hasonló, bizalmas céges adatok megszerzésére irányuló pszichológiai manipulációs (social engineering) kísérleteket. Social engineering, azaz pszichológia manipuláció alatt azt értjük, amikor egy jogosultsággal rendelkező személy, egy jogosulatlan felhasználó számára adatokat ad át, vagy lehetőséget nyújt számára a rendszerbe való belépésre, a másik személy megtévesztő viselkedése miatt. A pszichológiai befolyásolás az a fajta támadás, amikor a kiberbűnöző nem a technológiai sebezhetőséget használja ki egy-egy támadás során, hanem az emberi befolyásolhatóság a fő fegyvere.
A célzott támadások lélektana – hogyan védekezzünk ellenük?
Biztonsági tippek:
A hackerek is tisztában vannak azzal, hogy minden védelmi rendszer leggyengébb pontja az ember. A social engineering módszer éppen erre az alapelvre épít. Ahhoz, hogy megfelelően védekezni tudjunk az ilyen jellegű támadások ellen, érdemes megfogadni pár tanácsot a biztonságunk megőrzése érdekében.
- Szervezzünk oktatásokat
A social engineering technikák, a támadók soha nem lankadó figyelme ugyanis az alacsony kiberbiztonsági ismeretekre támaszkodnak.
- Gyenge jelszavak
A nem elég erős és biztonságos jelszavak potenciális rést jelentenek a rendszereinkben a támadók számára. Keressük meg és egészítsük ki a jelszavakat egy további biztonsági réteggel, és többfaktoros hitelesítés bevezetésével.
- Biztonsági megoldások
Használjunk olyan biztonsági megoldásokat, amelyek kiszűrik és megsemmisítik az adathalász üzeneteket.
- Biztonsági házirend felállítása
Vállalkozások, nagy cégek esetében érdemes olyan biztonsági házirendet kialakítani, amely meghatározza, hogy a munkavállalóknak milyen lépéseket kell tennie, ha felmerül bennük a gyanú, hogy pszichológiai manipulációs kísérlettel találkoztak.
- Céges eszközeink védelme
Lássuk el a magán- és céges eszközeinket is többrétegű, megbízható végpontvédelemmel. Használjunk központi menedzsment megoldásokat, amelyekkel a rendszergazdák könnyen áttekinthetik a hálózatot és észlelhetik a potenciális veszélyforrásokat.
Ennek egyik kiemelkedő alakja egyébként Kevin Mitnick volt, aki később több könyvet is írt a témában. Ugyan az ilyen támadások ellen, különösen, ha a támadók elég időt és energiát fordítottak az áldozatok megismerésére, nehéz védekezni, de a fenti tippek segítségével sokkal ellenállóbbá tehetjük magunkat és cégünket a pszichológiai manipulációval szemben.
Vissza a blog cikkekhez