Adatbiztonság a méréstechnológiábanképzők képzése

„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra"

2015. 01. 15-16.

Adatbiztonság a méréstechnológiában képzők képzése

Szerző: Dr. Németh L. Zoltán

2015. 01. 15-16.

Adatbiztonság a méréstechnológiában képzők képzése

Szerző: Dr. Németh L. Zoltán

6. Előadás

Dr. Németh L. Zoltán

Pszichológiai manipuláció

(Social Engineering)

Social Engineering

(Emberek megtévesztése)

,, A vállaltok dollármilliókat költenek

tűzfalakra és biztonságos távoli elérést nyújtó eszközökre, de ez mind kidobott pénz, mert ezek egyike se veszi

figyelembe a leggyengébb szemet a

biztonsági láncban: az embert, aki

használja, igazgatja és működteti a

számítógép rendszereket.”

Mit jelent tulajdonképpen? I.

 Az emberi psziché sajátosságait kihasználva rávenni valakit olyan információ kiadására vagy cselekedet végrehajtására, amit különben nem tenne.

 Két nagy fajtája:

 csak humán alapú



személyesen



telefonon



SMS-ben

 számítógépes eszközzel segített



céges címről érkező és céges logoval ellátott e-mailben



csevegésben



automatikusan kártevőt telepítő pendrive



hamisított weboldallal



közösségi oldalakon.

Mit is jelent tulajdonképpen?

II.

 Ilyen támadás célja lehet, például:

 információgyűjtés a vállalatról,

 érzékeny adatok megszerzése,

 jogosultság nélküli fizikai belépés,

 lopás (pl. laptop, szellemi tulajdon) vagy

 ,,csak” kémkedés,

 annak elérése, hogy

 az áldozat rákattintson egy linkre,

 töltsön le és futtasson egy programot vagy

 kikapcsoljon egy védelmi mechanizmust,

Miért működik?

 Az emberi viselkedés számos módon kihasználható.

 Sokszor tudatalatti tényezők befolyásolják tetteinket.

 A bizalom kihasználásán alapszik.

 A vállalati és egyetemes kultúránkban hangsúlyos értékek a nyíltság, barátságosság, segítőkészség.

 A termék-támogatók azért vannak, hogy segítsenek.

 Az emberek lusták, konfliktuskerülők, megfélemlíthetők.

 Nem ismerhetnek mindenkit egy nagyvállalatnál.

 A támadók pedig alaposan felkészültek.

Példák I.

 ,,A szakdolgozatomhoz szeretnék

segítséget kérni egy 10 perces kérdőív kitöltéséhez a vállalatnál használt

biztonsági megoldásokról és Kovács János igazgató úr azt mondta magához

fordulhatok bizalommal, mert Ön ismeri

legjobban a teljes informatikai rendszert.”

Példák II.

 ,,Bocsánat, állásinterjúra jöttem 10 órára, nagyon izgulok és véletlenül az előbb

leöntöttem kávéval az önéletrajzomat, megtenné, hogy kinyomtatja

a pendrive-omról, így mert így ugye mégsem adhatom oda? Nagyon kérem, lehet, hogy az egész életem múlik rajta!

Ugye segít?”

Példák III.

 ,,Az értékesíti osztályra hoztam ezt a csak

személyesen átvehető csomagot [futárszolgálatos egyenruhában, a csomag akkora, hogy csak két kézzel tudja megfogni], be tudna engedni?”

 De nem csak futár, hanem

 szerelő,

 takarító,

 üzletkötő,

 az „új” rendszergazda,

 biztonsági auditor,

 kormánytisztviselő, stb. vagyok, [X.Y-t keresem].

Példák IV.

WARNING! VIRUS ALERT!

Weboldalunk online scannere az Ön számítógépén

DeadPirate.32W vírust azonosított. A fertőzött fájlok az alábbiak:

…. [az oprendszer jól ismert fájljai]

A kártevő rendkívül veszélyes előre nem ismert aktiválási idejétől számítva körülbelül 5 percen belül képes a

számítógépén és a csatolt meghajtókon az összes adatot visszavonhatatlanul megsemmisíteni. Kérjük haladéktalanul futassa az a

AV_Soft_DeadPirateRemover_2-34.exe

programot a kártevő eltávolításához. A vírus működéséről részletes információt a www.avats.hu/virdata/DeadPirate/

oldalon talál.

A Social Engineering folyamata

1. Felderítés (hírszerzés /nyílt/ forrásokból)

2. Megfelelő célszemély(ek) kiválasztása

3. Megtévesztés - a bizalom megszerzése

4. A megszerzett bizalom kihasználása,

5. mellyel további információk nyerhetők, és kezdődhet az egész elölről

egy magasabb szinten.

Az emberi viselkedés néhány kihasználható tulajdonsága

1. Reciprocitás (Reciprocity)

2. Elkötelezettség és következetesség (Consistency)

3. Társadalmi igazodás (Social Proof)

4. Tetszés (Liking)

5. Tekintély (Authority)

6. Hiány (Scarcity)

Dr. Robert Cialdini : „Hatás – A befolyásolás

lélektana” című könyve alapján

Reciprocitás (Reciprocity)

 Ha valaki szívességet tesz nekünk törekszünk viszonozni,

 még ha nem is kértük és nincs is rá szükségünk,

 ezért kapunk az adománygyűjtőktől apró ajándékokat.

 Működik tárgyalásnál is:

 Engedtem valamit [lehet, hogy nekem jelentéktelen], cserébe azt kérem, hogy …

 Ha sikerül alkudni, a vevő elégedettebb, még ha eleve irreális volt is az ár.

 De nem ritka, hogy a támadó először valamit valóban segít, pl. a szoftvert beállítani, mielőtt például a

jelszót elkérné.

Elkötelezettség és

következetesség (Consistency) I.

 Erénynek tartjuk, ha elveink vannak, ha viselkedésünk, állásfoglalásunk egy

kérdésben nem változik.

 Kitűzünk egy cél és mindent megteszünk, hogy igazoljuk döntésünket,

 még ha az eredeti motiváció vagy a

körülmények meg is változnak közben.

Elkötelezettség és

következetesség (Consistency) II.

 ,,De hiszen kéthete a kérdőíven azt

nyilatkozta, hogy fontosnak tartja a kóbor állatok megmentését…”

 Az ügynökök is sokszor ,,csak” egy tájékozódó kérdőívvel kezdik …

 Az autókereskedő az utolsó pillanatban emeli meg az árat, mert tudja, hogy

addigra a vevő már elköteleződött amellett, hogy ezt a kocsit szeretné, és nem fogja

csak az ár miatt az alkut felmondani.

Társadalmi igazodás (Social Proof) I.

 Mindannyian igyekszünk beilleszkedni a társadalomba.

 Igyekszünk úgy viselkedni, mint a többiek a környezetünkben.

 Nevetünk, legalább is mosolygunk, ha a

környezetünkben mindenki nevet, még ha

nem is értjük a viccet.

Társadalmi igazodás (Social Proof) II.

 Szerintem a legviccesebb kandi kamera tréfa:

http://www.youtube.com/watch?v=nNneIyKuL0w

 ,,Nem akarja beírni a jelszavát a jelszó- erősségmérő kalkulátoromba?! De hisz

eddig ezzel senkinek nem volt problémája!

Nézze, Kovács Béla 6.7 pontot kapott, a

főnöke viszont csak 4.4-et (he-he), a magáé

biztosan jobb lesz.”

Tetszés (Liking)

 Rokonszenv és hízelgés.

 Szívesebben működünk együtt olyasvalakivel, aki kedvel bennünket.

 Nyilvánvalóan az is számít, hogy az illető nekünk mennyire szimpatikus, csinos, jóképű, megnyerő modorú, stb.

 De megítélésünket könnyen igazítjuk pozitív irányba néhány hízelgő szó hallatán.

 Még az se kell, hogy különösebb értelme legyen: pl.

„Olyan remek termeted van!”

 ,,Azért téged kérlek, mert ezt Te tudod a legjobban

megcsinálni …”

Tekintély (Authority)

 Szívesebben engedelmeskedünk valakinek, aki tekintélyes, köztiszteletben álló,

 de még a személye is mellékes, ha valakitől megbízatása van az adott feladatra:

 igazgató, osztályvezető, rendőr, nyomozó,

ellenőr, hivatali tisztviselő, orvos, jogász, stb.

 Ha a támadó különleges felhatalmazással rendelkezik, ,,szabályokon felül áll”, ezért rendkívüli dolgokat is kérhet.

 Ki meri mondjuk egy partner „vezérigazgató”

Hiány (Scarcity) I.

 A hiány keresletet generál.

 ,,Csak ma”, ,,csak most”, ,,csak Neked”,

,,limitált széria”, ,,most még bevezető áron, korlátozott ideig kapható”, stb.

 Minél ritkább valami, annál értékesebbnek tűnik.

 Mi pedig nem szeretnénk egy jó „vissza

nem térő” lehetőséget elszalasztani.

Hiány (Scarcity) II.

 Lehet időhiány is:

 ,,Sajnos csak ma 2-ig vagyok itt,

legközelebb majd két hét múlva, ha nem ad rá felhatalmazást, hogy megoldjam a

problémát, majd magyarázza meg a főnökének addigra.”

 ,,Éppen egész nap tárgyalok, ezért nem tud

visszahívni a szokásos mellékemen.”

Social Engineering technikák I.

 Pretexting: kitalált szituáció, előre készülve a várható kérdésekre.

 Phishing: adathalász e-mailezés.

 Vishing: interaktív üzenetrögzítőn (IVR) keresztül.

 Spear Phishing (szigonyozás): jól definiált célcsoport támadása.

 Whaling (bálnavadászat): ugyanez a

felsővezetőkre.

Social Engineering technikák II.

 Pharming: átirányítás hamisított weblapra.

 Baiting (csalizás): kártékony kódot

tartalmazó pendrive vagy CD ,,elhagyása”.

 Tailgating ~ Piggybacking: besurranás valakit követve.

 Shoulder Surfing: jelszó ellesése ,,váll felett”.

 Dumpster Diving: kukabúvárkodás.

Pretext példa I.

Üdvözlöm, Kiss Éva vagyok, a … bank Telefonos Bankkártya Ügyfélszolgálati Csoportjának munkatára.

Azért hívom, mert az új visszaélés-ellenes szabályzat értelmében a külföldre irányuló nagy összegű tranzakciók hitelességét telefonon is ellenőriznünk kell.

A rendszerben azt látom, hogy az Ön folyószámlájáról 2014. április 15-én 112Euro összegű átutalást indítottak Carlos P. Ramíreznek a Central Bank of Nicaraguanál vezetett bankszámlájára …

… a tranzakció törléséhez azonban be kell kérjek néhány

adatot / át kell kapcsoljam a telefonos azonosító

rendszerünkbe …

Pretext példa II.

… tehát biztos hogy nem maga indította az átutalást? Nem tudom, hogy történhetett

nézett az utóbbi időben külföldi weboldalakat?

Vagy nyitott meg ismeretlen feladótól levelet?

Vagy használta a Facebookot? Sajnos az utóbbi időben egyre több ilyen eset történik ….

… nekem is ma még 13 átutalást kell

ellenőriznem, és szinte mindegyiket vissza

szokták vonni, igaz volt egy a múlthéten ami

valós volt, meg sajnos olyan is, amikor nem

tudtam időben telefonon elérni a tulajdonost…

Pretext példa III.

… ha nem hisz nekem, természetesen

visszahívhat a … telefonszámon, de kérem mindenképpen tegye meg, mert különben a rendszer automatikusan indítja az átutalást …

… meg tudom mondani a születési dátumát, lakcímét, anyja nevét, a bankszámlaszámának első 8 számjegyét vagy a bankkártyájának az utolsó 4 számjegyét …

[ezek viszonylag könnyen hozzáférhetők

információk]

Pretext példa IV.

… de természetesen felhívhatja a normál ügyfélszolgálatunkat is, csak az ott dolgozó

kollégáknak nincs jogosultságuk a már validált tranzakciók díjmentes törlésére …

… értse meg azonosítás nélkül sajnos semmilyen módosítást nem végezhetek, egyszerűen meg sem jelenik az ügyfél megbízásainak módosítás

menüpont. Akkor átkapcsolhatom a telefonos azonosításhoz?

… nekem pedig le, kell zárnom az ellenőrzést, mert

a nemzetközi TFH megállapodás értelmében 12 órán

Pretext példa V.

…várjon, próbálok segíteni, ezt meg tudom nézni, még 12 perc 50 másodperc van az automatikus indításig. Sajnos nem tudom biztosra ígérni, hogy addig a normál ügyfélszolgálatot el tudja érni,

ilyenkor délután nagyon sokan szoktak lenni…

…és ha a tranzakció elindul, akkor csak a

nemzetközi egyezmények alapján tudjuk a pénzt visszakérni, ami egyrészt hónapokat vehet

igénybe, másrészt igazából sokszor a külföldi bank jóindulatán is múlik. Akkor is én fogom keresni, de majd személyesen kell befáradnia valamelyik

bankfiókunkba…

Pretext példa VI.

… igen a weblapunkon az áll, hogy a bank nem kér telefonon vagy e-mailben személyes azonosító

adatokat, de a telebankhoz mindig kell azonosítás …

… értse meg, nekem nincs jogosultságom Öntől

azonosítás nélkül semmilyen megbízást elfogadni, a rendszer nem engedi, én hiába hiszek magának …

… én nem akarom befolyásolni, végül is a döntés az Öné…

… én csak vázoltam a lehetőségeket …

… akkor végül mi legyen? Tudjuk törölni a

Védekezés

 Nem intézhetjük el annyival, hogy a Social

Engineering csak néhány magyarul alig érthető phising e-mail, aminek mi biztosan nem dőlünk be.

 Ismerjük el, hogy gondosan kitervelt és

személyre szabott támadással sajnos minket is meg tudnak vezetni.

 Az élet néha produkál szokatlan vagy

képtelennek tűnő helyzeteket, melyektől egy támadást nem könnyű megkülönböztetni.

 Ezért a védekezés semmi esetre sem könnyű.

Mégis, mi az ami segíthet? I.

 Legyenek elveink:

„Elnézést, de ügyfeleink személyes adatait telefonon senkinek sem adhatom ki.”

 Egy jó biztonsági szabályzat ebben sokat segíthet,

 és hivatkozási alapnak is jó szolgálatot tesz.

 Ugyanakkor nem lehet mindent a

szabályzatban rögzíteni.

Mégis, mi az ami segíthet? II.

 Az adatok biztonsági osztályozása (titkos, érzékeny, nem osztályozott).

 Biztonságtudatosság, képzés.

 Ne csak manipulálható szenvedő alanyok legyünk, kérdezzünk vissza.

 Próbáljunk olyan kérdést feltenni, amire a támadó nem készülhetett fel előre .

 Józan ész és higgadtság,

mert legtöbbször az érzelmeinken keresztül

akarnak manipulálni.

Mégis, mi az ami segíthet? III.

 Ha éberek vagyunk felismerhetjük a támadás szokásos jegyeit.

 Valahol megszólal bennük egy belső hang, hogy ,,ez nekem gyanús”.

 Csakhogy a támadó azt akarja elhitetni velünk, hogy nincs más megoldás, csak amit ő javasol.

 De van más megoldás!!!

 Az igazi biztonság a lehetőségekről szól,

 csak ne legyünk lusták megkeresni,

 mert a biztonságnak ára van, erőfeszítésben is.

Van más megoldás! I.

 Azon járjon az agyunk, hogy pl.

,,Rendben, lehet, hogy igaza van, és mégis ő a legnagyobb partnerünk vezérigazgatója, de

hogyan tudnám ezt ellenőrizni?”

Pl. elkérem a névjegykártyáját és felívom a titkárnőjét, hogy itt van-e épp nálunk.

 Pl. „Leöntöttem az életrajzom kávéval”-ra:

,,Értem. Én ugyan nem csatlakoztathatok idegen eszközt a számítógépembe, de mindjárt

felhívom a biztonsági felelőst, és ő ki fogja tudni

nyomtatni.”

Van más megoldás ! II.

A ,,bankátutalásosra”:

,,Nézze kérem, összefoglalva: mégis csak maga hívott fel engem, azt állítja, hogy a bankomtól van, de a

bankszámlaszámomat nem tudja megmondani, se azt, hogy melyik fiókban mikor nyitottam a számlát, és ennek ellenére a telebank azonosítómat és a PIN kódomat szeretné, mégpedig itt és most azonnal. Ez az egész nekem felettébb gyanús, ezért engedje meg, hogy független forrásból ellenőrizzem állításainak

valódiságát.

Egy félórán belül vissza fogom hívni, kérem intézze el,

hogy az átutalás addig ne történjen meg. Köszönöm.”

Összefoglalás

 A Social Engineering igen komoly veszélyforrás.

 Esetenként bűncselekmény, azon túl hogy természeti törvény, hogy hazudni nem szabad.

 Egymásba vetett bizalmunkkal él vissza aki ilyet tesz.

 Igen nehéz védekezni ellene,

 bár beszélnek ,,emberi tűzfalról”, sajnos, mindig

könnyű találni valakit, aki könnyebben manipulálható.

 Csak a tudatosítás hatékony ellene, ismerni kell, hogy

 felkészüljünk a támadásokra,

 felismerjük őket, és

 ellent tudjunk állni.

Hivatkozások

1. W. Owen Redwood, Offensive Security (Course Lecture Videos / Slides), Florida State University Computer

Science Department, 2013.

2. Social Engineering, biztonságointernet.hu http://

www.biztonsagosinternet.hu/tippek/a-social-engineering -rol

3. Krasznay Csaba, Human security awareness – IT vagy HR feladat?, előadás, Balabit Open Academy, 2012.

4. Michael Behringer: Understanding Operational Security http://

www.cisco.com/web/about/security/intelligence/opsecuri