Rendre egyre fejlettebb programkártevőkről számolnak be kiberfenyegetettségi jelentéseikben a biztonsági cégek, így azt hihetnénk, kizárólag technológiai védelmi eszközök üzembe állításával megvédhetjük informatikai rendszereinket a támadásoktól. Ez azonban korántsem biztos, mert a hackerek kezdetektől fogva kiterjedten alkalmazzák a különféle pszichológiai trükköket, hogy az alkalmazottak könnyelműségét, nemtörődömségét és tudatlanságát kihasználva hozzáférjenek a vállalati hálózatokhoz, illetve megfertőzzék azokat az adatlopásra vagy zsarolásra kifejlesztett, egyre kifinomultabb funkcionalitású rosszindulatú programokkal. Ezek kiszűrésében, terjedésének megakadályozásában, az általuk okozott kár enyhítésében és az eredeti állapot visszaállításban valóban komoly szerep jut a technológiai védelmi eszközöknek, azonban az alkalmazottak biztonságtudatos szemléletének kialakításáról ugyanilyen fontos gondoskodni a hatékony védelem kialakítása érdekében.
Egy ősrégi módszer
Az angol nyelvterületen social engineeringnek - a kifejezést a híres hacker, Kevin Mitnick vitte be a köztudatba - nevezett átverési módszerek (amelyekhez hasonlókat ősidők óta alkalmaznak a csalók) jóvoltából a kiberbűnözők az emberi természetet használják ki, hogy technikai hackereszközök alkalmazása nélkül jussanak be irodaépületekbe, férjenek hozzá informatikai hálózatokhoz és bizalmas adatokhoz. Például az emberek kíváncsiságára alapozva a hacker "elveszít" egy USB-memóriát a célba vett vállalat parkolójában, arra számítva, hogy a "szerencsés" megtaláló csatlakoztatja majd a céges számítógéphez, megfertőzve ezzel a teljes vállalati hálózatot. Bár az adathordozókon lévő végrehajtható fájlok automatikus indítása már nem alapértelmezésbeli beállítás a Windowsban, elég egy érdekes nevű fájl a meghajtón ahhoz, hogy az alkalmazott kíváncsiságból megnyissa azt, elindítva ezzel a fertőzési folyamatot. Hírek szerint ezzel a módszerrel juttatták be külföldi titkosszolgálatok a hírhedt Stuxnet vírust is az iráni urándúsító létesítmény hálózatába.
Egy másik esetben a bűnöző nagy dobozt cipelve közelít a beléptető rendszerrel védett bejárathoz, és azt színlelve, hogy lefoglalt kezei miatt nem tudja használni a kártyáját, megkér valakit, tartsa az ajtót, amíg belép rajta. A jóhiszeműen eljáró kolléga nem is sejti, hogy épp most engedett be egy illetéktelen személyt a védett területre.
Hasonló veszélyt jelent a hitelesnek látszó levelekben lévő mellékletek és hivatkozások könnyelmű megnyitása. A Verizon 2016-os Data Breach Investigation Report felmérése szerint az adathalászati céllal küldött üzenetek 30 százalékát megnyitják a címzettek, és nem kevesebb, mint 12 százalékuk kattint a rosszindulatú csatolmányokon vagy hivatkozásokon, lehetővé téve a támadó számára, hogy behatolhasson a vállalat informatikai infrastruktúrájába. Aggasztó, hogy a helyzet egyre rosszabb: tavaly még csupán az alkalmazottak 23 százaléka nyitotta meg ezeket az e-maileket, ami azt jelzi, hogy egyre kevesebben tudják azonosítani az adathalász üzeneteket, vagy a kiberbűnözők egyre hatékonyabban képesek álcázni ezeket.
Sajnálatos módon napjaink legveszélyesebb kiberfenyegetéseit, a vállalatok bankszámláját jelentős összegekkel megcsapoló zsarolóprogramokat főként adathalász e-mailekkel terjesztik, így a beérkező üzenetek nem megfelelő kezelése minden korábbinál nagyobb károkat okozhat az alkalmazottai biztonságtudatos szemléletének kialakítását elmulasztó vállalatoknak. A pénzszerzésre szakosodott hackercsoportok egymással versengve egyre jobban kiterjesztik tevékenységüket, és a találati arány növelése érdekében egyre több felhasználónak küldözgetnek csali leveleket. A McAfee Labs idén szeptemberi biztonsági jelentése szerint egyetlen kibermaffia 121 millió dollárnyi jövedelemre tett szert zsarolóprogramokkal kikényszerített váltságdíjakból az év első hat hónapjában. Ugyanebben az időszakban 128 százalékkal emelkedett a zsarolóvírusok száma az előző év első félévéhez képest: a McAfee 1,3 millió új zsarolóprogram-változatot azonosított.
A leghatékonyabb levelek
A CSO magazinnak nyilatkozó biztonsági szakértők összefoglalták azokat a csalási módszereket, amelyeknek a vállalati alkalmazottak még mindig könnyen áldozatául esnek.
A lista első helyére a hivatalosnak tűnő, munkával kapcsolatos e-mailek kerültek, amelyek tárgymezőjében olyan kifejezések szerepelnek, mint például "Számla mellékelve", "Az ön által kért fájl" vagy "Nézze meg ezt az önéletrajzot". Egy, a Wombat Technologies által végzett felmérés megállapította, hogy a munkavállalók óvatosabban kezelik a magánfelhasználóknak szánt, például ajándékokkal vagy közösségimédia-fiókokkal kapcsolatos leveleket, mint a látszólag a munkájukkal összefüggő e-maileket. Szakértők szerint a legtöbb ember nem néz tüzetesen utána annak, hogy egész pontosan honnan érkezett a levél. Ezért az alvállalkozókkal vagy üzleti partnerekkel levelező munkatársak esetében biztonságos fájlátviteli rendszer használata ajánlott, így biztosak lehetünk abban, hogy a dokumentumok valóban attól érkeznek, akitől várjuk. Ez ugyancsak óvatosságra inti a címzetteket az olyan fájloknál, amelyek a makrófuttatás engedélyezését kérik, ami a számítógép feletti ellenőrzés megszerzéséhez vezethet.
Szintén nem tudnak ellenállni az alkalmazottak az ingyenes kínálatoknak - amelyek a jegyektől a szoftverekig terjedhetnek -, és szinte bármire kattintanak, hogy ezekhez hozzájussanak. Bár az emberek többsége tisztában van azzal, hogy "nincs ingyen ebéd", vagyis az ingyenességért valamilyen módon mégis csak fizetniük kell, a mohóságuk teljesen félresöpri az óvatosságot, és a letöltésre szolgáló weboldal meglátogatásával programkártevővel fertőzik meg vállalati számítógépüket. Ez történhet automatikusan, szoftveres sérülékenység kihasználásával, vagy pedig az ingyenes csalétekalkalmazással együtt töltik le és telepítik a vírust. Ezért a letöltés előtt mindenképpen ellenőrizni kell, hogy a vállalat licencelte-e már a szóban forgó szoftvert, valamint azt is, hogy valóban legális, ingyenes programot kínálnak-e nekünk. Ezt követően pedig - ha valóban szükségünk van az alkalmazásra -, a gyártó hivatalos weboldaláról kell letölteni.
Álságos ismerősök
Szintén komoly veszélyt jelentenek a vállalati rendszerek biztonságára az alkalmazottaknak küldött hamis LinkedIn-meghívók. A kiberbűnözők adatgyűjtési célra hitelesnek tűnő, de hamis LinkedIn-fiókokat hoznak létre ismert projektcsoporttag vagy vállalatvezető nevében, majd ennek felhasználásával lépnek kapcsolatba az alkalmazottakkal, akik gyanútlanul elfogadják az invitálást, még örülnek is annak, ha egy magasabb beosztású munkatárstól érkezik a felkérés. Azután a kommunikáció során teljesen gyanútlanul bizalmas vállalati információkat szolgáltatnak ki a megbízhatónak tartott, feltehetően náluk is jobban értesült "kollégának". Ezzel a módszerrel a hackerek viszonylag egyszerűen juthatnak értékes információkhoz a célba vett szervezetről. A legjobb védekezés a LinkedIn-csalással szemben, ha a bármely közösségi hálózaton keresztül velünk kapcsolatba lépni kívánó kollégákat hivatalos postafiókjukba küldött levélben megkérdezzük, valóban ők küldték-e nekünk az invitációt.
A közösségi oldalak munkahelyi számítógépekről való meglátogatása egyébként is nagymértékben növeli az alkalmazottak kitettségét, mivel sokkal egyszerűbbé teszi egy adott cég munkavállalóinak a becserkészését. Ahelyett, hogy kiküldenének ezer e-mailt, egyetlen bejegyzéssel a weboldalukra csalhatják őket a kiberbűnözők. A Wombat felmérése szerint a közösségi oldalak veszélyeit érzékelik a legkevésbé az alkalmazottak, ugyanakkor a megkérdezett vállalatok 76 százaléka engedélyezi ezen szolgáltatások használatát munkaeszközökről.
